Überwacht Verbindungen mit IP-Adressen aus Datenbanken mit schwarzen Listen oder mit IP-Adressen, die über die IP-Bewertungsbibliothek überwacht werden. Zeigt Konversationen mit bekannten Tor-Client-Exitknoten usw.

Konfigurieren Sie eine Netzwerkdatenverkehrsanalyse-Schwelle für verdächtige Verbindungen:

• Name. Wird in der Schwellen-Bibliothek und dem Titel im AlertCenter-Dashboard verwendet.
• Benachrichtigungsrichtlinie. (Optional) Wählen Sie die Benachrichtigungsrichtlinie aus, die auf diese Schwelle angewendet werden soll. Die Richtlinie beginnt mit dem Versand von Benachrichtigungen, wenn ein Element außerhalb des konfigurierten Toleranzbereichs liegt.
• Schwellen-Prüfintervall. Geben Sie ein Zeitintervall für AlertCenter ein, um die Network Performance Monitor-Datenbank auf Elemente zu überprüfen, die außerhalb des Toleranzbereichs liegen.

  Elemente, die wieder im Toleranzbereich sind, automatisch schließen. Mit dieser Option werden Elemente automatisch geschlossen, wenn der Wert wieder in den Toleranzbereich zurückkehrt.

Note: Benachrichtigungsrichtlinien sind für die meisten Schwellen optional. Wenn Sie keine Benachrichtigungsrichtlinie auswählen, werden für die Schwelle keine Benachrichtigungen generiert; ein Dashboard-Bericht mit einer Liste der außerhalb des Toleranzbereichs liegenden Elemente wird jedoch trotzdem auf der AlertCenter-Startseite angezeigt. Diese Ereignisse können auch weiterhin im Bericht „Verdächtige Verbindungen“ geprüft, analysiert und weitergegeben werden.

Bedingungsregeln hinzufügen:

Die Standardschwelle ist so konfiguriert, dass sie einen Alarm auslöst, wenn in den letzten 15 Minuten mehr als eine Verbindung zu einer verdächtigen IP-Adresse hergestellt wurde (z. B. zu einer von Tor verwendeten Adresse – auch als „DarkWeb“ bezeichnet).

• Mehr als … Maximale Anzahl der Verbindungen zu verdächtigen IP-Adressen.
• in den letzten... Wählen Sie einen Zeitraum für die Messung aus.

Netzwerkdatenverkehrsanalyse-Quellen auswählen (zu berücksichtigender Datenverkehr)

Tip: Wenn Sie eine von der Community gepflegte Liste (wird in der IP-Bewertungsbibliothek konfiguriert) verwenden, werden die Listen mit verdächtigen IP-Adressen (z. B. im DarkWeb) in der Standardeinstellung wöchentlich aktualisiert. Weitere Informationen erhalten Sie unter IP-Bewertungsbibliothek.

• Zu überwachender Datenverkehr. Standardmäßig ist die Schwelle auf die Überwachung des Datenverkehrs von allen Netzwerkdatenverkehrsanalyse-Quellen festgelegt. Wählen Sie die Netzwerkdatenverkehrsanalyse-Quelle oder -Schnittstelle aus, deren Datenverkehr überwacht werden soll. Wenn Sie eine Quelle auswählen, wird der Datenverkehr von allen Schnittstellen der Quelle überwacht. Wenn Sie eine Schnittstelle auswählen, wird nur der Datenverkehr der ausgewählten Schnittstelle überwacht.

  Note: Quellen, die Stichprobendaten senden, werden in der Liste „Zu überwachender Datenverkehr“ nicht als Auswahloption angezeigt, weil Netzwerkdatenverkehrsanalyse nicht feststellen kann, ob beim Datenverkehr mit Stichprobendaten ein Fehler aufgetreten ist.

• Zu überwachende Hosts. Klicken Sie auf Auswählen, um die Hosts auszuwählen, für die die Schwelle gilt.
  • Standardmäßig überwacht die Schwelle alle geeigneten Hosts.
  • Klicken Sie auf Diese Schwelle gilt für bestimmte Hosts, um die Hosts auszuwählen, für die die Schwelle gilt.
• Klicken Sie auf Hosts ausschließen, um eine Ausschlussliste zu erstellen.

Note: Konfigurieren Sie das Schwellenwert-Prüfintervall für einen längeren Zeitraum als das Samplingintervall für Schwellenwerte, die Trends betreffen, z. B. die prozentuale Auslastung. Konfigurieren Sie es für einen Zeitraum, der dem Samplingintervall entspricht oder diesem ähnlich ist, wenn Sie einen Schwellenwert für eine Integritätsprüfung konfigurieren.

Tip: Legen Sie für das Schwellen-Prüfintervall keinen sehr kurzen Zeitraum fest. Dies kann die Systemleistung beeinträchtigen. Im Allgemeinen empfiehlt es sich nicht, das Schwellen-Prüfintervall auf unter fünf Minuten einzustellen.

Überwacht Verbindungen mit IP-Adressen aus Datenbanken mit schwarzen Listen oder mit IP-Adressen, die über die IP-Bewertungsbibliothek überwacht werden. Zeigt Konversationen mit bekannten Tor-Client-Exitknoten usw.

Konfigurieren Sie eine Netzwerkdatenverkehrsanalyse-Schwelle für verdächtige Verbindungen:

• Name. Wird in der Schwellen-Bibliothek und dem Titel im AlertCenter-Dashboard verwendet.
• Benachrichtigungsrichtlinie. (Optional) Wählen Sie die Benachrichtigungsrichtlinie aus, die auf diese Schwelle angewendet werden soll. Die Richtlinie beginnt mit dem Versand von Benachrichtigungen, wenn ein Element außerhalb des konfigurierten Toleranzbereichs liegt.
• Schwellen-Prüfintervall. Geben Sie ein Zeitintervall für AlertCenter ein, um die Network Performance Monitor-Datenbank auf Elemente zu überprüfen, die außerhalb des Toleranzbereichs liegen.

