Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Esclusione di entità dai rilevamentiExcluding entities from detections

Questo argomento spiega come escludere entità dall'attivazione degli avvisi, in modo da ridurre al minimo i veri positivi di tipo non dannoso e allo stesso tempo assicurarsi di intercettare i veri positivi.This topic explains how to exclude entities from triggering alerts in order to minimize true benign positives but at the same time, make sure you catch the true positives. Per evitare che ATA crei inutilmente disturbo per attività che potrebbero essere parte del normale impegno lavorativo per utenti specifici, è possibile disattivare, ovvero escludere, entità specifiche dalla generazione di avvisi.In order to keep ATA from being unnecessarily noisy about activities that, from specific users, may be part of your normal rhythm of business, you can quiet - or exclude - specific entities from raising alerts.

Ad esempio, in presenza di uno strumento di analisi di sicurezza che esegue il riconoscimento DNS o di un amministratore che esegue script in remoto nel controller di dominio e quando queste attività sono approvate perché parte delle normale operazioni IT nell'organizzazione.For example, if you have a security scanner that does DNS recon or an admin who remotely runs scripts on the domain controller - and these are sanctioned activities whose intent is part of the normal IT operations in your organization.

Per escludere entità dalla generazione di avvisi in ATA:To exclude entities from raising alerts in ATA:

Esistono due modi per escludere le entità, ovvero dall'attività sospetta stessa oppure dalla scheda Exclusions (Esclusioni) nella pagina Configuration (Configurazione).There are two ways in which you can exclude entities, from the suspicious activity itself, or from the Exclusions tab on the Configuration page.

  • Dall'attività sospetta: nella sequenza temporale dell'attività sospetta, quando si riceve un avviso per un'attività relativa a un utente, un computer o un indirizzo IP autorizzato a eseguire tale attività specifica e che potrebbe eseguirla di frequente, fare clic con il pulsante destro del mouse sui tre puntini alla fine della riga per l'attività sospetta per tale entità e scegliere Close and exclude (Chiudi ed escludi).From the suspicious activity: In the Suspicious activity timeline, when you receive an alert on an activity for a user or computer or IP address that is allowed to perform the particular activity and may do so frequently, right click the three dots at the end of the row for the suspicious activity on that entity, and select Close and exclude.
    L'utente, il computer o l'indirizzo IP verrà così aggiunto all'elenco di esclusioni per l'attività sospetta.This will add the user, computer or IP address to the exclusions list for that suspicious activity. L'attività sospetta verrà inoltre chiusa e non sarà più elencata nell'elenco degli eventi Open (Aperto) in Suspicious activity timeline (Sequenza temporale attività sospette).It will also close the suspicious activity and it will no longer be listed in the Open events list in the Suspicious activity timeline.

    Entità esclusa

  • Dalla pagina Configuration (Configurazione): per esaminare o modificare eventuali esclusioni impostate, in Configuration (Configurazione) fare clic su Exclusions (Esclusioni) e quindi selezionare l'attività sospetta, ad esempio Sensitive account credentials exposed (Esposizione di credenziali di account sensibili).From the Configuration page: To review or modify any exclusions you set: under Configuration click Exclusions and then select the suspicious activity, such as Sensitive account credentials exposed.

    Configurazione delle esclusioni

Per rimuovere un'entità dalla configurazione delle esclusioni, fare clic sul segno meno accanto al nome di entità e quindi fare clic su Save (Salva) nella parte inferiore della pagina.To remove an entity from the Exclusions configuration: click the minus next to the entity name and then click Save at the bottom of the page.

È consigliabile aggiungere esclusioni per i rilevamenti solo dopo aver ricevuto avvisi del tipo specifico e aver determinato che si tratta di veri positivi di tipo non dannoso.It is recommended that you add exclusions to detections only after you get alerts of the type and determine that they are true benign positives.

Nota

Per motivi di sicurezza, non tutti i rilevamenti offrono la possibilità di impostare esclusioni.For your protection, not all detections provide the possibility to set exclusions.

Alcuni rilevamenti forniscono suggerimenti utili per decidere in merito a eventuali esclusioni.Some of the detections provide tips that help you decide what to exclude.

Ogni esclusione dipende dal contesto. Per alcune è possibile impostare gli utenti, mentre per altre è possibile impostare computer o indirizzi IP.Each exclusion depends on the context,in some you can set users while for others you can set computers or IP addresses.

Quando si ha la possibilità di escludere un indirizzo IP o un computer, è possibile escludere uno o l'altro e non è necessario specificare entrambi.When you have the possibility of excluding an IP address or a computer,you can exclude one or the other - you don’t need to provide both.

Nota

Le pagine di configurazione possono essere modificate solo dagli amministratori ATA.The configuration pages can only be modified by ATA admins.

Vedere ancheSee Also