Trabalhar com atividades suspeitas
Aplica-se a: Advanced Threat Analytics versão 1.9
Este artigo explica as noções básicas de como trabalhar com o Advanced Threat Analytics.
Analise atividades suspeitas na linha do tempo do ataque
Depois de fazer login no Console do ATA, você será automaticamente direcionado para a Linha do Tempo de Atividades Suspeitas aberta. As atividades suspeitas são listadas em ordem cronológica com as atividades suspeitas mais recentes na parte superior da linha do tempo. Cada atividade suspeita tem as seguintes informações:
Entidades envolvidas, incluindo utilizadores, computadores, servidores, controladores de domínio e recursos.
Horários e prazos das atividades suspeitas.
Gravidade da atividade suspeita, Alta, Média ou Baixa.
Estado: Aberto, fechado ou suprimido.
Capacidade de
Partilhe a atividade suspeita com outras pessoas na sua organização por e-mail.
Exporte a atividade suspeita para o Excel.
Nota
- Quando você passa o mouse sobre um usuário ou computador, é exibido um miniperfil de entidade que fornece informações adicionais sobre a entidade e inclui o número de atividades suspeitas às quais a entidade está vinculada.
- Se você clicar em uma entidade, ele o levará ao perfil de entidade do usuário ou computador.
Filtrar lista de atividades suspeitas
Para filtrar a lista de atividades suspeitas:
No painel Filtrar por, no lado esquerdo do ecrã, selecione uma das seguintes opções: Tudo, Abrir, Fechado ou Suprimido.
Para filtrar ainda mais a lista, selecione Alto, Médio ou Baixo.
Gravidade da atividade suspeita
Baixo
Indica atividades suspeitas que podem levar a ataques projetados para usuários mal-intencionados ou software para obter acesso a dados organizacionais.
Medium
Indica atividades suspeitas que podem colocar identidades específicas em risco para ataques mais graves que podem resultar em roubo de identidade ou escalonamento privilegiado
Alto
Indica atividades suspeitas que podem levar ao roubo de identidade, escalonamento de privilégios ou outros ataques de alto impacto
Remediar atividades suspeitas
Você pode alterar o status de uma atividade suspeita clicando no status atual da atividade suspeita e selecionando uma das seguintes opções Abrir, Suprimido, Fechado ou Excluído. Para fazer isso, clique nos três pontos no canto superior direito de uma atividade suspeita específica para revelar a lista de ações disponíveis.
Status de atividade suspeita
Aberto: todas as novas atividades suspeitas aparecem nesta lista.
Fechar: é usado para rastrear atividades suspeitas que você identificou, pesquisou e corrigiu para mitigação.
Nota
Se a mesma atividade for detetada novamente dentro de um curto período de tempo, o ATA poderá reabrir uma atividade fechada.
Suprimir: suprimir uma atividade significa que você deseja ignorá-la por enquanto e só ser alertado novamente se houver uma nova instância. Isso significa que, se houver um alerta semelhante, o ATA não o reabrirá. Mas se o alerta parar por sete dias e for visto novamente, você será alertado novamente.
Excluir: Se você excluir um alerta, ele será excluído do sistema, do banco de dados e você NÃO poderá restaurá-lo. Depois de clicar em excluir, você poderá excluir todas as atividades suspeitas do mesmo tipo.
Excluir: A capacidade de excluir uma entidade de gerar mais de um determinado tipo de alertas. Por exemplo, você pode definir o ATA para excluir uma entidade específica (usuário ou computador) de alertar novamente para um determinado tipo de atividade suspeita, como um administrador específico que executa código remoto ou um verificador de segurança que faz reconhecimento de DNS. Além de poder adicionar exclusões diretamente na atividade Suspeita conforme ela é detetada na linha do tempo, você também pode ir para a página Configuração para Exclusões e, para cada atividade suspeita, pode adicionar e remover manualmente entidades ou sub-redes excluídas (por exemplo, para Pass-the-Ticket).
Nota
As páginas de configuração só podem ser modificadas por administradores do ATA.