安裝 ATA - 步驟 8
適用于:進階威脅分析 1.9 版
步驟 8。 設定 IP 位址排除專案和 Honeytoken 使用者
ATA 可讓您排除特定 IP 位址或使用者從許多偵測。
例如, DNS 偵察排除 可能是使用 DNS 作為掃描機制的安全性掃描器。 排除有助於 ATA 忽略這類掃描器。 傳遞票證 排除的 範例是 NAT 裝置。
ATA 也啟用 Honeytoken 使用者的設定,該使用者可作為惡意動作專案的陷阱-與此帳戶相關聯的任何驗證會觸發警示。
若要進行此設定,請遵循下列步驟:
從 ATA 主控台按一下設定圖示,然後選取 [ 設定 ]。
在 [偵測] 底下 ,按一下 [ 實體標籤 ]。
在 Honeytoken 帳戶 下 ,輸入 Honeytoken 帳戶名稱。 Honeytoken 帳戶欄位可搜尋,並會自動在您的網路中顯示實體。
按一下 [ 排除專案 ]。 針對每種威脅類型,輸入要從這些威脅偵測中排除的使用者帳戶或 IP 位址,然後按一下 加 號。 [ 新增實體 (使用者或電腦)] 欄位是可搜尋的,而且會自動填入您網路中實體。 如需詳細資訊,請參閱 從偵測中排除實體
按一下 [檔案] 。
恭喜,您已成功部署 Microsoft Advanced Threat Analytics!
檢查攻擊時間表以檢視偵測到的可疑活動,並搜尋使用者或電腦並檢視其設定檔。
ATA 會立即開始掃描可疑活動。 有些活動,例如某些可疑的行為活動,直到 ATA 有時間建立行為設定檔(至少三周)才能使用。
若要檢查 ATA 是否已啟動並執行並攔截網路中的缺口,您可以查看 ATA 攻擊模擬劇本 。