Exclusión de entidades de las detecciones
Se aplica a: Advanced Threat Analytics versión 1.9
En este artículo se explica cómo excluir entidades para evitar que desencadenen alertas con el fin de minimizar los verdaderos positivos inofensivos y, al mismo tiempo, asegurarse de detectar los verdaderos positivos. Para evitar que ATA sea ruidoso acerca de las actividades que, de usuarios específicos, pueden formar parte del ritmo normal del negocio, puede silenciar entidades específicas o excluirlas de la generación de alertas.
Por ejemplo, si tiene un detector de seguridad que realiza el reconocimiento de DNS o un administrador que ejecuta secuencias de comandos de forma remota en el controlador de dominio, y estas son actividades autorizadas cuya intención forma parte de las operaciones de TI normales de su organización.
Para excluir entidades de la generación de alertas en ATA, haga lo siguiente:
Hay dos maneras de excluir entidades: desde la propia actividad sospechosa o desde la pestaña Exclusiones de la página Configuración.
Desde la actividad sospechosa: en la línea de tiempo de la actividad sospechosa, cuando reciba una alerta sobre una actividad de un usuario, ordenador o dirección IP que puede realizar la actividad determinada y puede hacerlo con frecuencia, haga clic con el botón derecho en los tres puntos al final de la fila de la actividad sospechosa en esa entidad y seleccione Cerrar y excluir.
Esto añade el usuario, el ordenador o la dirección IP a la lista de exclusiones de esa actividad sospechosa. Cierra la actividad sospechosa y ya no aparece en la lista de eventos abiertos de la línea de tiempo de actividades sospechosas.
Desde la página de configuración: para revisar o modificar las exclusiones: en Configuración, haga clic en Exclusiones y, después, seleccione la actividad sospechosa, como Credenciales de cuenta confidencial expuestas.
Para eliminar una entidad de la configuración de Exclusiones: haga clic en el símbolo menos situado junto al nombre de la entidad y, después, haga clic en Guardar en la parte inferior de la página.
Se recomienda añadir exclusiones a las detecciones solo después de obtener alertas del tipo y determinar que son verdaderos positivos inofensivos.
Nota:
Para su protección, no todas las detecciones ofrecen la posibilidad de establecer exclusiones.
Algunas de las detecciones proporcionan sugerencias que ayudan a decidir qué excluir.
Cada exclusión depende del contexto; en algunas puede establecer usuarios, mientras que para otras puede establecer ordenadores o direcciones IP.
Si tiene la posibilidad de excluir una dirección IP o un ordenador, puede excluir uno o el otro, no es necesario proporcionar ambos.
Nota:
Los administradores de ATA solo pueden modificar las páginas de configuración.