ブラックリストデータベースで特定された IP アドレスを持つ接続、または IP レピュテーションライブラリを使用して追跡された接続を追跡します。既知の Tor クライアントの終了ポイントなどで発生する会話を確認します。

ネットワークトラフィック分析 の疑いのある接続のしきい値の設定:

注:
  • [名前]アラートセンターダッシュボードのしきい値ライブラリおよびタイトルで使用されます。
  • [通知ポリシー]。(オプション) このしきい値に適用する通知ポリシーを選択します。ある項目が設定されたしきい値の範囲外になると、このポリシーによって通知が発せられます。
  • [しきい値チェック間隔]。アラートセンターが WhatsUp Gold データベースでしきい値制限の範囲外の項目があるかどうかをチェックする間隔を入力します。

    [しきい値の範囲を超えないように項目を自動解決]。項目がしきい値制限の範囲内の値に戻ったときに、アラートセンターで項目が自動的に解決されるようにするには、このオプションを選択します。

ほとんどのしきい値では、通知ポリシーは省略可能です。通知ポリシーを選択しないと、そのしきい値に対する通知は生成されませんが、しきい値の範囲外の項目をリストしているダッシュボードレポートはアラートセンターのホームページに表示されます。これらのイベントは、[疑わしい接続] レポートからレビュー、分析、共有することもできます。

条件ルールの追加:

デフォルトのしきい値は、直近の 15 分間に疑いのある IP (「ダークウェブ」とも呼ばれる Tor によって使用されているアドレスなど) への接続が複数回行われた場合にアラートを発するように設定されています。

  • [より大きい...]疑わしい IP アドレスへの接続の最大数。
  • [過去の...]測定の期間を選択します。

ネットワークトラフィック分析 のソースの選択 (考慮するトラフィック)

ヒント: コミュニティ更新リストを活用する場合 (IP レピュテーションライブラリで設定したとおりに)、疑いのある IP リスト (ダークウェブによって使用されている IP など) は、デフォルトで毎週更新するように設定されています。詳細については、「IP レピュテーションライブラリ」のトピックを参照してください。
  • [監視するトラフィック]。デフォルトでは、すべての ネットワークトラフィック分析 のソースからのトラフィックを監視するようにしきい値が設定されています。トラフィックを監視する ネットワークトラフィック分析 のソースまたはインターフェイスを選択します。ソースを選択した場合は、そのソース上のすべてのインターフェイスのトラフィックが監視されます。インターフェイスを選択した場合は、選択したインターフェイスのトラフィックのみが監視されます。
    注: ネットワークトラフィック分析 ではサンプルデータ上でトラフィックが失敗したかどうかを判断できないため、サンプルデータを送信するソースは [監視するトラフィック] リストの選択オプションとして表示されません。
  • [監視するホスト] [選択] をクリックして、しきい値が適用されるホストを選択します。
    • デフォルトでは、しきい値は適用可能なすべてのホストを監視します
    • [このしきい値を特定のホストに適用] をクリックして、しきい値を適用するホストを選択します。
  • [ホストを除外] をクリックして、除外リストを作成します。
注: 使用率などの傾向に関連するしきい値には、しきい値チェック間隔にサンプリング間隔よりも長い時間を設定してください。正常性チェックのしきい値を設定する場合は、サンプリング間隔と同様の時間に設定してください。

ヒント: しきい値チェック間隔をあまり短く設定しないでください。短い間隔は、システムのパフォーマンスを低下させる可能性があります。一般に、しきい値チェック間隔を 5 分以内に設定することはお勧めしません。