Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Passaggio 7: Integrare VPN
Microsoft Advanced Threat Analytics (ATA) versione 1.8 e successive possono raccogliere informazioni di contabilità dalle soluzioni VPN. Se configurata, la pagina del profilo dell'utente include informazioni dalle connessioni VPN, ad esempio gli indirizzi IP e le posizioni in cui sono originate le connessioni. Ciò integra il processo di indagine fornendo informazioni aggiuntive sull'attività dell'utente. La chiamata per risolvere un indirizzo IP esterno in una posizione è anonima. In questa chiamata non viene inviato alcun identificatore personale.
ATA si integra con la soluzione VPN ascoltando gli eventi contabili RADIUS inoltrati ai gateway ATA. Questo meccanismo si basa sulla contabilità RADIUS standard (RFC 2866) e sono supportati i fornitori VPN seguenti:
- Microsoft
- F5
- Cisco ASA
Importante
A partire da settembre 2019, il servizio di localizzazione geografica VPN Advanced Threat Analytics responsabile del rilevamento delle posizioni VPN ora supporta esclusivamente TLS 1.2. Assicurarsi che ATA Center sia configurato per supportare TLS 1.2, perché le versioni 1.1 e 1.0 non sono più supportate.
Prerequisiti
Per abilitare l'integrazione VPN, assicurarsi di impostare i parametri seguenti:
Aprire la porta UDP 1813 nei gateway ATA e nei gateway ATA Lightweight.
ATA Center deve essere in grado di accedere ti.ata.azure.com usando HTTPS (porta 443) in modo che possa eseguire una query sulla posizione degli indirizzi IP in ingresso.
L'esempio seguente usa Microsoft routing e server di accesso remoto (RRAS) per descrivere il processo di configurazione VPN.
Se si utilizza una soluzione VPN di terze parti, consultare la loro documentazione per le istruzioni su come abilitare il RADIUS Accounting.
Configurare la contabilizzazione RADIUS nel sistema VPN
Seguire questa procedura nel server RRAS.
Aprire la console Routing e Accesso remoto.
Fare clic con il pulsante destro del mouse sul nome del server e scegliere Proprietà.
Nella scheda Sicurezza, in Provider di contabilità, selezionare Accounting RADIUS e fare clic su Configura.
Nella finestra Aggiungi server RADIUS digitare il nome del server del gateway ATA più vicino o del gateway ATA Lightweight. In Porta verificare che il valore predefinito 1813 sia configurato. Fare clic su Cambia e digitare una nuova stringa privata condivisa di caratteri alfanumerici che è possibile ricordare. È necessario compilarlo in un secondo momento nella configurazione di ATA. Selezionare la casella Invia i messaggi RADIUS Accounting On e Accounting Off e quindi fare clic su OK nelle finestre di dialogo aperte.
Configurare la VPN in ATA
ATA raccoglie i dati VPN e identifica quando e dove vengono usate le credenziali tramite VPN e integra tali dati nell'indagine. Vengono fornite informazioni aggiuntive che consentono di analizzare gli avvisi segnalati da ATA.
Per configurare i dati VPN in ATA:
Nella console ATA aprire la pagina Configurazione ATA e passare a VPN.
Attivare Radius Accounting e digitare il segreto condiviso configurato in precedenza sul server RRAS VPN. Fare clic su Save (Salva).
Dopo che questa impostazione è stata abilitata, tutti i gateway ATA e i gateway leggeri ascoltano sulla porta 1813 per gli eventi di accounting RADIUS.
La configurazione è stata completata ed è ora possibile visualizzare l'attività VPN nella pagina del profilo degli utenti:
Dopo che il gateway ATA riceve gli eventi VPN e li invia ad ATA Center per l'elaborazione, ATA Center deve accedere a ti.ata.azure.com usando HTTPS (porta 443) per poter risolvere gli indirizzi IP esterni negli eventi VPN nella propria posizione geografica.