Please enable JavaScript to view this site.

Um NetFlow-Daten im Ereignisprotokoll zu protokollieren, klicken Sie auf die Registerkarte "NetFlow to Event Log", aktivieren Sie das Kontrollkästchen "Log to the APPLICATION Event Log" und geben Sie den Schweregrad an, unter dem NetFlow-Daten protokolliert werden sollen. Um eine Überflutung des Anwendungsereignisprotokolls mit NetFlow-bezogenen Warnmeldungen zu vermeiden, kann die Häufigkeit von NetFlow-Warnmeldungen begrenzt werden.

 

clip0324

 

Alarmlogik

Enthält die Regeln, nach denen NetFlow-Verkehrsinformationen im Ereignisprotokoll protokolliert werden sollen. Regeln können basierend auf auswerten:

 

Das Protokoll

Die IP-Adresse

Geolokalisierung (Land, Bundesland, Stadt, Postleitzahl)

 

Mehrere Regeln können entweder mit den logischen Operatoren AND oder OR kombiniert werden. Einzelne Regeleinträge können durch Auswahl des Übereinstimmungstyps "IS NOT" negiert werden (siehe unten).

 

clip0367

 

Warnung bei verdächtigen IP-Adressen

Protokolliert Ereignis 820 (EventSentry Network Services / NetFlow) im Ereignisprotokoll, wenn eine verdächtige IP-Adresse festgestellt wurde. Der Alarm enthält die Quell- und Ziel-IP-Adresse, den betroffenen Port, die Anzahl der Bedrohungen und die Details der Bedrohung.

 

Nur wenn mehr als ...

Protokolliert das Ereignis 830 (EventSentry Network Services / NetFlow), wenn innerhalb des angegebenen Zeitintervalls mehr als die angegebene Anzahl von Bytes zu/von einer verdächtigen IP-Adresse übertragen werden. Dies kann potenziell unregelmäßige Netzwerkaktivitäten wie APTs erkennen und auch dazu beitragen, potenzielle Fehlalarme zu reduzieren. Bei Aktivierung dieser Funktion wird die Ereignis-ID 820 nicht mehr protokolliert.

 

Erkennen von TCP-Port-Scans

Protokolliert Ereignis 801 (EventSentry Network Services / NetFlow) im Ereignisprotokoll, wenn ein potenzieller Port-Scan erkannt wurde:

 

# of ports: Die Anzahl der verschiedenen Ports, mit denen ein Remote-Host versuchen muss, eine Verbindung herzustellen, um einen Alarm auszulösen (Standard ist 250)

Time Interval: Das Zeitintervall (in Sekunden), in dem der Port-Scan erfolgen muss (Standard sind 900 Sekunden)

Max Bytes: Netzwerkpakete müssen kleiner oder gleich dieser Größe sein, um als Teil eines potentiellen Port-Scans zu zählen (Standard ist 250).