配置可疑连接阈值

跟踪与黑名单数据库标识的 IP 地址或使用 IP 信誉库跟踪的 IP 地址的连接。查看与已知 Tor 客户退出点出现的对话以及更多内容。

配置 Network Traffic Analyzer 可疑连接阈值：

• 名称。用于阈值库和警报中心仪表板上的标题。
• 通知策略。（可选）选择要应用到此阈值的通知策略。如有项目超出所配置的阈值，本策略便开始发送通知。
• 阈值检查间隔。输入警报中心检查 Network Performance Monitor 数据库的时间间隔，以了解是否有项目超出阈值。

  自动解除不再超出阈值的项目。如果您希望警报中心在项目返回阈值范围的值时自动解析项目，请选择此项目。

Note: 大多数阈值的通知策略都是选用。若您未选择通知策略，系统就不会生成阈值通知，但警报中心首页仍会显示仪表板报告，列出超出阈值的项目。 - 这些事件仍可从可疑连接报告中进行查看、分析和共享。

添加条件规则：

默认阈值配置为在最近 15 分钟内与可疑 IP（例如Tor—使用的地址，也称为“Dark Web”）建立多个连接时发出警报。

• 超过...与可疑 IP 地址的最大连接数量。
• 过去...选择测量的期间。

选择 Network Traffic Analyzer 来源（要考虑的流量）

Tip: 如果您正在利用社区更新列表（如 IP 声誉库 中的配置），可疑 IP 列表（如 Dark Web 中正在使用的 IP）默认每周更新一次。有关更多信息，请参阅IP 信誉库主题。

• 要监控的流量。默认情况下，阈值被设置为监控所有 Network Traffic Analyzer 来源的流量。选择 Network Traffic Analyzer 源或网络接口以监控其传输流量。若选择来源，则会监控来源上所有网络接口的传输流量。若选择接口，则只会监控所选接口的流量。

  Note: “要监控的流量”列表中，不会将发送采样数据的来源列为选项，因为 Network Traffic Analyzer 无法判断取样数据是否传输失败。

• 要监控的主机。 单击选择，选择适用此阈值的主机。
  • 默认情况下，阈值会监控所有适用的主机。
  • 单击将此阈值应用于特定主机以选择要应用阈值的主机。
• 单击排除主机以构建排除列表。

Note: 配置阈值检查间隔时间时，请设置成比趋势相关阈值（例如使用率）采样间隔时间更长。若是配置状况检查临界值，请设定成与取样间隔时间相同 (或类似)。

Tip: 请避免将临界值检查间隔时间设定得太短。激进的间隔会降低系统性能。一般而言，建议将阈值检查间隔时间设置为五分钟以上。

See Also 可疑连接阈值