Partilhar via

Instalar o ATA – Passo 8

Aplica-se a: Advanced Threat Analytics versão 1.9

« Passo 7Passo 9 »

Passo 8: Configurar exclusões de endereços IP e utilizador honeytoken

O ATA permite a exclusão de endereços IP ou utilizadores específicos de muitas deteções.

Por exemplo, uma exclusão de Reconhecimento de DNS pode ser um detetor de segurança que utiliza o DNS como um mecanismo de análise. A exclusão ajuda o ATA a ignorar esses scanners. Um exemplo de uma exclusão Pass-the-Ticket é um dispositivo NAT.

O ATA também permite a configuração de um utilizador Honeytoken, que é utilizado como uma armadilha para atores maliciosos – qualquer autenticação associada a esta conta (normalmente inativa) aciona um alerta.

Para configurar isto, siga estes passos:

  1. Na ATA Console, selecione no ícone de definições e selecione Configuração.

    Definições de configuração do ATA.

  2. Em Deteção, selecione Etiquetas de entidade.

  3. Em Contas Honeytoken , introduza o nome da conta Honeytoken. O campo Contas Honeytoken é pesquisável e apresenta automaticamente entidades na sua rede.

    Captura de ecrã a mostrar a entrada de nome da conta Honeytoken.

  4. Selecione Exclusões. Para cada tipo de ameaça, introduza uma conta de utilizador ou endereço IP para ser excluído da deteção destas ameaças e selecione o sinal de adição . O campo Adicionar entidade (utilizador ou computador) é pesquisável e é preenchido automaticamente com entidades na sua rede. Para obter mais informações, veja Excluir entidades de deteções

    Captura de ecrã a mostrar a exclusão de entidades da deteção.

  5. Seleccione Guardar.

Parabéns, implementou com êxito Análise Avançada de Ameaças da Microsoft!

Verifique a linha temporal do ataque para ver as atividades suspeitas detetadas e procure utilizadores ou computadores e veja os respetivos perfis.

O ATA começa imediatamente a procurar atividades suspeitas. Algumas atividades, como algumas das atividades de comportamento suspeito, não estão disponíveis até que o ATA tenha tido tempo para criar perfis comportamentais (no mínimo, três semanas).

Para verificar se o ATA está a funcionar e a detetar falhas na sua rede, pode consultar o manual de procedimentos de simulação de ataques do ATA.

« Passo 7Passo 9 »

Consulte também

  • Last updated on