Arbeiten mit verdächtigen Aktivitäten

Gilt für: Advanced Threat Analytics Version 1.9

In diesem Artikel werden die Grundlagen der Arbeit mit Advanced Threat Analytics erläutert.

Überprüfen verdächtiger Aktivitäten auf der Angriffszeitlinie

Nach der Anmeldung bei der ATA-Konsole werden Sie automatisch zur geöffneten Zeitlinie für verdächtige Aktivitäten weitergeleitet. Verdächtige Aktivitäten werden in chronologischer Reihenfolge mit den neuesten verdächtigen Aktivitäten oben in der Zeitlinie aufgeführt. Jede verdächtige Aktivität enthält die folgenden Informationen:

• Beteiligte Entitäten, einschließlich Benutzern, Computern, Servern, Domänencontrollern und Ressourcen.

• Zeiten und Zeitrahmen der verdächtigen Aktivitäten.

• Schweregrad der verdächtigen Aktivität: Hoch, Mittel oder Niedrig.

• Status: Geöffnet, geschlossen oder unterdrückt.

• Fähigkeit,

  • Teilen Sie die verdächtige Aktivität per E-Mail mit anderen Personen in Ihrem organization.

  • Exportieren Sie die verdächtige Aktivität nach Excel.

Hinweis

• Wenn Sie mit dem Mauszeiger auf einen Benutzer oder Computer zeigen, wird ein Entitätsmini-Profil angezeigt, das zusätzliche Informationen zur Entität bereitstellt und die Anzahl verdächtiger Aktivitäten enthält, mit denen die Entität verknüpft ist.
• Wenn Sie auf eine Entität klicken, gelangen Sie zum Entitätsprofil des Benutzers oder Computers.

Liste verdächtiger Aktivitäten filtern

So filtern Sie die Liste verdächtiger Aktivitäten:

1. Wählen Sie im Bereich Filtern nach auf der linken Seite des Bildschirms eine der folgenden Optionen aus: Alle, Öffnen, Geschlossen oder Unterdrückt.

2. Um die Liste weiter zu filtern, wählen Sie Hoch, Mittel oder Niedrig aus.

Schweregrad verdächtiger Aktivitäten

• Niedrig

  Gibt verdächtige Aktivitäten an, die zu Angriffen führen können, die für böswillige Benutzer oder Software entwickelt wurden, um Zugriff auf Organisationsdaten zu erhalten.

• Medium

  Gibt verdächtige Aktivitäten an, die bestimmte Identitäten für schwerwiegendere Angriffe gefährden können, die zu Identitätsdiebstahl oder privilegierter Eskalation führen können.

• High

  Weist auf verdächtige Aktivitäten hin, die zu Identitätsdiebstahl, Rechteausweitung oder anderen angriffen mit hoher Auswirkung führen können

Beheben verdächtiger Aktivitäten

Sie können die status einer verdächtigen Aktivität ändern, indem Sie auf den aktuellen status der verdächtigen Aktivität klicken und eine der folgenden Optionen Öffnen, Unterdrückt, Geschlossen oder Gelöscht auswählen. Klicken Sie dazu auf die drei Punkte in der oberen rechten Ecke einer bestimmten verdächtigen Aktivität, um die Liste der verfügbaren Aktionen anzuzeigen.

Status verdächtiger Aktivitäten

• Offen: Alle neuen verdächtigen Aktivitäten werden in dieser Liste angezeigt.

• Schließen: Dient zum Nachverfolgen verdächtiger Aktivitäten, die Sie identifiziert, recherchiert und behoben haben.

  Hinweis

  Wenn dieselbe Aktivität innerhalb eines kurzen Zeitraums erneut erkannt wird, kann ATA eine geschlossene Aktivität erneut öffnen.

• Unterdrücken: Wenn Sie eine Aktivität unterdrücken, möchten Sie sie vorerst ignorieren und nur dann erneut benachrichtigt werden, wenn eine neue instance vorhanden ist. Dies bedeutet, dass ATA sie nicht erneut öffnet, wenn eine ähnliche Warnung vorhanden ist. Wenn die Warnung jedoch sieben Tage lang beendet und dann wieder angezeigt wird, werden Sie erneut benachrichtigt.

• Löschen: Wenn Sie eine Warnung löschen, wird sie aus dem System und aus der Datenbank gelöscht, und Sie können sie NICHT wiederherstellen. Nachdem Sie auf Löschen geklickt haben, können Sie alle verdächtigen Aktivitäten desselben Typs löschen.

• Ausschließen: Die Möglichkeit, eine Entität vom Auslösen weiterer Warnungen eines bestimmten Typs auszuschließen. Beispielsweise können Sie ATA so festlegen, dass eine bestimmte Entität (Benutzer oder Computer) von einer erneuten Warnung für eine bestimmte Art verdächtiger Aktivitäten ausgeschlossen wird, z. B. ein bestimmter Administrator, der Remotecode ausführt, oder ein Sicherheitsscanner, der DNS-Reconnaissance durchführt. Neben der Möglichkeit, Ausschlüsse direkt für die verdächtige Aktivität hinzuzufügen, da sie in der Zeitlinie erkannt wird, können Sie auch zur Seite Konfiguration zu Ausschlüssen wechseln. Für jede verdächtige Aktivität können Sie ausgeschlossene Entitäten oder Subnetze manuell hinzufügen und entfernen (z. B. für Pass-the-Ticket).

  Hinweis

  Die Konfigurationsseiten können nur von ATA-Administratoren geändert werden.

Siehe auch

• ATA-Playbook für verdächtige Aktivitäten
• Schauen Sie sich das ATA-Forum an!
• Ändern der ATA-Konfiguration