Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
Questo articolo illustra come escludere le entità dall'attivazione di avvisi per ridurre al minimo i falsi positivi benigni, ma allo stesso tempo assicurarsi di identificare i veri positivi. Per impedire che ATA segnali troppe attività che, per utenti specifici, possono far parte dell'andamento lavorativo normale, è possibile escludere - o silenziare - entità specifiche dalla generazione di avvisi.
Ad esempio, se si dispone di uno scanner di sicurezza che esegue la riconciliazione DNS o un amministratore che esegue gli script in remoto nel controller di dominio e queste sono attività approvate la cui finalità fa parte delle normali operazioni IT nell'organizzazione.
Per escludere le entità dalla generazione di avvisi in ATA:
Esistono due modi in cui è possibile escludere le entità, dall'attività sospetta stessa o dalla scheda Esclusioni nella pagina Configurazione .
Dall'attività sospetta: nella sequenza temporale attività sospetta, quando si riceve un avviso su un'attività per un utente o un computer o un indirizzo IP autorizzato a eseguire l'attività specifica e può farlo di frequente, fare clic con il pulsante destro del mouse sui tre punti alla fine della riga per l'attività sospetta su tale entità e selezionare Chiudi ed escludi.
In questo modo, l'utente, il computer o l'indirizzo IP vengono aggiunti all'elenco di esclusioni per l'attività sospetta. Chiude l'attività sospetta e non è più elencata nell'elenco Eventi aperti nella sequenza temporale attività sospetta.
Nella pagina Configurazione: per esaminare o modificare eventuali esclusioni: in Configurazione fare clic su Esclusioni e quindi selezionare l'attività sospetta, ad esempio Credenziali dell'account sensibili esposte.
Per rimuovere un'entità dalla configurazione Esclusioni : fare clic sul segno meno accanto al nome dell'entità e quindi fare clic su Salva nella parte inferiore della pagina.
È consigliabile aggiungere esclusioni ai rilevamenti solo dopo aver visualizzato avvisi di quel tipo e confermare che sono positivi benigni veri.
Note
Per la protezione, non tutti i rilevamenti offrono la possibilità di impostare le esclusioni.
Alcuni rilevamenti forniscono suggerimenti che consentono di decidere cosa escludere.
Ogni esclusione dipende dal contesto, in alcuni è possibile impostare gli utenti mentre per altri è possibile impostare computer o indirizzi IP.
Quando si ha la possibilità di escludere un indirizzo IP o un computer, è possibile escludere uno o l'altro - non è necessario fornire entrambi.
Note
Le pagine di configurazione possono essere modificate solo dagli amministratori ATA.