Entitások kizárása az észlelésekből
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk azt ismerteti, hogyan zárhatja ki az entitásokat a riasztások aktiválásából a valódi jóindulatú pozitív értékek minimalizálása érdekében, ugyanakkor győződjön meg arról, hogy a valódi pozitívokat is észleli. Annak érdekében, hogy az ATA ne legyen zajos azokkal a tevékenységekkel kapcsolatban, amelyek adott felhasználóktól a szokásos üzleti ritmus részét képezhetik, bizonyos entitásokat elcsendesíthet vagy kizárhat a riasztások emelése elől.
Ha például rendelkezik olyan biztonsági ellenőrzővel, amely DNS-felderítést végez, vagy olyan rendszergazda, aki távolról futtat szkripteket a tartományvezérlőn , és ezek olyan engedélyezett tevékenységek, amelyek célja a szervezet szokásos informatikai műveleteinek része.
Az entitások kizárása a riasztások ATA-ban való növeléséből:
Kétféleképpen zárhatja ki az entitásokat, magát a gyanús tevékenységet, vagy a Konfiguráció lap Kizárások lapján.
A gyanús tevékenységből: A gyanús tevékenység idővonalán, amikor riasztást kap egy olyan tevékenységről egy felhasználó vagy számítógép vagy IP-cím számára, amely jogosult az adott tevékenység végrehajtására, és ezt gyakran megteheti, kattintson a jobb gombbal a sor végén található három pontra a gyanús tevékenységhez az adott entitáson, és válassza a Bezárás és kizárás lehetőséget.
Ezzel hozzáadja a felhasználót, a számítógépet vagy az IP-címet a gyanús tevékenység kizárási listájához. Bezárja a gyanús tevékenységet, és már nem szerepel a Gyanús tevékenység ütemtervében az Események megnyitása listában.
A Konfiguráció lapon: A kizárások áttekintéséhez vagy módosításához kattintson a Konfiguráció területen a Kizárások elemre, majd válassza ki a gyanús tevékenységet, például a bizalmas fiók hitelesítő adatait.
Ha el szeretne távolítani egy entitást a Kizárások konfigurációból: kattintson az entitás neve melletti mínusz gombra, majd kattintson a Lap alján található Mentés gombra.
Javasoljuk, hogy csak akkor adjon hozzá kizárásokat az észlelésekhez, ha ilyen típusú riasztásokat kap, és megállapítja, hogy azok valódi jóindulatú pozitívak.
Megjegyzés:
Az Ön védelme érdekében nem minden észlelés biztosít lehetőséget a kizárások beállítására.
Néhány észlelés tippeket ad, amelyek segítenek eldönteni, hogy mit zárjon ki.
Az egyes kizárások a környezettől függenek, egyesekben beállíthat felhasználókat, míg másoknál számítógépeket vagy IP-címeket.
Ha lehetősége van kizárni egy IP-címet vagy egy számítógépet, kizárhatja az egyiket vagy a másikat – nem kell mindkettőt megadnia.
Megjegyzés:
A konfigurációs lapokat csak az ATA rendszergazdái módosíthatják.