ATA installeren - Stap 8
Van toepassing op: Advanced Threat Analytics versie 1.9
Stap 8. IP-adresuitsluitingen en Honeytoken-gebruiker configureren
ATA maakt het mogelijk om specifieke IP-adressen of gebruikers uit een aantal detecties uit te sluiten.
Een uitsluiting van DNS-reconnaissance kan bijvoorbeeld een beveiligingsscanner zijn die DNS gebruikt als scanmechanisme. De uitsluiting helpt ATA dergelijke scanners te negeren. Een voorbeeld van een uitsluiting van Pass-the-Ticket is een NAT-apparaat.
ATA maakt ook de configuratie mogelijk van een Honeytoken-gebruiker, die wordt gebruikt als een val voor kwaadwillende actoren. Elke verificatie die is gekoppeld aan dit (normaal niet-actieve) account activeert een waarschuwing.
Volg deze stappen om dit te configureren:
Klik in de ATA Console op het instellingenpictogram en selecteer Configuratie.
Klik onder Detectie op Entiteitstags.
Voer onder Honeytoken-accounts de naam van het Honeytoken-account in. Het veld Honeytoken-accounts is doorzoekbaar en geeft automatisch entiteiten weer in uw netwerk.
Klik op Uitsluitingen. Voer voor elk type bedreiging een gebruikersaccount of IP-adres in dat moet worden uitgesloten van de detectie van deze bedreigingen en klik op het plusteken . Het veld Entiteit toevoegen (gebruiker of computer) kan worden doorzocht en wordt automatisch ingevuld met entiteiten in uw netwerk. Zie Entiteiten uitsluiten van detecties voor meer informatie
Klik op Opslaan.
Gefeliciteerd, u hebt Microsoft Advanced Threat Analytics geïmplementeerd.
Controleer de aanvalstijdlijn om gedetecteerde verdachte activiteiten weer te geven en zoek naar gebruikers of computers en bekijk hun profielen.
ATA begint onmiddellijk te scannen op verdachte activiteiten. Sommige activiteiten, zoals sommige verdachte gedragsactiviteiten, zijn pas beschikbaar als ATA tijd heeft gehad om gedragsprofielen te bouwen (minimaal drie weken).
Als u wilt controleren of ATA actief is en schendingen in uw netwerk onderscheppen, kunt u het ATA-playbook voor aanvalssimulatie bekijken.