Entitäten von Erkennungen ausschließen
Gilt für: Advanced Threat Analytics, Version 1.9
In diesem Artikel wird erläutert, wie Entitäten davon ausgeschlossen werden, Warnungen auszulösen, um die Warnung bei echten gutartigen Ereignissen zu minimieren, aber gleichzeitig sicherzustellen, dass Sie True Positives abfangen. Um ATA daran zu hindern, auf Aktivitäten von bestimmten Benutzern anzuspringen, die möglicherweise Teil Ihres normalen Geschäftsrhythmus sind, können Sie bestimmte Entitäten vom Auslösen von Warnungen ausschließen oder die Warnungen stummschalten.
Wenn Sie z. B. über einen Sicherheitsscanner verfügen, der DNS-Recon durchführt oder einen Administrator, der Remoteskripts auf dem Domänencontroller ausführt – dies sind genehmigte Aktivitäten, deren Absicht Teil der normalen IT-Vorgänge in Ihrer Organisation ist.
So schließen Sie Entitäten vom Auslösen von Warnungen in ATA aus:
Es gibt zwei Möglichkeiten, Entitäten auszuschließen — von der verdächtigen Aktivität selbst aus oder über die Registerkarte Ausschlüsse auf der Seite Konfiguration.
Von der verdächtigen Aktivität aus: Wenn Sie in der Zeitleiste für verdächtige Aktivitäten eine Benachrichtigung zu einer Aktivität für einen Benutzer oder Computer oder eine IP-Adresse erhalten, die die bestimmte Aktivität ausführen darf, klicken Sie mit der rechten Maustaste auf die drei Punkte am Ende der Zeile für die verdächtige Aktivität in dieser Entität, und wählen Sie Schließen und ausschließen.
Dadurch wird der Benutzer, der Computer oder die IP-Adresse der Ausschlussliste für diese verdächtige Aktivität hinzugefügt. Dies schließt die verdächtige Aktivität und sie wird nicht mehr in der Liste Offene Ereignisse in der Zeitleiste für verdächtige Aktivitäten aufgeführt.
Auf der Seite Konfiguration: Um Ausschlüsse zu überprüfen oder zu ändern: Klicken Sie unter Konfiguration auf Ausschlüsse und wählen Sie die verdächtige Aktivität aus, z. B. offengelegte Anmeldeinformationen für vertrauliche Konten.
Um eine Entität aus der Ausschlusskonfiguration zu entfernen: Klicken Sie auf das Minus neben dem Entitätsnamen, und klicken Sie dann unten auf der Seite auf Speichern.
Es wird empfohlen, Ausschlüsse nur dann zu Erkennungen hinzuzufügen, nachdem Sie Warnungen über den Typ erhalten und feststellen, dass sie echte gutartige Meldungen sind.
Hinweis
Zu Ihrem Schutz bieten nicht alle Erkennungen die Möglichkeit, Ausschlüsse festzulegen.
Einige der Erkennungen enthalten Tipps, mit denen Sie entscheiden können, was ausgeschlossen werden soll.
Jeder Ausschluss hängt vom Kontext ab. Bei einigen können Sie Benutzer festlegen, während Sie für andere Computer oder IP-Adressen festlegen können.
Wenn Sie die Möglichkeit haben, eine IP-Adresse oder einen Computer auszuschließen, können Sie eine oder andere ausschließen – Sie müssen nicht beide angeben.
Hinweis
Die Konfigurationsseiten können nur von ATA-Administratoren geändert werden.