検出からのエンティティの除外

  • [アーティクル]

適用対象: Advanced Threat Analytics Version 1.9

この記事では、真の無害な陽性を最小限に抑えるために、エンティティをアラートのトリガーから除外する一方で、真陽性を確実にキャッチする方法について説明します。 特定のユーザーから、通常のビジネス リズムの一部である可能性のあるアクティビティについて ATA がうるさくならないようにするために、特定のエンティティのアラート発生を抑制 (または除外) できます。

たとえば、DNS 偵察を実行するセキュリティ スキャナーや、ドメイン コントローラーでスクリプトをリモートで実行する管理者がいる場合、これらは組織内の通常の IT 操作の一部である承認されたアクティビティです。

ATA でアラートを生成するエンティティを除外するには:

エンティティは、不審なアクティビティ自体から、または [構成] ページの [除外] タブから除外できます。

  • 不審なアクティビティから: [不審なアクティビティ] タイムラインでは、特定のアクティビティの実行が許可され、それを頻繁に実行できるユーザー、コンピューターまたは IP アドレスに対してアラートに関するアラートを受信した場合は、そのエンティティの不審なアクティビティの最終行にある、3 つのドットを右クリックして、[閉じて除外する] を選択します。

    これにより、ユーザー、コンピューターまたは IP アドレスがその不審なアクティビティの除外リストに追加されます。 不審なアクティビティが閉じられ、[不審なアクティビティのタイムライン][未解決] イベント リストに一覧されなくなります。

    Exclude entity.

  • [構成] ページから: 除外を確認したり、修正したりするには。[構成] で、[除外] をクリックして、[公開済みの機密の高いアカウントの資格情報] などの不審なアクティビティを選択します。

    Exclusion configuration.

[除外] 構成からエンティティを削除するには、エンティティ名の横にある [マイナス] 記号 > ページ下部の [保存] ボタンの順に選択します。

アラートの種類を受け取り、それらが本当に無害な陽性であると判断した後のみに、検出に除外を追加することが推奨されます。

Note

保護の目的で、すべての検出で除外を設定できるわけではありません。

検出の一部は、除外対処を判断するのに役立つヒントが用意されています。

各除外はコンテキストによって異なります。ユーザーを設定できる場合もあれば、コンピューターまたは IP アドレスを設定できるものもあります。

IP アドレスまたはコンピューターを除外する可能性がある場合は、いずれかを除外できます。両方を指定する必要はありません。

Note

構成ページは、ATA 管理者のみが変更できます。

参照