Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Обработка подозрительных действийWorking with Suspicious Activities

В данном руководстве рассматриваются основы работы с решением Advanced Threat Analytics.This topic explains the basics of how to work with Advanced Threat Analytics.

Проверка подозрительных действий на временной шкале атакиReview suspicious activities on the attack time line

После входа в консоль ATA автоматически откроется временная шкала подозрительных действий.After logging in to the ATA Console, you are automatically taken to the open Suspicious Activities Time Line. Подозрительные действия перечислены в хронологическом порядке, при этом последние действия указаны в верхней строке временной шкалы.Suspicious activities are listed in chronological order with the newest suspicious activities on the top of the time line. Для каждого подозрительного действия указана следующая информация:Each suspicious activity has the following information:

  • сведения о вовлеченных сущностях, в том числе о пользователях, компьютерах, серверах, контроллерах домена и ресурсах;Entities involved, including users, computers, servers, domain controllers, and resources.

  • время совершения и временные рамки подозрительных действий;Times and time frame of the suspicious activities.

  • степень серьезности подозрительных действий: высокая, средняя или низкая;Severity of the suspicious activity, High, Medium, or Low.

  • состояние: открыто, закрыто или заблокировано;Status: Open, closed, or suppressed.

  • возможности:Ability to

    • отправка сведений о подозрительных действиях другим сотрудникам вашей организации по электронной почте;Share the suspicious activity with other people in your organization via email.

    • экспорт сведений о подозрительных действиях в Excel;Export the suspicious activity to Excel.

    • добавление примечаний к сведениям о подозрительных действиях;Add a note to the suspicious activity.

    • добавление входных данных о подозрительных действиях;Provide input on the suspicious activity.

  • добавление рекомендаций о том, как реагировать на подозрительные действия.Provides recommendations for how to respond to the suspicious activity.

Примечание
  • При наведении мыши на имя пользователя или компьютер отображается мини-профиль сущности, содержащий дополнительные сведения, в том числе сведения о количестве подозрительных действий, связанных с этой сущностью.When you hover your mouse over a user or computer, an entity mini-profile is displayed that provides additional information about the entity and includes the number of suspicious activities that the entity is linked to.
  • При выборе сущности вы перейдете в профиль сущности пользователя или компьютера.If you click on an entity, it will take you to the entity profile of the user or computer.

Изображение временной шкалы подозрительных действий ATA

Фильтрация списка подозрительных действийFilter suspicious activities list

Для фильтрации списка подозрительных действий сделайте вот что:To filter the suspicious activities list:

  1. В области Фильтрация по в левой части экрана выберите один из следующих вариантов: Все, Открыто, Закрыто или Заблокировано.In the Filter by pane on the left side of the screen, select one of the following: All, Open, Closed, or Suppressed.

  2. Чтобы еще глубже профильтровать список, выберите один из вариантов: Высокая, Средняя или Низкая.To further filter the list, select High, Medium or Low.

Степень серьезности подозрительного действияSuspicious activity severity

  • НизкаяLow

    Указывает на подозрительные действия, которые могут привести к атакам, в результате которых пользователи-злоумышленники или вредоносное программное обеспечение, возможно, получат доступ к данным организации.Indicates suspicious activities that can lead to attacks designed for malicious users or software to gain access to organizational data.

  • СредняяMedium

    Указывает на подозрительные действия, которые могут поставить под угрозу определенные удостоверения и тем самым создать предпосылки для более серьезных атак с вероятностью кражи идентификационных данных или совершения неправомерных действий от имени пользователя.Indicates suspicious activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation

  • ВысокаяHigh

    Указывает на подозрительные действия, которые могут привести к краже идентификационных данных, совершению неправомерных действий от имени пользователя или более серьезным атакам.Indicates suspicious activities that can lead to identity theft, privilege escalation or other high-impact attacks

Принятие мер в отношении подозрительных действийRemediating suspicious activities

Вы можете изменить состояние подозрительного действия, щелкнув его текущее состояние и выбрав один из следующих вариантов: Открыто, Заблокировано, Закрыто или Удалено.You can change the status of a suspicious activity by clicking the current status of the suspicious activity and selecting one of the following Open, Suppressed, Closed or Deleted. Для этого щелкните многоточие в правом верхнем углу соответствующего подозрительного действия, чтобы открыть список доступных действий.To do this, click the three dots at the top right corner of a specific suspicious activity to reveal the list of available actions.

Действия ATA в отношении подозрительных действий

Состояние подозрительного действияSuspicious activity status

  • Открыть: в этом списке отображаются все новые подозрительные действия.Open: All new suspicious activities appear in this list.

  • Закрыть: используется для отслеживания подозрительных действий, которые были выявлены и изучены и возможные последствия которых минимизированы.Close: Is used to track suspicious activities which you identified, researched and fixed for mitigated.

    Примечание

    ATA может повторно открывать закрытое действие, если оно будет обнаружено еще раз в течение короткого периода времени.ATA may reopen a closed activity if it the same activity is detected again within a short period of time.

  • Заблокировать: блокировка действия означает, что в настоящее время оно игнорируется и что оповещение о нем выводится снова, только если оно обнаружено повторно.Suppress: Suppressing an activity means you want to ignore it for now, and only be alerted again if there's a new instance. Это означает, что при наличии схожего оповещения ATA не будет открывать его еще раз.This means that if there's a similar alert ATA won't reopen it. Но если оповещение отсутствует в течение 7 дней, а затем снова возникает, оно будет выведено повторно.But if the alert stops for 7 days, and is then seen again, you will be alerted again.

  • Удалить: оповещение удаляется из системы и из базы данных. Восстановить его невозможно.Delete: If you Delete an alert, it will be deleted from the system, from the database and you will NOT be able to restore it. Щелкнув "Удалить", можно удалить все подозрительные действия одного типа.After you click delete, you'll be able to delete all suspicious activities of the same type.

  • Исключить: возможность отключить инициацию оповещений определенного типа для сущности.Exclude: The ability to exclude an entity from raising more of a certain type of alerts. Например, можно запретить ATA инициировать для определенной сущности (пользователя или компьютера) оповещения о подозрительных действиях указанного типа, например об удаленном выполнении кода определенным администратором или проверке DNS сканером безопасности.For example, you can set ATA to exclude a specific entity (user or computer) from alerting again for a certain type of suspicious activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. Помимо возможности добавлять исключения для обнаруженных подозрительных действий непосредственно на временной шкале, вы можете открыть страницу "Конфигурация", перейти к разделу Исключения и вручную добавить или удалить исключаемые сущности или подсети для каждого подозрительного действия (например, атаки Pass-the-Ticket).In addition to being able to add exclusions directly on the Suspicious activity as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each suspicious activity you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).

    Примечание

    Изменения на странице "Конфигурация" могут вносить только администраторы ATA.The configuration pages can only be modified by ATA admins.

См. такжеSee Also