ExtraHop System-Benutzerhandbuch
Über diesen Leitfaden
Dieses Handbuch enthält Informationen über das ExtraHop-System für die ExtraHop Discover- und Command-Appliances.
Dieses Handbuch soll Benutzern helfen, die Architektur und Funktionalität des ExtraHop-Systems zu verstehen und zu lernen, wie die im gesamten System verfügbaren Steuerelemente, Felder und Optionen bedient werden.
Zusätzliche Ressourcen sind über die folgenden Links verfügbar:
- Informationen zu den Administratormerkmalen und -funktionen der ExtraHop Discover- und Command-Appliances finden Sie in der ExtraHop Admin-UI-Leitfaden
- Sehen Sie sich die vollständige ExtraHop-Dokumentation an: https://docs.extrahop.com.
- Sehen Sie sich die Online-Schulungsmodule auf der ExtraHop-Website an: https://www.extrahop.com/go/training/.
Kontaktiere uns
Wir freuen uns über Ihr Feedback.
Bitte teilen Sie uns mit, wie wir dieses Dokument verbessern können. Senden Sie Ihre Kommentare oder Vorschläge an documentation@extrahop.com.
Website des Support-Portals: https://customer.extrahop.com/s/
Telefon:
- 877-333-9872 (UNS)
- +44 (0) 203 7016850 (EMEA)
- +65-31585513 (APAC)
Einführung in das ExtraHop-System
In diesem Handbuch wird erklärt, wie das ExtraHop-System Ihre Daten sammelt und analysiert und wie die Kernsystemkomponenten und -funktionen Ihnen helfen, auf Erkennungen, Metriken, Transaktionen und Pakete über den Verkehr in Ihrem Netzwerk zuzugreifen.
Video: | Sehen Sie sich die entsprechende Schulung an: ExtraHop Systemübersicht |
Plattform-Architektur
Das ExtraHop-System ist mit modularen Komponenten maßgeschneidert, die in Kombination Ihren individuellen Umweltanforderungen gerecht werden.
Module
ExtraHop-Module bieten eine Kombination aus Lösungen, Komponenten und Cloud-basierten Diensten, die für mehrere Anwendungsfälle einen Mehrwert bieten.
Module sind für Network Detection and Response (NDR) und Network Performance Monitoring (NPM) erhältlich, mit zusätzlichen Modulen für Intrusion Detection Systems (Intrusion Detection System) und Packet Forensics.
Administratoren können Benutzern rollenbasierten Zugriff auf das NDR-Modul, das NPM-Modul oder beides gewähren.
- Überwachung der Netzwerkleistung
- Mit dem NPM-Modul können privilegierte Benutzer die folgenden Arten von
Systemaufgaben ausführen.
- Benutzerdefinierte Dashboards anzeigen, erstellen und ändern. Benutzer können auch ein Dashboard für ihre Standard-Landingpage auswählen.
- Konfigurieren Sie Benachrichtigungen und Benachrichtigungen per E-Mail für diese Warnungen.
- Leistungserkennungen anzeigen.
- Netzwerkerkennung und Reaktion
- Mit dem NDR-Modul können privilegierte Benutzer die folgenden Arten von
Systemaufgaben ausführen.
- Sehen Sie sich die Seite mit der Sicherheitsübersicht an.
- Sehen Sie sich Sicherheitserkennungen an.
- Untersuchungen anzeigen, erstellen und ändern.
- Sehen Sie sich die Bedrohungsinformationen an.
Benutzer, denen Zugriff auf beide Module gewährt wurde, dürfen alle diese Aufgaben ausführen. Sehen Sie die Leitfaden zur Migration um mehr über die Migration von Benutzern zum rollenbasierten Zugriff mit diesen Modulen zu erfahren.
Diese zusätzlichen Module sind auch für bestimmte Anwendungsfälle verfügbar:
- Paket-Forensik
- Das Packet Forensics Modul kann entweder mit dem NDR- oder NPM-Modul kombiniert werden, um eine vollständige PCAP, Speicherung und Abruf zu ermöglichen.
- Systeme zur Erkennung von Eindringlingen
- Das IDS-Modul muss mit dem NDR-Modul kombiniert werden und bietet Erkennungen, die auf
branchenüblichen IDS-Signaturen basieren. Die meisten ExtraHop-Paketsensoren sind für
das IDS-Modul geeignet, sofern der Sensor für das NDR-Modul lizenziert ist.
Hinweis: Durchsatz kann beeinträchtigt werden, wenn mehr als ein Modul auf dem Sensor aktiviert ist.
Funktionen
Das ExtraHop-System bietet einen umfangreichen Funktionsumfang, mit dem Sie Erkennungen, Metriken, Aufzeichnungen und Pakete organisieren und analysieren können, die mit dem Verkehr in Ihrem Netzwerk verbunden sind.
Modul- und Systemzugriff werden bestimmt durch Benutzerrechte die von Ihrem ExtraHop-Administrator verwaltet werden.
Globale Funktionen
- Überblick über das Netzwerk
- Perimeter im Überblick
- Karten der Aktivitäten
- Active Directory Directory-Dashboard
- Generatives KI-Dashboard
- Geplante Dashboard-Berichte
- Erkennungsverfolgung
- Vermögenswerte
- Geomap
- Rekorde
- Pakete
- Integrationen (nur RevealX 360)
- API-Zugriff
- Prioritäten der Analyse
- Metrischer Katalog
- Bündel
- Trigger
- KI-Suchassistent (Vermögenswerte und Aufzeichnungen)
Funktionen des NDR-Moduls
- Überblick über die Sicherheit
- KI-Suchassistent
- Berichte über Sicherheitsoperationen
- Integrierte Sicherheits-Dashboards
- Sicherheitserkennungen
- MITRE karte
- Ermittlungen
- Optimierungsregeln für Sicherheitserkennungen
- Benachrichtigungsregeln für Sicherheitserkennungen und Bedrohungsinformationen
- Bedrohungsinformationen
- Bedrohungsinformationen
- Datei-Analyse
- Dateiextraktion (Paketforensik erforderlich)
Funktionen des NPM-Moduls
- Benutzerdefinierte Dashboards
- Integrierte Leistungs-Dashboards
- Leistungserkennungen
- Optimierungsregeln für Leistungserkennungen
- Benachrichtigungsregeln für Leistungserkennungen
- Warnmeldungen
Lösungen
- RevealX Enterprise
- RevealX Enterprise ist eine selbstverwaltete Lösung, die Folgendes umfasst Sensoren,
Konsolen, Paketspeicher, Plattenspeicher und Zugriff auf ExtraHop Cloud Services.
- Reveal X 360
- RevealX 360 ist eine Software-as-a-Service (SaaS) -Lösung, die umfasst Sensoren und Paketspeicher und beinhaltet einen Cloud-basierten Recordstore
mit Standard Investigation, einem Konsoleund Zugriff auf
ExtraHop Cloud Services.
Komponenten
Jede Lösung bietet eine Reihe von Komponenten, die auf Ihre Umgebungsanforderungen zugeschnitten sind: Sensoren, Paketspeicher, Plattenspeicher und ein Konsole für zentralisiertes Management und einheitliche Datenansichten.
- Paket-Sensoren
- Paketsensoren erfassen, speichern und analysieren Metrik Daten über Ihr Netzwerk. Je nach Sensorgröße sind mehrere Ebenen der Datenanalyse, -erfassung und -speicherung verfügbar. Diese Sensoren sind sowohl in NPM- als auch in NDR-Modulen als physische, virtuelle und cloudbasierte Optionen in Größen erhältlich, die auf Ihre Analyseanforderungen zugeschnitten sind.
- IDS-Sensoren
- Die Sensoren des Intrusion Detection Systems (Intrusion Detection System) sind in Paketsensoren integriert, um Erkennungen auf der Grundlage der branchenüblichen IDS-Signatur zu generieren. IDS-Sensoren werden als Zusatzmodul zum NDR-Modul eingesetzt. IDS-Sensoren sind eine physische Appliance mit einem zugehörigen Paketsensor und sind für RevealX 360- oder RevealX Enterprise-Umgebungen verfügbar.
- Durchflusssensoren
- Flusssensoren sind nur für RevealX 360 verfügbar und erfassen ausschließlich VPC-Flow-Logs, sodass Sie den von AWS-SaaS-Diensten verwalteten Datenverkehr sehen können.
- Plattenläden
- Recordstores lassen sich in Sensoren integrieren und Konsolen zu Transaktions- und Flow-Aufzeichnungen speichern das kann im gesamten ExtraHop-System abgefragt werden. Recordstores können als eigenständige physische oder virtuelle Optionen bereitgestellt und als Drittanbieter-Verbindungen zu Splunk oder BiqQuery von RevealX Enterprise unterstützt werden. RevealX 360 mit Standard Investigation bietet einen vollständig gehosteten, cloudbasierten Recordstore. Recordstores sind in Paketen mit NPM- und NDR-Modulen erhältlich.
- Paketshops
- Packetstores integrieren sich in Sensoren und Konsolen zur Verfügung stellen kontinuierliche PCAP und ausreichend Speicherplatz für eingehendere Untersuchungen und forensische Anforderungen. Packetstores können als eigenständige physische oder virtuelle Optionen bereitgestellt werden und sind als Zusatzmodul für Paketforensik sowohl für NPM- als auch für NDR-Module verfügbar.
- Konsolen
- Konsolen bieten eine browserbasierte Oberfläche, die eine Kommandozentrale für alle verbundenen Komponenten bietet. Konsolen können als eigenständige virtuelle oder cloudbasierte Optionen für RevealX Enterprise bereitgestellt werden und sind in RevealX 360 enthalten.
Die folgende Tabelle bietet einen Überblick über die für jede Lösung verfügbaren Optionen.
RevealX Enterprise | Reveal X 360 | |||
---|---|---|---|---|
Körperlich | Virtuell/Cloud | Körperlich | Virtuell/Cloud | |
Paketsensor | ||||
IDS-Sensor |
Intrusion Detection System 8280 Intrusion Detection System 980 |
Intrusion Detection System 8280 Intrusion Detection System 980 |
||
Durchflusssensor | N/A | N/A | N/A |
EFC 1291v AWS (PVC) EFC 1292v (NetFlow) |
Paketspeicher |
In Ultra-Abonnements enthalten |
|||
Plattenladen | EXA 5200 | N/A | In Premium- und Ultra-Abonnements enthalten | |
Konsole | N/A | N/A | In allen Abos enthalten |
ExtraHop Cloud-Dienste
Intelligente Sensoranalytik
Das ExtraHop-System bietet eine browserbasierte Oberfläche mit Tools, mit denen Sie Daten untersuchen und visualisieren, Ergebnisse sowohl in Top-down- als auch Bottom-up-Workflows untersuchen und anpassen können, wie Sie Ihre Netzwerkdaten sammeln, anzeigen und teilen. Fortgeschrittene Benutzer können sowohl administrative als auch Benutzeraufgaben über das automatisieren und skripten ExtraHop REST-API und passen Sie die Datenerfassung an über ExtraHop-Trigger-API , bei dem es sich um ein JavaScript-IDE-Tool handelt.
Das Herzstück des ExtraHop-Systems ist ein intelligentes Sensor das Metrikdaten über Ihr Netzwerk erfasst, speichert und analysiert — und je nach Bedarf verschiedene Ebenen der Datenanalyse, -erfassung und -speicherung bietet. Fühler sind mit Speicher ausgestattet, der ein Metrik-Lookback von 30 Tagen unterstützt. Beachten Sie, dass der tatsächliche Lookback je nach Verkehrsmustern, Transaktionsraten, der Anzahl der Endpunkte und der Anzahl der aktiven Protokolle variiert.
Konsolen dienen als Kommandozentrale mit Verbindungen zu mehreren Sensoren, Recordstores und Packetstores, die über Rechenzentren und Zweigstellen verteilt sind. Alle RevealX 360-Bereitstellungen enthalten eine Konsole; RevealX Enterprise kann virtuelle oder Cloud-Varianten bereitstellen.
Konsolen bieten einheitliche Datenansichten für alle Ihre Standorte und ermöglichen es Ihnen, bestimmte erweiterte Konfigurationen zu synchronisieren (z. B. löst aus und Warnungen) und Einstellungen (Tuning-Parameter, Analyse-Prioritäten, und Plattenläden).
In den folgenden Abschnitten werden die wichtigsten Funktionskomponenten des ExtraHop-Systems und deren Zusammenspiel beschrieben.
Sensortypen
Die Art von Sensor Die Art der Daten, die Sie bereitstellen, bestimmt die Art der Daten, die gesammelt, gespeichert und analysiert werden.
Daten verdrahten
Paketsensoren und Intrusion Detection System (IDS) -Sensoren beobachten unstrukturierte Pakete passiv über einen Port-Mirror oder greifen auf die Daten zu und speichern sie im lokalen Datenspeicher. Die Paketdaten werden einer Stream-Verarbeitung in Echtzeit unterzogen, bei der die Pakete in die folgenden Phasen in strukturierte wire data umgewandelt werden:
- TCP-Zustandsmaschinen werden neu erstellt, um eine vollständige Reassemblierung durchzuführen.
- Pakete werden gesammelt und in Flows gruppiert.
- Die strukturierten Daten werden auf folgende Weise analysiert und verarbeitet:
- Transaktionen werden identifiziert.
- Geräte werden automatisch erkannt und anhand ihrer Aktivität klassifiziert.
- Metriken werden generiert und mit Protokollen und Quellen verknüpft, und die Metrikdaten werden dann in Metrikzyklen aggregiert.
- Wenn neue Metriken generiert und gespeichert werden und der Datenspeicher voll wird, werden die ältesten vorhandenen Metriken gemäß dem First-in-First-Out-Prinzip (FIFO) überschrieben.
Flow-Daten
Ein Fluss ist eine Reihe von Paketen, die Teil einer einzelnen Verbindung zwischen zwei Endpunkten sind. Fluss Sensoren sind für RevealX 360 verfügbar und bieten eine kontinuierliche Netzwerktransparenz auf der Grundlage von VPC-Flow-Protokollen, um AWS-Umgebungen abzusichern. VPC-Flow-Logs ermöglichen es Ihnen , Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrer VPC zu erfassen. Sie werden als Flow-Log-Datensätze aufgezeichnet, bei denen es sich um Protokollereignisse handelt, die aus Feldern bestehen, die den Datenverkehrsfluss beschreiben. Diese Protokolldaten ermöglichen es Ihnen, mithilfe fortschrittlicher maschineller Learning-Erkennungen nach Bedrohungen zu suchen.
Flow-Logs werden aufgenommen, dedupliziert und dann in Flows gruppiert. Die Flows werden dann mit Daten (wie MAC-Adressen) angereichert, die von AWS EC2-APIs abgefragt werden.
Die Flüsse werden dann auf folgende Weise analysiert und verarbeitet:
- Geräte werden automatisch anhand ihrer an bestimmten Ports beobachteten Aktivität erkannt und klassifiziert.
- Grundlegende L2-L4-Metriken werden generiert und in Metrikzyklen aggregiert.
