ATA のインストール - 手順 8

適用対象: Advanced Threat Analytics バージョン 1.9

手順 8: IP アドレスの除外と Honeytoken ユーザーを構成する

ATA を使用すると、特定の IP アドレスまたはユーザーを多数の検出から除外できます。

たとえば、 DNS 偵察の除外 は、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーである可能性があります。 この除外は、ATA がこのようなスキャナーを無視するのに役立ちます。 Pass-the-Ticket の除外の例として、NAT デバイスがあります。

ATA では、悪意のあるアクターのトラップとして使用される Honeytoken ユーザーの構成も有効になります。この (通常は休止状態の) アカウントに関連付けられている認証によってアラートがトリガーされます。

これを構成するには、次の手順に従います。

1. ATA コンソールで、設定アイコンをクリックし、[構成] を選択 します。

   

2. [ 検出] で、[ エンティティ タグ] をクリックします。

3. [ Honeytoken アカウント] に、 Honeytoken アカウント名を入力します。 [Honeytoken アカウント] フィールドは検索可能であり、ネットワーク内のエンティティが自動的に表示されます。

   

4. [ 除外] をクリックします。 脅威の種類ごとに、これらの脅威の検出から除外するユーザー アカウントまたは IP アドレスを入力し、 プラス 記号をクリックします。 [ エンティティの追加 (ユーザーまたはコンピューター)] フィールドは検索可能であり、ネットワーク内のエンティティでオートフィルされます。 詳細については、「検出からのエンティティの除外」を参照してください。

   

5. [保存] をクリックします。

これで、Microsoft Advanced Threat Analyticsが正常にデプロイされました。

攻撃のタイム ラインを確認して、検出された疑わしいアクティビティを表示し、ユーザーまたはコンピューターを検索し、プロファイルを表示します。

ATA は、疑わしいアクティビティのスキャンをすぐに開始します。 不審な動作アクティビティなど、一部のアクティビティは、ATA で動作プロファイルを構築する時間 (最低 3 週間) が経過するまで使用できません。

ATA が稼働しており、ネットワーク内の侵害をキャッチしていることをチェックするには、ATA 攻撃シミュレーションプレイブックをチェックします。

関連項目

• ATA POC デプロイ ガイド
• ATA サイズ設定ツール
• ATA フォーラムをご覧ください。
• イベント収集を構成する
• ATA の前提条件