Пример: Монитор WMI

Представьте, что на устройство вашей сети незаконно вошли путем атаки методом подбора (атаки, где используется сценарий подбора произвольных имен пользователя и паролей в диапазоне IP-адресов вашей сети). Такие типы атак крайне опасны, если атакуемое устройство находится на вашем домене или содержит важную информацию.

Можно использовать активный монитор WMI для проверки соответствующих счетчиков производительности на устройстве Windows и оповещения в случае такого типа атаки, чтобы вы могли предпринять необходимые действия до того, как потенциальный злоумышленник получит доступ к вашей сети.

Для настройки этого типа активного монитора:

1. Создайте монитор WMI при помощи веб-интерфейса WhatsUp Gold.
   1. В веб-интерфейсе WhatsUp Gold перейдите в Администратор> Мониторы. Открывается диалоговое окно Библиотека мониторов.
   2. Выберите вкладку Активные в диалоговом окне.
   3. Нажмите кнопку Создать. Открывается диалоговое окно Выберите тип активного монитора.
   4. Выберите Монитор WMI, щелкните OK. Открывается диалоговое окно Добавить монитор WMI.
   5. В поле Имя введите "ErrorsLogon" для определения, что монитор проверяет ошибки входа.
   6. Нажмите кнопку обзор (...) для открытия диалогового окна Счетчики производительности.
   7. Введите имя компьютера или IP-адрес компьютера, к которому вы хотите подключить.
   8. Выберите учетные данные в списке учетных данных Windows (из библиотеки учетных данных) и щелкните OK для подключения к компьютеру.
   9. Выберите Сервер в списке Объект производительности.
   10. В Счетчиках производительности выберите ErrorsLogon.
   11. Щелкните OK для добавления счетчика производительности в диалоговое окно Создать монитор WMI.
   12. Выберите Скорость изменения в списке Тип проверки.
   13. В поле Скорость изменения введите количество ошибок входа, которое вы считаете допустимым. Это количество неудачных попыток входа между опросами.
   14. В поле Если значение превышает скорость, тогда монитор выберите Неактивен.
   15. Нажмите ОК для добавления активного монитора к библиотеке.
2. Введите учетные данные для входа на устройство, к которому вы будете добавлять этот монитор.
   1. В диалоговом окне Свойства устройства для данного устройства, выберите Учетные данные.
   2. Выберите Windows, затем щелкните Изменить.
   3. Нажмите кнопку обзора (...) для доступа к библиотеке учетных данных.
   4. Создайте учетные данные Windows при помощи входа администратора и пароля для устройства, для которого будет создаваться монитор. После настройки учетных данных щелкните Закрыть.
   5. На странице учетных данных выберите новые Учетные данные Windows и щелкните OK.
3. Добавить монитор ErrorsLogon к устройству.
   1. В списке устройств найдите устройство. Дважды щелкните устройство для отображения его свойств и выберите Активные мониторы.
   2. Нажмите кнопку Добавить. Открывается Мастер активных мониторов.
   3. Выберите монитор ErrorsLogon и продолжайте работу с мастером для настройки любых действий для монитора.
      Дополнительную информацию по настройке действий см. в Настройка действия.

Рассмотрите вариант создания нескольких уровней активного монитора, каждый с большим порогом, чем предыдущий, и более строгими действиями, связанными с ним.

Например, создайте монитор с 30 в качестве порога, который отправляет электронную почту, уведомляющую о том, что сделана минимум 31 попытка. Затем создайте другой монитор, который в качестве порога использует 60. Этот монитор может иметь действие SMS, связанное с ним, которое отправляет текстовое сообщение после минимум 61 попытки. Для максимального уровня можно создать порог 100 с действием отправки сообщений нескольким людям, которые могут заблокировать IP или отключить устройство от сети, на которую направлена атака.

См. также Добавление и изменение монитора WMI Использование монитора WMI