处理可疑活动

适用于:高级威胁分析版本 1.9

本文介绍了如何使用高级威胁分析的基础知识。

查看攻击时间线上的可疑活动

登录 ATA 控制台后,会自动转到打开的“可疑活动时间线”。 可疑活动按时间顺序列出,时间线顶部显示最新的可疑活动。 每个可疑活动都具有以下信息:

  • 涉及的实体,包括用户、计算机、服务器、域控制器以及资源。

  • 可疑活动的时间和期限。

  • 可疑活动的严重性:高、中或低。

  • 状态:已打开、已关闭或已抑制。

  • 具有以下功能:

    • 通过电子邮件与组织中的其他人共享可疑活动。

    • 将可疑活动导出到 Excel。

注意

  • 将鼠标悬停在用户或计算机上时,将显示实体迷你配置文件,该配置文件提供有关该实体的附加信息,并包含该实体链接到的可疑活动数量。
  • 如果单击某个实体,则会转到用户或计算机的实体配置文件。

ATA suspicious activities timeline image.

筛选可疑活动列表

要筛选可疑活动列表,请执行以下操作:

  1. 在屏幕左侧的“筛选条件”窗格中,选择以下选项之一:“全部”、“已打开”、“已关闭”或“已抑制”

  2. 要进一步筛选列表,请选择“高”、“中”或“低”

可疑活动严重性

  • 表示可能导致针对恶意用户或软件进行攻击以获取组织数据访问权限的可疑活动。

  • 中型

    表示可能使特定标识面临更严重攻击风险的可疑活动,这些攻击可能导致标识盗窃或特权升级

  • 表示可能导致标识盗窃、特权升级或其他高影响攻击的可疑活动

修正可疑活动

可以单击可疑活动的当前状态并选择以下选项之一来更改可疑活动的状态:“已打开”、“已抑制”、“已关闭”或“已删除”。 要执行此操作,请单击特定可疑活动右上角的三个点,显示可用操作的列表。

ATA Actions for suspicious activities.

可疑活动状态

  • 未处理:所有新的可疑活动都将显示在此列表中。

  • 关闭:用于跟踪已识别、已研究、已解决或已缓解的可疑活动。

    注意

    如果在短时间内再次检测到同一活动,则 ATA 可能会重新打开已关闭的活动。

  • 抑制:抑制某个活动意味着希望暂时忽略该活动,并且仅在出现新实例时才会再次发出警报。 这意味着,如果有类似的警报,ATA 不会重新将其打开。 但是,如果警报停止了 7 天,然后再次出现,则会再次发出警报。

  • 删除:如果删除某个警报,则会从系统以及数据库中将其删除,并且将无法还原。 单击“删除”后,将能够删除相同类型的所有可疑活动。

  • 排除:能够排除某个实体发出某种类型的更多警报。 例如,可以将 ATA 设置为排除特定实体(用户或计算机)对某种类型的可疑活动再次发出警报,例如运行远程代码的特定管理员或执行 DNS 侦查的安全扫描程序。 除了能够在时间线中检测到可疑活动时直接添加排除项之外,还可以转到“配置”页面的“排除项”,对于每个可疑活动,可以手动添加和删除排除的实体或子网(例如 Pass-the-Ticket)。

    注意

    配置页面只能由 ATA 管理员进行修改。

另请参阅