Trabajar con actividades sospechosas
Se aplica a: Advanced Threat Analytics versión 1.9
En este artículo se explican los conceptos básicos de cómo trabajar con Advanced Threat Analytics.
Revisión de actividades sospechosas en la línea de tiempo de ataque
Después de iniciar sesión en la consola de ATA, se le llevará automáticamente a la línea de tiempo de actividades sospechosas abierta. Las actividades sospechosas se enumeran en orden cronológico con las actividades sospechosas más recientes en la parte superior de la línea de tiempo. Cada actividad sospechosa tiene la siguiente información:
Entidades implicadas, incluidos usuarios, equipos, servidores, controladores de dominio y recursos.
Tiempos y períodos de tiempo de las actividades sospechosas.
Gravedad de la actividad sospechosa, Alta, Media o Baja.
Estado: abierto, cerrado o suprimido.
Capacidad de
Comparta la actividad sospechosa con otras personas de su organización por correo electrónico.
Exporte la actividad sospechosa a Excel.
Nota:
- Al mantener el mouse sobre un usuario o equipo, se muestra un mini-perfil de entidad que proporciona información adicional sobre la entidad e incluye el número de actividades sospechosas a las que está vinculada la entidad.
- Si hace clic en una entidad, le llevará al perfil de entidad del usuario o equipo.
Filtrar lista de actividades sospechosas
Para filtrar la lista de actividades sospechosas:
En el panel Filtrar por del lado izquierdo de la pantalla, seleccione una de las siguientes opciones: Todos, Abrir, Cerrado o Suprimido.
Para filtrar aún más la lista, seleccione Alto, Medio o Bajo.
Gravedad de actividad sospechosa
Baja
Indica actividades sospechosas que pueden provocar ataques diseñados para que usuarios malintencionados o software obtengan acceso a los datos de la organización.
Medio
Indica actividades sospechosas que pueden poner en riesgo identidades específicas para ataques más graves que podrían dar lugar a un robo de identidad o una escalación de privilegios.
Alto
Indica actividades sospechosas que pueden provocar el robo de identidades, la elevación de privilegios u otros ataques de alto impacto.
Corrección de actividades sospechosas
Para cambiar el estado de una actividad sospechosa, haga clic en el estado actual de la actividad sospechosa y seleccione una de las siguientes opciones : Abrir, Suprimir, Cerrar o Eliminar. Para ello, haga clic en los tres puntos de la esquina superior derecha de una actividad sospechosa específica para mostrar la lista de acciones disponibles.
Estado de actividad sospechosa
Abrir: todas las actividades sospechosas nuevas aparecen en esta lista.
Cerrar: se usa para realizar un seguimiento de las actividades sospechosas que ha identificado, investigado y corregido para mitigarlas.
Nota:
Si se vuelve a detectar la misma actividad en un breve período de tiempo, ATA puede volver a abrir una actividad cerrada.
Suprimir: suprimir una actividad significa que quiere omitirla por ahora y solo recibir una alerta de nuevo si hay una nueva instancia. Esto significa que si hay una alerta similar, ATA no la vuelve a abrir. Pero si la alerta se detiene durante siete días y se vuelve a ver, se le volverá a alertar.
Eliminar: si elimina una alerta, se elimina del sistema, de la base de datos y NO podrá restaurarla. Después de hacer clic en Eliminar, podrá eliminar todas las actividades sospechosas del mismo tipo.
Excluir: la capacidad de excluir una entidad de generar más de un tipo determinado de alertas. Por ejemplo, puede establecer ATA para excluir una entidad específica (usuario o equipo) de las alertas de nuevo para un determinado tipo de actividad sospechosa, como un administrador específico que ejecuta código remoto o un escáner de seguridad que realiza el reconocimiento de DNS. Además de poder agregar exclusiones directamente a la actividad Sospechosa tal como se detecta en la línea de tiempo, también puede ir a la página Configuración a Exclusiones y, para cada actividad sospechosa, puede agregar y quitar manualmente entidades o subredes excluidas (por ejemplo, Pass-the-Ticket).
Nota:
Los administradores de ATA solo pueden modificar las páginas de configuración.