適用対象: Advanced Threat Analytics バージョン 1.9
手順 8: IP アドレスの除外と Honeytoken ユーザーを構成する
ATA を使用すると、多くの検出から特定の IP アドレスまたはユーザーを除外できます。
たとえば、 DNS 偵察の除外 は、スキャン メカニズムとして DNS を使用するセキュリティ スキャナーである可能性があります。 この除外は、ATA がそのようなスキャナーを無視するのに役立ちます。 Pass-the-Ticket の除外の例として、NAT デバイスがあります。
ATA では、悪意のあるアクターのトラップとして使用される Honeytoken ユーザーの構成も可能になります。この (通常は休止中の) アカウントに関連付けられているすべての認証によってアラートがトリガーされます。
これを構成するには、次の手順に従います。
ATA コンソールから設定アイコンを選択し、[ 構成] を選択します。
[ 検出] で、[ エンティティ タグ] を選択します。
Honeytoken アカウントフォームで、Honeytoken アカウント名を入力します。 Honeytoken アカウント フィールドは検索可能であり、ネットワーク内のエンティティを自動的に表示します。
[ 除外] を選択します。 脅威の種類ごとに、これらの脅威の検出から除外するユーザー アカウントまたは IP アドレスを入力し、 プラス 記号を選択します。 [ エンティティの追加] (ユーザーまたはコンピューター) フィールドは検索可能であり、ネットワーク内のエンティティが自動的に入力されます。 詳細については、「検出からのエンティティの除外」を参照してください。
保存を選びます。
これで、Microsoft Advanced Threat Analyticsが正常にデプロイされました。
攻撃のタイムラインを確認して、検出された疑わしいアクティビティを表示し、ユーザーまたはコンピューターを検索し、プロファイルを表示します。
ATA は、疑わしいアクティビティのスキャンを直ちに開始します。 不審な動作アクティビティの一部など、一部のアクティビティは、ATA が動作プロファイルを構築する時間 (最低 3 週間) になるまで使用できません。
ATA が稼働していて、ネットワークで侵害をキャッチしていることを確認するには、 ATA 攻撃シミュレーションのプレイブックを確認できます。