Exclusión de entidades de detecciones
Se aplica a: Advanced Threat Analytics versión 1.9
En este artículo se explica cómo excluir a las entidades de desencadenar alertas con el fin de minimizar los verdaderos positivos benignos, pero al mismo tiempo, asegúrese de detectar los verdaderos positivos. Con el fin de evitar que ATA sea ruidoso sobre las actividades que, desde usuarios específicos, pueden formar parte de su ritmo normal de negocio, puede callar o excluir entidades específicas de la generación de alertas.
Por ejemplo, si tiene un escáner de seguridad que realiza el reconocimiento de DNS o un administrador que ejecuta scripts de forma remota en el controlador de dominio, y estas son actividades autorizadas cuya intención forma parte de las operaciones de TI normales de su organización.
Para excluir entidades de la generación de alertas en ATA:
Hay dos maneras de excluir entidades, de la propia actividad sospechosa o de la pestaña Exclusiones de la página Configuración .
Desde la actividad sospechosa: en la escala de tiempo actividad sospechosa, cuando recibe una alerta sobre una actividad para un usuario o equipo o dirección IP que tiene permiso para realizar la actividad en particular y puede hacerlo con frecuencia, haga clic con el botón derecho en los tres puntos al final de la fila para la actividad sospechosa en esa entidad y seleccione Cerrar y excluir.
Esto agrega el usuario, el equipo o la dirección IP a la lista de exclusiones para esa actividad sospechosa. Cierra la actividad sospechosa y ya no aparece en la lista Open events ( Abrir eventos) en la escala de tiempo de actividad sospechosa.
En la página Configuración: para revisar o modificar las exclusiones: en Configuración, haga clic en Exclusiones y, a continuación, seleccione la actividad sospechosa, como credenciales de cuenta confidencial expuestas.
Para quitar una entidad de la configuración Exclusiones : haga clic en el signo menos situado junto al nombre de la entidad y, a continuación, haga clic en Guardar en la parte inferior de la página.
Se recomienda agregar exclusiones a las detecciones solo después de recibir alertas del tipo y determinar que son verdaderos positivos benignos.
Nota:
Para su protección, no todas las detecciones proporcionan la posibilidad de establecer exclusiones.
Algunas de las detecciones proporcionan sugerencias que le ayudarán a decidir qué excluir.
Cada exclusión depende del contexto, en algunos puede establecer usuarios, mientras que para otros puede establecer equipos o direcciones IP.
Si tiene la posibilidad de excluir una dirección IP o un equipo, puede excluir una u otra; no es necesario proporcionar ambas.
Nota:
Los administradores de ATA solo pueden modificar las páginas de configuración.