Gyanús tevékenységek használata
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Ez a cikk az Advanced Threat Analytics használatának alapjait ismerteti.
Gyanús tevékenységek áttekintése a támadási idővonalon
Miután bejelentkezett az ATA-konzolra, a rendszer automatikusan a nyitott gyanús tevékenységek idősorára kerül. A gyanús tevékenységek időrendben jelennek meg, és az idősor tetején találhatók a legújabb gyanús tevékenységek. Minden gyanús tevékenység a következő információkkal rendelkezik:
Érintett entitások, beleértve a felhasználókat, számítógépeket, kiszolgálókat, tartományvezérlőket és erőforrásokat.
A gyanús tevékenységek ideje és időkerete.
A gyanús tevékenység súlyossága, magas, közepes vagy alacsony.
Állapot: Megnyitva, bezárva vagy letiltva.
Képesség a
Ossza meg a gyanús tevékenységet a szervezet más tagjaival e-mailben.
Exportálja a gyanús tevékenységet az Excelbe.
Megjegyzés:
- Amikor az egérmutatót egy felhasználó vagy számítógép fölé viszi, megjelenik egy entitás miniprofilja, amely további információkat nyújt az entitásról, és tartalmazza az entitáshoz társított gyanús tevékenységek számát.
- Ha egy entitásra kattint, az a felhasználó vagy a számítógép entitásprofiljára viszi.
Gyanús tevékenységek listájának szűrése
A gyanús tevékenységek listájának szűrése:
A képernyő bal oldalán található Szűrés panelen válassza a következő lehetőségek egyikét: Mind, Megnyitás, Bezárt vagy Letiltva.
A lista további szűréséhez válassza a Magas, a Közepes vagy az Alacsony lehetőséget.
Gyanús tevékenységek súlyossága
Alacsony
Gyanús tevékenységeket jelez, amelyek rosszindulatú felhasználók vagy szoftverek számára tervezett támadásokhoz vezethetnek a szervezeti adatokhoz való hozzáférés érdekében.
Medium
Olyan gyanús tevékenységeket jelez, amelyek bizonyos identitásokat veszélyeztethetnek olyan súlyosabb támadások esetén, amelyek identitáslopást vagy emelt szintű eszkalációt eredményezhetnek
Magas
Olyan gyanús tevékenységeket jelez, amelyek identitáslopáshoz, jogosultságok eszkalálásához vagy más, nagy hatású támadásokhoz vezethetnek
Gyanús tevékenységek szervizelése
A gyanús tevékenységek állapotának módosításához kattintson a gyanús tevékenység aktuális állapotára, és válassza a következő Megnyitás, Letiltás, Bezárt vagy Törölt elemek egyikét. Ehhez kattintson egy adott gyanús tevékenység jobb felső sarkában található három pontra az elérhető műveletek listájának megjelenítéséhez.
Gyanús tevékenység állapota
Megnyitás: Minden új gyanús tevékenység megjelenik ebben a listában.
Bezárás: A gyanús tevékenységek nyomon követésére szolgál, amelyeket azonosított, kutatott és kijavított a enyhítés érdekében.
Megjegyzés:
Ha a rendszer rövid időn belül ismét észleli ugyanezt a tevékenységet, az ATA újra megnyithat egy bezárt tevékenységet.
Letiltás: Egy tevékenység letiltása azt jelenti, hogy egyelőre figyelmen kívül szeretné hagyni, és csak új példány esetén lesz ismét riasztás. Ez azt jelenti, hogy ha van egy hasonló riasztás, az ATA nem nyitja meg újra. Ha azonban a riasztás hét napig leáll, és ismét megjelenik, a rendszer ismét riasztást küld.
Törlés: Ha töröl egy riasztást, az törlődik a rendszerből, az adatbázisból, és NEM fogja tudni visszaállítani. A törlés gombra kattintás után törölheti az azonos típusú gyanús tevékenységeket.
Kizárás: Az entitások kizárása bizonyos típusú riasztások növeléséből. Beállíthatja például, hogy az ATA kizárjon egy adott entitást (felhasználót vagy számítógépet) egy bizonyos típusú gyanús tevékenység ismételt riasztásából, például egy távoli kódot futtató rendszergazda vagy egy DNS-felderítést végző biztonsági ellenőrző. Amellett, hogy közvetlenül a gyanús tevékenységhez is hozzáadhat kizárásokat az idővonalon észlelt gyanús tevékenységhez, a Kizárások konfigurációs lapjára is léphet, és minden gyanús tevékenységhez manuálisan hozzáadhat és eltávolíthat kizárt entitásokat vagy alhálózatokat (például Pass-the-Ticket).
Megjegyzés:
A konfigurációs lapokat csak az ATA rendszergazdái módosíthatják.