結合OMS Security 與 Microsoft Advanced Threat Analytics


現在,OMS Security 能夠與 Microsoft Advanced Threat Analytics 有基本的結合。此結合是基於 Microsoft Advanced Threat Analytics 所提供的事件記錄。此功能的好處是,您可以在 OMS 儀表板同時看到 Microsoft Advanced Threat Analytics 所觸發的可疑活動和與 OMS Security 相關的其他偵測。

微軟對於兩者的結合有了新的進步,目的在於針對基於 Advanced Threat Analytics Syslog 的可疑事件能夠有更詳細的解說。在以下的範例中,Advanced Threat Analytics 的入口網站顯示了一個可疑的活動表示意圖執行暴力的攻擊。

若此 Advanced Threat Analytics 與 OMS Security 做結合,下圖就是您會在 OMS Security 的事件記錄中所看到的活動紀錄:

 

雖然這個記錄提供了一些有價值的資訊,但新功能的記錄體驗會提供對可疑活動更詳細的資訊,如下圖:

 

想要配置此結合,請參照以下步驟:

1. 在 Advanced Threat Analytics 的入口網站,點選畫面左邊的 Syslog server。在 Syslog server endpoint 輸入 127.0.0.7 (必須是此位址),並在 port 輸入 5114 (建議)。雖然建議使用此 port,但任何特定的 port 都應該能執行。

 

2. 點選畫面左邊的 Settings,並允許所有的通知 (強烈建議),如下圖:

 

3. 在 Advanced Threat Analytics Center 電腦中安裝 OMS Agent,並設定 agent 來使用您的工作區。

 

此項功能只會在您依照上述步驟手動配置後才會開始啟用,此功能並不會使舊的 Advanced Threat Analytics 功能失效,也就是您可能會看到以下情況:

  • 可疑活動可能會收到兩次 (事件記錄 + Syslog)。大多數情況都會發生此種行為。
  • 可疑活動只被新功能接收。更新沒有被送到事件記錄。只有在少數情況會發生此種行為。

在未來,基於事件記錄的舊版 Advanced Threat Analytics 收集功能將會停用。

Comments (0)

Skip to main content