Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Passaggio 8: Configurare le esclusioni di indirizzi IP e l'utente honeytoken
ATA consente l'esclusione di specifici indirizzi IP o utenti da molti rilevamenti.
Ad esempio, un'esclusione della ricognizione DNS potrebbe essere uno scanner di sicurezza che usa DNS come meccanismo di analisi. L'esclusione consente ad ATA di ignorare tali scanner. Un esempio di esclusione Pass-the-Ticket è un dispositivo NAT.
ATA abilita anche la configurazione di un utente honeytoken, che viene usato come trap per gli attori malintenzionati: qualsiasi autenticazione associata a questo account (normalmente inattivo) attiva un avviso.
Per configurare questa operazione, seguire questa procedura:
Nella console ATA selezionare l'icona delle impostazioni e selezionare Configurazione.
In Rilevamento, selezionare Tag di entità.
In Honeytoken accounts, immettere il nome dell'account Honeytoken. Il campo Account honeytoken è ricercabile e visualizza automaticamente le entità nella rete.
Selezionare Esclusioni. Per ogni tipo di minaccia, immettere un account utente o un indirizzo IP da escludere dal rilevamento di queste minacce e selezionare il segno più . Il campo Aggiungi entità (utente o computer) è ricercabile e riempie automaticamente le entità nella rete. Per altre informazioni, vedere Esclusione di entità dai rilevamenti
Seleziona Salva.
Congratulazioni, è stata distribuita correttamente Microsoft Advanced Threat Analytics.
Controllare la linea di tempo di attacco per visualizzare le attività sospette rilevate e cercare utenti o computer e visualizzare i profili.
ATA avvia immediatamente l'analisi delle attività sospette. Alcune attività, ad esempio alcune delle attività di comportamento sospette, non sono disponibili fino a quando ATA non ha avuto tempo per creare profili comportamentali (almeno tre settimane).
Per verificare che ATA sia attivo e in esecuzione e intercetta le violazioni nella rete, è possibile consultare il playbook di simulazione degli attacchi ATA.