- ExFlow-Datensatztypen werden generiert und veröffentlicht.
Metriken, Datensätze und Pakete
ExtraHop-Sensoren erfassen und speichern mehrere Tiefen der Netzwerkinteraktion als Metriken. Metriken sind aggregierte Beobachtungen über Endpunktinteraktionen im Laufe der Zeit. Packetstores sammeln und speichern die zwischen zwei Endpunkten übertragenen Rohdaten als Pakete. Plattenläden Sammeln und Speichern von Datensätzen, bei denen es sich um strukturierte Informationen über Transaktions-, Nachrichten- und Netzwerkflüsse handelt.
Sie können all diese Interaktionen von einzelnen Sensoren aus anzeigen und abfragen oder von einem Konsole das ist mit einem komplexen Einsatz von Sensoren, Paketspeichern und Plattenläden verbunden.
Wenn ein Client beispielsweise eine HTTP-Anfrage an einen Server sendet, enthält jeder Datentyp Folgendes:
- Das Paket enthält die Rohdaten, die bei der Interaktion gesendet und empfangen wurden.
- Der zugehörige Datensatz enthält die mit einem Zeitstempel versehenen Metadaten über die Interaktion: den Zeitpunkt der Anfrage, die IP-Adresse des Client und Server, die angeforderte URI, etwaige Fehlermeldungen.
- Die zugehörige Metrik (HTTP-Anfragen) enthält eine Zusammenfassung dieser Interaktion mit anderen beobachteten Interaktionen während des angegebenen Zeitraums, z. B. wie viele Anfragen aufgetreten sind, wie viele dieser Anfragen erfolgreich waren, wie viele Clients Anfragen gesendet haben und wie viele Server die Anfragen erhalten haben.
Sowohl Metriken als auch Datensätze können angepasst werden, um spezifische Metadaten auf JavaScript-Basis zu extrahieren und zu speichern löst aus. Während das ExtraHop-System über 4.600 integrierte Metriken, vielleicht möchten Sie eine erstellen benutzerdefinierte Metrik, die 404-Fehler sammelt und aggregiert nur von kritischen Webservern. Und vielleicht möchten Sie Ihren Plattenspeicher nur maximieren, indem Sie Erfassung von Transaktionen, die über einen verdächtigen Port stattgefunden haben.
Erkennung von Geräten
Nachdem ein Gerät erkannt wurde, beginnt das ExtraHop-System mit der Erfassung von Metriken, die auf der für dieses Gerät konfigurierten Analyseebene basieren. Du kannst Finde ein Gerät nach ihrer MAC-Adresse, IP-Adresse oder ihrem Namen (z. B. ein aus dem DNS-Verkehr beobachteter Hostname, NetBIOS-Name, Cisco Discovery Protocol (CDP) -Name, DHCP-Name oder ein benutzerdefinierter Name, den Sie dem Gerät zugewiesen haben).
Das ExtraHop-System kann Geräte anhand ihrer MAC-Adresse (L2 Discovery) oder anhand ihrer IP-Adressen (L3 Discovery) erkennen und verfolgen. L2 Discovery bietet den Vorteil, dass Messwerte für ein Gerät auch dann verfolgt werden können, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Standardmäßig ist das ExtraHop-System für L2 Discovery konfiguriert.
IPv4- und IPv6-Adressen von Geräten werden anhand von ARP-Nachrichten (Address Resolution Protocol), NDP-Antworten ( Neighbor Discovery Protocol), lokalen Broadcasts oder lokalem Subnetz-Multicast-Verkehr ermittelt. Die MAC-Adresse und die IP-Adresse für Geräte werden in den Suchergebnissen im gesamten System zusammen mit den Geräteinformationen angezeigt.
L2-Entdeckung
In L2 Discovery erstellt das ExtraHop-System einen Geräteeintrag für jede lokale MAC-Adresse, die über das Kabel erkannt wurde. IP-Adressen werden der MAC-Adresse zugeordnet, aber Metriken werden zusammen mit der MAC-Adresse des Gerät gespeichert, auch wenn sich die IP-Adresse ändert.
IP-Adressen, die außerhalb von lokal überwachten Broadcast-Domänen beobachtet werden, werden auf einem der eingehenden Router in Ihrem Netzwerk aggregiert. Wenn ein Gerät eine DHCP-Anfrage über einen Router sendet, der als DHCP-Relay-Agent fungiert, erkennt das ExtraHop-System die IP-Adresse und ordnet sie der MAC-Adresse des Gerät zu. Wenn sich die IP-Adresse für das Gerät mit einer nachfolgenden Anfrage über den DHCP-Relay-Agenten ändert, aktualisiert das ExtraHop-System seine Zuordnung und verfolgt die Gerätemetriken weiterhin anhand der MAC-Adresse.
Sowohl die MAC-Adresse als auch die IP-Adresse werden für das entferntes Gerät erkannt.
Wenn kein DHCP-Relay-Agent konfiguriert ist, können Remote-Geräte anhand ihrer IP-Adressen erkannt werden über L3-Erkennung per Fernzugriff.
L3-Entdeckung
In L3 Discovery erstellt und verknüpft das ExtraHop-System zwei Einträge für jedes lokal erkannte Gerät: einen übergeordneten L2-Eintrag mit einer MAC-Adresse und einen untergeordneten L3-Eintrag mit IP-Adressen und der MAC-Adresse.
Hier sind einige wichtige Überlegungen zur L3-Entdeckung:
- Wenn auf einem Router Proxy-ARP aktiviert ist, erstellt das ExtraHop-System für jede IP-Adresse, für die der Router ARP-Anfragen beantwortet, ein L3-Gerät.
- Wenn Sie in Ihrem Netzwerk ein Proxy-ARP konfiguriert haben, erkennt das ExtraHop-System möglicherweise automatisch Remote-Geräte.
- L2-Metriken, die keinem bestimmten untergeordneten L3-Gerät zugeordnet werden können ( z. B. L2-Broadcast-Verkehr), werden dem L2-Elterngerät zugeordnet.
L3-Erkennung per Fernzugriff
Wenn das ExtraHop-System eine IP-Adresse erkennt, der kein ARP- oder NDP-Verkehr zugeordnet ist, wird dieses Gerät als entferntes Gerät betrachtet. Remote-Geräte werden nicht automatisch erkannt, aber Sie können einen Remote-IP-Adressbereich hinzufügen und Geräte erkennen, die sich außerhalb des lokalen Netzwerk befinden. Für jede IP-Adresse, die innerhalb des Remote-IP-Adressbereichs beobachtet wird, wird ein Geräteeintrag erstellt. (Remote-Geräte haben keine übergeordneten L2-Einträge.)
Für das entferntes Gerät wird nur die IP-Adresse erkannt.
Im Folgenden finden Sie einige Empfehlungen zur Konfiguration von Remote L3 Discovery:
- Ihre Client-Geräte befinden sich in einem Netzwerksegment, das nicht direkt angezapft wird.
- Ihr Unternehmen verfügt über eine Außenstelle ohne ein ExtraHop-System vor Ort, aber die Benutzer an diesem Standort greifen auf zentrale Rechenzentrumsressourcen zu, die direkt von einem ExtraHop-System überwacht werden. Die IP-Adressen am Remote-Standort können als Geräte erkannt werden.
- Ein Cloud-Dienst oder ein anderer externer Dienst hostet Ihre Remote-Anwendungen und hat einen bekannten IP-Adressbereich. Die Remote-Server innerhalb dieses IP-Adressbereichs können individuell verfolgt werden.
VPN-Entdeckung
VPN-Entdeckung ermöglicht es dem ExtraHop-System, die privaten RFC-1918-IP-Adressen, die VPN-Clients zugewiesen wurden, mit ihren öffentlichen, externen IP-Adressen zu korrelieren. Dieser erweiterte Einblick in den Nord-Süd-Verkehr reduziert Hindernisse bei der Untersuchung von Sicherheitsvorfällen und Leistungsproblemen , an denen externe VPN-Clients beteiligt sind. (Für diese Funktion ist ein VPN-Gateway erforderlich, das vom Benutzer manuell zugewiesen wird.)Software-Frame-Deduplizierung
Das ExtraHop-System entfernt standardmäßig doppelte L2- und L3-Frames und -Pakete, wenn Metriken aus Ihrer Netzwerkaktivität erfasst und aggregiert werden. Bei der L2-Deduplizierung werden identische Ethernet-Frames entfernt (bei denen der Ethernet-Header und das gesamte IP-Paket übereinstimmen müssen); bei der L3-Deduplizierung werden TCP- oder UDP-Pakete mit identischen IP-ID-Feldern im gleichen Fluss entfernt (wobei nur das IP-Paket übereinstimmen muss).
Das ExtraHop-System sucht nach Duplikaten und entfernt nur das unmittelbar vorhergehende Paket sowohl im Fluss (für L3-Deduplizierung) als auch global (für L2-Deduplizierung), wenn das Duplikat innerhalb von 1 Millisekunde nach dem ursprünglichen Paket eintrifft.
Standardmäßig wird dasselbe Paket, das verschiedene VLANs durchläuft, durch L3-Deduplizierung entfernt. Darüber hinaus müssen Pakete dieselbe Länge und dieselbe IP-ID haben, und TCP-Pakete müssen auch dieselbe TCP-Prüfsumme haben.
Eine L2-Duplizierung liegt normalerweise nur vor, wenn genau dasselbe Paket im Datenfeed zu sehen ist, was in der Regel auf ein Problem mit der Portspiegelung zurückzuführen ist. Die L3-Duplizierung ist häufig das Ergebnis der Spiegelung desselben Datenverkehrs über mehrere Schnittstellen desselben Routers, was sich als irrelevante TCP-Neuübertragungen im ExtraHop-System bemerkbar machen kann.
Das Systemzustand Die Seite enthält Diagramme, in denen doppelte L2- und L3-Pakete angezeigt werden, die vom ExtraHop-System entfernt wurden. Die Deduplizierung funktioniert standardmäßig über 10-Gbit/s-Ports und über 1-Gbit/s-Ports, wenn Software-RSS aktiviert ist. Die L3-Deduplizierung wird derzeit nur für IPv4 unterstützt, nicht für IPv6.
Erkennung von Bedrohungen
Das ExtraHop-System bietet sowohl maschinelles Lernen als auch regelbasiertes Erkennungen die aktive oder potenzielle Bedrohungen, Netzwerkschwächen, die anfällig für Exploits sind, und suboptimale Konfigurationen, die die Netzwerkleistung beeinträchtigen können, identifizieren.
Zusätzlich Diagramme, Visualisierungen, und Karten zur Geräteaktivität ermöglichen Sie die proaktive Bedrohungssuche.
Optimierung der Erkennung
Reduzieren Sie Geräusche und lassen Sie nur kritische Erkennungen erkennen indem Sie Details über Ihr Netzwerk hinzufügen, anhand derer bekannte Parameter wie vertrauenswürdige Domänen und Schwachstellenscanner identifiziert werden können.Darüber hinaus können Sie Optimierungsregeln erstellen, die bestimmte Erkennungen oder Teilnehmer verbergen und unerwünschte Geräusche weiter reduzieren.
Netzwerk-Lokalität
Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten) auf dem System als internes Gerät klassifiziert.Da einige Netzwerkumgebungen jedoch IP-Adressen enthalten, die nicht RFC1918 entsprechen, als Teil ihres internen Netzwerk, können Sie die interne oder externe Klassifizierung für IP-Adressen ändern von der Seite Network Locations.
Bedrohungsinformationen
Das ExtraHop-System umfasst kuratierte Bedrohungsinformationen Feeds von ExtraHop und Crowdstrike Falcon, die über die Cloud aktualisiert werden, sobald neue Bedrohungen entdeckt werden. Du kannst auch Bedrohungssammlungen hinzufügen von einem Drittanbieter.Bedrohungsinformationen
Bedrohungsinformationen stellen Informationen über unmittelbare Bedrohungen bereit , die auf Netzwerke abzielen. Aktuelle Erkennungen, gezielte Datensatz- und Paketabfragen sowie betroffene Geräte werden als Ausgangspunkt für Ihre Untersuchung angezeigt. Der Zugriff erfolgt über Überblick über die Sicherheit Seite.Integrationen
RevealX 360 bietet mehrere Drittanbieter-Integrationen, die das Erkennung- und Reaktionsmanagement verbessern und einen besseren Überblick über den Netzwerkverkehr bieten können.- Kortex XSOAR
- Exportieren Sie ExtraHop-Erkennungen, führen Sie Antwort-Playbooks aus und fragen Sie Gerätedetails in Cortex XSOAR ab.
- Crowdstrike
- Sehen Sie sich Details zu CrowdStrike-Geräten an und fügen Sie diese Geräte aus dem ExtraHop-System hinzu.
- CrowdStrike Falcon LogScale
- Geben Sie Filterkriterien für ExtraHop-Sicherheitserkennungen an und exportieren Sie die Ergebnisse nach CrowdStrike Falcon LogScale.
- Microsoft 365
- Importieren Sie Microsoft 365-Erkennungen und -Ereignisse, überwachen Sie Microsoft 365-Metriken in integrierten Dashboards und lassen Sie sich Details zu Risikoereignissen in Datensätzen anzeigen.
- Entschlüsselung des Microsoft-Protokolls
- Entschlüsseln Sie den Datenverkehr über Microsoft-Protokolle wie LDAP, RPC, SMB und WSMan, um die Erkennung von Sicherheitsangriffen in Ihrer Microsoft Windows-Umgebung zu verbessern.
- Q-Radar
- Exportieren und betrachten Sie ExtraHop-Erkennungen in Ihrem QRadar SIEM.
- Splunk
- Exportieren und zeigen Sie ExtraHop-Erkennungen in Ihrem Splunk SIEM an.
- Splunk SOAR
- Exportieren und zeigen Sie ExtraHop-Erkennungen, -Metriken und -Pakete in Ihrer Splunk SOAR-Lösung an.
Navigieren im ExtraHop-System
Das ExtraHop-System bietet Zugriff auf Netzwerkaktivitätsdaten und Erkennungsdetails über eine dynamische und hochgradig anpassbare Benutzeroberfläche.
Video: | Sehen Sie sich die entsprechende Schulung an: Vollständiger Lernpfad zu den UI-Grundlagen |
Unterstützte Browser
Die folgenden Browser sind mit allen ExtraHop-Systemen kompatibel. Wenden Sie die von Ihrem Browser bereitgestellten Barrierefreiheits- und Kompatibilitätsfunktionen an, um über technische Hilfsmittel auf Inhalte zuzugreifen.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Wichtig: | Internet Explorer 11 wird nicht mehr unterstützt. Wir empfehlen Ihnen, die neueste Version aller unterstützten Browser zu installieren. |
Layout und Menüs
Globale Navigationselemente befinden sich oben auf der Seite und enthalten Links zu den Hauptabschnitten des Systems. In jedem Abschnitt enthält der linke Bereich Links zu bestimmten Seiten oder Daten.
Die folgende Abbildung zeigt sowohl globale Navigationselemente als auch Navigationselemente im linken Bereich.
