Suivez les connexions avec les adresses IP identifiées dans les bases de données de la liste noire ou avec la bibliothèque de réputation d'IP. Affichez les conversations avec les points de sortie connus des clients Tor et bien plus encore.

Configuration d'un seuil de connexions suspectes Analyse du trafic réseau :

• Nom. Utilisé dans la bibliothèque de seuils et dans le titre du tableau de bord du centre d'alertes.
• Stratégie de notification. (Facultatif) Sélectionnez la stratégie de notification à appliquer à ce seuil. Cette stratégie déclenche des notifications dès lors qu'un élément se trouve en dehors des limites de seuil configurées.
• Intervalle de vérification du seuil. Saisissez un intervalle de temps pendant lequel le Centre d'alerte recherche dans la base de données Network Performance Monitor les éléments qui sont situés en dehors des limites du seuil.

  Résoudre automatiquement les éléments qui ne sont plus hors seuil. Sélectionnez cette option si vous voulez que le centre d'alertes résolve automatiquement les éléments lorsqu'ils retournent à la valeur dans la limite du seuil.

Note: Les stratégies de notification sont facultatives pour la plupart des seuils. Si vous ne sélectionnez pas de stratégie de notification, aucune notification ne sera générée pour le seuil, mais un rapport de tableau de bord répertoriant les éléments hors seuil apparaîtra néanmoins sur la page d'accueil du Centre d'alerte. -Ces événements pourront également être examinés, analysés et partagés à partir du rapport de connexions suspectes.

Ajouter des règles de condition :

Le seuil par défaut est configuré pour alerter lorsque plusieurs connexions à une adresse IP suspecte (telle qu'une adresse utilisée par Tor—, également appelée « site Dark Web ») ont été établies au cours des 15 dernières minutes.

• Plus de... Nombre maximum de connexions à des adresses IP suspectes.
• au cours des derniers/dernières... Sélectionnez une période pour la mesure.

Sélectionner les sources Analyse du trafic réseau (trafic à prendre en compte)

Tip: Si vous exploitez une liste mise à jour par la communauté (comme configuré dans la bibliothèque de réputation d'IP), les listes d'adresses IP suspectes (telles que celles utilisées par le Dark Web) sont configurées pour être mises à jour chaque semaine par défaut. Pour plus d'informations, voir la rubrique Bibliothèque de réputation d'IP.

• Trafic à surveiller. Par défaut, le seuil est défini pour contrôler le trafic de l'ensemble des sources Analyse du trafic réseau. Sélectionnez l'interface ou la source Analyse du trafic réseau à partir de laquelle contrôler le trafic. Lorsque vous sélectionnez une source, le trafic de toutes les interfaces de la source est contrôlé. Lorsque vous sélectionnez une interface, seul le trafic de l'interface sélectionnée est contrôlé.

  Note: Les sources qui envoient des données échantillonnées n'apparaissent pas en tant qu'option de sélection dans la liste trafic à surveiller car Analyse du trafic réseau ne peut pas déterminer que le trafic a échoué pour les données échantillonnées.

• Hôtes à surveiller. Cliquez sur Sélectionner pour choisir les hôtes auxquels vous souhaitez appliquer le seuil.
  • Par défaut, le seuil contrôle tous les hôtes concernés
  • Cliquez sur Appliquer ce seuil à des hôtes particuliers pour choisir les hôtes auxquels le seuil s'applique.
• Cliquez sur Exclure les hôtes pour créer une liste d'exclusion.

Note: Configurez l'intervalle de vérification du seuil sur une durée supérieure à l'intervalle d'échantillonnage pour les seuils relatifs aux tendances, comme le pourcentage d'utilisation. Lorsque vous configurez un seuil pour un contrôle d'intégrité, configurez-le sur une durée identique (ou similaire) à l'intervalle d'échantillonnage.

Tip: Évitez de définir un intervalle de vérification de seuil très cour. Des intervalles agressifs peuvent dégrader les performances du système. En règle générale, il est déconseillé de définir un intervalle de vérification du seuil inférieur à cinq minutes.

Suivez les connexions avec les adresses IP identifiées dans les bases de données de la liste noire ou avec la bibliothèque de réputation d'IP. Affichez les conversations avec les points de sortie connus des clients Tor et bien plus encore.

Configuration d'un seuil de connexions suspectes Analyse du trafic réseau :

• Nom. Utilisé dans la bibliothèque de seuils et dans le titre du tableau de bord du centre d'alertes.
• Stratégie de notification. (Facultatif) Sélectionnez la stratégie de notification à appliquer à ce seuil. Cette stratégie déclenche des notifications dès lors qu'un élément se trouve en dehors des limites de seuil configurées.
• Intervalle de vérification du seuil. Saisissez un intervalle de temps pendant lequel le Centre d'alerte recherche dans la base de données Network Performance Monitor les éléments qui sont situés en dehors des limites du seuil.

