ATA のインストール - 手順 7

適用対象: Advanced Threat Analytics バージョン 1.9

« ステップ 5ステップ 8 »

手順 7: VPN を統合する

Microsoft Advanced Threat Analytics (ATA) バージョン 1.8 以降では、VPN ソリューションからアカウンティング情報を収集できます。 構成すると、ユーザーのプロファイル ページには、VPN 接続からの情報 (IP アドレスや接続が発生した場所など) が含まれます。 これにより、ユーザー アクティビティに関する追加情報が提供され、調査プロセスが補完されます。 外部 IP アドレスを場所に解決する呼び出しは匿名です。 この呼び出しでは、個人識別子は送信されません。

ATA は、ATA ゲートウェイに転送される RADIUS アカウンティング イベントをリッスンすることで、VPN ソリューションと統合されます。 このメカニズムは、標準の RADIUS アカウンティング (RFC 2866) に基づいており、次の VPN ベンダーがサポートされています。

  • マイクロソフト
  • F5
  • Cisco ASA

Important

2019 年 9 月の時点で、VPN の場所の検出を担当する Advanced Threat Analytics VPN geo location サービスでは、TLS 1.2 のみがサポートされるようになりました。 バージョン 1.1 と 1.0 はサポートされなくなったので、ATA センターが TLS 1.2 をサポートするように構成されていることを確認します。

前提条件

VPN 統合を有効にするには、次のパラメーターを設定してください。

  • ATA ゲートウェイと ATA ライトウェイト ゲートウェイでポート UDP 1813 を開きます。

  • ATA センターは、受信 IP アドレス 場所を照会できるように、HTTPS (ポート 443) を使用して ti.ata.azure.com にアクセスできる必要があります。

次の例では、Microsoft ルーティングとリモート アクセス サーバー (RRAS) を使用して VPN 構成プロセスについて説明します。

サードパーティの VPN ソリューションを使用している場合は、RADIUS アカウンティングを有効にする方法に関するドキュメントを参照してください。

VPN システムで RADIUS アカウンティングを設定する

RRAS サーバーで次の手順を実行します。

  1. ルーティングとリモート アクセス コンソールを開きます。

  2. サーバー名を右クリックし、 [プロパティ]をクリックします。

  3. [ セキュリティ ] タブの [ アカウンティング プロバイダー] で、[ RADIUS アカウンティング ] を選択し、[ 構成] をクリックします。

    RADIUS セットアップ。

  4. [ RADIUS サーバーの追加 ] ウィンドウで、最も近い ATA ゲートウェイまたは ATA Lightweight Gateway の サーバー名 を入力します。 [ ポート] で、既定値の 1813 が構成されていることを確認します。 [ 変更 ] をクリックし、覚えておくことができる英数字の新しい共有シークレット文字列を入力します。 後で ATA 構成で記入する必要があります。 [ SEND RADIUS Account On and Accounting Off messages]\(RADIUS アカウントのオンとアカウンティングオフのメッセージの送信 \) チェック ボックスをオンにし、開いているすべてのダイアログ ボックスで [OK] を クリックします。

    VPN のセットアップを示すスクリーンショット。

ATA で VPN を構成する

ATA は VPN データを収集し、VPN 経由で資格情報が使用されているタイミングと場所を特定し、そのデータを調査に統合します。 これにより、ATA によって報告されたアラートを調査するのに役立つ追加情報が提供されます。

ATA で VPN データを構成するには:

  1. ATA コンソールで ATA 構成ページを開き、 VPN に移動します。

    ATA 構成メニュー。

  2. Radius Accounting を有効にし、RRAS VPN Server で以前に構成した共有シークレットを入力します。 [保存] をクリックします。

    ATA VPN を構成します。

これを有効にすると、すべての ATA ゲートウェイとライトウェイト ゲートウェイがポート 1813 で RADIUS アカウンティング イベントをリッスンします。

セットアップが完了し、ユーザーのプロファイル ページに VPN アクティビティが表示されるようになりました。

VPN のセットアップ。

ATA ゲートウェイが VPN イベントを受信して処理のために ATA センターに送信した後、ATA センターは、VPN イベント内の外部 IP アドレスを地理的な場所に解決できるように、HTTPS (ポート 443) を使用して ti.ata.azure.com にアクセスする必要があります。

« 手順 6ステップ 8 »

こちらも参照ください

  • Last updated on