Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Cet article vous fournit une feuille de route de préparation qui vous aide à bien démarrer avec Advanced Threat Analytics.
Présentation d’ATA
Advanced Threat Analytics (ATA) est une plateforme locale qui permet de protéger votre entreprise contre plusieurs types de cyberattaques ciblées avancées et de menaces internes. Utilisez les ressources suivantes pour en savoir plus sur ATA :
Décisions de déploiement
ATA se compose du centre ATA, que vous pouvez installer sur un serveur, et des passerelles ATA, que vous pouvez installer sur des ordinateurs distincts ou en utilisant la passerelle légère directement sur vos contrôleurs de domaine. Avant d’être opérationnel, il est important de prendre les décisions de déploiement suivantes :
| Configuration | Decision |
|---|---|
| Type de matériel | Machine virtuelle physique, virtuelle, machine virtuelle Azure |
| Groupe de travail ou domaine | Groupe de travail, domaine |
| Dimensionnement de la passerelle | Passerelle complète, passerelle légère |
| Certificats | PKI, auto-signé |
Si vous utilisez des serveurs physiques, vous devez planifier la capacité. Vous pouvez obtenir de l’aide de l’outil de dimensionnement pour allouer de l’espace pour ATA :
Outil de dimensionnement ATA : l’outil de dimensionnement automatise la collecte de la quantité de trafic dont ATA a besoin. Il fournit automatiquement des recommandations de prise en charge et de ressources pour le centre ATA et les passerelles légères ATA.
Planification de la capacité ATA
Déployer ATA
Ces ressources vous aident à télécharger et à installer le centre ATA, à vous connecter à Active Directory, à télécharger le package de passerelle ATA, à configurer la collecte d’événements et éventuellement à intégrer à votre VPN et à configurer des comptes honeytoken et des exclusions.
Playbook POC ATA : guide de toutes les étapes nécessaires pour effectuer un déploiement POC réussi d’ATA.
Paramètres ATA
Les paramètres de base nécessaires dans ATA sont configurés dans le cadre de l’Assistant Installation. Toutefois, il existe de nombreux autres paramètres que vous pouvez configurer pour affiner ATA, ce qui rend les détections plus précises pour votre environnement, comme les paramètres d’intégration SIEM et d’audit.
Paramètres d’audit : auditez l’intégrité de votre contrôleur de domaine avant et après un déploiement ATA.
Utiliser ATA
Une fois ATA opérationnel, vous pouvez afficher les activités suspectes détectées dans le chronologie d’attaque. Il s’agit de la page d’accueil par défaut vers laquelle vous accédez lorsque vous vous connectez à la console ATA. Par défaut, toutes les activités suspectes ouvertes sont affichées sur la ligne de temps d’attaque. Vous pouvez également voir la gravité affectée à chaque activité. Examinez chaque activité suspecte en explorant les entités (ordinateurs, appareils, utilisateurs) pour ouvrir leurs pages de profil qui fournissent plus d’informations. Ces ressources vous aident à travailler avec les activités suspectes d’ATA :
Playbook ATA sur les activités suspectes : cet article vous guide dans les techniques d’attaque de vol d’informations d’identification à l’aide d’outils de recherche disponibles sur Internet. À chaque point de l’attaque, vous pouvez voir comment ATA vous aide à obtenir une visibilité sur ces menaces.
Guide des activités suspectes ATA
Meilleures pratiques en matière de sécurité
Bonnes pratiques ATA : meilleures pratiques pour la sécurisation d’ATA.
Forum aux questions ATA : cet article fournit une liste de questions fréquemment posées sur ATA et fournit des informations et des réponses.