設定可疑連線臨界值

追蹤與黑名單資料庫識別的 IP 位址,或是以 IP 信譽資料庫追蹤的 IP 位址的連線。查看出現與已知 Tor 用戶端退出點的對話等等。

設定 Network Traffic Analyzer 可疑連線臨界值:

Note: 大多數臨界值的通知原則均為選用。若您未選取通知原則,系統就不會產生臨界值通知,但警報中心首頁仍會列出超出臨界值項目的儀表板報表。 --這些事件也還是可供從可疑連線報表檢閱、分析及共用。

新增條件規則:

系統已將預設臨界值設為在過去 15 分鐘內有超過一個連線到可疑 IP(例如由 Tor,又稱為「暗網」,使用的位址)時發出警報。

選取 Network Traffic Analyzer 來源(要考慮的傳輸流量)

Tip: 若運用一個社群更新的清單(於 IP 信譽資料庫中設定),則可疑 IP 清單(例如由暗網使用的 IP)會預設為每週更新。如需詳細資訊,請參考〈IP 信譽資料庫〉一節。

Note: 設定臨界值檢查間隔時間時,請設定成比趨勢相關臨界值(例如使用率)取樣間隔時間更長。若是設定健全狀況檢查臨界值,請設定成與取樣間隔時間相同(或類似)。

Tip: 請避免將臨界值檢查間隔時間設定得太短。過短的間隔可能使系統效能降低。一般而言,建議將臨界值檢查間隔時間設定為五分鐘以上。

See Also

可疑連線臨界值