使用可疑活動
適用于:進階威脅分析 1.9 版
本文說明如何使用 Advanced Threat Analytics 的基本概念。
檢閱攻擊時間表上的可疑活動
登入 ATA 主控台之後,系統會自動進入開啟 的可疑啟用時間線 。 可疑活動會依時間順序列出,時間表頂端最新的可疑活動。 每個可疑活動都有下列資訊:
涉及的實體,包括使用者、電腦、伺服器、網域控制站和資源。
可疑活動的時間和時間範圍。
可疑活動的嚴重性、高、中或低。
狀態:開啟、關閉或隱藏。
能夠
透過電子郵件與組織中的其他人共用可疑活動。
將可疑的活動匯出至 Excel。
注意
- 當您將滑鼠停留在使用者或電腦上時,會顯示實體迷你設定檔,以提供實體的其他資訊,並包含實體所連結的可疑活動數目。
- 如果您按一下實體,它會帶您前往使用者或電腦的實體設定檔。
篩選可疑的活動清單
若要篩選可疑的活動清單:
在畫面左側的 [ 篩選依據 ] 窗格中,選取下列其中一個選項: [全部 ]、[開啟 ]、 [已關閉 ] 或 [ 已隱藏]。
若要進一步篩選清單,請選取 [高 ]、 [中 ] 或 [低]。
可疑的活動嚴重性
低
指出可能導致惡意使用者或軟體存取組織資料的可疑活動。
中
指出可能讓特定身分識別面臨更嚴重攻擊風險的可疑活動,可能導致身分識別遭竊或特殊許可權提升
高
指出可能導致身分識別竊取、許可權提升或其他高影響攻擊的可疑活動
補救可疑活動
您可以按一下可疑活動的目前狀態,然後選取下列 其中一個 [開啟 ]、[隱藏 ]、 [ 已關閉 ] 或 [已刪除 ] 來變更可疑活動的狀態。 若要這樣做,請按一下特定可疑活動右上角的三個點,以顯示可用的動作清單。
可疑的活動狀態
開啟 :此清單中會出現所有新的可疑活動。
關閉 :用來追蹤您識別、研究及修正的可疑活動,以減輕風險。
注意
如果在短時間內再次偵測到相同的活動,ATA 可能會重新開啟關閉的活動。
隱藏 :隱藏活動表示您目前想要忽略它,而且只有在有新的實例時,才會再次發出警示。 這表示如果有類似的警示 ATA 不會重新開啟。 但是,如果警示停止七天,然後再看到一次,您就會再次收到警示。
刪除 :如果您刪除警示,則會從系統、資料庫刪除警示,而且您將無法還原警示。 按一下 [刪除] 之後,您將能夠刪除相同類型的所有可疑活動。
排除 :排除實體無法引發更多特定類型的警示。 例如,您可以設定 ATA 來排除特定實體(使用者或電腦)再次警示特定類型的可疑活動,例如執行遠端程式碼的特定系統管理員或執行 DNS 偵察的安全性掃描器。 除了能夠直接在可疑活動上新增排除專案,因為它在時間表中偵測到,您也可以移至 [設定] 頁面至 [排除 專案],而且針對每個可疑活動,您可以手動新增和移除排除的實體或子網(例如 Pass-the-Ticket)。
注意
設定頁面只能由 ATA 系統管理員修改。