Sdílet prostřednictvím

Práce s podezřelými aktivitami

  • Článek

Platí pro: Advanced Threat Analytics verze 1.9

Tento článek vysvětluje základy práce s Advanced Threat Analytics.

Kontrola podezřelých aktivit na časové hranici útoku

Po přihlášení ke konzole ATA budete automaticky přesměrováni na otevřenou časovou čáru podezřelých aktivit. Podezřelé aktivity jsou uvedené v chronologickém pořadí s nejnovějšími podezřelými aktivitami v horní části časového řádku. Každá podezřelá aktivita obsahuje následující informace:

  • Zahrnuté entity, včetně uživatelů, počítačů, serverů, řadičů domény a prostředků

  • Časy a časový rámec podezřelých aktivit.

  • Závažnost podezřelé aktivity: Vysoká, Střední nebo Nízká.

  • Stav: Otevřeno, uzavřeno nebo potlačeno.

  • Schopnost

    • Sdílejte podezřelou aktivitu s dalšími lidmi ve vaší organizaci prostřednictvím e-mailu.

    • Exportujte podezřelou aktivitu do Excelu.

Poznámka

  • Když najedete myší na uživatele nebo počítač, zobrazí se minifilm entity, který poskytuje další informace o entitě a obsahuje počet podezřelých aktivit, se kterými je entita propojená.
  • Pokud kliknete na entitu, přejdete do profilu entity uživatele nebo počítače.

Obrázek časové osy podezřelých aktivit ATA

Filtrování seznamu podezřelých aktivit

Filtrování seznamu podezřelých aktivit:

  1. V podokně Filtrovat podle na levé straně obrazovky vyberte jednu z následujících možností: Vše, Otevřít, Uzavřeno nebo Potlačeno.

  2. Pokud chcete seznam dále filtrovat, vyberte Vysoká, Střední nebo Nízká.

Závažnost podezřelé aktivity

  • Nízký

    Označuje podezřelé aktivity, které můžou vést k útokům určeným pro uživatele se zlými úmysly nebo software za účelem získání přístupu k datům organizace.

  • Střední

    Označuje podezřelé aktivity, které můžou ohrozit konkrétní identity v případě přísnějších útoků, které by mohly vést ke krádeži identity nebo eskalaci privilegovaných identit.

  • High (Vysoká)

    Označuje podezřelé aktivity, které můžou vést ke krádeži identity, eskalaci oprávnění nebo jiným útokům s vysokým dopadem.

Náprava podezřelých aktivit

Stav podezřelé aktivity můžete změnit kliknutím na aktuální stav podezřelé aktivity a výběrem některé z následujících možností Otevřít, Potlačeno, Uzavřeno nebo Odstraněno. Uděláte to tak, že kliknete na tři tečky v pravém horním rohu konkrétní podezřelé aktivity a zobrazíte seznam dostupných akcí.

Akce ATA pro podezřelé aktivity

Stav podezřelé aktivity

  • Otevřít: V tomto seznamu se zobrazí všechny nové podezřelé aktivity.

  • Zavřít: Slouží ke sledování podezřelých aktivit, které jste identifikovali, prozkoumali a opravili zmírněných.

    Poznámka

    Pokud se během krátké doby znovu zjistí stejná aktivita, ata může znovu otevřít uzavřenou aktivitu.

  • Potlačit: Potlačení aktivity znamená, že ji chcete prozatím ignorovat a být znovu upozorněni, jenom pokud existuje nová instance. To znamená, že pokud se zobrazí podobné upozornění, ATA ho znovu neotevře. Pokud se ale výstraha na sedm dní zastaví a pak se znovu zobrazí, budete upozorněni znovu.

  • Odstranit: Pokud odstraníte výstrahu, odstraní se ze systému, z databáze a nebudete ji moct obnovit. Po kliknutí na odstranit budete moct odstranit všechny podezřelé aktivity stejného typu.

  • Vyloučit: Možnost vyloučit entitu z vyvolání více z určitého typu výstrah. AtA můžete například nastavit tak, aby vyloučila konkrétní entitu (uživatele nebo počítač) z opětovného upozorňování na určitý typ podezřelé aktivity, například konkrétního správce, který spouští vzdálený kód, nebo kontrolu zabezpečení, která provádí průzkum DNS. Kromě toho, že můžete přidávat vyloučení přímo k podezřelé aktivitě tak, jak je zjištěna v časovém řádku, můžete také přejít na stránku Konfigurace v části Vyloučení a pro každou podezřelou aktivitu můžete ručně přidávat a odebírat vyloučené entity nebo podsítě (například pass-the-ticket).

    Poznámka

    Konfigurační stránky můžou upravovat jenom správci ATA.

Viz také