Udostępnij za pośrednictwem

Wykluczanie jednostek z wykrywania

  • Artykuł

Dotyczy: Advanced Threat Analytics w wersji 1.9

W tym artykule wyjaśniono, jak wykluczyć jednostki z wyzwalania alertów w celu zminimalizowania prawdziwie niegroźnych wyników dodatnich, ale jednocześnie upewnij się, że zostały złapane prawdziwe wyniki dodatnie. Aby usługa ATA nie była hałaśliwa w zakresie działań, które od konkretnych użytkowników mogą być częścią normalnego rytmu działalności, możesz wyciszyć lub wykluczyć określone jednostki z zgłaszania alertów.

Jeśli na przykład masz skaner zabezpieczeń, który wykonuje recon DNS lub administrator, który zdalnie uruchamia skrypty na kontrolerze domeny — są to usankcjonowane działania, których intencja jest częścią normalnych operacji IT w organizacji.

Aby wykluczyć jednostki z zgłaszania alertów w usłudze ATA:

Istnieją dwa sposoby wykluczania jednostek, z samego podejrzanego działania lub z karty Wykluczenia na stronie Konfiguracja .

  • Z podejrzanego działania: na osi czasu podejrzanego działania po otrzymaniu alertu o działaniu dla użytkownika lub komputera lub adresu IP, który może wykonywać określone działanie i może to robić często, kliknij prawym przyciskiem myszy trzy kropki na końcu wiersza dla podejrzanego działania w tej jednostce, a następnie wybierz pozycję Zamknij i wyklucz.

    Spowoduje to dodanie użytkownika, komputera lub adresu IP do listy wykluczeń dla tego podejrzanego działania. Zamyka podejrzane działanie i nie znajduje się już na liście Otwórz zdarzenia na osi czasu podejrzanego działania.

    Wyklucz jednostkę.

  • Na stronie Konfiguracja: aby przejrzeć lub zmodyfikować wszelkie wykluczenia: w obszarze Konfiguracja kliknij pozycję Wykluczenia , a następnie wybierz podejrzane działanie, takie jak uwidocznione poświadczenia konta poufne.

    Konfiguracja wykluczenia.

Aby usunąć jednostkę z konfiguracji Wykluczenia : kliknij minus obok nazwy jednostki, a następnie kliknij pozycję Zapisz w dolnej części strony.

Zaleca się dodanie wykluczeń do wykrywania dopiero po uzyskaniu alertów typu i określeniu, że są to prawdziwie niegroźne wyniki dodatnie.

Uwaga

W przypadku ochrony nie wszystkie wykrycia umożliwiają ustawianie wykluczeń.

Niektóre z tych wykryć zawierają wskazówki, które pomogą Ci zdecydować, co wykluczyć.

Każde wykluczenie zależy od kontekstu, w niektórych można ustawić użytkowników, podczas gdy dla innych można ustawić komputery lub adresy IP.

Jeśli masz możliwość wykluczenia adresu IP lub komputera, możesz wykluczyć jeden lub drugi — nie musisz podawać obu tych adresów.

Uwaga

Strony konfiguracji mogą być modyfikowane tylko przez administratorów usługi ATA.

Zobacz też