Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk azt ismerteti, hogyan zárhatja ki az entitásokat a riasztások aktiválásából a valódi jóindulatú pozitív értékek minimalizálása érdekében, ugyanakkor győződjön meg arról, hogy a valódi pozitívokat észleli. Annak érdekében, hogy az ATA ne legyen zajos azokkal a tevékenységekkel kapcsolatban, amelyek adott felhasználóktól a szokásos üzleti ritmus részét képezhetik, bizonyos entitásokat elcsendesíthet vagy kizárhat a riasztások keltésétől.
Ha például van egy biztonsági ellenőrző eszköze, amely DNS-egyeztetést végez, vagy egy rendszergazda, aki távolról futtat szkripteket a tartományvezérlőn, és ezek olyan engedélyezett tevékenységek, amelyek célja a szervezet szokásos informatikai műveleteinek része.
Az entitások kizárása a riasztások ATA-ban való emeléséből:
Kétféleképpen zárhat ki entitásokat magából a gyanús tevékenységből vagy a Konfiguráció lap Kizárások lapjáról.
A gyanús tevékenységből: Ha a gyanús tevékenység idővonalán riasztást kap egy olyan felhasználó, számítógép vagy IP-cím tevékenységéről, amely jogosult az adott tevékenység végrehajtására, és ezt gyakran megteheti, kattintson a jobb gombbal az adott entitás gyanús tevékenységének sorának végén található három pontra, és válassza a Bezárás és kizárás lehetőséget.
Ezzel hozzáadja a felhasználót, számítógépet vagy IP-címet a gyanús tevékenység kizárási listájához. Bezárja a gyanús tevékenységet, és már nem szerepel a Gyanús tevékenységek idővonalánakEsemények megnyitása listájában.
A Konfiguráció lapon: A kizárások áttekintéséhez vagy módosításához kattintson a Konfiguráció területen a Kizárások elemre, majd válassza ki a gyanús tevékenységet, például a bizalmas fiók hitelesítő adatait.
Ha el szeretne távolítani egy entitást a Kizárások konfigurációból: kattintson az entitás neve melletti mínusz gombra, majd a lap alján a Mentés gombra.
Azt javasoljuk, hogy csak akkor adjon hozzá kizárásokat az észlelésekhez, ha riasztásokat kap a típusról, és megállapítja, hogy valódi jóindulatú pozitívak.
Megjegyzés:
A védelem érdekében nem minden észlelés biztosít lehetőséget a kizárások beállítására.
Az észlelések némelyike tippeket ad, amelyek segítenek eldönteni, hogy mit zárjon ki.
Minden kizárás a környezettől függ, egyes felhasználókat beállíthat, míg másoknál számítógépeket vagy IP-címeket.
Ha lehetősége van kizárni egy IP-címet vagy egy számítógépet, kizárhatja az egyiket vagy a másikat – nem kell mindkettőt megadnia.
Megjegyzés:
A konfigurációs oldalakat csak az ATA rendszergazdái módosíthatják.