跟踪与黑名单数据库标识的 IP 地址或使用 IP 信誉库跟踪的 IP 地址的连接。查看与已知 Tor 客户退出点出现的对话以及更多内容。

配置 Network Traffic Analysis 可疑连接阈值:

注:
  • 名称。用于临界值库和警报中心仪表板上的标题。
  • 通知策略。(可选)选择要应用到此临界值的通知策略。如有项目超出所配置的临界值,本策略便开始发送通知。
  • 临界值检查间隔。输入警报中心检查 WhatsUp Gold 数据库的时间间隔,以了解是否有项目超出临界值。

    自动解除不再超出阈值的项目。如果您希望警报中心在项目返回临界值范围的值时自动解析项目,请选择此项目。

大多数临界值的通知策略都是选用。若您未选择通知策略,系统就不会生成临界值通知,但警报中心主页仍会显示仪表板报告,其中列出超出临界值的项目。在可疑连接报告中,这些事件还可用于查看、分析和分享。

添加条件规则:

默认阈值配置为在最近 15 分钟内与可疑 IP(例如Tor—使用的地址,也称为“Dark Web”)建立多个连接时发出警报。

  • 超过...与可疑 IP 地址的最大连接数量。
  • 过去...选择测量的期间。

选择 Network Traffic Analysis 来源(要考虑的流量)

提示: 如果您正在利用社区更新列表(如 IP 声誉库 中的配置),可疑 IP 列表(如 Dark Web 中正在使用的 IP)默认每周更新一次。有关更多信息,请参阅IP 信誉库主题。
  • 要监控的流量。默认情况下,阈值被设置为监控所有 Network Traffic Analysis 来源的流量。选择 Network Traffic Analysis 源或网络接口以监控其流量。若选择来源,则会监控来源上所有网络接口的流量。选择接口时,只会监控所选接口的流量。
    注: “要监控的流量”列表中,不会将发送采样数据的来源列为选项,因为 Network Traffic Analysis 无法判断取样数据是否传输失败。
  • 要监控的主机 单击选择,选择适用此阈值的主机。
    • 默认情况下,阈值会监控所有适用的主机
    • 单击将此阈值应用于特定主机以选择要应用阈值的主机。
  • 单击排除主机以构建排除列表。
注: 配置阈值检查间隔时间时,请设置成比趋势相关阈值(例如使用率)采样间隔时间更长。配置状况检查临界值时,请将其配置成与取样间隔时间相同(或类似)。

提示: 请避免将临界值检查间隔时间设定得太短。激进的间隔会降低系统性能。一般而言,建议将临界值检查间隔时间设置为五分钟以上。