  Résoudre automatiquement les éléments qui ne sont plus hors seuil. Sélectionnez cette option si vous voulez que le centre d'alertes résolve automatiquement les éléments lorsqu'ils retournent à la valeur dans la limite du seuil.

Note: Les stratégies de notification sont facultatives pour la plupart des seuils. Si vous ne sélectionnez pas de stratégie de notification, aucune notification ne sera générée pour le seuil, mais un rapport de tableau de bord répertoriant les éléments hors seuil apparaîtra néanmoins sur la page d'accueil du Centre d'alerte. -Ces événements pourront également être examinés, analysés et partagés à partir du rapport de connexions suspectes.

Ajouter des règles de condition :

Le seuil par défaut est configuré pour alerter lorsque plusieurs connexions à une adresse IP suspecte (telle qu'une adresse utilisée par Tor—, également appelée « site Dark Web ») ont été établies au cours des 15 dernières minutes.

• Plus de... Nombre maximum de connexions à des adresses IP suspectes.
• au cours des derniers/dernières... Sélectionnez une période pour la mesure.

Sélectionner les sources Analyse du trafic réseau (trafic à prendre en compte)

Tip: Si vous exploitez une liste mise à jour par la communauté (comme configuré dans la bibliothèque de réputation d'IP), les listes d'adresses IP suspectes (telles que celles utilisées par le Dark Web) sont configurées pour être mises à jour chaque semaine par défaut. Pour plus d'informations, voir la rubrique Bibliothèque de réputation d'IP.

• Trafic à surveiller. Par défaut, le seuil est défini pour contrôler le trafic de l'ensemble des sources Analyse du trafic réseau. Sélectionnez l'interface ou la source Analyse du trafic réseau à partir de laquelle contrôler le trafic. Lorsque vous sélectionnez une source, le trafic de toutes les interfaces de la source est contrôlé. Lorsque vous sélectionnez une interface, seul le trafic de l'interface sélectionnée est contrôlé.

  Note: Les sources qui envoient des données échantillonnées n'apparaissent pas en tant qu'option de sélection dans la liste trafic à surveiller car Analyse du trafic réseau ne peut pas déterminer que le trafic a échoué pour les données échantillonnées.

• Hôtes à surveiller. Cliquez sur Sélectionner pour choisir les hôtes auxquels vous souhaitez appliquer le seuil.
  • Par défaut, le seuil contrôle tous les hôtes concernés
  • Cliquez sur Appliquer ce seuil à des hôtes particuliers pour choisir les hôtes auxquels le seuil s'applique.
• Cliquez sur Exclure les hôtes pour créer une liste d'exclusion.

Note: Configurez l'intervalle de vérification du seuil sur une durée supérieure à l'intervalle d'échantillonnage pour les seuils relatifs aux tendances, comme le pourcentage d'utilisation. Lorsque vous configurez un seuil pour un contrôle d'intégrité, configurez-le sur une durée identique (ou similaire) à l'intervalle d'échantillonnage.

Tip: Évitez de définir un intervalle de vérification de seuil très cour. Des intervalles agressifs peuvent dégrader les performances du système. En règle générale, il est déconseillé de définir un intervalle de vérification du seuil inférieur à cinq minutes.

Cloner un seuil à partir d'une configuration personnalisée ou intégrée :

1. Cliquez sur le seuil dans le panneau Thresholds Library (Bibliothèque de seuils) que vous souhaitez copier.
2. Cliquez sur le bouton Copier, et cliquez sur OK pour créer un nouveau Seuil de connexions suspectes.

   La boîte de dialogue Modifier Seuil de connexions suspectes s'affiche.

3. Enregistrez ou personnalisez votre nouveau seuil :
   • Saisissez une nouvelle valeur pour le champ Nom (ou conservez la valeur par défaut) et cliquez sur OK pour l'enregistrer dans la Bibliothèque de seuils.
   • Suivez les instructions fournies pour modifier un Seuil de connexions suspectes.

Supprimer un Seuil de connexions suspectes existant :

1. Sélectionnez le Seuil de connexions suspectes que vous souhaitez supprimer du panneau Seuil de connexions suspectes.
2. Cliquez sur le bouton Supprimer, puis cliquez sur Oui pour confirmer la suppression.

   La configuration Seuil de connexions suspectes est supprimée.