使用可疑活動
適用於:Advanced Threat Analytics 1.9 版
本文說明如何使用 Advanced Threat Analytics 的基本概念。
檢閱攻擊時間軸上的可疑活動
登入 ATA 控制台之後,系統會自動帶您前往開啟的 可疑啟用時程表。 可疑活動會依時間順序列出,最新的可疑活動位於時間軸頂端。 每個可疑活動都有下列資訊:
涉及的實體,包括使用者、計算機、伺服器、域控制器和資源。
可疑活動的時間和時間範圍。
可疑活動的嚴重性、高、中或低。
狀態:開啟、關閉或隱藏。
能夠
透過電子郵件與組織中的其他人共用可疑活動。
將可疑的活動導出至 Excel。
注意事項
- 當您將滑鼠停留在使用者或計算機上時,會顯示實體迷你配置檔,以提供實體的其他相關信息,並包含實體連結的可疑活動數目。
- 如果您按下實體,它會帶您前往使用者或計算機的實體配置檔。
篩選可疑活動清單
若要篩選可疑的活動清單:
在畫面左側的 [ 篩選依據 ] 窗格中,選取下列其中一個選項: [全部]、[ 開啟]、[ 已關閉] 或 [ 隱藏]。
若要進一步篩選清單,請選取 [高]、[ 中] 或 [ 低]。
可疑的活動嚴重性
低
指出可疑的活動,可能會導致針對惡意使用者或軟體所設計的攻擊,以取得組織數據的存取權。
Medium
指出可能會讓特定身分識別面臨更嚴重攻擊的風險,而導致身分識別遭竊或特殊許可權提升的可疑活動
High
指出可能導致身分識別竊取、許可權提升或其他高影響攻擊的可疑活動
補救可疑活動
您可以按下可疑活動的目前狀態,然後選取下列其中一個 [開啟]、[ 隱藏]、[ 已關閉] 或 [ 已刪除] 來變更可疑活動的狀態。 若要這樣做,請按下特定可疑活動右上角的三個點,以顯示可用動作的清單。
可疑的活動狀態
開啟:所有新的可疑活動都會出現在此清單中。
關閉:用來追蹤您識別、研究及修正的可疑活動,以減輕風險。
注意事項
如果在短時間內再次偵測到相同的活動,ATA 可能會重新開啟已關閉的活動。
隱藏:隱藏活動表示您現在想要忽略它,而且只有在有新的實例時才會再次收到警示。 這表示如果有類似的警示,ATA 不會重新開啟它。 但是,如果警示停止七天,然後再次出現,您會再次收到警示。
刪除:如果您刪除警示,警示會從系統、資料庫中刪除,而且您將無法還原警示。 按兩下 [刪除] 之後,您將能夠刪除相同類型的所有可疑活動。
排除:能夠排除實體,使其無法引發更多特定類型的警示。 例如,您可以將 ATA 設定為排除特定實體 (使用者或電腦) 針對特定類型的可疑活動再次發出警示,例如執行遠端程式代碼的特定系統管理員或執行 DNS 偵察的安全性掃描器。 除了能夠在時間軸中偵測到的可疑活動上直接新增排除專案之外,您也可以移至 [設定] 頁面移至 [ 排除專案],而對於每個可疑活動,您可以手動新增和移除排除的實體或子網 (例如傳遞票證) 。
注意事項
設定頁面只能由 ATA 系統管理員修改。