Configuration du seuil de connexions suspectes

Suivez les connexions avec les adresses IP identifiées dans les bases de données de la liste noire ou avec la bibliothèque de réputation d'IP. Affichez les conversations avec les points de sortie connus des clients Tor et bien plus encore.

Configuration d'un seuil de connexions suspectes Network Traffic Analyzer :

Nom. Utilisé dans la bibliothèque de seuils et dans le titre du tableau de bord du centre d'alertes.
Stratégie de notification. (Facultatif) Sélectionnez la stratégie de notification à appliquer à ce seuil. Cette stratégie déclenche des notifications dès lors qu'un élément se trouve en dehors des limites de seuil configurées.
Intervalle de vérification du seuil. Saisissez un intervalle de temps pendant lequel le Centre d'alerte recherche dans la base de données Network Performance Monitor les éléments qui sont situés en dehors des limites du seuil.
Résoudre automatiquement les éléments qui ne sont plus hors seuil. Sélectionnez cette option si vous voulez que le centre d'alertes résolve automatiquement les éléments lorsqu'ils retournent à la valeur dans la limite du seuil.

Note: Les stratégies de notification sont facultatives pour la plupart des seuils. Si vous ne sélectionnez pas de stratégie de notification, aucune notification ne sera générée pour le seuil, mais un rapport de tableau de bord répertoriant les éléments hors seuil apparaîtra néanmoins sur la page d'accueil du Centre d'alerte. -Ces événements pourront également être examinés, analysés et partagés à partir du rapport de connexions suspectes.

Ajouter des règles de condition :

Le seuil par défaut est configuré pour alerter lorsque plusieurs connexions à une adresse IP suspecte (telle qu'une adresse utilisée par Tor—, également appelée « site Dark Web ») ont été établies au cours des 15 dernières minutes.

Plus de... Nombre maximum de connexions à des adresses IP suspectes.
au cours des derniers/dernières... Sélectionnez une période pour la mesure.

Sélectionner les sources Network Traffic Analyzer (trafic à prendre en compte)

Tip: Si vous exploitez une liste mise à jour par la communauté (comme configuré dans la bibliothèque de réputation d'IP), les listes d'adresses IP suspectes (telles que celles utilisées par le Dark Web) sont configurées pour être mises à jour chaque semaine par défaut. Pour plus d'informations, voir la rubrique Bibliothèque de réputation d'IP.

Trafic à surveiller. Par défaut, le seuil est défini pour contrôler le trafic de l'ensemble des sources Network Traffic Analyzer. Sélectionnez l'interface ou la source Network Traffic Analyzer à partir de laquelle contrôler le trafic. Lorsque vous sélectionnez une source, le trafic de toutes les interfaces de la source est contrôlé. Lorsque vous sélectionnez une interface, seul le trafic de l'interface sélectionnée est contrôlé.
Note: Les sources qui envoient des données échantillonnées n'apparaissent pas en tant qu'option de sélection dans la liste trafic à surveiller car Network Traffic Analyzer ne peut pas déterminer que le trafic a échoué pour les données échantillonnées.
Hôtes à surveiller. Cliquez sur Sélectionner pour choisir les hôtes auxquels vous souhaitez appliquer le seuil.
- Par défaut, le seuil contrôle tous les hôtes concernés
- Cliquez sur Appliquer ce seuil à des hôtes particuliers pour choisir les hôtes auxquels le seuil s'applique.
Cliquez sur Exclure les hôtes pour créer une liste d'exclusion.

Note: Configurez l'intervalle de vérification du seuil sur une durée supérieure à l'intervalle d'échantillonnage pour les seuils relatifs aux tendances, comme le pourcentage d'utilisation. Lorsque vous configurez un seuil pour un contrôle d'intégrité, configurez-le sur une durée identique (ou similaire) à l'intervalle d'échantillonnage.

Tip: Évitez de définir un intervalle de vérification de seuil très cour. Des intervalles agressifs peuvent dégrader les performances du système. En règle générale, il est déconseillé de définir un intervalle de vérification du seuil inférieur à cinq minutes.