Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
In diesem Artikel wird erläutert, wie Entitäten vom Auslösen von Warnungen ausgeschlossen werden können, um fälschlich positive Ergebnisse zu minimieren, während gleichzeitig sichergestellt wird, dass die tatsächlichen positiven Ergebnisse erfasst werden. Um zu verhindern, dass ATA über Aktivitäten von bestimmten Benutzern, die möglicherweise Teil Ihres normalen Geschäftsrhythmus sind, alarmiert, können Sie bestimmte Entitäten vom Auslösen von Warnungen unterdrücken oder ausschließen.
Wenn Sie beispielsweise über einen Sicherheitsscanner verfügen, der DNS-Recon durchführt oder ein Administrator, der Remoteskripts auf dem Domänencontroller ausführt– und dies sind sanktionierte Aktivitäten, deren Absicht Teil der normalen IT-Vorgänge in Ihrer Organisation ist.
So schließen Sie Entitäten vom Auslösen von Warnungen in ATA aus:
Es gibt zwei Möglichkeiten, entitäten auszuschließen, von der verdächtigen Aktivität selbst oder von der Registerkarte "Ausschlüsse" auf der Seite "Konfiguration ".
Aus der verdächtigen Aktivität: Wenn Sie in der Zeitachse "Verdächtige Aktivität" eine Benachrichtigung zu einer Aktivität für einen Benutzer oder einen Computer oder eine IP-Adresse erhalten, die die jeweilige Aktivität ausführen darf und dies häufig tun kann, klicken Sie mit der rechten Maustaste auf die drei Punkte am Ende der Zeile für die verdächtige Aktivität in dieser Entität, und wählen Sie "Schließen und ausschließen" aus.
Dadurch wird der Benutzer, der Computer oder die IP-Adresse der Ausschlussliste für diese verdächtige Aktivität hinzugefügt. Es schließt die verdächtige Aktivität und wird nicht mehr in der Liste der offenen Ereignisse in der Zeitachse für verdächtige Aktivitäten aufgeführt.
Von der Konfigurationsseite: Um Ausschlüsse zu überprüfen oder zu ändern, klicken Sie unter Konfiguration auf Ausschlüsse und wählen Sie dann die verdächtige Aktivität aus, wie z. B. offengelegte Anmeldeinformationen für sensible Konten.
Um eine Entität aus der Ausschlusskonfiguration zu entfernen: Klicken Sie auf das Minus neben dem Entitätsnamen , und klicken Sie dann unten auf der Seite auf " Speichern ".
Es wird empfohlen, Ausschlüsse nur dann zu Erkennungen hinzuzufügen, nachdem Sie Warnungen über den Typ erhalten und feststellen, dass sie echte gutartige Positive sind.
Note
Für Ihren Schutz bieten nicht alle Erkennungen die Möglichkeit, Ausschlüsse festzulegen.
Einige der Erkennungen enthalten Tipps, mit denen Sie entscheiden können, was ausgeschlossen werden soll.
Jeder Ausschluss hängt vom Kontext ab, in einigen können Sie Benutzer festlegen, während Sie für andere Computer oder IP-Adressen festlegen können.
Wenn Sie die Möglichkeit haben, eine IP-Adresse oder einen Computer auszuschließen, können Sie eine oder andere ausschließen – Sie müssen nicht beide angeben.
Note
Die Konfigurationsseiten können nur von ATA-Administratoren geändert werden.