적용 대상: Advanced Threat Analytics 버전 1.9
8단계: IP 주소 제외 및 Honeytoken 사용자 구성
ATA를 사용하면 많은 검색에서 특정 IP 주소 또는 사용자를 제외할 수 있습니다.
예를 들어, DNS 정찰 제외는 DNS를 활용하는 보안 스캐너일 수 있습니다. 제외는 ATA에서 이러한 스캐너를 무시하는 데 도움이 됩니다. Pass-the-Ticket 제외의 예는 NAT 디바이스입니다.
또한 ATA는 악의적인 행위자의 트랩으로 사용되는 Honeytoken 사용자의 구성을 가능하게 합니다. 이(일반적으로 휴면) 계정과 관련된 모든 인증은 경고를 트리거합니다.
이를 구성하려면 다음 단계를 수행합니다.
ATA 콘솔에서 설정 아이콘을 선택하고 구성을 선택합니다.
탐지에서 엔터티 태그를 선택합니다.
Honeytoken 계정 아래에 Honeytoken 계정 이름을 입력합니다. Honeytoken 계정 필드는 검색할 수 있으며 네트워크에 엔터티를 자동으로 표시합니다.
제외를 선택합니다. 각 위협 유형에 대해 이러한 위협 검색에서 제외할 사용자 계정 또는 IP 주소를 입력하고 더하기 기호를 선택합니다. 엔터티 추가(사용자 또는 컴퓨터) 필드는 검색할 수 있으며 네트워크의 엔터티로 자동으로 채워집니다. 자세한 내용은 엔터티를 탐지에서 제외하기를 참조하세요.
저장을 선택합니다.
축하합니다. Microsoft Advanced Threat Analytics 배포했습니다.
공격 시간선을 확인하여 검색된 의심스러운 활동을 확인하고 사용자 또는 컴퓨터를 검색하고 해당 프로필을 봅니다.
ATA는 의심스러운 활동에 대한 검사를 즉시 시작합니다. 의심스러운 동작 활동 중 일부와 같은 일부 활동은 ATA가 동작 프로필을 빌드할 시간이 있기 전까지는 사용할 수 없습니다(최소 3주).
ATA가 작동 중이고 네트워크에서 침입을 감지하고 있는지 확인하려면 ATA 공격 시뮬레이션 플레이북을 참조할 수 있습니다.