Anomalies mises en corrélation à l'échelle de l'entreprise
La table Anomalies mises en corrélation dans l'ensemble de l'entreprise offre un récapitulatif des comportements anormaux qui sont le plus susceptibles d'endommager le réseau. Cette vue identifie les emplacements réseau que vous pouvez examiner si vous soupçonnez qu'une activité malveillante a eu lieu.
nfa1000
La table
Anomalies mises en corrélation à l'échelle de l'entreprise
offre un récapitulatif des comportements anormaux qui sont le plus susceptibles d'endommager le réseau. Cette vue identifie les emplacements réseau que vous pouvez examiner si vous soupçonnez qu'une activité malveillante a eu lieu.Les clusters d'anomalies constituent des indicateurs de problèmes plus fiables que les anomalies uniques. Un grand nombre de types d'attaques impliquent plusieurs instances de comportement anormal du réseau. Dans la plupart des cas, les instances sont mises en cluster dans un groupe incluant quelques hôtes au début, puis le comportement s'étend de façon pyramidale. Dans un comportement pyramidal, les unités apparemment non associées sont assignées et un trafic inattendu est généré à partir de plusieurs sources.
La corrélation est effectuée à l'aide d'un algorithme qui considère les modèles standard pour chaque type de trafic réseau surveillé.
Une anomalie est
mise en corrélation
lorsque les conditions suivantes sont remplies :- Il existe trois instances d'anomalie ou plus.
- Deux types d'anomalies différentes sont présentes ou possèdent un index d'anomalies supérieur à 2.0.
- Une unité est la source des anomalies.
Vous pouvez modifier les paramètres de vue suivants :
- Période pour toutes les vues sur la page.
- Affichage du titre et du contexte
Cette vue est incluse par défaut sur la page
Anomaly Detector
de la console Performance Center.La vue fournit les informations suivantes concernant le comportement anormal du réseau :
- Host (Hôte)Adresse IP de l'hôte qui présente un comportement anormal. L'hôte peut être un ordinateur client, un serveur, un routeur ou une interface. Le programme essaie de résoudre le nom d'hôte de l'adresse IP et affiche ce nom dans le champHôte.
- Anomaly Index (Index d'anomalies)Nombre d'anomalies dans le cluster, pondéré par leur rôle (principal ou secondaire). L'algorithme de corrélation des anomalies compare chaque comportement particulier aux modèles standard pour le type de trafic réseau. Plus la valeur de l'index est élevée, plus le problème est grave.
- TypesNombre de modèles de comportements de réseau anormaux qui se sont produits pendant la période de génération de rapports
- DateDate et heure de la première anomalie mise en corrélation détectée sur l'hôte.L'heure peut varier de 15 minutes maximum par rapport à l'heure réelle des flux. Les données sont extraites des Harvesters pour une analyse toutes les 15 minutes.
- Lien DateCliquez sur le lienDatedans la vueAnomalies mises en corrélation à l'échelle de l'entreprisepour accéder à la tableVue hiérarchisée Anomaly Detector.