HIGHTRANSF – 大量の転送データ

メソッドの説明

このメソッドは、1人のユーザ(1つのIPアドレス)によるデータリンクの大量使用を検出します。このメソッドは、あるIPアドレス宛てのトラフィックをすべて集計し、合計トラフィック量が上限を超えているかどうかを確認します。TransferThresholdオプションでは、単一のIPアドレスの絶対データ量閾値を指定します(MiB単位)。この制限に達するか、それを上回ると、イベントがレポートされます。2つのIPアドレス間の転送量が事前設定された最大転送パーセンテージ(TargetPercentileパラメータ)に達すると、それらのIPアドレスはイベントのターゲットとしてマークされます。ExcludeServersパラメータでは、検知から除外する必要があるサーバのIPアドレスを定義するフィルタの名前を指定します。サーバは通常、クライアントのステーションよりも多くのデータを転送します。LegalServersパラメータでは、アドレス相互間の大量転送が許可されるIPアドレスを定義するフィルタの名前を指定します。

このメソッドは、以下のサブメソッドで構成されます。

• General: 監視対象のネットワーク内で短期間に大量のデータを転送するデバイスをレポートします。

メソッド設定

このメソッドは、自組織のネットワークのIPアドレスにのみ適用することをお勧めします。トラフィックの適切な監視場所はインターネット接続回線です。

メソッドパラメータ

• TransferThreshold: 転送データ量の閾値(MiB単位)。

• ExcludeServer: 大量のデータ転送が許可されるデバイス(特に監視対象ネットワークのサーバ)のIPアドレスを定義するフィルタの名前。

• TargetPercentile: このパラメータの値は、単一の通信ピアをイベントターゲットと見なすためにその通信ピアとの間で転送される必要がある、合計データ量の最小パーセンテージを定義します。

• LegalServers: 監視対象セグメント内のデバイスによる大量のデータ転送が許可されるデバイスのIPアドレスを定義するフィルタの名前。

フィルタの割り当て

送信元IPアドレスまたは宛先IPアドレスがフィルタの割り当てに一致するフローのみが処理されます。転送統計は、フィルタに存在するすべてのIPアドレスについて計算されます。

結果の解釈

このメソッドは、許可されているよりも多くのデータを転送したIPアドレスに対する信頼性の高いアラートを出します。これは、予期しないネットワーク負荷を示唆している可能性があります(例: バックアッププロセスなどの大量データ転送)。関与しているデバイスやサービスによっては、このようなアクティビティは正当であると見なすこともできます。