Práce s podezřelými aktivitami
Platí pro: Advanced Threat Analytics verze 1.9
Tento článek vysvětluje základy práce s Advanced Threat Analytics.
Kontrola podezřelých aktivit na časové hranici útoku
Po přihlášení ke konzole ATA se automaticky přesunete do otevřeného časového řádku podezřelých aktivit. Podezřelé aktivity jsou uvedené v chronologickém pořadí s nejnovějšími podezřelými aktivitami v horní části časového řádku. Každá podezřelá aktivita obsahuje následující informace:
Zahrnuté entity, včetně uživatelů, počítačů, serverů, řadičů domény a prostředků.
Časy a časový rámec podezřelých aktivit.
Závažnost podezřelé aktivity, vysoké, střední nebo nízké.
Stav: Otevřená, uzavřená nebo potlačená.
Schopnost
Sdílejte podezřelou aktivitu s dalšími lidmi ve vaší organizaci prostřednictvím e-mailu.
Export podezřelé aktivity do Excelu
Poznámka:
- Když najedete myší na uživatele nebo počítač, zobrazí se miniprofil entita, která poskytuje další informace o entitě a obsahuje počet podezřelých aktivit, se kterými je entita propojená.
- Pokud kliknete na entitu, přejdete do profilu entity uživatele nebo počítače.
Filtrování seznamu podezřelých aktivit
Filtrování seznamu podezřelých aktivit:
V podokně Filtrovat podle na levé straně obrazovky vyberte jednu z následujících možností: Vše, Otevřít, Uzavřeno nebo Potlačeno.
Chcete-li seznam dále filtrovat, vyberte Možnost Vysoká, Střední nebo Nízká.
Závažnost podezřelé aktivity
Nízké
Označuje podezřelé aktivity, které můžou vést k útokům určeným pro škodlivé uživatele nebo software, aby získaly přístup k datům organizace.
Medium
Označuje podezřelé aktivity, které můžou ohrozit konkrétní identity pro přísnější útoky, které by mohly vést ke krádeži identity nebo privilegovanému eskalaci.
Vysoké
Označuje podezřelé aktivity, které můžou vést k krádeži identity, eskalaci oprávnění nebo jiným útokům s vysokým dopadem.
Náprava podezřelých aktivit
Stav podezřelé aktivity můžete změnit tak, že kliknete na aktuální stav podezřelé aktivity a vyberete jednu z následujících možností Otevřít, Potlačeno, Uzavřeno nebo Odstraněno. Uděláte to tak, že kliknete na tři tečky v pravém horním rohu konkrétní podezřelé aktivity a zobrazí se seznam dostupných akcí.
Stav podezřelé aktivity
Otevřít: V tomto seznamu se zobrazí všechny nové podezřelé aktivity.
Zavřít: Slouží ke sledování podezřelých aktivit, které jste identifikovali, prozkoumali a opravili pro zmírnění.
Poznámka:
Pokud se stejná aktivita zjistí znovu během krátkého časového období, ATA může znovu otevřít uzavřenou aktivitu.
Potlačení: Potlačení aktivity znamená, že ji prozatím chcete ignorovat, a pokud existuje nová instance, bude znovu upozorňována. To znamená, že pokud se zobrazí podobná výstraha, ATA ji znovu neotevře. Pokud se ale výstraha zastaví sedm dní a zobrazí se znovu, budete znovu upozorněni.
Odstranění: Pokud odstraníte výstrahu, odstraní se ze systému z databáze a nebudete ji moct obnovit. Po kliknutí na odstranit budete moct odstranit všechny podezřelé aktivity stejného typu.
Vyloučení: Možnost vyloučit entitu z vyvolání více určitého typu výstrah. AtA můžete například nastavit tak, aby se konkrétní entita (uživatel nebo počítač) znovu upozorňovala na určitý typ podezřelé aktivity, například konkrétní správce, který spouští vzdálený kód nebo skener zabezpečení, který provádí rekognoskaci DNS. Kromě možnosti přidávat vyloučení přímo na podezřelou aktivitu, protože se detekuje v časovém řádku, můžete také přejít na stránku Konfigurace na vyloučení a pro každou podezřelou aktivitu, kterou můžete ručně přidat a odebrat vyloučené entity nebo podsítě (například Pass-the-Ticket).
Poznámka:
Konfigurační stránky můžou upravovat jenom správci ATA.