Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Étape 8 : Configurer les exclusions d’adresses IP et l’utilisateur Honeytoken
ATA permet l’exclusion d’adresses IP spécifiques ou d’utilisateurs de nombreuses détections.
Par exemple, une exclusion de reconnaissance DNS peut être un outil de sécurité qui utilise le DNS comme mécanisme de balayage. L’exclusion aide ATA à ignorer ces scanneurs. Un exemple d’exclusion Pass-the-Ticket est un appareil NAT.
ATA permet également la configuration d’un utilisateur Honeytoken, qui est utilisé comme piège pour les acteurs malveillants , toute authentification associée à ce compte (normalement dormant) déclenche une alerte.
Pour configurer cela, procédez comme suit :
Dans la console ATA, sélectionnez l’icône paramètres, puis sélectionnez Configuration.
Sous Détection, sélectionnez Balises d’entité.
Sous les comptes Honeytoken , entrez le nom du compte Honeytoken. Le champ comptes Honeytoken peut faire l’objet d’une recherche et affiche automatiquement des entités dans votre réseau.
Sélectionnez Exclusions. Pour chaque type de menace, entrez un compte d’utilisateur ou une adresse IP à exclure de la détection de ces menaces et sélectionnez le signe plus . Le champ Ajouter une entité (utilisateur ou ordinateur) peut faire l’objet d’une recherche et remplit automatiquement les entités de votre réseau. Pour plus d’informations, consultez Exclusion d’entités des détections
Cliquez sur Enregistrer.
Félicitations, vous avez correctement déployé Microsoft Advanced Threat Analytics !
Vérifiez la ligne de temps d’attaque pour afficher les activités suspectes détectées et rechercher des utilisateurs ou des ordinateurs et afficher leurs profils.
ATA commence à analyser immédiatement les activités suspectes. Certaines activités, telles que certaines des activités suspectes de comportement, ne sont pas disponibles tant qu’ATA n’a pas eu le temps de créer des profils comportementaux (au minimum trois semaines).
Pour vérifier que ATA est opérationnel et intercepte les violations dans votre réseau, vous pouvez consulter le playbook de simulation d’attaque ATA.