Jaa

Entiteettejä ei poisteta tunnistuksia varten

  • Artikkeli

Koskee: Advanced Threat Analytics -versio 1.9

Tässä artikkelissa kerrotaan, miten voit jättää entiteetit pois hälytysten käynnistämisestä, jotta todelliset hyvänlaatuiset positiiviset voidaan minimoida, mutta samalla varmista, että saat todelliset positiiviset tiedot. Jotta ATA ei olisi äänekäs aktiviteeteille, jotka tietyiltä käyttäjiltä saattavat olla osa normaalia liiketoiminnan rytmiä, voit hiljentää tai sulkea pois tiettyjä entiteettejä hälytyksistä.

Jos sinulla on esimerkiksi suojausskanneri, joka suorittaa DNS-tiedustelun, tai järjestelmänvalvoja, joka suorittaa komentosarjoja etäyhteydellä toimialueen ohjauskoneessa, nämä ovat hyväksyttyjä toimintoja, joiden tarkoitus on osa organisaation normaalia IT-toimintoa.

Jos haluat jättää entiteetit pois ilmoitusten keräämisestä ATA:ssa:

Voit sulkea entiteetit pois epäilyttävästä toiminnasta tai Määritys-sivunPoikkeukset-välilehdestä kahdella tavalla.

  • Epäilyttävästä toiminnasta: Kun saat epäilyttävän toiminnan aikajanalla hälytyksen sellaiselle käyttäjälle tai tietokoneelle tai IP-osoitteelle, jolla on oikeus suorittaa tiettyä toimintaa ja tehdä niin usein, napsauta hiiren kakkospainikkeella rivin lopussa olevaa kolmea pistettä kyseisessä entiteetissä epäilyttävästä toiminnasta ja valitse Sulje ja jätä pois.

    Tämä lisää käyttäjän, tietokoneen tai IP-osoitteen kyseisen epäilyttävän toiminnan poissulkemisten luetteloon. Se sulkee epäilyttävän toiminnan, eikä sitä enää luetella Epäilyttävän toiminnan aikajananAvaa tapahtumat -luettelossa.

    Jätä pois entiteetti.

  • Määrityssivulla: Voit tarkastella tai muokata mahdollisia poissulkemisia valitsemalla Määritys-kohdastaPoikkeukset ja valitsemalla epäilyttävän toiminnan, kuten luottamukselliset tilin tunnistetiedot.

    Poissulkemisen määritys.

Jos haluat poistaa entiteetin Poissulkemiset-määrityksestä , napsauta entiteetin nimen vieressä olevaa miinusmerkkiä ja valitse sitten sivun alareunasta Tallenna .

On suositeltavaa, että lisäät poissulkemisia tunnistukseen vasta, kun olet saanut tyypiltään ilmoituksia ja huomaat, että ne ovat todellisia hyvänlaatuisia positiivisia.

Huomautus

Sinun suojaksesi kaikki tunnistamiset eivät tarjoa mahdollisuutta asettaa poissulkemisia.

Jotkin tunnistuksia tarjoavat vinkkejä, joiden avulla voit päättää, mitä jätetään pois.

Jokainen poissulkeminen riippuu kontekstista, joissain voit määrittää käyttäjiä, kun taas toisille voit määrittää tietokoneita tai IP-osoitteita.

Kun sinulla on mahdollisuus jättää IP-osoite tai tietokone pois, voit sulkea pois jommankumman – sinun ei tarvitse antaa molempia.

Huomautus

Määrityssivuja voivat muokata vain ATA-järjestelmänvalvojat.

Katso myös