Hier sind Definitionen der einzelnen globalen Navigationselemente:
- Übersichtsseiten
- Auf Übersichtsseiten können Sie schnell den Umfang verdächtiger Aktivitäten in Ihrem
Netzwerk bewerten, sich über Protokollaktivitäten und Geräteverbindungen informieren und den ein-
und ausgehender Datenverkehr in Ihrem Netzwerk untersuchen.
- Sehen Sie sich das an Überblick über die Sicherheit für Informationen über Sicherheitserkennungen in Ihrem Netzwerk.
- Sehen Sie sich das an Überblick über das Netzwerk für Informationen über aktive Geräte in Ihrem Netzwerk.
- Sehen Sie sich das an Perimeter im Überblick für Informationen über den Verkehr, der in und aus Ihrem Netzwerk fließt.
- Armaturenbretter
- klicken Armaturenbretter um Dashboards zur Überwachung aller Aspekte Ihres Netzwerk oder Ihrer Anwendungen anzuzeigen, zu erstellen oder zu teilen. System-Dashboards geben Ihnen einen sofortigen Überblick über die Aktivitäten und potenziellen Sicherheitsbedrohungen in Ihrem Netzwerk.
- Warnmeldungen
- klicken Warnmeldungen um Informationen zu jeder Alarm anzuzeigen, die während des Zeitintervalls generiert wurde.
- Erkennungen
- Wenn dein Paket oder Fluss Sensor ist mit dem ExtraHop Machine Learning Service verbunden,
die Top-Level-Navigation zeigt die Erkennungen Speisekarte. Klicken Sie
Erkennungen um anhand Ihrer wire data identifizierte Erkennungen anzuzeigen.
Sie können auf gespeicherte Erkennungen zugreifen, auch wenn Ihre Sensor ist vom Machine
Learning Service getrennt.
Hinweis: Erkennungen durch maschinelles Lernen erfordern eine Verbindung zu ExtraHop Cloud Services . - Vermögenswerte
- Klicken Sie Vermögenswerte um alle Anwendung, Netzwerk oder Gerät zu finden, die vom ExtraHop-System erkannt wurden. Sie können Protokollmetriken für Ihre Ressourcen, aktiven Benutzer oder Netzwerkaktivitäten nach Protokoll anzeigen.
- Rekorde
- Wenn Ihr ExtraHop-System mit einem konfiguriert ist Recordstore, die Navigation auf oberster Ebene zeigt das Datensatzmenü. Klicken Sie Rekorde um alle gespeicherten Datensätze für das aktuelle Zeitintervall abzufragen. Datensätze sind strukturierte Informationen über Transaktionen, Nachrichten und Netzwerkflüsse.
- Pakete
- Wenn Ihr ExtraHop-System mit einem konfiguriert ist Packetstore, die Navigation auf oberster Ebene zeigt das Menü Pakete. Klicken Sie Pakete um alle gespeicherten Pakete für das aktuelle Zeitintervall abzufragen.
- Globales Suchfeld
- Geben Sie den Namen eines beliebigen Geräts, eines Hostnamens oder einer IP-Adresse, einer Anwendung oder eines Netzwerk ein, um eine Übereinstimmung auf Ihrem Gerät zu finden Sensor oder Konsole. Wenn Sie einen verbundenen Recordstore haben, können Sie nach gespeicherten Datensätzen suchen. Wenn Sie einen verbundenen Packetstore haben, können Sie nach Paketen suchen.
- Hilfesymbol
- Sehen Sie sich die Hilfeinformationen für die Seite an, die Sie gerade betrachten. Um auf die aktuellsten und umfassendsten ExtraHop-Dokumentationen zuzugreifen, besuchen Sie die ExtraHop Documentation Webseite.
- Symbol „Systemeinstellungen"
- Greifen Sie auf Systemkonfigurationsoptionen wie Trigger, Alarme, geplante Berichte und benutzerdefinierte Geräte zu und klicken Sie, um das ExtraHop-System und die Version anzuzeigen. Klicken Sie Hinweise zum System um eine Liste der Funktionen in der aktuellsten Version und aller Systemhinweise wie ablaufende Lizenzen oder verfügbare Firmware-Upgrades.
- Symbol für Benutzeroptionen
- Loggen Sie sich ein und melden Sie sich von Ihrem ab Sensor oder Konsole, ändere dein Passwort, wähle das Display-Thema, eine Sprache einstellenund greifen Sie auf API-Optionen zu.
- Fenster umschalten
- Reduzieren oder erweitern Sie den linken Bereich.
- Globaler Zeitselektor
- Ändern Sie das Zeitintervall um Anwendung- und Netzwerkaktivitäten anzuzeigen, die vom ExtraHop-System für einen bestimmten Zeitraum beobachtet wurden. Das globale Zeitintervall wird auf alle Metriken im System angewendet und ändert sich nicht, wenn Sie zu verschiedenen Seiten navigieren.
- Letzte Seiten
- Sehen Sie sich in einem Drop-down-Menü eine Liste der zuletzt besuchten Seiten an und treffen Sie eine Auswahl, um zu einer vorherigen Seite zurückzukehren. Wiederholte Seiten werden dedupliziert und komprimiert, um Platz zu sparen.
- Navigationspfad
- Sehen Sie sich an, wo Sie sich im System befinden, und klicken Sie auf einen Seitennamen im Pfad , um zu dieser Seite zurückzukehren.
- Dropdownmenü im Befehlsmenü
- Klicken Sie hier, um auf bestimmte Aktionen für die Seite zuzugreifen, die Sie gerade betrachten. Zum Beispiel, wenn Sie klicken Armaturenbretter oben auf der Seite das Befehlsmenü bietet Aktionen zum Ändern der Dashboard-Eigenschaften oder zum Erstellen eines neuen Dashboard.
Beginnen Sie mit der Datenanalyse
Beginnen Sie Ihre Reise zur Datenanalyse mit dem ExtraHop-System, indem Sie die unten aufgeführten grundlegenden Workflows befolgen. Sobald Sie sich mit dem ExtraHop-System vertraut gemacht haben, können Sie komplexere Aufgaben wie das Installieren von Bundles und das Erstellen von Triggern erledigen.
Im Folgenden finden Sie einige grundlegende Möglichkeiten, mit dem ExtraHop-System zu navigieren und mit diesem zu arbeiten, um Netzwerkaktivitäten zu analysieren.
- Überwachen Sie Kennzahlen und untersuchen Sie interessante Daten
- Gute Ausgangspunkte sind die Dashboard zur Netzwerkaktivität und Dashboard zur Netzwerkleistung, die
Ihnen Zusammenfassungen wichtiger Kennzahlen zur Anwendungsleistung in Ihrem Netzwerk zeigen. Wenn
Sie einen Anstieg des Datenverkehrs, Fehler oder Serververarbeitungszeit feststellen, können Sie mit den
Dashboard-Daten interagieren, um bohren Sie nach unten und ermitteln Sie, welche Clients, Server,
Methoden oder andere Faktoren zu der ungewöhnlichen Aktivität beigetragen haben.
Anschließend können Sie die Leistungsüberwachung oder Problembehandlung fortsetzen, indem Sie ein benutzerdefiniertes Dashboard erstellen um eine Reihe interessanter Metriken und Geräte zu verfolgen.
Schauen Sie sich Folgendes an Komplettlösungen um mehr über die Überwachung von Daten in Dashboards zu erfahren:
- Suchen Sie nach einem bestimmten Gerät und untersuchen Sie zugehörige Metriken und Transaktionen
- Wenn Sie einen langsamen Server untersuchen möchten, können Sie suche nach dem Server im ExtraHop-System anhand des Gerätenamens oder der IP-Adresse
und untersuchen Sie dann die Aktivität des Servers auf einer Protokollseite.
Gab es einen Anstieg an Antwortfehlern oder Anfragen? War die Serververarbeitungszeit zu hoch oder hat sich die
Netzwerklatenz auf die Datenübertragungsrate ausgewirkt? Klicken Sie auf der
Geräteseite auf verschiedene Protokolle, um weitere vom ExtraHop-System gesammelte Metrik Daten zu untersuchen. Aufschlüsselung nach
Peer-IP-Adressen um zu sehen, mit welchen Clients oder Anwendungen der Server gesprochen hat.
Wenn Ihr ExtraHop-System mit einem verbunden ist Recordstore, Sie können ganze Transaktionen untersuchen, an denen der Server beteiligt war Erstellen einer Datensatzabfrage.
Schauen Sie sich Folgendes an Komplettlösungen um mehr über das Erkunden von Metriken und Datensätzen zu erfahren:
- Verschaffen Sie sich einen Überblick über Änderungen an Ihrem Netzwerk, indem Sie nach Protokollaktivitäten suchen
- Sie können Ihr Netzwerk von oben nach unten betrachten, indem Sie sich die integrierten Protokollgruppen ansehen. Eine
Protokollgruppe ist eine Sammlung von Geräten, die vom
ExtraHop-System auf der Grundlage des über die Leitung beobachteten Protokollverkehrs automatisch gruppiert werden. Sie können beispielsweise
neue oder stillgelegte Server finden, die aktiv über ein Protokoll kommunizieren, indem Sie eine
Aktivitätskarte erstellen.
Wenn Sie eine Sammlung von Geräten finden, die Sie weiter überwachen möchten, können Sie ein Geräte-Tag hinzufügen oder benutzerdefinierter Gerätename damit diese Geräte im ExtraHop-System leichter auffindbar sind. Du kannst auch eine benutzerdefinierte Gerätegruppe erstellen oder ein benutzerdefiniertes Dashboard um die Aktivität von Gerätegruppe zu überwachen.
Erweiterte Workflows zur Anpassung Ihres ExtraHop-Systems
Nachdem Sie sich mit den grundlegenden Arbeitsabläufen vertraut gemacht haben, können Sie Ihr ExtraHop-System anpassen, indem Sie Warnmeldungen einrichten, benutzerdefinierte Metriken erstellen oder Bundles installieren.
- Benachrichtigungen einrichten
- Warnmeldungen Verfolgen Sie bestimmte Messwerte, um Sie über Verkehrsabweichungen zu informieren, die auf ein Problem mit einem Netzwerkgerät hinweisen könnten. Einen Schwellenwertalarm konfigurieren um Sie zu benachrichtigen, wenn eine überwachte Metrik einen definierten Wert überschreitet. Konfigurieren Sie eine Trendwarnung um Sie zu benachrichtigen, wenn eine überwachte Metrik von den normalen, vom System beobachteten Trends abweicht.
- Erstellen Sie einen Auslöser, um benutzerdefinierte Metriken und Anwendungen zu erstellen
-
Auslöser sind benutzerdefinierte Skripts
, die bei einem vordefinierten Ereignis eine Aktion ausführen. Trigger müssen geplant werden, um sicherzustellen, dass
ein Auslöser die Systemleistung nicht negativ beeinflusst.
Schauen Sie sich Folgendes an Komplettlösungen um mehr über das Erkunden von Metriken und Datensätzen zu erfahren:
Zeitintervalle
Der Zeitselektor wird in der oberen linken Ecke der Navigationsleiste angezeigt und steuert das globale Zeitintervall für Metriken und Erkennungen, die im ExtraHop-System angezeigt werden.
Hier sind einige Überlegungen zu Zeitintervallen:
- Mit der Zeitselektor können Sie ein relatives globales Zeitintervall auswählen, z. B. den letzten Tag, oder einen benutzerdefinierten Zeitraum festlegen.
- Mit dem Zeitselektor können Sie ändere deine angezeigte Zeitzone manuell.
- Das gewählte Zeitintervall bleibt unverändert, unabhängig davon, ob Sie Metriken in einem Dashboard anzeigen oder Entdeckungen untersuchen, bis Sie das Intervall ändern oder zu einer Seite mit einem voreingestellten Zeitintervall navigieren, z. B. Erkennungsdetails oder Bedrohungsinformationen.
- Wenn beim Abmelden ein relatives Zeitintervall ausgewählt wird, verwendet das ExtraHop-System standardmäßig dieses relative Zeitintervall, wenn Sie sich wieder anmelden.
- Wenn beim Abmelden ein benutzerdefinierter Zeitraum ausgewählt wird, verwendet das ExtraHop-System standardmäßig das letzte relative Zeitintervall, das Sie während der vorherigen Anmeldesitzung angesehen haben.
- Sie können auf die fünf letzten eindeutigen Zeitintervalle zugreifen über Geschichte Registerkarte der Zeitselektor.
- Das Zeitintervall ist am Ende der URL in Ihrem Browser enthalten. Um einen Link mit anderen zu teilen, der ein bestimmtes Zeitintervall einhält, kopieren Sie die gesamte URL. Um nach dem Abmelden vom ExtraHop-System ein bestimmtes Zeitintervall einzuhalten, setzen Sie ein Lesezeichen für die URL.
Ändern Sie das Zeitintervall
- Klicken Sie auf das Zeitintervall in der oberen linken Ecke der Seite (zum Beispiel Letzte 30 Minuten).
-
Wählen Sie aus den folgenden Intervall-Optionen:
- Ein voreingestelltes Zeitintervall (z. B. Letzte 30 Minuten, Letzte 6 Stunden, Letzter Tag, oder Letzte Woche).
- Eine benutzerdefinierte Zeiteinheit.
- Ein benutzerdefinierter Zeitraum. Klicken Sie auf einen Tag, um das Startdatum für den Bereich anzugeben. Mit einem Klick wird ein einzelner Tag angegeben. Wenn Sie auf einen anderen Tag klicken, wird das Enddatum für den Bereich angegeben.
- Metrik Deltas vergleichen aus zwei verschiedenen Zeitintervallen.
- klicken Speichern.
Hinweis: | Sie können das Zeitintervall auch über den Geschichte Klicken Sie auf die Registerkarte, indem Sie aus bis zu fünf aktuellen Zeitintervallen auswählen, die in einer vorherigen Anmeldesitzung festgelegt wurden. |
Ändern Sie die angezeigte Zeitzone
Mit dem Zeitselektor können Sie die im ExtraHop-System angezeigte Zeitzone ändern. Dies bietet mehr Flexibilität bei der Anzeige zeitbasierter Daten wie Metriken, Erkennungen und Aufzeichnungen in Umgebungen, die sich über mehrere Zeitzonen erstrecken.
Hier sind einige Überlegungen zur Anzeige von Zeiteinstellungen in RevealX 360 :
- Die Änderung Ihrer angezeigten Zeitzone wirkt sich auf die Datums- und Zeitstempel aus, die Sie im ExtraHop-System sehen, gilt jedoch nicht für geplante Berichte oder exportierte Dashboards.
- Wenn Sie Ihre Zeitzone ändern, wird die in den Administrationseinstellungen konfigurierte Standardanzeigezeit überschrieben. siehe Systemzeit (für ExtraHop Performance und RevealX Enterprise) oder Konfigurieren Sie die Systemzeit (für RevealX 360) für weitere Informationen.
- <extrahop-hostname-or-IP-address>Loggen Sie sich über https://in das ExtraHop-System ein.
