Um NetFlow-Daten im Ereignisprotokoll zu protokollieren, klicken Sie auf die Registerkarte "NetFlow to Event Log", aktivieren Sie das Kontrollkästchen "Log to the APPLICATION Event Log" und geben Sie den Schweregrad an, unter dem NetFlow-Daten protokolliert werden sollen. Um eine Überflutung des Anwendungsereignisprotokolls mit NetFlow-bezogenen Warnmeldungen zu vermeiden, kann die Häufigkeit von NetFlow-Warnmeldungen begrenzt werden.
Alarmlogik
Enthält die Regeln, nach denen NetFlow-Verkehrsinformationen im Ereignisprotokoll protokolliert werden sollen. Regeln können basierend auf auswerten:
•Das Protokoll
•Die IP-Adresse
•Geolokalisierung (Land, Bundesland, Stadt, Postleitzahl)
Mehrere Regeln können entweder mit den logischen Operatoren AND oder OR kombiniert werden. Einzelne Regeleinträge können durch Auswahl des Übereinstimmungstyps "IS NOT" negiert werden (siehe unten).
Warnung bei verdächtigen IP-Adressen
Protokolliert Ereignis 820 (EventSentry Network Services / NetFlow) im Ereignisprotokoll, wenn eine verdächtige IP-Adresse festgestellt wurde. Der Alarm enthält die Quell- und Ziel-IP-Adresse, den betroffenen Port, die Anzahl der Bedrohungen und die Details der Bedrohung.
Nur wenn mehr als ...
Protokolliert das Ereignis 830 (EventSentry Network Services / NetFlow), wenn innerhalb des angegebenen Zeitintervalls mehr als die angegebene Anzahl von Bytes zu/von einer verdächtigen IP-Adresse übertragen werden. Dies kann potenziell unregelmäßige Netzwerkaktivitäten wie APTs erkennen und auch dazu beitragen, potenzielle Fehlalarme zu reduzieren. Bei Aktivierung dieser Funktion wird die Ereignis-ID 820 nicht mehr protokolliert.
Erkennen von TCP-Port-Scans
Protokolliert Ereignis 801 (EventSentry Network Services / NetFlow) im Ereignisprotokoll, wenn ein potenzieller Port-Scan erkannt wurde:
# of ports: Die Anzahl der verschiedenen Ports, mit denen ein Remote-Host versuchen muss, eine Verbindung herzustellen, um einen Alarm auszulösen (Standard ist 250)
Time Interval: Das Zeitintervall (in Sekunden), in dem der Port-Scan erfolgen muss (Standard sind 900 Sekunden)
Max Bytes: Netzwerkpakete müssen kleiner oder gleich dieser Größe sein, um als Teil eines potentiellen Port-Scans zu zählen (Standard ist 250).