Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Schritt 8: Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern
ATA ermöglicht den Ausschluss bestimmter IP-Adressen oder Benutzer von vielen Erkennungen.
Ein Dns Reconnaissance-Ausschluss kann beispielsweise ein Sicherheitsscanner sein, der DNS als Überprüfungsmechanismus verwendet. Der Ausschluss hilft ATA dabei, solche Scanner zu ignorieren. Ein Beispiel für einen Pass-the-Ticket-Ausschluss ist ein NAT-Gerät .
ATA ermöglicht auch die Konfiguration eines Honeytoken-Benutzers, der als Falle für böswillige Akteure verwendet wird – jede Authentifizierung, die mit diesem (normalerweise ruhenden) Konto verbunden ist, löst eine Warnung aus.
Führen Sie die folgenden Schritte aus, um dies zu konfigurieren:
Wählen Sie in der ATA-Konsole das Einstellungssymbol und dann Konfiguration aus.
Wählen Sie unter Erkennungdie Option Entitätstags aus.
Geben Sie unter Honeytoken-Konten den Namen des Honeytoken-Kontos ein. Das Feld Honeytoken-Konten ist durchsuchbar und zeigt automatisch Entitäten in Ihrem Netzwerk an.
Wählen Sie Ausschlüsse aus. Geben Sie für jeden Bedrohungstyp ein Benutzerkonto oder eine IP-Adresse ein, das bzw. die von der Erkennung dieser Bedrohungen ausgeschlossen werden soll, und wählen Sie das Pluszeichen aus. Das Feld Entität hinzufügen (Benutzer oder Computer) kann durchsucht werden und wird automatisch mit Entitäten in Ihrem Netzwerk gefüllt. Weitere Informationen finden Sie unter Ausschließen von Entitäten von Erkennungen.
Klicken Sie auf Speichern.
Herzlichen Glückwunsch, Sie haben erfolgreich Microsoft Advanced Threat Analytics bereitgestellt!
Überprüfen Sie die Angriffszeitlinie, um erkannte verdächtige Aktivitäten anzuzeigen, nach Benutzern oder Computern zu suchen und deren Profile anzuzeigen.
ATA beginnt sofort mit der Suche nach verdächtigen Aktivitäten. Einige Aktivitäten, z. B. einige aktivitäten mit verdächtigem Verhalten, sind erst verfügbar, wenn ATA Zeit zum Erstellen von Verhaltensprofilen hatte (mindestens drei Wochen).
Um zu überprüfen, ob ATA ausgeführt wird und Sicherheitsverletzungen in Ihrem Netzwerk abfangen, können Sie sich das Playbook ATA-Angriffssimulation ansehen.