Arbejde med mistænkelige aktiviteter
Gælder for: Advanced Threat Analytics version 1.9
I denne artikel forklares det grundlæggende om, hvordan du arbejder med Advanced Threat Analytics.
Gennemse mistænkelige aktiviteter på angrebstidslinjen
Når du er logget på ATA-konsollen, føres du automatisk til den åbne tidslinje for mistænkelige aktiviteter. Mistænkelige aktiviteter er angivet i kronologisk rækkefølge med de nyeste mistænkelige aktiviteter øverst på tidslinjen. Hver mistænkelig aktivitet har følgende oplysninger:
Involverede enheder, herunder brugere, computere, servere, domænecontrollere og ressourcer.
Tidspunkter og tidsramme for de mistænkelige aktiviteter.
Alvorsgraden af den mistænkelige aktivitet, Høj, Mellem eller Lav.
Status: Åben, lukket eller undertrykt.
Mulighed for at
Del den mistænkelige aktivitet med andre personer i din organisation via mail.
Eksportér den mistænkelige aktivitet til Excel.
Bemærk!
- Når du holder musen over en bruger eller computer, vises der en miniprofil for enheden, der indeholder yderligere oplysninger om enheden og indeholder antallet af mistænkelige aktiviteter, som enheden er knyttet til.
- Hvis du klikker på et objekt, føres du til brugerens eller computerens enhedsprofil.
Filtrer listen over mistænkelige aktiviteter
Sådan filtrerer du listen over mistænkelige aktiviteter:
I ruden Filtrer efter i venstre side af skærmen skal du vælge en af følgende indstillinger: Alle, Åbn, Lukket eller Undertrykt.
Hvis du vil filtrere listen yderligere, skal du vælge Høj, Mellem eller Lav.
Alvorlighed af mistænkelig aktivitet
Lav
Angiver mistænkelige aktiviteter, der kan føre til angreb, der er udviklet til ondsindede brugere eller software for at få adgang til organisationsdata.
Middel
Angiver mistænkelige aktiviteter, der kan sætte bestemte identiteter i fare for mere alvorlige angreb, der kan resultere i identitetstyveri eller privilegeret eskalering
Høj
Angiver mistænkelige aktiviteter, der kan føre til identitetstyveri, rettighedseskalering eller andre angreb med stor indvirkning
Afhjælpning af mistænkelige aktiviteter
Du kan ændre status for en mistænkelig aktivitet ved at klikke på den aktuelle status for den mistænkelige aktivitet og vælge en af følgende åbne, undertrykte, lukkede eller slettede. Det gør du ved at klikke på de tre prikker i øverste højre hjørne af en bestemt mistænkelig aktivitet for at få vist listen over tilgængelige handlinger.
Mistænkelig aktivitetsstatus
Åbn: Alle nye mistænkelige aktiviteter vises på denne liste.
Luk: Bruges til at spore mistænkelige aktiviteter, som du har identificeret, undersøgt og løst for afhjælpet.
Bemærk!
Hvis den samme aktivitet registreres igen inden for kort tid, kan ATA genåbne en lukket aktivitet.
Suppress: Undertrykkelse af en aktivitet betyder, at du vil ignorere den for nu, og kun blive advaret igen, hvis der er en ny forekomst. Det betyder, at hvis der er en lignende besked, som ATA ikke åbner igen. Men hvis beskeden stopper i syv dage og derefter ses igen, får du besked igen.
Slet: Hvis du sletter en besked, slettes den fra systemet, fra databasen, og du vil IKKE kunne gendanne den. Når du har klikket på Slet, kan du slette alle mistænkelige aktiviteter af samme type.
Udelad: Muligheden for at udelukke en enhed fra at hæve flere af en bestemt type beskeder. Du kan f.eks. indstille ATA til at udelukke en bestemt enhed (bruger eller computer) fra at advare igen om en bestemt type mistænkelig aktivitet, f.eks. en bestemt administrator, der kører fjernkode, eller en sikkerhedsscanner, der udfører DNS-rekognoscering. Ud over at kunne tilføje udeladelser direkte på mistænkelig aktivitet, som det registreres på tidslinjen, kan du også gå til siden Konfiguration til Udeladelser, og for hver mistænkelig aktivitet kan du manuelt tilføje og fjerne udeladte enheder eller undernet (f.eks. Pass-the-Ticket).
Bemærk!
Konfigurationssiderne kan kun ændres af ATA-administratorer.