Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Schritt 8: Konfigurieren von IP-Adressausschlüssen und Honeytoken-Benutzern
ATA ermöglicht den Ausschluss bestimmter IP-Adressen oder Benutzer von vielen Erkennungen.
Ein DNS-Reconnaissance-Ausschluss könnte beispielsweise ein Sicherheitsscanner sein, der DNS als Scanmechanismus verwendet. Der Ausschluss hilft ATA, solche Scanner zu ignorieren. Ein Beispiel für einen Pass-the-Ticket-Ausschluss ist ein NAT-Gerät .
ATA ermöglicht auch die Konfiguration eines Honeytoken-Benutzers, der als Falle für böswillige Akteure verwendet wird - jede Authentifizierung, die diesem (normalerweise ruhenden) Konto zugeordnet ist, löst eine Warnung aus.
Führen Sie die folgenden Schritte aus, um dies zu konfigurieren:
Wählen Sie in der ATA-Konsole das Symbol "Einstellungen" aus, und wählen Sie "Konfiguration" aus.
Wählen Sie unter "Erkennung" die Option "Entitätstags" aus.
Geben Sie unter Honeytoken-Konten den Namen des Honeytoken-Kontos ein. Das Feld "Honeytoken-Konten" ist durchsuchbar und zeigt automatisch Entitäten in Ihrem Netzwerk an.
Wählen Sie "Ausschlüsse" aus. Geben Sie für jeden Bedrohungstyp ein Benutzerkonto oder eine IP-Adresse ein, das von der Erkennung dieser Bedrohungen ausgeschlossen werden soll, und wählen Sie das Pluszeichen aus. Das Feld "Entität hinzufügen " (Benutzer oder Computer) ist durchsuchbar und füllt automatisch Entitäten in Ihrem Netzwerk aus. Weitere Informationen finden Sie unter Ausschließen von Entitäten von Erkennungen
Wählen Sie Speichern.
Herzlichen Glückwunsch, Sie haben erfolgreich Microsoft Advanced Threat Analytics bereitgestellt!
Überprüfen Sie die Angriffszeitlinie, um erkannte verdächtige Aktivitäten anzuzeigen und nach Benutzern oder Computern zu suchen und ihre Profile anzuzeigen.
ATA beginnt sofort nach verdächtigen Aktivitäten zu suchen. Einige Aktivitäten, z. B. einige der verdächtigen Verhaltensaktivitäten, sind erst verfügbar, wenn ATA Zeit hatte, Verhaltensprofile zu erstellen (mindestens drei Wochen).
Um zu überprüfen, ob ATA in Ihrem Netzwerk aktiv ist und Verstöße abfangen kann, können Sie das ATA-Angriffssimulations-Playbook auschecken.