- Klicken Sie in der oberen linken Ecke der Seite auf die Zeitselektor.
- Klicken Sie Zeitzone.
-
Wählen Sie eine der folgenden Optionen aus:
- Uhrzeit des Browsers
- Systemzeit
- UTC
- Zeitzone angeben und wählen Sie dann eine Zeitzone aus der Dropdownliste aus.
- Klicken Sie Speichern.
Die neuesten Daten für ein Zeitintervall anzeigen
Seiten, auf denen überwachte Metrikdaten angezeigt werden, wie Dashboards und Protokollseiten, werden kontinuierlich aktualisiert, um die neuesten Daten für das ausgewählte Zeitintervall anzuzeigen.
Seiten mit detaillierten Metriken, Erkennungen, Datensätze, Pakete und Warnungen werden auf Anfrage neu geladen,
indem Sie auf das Symbol „Daten aktualisieren" in der oberen linken Ecke der Seite klicken.
Granularität der Diagrammdaten ändern
Das ExtraHop-System speichert Metriken in Zeitabständen von 30 Sekunden. Metrische Daten werden dann aggregiert oder in weitere Zeiträume von fünf Minuten und einer Stunde zusammengefasst. Durch das Aggregieren von Daten kann die Anzahl der in einem Zeitreihendiagramm gerenderten Datenpunkte begrenzt werden, sodass die Granularität der Daten einfacher zu interpretieren ist. Das von Ihnen gewählte Zeitintervall bestimmt die beste Aggregation oder Zusammenfassung von Daten, die für den betrachteten Zeitraum in einem Diagramm angezeigt werden sollen.
Wenn Sie beispielsweise ein großes Zeitintervall auswählen, z. B. eine Woche, werden die Metrikdaten zu einstündigen Rollups zusammengefasst. Auf der X-Achse eines Liniendiagramm sehen Sie einen Datenpunkt für jede Stunde statt eines Datenpunkts für alle 30 Sekunden. Wenn Sie die Granularität erhöhen möchten, können Sie ein Diagramm vergrößern oder das Zeitintervall ändern.
Das ExtraHop-System umfasst integrierte hochpräzise Metriken mit 1-Sekunden-Rollups, bei denen es sich um die Netzwerk-Bytes- und Netzwerk-Paket-Metriken handelt. Diese Metriken sind mit einem Gerät oder einer Netzwerkerfassungsquelle verknüpft. Weitere Informationen zum Anzeigen dieser Metriken in einem Diagramm finden Sie unter Zeigen Sie die maximale Rate in einem Diagramm an.
Das ExtraHop-System enthält auch integrierte Metriken zur Identifizierung der einzelnen Millisekunde des Datenverkehrs mit dem höchsten Verkehrsaufkommen innerhalb von 1 Sekunde. Diese Metriken, d. h. Maximale Netzwerk-Bytes pro Millisekunde und Maximale Anzahl an Paketen pro Millisekunde, sind mit einer Netzwerk-Capture-Quelle verknüpft und helfen Ihnen dabei, Microbursts zu erkennen. Microbursts sind schnelle Datenverkehrsschübe, die innerhalb von Millisekunden auftreten .
Die folgende Tabelle enthält Informationen darüber, wie Daten basierend auf dem Zeitintervall aggregiert werden.
Zeitintervall | Aggregations-Rollup (falls verfügbar) | Hinweise |
---|---|---|
Weniger als sechs Minuten | 1 Sekunde | Ein 1-Sekunden-Rollup ist nur für benutzerdefinierte Metriken und für die folgenden
integrierten Metriken verfügbar:
|
120 Minuten oder weniger | 30 Sekunden | Wenn kein 30-Sekunden-Roll-Up verfügbar ist, wird ein 5-minütiges oder 60-minütiges Roll-Up angezeigt. |
Zwischen 121 Minuten und 24 Stunden | 5 Minuten | Wenn das 5-minütige Roll-Up nicht verfügbar ist, wird ein 60-minütiges Roll-Up angezeigt. |
Mehr als 24 Stunden | 60 Minuten | — |
Hinweis: | Wenn Sie über einen erweiterten Datenspeicher verfügen, der für 24-Stunden-Metriken konfiguriert ist, zeigt ein bestimmtes Zeitintervall von 30 Tagen oder länger einen 24-Stunden-Aggregations-Rollup an. |
Vergrößern Sie einen benutzerdefinierten Zeitraum
Sie können über ein Diagramm klicken und ziehen, um interessante Metrikaktivitäten zu vergrößern. Dieser benutzerdefinierte Zeitraum wird dann auf das gesamte ExtraHop-System angewendet. Dies ist nützlich, um andere Metrik Aktivitäten zu untersuchen, die gleichzeitig aufgetreten sind.
Das Vergrößern eines Zeitbereichs ist nur in Diagrammen mit einer X- und Y-Achse verfügbar, z. B. in Linien-, Flächen-, Candlestick- und Histogrammdiagrammen.
Frieren Sie das Zeitintervall ein, um einen benutzerdefinierten Zeitraum zu erstellen
Wenn Sie interessante Daten auf einer Aktivitätsdiagramm, einem Dashboard oder einer Protokollseite sehen, können Sie das Zeitintervall einfrieren, um sofort einen benutzerdefinierten Zeitraum zu erstellen. Das Einfrieren des Zeitintervalls ist nützlich, um Links zu erstellen, die Sie mit anderen teilen können, und um verwandte Metrikaktivitäten zu untersuchen, die gleichzeitig aufgetreten sind.
Übersichtsseiten
Auf Übersichtsseiten können Sie schnell den Umfang verdächtiger Aktivitäten in Ihrem Netzwerk einschätzen, sich über Protokollaktivitäten und Geräteverbindungen informieren und eingehenden und ausgehender Datenverkehr in Ihrem Netzwerk untersuchen.
- Sehen Sie sich das an Überblick über die Sicherheit für Informationen über Sicherheitserkennungen in Ihrem Netzwerk.
- Sehen Sie sich das an Überblick über das Netzwerk für Informationen über aktive Geräte in Ihrem Netzwerk.
- Sehen Sie sich das an Überblick über den Perimeter für Informationen über den Verkehr, der in und aus Ihrem Netzwerk fließt.
Überblick über die Sicherheit
In der Sicherheitsübersicht werden mehrere Diagramme angezeigt, in denen Daten zu Erkennungen aus unterschiedlichen Perspektiven dargestellt werden. Mithilfe dieser Diagramme können Sie den Umfang der Sicherheitsrisiken einschätzen, Untersuchungen zu ungewöhnlichen Aktivitäten einleiten und Sicherheitsbedrohungen eindämmen. Erkennungen werden je nach Metrik alle 30 Sekunden oder jede Stunde analysiert.
Video: | Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter |
- Für Triage empfohlen
- Dieses Diagramm zeigt Ihnen eine Liste von Erkennungen, die ExtraHop auf der Grundlage einer kontextuellen Analyse Ihrer Umgebung empfiehlt. Klicken Sie auf eine Erkennung, um die Erkennungskarte in Triage-Ansicht auf der Seite „Erkennungen".
- Ermittlungen
- Dieses Diagramm zeigt die Anzahl der Untersuchungen, die während des ausgewählten Zeitintervalls erstellt wurden. Die Zählung beinhaltet Untersuchungen, die von ExtraHop empfohlen oder von Benutzern erstellt wurden. Klicken Sie auf das Diagramm, um das zu sehen Tabelle der Untersuchungen auf der Seite „ Erkennungen".
- Erkennungen nach Angriffskategorie
- Dieses Diagramm bietet einen schnellen Überblick über die Arten von Angriffen, für die Ihr Netzwerk möglicherweise gefährdet ist, und zeigt die Anzahl der Erkennungen an, die in jeder Kategorie während des ausgewählten Zeitintervalls aufgetreten sind. Die Aktionen bei objektiven Erkennungen sind nach Typ aufgelistet, damit Sie die schwerwiegendsten Erkennungen priorisieren können. Klicken Sie auf eine beliebige Zahl, um eine gefilterte Ansicht der Erkennungen zu öffnen, die mit der ausgewählten Zahl übereinstimmen Kategorie des Angriffs.
- Häufige Straftäter
- Dieses Diagramm zeigt die 20 Geräte oder Endgeräte, die bei einer oder mehreren
Erkennungen als Straftäter fungierten. Das ExtraHop-System berücksichtigt die Anzahl der verschiedenen Angriffskategorien und
Erkennungstypen sowie die Risikobewertung der mit jedem Gerät verbundenen Erkennungen, um
festzustellen, welche Geräte als häufige Straftäter gelten.
Die Größe des Geräterollensymbols gibt die Anzahl der verschiedenen Erkennungstypen an, und die Position des Symbols gibt die Anzahl der verschiedenen Angriffskategorien an. Klicken Sie auf ein Rollensymbol, um weitere Informationen zu den Angriffskategorien und Erkennungstypen anzuzeigen, die mit dem Gerät verknüpft sind. Klicken Sie auf den Gerätenamen, um ihn anzuzeigen Eigenschaften Gerät.
Erfahren Sie mehr über Netzwerksicherheit mit dem Dashboard zur Erhöhung der Sicherheit.
Bedrohungsinformationen
Threat Briefings bieten in der Cloud aktualisierte Hinweise zu branchenweiten Sicherheitsereignissen. Erfahren Sie mehr über Bedrohungsinformationen.
Standortauswahl und Bericht über Sicherheitsoperationen
Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Security Operations Report erstellen, um die Ergebnisse zu teilen.
- Seitenauswahl
- Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
- (nur NDR-Modul) Sicherheitsbetriebsbericht
- Der Security Operations Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. klicken Bericht generieren um das Zeitintervall und die Standorte anzugeben, die in den Bericht aufgenommen werden sollen, klicken Sie dann auf Generieren um eine PDF-Datei zu erstellen. klicken Bericht planen um einen Security Operations Report zu erstellen, der per E-Mail an die Empfänger gesendet wird gemäß die konfigurierte Frequenz.
Überblick über das Netzwerk
In der Netzwerkübersicht werden eine Übersicht der Funde in Ihrem Netzwerk sowie eine Liste der Straftäter nach Anzahl der Entdeckungen angezeigt. Die Netzwerkübersicht aktualisiert die Erkennungskarte und die Täterdaten jede Minute.
Video: | Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter |
- Erkennungskategorie umschalten
- Sie können zwischen Ansichten wechseln, die angezeigt werden Alle Angriffserkennungen oder Alle Leistungserkennungen, abhängig von den aktivierten Modulen und Ihrem Modulzugriff.
Straftäter bei Fahndungen
Diese Liste zeigt Straftäter, sortiert nach der Anzahl der Erkennungen, bei denen das Gerät oder der Endpunkt als Täter gehandelt hat.
- Klicken Sie in der Liste auf ein Gerät oder einen Endpunkt, um die zugehörigen Erkennungen in der Erkennungsübersicht hervorzuheben und die Geräteeigenschaften anzuzeigen und auf Links zuzugreifen Endpunktsuche Websites, Erkennungen, Aufzeichnungen oder Pakete.
- Abhängig von der ausgewählten Erkennungskategorie und Ihrem Systemmodul klicken Sie auf Alle Angriffserkennungen anzeigen oder Alle Leistungserkennungen anzeigen Link um zum Erkennungen Seite, gefiltert nach Erkennungskategorie und gruppiert nach Quelle.
- Wählen Sie den Erkennungen ohne Opfer anzeigen Kontrollkästchen, um Erkennungen anzuzeigen, an denen kein beteiligtes Opfer Teilnehmer ist. Beispielsweise schließen SSL/TLS-Scans und bestimmte Warnmeldungen bei verdächtigen Aktivitäten nur einen Täter ein.
Erkennungskarte
In der Erkennungsübersicht werden der Täter und das Opfer für alle Erkennungen angezeigt, die im Umschalter für die Erkennungskategorie ausgewählt wurden.
Kreise werden rot hervorgehoben, wenn das Gerät während des ausgewählten Zeitintervalls bei mindestens einer Erkennung als Täter aufgetreten ist, und blaugrün hervorgehoben, wenn es sich bei dem Gerät um ein Opfer handelt.
Die Teilnehmer sind durch Leitungen miteinander verbunden, die mit dem Erkennungstyp oder der Anzahl der mit der Verbindung verbundenen Erkennungen gekennzeichnet sind, und Geräterollen werden durch ein Symbol dargestellt.
- Klicken Sie auf einen Kreis, um die Geräteeigenschaften anzuzeigen und auf Links zuzugreifen Endpunktsuche Websites, Erkennungen, Aufzeichnungen oder Pakete.
- Klicken Sie auf eine Verbindung, um die zugehörigen Erkennungen anzuzeigen.
- Bewegen Sie den Mauszeiger über einen Kreis, um Gerätebeschriftungen zu sehen und Geräteanschlüsse hervorzuheben.
Erfahre mehr über Erkennungen.
Standortauswahl und Bericht über Sicherheitsoperationen
Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Security Operations Report erstellen, um die Ergebnisse zu teilen.
- Seitenauswahl
- Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
- (nur NDR-Modul) Sicherheitsbetriebsbericht
- Der Security Operations Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. klicken Bericht generieren um das Zeitintervall und die Standorte anzugeben, die in den Bericht aufgenommen werden sollen, klicken Sie dann auf Generieren um eine PDF-Datei zu erstellen. klicken Bericht planen um einen Security Operations Report zu erstellen, der per E-Mail an die Empfänger gesendet wird gemäß die konfigurierte Frequenz.
Perimeter im Überblick
In der Perimeterübersicht werden Diagramme und interaktive Visualisierungen angezeigt, mit denen Sie den Datenverkehr überwachen können, der über Verbindungen mit externen Endpunkten in Ihr Netzwerk ein- und ausströmt.
Video: | Sehen Sie sich die entsprechende Schulung an: Überblick über Sicherheit, Netzwerk und Perimeter |
Perimeterverkehr
Die Perimeter-Traffic-Diagramme bieten einen Überblick über den Geräteverkehr mit externen Verbindungen.
- Eingehender Verkehr
- Diese Anzahl zeigt die Gesamtmenge des eingehender Datenverkehr während des ausgewählten Zeitintervalls. Klicken Sie auf die Anzahl, um die Geschwindigkeit anzuzeigen, mit der Daten von externen Endpunkten eintreffen, und eine Aufschlüsselung nach Standort oder Konversation.
- Ausgehender Verkehr
- Diese Anzahl zeigt die Gesamtmenge des ausgehender Datenverkehr während des ausgewählten Zeitintervalls. Klicken Sie auf die Anzahl, um die Rate anzuzeigen, mit der Daten an externe Endpunkte übertragen werden, und eine Aufschlüsselung nach Standort oder Konversation.
- Geräte, die eingehende Verbindungen akzeptieren
- Diese Anzahl zeigt die Anzahl der Geräte an, die während des ausgewählten Zeitintervalls eingehende Verbindungen von externen Endpunkten akzeptiert haben. Klicken Sie auf die Anzahl, um eine Übersichtsseite für Gerätegruppe zu öffnen, auf der eine Liste der Geräte, Verkehrsdaten und Protokollaktivitäten angezeigt wird.
