Установка ATA — шаг 8
Область применения: Advanced Threat Analytics версии 1.9
Шаг 8. Настройка исключений IP-адресов и пользователя Honeytoken
ATA позволяет исключить определенные IP-адреса или пользователей из ряда обнаружений.
Например, исключение dns Reconnaissance может быть сканером безопасности, который использует DNS в качестве механизма сканирования. Исключение помогает ATA игнорировать такие сканеры. Примером исключения pass-the-Ticket является устройство NAT.
ATA также позволяет настроить пользователя Honeytoken, который используется в качестве ловушки для злоумышленников. Любая проверка подлинности, связанная с этой (обычно неактивной) учетной записью, активирует оповещение.
Чтобы настроить эту функцию, выполните следующие действия.
В консоли ATA щелкните значок параметров и выберите Конфигурация.
В разделе Обнаружение щелкните Теги сущностей.
В разделе Учетные записи Honeytoken введите имя учетной записи Honeytoken. Поле Учетные записи Honeytoken доступно для поиска и автоматически отображает сущности в сети.
Щелкните Исключения. Для каждого типа угрозы введите учетную запись пользователя или IP-адрес, которые будут исключены из обнаружения этих угроз, и щелкните знак "плюс ". Поле Добавление сущности (пользователя или компьютера) доступно для поиска и будет автоматически заполнено сущностями в сети. Дополнительные сведения см. в разделе Исключение сущностей из обнаружения.
Нажмите кнопку Сохранить.
Поздравляем, вы успешно развернули Microsoft Advanced Threat Analytics!
Проверьте строку времени атаки, чтобы просмотреть обнаруженные подозрительные действия, найти пользователей или компьютеры и просмотреть их профили.
ATA немедленно начинает проверку на наличие подозрительных действий. Некоторые действия, такие как некоторые действия подозрительного поведения, недоступны до тех пор, пока ATA не успеет создать профили поведения (не менее трех недель).
Чтобы проверка, что ATA работает и перехватывает нарушения в сети, можно проверка сборник схем моделирования атак ATA.