Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Advanced Threat Analytics w wersji 1.9
Krok 8. Konfigurowanie wykluczeń adresów IP i użytkownika honeytoken
Usługa ATA umożliwia wykluczenie określonych adresów IP lub użytkowników z wielu wykryć.
Na przykład wykluczenie rekonesansu DNS może być skanerem zabezpieczeń, który używa systemu DNS jako mechanizmu skanowania. Wykluczenie pomaga usłudze ATA ignorować takie skanery. Przykładem wykluczenia typu Pass-the-Ticket jest urządzenie NAT.
Usługa ATA umożliwia również konfigurację użytkownika honeytoken, który jest używany jako pułapka dla złośliwych aktorów — każde uwierzytelnianie skojarzone z tym (zwykle uśpionym) kontem wyzwala alert.
Aby to skonfigurować, wykonaj następujące kroki:
W konsoli usługi ATA wybierz ikonę ustawień i wybierz pozycję Konfiguracja.
W obszarze Wykrywanie wybierz pozycję Tagi jednostki.
W obszarze Konta honeytoken wprowadź nazwę konta Honeytoken. Pole Konta honeytoken można przeszukiwać i automatycznie wyświetla jednostki w sieci.
Wybierz pozycję Wykluczenia. Dla każdego typu zagrożenia wprowadź konto użytkownika lub adres IP, które ma zostać wykluczone z wykrywania tych zagrożeń, i wybierz znak plus . Pole Dodawanie jednostki (użytkownika lub komputera) można przeszukiwać i automatycznie wypełnia się jednostkami w sieci. Aby uzyskać więcej informacji, zobacz Wykluczanie jednostek z wykrywania
Wybierz Zapisz.
Gratulacje, pomyślnie wdrożono Zaawansowana analiza zagrożeń Microsoft!
Sprawdź wiersz czasu ataku, aby wyświetlić wykryte podejrzane działania i wyszukać użytkowników lub komputery i wyświetlić ich profile.
Usługa ATA natychmiast rozpoczyna skanowanie pod kątem podejrzanych działań. Niektóre działania, takie jak niektóre podejrzane działania zachowania, nie są dostępne, dopóki usługa ATA nie będzie miała czasu na tworzenie profilów behawioralnych (co najmniej trzy tygodnie).
Aby sprawdzić, czy usługa ATA działa i łapie naruszenia zabezpieczeń w sieci, możesz zapoznać się z podręcznikiem symulacji ataków usługi ATA.