ATA'yi Yükleme - 8. Adım
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
8. Adım: IP adresi dışlamalarını ve Honeytoken kullanıcılarını yapılandırma
ATA, belirli IP adreslerinin veya kullanıcıların bir dizi algılamadan dışlanmasını sağlar.
Örneğin, DNS Keşfi dışlaması, tarama mekanizması olarak DNS kullanan bir güvenlik tarayıcısı olabilir. Dışlama, ATA'nın bu tür tarayıcıları yoksaymalarına yardımcı olur. Anahtar Geçişi dışlama işlemine örnek olarak NAT cihazı yer alır.
ATA, kötü amaçlı aktörler için tuzak olarak kullanılan Honeytoken kullanıcısının yapılandırılmasını da sağlar. Bu (normalde uykuda olmayan) hesapla ilişkili tüm kimlik doğrulamaları bir uyarı tetikler.
Bunu yapılandırmak için şu adımları izleyin:
ATA Konsolu'ndan ayarlar simgesine tıklayın ve Yapılandırma'yı seçin.
Algılama'nın altında Varlık etiketleri'ne tıklayın.
Honeytoken hesapları'nın altında Honeytoken hesap adını girin. Honeytoken hesapları alanı aranabilir ve ağınızdaki varlıkları otomatik olarak görüntüler.
Dışlamalar'a tıklayın. Her tehdit türü için, bu tehditlerin algılanmasından dışlanacak bir kullanıcı hesabı veya IP adresi girin ve artı işaretine tıklayın. Varlık ekle (kullanıcı veya bilgisayar) alanı aranabilir ve ağınızdaki varlıklarla otomatik olarak doldurulur. Daha fazla bilgi için bkz . Varlıkları algılamalardan dışlama
Kaydet'e tıklayın.
Tebrikler, Microsoft Advanced Threat Analytics'i başarıyla dağıttınız!
Algılanan şüpheli etkinlikleri görüntülemek ve kullanıcıları veya bilgisayarları aramak ve profillerini görüntülemek için saldırı zaman çizgisini denetleyin.
ATA, şüpheli etkinlikleri hemen taramaya başlar. BAZı şüpheli davranış etkinlikleri gibi bazı etkinlikler, ATA'nın davranış profilleri oluşturmak için zamanı olana kadar (en az üç hafta) kullanılamaz.
ATA'nın çalışır durumda olup olmadığını denetlemek ve ağınızdaki ihlalleri yakalamak için ATA saldırı simülasyonu playbook'unu gözden geçirin.