Arbeide med mistenkelige aktiviteter
Gjelder for: Advanced Threat Analytics versjon 1.9
Denne artikkelen forklarer det grunnleggende om hvordan du arbeider med Advanced Threat Analytics.
Se gjennom mistenkelige aktiviteter på tidslinjen for angrep
Når du logger deg på ATA-konsollen, blir du automatisk ført til den åpne tidslinjen for mistenkelige aktiviteter. Mistenkelige aktiviteter er oppført i kronologisk rekkefølge med de nyeste mistenkelige aktivitetene øverst på tidslinjen. Hver mistenkelig aktivitet har følgende informasjon:
Enheter som er involvert, inkludert brukere, datamaskiner, servere, domenekontrollere og ressurser.
Klokkeslett og tidsramme for mistenkelige aktiviteter.
Alvorsgraden for mistenkelig aktivitet, høy, middels eller lav.
Status: Åpen, lukket eller undertrykket.
Mulighet til å
Del mistenkelig aktivitet med andre personer i organisasjonen via e-post.
Eksporter mistenkelig aktivitet til Excel.
Obs!
- Når du holder musepekeren over en bruker eller datamaskin, vises en miniprofil for enheten som gir tilleggsinformasjon om enheten og inkluderer antall mistenkelige aktiviteter som enheten er koblet til.
- Hvis du klikker på en enhet, tar den deg til enhetsprofilen til brukeren eller datamaskinen.
Filtrer mistenkelig aktivitetsliste
Slik filtrerer du listen over mistenkelige aktiviteter:
Velg ett av følgende alternativer i Filtrer etter-ruten på venstre side av skjermen: Alle, Åpne, Lukket eller Undertrykket.
Hvis du vil filtrere listen ytterligere, velger du Høy, Middels eller Lav.
Mistenkelig alvorlighetsgrad for aktivitet
Lav
Angir mistenkelige aktiviteter som kan føre til angrep som er utformet for ondsinnede brukere eller programvare for å få tilgang til organisasjonsdata.
Middels
Angir mistenkelige aktiviteter som kan sette bestemte identiteter i fare for mer alvorlige angrep som kan føre til identitetstyveri eller privilegert eskalering
Høy
Angir mistenkelige aktiviteter som kan føre til identitetstyveri, eskalering av privilegier eller andre angrep med høy effekt
Utbedring av mistenkelige aktiviteter
Du kan endre statusen for en mistenkelig aktivitet ved å klikke den gjeldende statusen for den mistenkelige aktiviteten og velge en av følgende Åpne, Undertrykket, Lukket eller Slettet. Dette gjør du ved å klikke på de tre prikkene øverst til høyre i en bestemt mistenkelig aktivitet for å vise listen over tilgjengelige handlinger.
Status for mistenkelig aktivitet
Åpne: Alle nye mistenkelige aktiviteter vises i denne listen.
Lukk: Brukes til å spore mistenkelige aktiviteter som du har identifisert, undersøkt og reparert for å reduseres.
Obs!
Hvis den samme aktiviteten oppdages på nytt innen kort tid, kan ATA åpne en lukket aktivitet på nytt.
Undertrykk: Undertrykking av en aktivitet betyr at du vil ignorere den inntil videre, og bare bli varslet på nytt hvis det finnes en ny forekomst. Dette betyr at hvis det er et lignende varsel, åpner IKKE ATA det på nytt. Men hvis varselet stopper i sju dager, og deretter vises på nytt, blir du varslet på nytt.
Slett: Hvis du sletter et varsel, slettes det fra systemet, fra databasen, og du vil IKKE kunne gjenopprette det. Når du klikker sletting, kan du slette alle mistenkelige aktiviteter av samme type.
Utelat: Muligheten til å ekskludere en enhet fra å heve flere av en bestemt type varsler. Du kan for eksempel angi at ATA skal utelate en bestemt enhet (bruker eller datamaskin) fra å varsle på nytt for en bestemt type mistenkelig aktivitet, for eksempel en bestemt administrator som kjører ekstern kode eller en sikkerhetsskanner som utfører DNS-rekognosering. I tillegg til å kunne legge til utelatelser direkte på mistenkelig aktivitet slik den oppdages i tidslinjen, kan du også gå til konfigurasjonssiden til Utelatelser, og for hver mistenkelig aktivitet kan du manuelt legge til og fjerne utelatte enheter eller delnett (for eksempel pass-the-ticket).
Obs!
Konfigurasjonssidene kan bare endres av ATA-administratorer.