Sdílet prostřednictvím

Vyloučení entit z detekce

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

Tento článek vysvětluje, jak vyloučit entity z aktivace upozornění, aby se minimalizovaly pravdivě neškodné pozitivní výsledky, ale zároveň se ujistěte, že jste zachytili pravdivě pozitivní výsledky. Abyste zabránili tomu, že ATA nebude hlučná ohledně aktivit od konkrétních uživatelů, které můžou být součástí vašeho běžného obchodního rytmu, můžete určité entity ztišit nebo vyloučit, aby vyvolávaly výstrahy.

Například pokud máte kontrolu zabezpečení, která provádí rekondování DNS, nebo správce, který vzdáleně spouští skripty na řadiči domény, a jedná se o schválené aktivity, jejichž záměr je součástí běžného provozu IT ve vaší organizaci.

Vyloučení entit z vyvolání upozornění v ATA:

Existují dva způsoby, jak můžete vyloučit entity ze samotné podezřelé aktivity nebo z karty Vyloučení na stránce Konfigurace .

  • Z podezřelé aktivity: Když na časové ose podezřelé aktivity obdržíte upozornění na aktivitu pro uživatele, počítač nebo IP adresu, která má povoleno provádět konkrétní aktivitu a může to dělat často, klikněte pravým tlačítkem na tři tečky na konci řádku pro podezřelou aktivitu u dané entity a vyberte Zavřít a vyloučit.

    Tím přidáte uživatele, počítač nebo IP adresu do seznamu vyloučení pro tuto podezřelou aktivitu. Zavře podezřelou aktivitu a už není uvedená v seznamu Otevřené události na časové ose Podezřelé aktivity.

    Vyloučit entitu.

  • Na stránce Konfigurace: Pokud chcete zkontrolovat nebo upravit všechna vyloučení: v části Konfigurace klikněte na Vyloučení a pak vyberte podezřelou aktivitu, například vystavené přihlašovací údaje citlivého účtu.

    Konfigurace vyloučení.

Pokud chcete odebrat entitu z konfigurace Vyloučení: Klikněte na mínus vedle názvu entity a potom klikněte na Uložit v dolní části stránky.

K detekcím se doporučuje přidávat vyloučení až po získání výstrah typu a zjištění, že se jedná o skutečně neškodné pozitivní výsledky.

Poznámka

Pro vaši ochranu ne všechny detekce poskytují možnost nastavit vyloučení.

Některé z detekcí obsahují tipy, které vám pomůžou rozhodnout, co vyloučit.

Každé vyloučení závisí na kontextu, v některých můžete nastavit uživatele, zatímco u jiných můžete nastavit počítače nebo IP adresy.

Pokud máte možnost vyloučit IP adresu nebo počítač, můžete vyloučit jednu nebo druhou – nemusíte zadávat obojí.

Poznámka

Konfigurační stránky můžou upravovat jenom správci ATA.

Viz taky