警報中心資料庫使用通知、通知原則和臨界值臨界值資料庫可疑連線臨界值
追蹤與黑名單資料庫識別的 IP 位址,或是以 IP 信譽資料庫追蹤的 IP 位址的連線。
查看與已知 Tor 用戶端退出點的對話等等。
Note: 您可將臨界值事件與預先設定的警報通知鏈關聯來比對您的站台的政策。
管理 可疑連線臨界值:
Tip: 使用可疑連線報表來檢視、分析及共用可疑事件的頻率、方向和整體個特性。可疑連線報表可同時顯示不超出及超出臨界值的事件。
您可從 WhatsUp Gold [警報中心資料庫] 畫面的 [臨界值資料庫] 中,執行以下 可疑連線臨界值 操作。
新增。 建立新的 可疑連線臨界值。
追蹤與黑名單資料庫識別的 IP 位址,或是以 IP 信譽資料庫追蹤的 IP 位址的連線。查看出現與已知 Tor 用戶端退出點的對話等等。
設定 網路傳輸流量分析 可疑連線臨界值:
自動解除已在臨界值內的項目:若您希望警報中心在項目回歸到臨界值限制之內以後自動解除該項目,那麼請選取此選項。
Note: 大多數臨界值的通知原則均為選用。若您未選取通知原則,系統就不會產生臨界值通知,但警報中心首頁仍會列出超出臨界值項目的儀表板報表。 --這些事件也還是可供從可疑連線報表檢閱、分析及共用。
新增條件規則:
系統已將預設臨界值設為在過去 15 分鐘內有超過一個連線到可疑 IP(例如由 Tor,又稱為「暗網」,使用的位址)時發出警報。
Tip: 若運用一個社群更新的清單(於 IP 信譽資料庫中設定),則可疑 IP 清單(例如由暗網使用的 IP)會預設為每週更新。如需詳細資訊,請參考〈IP 信譽資料庫〉一節。
Note:「要監控的傳輸流量」清單中,不會將傳送取樣資料的來源裝置列為選項,因為 網路傳輸流量分析 無法判斷取樣資料是否傳輸失敗。
Note: 設定臨界值檢查間隔時間時,請設定成比趨勢相關臨界值(例如使用率)取樣間隔時間更長。若是設定健全狀況檢查臨界值,請設定成與取樣間隔時間相同(或類似)。
Tip: 請避免將臨界值檢查間隔時間設定得太短。過短的間隔可能使系統效能降低。一般而言,建議將臨界值檢查間隔時間設定為五分鐘以上。
編輯。 調整、微調及設定現有的 可疑連線臨界值。
追蹤與黑名單資料庫識別的 IP 位址,或是以 IP 信譽資料庫追蹤的 IP 位址的連線。查看出現與已知 Tor 用戶端退出點的對話等等。
設定 網路傳輸流量分析 可疑連線臨界值:
自動解除已在臨界值內的項目:若您希望警報中心在項目回歸到臨界值限制之內以後自動解除該項目,那麼請選取此選項。
Note: 大多數臨界值的通知原則均為選用。若您未選取通知原則,系統就不會產生臨界值通知,但警報中心首頁仍會列出超出臨界值項目的儀表板報表。 --這些事件也還是可供從可疑連線報表檢閱、分析及共用。
新增條件規則:
系統已將預設臨界值設為在過去 15 分鐘內有超過一個連線到可疑 IP(例如由 Tor,又稱為「暗網」,使用的位址)時發出警報。
Tip: 若運用一個社群更新的清單(於 IP 信譽資料庫中設定),則可疑 IP 清單(例如由暗網使用的 IP)會預設為每週更新。如需詳細資訊,請參考〈IP 信譽資料庫〉一節。
Note:「要監控的傳輸流量」清單中,不會將傳送取樣資料的來源裝置列為選項,因為 網路傳輸流量分析 無法判斷取樣資料是否傳輸失敗。
Note: 設定臨界值檢查間隔時間時,請設定成比趨勢相關臨界值(例如使用率)取樣間隔時間更長。若是設定健全狀況檢查臨界值,請設定成與取樣間隔時間相同(或類似)。
Tip: 請避免將臨界值檢查間隔時間設定得太短。過短的間隔可能使系統效能降低。一般而言,建議將臨界值檢查間隔時間設定為五分鐘以上。
複製。 根據現有 可疑連線臨界值 的組態複製新的 可疑連線臨界值。
根據自訂或內建組態複製臨界值:
隨即會顯示出 [編輯 可疑連線臨界值] 對話方塊。
刪除。 移除資料庫中的 可疑連線臨界值。
刪除現有的 可疑連線臨界值:
可疑連線臨界值 隨即會刪除組態。
See Also |