ブラックリストデータベースで特定された IP アドレスを持つ接続、または IP レピュテーションライブラリを使用して追跡された接続を追跡します。既知の Tor クライアントの終了ポイントなどで発生する会話を確認します。
Network Traffic Analyzer の疑いのある接続のしきい値の設定:
[しきい値の範囲を超えないように項目を自動解決]。項目がしきい値制限の範囲内の値に戻ったときに、アラートセンターで項目が自動的に解決されるようにするには、このオプションを選択します。
Note: ほとんどのしきい値では、通知ポリシーは省略可能です。通知ポリシーを選択しないと、そのしきい値に対する通知は生成されませんが、しきい値の範囲外の項目をリストしているダッシュボードレポートはアラートセンターのホームページに表示されます。 —これらのイベントは、[疑わしい接続] レポートからレビュー、分析、共有することもできます。
条件ルールの追加:
デフォルトのしきい値は、直近の 15 分間に疑いのある IP (「ダークウェブ」とも呼ばれる Tor によって使用されているアドレスなど) への接続が複数回行われた場合にアラートを発するように設定されています。
Tip: コミュニティ更新リストを活用する場合 (IP レピュテーションライブラリで設定したとおりに)、疑いのある IP リスト (ダークウェブによって使用されている IP など) は、デフォルトで毎週更新するように設定されています。詳細については、「IP レピュテーションライブラリ」のトピックを参照してください。
Note: Network Traffic Analyzer ではサンプルデータ上でトラフィックが失敗したかどうかを判断できないため、サンプルデータを送信するソースは [監視するトラフィック] リストの選択オプションとして表示されません。
Note: 使用率などの傾向に関連するしきい値には、しきい値チェック間隔にサンプリング間隔よりも長い時間を設定してください。正常性チェックのしきい値を設定する場合は、サンプリング間隔と同様の時間に設定してください。
Tip: しきい値チェック間隔をあまり短く設定しないでください。短い間隔は、システムのパフォーマンスを低下させる可能性があります。一般に、しきい値チェック間隔を 5 分以内に設定することはお勧めしません。