從偵測排除實體
適用於:Advanced Threat Analytics 1.9 版
本文說明如何排除實體來觸發警示,以將真正的良性正面降到最低,但同時請確定您已攔截到真正的正面。 若要防止 ATA 對來自特定使用者的活動發出雜訊,這些活動可能是您正常商務節奏的一部分,您可以讓特定實體無訊息或排除,以免引發警示。
例如,如果您有一個安全性掃描器執行 DNS 重新檢查,或是從遠端在域控制器上執行腳本的系統管理員,而這些是獲批准的活動,其意圖是組織中一般 IT 作業的一部分。
若要排除實體不在 ATA 中引發警示:
有兩種方式可讓您從可疑活動本身,或從 [組態] 頁面上的 [排除] 索引卷標中排除實體。
從可疑活動:在可疑啟用時程表中,當您收到使用者或計算機或IP位址的警示,該活動允許執行特定活動,而且可能經常執行此動作時,請以滑鼠右鍵按下該實體上可疑活動數據列結尾的三個點,然後選取 [關閉並排除]。
這會將使用者、計算機或IP位址新增至該可疑活動的排除清單。 它會關閉可疑的活動,而且不再列在可疑啟用時程表的 [開啟事件] 列表中。
從 [組態] 頁面:若要檢閱或修改任何排除專案 :在 [設定] 下,按兩下 [ 排除 ],然後選取可疑的活動,例如 公開的敏感性帳戶認證。
若要從 排除 組態中移除實體:按兩下實體名稱旁邊的減號, 然後按下 頁面底部的 [儲存]。
建議您只在收到類型的警示並判斷它們為良性肯定之後,才將排除專案新增至偵測。
注意事項
針對您的保護,並非所有偵測都提供設定排除的可能性。
某些偵測會提供提示,協助您決定要排除的專案。
每個排除專案都取決於內容,在某些情況下,您可以設定使用者,而針對其他使用者,您可以設定計算機或IP位址。
當您有可能排除IP位址或計算機時,可以排除其中一個位址或另一個IP位址,而不需要同時提供兩者。
注意事項
設定頁面只能由 ATA 系統管理員修改。