Installer ATA - Étape 7
S’applique à : Advanced Threat Analytics version 1.9
Étape 7 : intégrer UN VPN
Microsoft Advanced Threat Analytics (ATA) version 1.8 et ultérieure peut collecter des informations comptables à partir de solutions VPN. Lorsqu'elle est configurée, la page de profil de l'utilisateur comprend des informations sur les connexions VPN, telles que les adresses IP et les emplacements d'origine des connexions. Cela complète le processus d'examen en fournissant des informations supplémentaires sur l'activité des utilisateurs. L’appel pour résoudre une adresse IP externe vers un emplacement est anonyme. Aucun identifiant personnel n’est envoyé dans cet appel.
ATA s’intègre à votre solution VPN en écoutant les événements de comptabilité RADIUS transférés aux passerelles ATA. Ce mécanisme est basé sur RADIUS Accounting standard (RFC 2866) et les fournisseurs de VPN suivants sont pris en charge :
- Microsoft
- F5
- Cisco ASA
Important
Depuis septembre 2019, le service de géolocalisation VPN Advanced Threat Analytics chargé de détecter les emplacements VPN prend désormais exclusivement en charge TLS 1.2. Vérifiez que votre Centre ATA est configuré pour prendre en charge TLS 1.2, car les versions 1.1 et 1.0 ne sont plus prises en charge.
Prérequis
Pour activer l’intégration VPN, veillez à définir les paramètres suivants :
Ouvrir le port UDP 1813 sur vos passerelles ATA et vos passerelles légères ATA.
Le Centre ATA doit pouvoir accéder à ti.ata.azure.com à l’aide du protocole HTTPS (port 443) afin qu’il puisse interroger l’emplacement des adresses IP entrantes.
L'exemple ci-dessous utilise Microsoft Routing and Remote Access Server (RRAS) pour décrire le processus de configuration du VPN.
Si vous utilisez une solution VPN tierce, consultez leur documentation pour obtenir des instructions sur la manière d’activer RADIUS Accounting.
Configurer RADIUS Accounting sur le système VPN
Effectuez les opérations suivantes sur le serveur RRAS.
Ouvrir la console Routage et accès à distance.
Cliquez avec le bouton droit sur le nom du serveur, puis sélectionnez Propriétés.
Sous l’onglet Sécurité, sous Fournisseur de gestion de comptes, sélectionner RADIUS Accounting, puis cliquer sur Configurer.
Dans la fenêtre Ajouter un serveur RADIUS, saisir le nom du serveur de la passerelle ATA la plus proche ou de la passerelle légère ATA. Sous Port, vérifiez que la valeur par défaut 1813 est configurée. Cliquer sur Modifier et saisir une nouvelle chaîne de secrets partagés de caractères alphanumériques que vous pouvez mémoriser. Vous devez le remplir ultérieurement dans votre configuration ATA. Cocher la case Envoyer les messages d'activation et de désactivation du compte RADIUS, puis cliquer sur OK dans toutes les zones de dialogue ouvertes.
Configurer un VPN dans ATA
ATA collecte les données VPN et identifie quand et où les identifiants sont utilisés via VPN et intègre ces données dans votre examen. Cela fournit des informations supplémentaires pour vous aider à examiner les alertes signalées par ATA.
Pour configurer des données VPN dans ATA :
Dans la console ATA, ouvrir la page Configuration ATA et accédez au VPN.
Activer Radius Accounting et saisir le Secret Partagé que vous avez configuré précédemment sur votre serveur VPN RRAS. Ensuite, cliquez sur Enregistrer.
Une fois cette option activée, toutes les passerelles ATA et les passerelles légères écoutent sur le port 1813 pour les événements comptables RADIUS.
Votre installation est terminée et vous pouvez maintenant voir l’activité VPN dans la page de profil des utilisateurs :
Une fois que la passerelle ATA reçoit les événements VPN et les envoie au Centre ATA pour traitement, le Centre ATA doit accéder à ti.ata.azure.com à l’aide du protocole HTTPS (port 443) pour pouvoir résoudre les adresses IP externes dans les événements VPN vers leur localisation géographique.