- Eingehende Verbindungen
- Diese Anzahl zeigt die Anzahl der eingehenden Verbindungen an, die von externen Endpunkten initiiert wurden. Klicken Sie auf die Anzahl, um eine detaillierte Ansicht dieser Konversationen zu öffnen.
- Verdächtige eingehende Verbindungen
- Dieses Zähldiagramm zeigt die Anzahl der Verbindungen an, die von verdächtigen externen Endpunkten initiiert wurden. ExtraHop identifiziert verdächtige Endpunkte durch Bedrohungsinformationen Daten. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.
- Verdächtige ausgehende Verbindungen
- Diese Anzahl zeigt die Anzahl der Verbindungen an, die interne Endpunkte mit verdächtigen externen Endpunkten initiiert haben. ExtraHop identifiziert verdächtige Endpunkte durch Bedrohungsinformationen Daten. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.
- Ungewöhnliche Verbindungen
- (Nur RevealX 360) Diese Anzahl zeigt die Anzahl der ausgehenden Verbindungen von Ihrem Netzwerk zu IP-Adressen an, die normalerweise nicht besucht werden oder in der Vergangenheit nicht besucht wurden. Klicken Sie auf das Diagramm, um eine gefilterte Ansicht dieser Konversationen zu öffnen.
Halo-Visualisierung
Die Halo-Visualisierung bietet zwei Ansichten Ihrer Netzwerkverbindungen zu externen Endpunkten: Cloud Services und Large Uploads.
Externe Endpunkte erscheinen auf dem äußeren Ring mit Verbindungen zu internen Endpunkten und erscheinen als Kreise in der Mitte der Visualisierung. Diese Visualisierungen ermöglichen es Ihnen, Ihre Prioritäten zu setzen Untersuchung für Verbindungen, bei denen ein hohes Risiko erkannt wurde, oder für hochwertige Geräte.
Um die Identifizierung von Endpunkten mit hohem Traffic zu erleichtern, nehmen innere und äußere Ringe mit steigendem Verkehrsaufkommen an Größe zu. In einigen Fällen kann die Größe der inneren Kreise und der äußeren Ringsegmente aus Gründen der Lesbarkeit erhöht werden. Klicken Sie auf einen Endpunkt, um genaue Verkehrsinformationen anzuzeigen.
Klicken Sie Cloud-Dienste um Verbindungen zwischen internen Endpunkten und Cloud-Dienstanbietern anzuzeigen. Cloud-Dienstanbieter und die Menge der gesendeten oder empfangenen Daten werden im Informationsfeld auf der rechten Seite angezeigt. Sie können zwischen Ansichten wechseln , die angezeigt werden Ausgehende Bytes an Anbieter und Eingehende Byte zu Ihrem Netzwerk.
Klicken Sie Große Uploads um Verbindungen zwischen internen und externen Endpunkten anzuzeigen, bei denen über 1 MB an Daten in einer einzigen Übertragung von Ihrem Netzwerk zu einem Externer Endpunkt übertragen wurden. Externe Endpunkte und die Menge der hochgeladenen Daten werden im Informationsfeld auf der rechten Seite angezeigt.
- Zeigen Sie mit der Maus auf Endpunkte oder Verbindungen, um die verfügbaren Hostnamen und IP-Adressen anzuzeigen.
- Zeigen Sie mit der Maus auf Endpunkte oder Verbindungen, um die entsprechenden Listenelemente auf der rechten Seite hervorzuheben. Zeigen Sie ebenfalls mit der Maus auf Listenelemente, um die entsprechenden Endpunkte und Verbindungen in der Halo-Visualisierung hervorzuheben.
- Klicken Sie in der Halo-Visualisierung auf Endpunkte oder Verbindungen, um den Fokus zu behalten und auf der rechten Seite präzise Verkehrsinformationen und Links für Ihre Auswahl anzuzeigen.
- Klicken Sie in der Halo-Visualisierung oder -Liste auf einen Externer Endpunkt, um die Gesamtmenge des eingehenden oder ausgehender Datenverkehr anzuzeigen, der mit dem Endpunkt und den verbundenen internen Endpunkten verknüpft ist .
- Klicken Sie in der Liste auf einen internen Endpunkt, um Geräteeigenschaften anzuzeigen und auf Links zu zugehörigen Informationen wie Erkennungen, Aufzeichnungen oder Paketen zuzugreifen.
- Klicken Sie in der Liste auf die Lupe neben einem Endpunkt, um die mit dem Endpunkt verknüpften Datensätze anzuzeigen.
- Wechseln Sie am Ende der Liste für Cloud-Dienste zwischen Ansichten, die Bytes Out und Bytes In für Ihr Netzwerk anzeigen.
- Passen Sie das Zeitintervall an, um Verbindungen zu bestimmten Zeiten anzuzeigen, z. B. unerwartete Aktivitäten am Abend oder am Wochenende.
Kartenvisualisierung
Die Registerkarte Geolocation bietet eine Weltkarte des Verkehrs zwischen internen Endpunkten und geografischen Standorten, die auf der Karte in einer kontrastierenden Farbe hervorgehoben sind. Die Intensität der kontrastierenden Farbe steht für das Verkehrsaufkommen an dieser Geolokation. Auf der Karte dargestellte Geolokationen werden auch im rechten Bereich aufgeführt.
Klicken Sie auf eine hervorgehobene Geolokalisierung auf der Karte oder der Liste, um die Gesamtmenge des eingehenden oder ausgehender Datenverkehr im Zusammenhang mit verbundenen internen Endpunkten anzuzeigen.
Hier sind einige Möglichkeiten, wie Sie mit den Geolokalisierungsdetails und der Kartenvisualisierung interagieren können:
- Klicken Sie in der Liste auf einen internen Endpunkt, um Geräteeigenschaften anzuzeigen und auf Links zu zugehörigen Informationen wie Erkennungen, Aufzeichnungen oder Paketen zuzugreifen.
- Klicken Sie auf die Lupe neben einem Endpunkt in der Liste, um die mit dem Endpunkt verknüpften Datensätze anzuzeigen.
- Wechseln Sie am Ende der Liste zwischen Ansichten, in denen Bytes Out und Bytes In to your Netzwerk angezeigt werden.
- Klicken Sie auf die Steuerelemente in der unteren rechten Ecke der Karte, um die Karte zu vergrößern und zu verkleinern oder die Karte an die ursprüngliche Position zurückzubringen, oder Sie können das Mausrad drehen.
- Klicken und ziehen Sie mit der Maus auf die Karte oder drücken Sie die Pfeiltasten auf Ihrer Tastatur, um die Kartenansicht neu zu positionieren.
- Passen Sie das Zeitintervall an, um den Verkehr zu bestimmten Zeiten anzuzeigen, z. B. unerwartete Aktivitäten am Abend oder am Wochenende.
Standortauswahl und Bericht über Sicherheitsoperationen
Auf dieser Seite können Sie die Websites angeben, von denen Sie Daten anzeigen möchten. Benutzer mit Zugriff auf das NDR-Modul können einen Security Operations Report erstellen, um die Ergebnisse zu teilen.
- Seitenauswahl
- Klicken Sie oben auf der Seite auf die Seitenauswahl, um Daten für eine oder mehrere Websites in Ihrer Umgebung anzuzeigen. Sehen Sie sich den kombinierten Traffic in Ihren Netzwerken an oder konzentrieren Sie sich auf einen einzelnen Standort, um Gerätedaten schnell zu finden. Die Seitenauswahl zeigt an, wann alle oder einige Websites offline sind. Da Daten von Offline-Websites nicht verfügbar sind, werden in den Diagrammen und Geräteseiten, die Offlineseiten zugeordnet sind, möglicherweise keine oder nur begrenzte Daten angezeigt. Der Site-Selector ist nur von einem verfügbar Konsole.
- (nur NDR-Modul) Sicherheitsbetriebsbericht
- Der Security Operations Report enthält eine Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk. klicken Bericht generieren um das Zeitintervall und die Standorte anzugeben, die in den Bericht aufgenommen werden sollen, klicken Sie dann auf Generieren um eine PDF-Datei zu erstellen. klicken Bericht planen um einen Security Operations Report zu erstellen, der per E-Mail an die Empfänger gesendet wird gemäß die konfigurierte Frequenz.
Dashboards
Dashboards sind ein effektives Tool zur Überwachung des Netzwerkverkehrs mit hoher Priorität oder zur Behebung von Problemen, da sie mehrere Metrikdiagramme an einem zentralen Ort konsolidieren, an dem Sie Daten untersuchen und austauschen können. Sie können auch Textfelder hinzufügen, die mit Markdown formatiert sind, um Inhalte für Stakeholder bereitzustellen.
Video: | Sehen Sie sich die entsprechende Schulung an: Dashboard-Konzepte |
Dashboards und Sammlungen befinden sich im Dashboard-Dock.
Klicken Sie Sammlungen um alle Dashboard-Sammlungen anzuzeigen, die Sie besitzen oder die mit Ihnen geteilt wurden. Die Anzahl der Dashboards in jeder Sammlung wird angezeigt. Klicken Sie auf den Namen der Sammlung, um den Besitzer, mit dem die Sammlung geteilt wurde, und die Liste der Dashboards in der Sammlung anzuzeigen.
Nur der Sammlungsbesitzer kann eine Sammlung ändern oder löschen. Da Dashboards jedoch zu mehreren Sammlungen hinzugefügt werden können, können Sie eine Sammlung erstellen und teile es mit anderen Benutzern und Gruppen.
Klicken Sie Dashboards um eine alphabetische Liste aller Dashboards anzuzeigen, die Ihnen gehören oder die mit Ihnen geteilt wurden, einschließlich Dashboards, die über eine Sammlung geteilt wurden. Der Besitzer jedes Dashboard wird angezeigt. Ein Symbol neben dem Namen des Besitzers weist darauf hin, dass das Dashboard mit Ihnen geteilt wurde.
Dashboards erstellen
Wenn Sie bestimmte oder benutzerdefinierte Metriken überwachen möchten, können Sie ein benutzerdefiniertes Dashboard erstellen. Sie benötigen persönliche Schreibrechte oder höher und müssen über NPM-Modulzugriff verfügen, um Dashboards zu erstellen und zu bearbeiten.
Benutzerdefinierte Dashboards werden für jeden Benutzer, der auf das ExtraHop-System zugreift, separat gespeichert. Nachdem Sie ein benutzerdefiniertes Dashboard erstellt haben, können Sie es mit anderen ExtraHop-Benutzern teilen.
Es gibt mehrere Möglichkeiten, ein eigenes Dashboard zu erstellen:
- Erstellen Sie ein benutzerdefiniertes Dashboard oder ein Dashboard mit dynamischen Quellen erstellen von Grund auf
- Ein vorhandenes Dashboard kopieren, und passen Sie es dann an
- Ein vorhandenes Diagramm kopieren, und speichern Sie es dann in einem neuen Dashboard
Neue Dashboards werden im Modus „Layout bearbeiten" geöffnet, in dem Sie Komponenten innerhalb des Dashboard hinzufügen, anordnen und löschen können. Nachdem Sie ein Dashboard erstellt haben, können Sie die folgenden Aufgaben ausführen:
- Widgets und Regionen hinzufügen oder löschen
- Eine Region bearbeiten
- Ein Diagramm bearbeiten
- Ein Textfeld bearbeiten
Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite, um die Dashboard-Eigenschaften zu bearbeiten oder das Dashboard zu löschen.
Hinweis: | Sie können ein gelöschtes Dashboard nicht wiederherstellen. Beim Löschen von Benutzerkonten können ExtraHop-Administratoren den Besitz des Dashboard auf einen anderen Systembenutzer übertragen. Andernfalls werden auch alle mit dem Benutzerkonto verknüpften benutzerdefinierten Dashboards gelöscht. Um Dashboards beizubehalten, eine Kopie erstellen bevor das Konto gelöscht wird. |
Erfahren Sie, wie Sie Ihr Netzwerk überwachen können, indem Sie Durchführen einer Dashboard-Komplettlösung.
Dashboards anzeigen
Dashboards bestehen aus Diagramm-Widgets, Warnungs-Widgets und Textfeld-Widgets, die einen übersichtlichen Überblick über kritische Systeme oder über Systeme bieten können, die von einem bestimmten Team verwaltet werden.
Klicken Sie in ein Diagramm, um mit den Metrikdaten zu interagieren:
- Klicken Sie auf einen Diagrammtitel, um eine Liste von anzuzeigen Metrik Quellen und Menüoptionen.
- Klicken Sie auf eine Metrikbezeichnung, um bohren und untersuchen durch ein Metrik Detail.
- Klicken Sie auf eine Metrikbezeichnung und dann auf Fokus halten, um nur diese Metrik im Diagramm anzuzeigen.
- Klicken Sie auf einen Diagrammtitel oder eine Metrikbezeichnung und dann auf Beschreibung, um mehr über die Quellmetrik zu erfahren.
- Klicken Sie auf eine Erkennungsmarkierung, um zur Seite mit den Erkennungsdetails zu gelangen
Ändern Sie die Zeitauswahl, um Datenänderungen im Laufe der Zeit zu beobachten:
Dashboard-Daten exportieren und teilen
Standardmäßig sind alle benutzerdefinierten Dashboards privat und keine anderen ExtraHop-Benutzer können Ihr Dashboard anzeigen oder bearbeiten.
Teilen Sie Ihr Dashboard um anderen ExtraHop-Benutzern und -Gruppen Anzeige- oder Bearbeitungsberechtigungen zu gewähren, oder eine Sammlung teilen um mehreren Dashboards nur Leseberechtigungen zu gewähren.
Sie können ein geteiltes Dashboard nur ändern, wenn der Eigentümer Ihnen die Bearbeitungsberechtigung erteilt hat. Sie können jedoch kopieren und anpassen ein geteiltes Dashboard ohne Bearbeitungsberechtigung.
Exportieren Sie Daten nach einzelnen Diagrammen oder nach dem gesamten Dashboard:
- Um einzelne Diagrammdaten zu exportieren, klicken Sie auf den Diagrammtitel und wählen Sie eine der folgenden Optionen aus dem Drop-down-Menü aus: In CSV exportieren oder Nach Excel exportieren.
- Um das gesamte Dashboard zu präsentieren oder zu exportieren, klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Sie eine der folgenden Optionen: Präsentationsmodus, Als PDF exportieren oder Geplante Berichte (nur Konsolen).
System-Dashboards
Das ExtraHop-System bietet die folgenden integrierten Dashboards, die allgemeine Protokollaktivitäten zum allgemeinen Verhalten und zur Integrität Ihres Netzwerk anzeigen.
System-Dashboards befinden sich in der Standardsammlung System-Dashboards im Dashboard-Dock und können nicht zu einer anderen Sammlung hinzugefügt werden, die mit anderen Benutzern geteilt wird.
