Utilisation d’activités suspectes
S’applique à : Advanced Threat Analytics version 1.9
Cet article explique les principes de base de l’utilisation d’Advanced Threat Analytics.
Passer en revue les activités suspectes sur la ligne de temps d’attaque
Après vous être connecté à la console ATA, vous êtes automatiquement redirigé vers la ligne de temps des activités suspectes ouverte. Les activités suspectes sont répertoriées par ordre chronologique avec les activités suspectes les plus récentes en haut de la ligne de temps. Chaque activité suspecte contient les informations suivantes :
Entités impliquées, notamment les utilisateurs, les ordinateurs, les serveurs, les contrôleurs de domaine et les ressources.
Heures et période des activités suspectes.
Gravité de l’activité suspecte, élevée, moyenne ou faible.
État : ouvert, fermé ou supprimé.
Capacité à
Partagez l’activité suspecte avec d’autres personnes de votre organization par e-mail.
Exportez l’activité suspecte vers Excel.
Remarque
- Lorsque vous placez votre souris sur un utilisateur ou un ordinateur, un mini-profil d’entité s’affiche et fournit des informations supplémentaires sur l’entité et inclut le nombre d’activités suspectes auxquelles l’entité est liée.
- Si vous cliquez sur une entité, vous accédez au profil d’entité de l’utilisateur ou de l’ordinateur.
Filtrer la liste des activités suspectes
Pour filtrer la liste des activités suspectes :
Dans le volet Filtrer par sur le côté gauche de l’écran, sélectionnez l’une des options suivantes : Tout, Ouvrir, Fermé ou Supprimé.
Pour filtrer davantage la liste, sélectionnez Élevé, Moyen ou Faible.
Gravité des activités suspectes
Faible
Indique des activités suspectes qui peuvent entraîner des attaques conçues pour permettre à des utilisateurs malveillants ou à des logiciels malveillants d’accéder aux données de l’organisation.
Medium
Indique des activités suspectes qui peuvent exposer des identités spécifiques à des attaques plus graves susceptibles d’entraîner un vol d’identité ou une escalade de privilèges
High
Indique des activités suspectes qui peuvent entraîner l’usurpation d’identité, l’escalade de privilèges ou d’autres attaques à fort impact
Correction des activités suspectes
Vous pouvez modifier la status d’une activité suspecte en cliquant sur le status actuel de l’activité suspecte et en sélectionnant l’une des options suivantes : Ouvrir, Supprimer, Fermer ou Supprimer. Pour ce faire, cliquez sur les trois points en haut à droite d’une activité suspecte spécifique pour afficher la liste des actions disponibles.
Status d’activités suspectes
Ouvrir : toutes les nouvelles activités suspectes apparaissent dans cette liste.
Fermer : permet de suivre les activités suspectes que vous avez identifiées, recherchés et corrigées pour être atténuées.
Remarque
Si la même activité est à nouveau détectée dans un court laps de temps, ATA peut rouvrir une activité fermée.
Supprimer : la suppression d’une activité signifie que vous souhaitez l’ignorer pour l’instant et être alerté uniquement en cas de nouvelle instance. Cela signifie que s’il existe une alerte similaire, ATA ne la rouvre pas. Mais si l’alerte s’arrête pendant sept jours, puis est à nouveau vue, vous êtes de nouveau alerté.
Supprimer : si vous supprimez une alerte, elle est supprimée du système, de la base de données et vous ne pourrez PAS la restaurer. Après avoir cliqué sur Supprimer, vous pouvez supprimer toutes les activités suspectes du même type.
Exclure : possibilité d’exclure une entité du déclenchement d’un certain type d’alertes. Par exemple, vous pouvez définir ATA pour exclure une entité spécifique (utilisateur ou ordinateur) de l’alerte pour un certain type d’activité suspecte, comme un administrateur spécifique qui exécute du code à distance ou un analyseur de sécurité qui effectue une reconnaissance DNS. En plus d’être en mesure d’ajouter des exclusions directement sur l’activité suspecte telle qu’elle est détectée dans la ligne de temps, vous pouvez également accéder à la page Configuration à Exclusions. Pour chaque activité suspecte, vous pouvez ajouter et supprimer manuellement des entités ou des sous-réseaux exclus (par exemple pour Pass-the-Ticket).
Remarque
Les pages de configuration peuvent uniquement être modifiées par les administrateurs ATA.