Настройка порога подозрительных подключений

Отслеживание соединений с IP-адресами, которые находятся в базах данных черного списка или отслеживаются при помощи Библиотеки репутации IP. См. обмен данными с известными выходными узлами клиента Tor и др.

Настройка порога подозрительных подключений Network Traffic Analyzer выполняется следующим образом:

Note: Политики уведомления для большинства порогов необязательны. Если политика уведомления не выбрана, уведомления для порога не выдаются, но в отчете панели содержатся элементы, выходящие за данный порог, и они отображаются на главной странице Центра оповещения. — Эти события также будут доступны для просмотра, анализа и публикации в Отчете о подозрительных подключениях.

Добавить правила условий:

Стандартный порог выдает оповещение, когда количество подключений к подозрительному IP-адресу (такому как адрес узла сети Tor, также известному как глубокий интернет) более одного за последние 15 минут.

Выберите источники Network Traffic Analyzer (трафик для рассмотрения)

Tip: При использовании списка сообщества (настроенного в Библиотеке репутации IP) списки подозрительных IP-адресов (таких как узлы глубокого интернета) по умолчанию настроены на еженедельное обновление. Дополнительные сведения см. в разделе Библиотека репутации IP.

Note: Настройте интервал проверки порога на более длительное время, чем интервал выборки для порогов по трендам, например, процент использования. Настройте его на время, равное (или близкое к) интервалу выборки при настройке порога для проверки работоспособности.

Tip: Не устанавливайте интервал проверки порога на слишком малое время. Излишне короткие значения интервалов могут ухудшить производительность системы. В общем случае не рекомендуется устанавливать интервал проверки порога менее пяти минут.

See Also

Порог подозрительных подключений