Entiteiten uitsluiten van detecties
Van toepassing op: Advanced Threat Analytics versie 1.9
In dit artikel wordt uitgelegd hoe u entiteiten kunt uitsluiten van het activeren van waarschuwingen om echte goedaardige positieven te minimaliseren, maar tegelijkertijd ervoor te zorgen dat u de echte positieven onderscheppen. Als u wilt voorkomen dat ATA luidruchtig is over activiteiten die, van specifieke gebruikers, mogelijk deel uitmaken van uw normale bedrijfsritme, kunt u specifieke entiteiten stilhouden of uitsluiten van het genereren van waarschuwingen.
Als u bijvoorbeeld een beveiligingsscanner hebt die DNS-recon uitvoert of een beheerder die scripts op afstand uitvoert op de domeincontroller, en dit zijn opgegeven activiteiten waarvan de intentie deel uitmaakt van de normale IT-bewerkingen in uw organisatie.
Entiteiten uitsluiten van het genereren van waarschuwingen in ATA:
Er zijn twee manieren waarop u entiteiten kunt uitsluiten, van de verdachte activiteit zelf of van het tabblad Uitsluitingen op de pagina Configuratie .
Van de verdachte activiteit: Wanneer u in de tijdlijn verdachte activiteiten een waarschuwing ontvangt voor een activiteit voor een gebruiker of computer of IP-adres dat de specifieke activiteit mag uitvoeren en dit vaak kan doen, klikt u met de rechtermuisknop op de drie puntjes aan het einde van de rij voor de verdachte activiteit op die entiteit en selecteert u Sluiten en uitsluiten.
Hiermee wordt de gebruiker, computer of IP-adres toegevoegd aan de uitsluitingslijst voor die verdachte activiteit. Hiermee wordt de verdachte activiteit gesloten en wordt deze niet meer weergegeven in de lijst Met geopende gebeurtenissen in de tijdlijn verdachte activiteiten.
Klik op de pagina Configuratie: als u uitsluitingen wilt bekijken of wijzigen: klik onder Configuratie op Uitsluitingen en selecteer vervolgens de verdachte activiteit, zoals gevoelige accountreferenties die beschikbaar zijn gemaakt.
Als u een entiteit wilt verwijderen uit de configuratie van uitsluitingen : klik op het minteken naast de naam van de entiteit en klik vervolgens onderaan de pagina op Opslaan .
Het wordt aanbevolen om uitsluitingen alleen toe te voegen aan detecties nadat u waarschuwingen van het type hebt ontvangen en te bepalen dat ze goedaardige positieven zijn.
Notitie
Voor uw beveiliging bieden niet alle detecties de mogelijkheid om uitsluitingen in te stellen.
Sommige detecties bieden tips waarmee u kunt bepalen wat u wilt uitsluiten.
Elke uitsluiting is afhankelijk van de context, in sommige gevallen kunt u gebruikers instellen terwijl u voor anderen computers of IP-adressen kunt instellen.
Wanneer u de mogelijkheid hebt om een IP-adres of computer uit te sluiten, kunt u een of de andere uitsluiten. U hoeft beide niet op te geven.
Notitie
De configuratiepagina's kunnen alleen worden gewijzigd door ATA-beheerders.