검색에서 엔터티 제외
적용 대상: Advanced Threat Analytics 버전 1.9
이 문서에서는 진정한 양성 긍정을 최소화하기 위해 경고 트리거에서 엔터티를 제외하는 방법을 설명하지만, 동시에 진정한 긍정을 catch해야 합니다. ATA가 특정 사용자로부터 정상적인 비즈니스 리듬의 일부가 될 수 있는 활동에 대해 시끄러운 것을 막기 위해 특정 엔터티를 경고 발생으로부터 조용히 또는 제외할 수 있습니다.
예를 들어 DNS 정찰을 수행하는 보안 스캐너 또는 도메인 컨트롤러에서 원격으로 스크립트를 실행하는 관리자가 있는 경우 이러한 작업은 organization 일반 IT 작업의 일부인 승인된 활동입니다.
ATA에서 엔터티가 경고를 발생시키는 것을 제외하려면 다음을 수행합니다.
의심스러운 활동 자체에서 또는 구성 페이지의 제외 탭에서 엔터티를 제외할 수 있는 두 가지 방법이 있습니다.
의심스러운 활동에서: 의심스러운 활동 타임라인 특정 활동을 수행할 수 있고 자주 수행할 수 있는 사용자 또는 컴퓨터 또는 IP 주소에 대한 활동에 대한 경고를 받으면 해당 엔터티의 의심스러운 활동에 대한 행 끝에 있는 세 개의 점을 마우스 오른쪽 단추로 클릭하고 닫기 및 제외를 선택합니다.
그러면 해당 의심스러운 활동에 대한 제외 목록에 사용자, 컴퓨터 또는 IP 주소가 추가됩니다. 의심스러운 활동을 닫고 의심스러운 활동 타임라인이벤트 열기 목록에 더 이상 나열되지 않습니다.
구성 페이지에서: 제외를 검토하거나 수정하려면 구성에서 제외 를 클릭한 다음, 노출된 중요한 계정 자격 증명과 같은 의심스러운 활동을 선택합니다.
제외 구성에서 엔터티를 제거하려면 엔터티 이름 옆에 있는 빼기를 클릭한 다음 페이지 아래쪽에서 저장을 클릭합니다.
형식에 대한 경고를 받고 올바른 긍정임을 확인한 후에만 검색에 제외를 추가하는 것이 좋습니다.
참고
보호를 위해 모든 검색이 제외를 설정할 수 있는 가능성을 제공하는 것은 아닙니다.
일부 검색은 제외할 항목을 결정하는 데 도움이 되는 팁을 제공합니다.
각 제외는 컨텍스트에 따라 달라지며, 일부는 사용자를 설정할 수 있고 다른 사용자에 대해서는 컴퓨터 또는 IP 주소를 설정할 수 있습니다.
IP 주소 또는 컴퓨터를 제외할 가능성이 있는 경우 하나 또는 다른 주소를 제외할 수 있습니다. 둘 다 제공할 필요는 없습니다.
참고
구성 페이지는 ATA 관리자만 수정할 수 있습니다.