System-Dashboards können von jedem Benutzer angezeigt werden, mit Ausnahme von eingeschränkte Benutzer Das Systemnutzungs-Dashboard kann nur von Benutzern mit System- und Zugriffsverwaltung angezeigt werden. Privilegien.
- Netzwerkaktivitäts-Dashboard (NPM-Modulzugriff erforderlich)
- Finden Sie Top-Talker nach Anwendungsprotokollen (L7) und sehen Sie sich aktuelle Benachrichtigungen an. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Netzwerkaktivität.
- Dashboard zur Netzwerkleistung (Zugriff auf das NPM-Modul erforderlich)
- Identifizieren Sie Verkehrslatenz und Engpässe auf den Ebenen Datenverbindung (L2), Netzwerk (L3) und Transport (L4). Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Netzwerkleistung.
- Security Hardening-Dashboard (Zugriff auf das NDR-Modul erforderlich)
- Überwachen Sie allgemeine Informationen über potenzielle Sicherheitsbedrohungen in Ihrem Netzwerk. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Dashboard „Sicherheitshärtung".
- Dashboard mit generativen KI-Tools
- Prüfen Sie den OpenAI-Verkehr in Ihrem Netzwerk und von internen Endpunkten, die über OpenAI kommunizieren. Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard mit generativen KI-Tools.
- Active Directory Directory-Dashboard
- Verfolgen Sie die Kerberos-Serveraktivität für Active Directory Directory-Benutzer- und Computerkonten sowie für Dienste wie globale Kataloge und Gruppenrichtlinien. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Active Directory Directory-Dashboard.
- Systemintegritäts-Dashboard
- Stellen Sie sicher, dass Ihr ExtraHop-System wie erwartet läuft, beheben Sie Probleme und bewerten Sie Bereiche, die die Leistung beeinträchtigen. Weitere Informationen zu Diagrammen in diesem Dashboard finden Sie unter Systemintegritäts-Dashboard.
- Dashboard zur Systemnutzung (System- und Zugriffsadministrationsrechte erforderlich)
- Überwachen Sie, wie Benutzer mit Erkennungen, Untersuchungen und Dashboards im ExtraHop-System interagieren. Weitere Informationen zu den Diagrammen in diesem Dashboard finden Sie unter Dashboard zur Systemnutzung.
Dashboard zur Netzwerkaktivität
Mit dem Netzwerkaktivitäts-Dashboard können Sie allgemeine Informationen zur Anwendungsaktivität und -leistung vom Transport über die Anwendungsebenen (L4 bis L7) in Ihrem Netzwerk überwachen.
Jedes Diagramm im Netzwerkaktivitäts-Dashboard enthält Visualisierungen von Netzwerk- und Protokollmetrikdaten, die über ausgewähltes Zeitintervall, nach Region organisiert.
Hinweis: | Von einer Konsole aus können Sie das Netzwerkaktivitäts-Dashboard für jede verbundene Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten. |
Das Netzwerkaktivitäts-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer geteilten Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Netzwerkaktivitäts-Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.
Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.
- Überblick über den Verkehr
- Beobachten Sie, ob Datenverkehrsengpässe mit einem bestimmten Anwendungsprotokoll oder mit der
Netzwerklatenz zusammenhängen. Die Region „Verkehrsübersicht" enthält die folgenden Diagramme:
Diagramm der durchschnittlichen Rate von Netzwerkpaketen nach L7-Protokoll: Finden Sie das Protokoll mit dem höchsten Volumen an Paketübertragungen über die Anwendungsschicht (L7) während des ausgewählten Zeitintervalls.
Rundreisezeit für alle Aktivitäten im Netzwerk: Die 95. Perzentillinie zeigt Ihnen den oberen Bereich der Zeit, die Pakete benötigt haben, um das Netzwerk zu durchqueren. Wenn dieser Wert über 250 ms liegt, können Netzwerkprobleme die Anwendungsleistung beeinträchtigen. Die Roundtrip-Zeit ist ein Maß für die Zeit zwischen dem Senden eines Paket durch einen Client oder Server und dem Empfang einer Bestätigung.
Alerts: Sehen Sie sich bis zu 40 der zuletzt generierten Warnmeldungen und deren Schweregrad an. Warnungen sind vom Benutzer konfigurierte Bedingungen, die Basiswerte für bestimmte Protokollmetriken festlegen.
- Aktive Protokolle
-
Beobachten Sie, wie die Protokolle, die aktiv auf dem ExtraHop-System kommunizieren, auf die Anwendungsleistung auswirken. Sie können beispielsweise schnell einen Blick auf Diagramme werfen, in denen die Serververarbeitungszeiten und das Verhältnis von Fehlern zu Antworten pro Protokoll angezeigt werden.
Für jedes aktive Protokoll gibt es ein Diagramm. Wenn Sie kein erwartetes Protokoll sehen, kommunizieren Anwendungen möglicherweise nicht über dieses Protokoll für ausgewähltes Zeitintervall.
-
Weitere Informationen zu Protokollen und zum Anzeigen von Metrikdefinitionen finden Sie in der Referenz zu ExtraHop-Protokollmetriken .
Dashboard zur Netzwerkleistung
Mit dem Network Performance Dashboard können Sie überwachen, wie effektiv Daten über die Datenverbindungs-, Netzwerk- und Transportebenen (L2 — L4) übertragen werden.
Jedes Diagramm im Netzwerk Performance Dashboard enthält Visualisierungen von Netzwerkleistungsdaten, die generiert wurden über ausgewähltes Zeitintervall, nach Region organisiert.
Hinweis: | Von einer Konsole aus können Sie das Netzwerkleistungs-Dashboard für jeden verbundenen Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten. |
Das Netzwerkleistungs-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Network Performance Dashboard und füge das Diagramm zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie das Dashboard, um für Sie relevante Kennzahlen zu überwachen.
Die folgenden Informationen fassen die einzelnen Region zusammen.
- Netzwerk-L2-Metriken
- Überwachen Sie die Durchsatzraten über die Datenverbindungsschicht (L2) anhand von Bits und Paketen und überwachen Sie die Arten der übertragenen Frames. Sie können auch festlegen, wie viele Daten per Unicast-, Broadcast- oder Multicast-Verteilung an Empfänger gesendet werden.
- Netzwerk-L4-Metriken
- Überwachen Sie die Latenz der Datenübertragung über die Transportschicht (L4). Zeigen Sie die TCP-Aktivität anhand von Verbindungs-, Anfrage- und Antwortmetriken an. Diese Daten können Aufschluss darüber geben, wie effektiv Daten über die Transportschicht in Ihrem Netzwerk gesendet und empfangen werden.
- Leistung des Netzwerks
- Überwachen Sie, wie sich die Netzwerkleistung auf Anwendungen auswirkt. Sehen Sie sich den gesamten Netzwerkdurchsatz an, indem Sie den Durchsatz pro Anwendungsprotokoll und das Ausmaß der hohen TCP-Roundtrip-Zeiten überprüfen.
- Netzwerk-L3-Metriken
- Zeigen Sie den Datendurchsatz auf der Netzwerkebene (L3) an und sehen Sie sich Pakete und Verkehr nach TCP/IP-Protokollen an.
- DSCP
- Sehen Sie sich eine Aufschlüsselung der Pakete und des Datenverkehrs nach Differentiated Services-Codepunkten an, die Teil der DiffServ-Netzwerkarchitektur sind. Jedes IP-Paket enthält ein Feld, in dem die Priorität angegeben wird, wie das Paket behandelt werden soll. Dies wird als differenzierte Dienste bezeichnet. Die Werte für die Prioritäten werden Codepunkte genannt.
- Multicast-Gruppen
- Zeigen Sie den Verkehr an, der in einer einzigen Übertragung an mehrere Empfänger gesendet wird, und sehen Sie sich Pakete und Verkehr jeder Empfängergruppe an. Der Multicast-Verkehr in einem Netzwerk ist auf der Grundlage von Zieladressen in Gruppen organisiert.
Dashboard zur Erhöhung der Sicherheit
Mit dem Security Hardening-Dashboard können Sie allgemeine Informationen über potenzielle Sicherheitsbedrohungen in Ihrem Netzwerk überwachen.
Video: | Sehen Sie sich die entsprechende Schulung an: Sicherheits-Dashboard |
Hinweis: | Von einer Konsole aus können Sie das Security Hardening-Dashboard für jeden Paketsensor anzeigen. Klicken Sie in der Navigationsleiste neben dem Namen des Sensor auf den Abwärtspfeil, um das Security Hardening-Dashboard für andere Sensoren anzuzeigen. |
Das Security Hardening-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Security Hardening-Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um Kennzahlen zu überwachen, die für Sie relevant sind.
Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.
- Bedrohungsinformationen
- Beobachten Sie die Anzahl der Verbindungen und Transaktionen, die verdächtige Hostnamen,
IP-Adressen oder URIs enthalten, die in gefunden wurden
Bedrohungsinformationen. Klicken Sie in der Legende auf einen blauen Metrikwert oder einen Metriknamen, um
nach einer verdächtigen Metrik zu suchen. Eine Detailseite mit einem roten Kamerasymbol wird angezeigt. neben dem verdächtigen Objekt. Klicken Sie auf
das rote Kamerasymbol, um mehr über die Quelle der Bedrohungsinformationen zu erfahren.
Hinweis: Bedrohungsanalyse-Metriken zeigen aus einem oder mehreren der folgenden Gründe einen Nullwert an: - Ihr ExtraHop RevealX-Abonnement beinhaltet keine Bedrohungsinformationen.
- Sie haben Bedrohungsinformationen für Ihr ExtraHop RevealX-System nicht aktiviert.
- Sie haben benutzerdefinierte Bedrohungssammlungen nicht direkt in Ihre hochgeladen Sensoren. Wenden Sie sich an den ExtraHop-Support, wenn Sie Hilfe beim Hochladen einer benutzerdefinierten Bedrohungssammlung auf Ihre von ExtraHop verwaltete Sammlung benötigen Sensoren.
- Es wurden keine verdächtigen Gegenstände gefunden.
- SSL - Sitzungen
- Beobachten Sie die Anzahl der aktiven SSL-Sitzungen mit Schwache Verschlüsselung Verschlüsselungssammlungen in Ihrem Netzwerk. Sie
können sehen, welche Clients und Server an diesen Sitzungen teilnehmen und mit welchen
Verschlüsselungssammlungen diese Sitzungen verschlüsselt sind. DES-, 3DES-, MD5-, RC4-, Null-, Anonym- und
Export-Cipher Suites gelten als schwach, da sie einen
Verschlüsselungsalgorithmus enthalten, der bekanntermaßen anfällig ist. Daten, die mit einer Schwache Verschlüsselung Verschlüsselungssuite verschlüsselt wurden, sind
potenziell unsicher.
Sie können auch die Anzahl der SSL-Sitzungen beobachten, die mit TLS v1.0 eingerichtet wurden, und welche Clients an diesen Sitzungen teilnehmen. Bekannte Sicherheitslücken stehen im Zusammenhang mit TLS v1.0. Wenn Sie eine hohe Anzahl von TLS v1.0-Sitzungen haben, sollten Sie erwägen, Server so zu konfigurieren, dass sie die neueste Version von TLS unterstützen.
- SSL - Zertifikate
- Beobachten Sie, welche SSL-Zertifikate in Ihrem Netzwerk selbstsigniert sind, Platzhalter sind, abgelaufen sind und
bald ablaufen. Selbstsignierte Zertifikate werden von der Entität signiert, die das
Zertifikat ausstellt, und nicht von einer vertrauenswürdigen Zertifizierungsstelle. Selbstsignierte
Zertifikate sind zwar günstiger als Zertifikate, die von einer Zertifizierungsstelle ausgestellt wurden, aber sie sind
auch anfällig für Man-in-the-Middle-Angriffe.
Ein Platzhalterzertifikat gilt für alle Subdomains der ersten Ebene eines bestimmten Domänenname. Das Platzhalterzertifikat *.company.com schützt beispielsweise www.company.com, docs.company.com und customer.company.com. Wildcard-Zertifikate sind zwar günstiger als Einzelzertifikate, aber Wildcard-Zertifikate bergen ein höheres Risiko, wenn sie kompromittiert werden, da sie für eine beliebige Anzahl von Domänen gelten können.
- Schwachstellen-Scans
- Beobachten Sie, welche Geräte Anwendungen und Systeme in Ihrem Netzwerk scannen, um nach Schwachstellen und potenziellen Zielen, wie z. B. hoher Wert Geräten, zu suchen. In der linken Tabelle können Sie erkennen, welche Geräte die meisten Scananfragen senden. Dabei handelt es sich um HTTP-Anfragen, die mit bekannten Scanneraktivitäten verknüpft sind. Im rechten Diagramm können Sie sehen, welche Benutzeragenten mit den Scananfragen verknüpft sind. Der User-Agent kann Ihnen dabei helfen, festzustellen, ob Scananfragen mit bekannten Schwachstellenscannern wie Nessus und Qualys verknüpft sind.
- DNS
- Beobachten Sie, welche DNS-Server in Ihrem Netzwerk am aktivsten sind und wie viele
Reverse-DNS-Lookup-Fehler auf diesen Servern insgesamt aufgetreten sind. Ein Reverse-DNS-Lookup-Fehler
tritt auf, wenn ein Server als Antwort auf eine Client-Anfrage nach einem
Pointer-Record (PTR) einen Fehler ausgibt. Fehler bei Reverse-DNS-Lookups sind normal, aber eine plötzliche oder stetige Zunahme von
Ausfällen auf einem bestimmten Host kann darauf hindeuten, dass ein Angreifer Ihr
Netzwerk scannt.
Sie können auch die Anzahl der Adresszuordnungs- und Textdatensatzabfragen in Ihrem Netzwerk beobachten. Ein starker oder plötzlicher Anstieg dieser Arten von Abfragen kann ein Indikator für einen potenziellen DNS-Tunnel sein.
Dashboard mit generativen KI-Tools
Mit dem Generative AI-Dashboard können Sie den Datenverkehr von OpenAI-Tools in Ihrem Netzwerk überwachen.
Jedes Diagramm im Generative AI Tools-Dashboard enthält Visualisierungen des Datenverkehrs im Zusammenhang mit dem OpenAI-Cloud-Dienst für Tools wie ChatGPT. Traffic anzeigen, der während eines generiert wurde ausgewähltes Zeitintervall, nach Region organisiert.
Hinweis: | Von einer Konsole aus können Sie das Generative AI Tools-Dashboard für jede verbundene Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten. |
Das Generative AI Tools-Dashboard ist ein integriertes System-Dashboard, und Sie können System-Dashboards nicht bearbeiten, löschen oder zu einer Sammlung hinzufügen. Sie können jedoch ein Diagramm kopieren aus dem Generative AI Tools-Dashboard und füge das Diagramm zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie das Dashboard, um für Sie relevante Kennzahlen zu überwachen.
Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.
- Generative KI-Tools
- Überwachen Sie den in Ihrem Netzwerk beobachteten Datenverkehr zu OpenAI-basierten Tools. Erfahren Sie, wann der Verkehr auftrat, wie viele Daten übertragen wurden und welche internen Endpunkte beteiligt waren.
Active Directory Directory-Dashboard
Mit dem Active Directory Directory-Dashboard können Sie die Kerberos-Serveraktivität für Active Directory Directory-Benutzer- und Computerkonten sowie für Dienste wie globale Kataloge und Gruppenrichtlinien verfolgen.
Jedes Diagramm im Active Directory Directory-Dashboard enthält Visualisierungen von Active Directory-Kontodaten, die über die ausgewähltes Zeitintervall, nach Region organisiert.
Das Active Directory Directory-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsam genutzten Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem Active Directory Directory-Dashboard und fügen Sie es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.
Hinweis: | Von einer Konsole aus können Sie das Active Directory Directory-Dashboard für jeden verbundenen Standort anzeigen. Der Site-Name wird in der Navigationsleiste angezeigt. Klicken Sie auf den Abwärtspfeil neben dem Namen, um die Anzeige auf andere Sites auszurichten. |
Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.
- Zusammenfassung des Benutzerkontos
- Sehen Sie sich die Anzahl der Active Directory Directory-Konten in Ihrer Umgebung in den
folgenden Diagrammen an:
Konten insgesamt: Gesamtzahl der Benutzerkonten und Computerkonten.
Privilegierte Konten: Gesamtzahl der privilegierten Konten, die sich erfolgreich angemeldet haben, bei denen ein Anmeldefehler aufgetreten ist und die eine Servicezugriffsanfrage gesendet haben.
- Fehler bei der Authentifizierung
- Beachten Sie die Anzahl der Active Directory Directory-Konten mit Authentifizierungsfehlern in
den folgenden Diagrammen:
Benutzerkontofehler: Gesamtzahl der Anmeldefehler Benutzerkonto aufgrund ungültiger Passwörter, abgelaufener Passwörter und deaktivierter Konten. Wird als Liniendiagramm und Listendiagramm angezeigt.
Computerkontofehler: Gesamtzahl der Anmeldefehler bei Computerkonten aufgrund ungültiger Passwörter, abgelaufener Passwörter und deaktivierter Konten. Wird als Liniendiagramm und Listendiagramm angezeigt.
Fehler im Konto: Gesamtzahl der Fehler für jeden Kontotyp aufgrund von Kontosperrungen und Zeitfehlern. Wird als Liniendiagramm und Listendiagramm angezeigt.
- Details zu Authentifizierungsfehlern
- Einzelheiten zu Active Directory Directory-Konten, bei denen Authentifizierungsfehler auftraten, finden Sie
in den folgenden Diagrammen:
Benutzerkonten: Benutzernamen, die Benutzerkonten zugeordnet sind, bei denen die Anmeldung fehlgeschlagen ist. In diesem Diagramm wird auch angezeigt, wie oft jedes Benutzerkonto aufgrund eines ungültigen Passworts oder eines abgelaufenen Kontos einen Fehler erhalten hat.
Computerkonten: Client-IP-Adressen und Hostnamen, die Benutzerkonten zugeordnet sind, bei denen die Anmeldung fehlgeschlagen ist. In diesem Diagramm wird auch angezeigt, wie oft jedes Benutzerkonto aufgrund eines ungültigen Passworts oder eines abgelaufenen Kontos einen Fehler erhalten hat.
- Service zur Erteilung von Tickets
- Sehen Sie sich die Transaktionsdaten im Zusammenhang mit dem Kerberos-Ticketgewährungsdienst in
den folgenden Diagrammen an:
Transaktionen: Gesamtzahl der Serviceticket-Anfragen und Anzahl unbekannter SPN-Fehler ( Service Principal Name).
Transaktionen: Gesamtzahl der Serviceticket-Anfragen.
Unbekannte SPN-Fehler von SPN: Anzahl der unbekannten SPN-Fehler, die von dem SPN aufgeführt wurden, der den Fehler gesendet hat.
Unbekannte SPN-Fehler vom Client: Anzahl der unbekannten SPN-Fehler, die von dem Client aufgeführt wurden, der den Fehler erhalten hat.
Gesamtzahl unbekannter SPN-Fehler: Gesamtzahl unbekannter SPN-Fehler.
- Gruppenrichtlinie
- Beachten Sie die mit der Gruppenrichtlinie verknüpften CIFS/SMB-Transaktionsdaten in den folgenden Diagrammen:
Transaktionen: Gesamtzahl der Gruppenrichtlinienantworten und der Gruppenrichtlinienfehler.
Transaktionen: Gesamtzahl der Gruppenrichtlinienantworten und der Gruppenrichtlinienfehler, zusätzlich zu der Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Gruppenrichtlinienanforderung empfangen wurde.
- LDAP
- Beobachten Sie die LDAP-Transaktionsdaten anhand der folgenden Diagramme:
Transaktionen: Gesamtzahl der LDAP-Antworten und Fehler.
Transaktionen: Gesamtzahl der LDAP-Antworten und -Fehler, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Anfrage empfangen wurde.
Unsichere LDAP-Anmeldeinformationen : Gesamtzahl der Klartext-Bindungsanfragen. Wird als Liniendiagramm und Listendiagramm angezeigt.
- Globaler Katalog
- Sehen Sie sich die mit dem globalen Katalog verknüpften Transaktionsdaten in den folgenden
Diagrammen an:
Transaktionen: Gesamtzahl der Antworten und Fehler im globalen Katalog.
Transaktionen: Gesamtzahl der Antworten und Fehler im globalen Katalog, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der globalen Kataloganforderung empfangen wurde.
- DNS-Dienstaufzeichnungen
- Beachten Sie die Transaktionsdaten der DNS-Dienstaufzeichnungen in den folgenden Diagrammen:
Transaktionen: Gesamtzahl der Antworten und Fehler in Serviceaufzeichnungen.
Transaktionen: Gesamtzahl der Antworten und Fehler von Servicedatensätzen, zusätzlich zur Serververarbeitungszeit, die benötigt wurde, um das erste Paket als Antwort zu senden, nachdem das letzte Paket der Anfrage empfangen wurde.
Systemintegritäts-Dashboard
Das Systemstatus-Dashboard bietet eine große Sammlung von Diagrammen, mit denen Sie sicherstellen können, dass Ihr ExtraHop-System wie erwartet läuft, Probleme beheben und Bereiche bewerten können, die die Leistung beeinträchtigen. Sie können beispielsweise die Anzahl der vom ExtraHop-System verarbeiteten Pakete überwachen, um sicherzustellen, dass Pakete kontinuierlich erfasst werden.
Jedes Diagramm im Network Performance Dashboard enthält Visualisierungen von Systemleistungsdaten, die über die ausgewähltes Zeitintervall, nach Region organisiert.
Das Systemintegritäts-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder zu einer gemeinsamen Sammlung hinzufügen können. Sie können jedoch ein Diagramm kopieren aus dem System Health Dashboard und füge es zu einem benutzerdefiniertes Dashboard, oder du kannst eine Kopie des Dashboard erstellen und bearbeiten Sie es, um für Sie relevante Kennzahlen zu überwachen.
Hinweis: | Die Seite mit den Administrationseinstellungen bietet auch Statusinformationen und Diagnosetools für alle ExtraHop-Systeme. |
Navigieren Sie im Systemstatus-Dashboard
Rufen Sie die Seite Systemstatus auf, indem Sie auf das Symbol Systemeinstellungen klicken oder durch Anklicken Armaturenbretter von oben auf der Seite. Das Systemstatus-Dashboard zeigt automatisch Informationen über das ExtraHop-System an, mit dem Sie verbunden sind. Wenn Sie das Systemintegritäts-Dashboard von einer Konsole aus aufrufen, können Sie oben auf der Seite auf die Seitenauswahl klicken, um Daten für eine bestimmte Standort oder für alle Sites in Ihrer Umgebung anzuzeigen.
Die Diagramme im Systemstatus-Dashboard sind in die folgenden Abschnitte unterteilt:
- Gerätesuche
- Sehen Sie sich die Gesamtanzahl der Geräte in Ihrem Netzwerk an. Sehen Sie, welche Geräte entdeckt wurden und wie viele dieser Geräte derzeit aktiv sind.
- Datenfeed
- Beurteilen Sie die Effizienz der Kabeldatenerfassung anhand von Diagrammen zu Durchsatz, Paketrate, Desynchronisierung und Erfassungsverlusten.
- Rekorde
- Zeigt die Gesamtanzahl der Datensätze an, die an einen angehängten Recordstore gesendet werden.
- Auslöser
- Überwachen Sie die Auswirkungen von Triggern auf Ihr ExtraHop-System. Sehen Sie, wie oft Trigger ausgeführt werden, wie oft sie ausfallen und welche Trigger Ihre CPU am stärksten belasten.
- Öffnen Sie Data Stream und Recordstore
- Verfolgen Sie die Aktivitäten von Open Data Stream (ODS) -Übertragungen zu und von Ihrem System. Zeigen Sie die Gesamtzahl der Remoteverbindungen, den Nachrichtendurchsatz und Details zu bestimmten Remote-Zielen an.
- SSL Zertifikate
- Überprüfen Sie die Statusinformationen für alle SSL-Zertifikate auf Ihrem ExtraHop-System.
- Paketerfassung aus der Ferne (RPCAP)
- Zeigen Sie die Anzahl der Pakete und Frames an, die von RPCAP-Peers gesendet und empfangen werden.
- Fortgeschrittene Gesundheitsmetriken
- Verfolgen Sie die Heap-Zuweisung im Zusammenhang mit der Datenerfassung, dem Systemdatenspeicher, Triggern und Fernübertragungen. Überwachen Sie den Schreibdurchsatz, die Größe des Arbeitssets und die Triggeraktivität im Systemdatenspeicher.
Gerätesuche
Das Gerätesuche Der Abschnitt des Systemstatus-Dashboards bietet einen Überblick über die Gesamtzahl der Geräte in Ihrem Netzwerk. Sehen Sie, welche Gerätetypen angeschlossen sind und wie viele dieser Geräte derzeit aktiv sind.
Das Gerätesuche Abschnitt enthält die folgenden Diagramme:
Aktive Geräte
Ein Flächendiagramm, das die Anzahl der L2-, L3-, Gateway- und benutzerdefinierten Geräte anzeigt, die während des ausgewählten Zeitintervalls aktiv im Netzwerk kommuniziert haben. Neben dem Flächendiagramm zeigt ein Wertdiagramm die Anzahl der L2-, L3-, Gateway- und benutzerdefinierten Geräte an, die im ausgewählten Zeitintervall aktiv waren.
Überwachen Sie dieses Diagramm, nachdem Sie Änderungen an der SPAN-Konfiguration vorgenommen haben, um sicherzustellen, dass keine unbeabsichtigten Folgen auftreten, die das ExtraHop-System in einen schlechten Zustand versetzen könnten. Beispielsweise kann die versehentliche Einbindung eines Netzwerk die Kapazität der ExtraHop-Systemfunktionen belasten, da mehr Ressourcen verbraucht und mehr Paketverarbeitung erforderlich ist, was zu einer schlechten Leistung führt. Vergewissern Sie sich, dass das ExtraHop-System die erwartete Anzahl aktiver Geräte überwacht.
Datenfeed
Das Datenfeed In einem Abschnitt des Systemstatus-Dashboards können Sie anhand von Diagrammen zu Durchsatz, Paketrate, Desynchronisierungen und Erfassungsabbrüchen die Effizienz des Datenerfassungsprozesses über Kabel beobachten.
Das Datenfeed Abschnitt enthält die folgenden Diagramme:
Durchsatz
Ein Flächendiagramm, das den Durchsatz eingehender Pakete im ausgewählten Zeitintervall darstellt, ausgedrückt in Byte pro Sekunde. Das Diagramm zeigt Durchsatzinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.
Das Überschreiten der Produktgrenzwerte kann zu Datenverlust führen. Eine hohe Durchsatzrate kann beispielsweise dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verworfen werden. In ähnlicher Weise kann eine große Anzahl von L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder dem Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.
Die akzeptable Rate von Byte pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten, und um festzustellen, ob die Byte-Rate pro Sekunde zu hoch ist.
Durchsatz nach Schnittstelle
Ein Liniendiagramm, das den Durchsatz eingehender Pakete darstellt und von jeder auf dem Sensor konfigurierten Schnittstelle aufgeführt ist. Der Durchsatz wird während des ausgewählten Zeitintervalls in Byte pro Sekunde ausgedrückt. Das Diagramm zeigt Durchsatzinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.
Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte durchschnittliche Übertragungsrate von Schnittstellen mit derselben Nummer.
Das Überschreiten der Produktschwellenwerte kann zu Datenverlust führen. Beispielsweise kann eine hohe Durchsatzrate dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verloren gehen. In ähnlicher Weise können große Mengen an L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder am Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.
Die akzeptable Rate von Paket pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.
Überwachen Sie dieses Diagramm, um Probleme mit dem Paketdurchsatz auf detaillierter Ebene zu beheben und bei Bedarf Anpassungen der Schnittstellenkonfiguration vorzunehmen.
Paket-Rate
Ein Flächendiagramm, das die Rate eingehender Pakete, ausgedrückt in Paketen pro Sekunde, anzeigt. In der Tabelle werden Informationen zur Paketrate für analysierte und gefilterte Pakete sowie für L2- und L3-Duplikate angezeigt.
Die akzeptable Paketrate pro Sekunde hängt von Ihrem Produkt ab. Weitere Informationen finden Sie in Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten, und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.
Paketrate nach Schnittstelle
Ein Liniendiagramm, das die Rate eingehender Pakete anzeigt, und ein Säulendiagramm, das die Anzahl der verworfenen Pakete anzeigt, aufgeführt nach jeder auf dem Sensor konfigurierten Schnittstelle. Die Paketrate wird in Paketen ausgedrückt, die während des ausgewählten Zeitintervalls pro Sekunde empfangen wurden. Das Diagramm zeigt Paketrateninformationen für analysierte und gefilterte Pakete sowie L2 - und L3-Duplikate an.
Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte Paketrate und die Anzahl der Pakete, die von Schnittstellen mit derselben Nummer verworfen wurden.
Das Überschreiten der Produktschwellenwerte kann zu Datenverlust führen. Beispielsweise kann eine hohe Paketrate dazu führen, dass Pakete an der Span-Quelle oder an einem Span-Aggregator verloren gehen. In ähnlicher Weise können große Mengen an L2- oder L3-Duplikaten auch auf ein Problem an der Span-Quelle oder am Span-Aggregator hinweisen und zu verzerrten oder falschen Metriken führen.
Die akzeptable Rate von Paket pro Sekunde hängt von Ihrem Produkt ab. Beziehen Sie sich auf die Datenblatt für ExtraHop-Sensoren um herauszufinden, welche Grenzwerte für Ihr ExtraHop-System gelten und um festzustellen, ob die Rate der Pakete pro Sekunde zu hoch ist.
Überwachen Sie dieses Diagramm, um Probleme mit der Paketrate auf detaillierter Ebene zu beheben und bei Bedarf Anpassungen der Schnittstellenkonfiguration vorzunehmen.
