用户手册
NetFlow Analyzer's ASAM模块提供可执行的信息,以检测范围广泛的外部和内部安全威胁,以及持续对网络安全进行全面评估。根据基于流的安全分析和异常检测,您可以通过IP地址来识别一次攻击的主要攻击者和目标。ASAM 将分组的威胁/异常作为问题项以列表的形式显示,并将其进一步分类为四个主要问题类-不良src-dst、DDoS、可疑流和扫描/探针。 ASAM已经预定义了每个问题类及每个类的等级的阈值,可以从设置中编辑每种问题类型的阈值。
请参考下面的链接在NetFlow Analyzer中去启用ASAM收集数据:
https://www.manageengine.com/products/netflow/help/how-to-enable-advanced-security-analytics-and-customize-events.html#enableASAM
ASAM的安全快照列出了问题,以及攻击者和目标数量、严重程度和发生的时间。在该视图上继续下钻,会列出单个事件/异常,某个特定的问题及详细的信息整理,以便更密切的调查。主要攻击者和目标独一无二的连接号码的ip地址和目标将给分析提供详细的信息。
下表列出了对问题的四个分类,并对分类依据作了简要描述:
| 类的名称 | 描述 |
|---|---|
| 不良 Src – Dst | 源ip或者目的ip,其中一个可疑。 |
| 可疑的流 | 除流的源ip和目的ip以外的某些属性是可疑的。 |
| DoS | 拒绝服务攻击 |
| 扫描和探针 | 流使用多个端口发送到特定主机,或在单个端口上发送到多个主机。 |
请参考该链接查看高级安全分析模块检测到的异常列表:
异常列表
如果要自定义问题事件,例如在特定类下启用或禁用不需要的问题,请参阅下面的链接:
https://www.manageengine.com/products/netflow/help/how-to-enable-advanced-security-analytics-and-customize-events.html#customizeProplems .如果某个算法被禁用,ASAM将不使用该算法生成事件。对于像TCP Syn违规这样的基本问题,您可以管理三种不同的算法,例如:从来源(SourceAggregation)违反TCP Syn(SourceAggregation)、从TCP Syn违反到目的地(DestinationAggregation)、通过路由器违反TCP Syn(RouterAggregation)。
允许您为算法设置阈值。点击 "阈值设置" ,设置算法的上限。还可以使用“高级设置”选项为算法设置启发式阈值。事件会根据更新的阈值生成。
NetFlow Analyzer 允许您基于网络中发生的ASAM安全事件创建告警。您可以根据算法和问题为所需的标准创建告警。 一旦超过这个阈值,您将接收到实时告警和通知。默认情况下,ASAM没有创建告警配置文件。在顶部右栏中点击添加按钮去创建ASAM的告警配置文件。
请参考下面的步骤为ASAM创建新的告警配置文件:
https://www.manageengine.com/products/netflow/help/how-to-enable-advanced-security-analytics-and-customize-events.html#alertProfileASAM