Şüpheli Etkinliklerle Çalışma
Şunlar için geçerlidir: Advanced Threat Analytics sürüm 1.9
Bu makalede Advanced Threat Analytics ile çalışmanın temelleri açıklanmaktadır.
Saldırı zaman çizgisinde şüpheli etkinlikleri gözden geçirme
ATA Konsolu'nda oturum açtıktan sonra, otomatik olarak açık Şüpheli Etkinlikler Zaman Satırı'na yönlendirilirsiniz. Şüpheli etkinlikler, en yeni şüpheli etkinlikler zaman çizgisinin en üstünde olacak şekilde kronolojik sırada listelenir. Her şüpheli etkinlik aşağıdaki bilgilere sahiptir:
Kullanıcılar, bilgisayarlar, sunucular, etki alanı denetleyicileri ve kaynaklar dahil olmak üzere ilgili varlıklar.
Şüpheli etkinliklerin zaman ve zaman çerçevesi.
Şüpheli etkinliğin önem derecesi, Yüksek, Orta veya Düşük.
Durum: Açma, kapatma veya gizleme.
-
Şüpheli etkinliği kuruluşunuzdaki diğer kişilerle e-posta yoluyla paylaşın.
Şüpheli etkinliği Excel'e aktarın.
Dekont
- Farenizi bir kullanıcı veya bilgisayarın üzerine getirdiğinizde, varlık hakkında ek bilgi sağlayan ve varlığın bağlı olduğu şüpheli etkinliklerin sayısını içeren bir varlık mini profili görüntülenir.
- Bir varlığa tıklarsanız, bu sizi kullanıcının veya bilgisayarın varlık profiline götürür.
Şüpheli etkinlikler listesini filtreleme
Şüpheli etkinlikler listesini filtrelemek için:
Ekranın sol tarafındaki Filtre ölçütü bölmesinde şu seçeneklerden birini belirleyin: Tümü, Aç, Kapalı veya Gizlendi.
Listeyi daha fazla filtrelemek için Yüksek, Orta veya Düşük'i seçin.
Şüpheli etkinlik önem derecesi
Düşük
Kurumsal verilere erişim elde etmek için kötü amaçlı kullanıcılar veya yazılımlar için tasarlanmış saldırılara yol açabilecek şüpheli etkinlikleri gösterir.
Medium
Kimlik hırsızlığına veya ayrıcalıklı yükseltmeye neden olabilecek daha ciddi saldırılar için belirli kimlikleri riske atabilen şüpheli etkinlikleri gösterir
Yüksek
Kimlik hırsızlığına, ayrıcalık yükseltmesine veya diğer yüksek etkili saldırılara yol açabilecek şüpheli etkinlikleri gösterir
Şüpheli etkinlikleri düzeltme
Şüpheli etkinliğin geçerli durumuna tıklayıp aşağıdaki Açık, Gizlenen, Kapatılan veya Silinenlerden birini seçerek şüpheli etkinliğin durumunu değiştirebilirsiniz. Bunu yapmak için, belirli bir şüpheli etkinliğin sağ üst köşesindeki üç noktaya tıklayarak kullanılabilir eylemlerin listesini görüntüleyin.
Şüpheli etkinlik durumu
Aç: Tüm yeni şüpheli etkinlikler bu listede görünür.
Kapat: Tanımladığınız, araştırdığınız ve düzeltilen şüpheli etkinlikleri izlemek için kullanılır.
Dekont
Aynı etkinlik kısa bir süre içinde yeniden algılanırsa, ATA kapalı bir etkinliği yeniden açabilir.
Gizleme: Bir etkinliğin gizlenmesini engellemek, etkinliği şimdilik yoksaymak ve yalnızca yeni bir örnek varsa yeniden uyarı almak istediğiniz anlamına gelir. Bu, benzer bir uyarı varsa ATA'nın bu uyarıyı yeniden açmadığı anlamına gelir. Ancak uyarı yedi gün boyunca durursa ve yeniden görülürse, yeniden uyarı alırsınız.
Sil: Bir uyarıyı silerseniz sistemden, veritabanından silinir ve geri yükleyemezsiniz. Sil'e tıkladıktan sonra aynı türdeki tüm şüpheli etkinlikleri silebilirsiniz.
Dışla: Bir varlığın belirli bir uyarı türünden daha fazla oluşturulmasını dışlama özelliği. Örneğin, ATA'yı belirli bir varlığı (kullanıcı veya bilgisayar) uzak kod çalıştıran belirli bir yönetici veya DNS keşfi yapan bir güvenlik tarayıcısı gibi belirli bir şüpheli etkinlik türü için yeniden uyarılardan dışlamak üzere ayarlayabilirsiniz. Zaman satırında algılandığı gibi doğrudan Şüpheli etkinliğe dışlama ekleyebilmenin yanı sıra, Yapılandırma sayfasına Dışlamalar'a gidebilir ve her şüpheli etkinlik için dışlanan varlıkları veya alt ağları (örneğin Pass-the-Ticket) el ile ekleyip kaldırabilirsiniz.
Dekont
Yapılandırma sayfaları yalnızca ATA yöneticileri tarafından değiştirilebilir.