Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy: Advanced Threat Analytics w wersji 1.9
Krok 7. Integrowanie sieci VPN
Zaawansowana analiza zagrożeń Microsoft (ATA) w wersji 1.8 lub nowszej może zbierać informacje księgowe z rozwiązań sieci VPN. Po skonfigurowaniu strona profilu użytkownika zawiera informacje z połączeń sieci VPN, takie jak adresy IP i lokalizacje, z których pochodzą połączenia. Uzupełnia to proces badania, dostarczając dodatkowych informacji na temat aktywności użytkowników. Wywołanie rozpoznawania zewnętrznego adresu IP do lokalizacji jest anonimowe. W tym wywołaniu nie jest wysyłany żaden identyfikator osobisty.
Usługa ATA integruje się z rozwiązaniem sieci VPN, nasłuchując zdarzeń księgowych usługi RADIUS przekazanych do bram usługi ATA. Ten mechanizm jest oparty na standardowej księgowości radius (RFC 2866), a obsługiwani są następujący dostawcy sieci VPN:
- Microsoft
- F5
- Cisco ASA
Ważna
Od września 2019 r. usługa lokalizacji geograficznej sieci VPN usługi Advanced Threat Analytics odpowiedzialna za wykrywanie lokalizacji sieci VPN obsługuje teraz wyłącznie protokół TLS 1.2. Upewnij się, że centrum usługi ATA jest skonfigurowane do obsługi protokołu TLS 1.2, ponieważ wersje 1.1 i 1.0 nie są już obsługiwane.
Wymagania wstępne
Aby włączyć integrację sieci VPN, upewnij się, że ustawiono następujące parametry:
Otwórz port UDP 1813 w bramach usługi ATA i uproszczonych bramach usługi ATA.
Centrum usługi ATA musi mieć dostęp do ti.ata.azure.com przy użyciu protokołu HTTPS (port 443), aby umożliwić wykonywanie zapytań o lokalizację przychodzących adresów IP.
W poniższym przykładzie opisano proces konfiguracji sieci VPN przy użyciu usługi Microsoft Routing and Remote Access Server (RRAS).
Jeśli używasz rozwiązania sieci VPN innej firmy, zapoznaj się z ich dokumentacją, aby uzyskać instrukcje dotyczące włączania księgowości usługi RADIUS.
Konfigurowanie księgowości usługi RADIUS w systemie sieci VPN
Wykonaj następujące kroki na serwerze usługi RRAS.
Otwórz konsolę Routing i dostęp zdalny.
Kliknij prawym przyciskiem myszy nazwę serwera i wybierz pozycję Właściwości.
Na karcie Zabezpieczenia w obszarze Dostawca księgowości wybierz pozycję Księgowość USŁUGI RADIUS i kliknij pozycję Konfiguruj.
W oknie Dodawanie serwera RADIUS wpisz nazwę serwera najbliższej bramy usługi ATA lub uproszczonej bramy usługi ATA. W obszarze Port upewnij się, że skonfigurowano wartość domyślną 1813. Kliknij pozycję Zmień i wpisz nowy wspólny ciąg wpisów tajnych zawierający znaki alfanumeryczne, które można zapamiętać. Należy go wypełnić w dalszej części konfiguracji usługi ATA. Zaznacz pole Wyślij komunikaty Wł. konta usługi RADIUS i Wył. ewidencjonowania, a następnie kliknij przycisk OK we wszystkich otwartych oknach dialogowych.
Konfigurowanie sieci VPN w usłudze ATA
Usługa ATA zbiera dane sieci VPN i określa, kiedy i gdzie poświadczenia są używane za pośrednictwem sieci VPN oraz integruje te dane z badaniem. Zapewnia to dodatkowe informacje ułatwiające badanie alertów zgłaszanych przez usługę ATA.
Aby skonfigurować dane sieci VPN w usłudze ATA:
W konsoli usługi ATA otwórz stronę Konfiguracja usługi ATA i przejdź do sieci VPN.
Włącz usługę Radius Accounting i wpisz klucz tajny udostępniony skonfigurowany wcześniej na serwerze sieci VPN usługi RRAS. Następnie kliknij przycisk Zapisz.
Po włączeniu tej opcji wszystkie bramy usługi ATA i uproszczone bramy nasłuchują na porcie 1813 zdarzeń księgowych usługi RADIUS.
Konfiguracja została ukończona i na stronie profilu użytkowników można teraz zobaczyć aktywność sieci VPN:
Po odebraniu zdarzeń sieci VPN przez bramę usługi ATA i wysłaniu ich do centrum usługi ATA w celu przetworzenia centrum usługi ATA musi uzyskać dostęp do ti.ata.azure.com przy użyciu protokołu HTTPS (port 443), aby móc rozpoznawać zewnętrzne adresy IP w zdarzeniach sieci VPN do ich lokalizacji geograficznej.