Отслеживание соединений с IP-адресами, которые находятся в базах данных черного списка или отслеживаются при помощи Библиотеки репутации IP. См. обмен данными с известными выходными узлами клиента Tor и др.

Настройка порога подозрительных подключений Анализ сетевого трафика выполняется следующим образом:

• Имя. Используется в Библиотеке порогов и заголовке на Панели центра оповещения.
• Политика уведомлений. (Дополнительно) Выберите политику уведомлений для назначения данному порогу. Данная политика отправляет уведомления, когда элемент находится вне настроенных пределов порога.
• Интервал проверки порога. Введите интервал времени для проверки Центром оповещения базы данных Network Performance Monitor на элементы вне пределов порога.

  Автоматически разрешать элементы, вернувшиеся в пределы порога. Выберите этот параметр, если нужно, чтобы Центр оповещений автоматически разрешал элементы при возврате в пределы порогового значения.

Note: Политики уведомления для большинства порогов необязательны. Если политика уведомления не выбрана, уведомления для порога не выдаются, но в отчете панели содержатся элементы, выходящие за данный порог, и они отображаются на главной странице Центра оповещения. — Эти события также будут доступны для просмотра, анализа и публикации в Отчете о подозрительных подключениях.

Добавить правила условий:

Стандартный порог выдает оповещение, когда количество подключений к подозрительному IP-адресу (такому как адрес узла сети Tor, также известному как глубокий интернет) более одного за последние 15 минут.

• Более чем... Максимальное количество соединений с подозрительными IP-адресами.
• за последние... Выберите период для измерения.

Выберите источники Анализ сетевого трафика (трафик для рассмотрения)

Tip: При использовании списка сообщества (настроенного в Библиотеке репутации IP) списки подозрительных IP-адресов (таких как узлы глубокого интернета) по умолчанию настроены на еженедельное обновление. Дополнительные сведения см. в разделе Библиотека репутации IP.

• Отслеживаемый трафик. По умолчанию, порог устанавливается для мониторинга трафика от всех источников Анализ сетевого трафика. Выберите источник или интерфейс Анализ сетевого трафика, по которому будет осуществляться мониторинг трафика. Если будет выбран источник, начнется мониторинг трафика для всех интерфейсов источника. Если будет выбран интерфейс, начнется мониторинг трафика только для выбранного интерфейса.

  Note: Отправляющие данные выборки источники не отображаются в списке отслеживаемого трафика, поскольку Анализ сетевого трафика не может определить ошибки трафика по данным выборки.

• Отслеживаемые узлы. Нажмите кнопку «Выбор» для выбора узлов, к которым будет применен порог.
  • По умолчанию порог осуществляет мониторинг всех допустимых узлов
  • Нажмите Применить этот порог к конкретным узлам, чтобы выбрать узлы, к которым применяется порог.
• Нажмите Исключить узлы, чтобы создать список исключений.

Note: Настройте интервал проверки порога на более длительное время, чем интервал выборки для порогов по трендам, например, процент использования. Настройте его на время, равное (или близкое к) интервалу выборки при настройке порога для проверки работоспособности.

Tip: Не устанавливайте интервал проверки порога на слишком малое время. Излишне короткие значения интервалов могут ухудшить производительность системы. В общем случае не рекомендуется устанавливать интервал проверки порога менее пяти минут.

Отслеживание соединений с IP-адресами, которые находятся в базах данных черного списка или отслеживаются при помощи Библиотеки репутации IP. См. обмен данными с известными выходными узлами клиента Tor и др.

Настройка порога подозрительных подключений Анализ сетевого трафика выполняется следующим образом:

• Имя. Используется в Библиотеке порогов и заголовке на Панели центра оповещения.
• Политика уведомлений. (Дополнительно) Выберите политику уведомлений для назначения данному порогу. Данная политика отправляет уведомления, когда элемент находится вне настроенных пределов порога.
• Интервал проверки порога. Введите интервал времени для проверки Центром оповещения базы данных Network Performance Monitor на элементы вне пределов порога.

  Автоматически разрешать элементы, вернувшиеся в пределы порога. Выберите этот параметр, если нужно, чтобы Центр оповещений автоматически разрешал элементы при возврате в пределы порогового значения.

Note: Политики уведомления для большинства порогов необязательны. Если политика уведомления не выбрана, уведомления для порога не выдаются, но в отчете панели содержатся элементы, выходящие за данный порог, и они отображаются на главной странице Центра оповещения. — Эти события также будут доступны для просмотра, анализа и публикации в Отчете о подозрительных подключениях.

Добавить правила условий:

Стандартный порог выдает оповещение, когда количество подключений к подозрительному IP-адресу (такому как адрес узла сети Tor, также известному как глубокий интернет) более одного за последние 15 минут.

• Более чем... Максимальное количество соединений с подозрительными IP-адресами.
• за последние... Выберите период для измерения.

Выберите источники Анализ сетевого трафика (трафик для рассмотрения)

Tip: При использовании списка сообщества (настроенного в Библиотеке репутации IP) списки подозрительных IP-адресов (таких как узлы глубокого интернета) по умолчанию настроены на еженедельное обновление. Дополнительные сведения см. в разделе Библиотека репутации IP.

• Отслеживаемый трафик. По умолчанию, порог устанавливается для мониторинга трафика от всех источников Анализ сетевого трафика. Выберите источник или интерфейс Анализ сетевого трафика, по которому будет осуществляться мониторинг трафика. Если будет выбран источник, начнется мониторинг трафика для всех интерфейсов источника. Если будет выбран интерфейс, начнется мониторинг трафика только для выбранного интерфейса.

  Note: Отправляющие данные выборки источники не отображаются в списке отслеживаемого трафика, поскольку Анализ сетевого трафика не может определить ошибки трафика по данным выборки.

• Отслеживаемые узлы. Нажмите кнопку «Выбор» для выбора узлов, к которым будет применен порог.
  • По умолчанию порог осуществляет мониторинг всех допустимых узлов
  • Нажмите Применить этот порог к конкретным узлам, чтобы выбрать узлы, к которым применяется порог.
• Нажмите Исключить узлы, чтобы создать список исключений.

Note: Настройте интервал проверки порога на более длительное время, чем интервал выборки для порогов по трендам, например, процент использования. Настройте его на время, равное (или близкое к) интервалу выборки при настройке порога для проверки работоспособности.

Tip: Не устанавливайте интервал проверки порога на слишком малое время. Излишне короткие значения интервалов могут ухудшить производительность системы. В общем случае не рекомендуется устанавливать интервал проверки порога менее пяти минут.

Клонирует порог на базе настраиваемой или встроенной конфигурации:

1. На панели Библиотеки порогов нажмите порог, который нужно копировать.
2. Нажмите кнопку Копировать и затем ОК для создания новой строки Порог подозрительных подключений.

   Отобразится диалоговое окно изменения Порог подозрительных подключений.

3. Для сохранения или настройки нового порога выполните одно из следующих действий:
   • Введите новое значение в поле имени (или сохраните заданное по умолчанию) и нажмите OK, чтобы сохранить значение в Библиотеке порогов.
   • Следуйте инструкциям по изменению Порог подозрительных подключений.

Удаляет существующий Порог подозрительных подключений:

1. Выберите Порог подозрительных подключений для удаления из панели Порог подозрительных подключений.
2. Нажмите кнопку Удалить и затем Да для подтверждения удаления.

   Конфигурация Порог подозрительных подключений удалена.