追蹤與黑名單資料庫識別的 IP 位址,或是以 IP 信譽資料庫追蹤的 IP 位址的連線。查看出現與已知 Tor 用戶端退出點的對話等等。

設定 Network Traffic Analysis 可疑連線臨界值:

註:
  • 名稱:將用於臨界值資料庫中以及作為警報中心儀表板的標題。
  • 通知原則:(選用)選取要套用到此臨界值的通知原則。如有項目超出所設定的臨界值限制,原則就會起始通知。
  • 臨界值檢查間隔:輸入警報中心檢查 WhatsUp Gold 資料庫的時間間隔,以了解是否有項目超出臨界值限制。

    自動解除已在臨界值內的項目:若您希望警報中心在項目回歸到臨界值限制之內以後自動解除該項目,那麼請選取此選項。

大多數臨界值的通知原則均為選用。若您未選取通知原則,系統就不會產生臨界值通知,但警報中心首頁仍會列出超出臨界值項目的儀表板報表。--這些事件也還是可供從可疑連線報表檢閱、分析及共用。

新增條件規則:

系統已將預設臨界值設為在過去 15 分鐘內有超過一個連線到可疑 IP(例如由 Tor,又稱為「暗網」,使用的位址)時發出警報。

  • 超過…連線到可疑 IP 位址的次數上限。
  • 在過去…選取測量的期間。

選取 Network Traffic Analysis 來源(要考慮的傳輸流量)

提示: 若運用一個社群更新的清單(於 IP 信譽資料庫中設定),則可疑 IP 清單(例如由暗網使用的 IP)會預設為每週更新。如需詳細資訊,請參考〈IP 信譽資料庫〉一節。
  • 要監控的傳輸流量:預設值已將臨界值設為監控所有 Network Traffic Analysis 來源裝置的傳輸流量。選取 Network Traffic Analysis 來源裝置或網路介面以監控其傳輸流量。若選取來源,則會監控來源上所有網路介面的傳輸流量。若選取網路介面,則只會監控所選網路介面的傳輸流量。
    註: 「要監控的傳輸流量」清單中不會將傳送取樣資料的來源裝置列為選項,因為 Network Traffic Analysis 無法判斷取樣資料是否傳輸失敗。
  • 要監控的主機按一下 [選取],選擇要套用此臨界值的主機。
    • 在預設情況下,臨界值會監控所有適用的主機
    • 按一下 [將此臨界值套用於特定的主機] 來選擇要套用此臨界值的主機。
  • 按一下 [排除主機] 來建立一個排除清單。
註: 設定臨界值檢查間隔時間時,請設定成比趨勢相關臨界值(例如使用率)取樣間隔時間更長。為健全狀況檢查設定臨界值時,請設定成與取樣間隔時間相同(或類似)。

提示: 請避免將臨界值檢查間隔時間設定得太短。過短的間隔可能使系統效能降低。一般而言,建議將臨界值檢查間隔時間設定為五分鐘以上。