可疑连接阈值

跟踪与黑名单数据库标识的 IP 地址或使用 IP 信誉库跟踪的 IP 地址的连接。

查看与已知 Tor 客户退出点对话以及更多内容。

Note: 您可以将阈值事件和预配置的警报通知链相联系，以匹配您站点的策略。

管理可疑连接阈值：

Tip: 使用可疑连接报告查看、分析和共享可疑事件的频率、方向和总体特征。可疑连接报告可以显示阈值内、外事件。

在 WhatsUp Gold 警报中心库视图的阈值库中，您可以执行以下可疑连接阈值操作。

添加。创建一个新的可疑连接阈值。

跟踪与黑名单数据库标识的 IP 地址或使用 IP 信誉库跟踪的 IP 地址的连接。查看与已知 Tor 客户退出点出现的对话以及更多内容。

配置网络传输流量分析可疑连接阈值：

名称。用于阈值库和警报中心仪表板上的标题。
通知策略。（可选）选择要应用到此阈值的通知策略。如有项目超出所配置的阈值，本策略便开始发送通知。
阈值检查间隔。输入警报中心检查 Network Performance Monitor 数据库的时间间隔，以了解是否有项目超出阈值。
自动解除不再超出阈值的项目。如果您希望警报中心在项目返回阈值范围的值时自动解析项目，请选择此项目。

Note: 大多数阈值的通知策略都是选用。若您未选择通知策略，系统就不会生成阈值通知，但警报中心首页仍会显示仪表板报告，列出超出阈值的项目。 - 这些事件仍可从可疑连接报告中进行查看、分析和共享。

添加条件规则：

默认阈值配置为在最近 15 分钟内与可疑 IP（例如Tor—使用的地址，也称为“Dark Web”）建立多个连接时发出警报。

Tip: 如果您正在利用社区更新列表（如 IP 声誉库中的配置），可疑 IP 列表（如 Dark Web 中正在使用的 IP）默认每周更新一次。有关更多信息，请参阅IP 信誉库主题。

要监控的流量。默认情况下，阈值被设置为监控所有网络传输流量分析来源的流量。选择网络传输流量分析源或网络接口以监控其传输流量。若选择来源，则会监控来源上所有网络接口的传输流量。若选择接口，则只会监控所选接口的流量。
Note: “要监控的流量”列表中，不会将发送采样数据的来源列为选项，因为网络传输流量分析无法判断取样数据是否传输失败。
要监控的主机。单击选择，选择适用此阈值的主机。
- 默认情况下，阈值会监控所有适用的主机。
- 单击将此阈值应用于特定主机以选择要应用阈值的主机。
单击排除主机以构建排除列表。

Note: 配置阈值检查间隔时间时，请设置成比趋势相关阈值（例如使用率）采样间隔时间更长。若是配置状况检查临界值，请设定成与取样间隔时间相同 (或类似)。

Tip: 请避免将临界值检查间隔时间设定得太短。激进的间隔会降低系统性能。一般而言，建议将阈值检查间隔时间设置为五分钟以上。

编辑。调整、优化和配置现有的可疑连接阈值。

跟踪与黑名单数据库标识的 IP 地址或使用 IP 信誉库跟踪的 IP 地址的连接。查看与已知 Tor 客户退出点出现的对话以及更多内容。

配置网络传输流量分析可疑连接阈值：

名称。用于阈值库和警报中心仪表板上的标题。
通知策略。（可选）选择要应用到此阈值的通知策略。如有项目超出所配置的阈值，本策略便开始发送通知。
阈值检查间隔。输入警报中心检查 Network Performance Monitor 数据库的时间间隔，以了解是否有项目超出阈值。
自动解除不再超出阈值的项目。如果您希望警报中心在项目返回阈值范围的值时自动解析项目，请选择此项目。

添加条件规则：

默认阈值配置为在最近 15 分钟内与可疑 IP（例如Tor—使用的地址，也称为“Dark Web”）建立多个连接时发出警报。

要监控的流量。默认情况下，阈值被设置为监控所有网络传输流量分析来源的流量。选择网络传输流量分析源或网络接口以监控其传输流量。若选择来源，则会监控来源上所有网络接口的传输流量。若选择接口，则只会监控所选接口的流量。
Note: “要监控的流量”列表中，不会将发送采样数据的来源列为选项，因为网络传输流量分析无法判断取样数据是否传输失败。
要监控的主机。单击选择，选择适用此阈值的主机。
- 默认情况下，阈值会监控所有适用的主机。
- 单击将此阈值应用于特定主机以选择要应用阈值的主机。
单击排除主机以构建排除列表。

Tip: 请避免将临界值检查间隔时间设定得太短。激进的间隔会降低系统性能。一般而言，建议将阈值检查间隔时间设置为五分钟以上。

复制。根据现有的可疑连接阈值来复制新的可疑连接阈值。

删除。从库中删除可疑连接阈值。