Compartir a través de

Instalación de ATA: paso 8

  • Artículo

Se aplica a: Advanced Threat Analytics versión 1.9

« Paso 7Paso 9 »

Paso 8. Configuración de exclusiones de direcciones IP y usuario de Honeytoken

ATA permite la exclusión de direcciones IP o usuarios específicos de una serie de detecciones.

Por ejemplo, una exclusión de reconocimiento de DNS podría ser un detector de seguridad que usa DNS como mecanismo de examen. La exclusión ayuda a ATA a omitir estos detectores. Un ejemplo de exclusión pass-the-ticket es un dispositivo NAT.

ATA también habilita la configuración de un usuario de Honeytoken, que se usa como trampa para actores malintencionados: cualquier autenticación asociada a esta cuenta (normalmente inactiva) desencadena una alerta.

Para configurar esto, siga estos pasos:

  1. En la consola de ATA, haga clic en el icono de configuración y seleccione Configuración.

    ATA configuration settings.

  2. En Detección, haga clic en Etiquetas de entidad.

  3. En Cuentas de Honeytoken, escriba el nombre de la cuenta de Honeytoken. El campo Cuentas de Honeytoken se puede buscar y muestra automáticamente entidades en la red.

    Screenshot showing Honeytoken account name entry.

  4. Haga clic en Exclusiones. Para cada tipo de amenaza, escriba una cuenta de usuario o una dirección IP que se excluirán de la detección de estas amenazas y haga clic en el signo más. El campo Agregar entidad (usuario o equipo) se puede buscar y se rellenará automáticamente con entidades de la red. Para obtener más información, consulte Exclusión de entidades de detecciones

    Screenshot showing exclusion of entities from detection.

  5. Haga clic en Save(Guardar).

Enhorabuena, ha implementado correctamente Microsoft Advanced Threat Analytics.

Compruebe la línea de tiempo del ataque para ver las actividades sospechosas detectadas y busque usuarios o equipos y vea sus perfiles.

ATA inicia el examen de actividades sospechosas inmediatamente. Algunas actividades, como algunas de las actividades de comportamiento sospechosas, no están disponibles hasta que ATA ha tenido tiempo para crear perfiles de comportamiento (mínimo de tres semanas).

Para comprobar que ATA está en funcionamiento y detecta infracciones en la red, puede consultar el cuaderno de estrategias de simulación de ataques de ATA.

« Paso 7Paso 9 »

Consulte también