Partilhar via

Excluir entidades de deteções

  • Artigo

Aplica-se a: Advanced Threat Analytics versão 1.9

Este artigo explica como excluir entidades de acionar alertas para minimizar os verdadeiros positivos benignos, mas, ao mesmo tempo, certificar-se de que apanha os verdadeiros positivos. Para evitar que o ATA seja ruidoso em relação a atividades que, de utilizadores específicos, podem fazer parte do seu ritmo normal de negócio, pode silenciar ou excluir entidades específicas de emitir alertas.

Por exemplo, se tiver um detetor de segurança que realiza o reconhecimento de DNS ou um administrador que executa remotamente scripts no controlador de domínio e estas são atividades aprovadas cuja intenção faz parte das operações de TI normais na sua organização.

Para excluir entidades de emitir alertas no ATA:

Existem duas formas de excluir entidades da própria atividade suspeita ou do separador Exclusões na página Configuração .

  • A partir da atividade suspeita: na linha cronológica Atividade suspeita, quando recebe um alerta sobre uma atividade para um utilizador ou computador ou endereço IP com permissão para realizar a atividade específica e pode fazê-lo com frequência, clique com o botão direito do rato nas reticências no final da linha para a atividade suspeita nessa entidade e selecione Fechar e excluir.

    Esta ação adiciona o utilizador, computador ou endereço IP à lista de exclusões dessa atividade suspeita. Fecha a atividade suspeita e já não está listada na lista Eventos abertos na linha cronológica atividade suspeita.

    Excluir entidade.

  • Na página Configuração: para rever ou modificar quaisquer exclusões: em Configuração, clique em Exclusões e, em seguida, selecione a atividade suspeita, tal como Credenciais de conta confidenciais expostas.

    Configuração de exclusão.

Para remover uma entidade da configuração Exclusões : clique no sinal de subtração junto ao nome da entidade e, em seguida, clique em Guardar na parte inferior da página.

Recomenda-se que adicione exclusões às deteções apenas depois de receber alertas do tipo e determinar que são verdadeiros positivos benignos.

Nota

Para sua proteção, nem todas as deteções fornecem a possibilidade de definir exclusões.

Algumas das deteções fornecem sugestões que o ajudam a decidir o que excluir.

Cada exclusão depende do contexto, em alguns pode definir utilizadores, enquanto para outros pode definir computadores ou endereços IP.

Quando tiver a possibilidade de excluir um endereço IP ou um computador, pode excluir um ou outro - não precisa de fornecer ambos.

Nota

As páginas de configuração só podem ser modificadas pelos administradores do ATA.

See Also