의심스러운 활동 작업
적용 대상: Advanced Threat Analytics 버전 1.9
이 문서에서는 Advanced Threat Analytics를 사용하는 방법의 기본 사항을 설명합니다.
공격 시간대에서 의심스러운 활동 검토
ATA 콘솔에 로그인하면 의심스러운 활동 시간 표시줄이 자동으로 열립니다. 의심스러운 활동은 시간순으로 나열되며, 최신 의심스러운 활동이 시간대 맨 위에 표시됩니다. 각 의심스러운 활동에는 다음 정보가 있습니다.
사용자, 컴퓨터, 서버, 할기본 컨트롤러 및 리소스를 포함하여 관련된 엔터티입니다.
의심스러운 활동의 시간 및 시간 프레임입니다.
의심스러운 활동의 심각도, 높음, 중간 또는 낮음
상태: 열기, 닫힘 또는 표시 안 함
기능
이메일을 통해 조직의 다른 사용자와 의심스러운 활동을 공유합니다.
의심스러운 활동을 Excel로 내보냅니다.
참고 항목
- 사용자 또는 컴퓨터 위로 마우스를 가져가면 엔터티에 대한 추가 정보를 제공하고 엔터티가 연결된 의심스러운 활동 수가 포함된 엔터티 미니 프로필이 표시됩니다.
- 엔터티를 클릭하면 사용자 또는 컴퓨터의 엔터티 프로필로 이동합니다.
의심스러운 활동 목록 필터링
의심스러운 활동 목록을 필터링하려면 다음을 수행합니다.
화면 왼쪽의 필터 기준 창에서 모두, 열기, 닫힘 또는 표시 안 함 옵션 중 하나를 선택합니다.
목록을 추가로 필터링하려면 높음, 보통 또는 낮음을 선택합니다.
의심스러운 활동 심각도
낮음
악의적인 사용자 또는 소프트웨어가 조직 데이터에 액세스하도록 설계된 공격으로 이어질 수 있는 의심스러운 활동을 나타냅니다.
중간
ID 도용 또는 권한 상승이 발생할 수 있는 더 심각한 공격에 특정 ID를 위험에 빠뜨릴 수 있는 의심스러운 활동을 나타냅니다.
높음
ID 도용, 권한 상승 또는 기타 영향력이 큰 공격으로 이어질 수 있는 의심스러운 활동을 나타냅니다.
의심스러운 활동 수정
의심스러운 활동의 현재 상태 클릭하고 다음 열기, 표시 안 함, 닫힘 또는 삭제 중 하나를 선택하여 의심스러운 활동의 상태 변경할 수 있습니다. 이렇게 하려면 특정 의심스러운 활동의 오른쪽 위 모서리에 있는 세 개의 점을 클릭하여 사용 가능한 작업 목록을 표시합니다.
의심스러운 활동 상태
열기: 의심스러운 모든 활동이 이 목록에 표시됩니다.
닫기: 완화를 위해 식별, 조사 및 수정한 의심스러운 활동을 추적하는 데 사용됩니다.
참고 항목
짧은 시간 내에 동일한 활동이 다시 검색되면 ATA에서 닫힌 활동을 다시 열 수 있습니다.
표시 안 함: 활동을 표시하지 않으면 지금은 해당 작업을 무시하고 새 인스턴스가 있는 경우에만 다시 경고를 받을 수 있습니다. 즉, 유사한 경고가 있는 경우 ATA가 다시 열리지 않습니다. 그러나 경고가 7일 동안 중지되고 다시 표시되면 다시 경고가 표시됩니다.
삭제: 경고를 삭제하면 시스템에서 데이터베이스에서 삭제되며 복원할 수 없습니다. 삭제를 클릭하면 동일한 유형의 의심스러운 모든 활동을 삭제할 수 있습니다.
제외: 엔터티가 특정 유형의 경고를 더 많이 발생시키는 것을 제외하는 기능입니다. 예를 들어 원격 코드를 실행하는 특정 관리자 또는 DNS 정찰을 수행하는 보안 스캐너와 같은 특정 유형의 의심스러운 활동에 대한 경고에서 특정 엔터티(사용자 또는 컴퓨터)를 다시 경고하지 않도록 ATA를 설정할 수 있습니다. 시간줄에서 검색된 의심스러운 활동에 직접 제외를 추가할 수 있을 뿐만 아니라 구성 페이지로 이동하여 제외로 이동하고, 의심스러운 각 활동에 대해 제외된 엔터티 또는 서브넷(예: Pass-the-Ticket)을 수동으로 추가 및 제거할 수 있습니다.
참고 항목
구성 페이지는 ATA 관리자만 수정할 수 있습니다.