  Elemente, die wieder im Toleranzbereich sind, automatisch schließen. Mit dieser Option werden Elemente automatisch geschlossen, wenn der Wert wieder in den Toleranzbereich zurückkehrt.

Note: Benachrichtigungsrichtlinien sind für die meisten Schwellen optional. Wenn Sie keine Benachrichtigungsrichtlinie auswählen, werden für die Schwelle keine Benachrichtigungen generiert; ein Dashboard-Bericht mit einer Liste der außerhalb des Toleranzbereichs liegenden Elemente wird jedoch trotzdem auf der AlertCenter-Startseite angezeigt. Diese Ereignisse können auch weiterhin im Bericht „Verdächtige Verbindungen“ geprüft, analysiert und weitergegeben werden.

Bedingungsregeln hinzufügen:

Die Standardschwelle ist so konfiguriert, dass sie einen Alarm auslöst, wenn in den letzten 15 Minuten mehr als eine Verbindung zu einer verdächtigen IP-Adresse hergestellt wurde (z. B. zu einer von Tor verwendeten Adresse – auch als „DarkWeb“ bezeichnet).

• Mehr als … Maximale Anzahl der Verbindungen zu verdächtigen IP-Adressen.
• in den letzten... Wählen Sie einen Zeitraum für die Messung aus.

Netzwerkdatenverkehrsanalyse-Quellen auswählen (zu berücksichtigender Datenverkehr)

Tip: Wenn Sie eine von der Community gepflegte Liste (wird in der IP-Bewertungsbibliothek konfiguriert) verwenden, werden die Listen mit verdächtigen IP-Adressen (z. B. im DarkWeb) in der Standardeinstellung wöchentlich aktualisiert. Weitere Informationen erhalten Sie unter IP-Bewertungsbibliothek.

• Zu überwachender Datenverkehr. Standardmäßig ist die Schwelle auf die Überwachung des Datenverkehrs von allen Netzwerkdatenverkehrsanalyse-Quellen festgelegt. Wählen Sie die Netzwerkdatenverkehrsanalyse-Quelle oder -Schnittstelle aus, deren Datenverkehr überwacht werden soll. Wenn Sie eine Quelle auswählen, wird der Datenverkehr von allen Schnittstellen der Quelle überwacht. Wenn Sie eine Schnittstelle auswählen, wird nur der Datenverkehr der ausgewählten Schnittstelle überwacht.

  Note: Quellen, die Stichprobendaten senden, werden in der Liste „Zu überwachender Datenverkehr“ nicht als Auswahloption angezeigt, weil Netzwerkdatenverkehrsanalyse nicht feststellen kann, ob beim Datenverkehr mit Stichprobendaten ein Fehler aufgetreten ist.

• Zu überwachende Hosts. Klicken Sie auf Auswählen, um die Hosts auszuwählen, für die die Schwelle gilt.
  • Standardmäßig überwacht die Schwelle alle geeigneten Hosts.
  • Klicken Sie auf Diese Schwelle gilt für bestimmte Hosts, um die Hosts auszuwählen, für die die Schwelle gilt.
• Klicken Sie auf Hosts ausschließen, um eine Ausschlussliste zu erstellen.

Note: Konfigurieren Sie das Schwellenwert-Prüfintervall für einen längeren Zeitraum als das Samplingintervall für Schwellenwerte, die Trends betreffen, z. B. die prozentuale Auslastung. Konfigurieren Sie es für einen Zeitraum, der dem Samplingintervall entspricht oder diesem ähnlich ist, wenn Sie einen Schwellenwert für eine Integritätsprüfung konfigurieren.

Tip: Legen Sie für das Schwellen-Prüfintervall keinen sehr kurzen Zeitraum fest. Dies kann die Systemleistung beeinträchtigen. Im Allgemeinen empfiehlt es sich nicht, das Schwellen-Prüfintervall auf unter fünf Minuten einzustellen.

So klonen Sie eine Schwelle auf Basis einer benutzerdefinierten oder integrierten Konfiguration:

1. Klicken Sie im Fenster „Schwellen-Bibliothek“ auf die Schwelle, die Sie kopieren möchten.
2. Klicken Sie auf die Schaltfläche kopieren und dann auf OK, um eine neue Schwelle „Verdächtige Verbindungen“ zu erstellen.

   Das Dialogfeld „Schwelle „Verdächtige Verbindungen“ bearbeiten“ wird angezeigt.

3. Speichern Sie die neue Schwelle oder passen Sie sie an. Gehen Sie dazu auf eine der folgenden Arten vor:
   • Geben Sie einen neuen Wert in das Feld „Name“ ein (oder behalten Sie den Standardwert bei) und klicken Sie auf OK, um den Eintrag in der Schwellen-Bibliothek zu speichern.
   • Führen Sie die Anweisungen zu Schwelle „Verdächtige Verbindungen“ bearbeiten aus.

So löschen Sie eine bestehende Schwelle „Verdächtige Verbindungen“:

1. Wählen Sie die zu löschende Schwelle „Verdächtige Verbindungen“ im Fenster „Schwelle „Verdächtige Verbindungen““ aus.
2. Klicken Sie auf die Schaltfläche Löschen und dann auf Ja, um den Löschvorgang zu bestätigen.

   Die Konfiguration für die Schwelle „Verdächtige Verbindungen“ wird gelöscht.