Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Исключение сущностей из результатов обнаруженияExcluding entities from detections

В этой статье описывается, как исключать сущности из активируемых предупреждений, чтобы минимизировать появление не представляющих опасность истинно положительных результатов и в то же время отслеживать такие результаты.This article explains how to exclude entities from triggering alerts in order to minimize true benign positives but at the same time, make sure you catch the true positives. Чтобы настроить ATA на работу без навязчивого информирования о некоторых пользовательских действиях, которые могут быть частью ваших бизнес-процессов, можно исключить определенные сущности из вызываемых предупреждений.In order to keep ATA from being noisy about activities that, from specific users, may be part of your normal rhythm of business, you can quiet - or exclude - specific entities from raising alerts.

Например, у вас может быть сканер системы безопасности, который выполняет проверку DNS, или администратор, который удаленно запускает скрипты на контроллере домена. Описанные действия являются санкционированными, и выполняются они в рамках обычных корпоративных ИТ-задач.For example, if you have a security scanner that does DNS recon or an admin who remotely runs scripts on the domain controller - and these are sanctioned activities whose intent is part of the normal IT operations in your organization.

Вот как можно исключить сущности из вызываемых предупреждений в ATA.To exclude entities from raising alerts in ATA:

Это можно сделать двумя способами: исключив сущности непосредственно из подозрительного действия или воспользовавшись вкладкой Исключения на странице Конфигурация.There are two ways in which you can exclude entities, from the suspicious activity itself, or from the Exclusions tab on the Configuration page.

  • Из подозрительного действия. Вы можете получить предупреждение об определенном пользовательском действии, компьютере или IP-адресе, для которых разрешено выполнять определенное действие (и, возможно, делать это часто). В таком случае на временной шкале подозрительных действий щелкните правой кнопкой мыши три точки в конце строки с подозрительным действием для этой сущности и выберите Close and exclude (Закрыть и исключить).From the suspicious activity: In the Suspicious activity timeline, when you receive an alert on an activity for a user or computer or IP address that is allowed to perform the particular activity and may do so frequently, right-click the three dots at the end of the row for the suspicious activity on that entity, and select Close and exclude.
    Так вы добавите пользователя, компьютер или IP-адрес в список исключений для этого подозрительного действия.This adds the user, computer, or IP address to the exclusions list for that suspicious activity. Подозрительное действие будет закрыто. Оно больше не будет отображаться в списке открытых событий на временной шкале подозрительных действий.It closes the suspicious activity and it is no longer listed in the Open events list in the Suspicious activity timeline.

    Исключение сущностей

  • На странице конфигурации. Чтобы просмотреть или изменить любые исключения, в разделе Конфигурация щелкните Исключения, а затем выберите подозрительное действие, например Sensitive account credentials exposed (Раскрытие секретных учетных данных).From the Configuration page: To review or modify any exclusions: under Configuration, click Exclusions and then select the suspicious activity, such as Sensitive account credentials exposed.

    Конфигурация "Исключения"

Чтобы удалить сущность из конфигурации Исключения, щелкните знак минуса рядом с именем сущности, а затем нажмите кнопку Сохранить в нижней части страницы.To remove an entity from the Exclusions configuration: click the minus next to the entity name and then click Save at the bottom of the page.

Добавлять исключения в результаты обнаружения рекомендуется только при получении оповещений, которые вы можете идентифицировать как не представляющие опасность истинно положительные.It is recommended that you add exclusions to detections only after you get alerts of the type and determine that they are true benign positives.

Примечание

В целях безопасности не все результаты обнаружения позволяют настраивать исключения.For your protection, not all detections provide the possibility to set exclusions.

Некоторые из результатов обнаружения содержат советы, которые помогают решить, что именно следует исключать.Some of the detections provide tips that help you decide what to exclude.

Каждое исключение зависит от контекста: в некоторых случаях вы можете исключить пользователей, а в других — компьютеры или IP-адреса.Each exclusion depends on the context, in some you can set users while for others you can set computers or IP addresses.

Если у вас есть возможность исключить IP-адрес или компьютер, вы можете исключить что-то одно (исключать и то, и другое не нужно).When you have the possibility of excluding an IP address or a computer, you can exclude one or the other - you don’t need to provide both.

Примечание

Изменения на странице "Конфигурация" могут вносить только администраторы ATA.The configuration pages can only be modified by ATA admins.

См. такжеSee Also