不審なアクティビティの操作
適用対象: Advanced Threat Analytics バージョン 1.9
この記事では、Advanced Threat Analytics を操作する方法の基本について説明します。
攻撃のタイム ラインで疑わしいアクティビティを確認する
ATA コンソールにログインすると、開いている 不審なアクティビティのタイム ラインに自動的にアクセスします。 不審なアクティビティは時系列順に表示され、タイム ラインの上部に最新の不審なアクティビティが表示されます。 疑わしい各アクティビティには、次の情報があります。
ユーザー、コンピューター、サーバー、ドメイン コントローラー、リソースなど、関連するエンティティ。
疑わしいアクティビティの時間と時間枠。
疑わしいアクティビティの重大度(高、中、低)。
状態: 開いている、閉じている、または抑制されています。
を実行する機能
不審なアクティビティをorganization内の他のユーザーとメールで共有します。
疑わしいアクティビティを Excel にエクスポートします。
注:
- ユーザーまたはコンピューターの上にマウス ポインターを置くと、エンティティに関する追加情報を提供し、エンティティがリンクされている不審なアクティビティの数を含むエンティティ ミニ プロファイルが表示されます。
- エンティティをクリックすると、ユーザーまたはコンピューターのエンティティ プロファイルに移動します。
疑わしいアクティビティの一覧をフィルター処理する
疑わしいアクティビティの一覧をフィルター処理するには:
画面の左側にある [ フィルター] ウィンドウで、[ すべて]、[ 開く]、[ 閉じた]、または [ 抑制] のいずれかのオプションを選択します。
一覧をさらにフィルター処理するには、[ 高]、[ 中]、または [ 低] を選択します。
疑わしいアクティビティの重大度
低
悪意のあるユーザーまたはソフトウェアが組織のデータにアクセスできるように設計された攻撃につながる疑わしいアクティビティを示します。
Medium
ID の盗難や特権エスカレーションの原因となる可能性がある、より深刻な攻撃に対して特定の ID を危険にさらす疑わしいアクティビティを示します。
High
ID の盗難、特権のエスカレーション、またはその他の影響の大きい攻撃につながる疑わしいアクティビティを示します
疑わしいアクティビティの修復
疑わしいアクティビティの現在の状態をクリックし、次の [開く]、[ 抑制済み]、[ 閉じた]、または [削除済み] のいずれかを選択することで、疑わしいアクティビティの状態を変更できます。 これを行うには、特定の疑わしいアクティビティの右上隅にある 3 つのドットをクリックして、使用可能なアクションの一覧を表示します。
疑わしいアクティビティの状態
[開く]: この一覧に新しい不審なアクティビティがすべて表示されます。
閉じる: 軽減対象として特定、調査、修正した疑わしいアクティビティを追跡するために使用されます。
注:
同じアクティビティが短時間で再度検出された場合、ATA は閉じたアクティビティを再度開く可能性があります。
抑制: アクティビティを抑制することは、現時点では無視し、新しいインスタンスがある場合にのみ再度アラートを受け取る必要があることを意味します。 これは、同様のアラートがある場合、ATA は再び開かないことを意味します。 ただし、アラートが 7 日間停止し、再度表示された場合は、再度アラートが表示されます。
削除: アラートを削除すると、システムからデータベースから削除され、復元できなくなります。 [削除] をクリックすると、同じ種類のすべての疑わしいアクティビティを削除できます。
除外: 特定の種類のアラートの発生からエンティティを除外する機能。 たとえば、リモート コードを実行する特定の管理者や DNS 偵察を行うセキュリティ スキャナーなど、特定の種類の不審なアクティビティに対するアラートから特定のエンティティ (ユーザーまたはコンピューター) を除外するように ATA を設定できます。 タイム ラインで検出された不審なアクティビティに対して除外を直接追加できるだけでなく、[構成] ページで [除外] に移動することもできます。また、疑わしいアクティビティごとに、除外されたエンティティまたはサブネット (Pass-the-Ticket など) を手動で追加および削除できます。
注:
構成ページは ATA 管理者のみが変更できます。