Auf Englisch lesen

Freigeben über


Installieren von ATA – Schritt 8

Gilt für: Advanced Threat Analytics Version 1.9

Schritt 8: Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern

ATA ermöglicht den Ausschluss bestimmter IP-Adressen oder Benutzer von einer Reihe von Erkennungen.

Ein Dns Reconnaissance-Ausschluss kann beispielsweise ein Sicherheitsscanner sein, der DNS als Überprüfungsmechanismus verwendet. Der Ausschluss hilft ATA dabei, solche Scanner zu ignorieren. Ein Beispiel für einen Pass-the-Ticket-Ausschluss ist ein NAT-Gerät .

ATA ermöglicht auch die Konfiguration eines Honeytoken-Benutzers, der als Falle für böswillige Akteure verwendet wird – jede Authentifizierung, die mit diesem (normalerweise ruhenden) Konto verbunden ist, löst eine Warnung aus.

Führen Sie die folgenden Schritte aus, um dies zu konfigurieren:

  1. Klicken Sie in der ATA-Konsole auf das Einstellungssymbol, und wählen Sie Konfiguration aus.

    ATA-Konfigurationseinstellungen.

  2. Klicken Sie unter Erkennung auf Entitätstags.

  3. Geben Sie unter Honeytoken-Konten den Namen des Honeytoken-Kontos ein. Das Feld Honeytoken-Konten ist durchsuchbar und zeigt automatisch Entitäten in Ihrem Netzwerk an.

    Screenshot: Eintrag

  4. Klicken Sie auf Ausschlüsse. Geben Sie für jeden Bedrohungstyp ein Benutzerkonto oder eine IP-Adresse ein, das bzw. die von der Erkennung dieser Bedrohungen ausgeschlossen werden soll, und klicken Sie auf das Pluszeichen . Das Feld Entität hinzufügen (Benutzer oder Computer) kann durchsucht werden und wird automatisch mit Entitäten in Ihrem Netzwerk ausgefüllt. Weitere Informationen finden Sie unter Ausschließen von Entitäten von Erkennungen.

    Screenshot: Ausschluss von Entitäten von der Erkennung

  5. Klicken Sie auf Speichern.

Herzlichen Glückwunsch, Sie haben erfolgreich Microsoft Advanced Threat Analytics bereitgestellt!

Überprüfen Sie die Angriffszeitlinie, um erkannte verdächtige Aktivitäten anzuzeigen, nach Benutzern oder Computern zu suchen und deren Profile anzuzeigen.

ATA beginnt sofort mit der Suche nach verdächtigen Aktivitäten. Einige Aktivitäten, z. B. einige der Aktivitäten für verdächtiges Verhalten, sind erst verfügbar, wenn ATA Zeit zum Erstellen von Verhaltensprofilen hatte (mindestens drei Wochen).

Um zu überprüfen, ob ATA ausgeführt wird und Sicherheitsverletzungen in Ihrem Netzwerk abfangen, können Sie sich das Playbook ATA-Angriffssimulation ansehen.

Siehe auch