Поделиться через

Исключение сущностей из обнаружения

  • Статья

Область применения: Advanced Threat Analytics версии 1.9

В этой статье объясняется, как исключить сущности из запуска оповещений, чтобы свести к минимуму истинные доброкачественные положительные органы, но в то же время убедиться, что вы перехватываете истинные положительные органы. Чтобы не допустить шумности ATA о действиях, которые со стороны конкретных пользователей могут быть частью вашего нормального бизнес-ритма, можно отключить или исключить определенные сущности из создания оповещений.

Например, если у вас есть средство проверки безопасности, выполняющее рекогносцировку DNS, или администратор, который удаленно выполняет скрипты на контроллере домена, и это санкционированные действия, намерения которых являются частью обычных ИТ-операций в вашей организации.

Чтобы исключить сущности из создания оповещений в ATA:

Существует два способа исключения сущностей: из самого подозрительного действия или на вкладке Исключения на странице Конфигурация .

  • Из подозрительного действия. В временная шкала подозрительных действий, когда вы получаете оповещение о действии для пользователя или компьютера или IP-адреса, которому разрешено выполнять определенное действие и может выполнять это часто, щелкните правой кнопкой мыши три точки в конце строки для подозрительного действия для этой сущности и выберите Закрыть и исключить.

    При этом пользователь, компьютер или IP-адрес добавляется в список исключений для этого подозрительного действия. Он закрывает подозрительное действие и больше не отображается в списке Открытые события в временная шкала подозрительных действий.

    Исключите сущность.

  • На странице Конфигурация. Чтобы просмотреть или изменить исключения, в разделе Конфигурация щелкните Исключения , а затем выберите подозрительное действие, например Предоставленные учетные данные конфиденциальной учетной записи.

    Конфигурация исключения.

Чтобы удалить сущность из конфигурации Исключений , щелкните минус рядом с именем сущности и нажмите кнопку Сохранить в нижней части страницы.

Рекомендуется добавлять исключения в обнаружения только после получения оповещений типа и определения того, что они являются истинными положительными результатами.

Примечание.

Для защиты не все обнаружения предоставляют возможность задавать исключения.

Некоторые из обнаружений содержат советы, которые помогут вам решить, что следует исключить.

Каждое исключение зависит от контекста. В некоторых случаях можно задать пользователей, а для других — компьютеры или IP-адреса.

Если у вас есть возможность исключить IP-адрес или компьютер, вы можете исключить один или другой — вам не нужно указывать оба.

Примечание.

Страницы конфигурации могут быть изменены только администраторами ATA.

См. также