Schwelle „Verdächtige Verbindungen“ konfigurieren

Überwacht Verbindungen mit IP-Adressen aus Datenbanken mit schwarzen Listen oder mit IP-Adressen, die über die IP-Bewertungsbibliothek überwacht werden. Zeigt Konversationen mit bekannten Tor-Client-Exitknoten usw.

Konfigurieren Sie eine Network Traffic Analyzer-Schwelle für verdächtige Verbindungen:

Name. Wird in der Schwellen-Bibliothek und dem Titel im AlertCenter-Dashboard verwendet.
Benachrichtigungsrichtlinie. (Optional) Wählen Sie die Benachrichtigungsrichtlinie aus, die auf diese Schwelle angewendet werden soll. Die Richtlinie beginnt mit dem Versand von Benachrichtigungen, wenn ein Element außerhalb des konfigurierten Toleranzbereichs liegt.
Schwellen-Prüfintervall. Geben Sie ein Zeitintervall für AlertCenter ein, um die Network Performance Monitor-Datenbank auf Elemente zu überprüfen, die außerhalb des Toleranzbereichs liegen.
Elemente, die wieder im Toleranzbereich sind, automatisch schließen. Mit dieser Option werden Elemente automatisch geschlossen, wenn der Wert wieder in den Toleranzbereich zurückkehrt.

Note: Benachrichtigungsrichtlinien sind für die meisten Schwellen optional. Wenn Sie keine Benachrichtigungsrichtlinie auswählen, werden für die Schwelle keine Benachrichtigungen generiert; ein Dashboard-Bericht mit einer Liste der außerhalb des Toleranzbereichs liegenden Elemente wird jedoch trotzdem auf der AlertCenter-Startseite angezeigt. Diese Ereignisse können auch weiterhin im Bericht „Verdächtige Verbindungen“ geprüft, analysiert und weitergegeben werden.

Bedingungsregeln hinzufügen:

Die Standardschwelle ist so konfiguriert, dass sie einen Alarm auslöst, wenn in den letzten 15 Minuten mehr als eine Verbindung zu einer verdächtigen IP-Adresse hergestellt wurde (z. B. zu einer von Tor verwendeten Adresse – auch als „DarkWeb“ bezeichnet).

Mehr als … Maximale Anzahl der Verbindungen zu verdächtigen IP-Adressen.
in den letzten... Wählen Sie einen Zeitraum für die Messung aus.

Network Traffic Analyzer-Quellen auswählen (zu berücksichtigender Datenverkehr)

Tip: Wenn Sie eine von der Community gepflegte Liste (wird in der IP-Bewertungsbibliothek konfiguriert) verwenden, werden die Listen mit verdächtigen IP-Adressen (z. B. im DarkWeb) in der Standardeinstellung wöchentlich aktualisiert. Weitere Informationen erhalten Sie unter IP-Bewertungsbibliothek.

Zu überwachender Datenverkehr. Standardmäßig ist die Schwelle auf die Überwachung des Datenverkehrs von allen Network Traffic Analyzer-Quellen festgelegt. Wählen Sie die Network Traffic Analyzer-Quelle oder -Schnittstelle aus, deren Datenverkehr überwacht werden soll. Wenn Sie eine Quelle auswählen, wird der Datenverkehr von allen Schnittstellen der Quelle überwacht. Wenn Sie eine Schnittstelle auswählen, wird nur der Datenverkehr der ausgewählten Schnittstelle überwacht.
Note: Quellen, die Stichprobendaten senden, werden in der Liste „Zu überwachender Datenverkehr“ nicht als Auswahloption angezeigt, weil Network Traffic Analyzer nicht feststellen kann, ob beim Datenverkehr mit Stichprobendaten ein Fehler aufgetreten ist.
Zu überwachende Hosts. Klicken Sie auf Auswählen, um die Hosts auszuwählen, für die die Schwelle gilt.
- Standardmäßig überwacht die Schwelle alle geeigneten Hosts.
- Klicken Sie auf Diese Schwelle gilt für bestimmte Hosts, um die Hosts auszuwählen, für die die Schwelle gilt.
Klicken Sie auf Hosts ausschließen, um eine Ausschlussliste zu erstellen.

Note: Konfigurieren Sie das Schwellenwert-Prüfintervall für einen längeren Zeitraum als das Samplingintervall für Schwellenwerte, die Trends betreffen, z. B. die prozentuale Auslastung. Konfigurieren Sie es für einen Zeitraum, der dem Samplingintervall entspricht oder diesem ähnlich ist, wenn Sie einen Schwellenwert für eine Integritätsprüfung konfigurieren.

Tip: Legen Sie für das Schwellen-Prüfintervall keinen sehr kurzen Zeitraum fest. Dies kann die Systemleistung beeinträchtigen. Im Allgemeinen empfiehlt es sich nicht, das Schwellen-Prüfintervall auf unter fünf Minuten einzustellen.