Ausschließen von Entitäten aus Erkennungen
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel wird erläutert, wie Entitäten vom Auslösen von Warnungen ausgeschlossen werden, um echte gutartige Positive zu minimieren, aber gleichzeitig sicherstellen, dass Sie die wahren Positiven abfangen. Um ata nicht über Aktivitäten zu verrauschen, die von bestimmten Benutzern teil Ihres normalen Geschäftsrhythmus sein können, können Sie bestimmte Entitäten von der Auslösung von Warnungen ablassen oder ausschließen.
Wenn Sie z. B. über einen Sicherheitsscanner verfügen, der die DNS-Recon durchführt, oder einen Administrator, der Skripts remote auf dem Domänencontroller ausführt, und dies sind sanktionierte Aktivitäten, deren Absicht Teil des normalen IT-Betriebs in Ihrem organization ist.
So schließen Sie Entitäten vom Auslösen von Warnungen in ATA aus:
Es gibt zwei Möglichkeiten, Entitäten auszuschließen: von der verdächtigen Aktivität selbst oder von der Registerkarte Ausschlüsse auf der Seite Konfiguration .
Aus der verdächtigen Aktivität: Wenn Sie im Zeitleiste Verdächtige Aktivität eine Warnung zu einer Aktivität für einen Benutzer oder Computer oder eine IP-Adresse erhalten, die die jeweilige Aktivität ausführen darf und dies häufig tun kann, klicken Sie mit der rechten Maustaste auf die drei Punkte am Ende der Zeile für die verdächtige Aktivität für diese Entität, und wählen Sie Schließen und ausschließen aus.
Dadurch wird der Benutzer, der Computer oder die IP-Adresse der Ausschlussliste für diese verdächtige Aktivität hinzugefügt. Die verdächtige Aktivität wird geschlossen, und sie ist nicht mehr in der Liste Open events in the Suspicious activity Zeitleiste aufgeführt.
Auf der Seite Konfiguration: Um Ausschlüsse zu überprüfen oder zu ändern: Klicken Sie unter Konfiguration auf Ausschlüsse , und wählen Sie dann die verdächtige Aktivität aus, z. B. die Verfügbar gemachten Anmeldeinformationen für vertrauliche Konten.
So entfernen Sie eine Entität aus der Konfiguration "Ausschlüsse ": Klicken Sie auf das Minus neben dem Entitätsnamen, und klicken Sie dann unten auf der Seite auf Speichern .
Es wird empfohlen, Ausschlüsse erst zu Erkennungen hinzuzufügen, nachdem Sie Warnungen des Typs erhalten haben und feststellen, dass es sich um echte gutartige positive Ergebnisse handelt.
Hinweis
Zu Ihrem Schutz bieten nicht alle Erkennungen die Möglichkeit, Ausschlüsse festzulegen.
Einige der Erkennungen bieten Tipps, mit denen Sie entscheiden können, was ausgeschlossen werden soll.
Jeder Ausschluss hängt vom Kontext ab, in einigen können Sie Benutzer festlegen, während Sie für andere Computer oder IP-Adressen festlegen können.
Wenn Sie die Möglichkeit haben, eine IP-Adresse oder einen Computer auszuschließen, können Sie die eine oder die andere ausschließen . Sie müssen nicht beide angeben.
Hinweis
Die Konfigurationsseiten können nur von ATA-Administratoren geändert werden.