Exclusion d’entités des détections
S’applique à : Advanced Threat Analytics version 1.9
Cet article explique comment exclure des entités du déclenchement d'alertes afin de minimiser les vrais positifs bénins tout en s'assurant d'attraper les vrais positifs. Pour empêcher ATA d’être bruyant sur les activités qui, à partir d’utilisateurs spécifiques, peuvent faire partie de votre rythme normal d’activité, vous pouvez silencieux - ou exclure - des entités spécifiques de déclencher des alertes.
Par exemple, si vous avez un scanneur de sécurité qui fait de la reconnaissance DNS ou un administrateur qui exécute à distance des scripts sur le contrôleur de domaine - et ce sont des activités sanctionnées dont l'intention fait partie des opérations informatiques normales de votre organisation.
Pour exclure des entités de l'émission d'alertes dans ATA :
Il existe deux façons d’exclure des entités, de l’activité suspecte elle-même ou de l’onglet Exclusions de la page Configuration.
À partir de l'activité suspecte : dans la chronologie des activités suspectes, lorsque vous recevez une alerte sur une activité pour un utilisateur, un ordinateur ou une adresse IP autorisé à effectuer l'activité en question et susceptible de le faire fréquemment, cliquer avec le bouton droit de la souris sur les trois points situés à la fin de la ligne correspondant à l'activité suspecte de cette entité, puis sélectionner Fermer et exclure.
Cela ajoute l’utilisateur, l’ordinateur ou l’adresse IP à la liste d'exclusions pour cette activité suspecte. Il ferme l’activité suspecte et n’est plus répertorié dans la liste des événements Ouverts dans chronologie des activités suspectes.
Dans la page Configuration : pour passer en revue ou modifier toutes les exclusions : sous Configuration, cliquer sur Exclusions , puis sélectionner l’activité suspecte, par exemple les informations identifiants de compte sensibles exposées.
Pour supprimer une entité de la configuration Exclusions : cliquer sur moins en regard du nom de l’entité, puis cliquer sur Enregistrer en bas de la page.
Il est recommandé d’ajouter des exclusions aux détections uniquement après avoir obtenu des alertes du type et de déterminer qu’elles sont de vrais positifs bénins.
Remarque
Pour votre protection, toutes les détections ne permettent pas de définir des exclusions.
Certaines des détections fournissent des conseils qui vous aident à décider de ce qu’il faut exclure.
Chaque exclusion dépend du contexte, dans certains cas, vous pouvez définir des utilisateurs, tandis que pour d’autres, vous pouvez définir des ordinateurs ou des adresses IP.
Lorsque vous avez la possibilité d’exclure une adresse IP ou un ordinateur, vous pouvez exclure l’un ou l’autre - vous n’avez pas besoin de fournir les deux.
Remarque
Les pages de configuration ne peuvent être modifiées que par les administrateurs ATA.