Si applica a: Advanced Threat Analytics versione 1.8Applies to: Advanced Threat Analytics version 1.8

Gestione di attività sospetteWorking with Suspicious Activities

Questo articolo illustra i concetti di base per l'utilizzo di Advanced Threat Analytics.This article explains the basics of how to work with Advanced Threat Analytics.

Esaminare le attività sospette nella sequenza temporale di attaccoReview suspicious activities on the attack time line

Dopo l'accesso alla console ATA, viene automaticamente visualizzata la sequenza temporale delle attività sospette.After logging in to the ATA Console, you are automatically taken to the open Suspicious Activities Time Line. Le attività sospette sono elencate in ordine cronologico con quelle più recenti nella parte superiore della sequenza temporale.Suspicious activities are listed in chronological order with the newest suspicious activities on the top of the time line. Ogni attività sospetta include informazioni relative agli aspetti seguenti:Each suspicious activity has the following information:

  • Entità coinvolte, inclusi utenti, computer, server, controller di dominio e risorse.Entities involved, including users, computers, servers, domain controllers, and resources.

  • Orari e intervallo di tempo delle attività sospette.Times and time frame of the suspicious activities.

  • Gravità dell'attività sospetta, che può essere alta, media o bassa.Severity of the suspicious activity, High, Medium, or Low.

  • Stato, che può essere aperta, chiusa o soppressa.Status: Open, closed, or suppressed.

  • Possibilità diAbility to

    • Condividere l'attività sospetta con altre persone dell'organizzazione tramite posta elettronica.Share the suspicious activity with other people in your organization via email.

    • Esportare l'attività sospetta in Excel.Export the suspicious activity to Excel.

    • Aggiungere una nota all'attività sospetta.Add a note to the suspicious activity.

    • Fornire input sull'attività sospetta.Provide input on the suspicious activity.

Nota

  • Quando si passa il puntatore del mouse su un utente o un computer, viene visualizzato un breve profilo di entità che fornisce informazioni aggiuntive sull'entità e include il numero di attività sospette a cui l'entità è collegata.When you hover your mouse over a user or computer, an entity mini-profile is displayed that provides additional information about the entity and includes the number of suspicious activities that the entity is linked to.
  • Se si fa clic su un'entità, viene visualizzato il profilo di entità dell'utente o del computer.If you click on an entity, it takes you to the entity profile of the user or computer.

Immagine della sequenza temporale delle attività sospette di ATA

Filtrare l'elenco di attività sospetteFilter suspicious activities list

Per filtrare l'elenco di attività sospette:To filter the suspicious activities list:

  1. Nel riquadro Filter by (Filtra per) a sinistra della schermata selezionare una delle opzioni seguenti: All (Tutte), Open (Aperte), Closed (Chiuse) o Suppressed (Soppresse).In the Filter by pane on the left side of the screen, select one of the following options: All, Open, Closed, or Suppressed.

  2. Per filtrare ulteriormente l'elenco, selezionare High (Alta), Medium (Media) o Low (Bassa).To further filter the list, select High, Medium, or Low.

Gravità delle attività sospetteSuspicious activity severity

  • BassaLow

    Indica attività sospette che possono portare ad attacchi progettati per consentire a utenti malintenzionati o software dannoso di ottenere l'accesso ai dati aziendali.Indicates suspicious activities that can lead to attacks designed for malicious users or software to gain access to organizational data.

  • MediaMedium

    Indica attività sospette che possono mettere identità specifiche a rischio di attacchi più gravi che potrebbero comportare il furto di identità o l'escalation dei privilegi.Indicates suspicious activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation

  • AltaHigh

    Indica attività sospette che possono comportare il furto di identità, l'escalation dei privilegi o altri attacchi a impatto elevato.Indicates suspicious activities that can lead to identity theft, privilege escalation, or other high-impact attacks

Correzione delle attività sospetteRemediating suspicious activities

È possibile modificare lo stato di un'attività sospetta facendo clic sullo stato corrente dell'attività sospetta e selezionando una delle opzioni seguenti: Open (Aperta), Suppressed (Soppressa), Closed (Chiusa) o Deleted (Eliminata).You can change the status of a suspicious activity by clicking the current status of the suspicious activity and selecting one of the following Open, Suppressed, Closed, or Deleted. A tale scopo, fare clic sui tre puntini di sospensione nell'angolo superiore destro di un'attività sospetta specifica per visualizzare l'elenco delle azioni disponibili.To do this, click the three dots at the top right corner of a specific suspicious activity to reveal the list of available actions.

Azioni ATA per le attività sospette

Stato delle attività sospetteSuspicious activity status

  • Open (Apri): tutte le nuove attività sospette vengono visualizzate nell'elenco.Open: All new suspicious activities appear in this list.

  • Close (Chiudi): consente di tenere traccia delle attività sospette identificate, analizzate e corrette per ridurre i rischi.Close: Is used to track suspicious activities that you identified, researched, and fixed for mitigated.

    Nota

    Se la stessa attività viene rilevata di nuovo entro un breve periodo di tempo, ATA può riaprire un'attività chiusa.If the same activity is detected again within a short period of time, ATA may reopen a closed activity.

  • Suppress (Rifiuta): il rifiuto di un'attività indica che si vuole ignorare l'attività ed essere soltanto avvisati se è presente una nuova istanza.Suppress: Suppressing an activity means you want to ignore it for now, and only be alerted again if there's a new instance. Ciò significa che se è presente un avviso simile, ATA non lo riapre.This means that if there's a similar alert ATA doesn't reopen it. Tuttavia, se l'avviso non si ripresenta per sette giorni e quindi viene visualizzato nuovamente, viene generato di nuovo un avviso.But if the alert stops for seven days, and is then seen again, you are alerted again.

  • Delete (Elimina): se si elimina un avviso, l'avviso viene eliminato dal sistema e dal database e NON sarà possibile ripristinarlo.Delete: If you Delete an alert, it is deleted from the system, from the database and you will NOT be able to restore it. Dopo aver fatto clic su Delete (Elimina), sarà possibile eliminare tutte le attività sospette dello stesso tipo.After you click delete, you'll be able to delete all suspicious activities of the same type.

  • Exclude (Escludi): è possibile escludere un'entità dalla generazione di più tipi di avvisi.Exclude: The ability to exclude an entity from raising more of a certain type of alerts. È possibile ad esempio impostare ATA in modo che un'entità specifica (utente o computer) non generi più avvisi per un determinato tipo di attività sospetta, ad esempio un amministratore specifico che esegue codice remoto o un'analisi della sicurezza che esegue l'esplorazione DNS.For example, you can set ATA to exclude a specific entity (user or computer) from alerting again for a certain type of suspicious activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. Oltre a poter aggiungere le esclusioni direttamente nell'attività sospetta non appena viene rilevata nella cronologia, è anche possibile passare a Exclusions (Esclusioni) nella pagina Configuration (Configurazione) e per ogni attività sospetta aggiungere e rimuovere manualmente le entità escluse o le subnet, ad esempio Pass-the-Ticket).In addition to being able to add exclusions directly on the Suspicious activity as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each suspicious activity you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).

    Nota

    Le pagine di configurazione possono essere modificate solo dagli amministratori ATA.The configuration pages can only be modified by ATA admins.

Vedere ancheSee Also