Пример: Монитор WMI
Представьте, что на устройство вашей сети незаконно вошли путем атаки методом подбора (атаки, где используется сценарий подбора произвольных имен пользователя и паролей в диапазоне IP-адресов вашей сети). Такие типы атак крайне опасны, если атакуемое устройство находится на вашем домене или содержит важную информацию.
Можно использовать активный монитор WMI для проверки соответствующих счетчиков производительности на устройстве Windows и оповещения в случае такого типа атаки, чтобы вы могли предпринять необходимые действия до того, как потенциальный злоумышленник получит доступ к вашей сети.
Для настройки этого типа активного монитора:
- Создайте монитор WMI при помощи веб-интерфейса WhatsUp Gold.
- В веб-интерфейсе WhatsUp Gold перейдите в . Открывается диалоговое окно Библиотека мониторов.
- Выберите вкладку в диалоговом окне.
- Нажмите кнопку . Открывается диалоговое окно Выберите тип активного монитора.
- Выберите , щелкните . Открывается диалоговое окно Добавить монитор WMI.
- В поле введите "ErrorsLogon" для определения, что монитор проверяет ошибки входа.
- Нажмите кнопку обзор () для открытия диалогового окна Счетчики производительности.
- Введите имя компьютера или IP-адрес компьютера, к которому вы хотите подключить.
- Выберите учетные данные в списке учетных данных Windows (из библиотеки учетных данных) и щелкните для подключения к компьютеру.
- Выберите в списке .
- В выберите .
- Щелкните для добавления счетчика производительности в диалоговое окно Создать монитор WMI.
- Выберите в списке .
- В поле введите количество ошибок входа, которое вы считаете допустимым. Это количество неудачных попыток входа между опросами.
- В поле выберите .
- Нажмите для добавления активного монитора к библиотеке.
- Введите учетные данные для входа на устройство, к которому вы будете добавлять этот монитор.
- В диалоговом окне Свойства устройства для данного устройства, выберите .
- Выберите , затем щелкните
- Нажмите кнопку обзора () для доступа к библиотеке учетных данных.
- Создайте учетные данные Windows при помощи входа администратора и пароля для устройства, для которого будет создаваться монитор. После настройки учетных данных щелкните .
- На странице учетных данных выберите новые и щелкните .
- Добавить монитор к устройству.
- В списке устройств найдите устройство. Дважды щелкните устройство для отображения его свойств и выберите .
- Нажмите кнопку . Открывается Мастер активных мониторов.
- Выберите монитор ErrorsLogon и продолжайте работу с мастером для настройки любых действий для монитора.
Дополнительную информацию по настройке действий см. в Настройка действия.
Рассмотрите вариант создания нескольких уровней активного монитора, каждый с большим порогом, чем предыдущий, и более строгими действиями, связанными с ним.
Например, создайте монитор с 30 в качестве порога, который отправляет электронную почту, уведомляющую о том, что сделана минимум 31 попытка. Затем создайте другой монитор, который в качестве порога использует 60. Этот монитор может иметь действие SMS, связанное с ним, которое отправляет текстовое сообщение после минимум 61 попытки. Для максимального уровня можно создать порог 100 с действием отправки сообщений нескольким людям, которые могут заблокировать IP или отключить устройство от сети, на которую направлена атака.