Обработка подозрительных действий

Применяется к: Advanced Threat Analytics версии 1.9

В этой статье рассматриваются основы работы с решением Advanced Threat Analytics.

Проверка подозрительных действий на временной шкале атаки

После входа в консоль ATA автоматически откроется временная шкала подозрительных действий. Подозрительные действия перечислены в хронологическом порядке, при этом последние действия указаны в верхней строке временной шкалы. Для каждого подозрительного действия указана следующая информация:

  • сведения о вовлеченных сущностях, в том числе о пользователях, компьютерах, серверах, контроллерах домена и ресурсах;

  • время совершения и временные рамки подозрительных действий;

  • степень серьезности подозрительных действий: высокая, средняя или низкая;

  • Состояние: открыто, закрыто или заблокировано;

  • возможности:

    • отправка сведений о подозрительных действиях другим сотрудникам вашей организации по электронной почте;

    • экспорт сведений о подозрительных действиях в Excel;

Примечание

  • При наведении мыши на имя пользователя или компьютер отображается мини-профиль сущности, содержащий дополнительные сведения, в том числе сведения о количестве подозрительных действий, связанных с этой сущностью.
  • При выборе сущности вы перейдете в профиль сущности пользователя или компьютера.

Изображение временной шкалы подозрительных действий ATA.

Фильтрация списка подозрительных действий

Для фильтрации списка подозрительных действий сделайте вот что:

  1. В области Фильтрация по в левой части экрана выберите один из следующих вариантов: Все, Открыто, Закрыто или Заблокировано.

  2. Чтобы еще глубже отфильтровать список, выберите один из вариантов: Высокая, Средняя или Низкая.

Степень серьезности подозрительного действия

  • Низкая

    Указывает на подозрительные действия, которые могут привести к атакам, в результате которых пользователи-злоумышленники или вредоносное программное обеспечение, возможно, получат доступ к данным организации.

  • Средняя

    Указывает на подозрительные действия, которые могут поставить под угрозу определенные удостоверения и тем самым создать предпосылки для более серьезных атак с вероятностью кражи идентификационных данных или совершения неправомерных действий от имени пользователя.

  • Высокая

    Указывает на подозрительные действия, которые могут привести к краже идентификационных данных, совершению неправомерных действий от имени пользователя или более серьезным атакам.

Принятие мер в отношении подозрительных действий

Вы можете изменить состояние подозрительного действия, щелкнув его текущее состояние и выбрав один из следующих вариантов: Открыто, Заблокировано, Закрыто или Удалено. Для этого щелкните многоточие в правом верхнем углу соответствующего подозрительного действия, чтобы открыть список доступных действий.

Действия ATA для подозрительных действий.

Состояние подозрительного действия

  • Открыть: в этом списке отображаются все новые подозрительные действия.

  • Закрыть: используется для отслеживания подозрительных действий, которые были выявлены и изучены и возможные последствия которых минимизированы.

    Примечание

    ATA может повторно открывать закрытое действие, если оно будет обнаружено еще раз в течение короткого периода времени.

  • Заблокировать: блокировка действия означает, что в настоящее время оно игнорируется и что оповещение о нем выводится снова, только если оно обнаружено повторно. Это означает, что при наличии схожего оповещения ATA не откроет его еще раз. Но если оповещение отсутствует в течение семи дней, а затем снова возникает, оно будет выведено повторно.

  • Удалить: оповещение удаляется из системы и из базы данных. Восстановить его невозможно. Щелкнув "Удалить", можно удалить все подозрительные действия одного типа.

  • Исключить: возможность отключить инициацию оповещений определенного типа для сущности. Например, можно запретить ATA инициировать для определенной сущности (пользователя или компьютера) оповещения о подозрительных действиях указанного типа, например об удаленном выполнении кода определенным администратором или проверке DNS сканером безопасности. Помимо возможности добавлять исключения для обнаруженных подозрительных действий непосредственно на временной шкале, вы можете открыть страницу "Конфигурация", перейти к разделу Исключения и вручную добавить или удалить исключаемые сущности или подсети для каждого подозрительного действия (например, атаки Pass-the-Ticket).

    Примечание

    Изменения на странице "Конфигурация" могут вносить только администраторы ATA.

См. также раздел