אי-הכללת ישויות בזיהויים
חל על: Advanced Threat Analytics גירסה 1.9
מאמר זה מסביר כיצד לא לכלול ישויות בהפעלת התראות כדי למזער תוצאות חיוביות חיוביות נכונות ונכונות, אך בו-זמנית, הקפד לקבל את תוצאות החיוביות האמיתיות. כדי למנוע מ- ATA להיות מרתיע לגבי פעילויות שעשויות להיות חלק מקצב העסקים הרגיל שלך, באפשרותך להשתיק - או לא לכלול - ישויות ספציפיות בהעלאת התראות.
לדוגמה, אם יש לך סורק אבטחה שמפעיל איסוף DNS או מנהל מערכת שמפעיל מרחוק קבצי Script בבקר התחום - אלה הן פעילויות חוקיות שהכוונה שלהם היא חלק מפעולות ה- IT הרגילות בארגון שלך.
כדי לא לכלול ישויות בהגדלת התראות ב- ATA:
קיימות שתי דרכים שבהן ניתן לא לכלול ישויות, מהפעילות החשודה עצמה או מהכרטיסיה ' פריטים שאינם נכללים' בדף 'תצורה '.
מהפעילות החשודה: בציר הזמן פעילות חשודה, כאשר אתה מקבל התראה על פעילות עבור משתמש או מחשב או כתובת IP המורשית לבצע את הפעילות המסוימת וייתכן שתרצה לעשות זאת לעתים קרובות, לחץ באמצעות לחצן העכבר הימני על שלוש הנקודות בסוף השורה עבור הפעילות החשודה בישות זו, ובחר סגור ואל תכלול.
פעולה זו מוסיפה את המשתמש, המחשב או כתובת ה- IP לרשימת הפריטים שאינם נכללים עבור פעילות חשודה זו. היא סוגרת את הפעילות החשודה והיא אינה מופיעה עוד ברשימה אירועים פתוחים בציר הזמן של הפעילות החשודה.
מהדף תצורה: כדי לסקור או לשנות פריטים שאינם נכללים: תחת תצורה, לחץ על פריטים שאינם נכללים ולאחר מכן בחר את הפעילות החשודה, כגון אישורי חשבון רגישים שנחשפו.
כדי להסיר ישות מתצורות הפריטים שאינם נכללים: לחץ על החיסור לצד שם הישות ולאחר מכן לחץ על שמור בחלק התחתון של הדף.
מומלץ להוסיף אי-הכללות לזיהויים רק לאחר שאתה מקבל התראות על הסוג וקובע שהן חיוביות חיוביות אמתיות.
הערה
להגנה שלך, לא כל הזיהויים מספקים אפשרות להגדיר אי-הכללות.
חלק מהזיהויים מספקים עצות שיעזרו לך להחליט מה לא לכלול.
כל אי הכללה תלויה בהקשר, בחלק מהמשתמשים ניתן להגדיר משתמשים בזמן שמשתמשים אחרים יכולים להגדיר מחשבים או כתובות IP.
כאשר יש לך אפשרות לא לכלול כתובת IP או מחשב, באפשרותך לא לכלול כתובת כזו או אחרת - אין צורך לספק את שניהם.
הערה
רק מנהלי מערכת של ATA יכולים לשנות את דפי התצורה.