Entiteiten uitsluiten van detecties
Van toepassing op: Advanced Threat Analytics versie 1.9
In dit artikel wordt uitgelegd hoe u entiteiten kunt uitsluiten van het activeren van waarschuwingen om echte goedaardige positieven te minimaliseren, maar zorg er tegelijkertijd voor dat u de echte positieven ondervangt. Om te voorkomen dat ATA luidruchtig is over activiteiten die, van specifieke gebruikers, deel kunnen uitmaken van uw normale bedrijfsritme, kunt u specifieke entiteiten stilzetten of uitsluiten van het genereren van waarschuwingen.
Als u bijvoorbeeld een beveiligingsscanner hebt die DNS-recon uitvoert of een beheerder die op afstand scripts uitvoert op de domeincontroller, en dit zijn goedgekeurde activiteiten waarvan de intentie deel uitmaakt van de normale IT-bewerkingen in uw organisatie.
Entiteiten uitsluiten van het genereren van waarschuwingen in ATA:
Er zijn twee manieren waarop u entiteiten kunt uitsluiten: van de verdachte activiteit zelf of van het tabblad Uitsluitingen op de pagina Configuratie .
Vanuit de verdachte activiteit: wanneer u in de tijdlijn verdachte activiteit een waarschuwing ontvangt over een activiteit voor een gebruiker of computer of IP-adres dat de specifieke activiteit mag uitvoeren en dit mogelijk regelmatig doet, klikt u met de rechtermuisknop op de drie puntjes aan het einde van de rij voor de verdachte activiteit op die entiteit en selecteert u Sluiten en uitsluiten.
Hiermee voegt u de gebruiker, computer of IP-adres toe aan de lijst met uitsluitingen voor die verdachte activiteit. Hiermee wordt de verdachte activiteit gesloten en wordt deze niet meer weergegeven in de lijst Gebeurtenissen openen in de tijdlijn voor verdachte activiteiten.
Op de pagina Configuratie: als u uitsluitingen wilt controleren of wijzigen: klik onder Configuratie op Uitsluitingen en selecteer vervolgens de verdachte activiteit, zoals gevoelige accountreferenties die beschikbaar zijn gemaakt.
Een entiteit verwijderen uit de configuratie Uitsluitingen : klik op het minteken naast de naam van de entiteit en klik vervolgens onder aan de pagina op Opslaan .
Het wordt aanbevolen om uitsluitingen pas toe te voegen aan detecties nadat u waarschuwingen van het type hebt ontvangen en hebt vastgesteld dat het echte goedaardige positieven zijn.
Opmerking
Voor uw bescherming bieden niet alle detecties de mogelijkheid om uitsluitingen in te stellen.
Sommige detecties bieden tips waarmee u kunt bepalen wat u wilt uitsluiten.
Elke uitsluiting is afhankelijk van de context, in sommige gevallen kunt u gebruikers instellen, terwijl u voor andere computers of IP-adressen kunt instellen.
Wanneer u de mogelijkheid hebt om een IP-adres of een computer uit te sluiten, kunt u het ene of het andere uitsluiten. U hoeft beide niet op te geven.
Opmerking
De configuratiepagina's kunnen alleen worden gewijzigd door ATA-beheerders.