Varlıkları algılamalardan dışlama

  • Makale

Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9

Bu makalede, gerçek iyi huylu pozitifleri en aza indirmek için varlıkların uyarıları tetiklemesinin nasıl dışlandığı açıklanır, ancak aynı zamanda gerçek pozitifleri yakaladığınızdan emin olun. ATA'nın belirli kullanıcılardan gelen ve normal iş ritminizin bir parçası olabilecek etkinlikler hakkında gürültülü olmasını sağlamak için, belirli varlıkların uyarı oluşturmasını engelleyebilir veya hariç tutabilirsiniz.

Örneğin, DNS mutabakatı yapan bir güvenlik tarayıcınız veya etki alanı denetleyicisinde betikleri uzaktan çalıştıran bir yöneticiniz varsa ve bunlar, amacı kuruluşunuzdaki normal BT işlemlerinin bir parçası olan tasdikli etkinliklerdir.

ATA'da varlıkların uyarı oluşturmasını dışlamak için:

Varlıkları şüpheli etkinliğin kendisinden veya Yapılandırma sayfasındaki Dışlamalar sekmesinden hariç tutmanın iki yolu vardır.

  • Şüpheli etkinlikten: Şüpheli etkinlik zaman çizelgesinde, belirli bir etkinliği gerçekleştirmesine izin verilen bir kullanıcı veya bilgisayar veya IP adresi için bir etkinlikle ilgili uyarı aldığınızda ve bunu sık sık gerçekleştirebilirseniz, söz konusu varlıktaki şüpheli etkinlik için satırın sonundaki üç noktaya sağ tıklayın ve Kapat ve dışla'yı seçin.

    Bu, kullanıcı, bilgisayar veya IP adresini bu şüpheli etkinliğin dışlamalar listesine ekler. Şüpheli etkinliği kapatır ve artık Şüpheli etkinlik zaman çizelgesindeki Açık olaylar listesinde listelenmez.

    Exclude entity.

  • Yapılandırma sayfasından: Dışlamaları gözden geçirmek veya değiştirmek için: Yapılandırma'nın altında Dışlamalar'a tıklayın ve ardından kullanıma sunulan Hassas hesap kimlik bilgileri gibi şüpheli etkinliği seçin.

    Exclusion configuration.

Dışlamalar yapılandırmasından bir varlığı kaldırmak için: Varlık adının yanındaki eksiye tıklayın ve sonra sayfanın en altındaki Kaydet'e tıklayın.

Yalnızca türüyle ilgili uyarılar aldıktan ve bunların doğru zararsız pozitifler olduğunu belirledikten sonra algılamalara dışlamalar eklemeniz önerilir.

Dekont

Korumanız için, tüm algılamalar dışlamaları ayarlama olanağı sağlamaz.

Bazı algılamalar, neleri dışlamanız gerektiğine karar vermenize yardımcı olacak ipuçları sağlar.

Her dışlama bağlama bağlıdır, bazılarında kullanıcıları ayarlayabilirken, diğerleri için bilgisayarları veya IP adreslerini ayarlayabilirsiniz.

BIR IP adresini veya bilgisayarı dışlama olasılığınız varsa, birini veya diğerini dışlayabilirsiniz; ikisini de sağlamanız gerekmez.

Dekont

Yapılandırma sayfaları yalnızca ATA yöneticileri tarafından değiştirilebilir.

Ayrıca bkz: