Arbeta med misstänkta aktiviteter
Gäller för: Advanced Threat Analytics version 1.9
Den här artikeln beskriver grunderna i hur du arbetar med Advanced Threat Analytics.
Granska misstänkta aktiviteter på attacktidslinjen
När du har loggat in på ATA-konsolen tas du automatiskt till den öppna tidslinjen för misstänkta aktiviteter. Misstänkta aktiviteter visas i kronologisk ordning med de senaste misstänkta aktiviteterna överst på tidslinjen. Varje misstänkt aktivitet har följande information:
Entiteter som berörs, inklusive användare, datorer, servrar, domänkontrollanter och resurser.
Tider och tidsram för misstänkta aktiviteter.
Allvarlighetsgrad för misstänkt aktivitet, Hög, Medel eller Låg.
Status: Öppen, stängd eller undertryckt.
Möjlighet att
Dela den misstänkta aktiviteten med andra personer i din organisation via e-post.
Exportera den misstänkta aktiviteten till Excel.
Kommentar
- När du håller muspekaren över en användare eller dator visas en entitetsminiprofil som ger ytterligare information om entiteten och innehåller antalet misstänkta aktiviteter som entiteten är länkad till.
- Om du klickar på en entitet tar det dig till entitetsprofilen för användaren eller datorn.
Filtrera listan över misstänkta aktiviteter
Så här filtrerar du listan över misstänkta aktiviteter:
I fönstret Filtrera efter till vänster på skärmen väljer du något av följande alternativ: Alla, Öppna, Stängda eller Undertryckta.
Om du vill filtrera listan ytterligare väljer du Hög, Medel eller Låg.
Allvarlighetsgrad för misstänkt aktivitet
Låg
Anger misstänkta aktiviteter som kan leda till attacker som är utformade för skadliga användare eller programvara för att få åtkomst till organisationsdata.
Medel
Anger misstänkta aktiviteter som kan utsätta specifika identiteter för risk för allvarligare attacker som kan leda till identitetsstöld eller privilegierad eskalering
Hög
Anger misstänkta aktiviteter som kan leda till identitetsstöld, behörighetseskalering eller andra attacker med hög påverkan
Åtgärda misstänkta aktiviteter
Du kan ändra status för en misstänkt aktivitet genom att klicka på den misstänkta aktivitetens aktuella status och välja något av följande öppna, undertryckta, stängda eller borttagna. Det gör du genom att klicka på de tre punkterna i det övre högra hörnet av en specifik misstänkt aktivitet för att visa listan över tillgängliga åtgärder.
Status för misstänkt aktivitet
Öppna: Alla nya misstänkta aktiviteter visas i den här listan.
Stäng: Används för att spåra misstänkta aktiviteter som du har identifierat, undersökt och åtgärdat för att minimera.
Kommentar
Om samma aktivitet identifieras igen inom en kort tidsperiod kan ATA öppna en stängd aktivitet igen.
Undertryck: Om du utelämnar en aktivitet vill du ignorera den för tillfället och bara aviseras igen om det finns en ny instans. Det innebär att om det finns en liknande avisering öppnar ATA den inte igen. Men om aviseringen stoppas i sju dagar och sedan visas igen aviseras du igen.
Ta bort: Om du tar bort en avisering tas den bort från systemet från databasen och du kommer INTE att kunna återställa den. När du har klickat på Ta bort kan du ta bort alla misstänkta aktiviteter av samma typ.
Exkludera: Möjligheten att undanta en entitet från att skapa fler av en viss typ av aviseringar. Du kan till exempel ange att ATA ska undanta en specifik entitet (användare eller dator) från att varna igen för en viss typ av misstänkt aktivitet, till exempel en specifik administratör som kör fjärrkod eller en säkerhetsskanner som utför DNS-rekognosering. Förutom att kunna lägga till undantag direkt på den misstänkta aktiviteten eftersom den identifieras på tidslinjen kan du också gå till sidan Konfiguration till Undantag och för varje misstänkt aktivitet kan du manuellt lägga till och ta bort exkluderade entiteter eller undernät (till exempel för Pass-the-Ticket).
Kommentar
Konfigurationssidorna kan bara ändras av ATA-administratörer.