Partager via

Exclusion des entités des détections

  • Article

S’applique à : Advanced Threat Analytics version 1.9

Cet article explique comment exclure les entités du déclenchement d’alertes afin de minimiser les vrais positifs sans gravité tout en veillant à détecter les vrais positifs. Afin d’empêcher ATA d’être bruyant au sujet d’activités qui, de la part d’utilisateurs spécifiques, peuvent faire partie de votre rythme d’activité normal, vous pouvez empêcher des entités spécifiques de déclencher des alertes.

Par exemple, si vous avez un scanneur de sécurité qui effectue une reconquête DNS ou un administrateur qui exécute à distance des scripts sur le contrôleur de domaine , et il s’agit d’activités approuvées dont l’intention fait partie des opérations informatiques normales dans votre organization.

Pour exclure les entités du déclenchement d’alertes dans ATA :

Il existe deux façons d’exclure des entités : de l’activité suspecte elle-même ou de l’onglet Exclusions de la page Configuration .

  • À partir de l’activité suspecte : dans le chronologie Activité suspecte, lorsque vous recevez une alerte sur une activité pour un utilisateur ou un ordinateur ou une adresse IP qui est autorisée à effectuer l’activité particulière et qui peut le faire fréquemment, cliquez avec le bouton droit sur les trois points à la fin de la ligne pour l’activité suspecte sur cette entité, puis sélectionnez Fermer et exclure.

    Cela ajoute l’utilisateur, l’ordinateur ou l’adresse IP à la liste des exclusions pour cette activité suspecte. Il ferme l’activité suspecte et elle n’est plus répertoriée dans la liste Des événements ouverts dans la chronologie Activité suspecte.

    Exclure l’entité.

  • Dans la page Configuration : Pour passer en revue ou modifier les exclusions : sous Configuration, cliquez sur Exclusions , puis sélectionnez l’activité suspecte, telle que Les informations d’identification de compte sensibles exposées.

    Configuration de l’exclusion.

Pour supprimer une entité de la configuration Exclusions : cliquez sur le signe moins en regard du nom de l’entité, puis cliquez sur Enregistrer en bas de la page.

Il est recommandé d’ajouter des exclusions aux détections uniquement une fois que vous avez obtenu des alertes du type et que vous avez déterminé qu’il s’agit de vrais positifs sans gravité.

Remarque

Pour votre protection, toutes les détections ne permettent pas de définir des exclusions.

Certaines détections fournissent des conseils qui vous aident à décider ce qu’il faut exclure.

Chaque exclusion dépend du contexte. Dans certains cas, vous pouvez définir des utilisateurs, tandis que pour d’autres, vous pouvez définir des ordinateurs ou des adresses IP.

Lorsque vous avez la possibilité d’exclure une adresse IP ou un ordinateur, vous pouvez exclure l’une ou l’autre . Vous n’avez pas besoin de fournir les deux.

Remarque

Les pages de configuration peuvent uniquement être modifiées par les administrateurs ATA.

Voir aussi