Megosztás a következőn keresztül:

Az ATA telepítése – 8. lépés

  • Cikk

A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió

« 7. lépés 9. lépés »

8. lépés IP-címkizárások és Honeytoken-felhasználó konfigurálása

Az ATA lehetővé teszi bizonyos IP-címek vagy felhasználók kizárását számos észlelésből.

A DNS felderítési kizárása lehet például egy biztonsági szkenner, amely a DNS-t használja vizsgálati mechanizmusként. A kizárás segít az ATA-nak figyelmen kívül hagyni az ilyen képolvasókat. A Pass-the-Ticket kizárására példa egy NAT-eszköz.

Az ATA lehetővé teszi egy Honeytoken-felhasználó konfigurálását is, amelyet a rosszindulatú szereplők csapdaként használnak – az ehhez a (általában alvó) fiókhoz társított hitelesítés riasztást aktivál.

Ennek konfigurálásához kövesse az alábbi lépéseket:

  1. Az ATA-konzolon kattintson a beállítások ikonra, és válassza a Konfiguráció lehetőséget.

    ATA configuration settings.

  2. Az Észlelés csoportban kattintson az Entitáscímkék elemre.

  3. A Honeytoken-fiókok területen adja meg a Honeytoken-fiók nevét. A Honeytoken-fiókok mező kereshető, és automatikusan megjeleníti a hálózat entitásait.

    Screenshot showing Honeytoken account name entry.

  4. Kattintson a Kizárások elemre. Minden fenyegetéstípushoz adjon meg egy felhasználói fiókot vagy IP-címet, amelyet ki szeretne zárni a fenyegetések észleléséből, és kattintson a pluszjelre . Az Entitás hozzáadása (felhasználó vagy számítógép) mező kereshető, és automatikusan kitölti a hálózat entitásait. További információ: Entitások kizárása az észlelésekből

    Screenshot showing exclusion of entities from detection.

  5. Kattintson a Mentés gombra.

Gratulálunk, sikeresen üzembe helyezte a Microsoft Advanced Threat Analyticset!

Ellenőrizze a támadási idősort az észlelt gyanús tevékenységek megtekintéséhez, a felhasználók vagy számítógépek kereséséhez és a profiljaik megtekintéséhez.

Az ATA azonnal megkezdi a gyanús tevékenységek keresését. Egyes tevékenységek, például a gyanús viselkedési tevékenységek egy része nem érhető el, amíg az ATA-nak nem volt ideje viselkedési profilok létrehozására (legalább három hét).

Ha ellenőrizni szeretné, hogy az ATA működik-e, és észleli-e a hálózatban a biztonsági réseket, tekintse meg az ATA támadásszimulációs forgatókönyvét.

« 7. lépés 9. lépés »

Kapcsolódó információk