从检测中排除实体
适用于:高级威胁分析版本 1.9
本文介绍如何从触发警报中排除实体,以最大程度地减少真正的良性正值,但同时,请确保捕获真正的正值。 为了防止 ATA 对来自特定用户的活动产生干扰,这些活动可能是正常业务节奏的一部分,可以阻止或排除特定实体引发警报。
例如,如果你有一个执行 DNS 协调的安全扫描程序,或者管理员在域控制器上远程运行脚本,并且这些是批准的活动,其意图是组织中正常 IT 操作的一部分。
若要在 ATA 中排除实体引发警报,请执行以下操作:
可通过两种方式从可疑活动本身或从“配置”页上的“排除项”选项卡中排除实体。
从可疑活动:在可疑活动时间线,如果收到用户或计算机或 IP 地址的活动警报,该用户或计算机或 IP 地址允许执行特定活动,并且可能经常这样做,请右键单击该实体上可疑活动的行末尾的三个点,然后选择“关闭并排除”。
这会将用户、计算机或 IP 地址添加到该可疑活动的排除列表中。 它会关闭可疑活动,并且不再在可疑活动时间线的“打开事件”列表中列出。
在“配置”页中:若要查看或修改任何排除项:在“ 配置”下,单击“ 排除项 ”,然后选择可疑活动,例如 公开的敏感帐户凭据。
若要从 排除 项配置中删除实体:单击实体名称旁边的减号,然后单击页面底部的“ 保存 ”。
建议仅在收到类型警报并确定其为真正的良性阳性之后,才向检测添加排除项。
注意
为了提供保护,并非所有检测都提供设置排除项的可能性。
某些检测提供了提示,可帮助你决定要排除的内容。
每个排除都取决于上下文,在一些情况下,可以设置用户,而对于其他,可以设置计算机或 IP 地址。
如果有可能排除 IP 地址或计算机,则可以排除其中一个地址或另一个 - 无需同时提供这两个地址。
注意
配置页只能由 ATA 管理员修改。