用户手册
这个设置可以启用NetFlow Analyzer中ASAM数据收集功能。默认的ASAM数据流处理是禁用状态,需要点击启用开启ASAM功能。
管理问题
NetFlow Analyzer包含了开箱即用的应用程序中不同的问题类别,以显示基于设备导出的流可能出现的安全漏洞。您可以从设置选项中启用或禁用列表中的问题。所有的问题类别默认都是启用状态。
点击右上角的禁用列表可以查看禁用的问题。
想要禁用某一类别的问题,只需单击问题类别左侧的箭头,在展开的列表中会列出所有问题,选择要禁用的问题并单击右上角的禁用。
管理资源
NetFlow Analyzer会根据流量提供有关资源配置的安全事件的信息。 默认所有路由器IP都添加到资源列表中了,您可以启用或禁用资源。我们有3种不同的资源,比如Rip(路由器IP)、IP地址(本机)、Net(网络IP地址)。
您可以根据需要添加不同的资源IP详细信息,也可以禁用ASAM中包含的默认资源,以理解实际问题。
注意: 资源是用于对事件的流进行分组的属性
例如: 通过单个路由器ip发送的流被聚合为一个事件(路由器聚合)
来自单个源ip的流被聚合为一个事件(源聚合)
流向单个目标ip的流聚合为一个事件(目的聚合)
管理算法
允许您启用或禁用某一个或某一组算法。可以选择启用或禁用算法。如果禁用了某个算法,ASAM将不会使用该算法生成事件。对于像TCP Syn攻击这样的基本问题,可以设置三种不同的算法,比如:源TCP Syn攻击(源聚合)、目的TCP Syn攻击(目的聚合)、路由器TCP Syn攻击(路由器聚合)。
阈值设置
允许您为算法设置阈值。点击 "阈值设置" ,设置算法的阈值上限。高级设置选项为算法设置启发式阈值。这些更新的阈值用于生成事件。
告警配置文件
NetFlow Analyzer最新版本可以根据网络中发生的ASAM安全事件创建告警。您可以根据算法和问题为所需的标准创建告警。一旦超出阈值,您将收到一个告警。
默认情况下,没有为ASAM创建告警配置文件。单击右上角的添加按钮,可以为ASAM创建一个告警配置文件。
首先,根据您需要的告警选择算法条件,点击图标
选择或取消选择问题类别,然后点击下一步根据您需要的告警从下面的选项中选择条件并提供正确的值,点击下一步
源IP(入侵者)
目的IP(目标)
输入接口(经由路由器)
输出接口
路由器IP
源端口
目的端口
设置好之后,您可以提供告警配置文件名称,描述和保留告警个数,然后保存。
注意:保留告警个数选项是您想为一个配置文件保留的特定的告警个数。