Menginstal ATA - Langkah 8
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Langkah 8. Mengonfigurasi pengecualian alamat IP dan pengguna Honeytoken
ATA memungkinkan pengecualian alamat IP atau pengguna tertentu dari sejumlah deteksi.
Misalnya, pengecualian Pengintaian DNS bisa menjadi pemindai keamanan yang menggunakan DNS sebagai mekanisme pemindaian. Pengecualian membantu ATA mengabaikan pemindai tersebut. Contoh pengecualian Pass-the-Ticket adalah perangkat NAT.
ATA juga memungkinkan konfigurasi pengguna Honeytoken, yang digunakan sebagai perangkap untuk aktor jahat - autentikasi apa pun yang terkait dengan akun ini (biasanya tidak aktif) memicu pemberitahuan.
Untuk mengonfigurasi ini, ikuti langkah-langkah berikut:
Dari Konsol ATA, klik ikon pengaturan dan pilih Konfigurasi.
Di bawah Deteksi, klik Tag entitas.
Di bawah akun Honeytoken masukkan nama akun Honeytoken. Bidang akun Honeytoken dapat dicari dan secara otomatis menampilkan entitas di jaringan Anda.
Klik Pengecualian. Untuk setiap jenis ancaman, masukkan akun pengguna atau alamat IP yang akan dikecualikan dari deteksi ancaman ini dan klik tanda plus . Bidang Tambahkan entitas (pengguna atau komputer) dapat dicari dan akan mengisi otomatis dengan entitas di jaringan Anda. Untuk informasi selengkapnya, lihat Mengecualikan entitas dari deteksi
Klik Simpan.
Selamat, Anda telah berhasil menyebarkan Microsoft Advanced Threat Analytics!
Periksa garis waktu serangan untuk melihat aktivitas mencurigakan yang terdeteksi dan mencari pengguna atau komputer dan melihat profil mereka.
ATA mulai memindai aktivitas mencurigakan segera. Beberapa aktivitas, seperti beberapa aktivitas perilaku mencurigakan, tidak tersedia sampai ATA memiliki waktu untuk membangun profil perilaku (minimal tiga minggu).
Untuk memeriksa apakah ATA aktif dan menjalankan serta menangkap pelanggaran di jaringan Anda, Anda dapat memeriksa playbook simulasi serangan ATA.