Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Étape 7 : Intégrer UN VPN
Microsoft Advanced Threat Analytics (ATA) version 1.8 et ultérieure peuvent collecter des informations de comptabilité à partir de solutions VPN. Lorsqu’elle est configurée, la page de profil de l’utilisateur inclut des informations à partir des connexions VPN, telles que les adresses IP et les emplacements où les connexions proviennent. Cela complète le processus d’investigation en fournissant des informations supplémentaires sur l’activité des utilisateurs. L’appel pour localiser une adresse IP externe est anonyme. Aucun identificateur personnel n’est envoyé dans cet appel.
ATA s’intègre à votre solution VPN en écoutant les événements de comptabilité RADIUS transférés aux passerelles ATA. Ce mécanisme est basé sur la comptabilité RADIUS standard (RFC 2866) et les fournisseurs VPN suivants sont pris en charge :
- Microsoft
- F5
- Cisco ASA
Important
Depuis septembre 2019, le service Advanced Threat Analytics géolocalise VPN responsable de la détection des emplacements VPN prend désormais exclusivement en charge TLS 1.2. Vérifiez que votre centre ATA est configuré pour prendre en charge TLS 1.2, car les versions 1.1 et 1.0 ne sont plus prises en charge.
Prerequisites
Pour activer l’intégration VPN, veillez à définir les paramètres suivants :
Ouvrez le port UDP 1813 sur vos passerelles ATA et vos passerelles légères ATA.
Le Centre ATA doit pouvoir accéder à ti.ata.azure.com à l’aide du protocole HTTPS (port 443) afin qu’il puisse interroger l’emplacement des adresses IP entrantes.
L’exemple ci-dessous utilise Microsoft routage et serveur d’accès à distance (RRAS) pour décrire le processus de configuration VPN.
Si vous utilisez une solution VPN tierce, consultez leur documentation pour obtenir des instructions sur l’activation de RADIUS Accounting.
Configurer RADIUS Accounting sur le système VPN
Effectuez les étapes suivantes sur votre serveur RRAS.
Ouvrez la console Routage et Accès à distance.
Cliquez avec le bouton droit sur le nom du serveur, puis sélectionnez Propriétés.
Sous l’onglet Sécurité , sous Fournisseur de comptabilité, sélectionnez COMPTABILITÉ RADIUS , puis cliquez sur Configurer.
Dans la fenêtre Ajouter un serveur RADIUS , tapez le nom du serveur de la passerelle ATA la plus proche ou de la passerelle légère ATA. Sous Port, vérifiez que la valeur par défaut 1813 est configurée. Cliquez sur Modifier et tapez une nouvelle chaîne de secrets partagés de caractères alphanumériques que vous pouvez mémoriser. Vous devez le remplir ultérieurement dans votre configuration ATA. Cochez la case Envoyer les messages RADIUS Accounting On et Off, puis cliquez sur OK dans toutes les boîtes de dialogue ouvertes.
Configurer un VPN dans ATA
ATA collecte les données VPN et identifie quand et où les informations d’identification sont utilisées via VPN et intègre ces données à votre investigation. Cela fournit des informations supplémentaires pour vous aider à examiner les alertes signalées par ATA.
Pour configurer des données VPN dans ATA :
Dans la console ATA, ouvrez la page Configuration ATA et accédez au VPN.
Activez Radius Accounting et tapez le secret partagé que vous avez configuré précédemment sur votre serveur VPN RRAS. Ensuite, cliquez sur Enregistrer.
Une fois cette option activée, toutes les passerelles ATA et les passerelles légères écoutent sur le port 1813 pour les événements de comptabilité RADIUS.
Votre configuration est terminée et vous pouvez maintenant voir l’activité VPN dans la page de profil des utilisateurs :
Une fois que la passerelle ATA reçoit les événements VPN et les envoie au Centre ATA pour traitement, le Centre ATA a besoin d’accéder à ti.ata.azure.com à l’aide du protocole HTTPS (port 443) pour pouvoir résoudre les adresses IP externes dans les événements VPN vers leur emplacement géographique.