不審なアクティビティの操作
適用対象: Advanced Threat Analytics Version 1.9
この記事では、Advanced Threat Analytics を使用する方法の基本について説明します。
攻撃タイムラインで不審なアクティビティを確認する
ATA コンソールにログインすると、未解決の不審なアクティビティ タイム ラインに自動アクセスします。 不審なアクティビティは、時系列順に一覧表示され、タイム ラインの上部に最新の不審なアクティビティが表示されます。 各不審なアクティビティには、次の情報があります。
関係するエンティティ (ユーザー、コンピューター、サーバー、ドメイン コントローラー、リソースなど)。
不審なアクティビティの時間と期間。
高、中、または低の不審なアクティビティの重大度。
状態: 未解決、クローズ、または抑制。
次の機能
不審なアクティビティを組織内の他のユーザーと Email で共有します。
不審なアクティビティを Excel にエクスポートします。
Note
- ユーザーまたはコンピューターにマウスのカーソルを合わせると、エンティティ関連の追加情報を提供するエンティティ ミニプロファイルが表示されます。これには、エンティティがリンクされている不審なアクティビティの数が含まれます。
- エンティティをクリックすると、ユーザーまたはコンピューターのエンティティ プロファイルに移動します。
不審なアクティビティの一覧をフィルター処理する
不審なアクティビティの一覧をフィルター処理するには:
画面左側のある [フィルター] ペインで、[すべて]、[未解決]、[クローズ]、[抑制] のいずれかのオプションを選択します。
一覧をさらにフィルター処理するには、[高]、[中] または [低] を選択します。
疑わしいアクティビティの重大度
低
悪意のあるユーザーまたはソフトウェアが組織のデータにアクセスできるように設計された攻撃につながる可能性のある不審なアクティビティを示します。
Medium
なりすましや権限エスカレーションにつながる可能性があるより深刻な攻撃に対して、特定の ID を危険にさらす可能性がある不審なアクティビティを示します
高
なりすまし、権限エスカレーション、またはその他の影響の大きい攻撃につながる可能性のある不審なアクティビティを示します
不審なアクティビティの修復
不審なアクティビティの状態は、不審なアクティビティの現在の状態をクリックして、[未解決]、[抑制]、[クローズ] または [削除済み] のいずれかを選択すると変更できます。 これを行うには、特定の不審なアクティビティの右上隅にある 3 つのドットをクリックして、使用可能なアクションの一覧を表示します。
不審なアクティビティの状態
未解決: この一覧には新しい不審なアクティビティすべてが表示されます
クローズ: 影響を抑えるために、識別して調査を行い、修正した不審なアクティビティを追跡するために使用されます。
Note
短期間に同じアクティビティが再び検出された場合、ATA はクローズしたアクティビティをリオープンする場合があります。
抑制: アクティビティを抑制にすると、当面そのアクティビティを無視して、新しいインスタンスが発生した場合に、サイドアラートを出すことを示します。 これは、同様のアラートがある場合、ATA はそれをリオープンしないことを意味します。 ただし、アラートが 7 日間停止し、再び表示された場合は、もう一度アラートが送信されます。
削除: アラートを削除すると、そのアラートはシステムやデータベースから削除され、復元できなくなります。 [削除] をクリックすると、同じ種類のすべての不審なアクティビティを削除できます。
除外: 特定の種類のアラートの発生からエンティティを除外する機能。 たとえば、モート コードを実行する特定の管理者や DNS 偵察を行うセキュリティ スキャナーなど、特定の種類の不審なアクティビティについて、特定のエンティティ (ユーザーまたはコンピューター) を再びアラートから除外するように ATA を設定できます。 タイム ラインで検出された不審なアクティビティに直接除外を追加できるだけでなく、[構成] ページから [除外] に移動することもできます。また、不審なアクティビティごとに、除外されたエンティティまたはサブネット (Pass-the-Ticket など) を手動で追加および削除することもできます。
Note
構成ページは、ATA 管理者のみが変更できます。