处理可疑活动
适用于:高级威胁分析版本 1.9
本文介绍如何使用高级威胁分析的基础知识。
查看攻击时间线上的可疑活动
登录到 ATA 控制台后,会自动转到打开的 可疑活动时间线。 可疑活动按时间顺序列出,最新的可疑活动位于时间线顶部。 每个可疑活动都有以下信息:
涉及的实体,包括用户、计算机、服务器、域控制器和资源。
可疑活动的时间和时间范围。
可疑活动的严重性(高、中或低)。
状态:“打开”、“已关闭”或“已取消”。
能够
通过电子邮件与组织中的其他人共享可疑活动。
将可疑活动导出到 Excel。
注意
- 将鼠标悬停在用户或计算机上时,将显示一个实体微型配置文件,该配置文件提供有关实体的其他信息,并包括该实体链接到的可疑活动的数量。
- 如果单击某个实体,则会转到用户或计算机的实体配置文件。
筛选可疑活动列表
若要筛选可疑活动列表,请执行以下操作:
在屏幕左侧的“筛选依据”窗格中,选择以下选项之一:“全部”、“打开”、“关闭”或“已取消”。
若要进一步筛选列表,请选择“ 高”、“ 中”或“ 低”。
可疑活动严重性
低
指示可能导致恶意用户或软件攻击以访问组织数据的可疑活动。
Medium
指示可能会使特定标识面临更严重攻击风险的可疑活动,这些攻击可能导致标识被盗或特权升级
High
指示可能导致身份盗用、特权提升或其他高影响攻击的可疑活动
修正可疑活动
可以通过单击可疑活动的当前状态并选择以下“打开”、“已禁止”、“已关闭”或“已删除”来更改可疑活动的状态。 为此,请单击特定可疑活动右上角的三个点,以显示可用操作的列表。
可疑活动状态
打开:所有新的可疑活动都显示在此列表中。
关闭:用于跟踪已识别、研究和修复的可疑活动以缓解。
注意
如果在短时间内再次检测到同一活动,ATA 可能会重新打开已关闭的活动。
取消:取消活动意味着你希望暂时忽略它,并且仅在有新实例时再次发出警报。 这意味着,如果有类似的警报,ATA 不会重新打开它。 但是,如果警报停止 7 天,然后再次出现,则再次发出警报。
删除:如果删除警报,则会从系统、数据库中删除该警报,并且无法还原该警报。 单击“删除”后,将能够删除相同类型的所有可疑活动。
排除:能够排除实体以引发更多特定类型的警报。 例如,你可以将 ATA 设置为排除特定实体 (用户或计算机) 再次发出针对特定可疑活动的警报,例如运行远程代码的特定管理员或执行 DNS 侦查的安全扫描程序。 除了能够在“可疑”活动上直接添加排除项(因为它在时间线中检测到),还可以转到“配置”页,转到 “排除项”,对于每个可疑活动,可以手动添加和删除排除的实体或子网, (例如“票证) ”。
注意
配置页只能由 ATA 管理员修改。