Instalar ATA - Passo 8

Aplica-se a: Advanced Threat Analytics versão 1.9

« Passo 7Passo 9 »

Passo 8: Configurar exclusões de endereços IP e utilizador Honeytoken

O ATA permite a exclusão de endereços IP específicos ou utilizadores de muitas deteções.

Por exemplo, uma exclusão de reconhecimento DNS pode ser um scanner de segurança que utiliza o DNS como mecanismo de varredura. A exclusão ajuda a ATA a ignorar esses scanners. Um exemplo de uma exclusão Pass-the-Ticket é um dispositivo de NAT.

O ATA também permite a configuração de um utilizador Honeytoken, que é usado como armadilha para atores maliciosos – qualquer autenticação associada a esta conta (normalmente inativa) dispara um alerta.

Para configurar isto, siga estes passos:

  1. A partir da Consola ATA, selecione o ícone de definições e selecione Configuração.

    Definições de configuração ATA.

  2. Em Deteção, selecione Etiquetas de Entidade.

  3. Em contas Honeytoken , introduza o nome da conta Honeytoken. O campo de contas Honeytoken é pesquisável e mostra automaticamente as entidades na sua rede.

    Captura de ecrã a mostrar a entrada do nome da conta Honeytoken.

  4. Selecionar Exclusões. Para cada tipo de ameaça, introduza uma conta de utilizador ou endereço IP para serem excluídos da deteção dessas ameaças e clique no sinal de mais. O campo Adicionar entidade (utilizador ou computador) é pesquisável e preenche automaticamente com entidades na sua rede. Para mais informações, veja Exclusão de entidades das deteções

    Captura de ecrã que mostra a exclusão de entidades da deteção.

  5. Selecione Guardar.

Parabéns, conseguiu implementar Microsoft Advanced Threat Analytics!

Consulte a linha temporal do ataque para ver as atividades suspeitas detetadas e procure utilizadores ou computadores para visualizar os seus perfis.

A ATA começa imediatamente a procurar atividades suspeitas. Algumas atividades, como algumas das atividades de comportamento suspeito, não estão disponíveis até que a ATA tenha tido tempo para construir perfis comportamentais (mínimo de três semanas).

Para verificar se o ATA está a funcionar e a detetar fugas na sua rede, pode consultar o manual de simulação de ataque do ATA.

« Passo 7Passo 9 »

Ver também

  • Last updated on