Исключение сущностей из обнаружения
Область применения: Advanced Threat Analytics версии 1.9
В этой статье объясняется, как исключить сущности из запуска оповещений, чтобы свести к минимуму истинные доброкачественные положительные, но в то же время убедитесь, что вы поймаете истинные положительные. Для того, чтобы ATA было шумно о действиях, которые, от конкретных пользователей, могут быть частью нормального ритма бизнеса, вы можете спокойно - или исключить - определенные сущности из повышения оповещений.
Например, если у вас есть сканер безопасности, выполняющий разведку DNS или администратор, который удаленно запускает скрипты на контроллере домена, и это санкционированные действия, намерения которых являются частью обычных ИТ-операций в вашей организации.
Чтобы исключить сущности из создания оповещений в ATA:
Существует два способа, с помощью которых можно исключить сущности, из самого подозрительного действия или на вкладке "Исключения" на странице "Конфигурация ".
Из подозрительного действия: в временная шкала подозрительного действия при получении оповещения о действии для пользователя или компьютера или IP-адреса, разрешенного для выполнения конкретного действия, и это может сделать так часто, щелкните правой кнопкой мыши три точки в конце строки для подозрительной активности в этой сущности, а затем нажмите кнопку "Закрыть и исключить".
При этом пользователь, компьютер или IP-адрес добавляются в список исключений для этого подозрительного действия. Он закрывает подозрительное действие и больше не отображается в списке "Открытые события" в временная шкала подозрительных действий.
На странице конфигурации: чтобы просмотреть или изменить любые исключения: в разделе "Конфигурация" щелкните " Исключения ", а затем выберите подозрительное действие, например учетные данные конфиденциальной учетной записи.
Чтобы удалить сущность из конфигурации исключений , щелкните минус рядом с именем сущности и нажмите кнопку "Сохранить " в нижней части страницы.
Рекомендуется добавить исключения в обнаружения только после получения оповещений типа и определить, что они являются истинными доброкачественными положительными.
Примечание.
Для защиты не все обнаружения предоставляют возможность задать исключения.
Некоторые из обнаружений предоставляют советы, которые помогут вам решить, что следует исключить.
Каждое исключение зависит от контекста, в некоторых случаях можно задать пользователей, а для других можно задать компьютеры или IP-адреса.
Если у вас есть возможность исключить IP-адрес или компьютер, вы можете исключить один или другой - вам не нужно предоставлять оба.
Примечание.
Страницы конфигурации могут изменяться только администраторами ATA.