Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Advanced Threat Analytics versão 1.9
Etapa 8: Configurar exclusões de endereço IP e usuário Honeytoken
O ATA permite a exclusão de endereços IP específicos ou usuários de muitas detecções.
Por exemplo, uma exclusão de reconhecimento de DNS pode ser um verificador de segurança que usa o DNS como um mecanismo de verificação. A exclusão ajuda o ATA a ignorar esses scanners. Um exemplo de uma exclusão Pass-the-Ticket é um dispositivo NAT.
O ATA também permite a configuração de um usuário honeytoken, que é usado como uma armadilha para atores mal-intencionados - qualquer autenticação associada a essa conta (normalmente inativa) dispara um alerta.
Para configurar isso, siga estas etapas:
No Console do ATA, selecione no ícone de configurações e selecione Configuração.
Em Detecção, selecione marcas de entidade.
Em contas Honeytoken, insira o nome da conta Honeytoken. O campo contas Honeytoken é pesquisável e exibe automaticamente entidades em sua rede.
Selecione Exclusões. Para cada tipo de ameaça, insira uma conta de usuário ou um endereço IP a ser excluído da detecção dessas ameaças e selecione o sinal de mais. O campo Adicionar entidade (usuário ou computador) é pesquisável e preenchido automaticamente com entidades em sua rede. Para mais informações, consulte Exclusão de entidades das detecções
Clique em Salvar.
Parabéns, você implantou com êxito Microsoft Advanced Threat Analytics!
Verifique a linha de tempo de ataque para exibir atividades suspeitas detectadas e pesquisar usuários ou computadores e exibir seus perfis.
O ATA inicia a verificação de atividades suspeitas imediatamente. Algumas atividades, como algumas das atividades de comportamento suspeito, não estão disponíveis até que o ATA tenha tempo para criar perfis comportamentais (no mínimo três semanas).
Para verificar se o ATA está funcionando e capturando violações em sua rede, confira o guia estratégico de simulação de ataque do ATA.