Bekerja dengan Aktivitas Mencurigakan
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Artikel ini menjelaskan dasar-dasar cara bekerja dengan Analitik Ancaman Tingkat Lanjut.
Tinjau aktivitas mencurigakan di lini waktu serangan
Setelah masuk ke Konsol ATA, Anda secara otomatis dibawa ke Garis Waktu Aktivitas Mencurigakan yang terbuka. Aktivitas mencurigakan tercantum dalam urutan kronologis dengan aktivitas mencurigakan terbaru di bagian atas garis waktu. Setiap aktivitas yang mencurigakan memiliki informasi berikut:
Entitas yang terlibat, termasuk pengguna, komputer, server, pengendali domain, dan sumber daya.
Waktu dan jangka waktu aktivitas yang mencurigakan.
Tingkat keparahan aktivitas yang mencurigakan, Tinggi, Sedang, atau Rendah.
Status: Buka, tutup, atau ditekan.
Kemampuan untuk
Bagikan aktivitas mencurigakan dengan orang lain di organisasi Anda melalui email.
Ekspor aktivitas mencurigakan ke Excel.
Catatan
- Saat Anda mengarahkan mouse ke pengguna atau komputer, profil mini entitas ditampilkan yang menyediakan informasi tambahan tentang entitas dan menyertakan jumlah aktivitas mencurigakan yang ditautkan entitas.
- Jika Anda mengklik entitas, itu akan membawa Anda ke profil entitas pengguna atau komputer.
Memfilter daftar aktivitas yang mencurigakan
Untuk memfilter daftar aktivitas yang mencurigakan:
Di panel Filter menurut di sisi kiri layar, pilih salah satu opsi berikut: Semua, Buka, Tutup, atau Ditekan.
Untuk memfilter daftar lebih lanjut, pilih Tinggi, Sedang, atau Rendah.
Tingkat keparahan aktivitas yang mencurigakan
Rendah
Menunjukkan aktivitas mencurigakan yang dapat menyebabkan serangan yang dirancang untuk pengguna atau perangkat lunak berbahaya untuk mendapatkan akses ke data organisasi.
Sedang
Menunjukkan aktivitas mencurigakan yang dapat membuat identitas tertentu berisiko untuk serangan yang lebih parah yang dapat mengakibatkan pencurian identitas atau eskalasi istimewa
Tinggi
Menunjukkan aktivitas mencurigakan yang dapat menyebabkan pencurian identitas, eskalasi hak istimewa, atau serangan berdampak tinggi lainnya
Memulihkan aktivitas yang mencurigakan
Anda dapat mengubah status aktivitas yang mencurigakan dengan mengklik status aktivitas mencurigakan saat ini dan memilih salah satu aktivitas Terbuka, Ditekan, Ditutup, atau Dihapus berikut ini. Untuk melakukan ini, klik tiga titik di sudut kanan atas aktivitas mencurigakan tertentu untuk mengungkapkan daftar tindakan yang tersedia.
Status aktivitas yang mencurigakan
Buka: Semua aktivitas mencurigakan baru muncul dalam daftar ini.
Tutup: Digunakan untuk melacak aktivitas mencurigakan yang Anda identifikasi, diteliti, dan diperbaiki untuk dimitigasi.
Catatan
Jika aktivitas yang sama terdeteksi lagi dalam waktu singkat, ATA dapat membuka kembali aktivitas tertutup.
Menekan: Menekan aktivitas berarti Anda ingin mengabaikannya untuk saat ini, dan hanya diberi tahu lagi jika ada instans baru. Ini berarti bahwa jika ada pemberitahuan serupa ATA tidak membukanya kembali. Tetapi jika pemberitahuan berhenti selama tujuh hari, dan kemudian terlihat lagi, Anda akan diberi tahu lagi.
Hapus: Jika Anda Menghapus pemberitahuan, pemberitahuan dihapus dari sistem, dari database dan Anda TIDAK akan dapat memulihkannya. Setelah mengklik hapus, Anda akan dapat menghapus semua aktivitas mencurigakan dengan jenis yang sama.
Kecualikan: Kemampuan untuk mengecualikan entitas agar tidak menaikkan lebih banyak jenis pemberitahuan tertentu. Misalnya, Anda dapat mengatur ATA untuk mengecualikan entitas tertentu (pengguna atau komputer) agar tidak memperingatkan lagi untuk jenis aktivitas mencurigakan tertentu, seperti admin tertentu yang menjalankan kode jarak jauh atau pemindai keamanan yang melakukan pengintaian DNS. Selain dapat menambahkan pengecualian langsung pada aktivitas Mencurigakan karena terdeteksi di garis waktu, Anda juga dapat membuka halaman Konfigurasi ke Pengecualian, dan untuk setiap aktivitas mencurigakan, Anda dapat menambahkan dan menghapus entitas atau subnet yang dikecualikan secara manual (misalnya untuk Pass-the-Ticket).
Catatan
Halaman konfigurasi hanya dapat dimodifikasi oleh admin ATA.