共用方式為


使用可疑活動

適用于:進階威脅分析 1.9 版

本文說明如何使用 Advanced Threat Analytics 的基本概念。

檢閱攻擊時間表上的可疑活動

登入 ATA 主控台之後,系統會自動進入開啟 的可疑啟用時間線 。 可疑活動會依時間順序列出,時間表頂端最新的可疑活動。 每個可疑活動都有下列資訊:

  • 涉及的實體,包括使用者、電腦、伺服器、網域控制站和資源。

  • 可疑活動的時間和時間範圍。

  • 可疑活動的嚴重性、高、中或低。

  • 狀態:開啟、關閉或隱藏。

  • 能夠

    • 透過電子郵件與組織中的其他人共用可疑活動。

    • 將可疑的活動匯出至 Excel。

注意

  • 當您將滑鼠停留在使用者或電腦上時,會顯示實體迷你設定檔,以提供實體的其他資訊,並包含實體所連結的可疑活動數目。
  • 如果您按一下實體,它會帶您前往使用者或電腦的實體設定檔。

ATA suspicious activities timeline image.

篩選可疑的活動清單

若要篩選可疑的活動清單:

  1. 在畫面左側的 [ 篩選依據 ] 窗格中,選取下列其中一個選項: [全部 ]、[開啟 ]、 [已關閉 ] 或 [ 已隱藏]。

  2. 若要進一步篩選清單,請選取 [高 ]、 [中 ] 或 [低]。

可疑的活動嚴重性

  • 指出可能導致惡意使用者或軟體存取組織資料的可疑活動。

  • 指出可能讓特定身分識別面臨更嚴重攻擊風險的可疑活動,可能導致身分識別遭竊或特殊許可權提升

  • 指出可能導致身分識別竊取、許可權提升或其他高影響攻擊的可疑活動

補救可疑活動

您可以按一下可疑活動的目前狀態,然後選取下列 其中一個 [開啟 ]、[隱藏 ]、 [ 已關閉 ] 或 [已刪除 ] 來變更可疑活動的狀態。 若要這樣做,請按一下特定可疑活動右上角的三個點,以顯示可用的動作清單。

ATA Actions for suspicious activities.

可疑的活動狀態

  • 開啟 :此清單中會出現所有新的可疑活動。

  • 關閉 :用來追蹤您識別、研究及修正的可疑活動,以減輕風險。

    注意

    如果在短時間內再次偵測到相同的活動,ATA 可能會重新開啟關閉的活動。

  • 隱藏 :隱藏活動表示您目前想要忽略它,而且只有在有新的實例時,才會再次發出警示。 這表示如果有類似的警示 ATA 不會重新開啟。 但是,如果警示停止七天,然後再看到一次,您就會再次收到警示。

  • 刪除 :如果您刪除警示,則會從系統、資料庫刪除警示,而且您將無法還原警示。 按一下 [刪除] 之後,您將能夠刪除相同類型的所有可疑活動。

  • 排除 :排除實體無法引發更多特定類型的警示。 例如,您可以設定 ATA 來排除特定實體(使用者或電腦)再次警示特定類型的可疑活動,例如執行遠端程式碼的特定系統管理員或執行 DNS 偵察的安全性掃描器。 除了能夠直接在可疑活動上新增排除專案,因為它在時間表中偵測到,您也可以移至 [設定] 頁面至 [排除 專案],而且針對每個可疑活動,您可以手動新增和移除排除的實體或子網(例如 Pass-the-Ticket)。

    注意

    設定頁面只能由 ATA 系統管理員修改。

另請參閱