Paketfehler nach Schnittstelle
Ein Liniendiagramm, das die Anzahl der während des ausgewählten Zeitintervalls empfangenen Paketfehler anzeigt und von jeder auf dem Sensor konfigurierten Schnittstelle aufgeführt wird. Das Diagramm zeigt Paketfehlerinformationen für analysierte und gefilterte Pakete sowie L2- und L3-Duplikate an.
Wenn Sie mehrere Sensoren von einer ExtraHop-Konsole aus betrachten, zeigt das Diagramm die aggregierte Anzahl von Paketfehlern, die auf Schnittstellen mit derselben Anzahl aufgetreten sind.
Überwachen Sie dieses Diagramm, um Paketfehler auf granularer Ebene zu beheben. Vermehrte Paketfehler können zu Datenverlust führen. Stellen Sie sicher, dass Pakete wie erwartet gesendet werden, und nehmen Sie bei Bedarf Anpassungen der Schnittstellenkonfiguration vor.
Analysierte Ströme
Ein Liniendiagramm, das die Anzahl der Flows anzeigt, die das ExtraHop-System im ausgewählten Zeitintervall analysiert hat. Das Diagramm zeigt auch, wie viele unidirektionale Flüsse im gleichen Zeitraum aufgetreten sind. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der analysierten und unidirektionalen Flüsse angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Ein Fluss ist ein Satz von Paketen, die Teil einer Transaktion zwischen zwei Endpunkten über ein Protokoll wie TCP, UDP oder ICMP sind.
Desynchronisierungen
Ein Liniendiagramm, das das Auftreten systemweiter Desynchronisierungen auf dem ExtraHop-System im ausgewählten Zeitintervall anzeigt. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der Desynchronisierungen angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Eine Desynchronisierung liegt vor, wenn der ExtraHop-Datenfeed ein TCP-Paket verwirft und daher nicht mehr mit einer TCP-Verbindung synchronisiert wird.
Wenn Anpassungen an Ihrem SPAN eine große Anzahl von Desynchronisierungen nicht reduzieren, wenden Sie sich an ExtraHop-Unterstützung .
Verkürzte Pakete
Ein Liniendiagramm, das das Auftreten von gekürzten Paketen auf dem ExtraHop-System im ausgewählten Zeitintervall anzeigt. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der gekürzten Pakete angezeigt, die im ausgewählten Zeitintervall aufgetreten sind. Ein abgeschnittenes Paket liegt vor, wenn die tatsächliche Gesamtlänge des Paket geringer ist als die Gesamtlänge, die im IP-Header angegeben ist.
Drop-Rate erfassen
Ein Liniendiagramm, das den Prozentsatz der Pakete anzeigt, die während des ausgewählten Zeitintervalls an der Netzwerkkartenschnittstelle eines ExtraHop-Systems verworfen wurden.
Ladung erfassen
Ein Liniendiagramm, das den Prozentsatz der Zyklen auf dem ExtraHop-System anzeigt, die von aktiven Capture-Threads im ausgewählten Zeitintervall verbraucht wurden, basierend auf der gesamten Capture-Thread-Zeit. Klicken Sie auf das zugehörige Durchschnittliche Aufnahmelast Diagramm, um nach Threads aufzuschlüsseln und festzustellen, welche Threads die meisten Ressourcen verbrauchen.
Auf die Festplatte geschriebene Metriken (Log-Skala)
Ein Liniendiagramm, das den Speicherverbrauch von Messwerten, die während des ausgewählten Zeitintervalls auf die Festplatte geschrieben wurden, in Byte pro Sekunde anzeigt. Da zwischen den Datenpunkten ein großer Bereich besteht, wird die Festplattennutzung in logarithmischer Skala angezeigt.
Lookback-Schätzungen für metrische Daten
Zeigt die geschätzten Datenspeicher-Lookback-Metriken auf dem ExtraHop-System an. Lookback-Metriken sind in Zeitintervallen von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden verfügbar, basierend auf der Schreibdurchsatzrate, die in Byte pro Sekunde ausgedrückt wird.
Anhand dieser Tabelle können Sie ermitteln, wie weit Sie historische Daten für bestimmte Zeitintervalle zurückverfolgen können. Beispielsweise können Sie Daten in Intervallen von 1 Stunde bis zu 9 Tagen nachschlagen.
Rekorde
Die Rekorde In einem Bereich des Systemstatus-Dashboards können Sie die Effizienz der Kabeldatenerfassung anhand von Diagrammen zur Anzahl der Datensatz und zum Durchsatz beobachten.
Die Datenfeed Dieser Abschnitt enthält die folgenden Diagramme:
Anzahl der Datensätze
Ein Liniendiagramm, das die Anzahl der Datensätze anzeigt, die im ausgewählten Zeitintervall an einen Recordstore gesendet wurden. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtzahl der im ausgewählten Zeitintervall gesendeten Datensätze angezeigt.
Eine extrem hohe Anzahl von Datensätzen, die an einen Recordstore gesendet werden, kann zu langen Nachrichtenwarteschlangen und verworfenen Nachrichten im Recordstore führen. Sehen Sie sich Diagramme in der Öffnen Sie Data Stream und Recordstore Im Abschnitt Systemintegritäts-Dashboard finden Sie weitere Informationen zu Recordstore-Übertragungen.
Durchsatz aufzeichnen
Ein Liniendiagramm, das die Anzahl der Datensätze in Byte anzeigt, die an einen Recordstore gesendet wurden. Neben dem Liniendiagramm wird in einem Wertdiagramm die Gesamtmenge der im ausgewählten Zeitintervall gesendeten Datensätze in Byte angezeigt.
Dieses Diagramm spiegelt keine Größenanpassungen auf der Grundlage von Komprimierung oder Datendeduplikation wider und sollte nicht zur Schätzung der Recordstore-Kosten verwendet werden. Ein extrem hoher Datensatzdurchsatz kann zu langen Warteschlangenlängen und verworfenen Nachrichten im Recordstore führen. Sehen Sie sich Diagramme in der Öffnen Sie Data Stream und Recordstore Im Abschnitt Systemintegritäts-Dashboard finden Sie weitere Informationen zu Recordstore-Übertragungen.
Auslöser
Die Auslöser In einem Bereich des Systemstatus-Dashboards können Sie die Auswirkungen von Triggern auf Ihr System überwachen. Sehen Sie, wie oft Trigger ausgeführt werden, wie oft sie ausfallen und welche Trigger Ihre CPU am stärksten belasten.
Die Auslöser Dieser Abschnitt enthält die folgenden Diagramme:
Last auslösen
Ein Liniendiagramm, das den Prozentsatz der CPU-Zyklen anzeigt , die Triggerprozessen zugewiesen wurden und während des ausgewählten Zeitintervalls von Triggern verbraucht wurden.
Triggerverzögerung
Ein Säulendiagramm, das die maximalen Triggerverzögerungen, die während des ausgewählten Zeitintervalls aufgetreten sind, in Millisekunden anzeigt. Neben dem Säulendiagramm wird in einem Wertdiagramm die längste Triggerverzögerung angezeigt, die im ausgewählten Zeitintervall aufgetreten ist. Eine Triggerverzögerung ist die Zeitspanne zwischen der Erfassung eines Triggerereignisses und der Erstellung eines Trigger-Threads für das Ereignis.
Lange Auslöseverzögerungen können auf Verarbeitungsprobleme hinweisen. Sehen Sie sich die Ausnahmen nach Trigger auslösenund Laden nach Trigger auslösen Diagramme, um zu sehen, welcher Auslöser die meisten unbehandelten Ausnahmen auslöst und welcher die meisten Ressourcen verbraucht.
Trigger wird ausgeführt und gelöscht
Ein Linien- und Säulendiagramm, in dem das Liniendiagramm anzeigt, wie oft Trigger ausgeführt wurden, und das dazugehörige Säulendiagramm zeigt, wie oft Trigger im ausgewählten Zeitintervall gelöscht wurden. Neben dem Linien- und Säulendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Triggerausführungen und Drops an, die im ausgewählten Zeitintervall aufgetreten sind. Diese Diagramme bieten einen allgemeinen Überblick über alle Trigger, die derzeit auf dem ExtraHop-System ausgeführt werden.
Einzelheiten zum Auslöser
Ein Listendiagramm, das einzelne Trigger und die Anzahl der Zyklen, Ausführungen und Ausnahmen anzeigt, die den einzelnen Triggern im ausgewählten Zeitintervall zugewiesen wurden. Standardmäßig ist die Liste der Trigger in absteigender Reihenfolge nach Triggerzyklen sortiert.
Laden nach Trigger auslösen
Ein Liniendiagramm, das den Prozentsatz der CPU-Zyklen anzeigt , die Triggerprozessen zugewiesen sind und während des ausgewählten Zeitintervalls von Triggern verbraucht wurden, aufgelistet nach Triggernamen.
Trigger wird von Trigger ausgeführt
Ein Liniendiagramm, das anzeigt, wie oft jeder aktive Auslöser im ausgewählten Zeitintervall ausgeführt wurde.
Eine hohe Aktivität kann auch darauf hindeuten, dass ein Auslöser härter arbeitet, als er muss. Beispielsweise kann ein Auslöser bei mehreren Ereignissen ausgeführt werden, bei denen es effizienter wäre, separate Trigger zu erstellen, oder ein Trigger-Skript entspricht möglicherweise nicht den empfohlenen Skriptrichtlinien, wie in der Leitfaden mit bewährten Methoden für Trigger.
Ausnahmen nach Trigger auslösen
Ein Liniendiagramm, das die Anzahl der unbehandelten Ausnahmen, sortiert nach Auslöser, anzeigt, die im ausgewählten Zeitintervall auf dem ExtraHop-System aufgetreten sind.
Zyklen nach Thread auslösen
Ein Liniendiagramm, das die Anzahl der Triggerzyklen anzeigt, die von Triggern für einen Thread verbraucht wurden.
Öffnen Sie Data Stream und Recordstore
Im Bereich Open Data Stream (ODS) und Recordstore des Systems Health Dashboard können Sie die Aktivitäten von ODS- und Recordstore-Übertragungen zu und von Ihrem System verfolgen. Sie können auch die Gesamtzahl der Remoteverbindungen, den Nachrichtendurchsatz und Details zu bestimmten Remote-Zielen anzeigen.
Die Open Data Stream (ODS) und Recordstore Dieser Abschnitt enthält die folgenden Diagramme:
Nachrichtendurchsatz
Ein Liniendiagramm, das den Durchsatz von Fernmeldungsdaten in Byte anzeigt. Neben dem Liniendiagramm zeigt ein Wertdiagramm die durchschnittliche Durchsatzrate von Fernmeldungsdaten über das ausgewählte Zeitintervall an. Fernnachrichten sind Übertragungen, die vom ExtraHop-System über einen offenen Datenstrom (ODS) an einen Recordstore oder an Systeme von Drittanbietern gesendet werden.
Gesendete Nachrichten
Ein Liniendiagramm, das die durchschnittliche Rate anzeigt, mit der Remote-Nachrichten vom ExtraHop-System an ein Recordstore- oder ODS-Ziel (Open Data Stream) gesendet wurden. Neben dem Liniendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Nachrichten an, die im ausgewählten Zeitintervall gesendet wurden.
Nach Remotetyp verworfene Nachrichten
Ein Liniendiagramm, das die durchschnittliche Rate von Remotenachrichten anzeigt, die gelöscht wurden, bevor sie einen Recordstore oder ein ODS-Ziel erreichten.
Fehler beim Senden von Nachrichten
Ein Liniendiagramm, das die Anzahl der Fehler anzeigt, die beim Senden einer Remote-Nachricht an einen Recordstore oder ein ODS-Ziel aufgetreten sind. Überwachen Sie dieses Diagramm, um sicherzustellen, dass Pakete wie erwartet gesendet werden. Übertragungsfehler können Folgendes beinhalten:
- Fehler auf dem Zielserver
- Die Anzahl der Fehler, die von Recordstores oder ODS-Zielen an das ExtraHop-System zurückgegeben werden. Diese Fehler sind auf dem Zielserver aufgetreten und deuten nicht auf ein Problem mit dem ExtraHop-System hin.
- Verworfene Nachrichten in voller Warteschlange
- Die Anzahl der an Datensatzspeicher und ODS-Ziele gesendeten Nachrichten, die gelöscht wurden, weil die Nachrichtenwarteschlange auf dem Zielserver voll war. Eine hohe Anzahl verworfener Nachrichten kann darauf hindeuten, dass der Nachrichtendurchsatz zu hoch ist, um vom ExtraHop-System oder dem Zielserver verarbeitet zu werden. Schau dir das an Länge der Exremote-Nachrichtenwarteschlange nach Ziel und der Einzelheiten zum Ziel Diagramme, um festzustellen, ob Ihre Übertragungsfehler möglicherweise auf eine lange Nachrichtenwarteschlange zurückzuführen sind.
- Nicht übereinstimmende Zielmeldungen
- Die Anzahl der gelöschten Remote-Nachrichten, weil das im Open Data Stream (ODS) -Triggerskript angegebene Remotesystem nicht mit dem Namen übereinstimmt, der auf der Seite Open Data Streams in den Administrationseinstellungen konfiguriert wurde. Stellen Sie sicher, dass die Namen der Remotesysteme in den Triggerskripten und den Administrationseinstellungen konsistent sind.
- Fehler beim Dekodieren gelöschter Nachrichten
- Die Anzahl der Nachrichten, die aufgrund interner Kodierungsprobleme zwischen ExtraHop Capture (excap) und ExtraHop Remote (exremote) verloren gegangen sind.
Verbindungen
Ein Linien- und Säulendiagramm, in dem das Liniendiagramm die Anzahl der Versuche anzeigt, die das System unternommen hat, eine Verbindung zu einem Remote-Zielserver herzustellen, und das dazugehörige Säulendiagramm die Anzahl der Fehler anzeigt, die als Ergebnis dieser Versuche aufgetreten sind. Neben dem Linien- und Säulendiagramm zeigt ein Wertdiagramm die Gesamtzahl der Verbindungsversuche und Verbindungsfehler an, die im ausgewählten Zeitintervall aufgetreten sind.
Länge der Exremote-Nachrichtenwarteschlange nach Ziel
Ein Liniendiagramm, das die Anzahl der Nachrichten in der ExtraHop Remote (exremote) -Warteschlange anzeigt, die darauf warten, vom ExtraHop-System verarbeitet zu werden.
Länge der Nachrichtenwarteschlange nach Remote-Typ ausschließen
Ein Liniendiagramm, das die Anzahl der Remote-Zielnachrichten in der ExtraHop Capture (Excap) -Warteschlange anzeigt, die darauf warten, vom ExtraHop-System verarbeitet zu werden.
Beziehen Sie sich auf die Nach Remotetyp verworfene Nachrichten Diagramm, um festzustellen, ob Nachrichtenabbrüche aufgetreten sind.
Einzelheiten zum Ziel
Ein Listendiagramm, das die folgenden Metriken zu Recordstore- oder ODS-Remote-Zielen im ausgewählten Zeitintervall anzeigt: Zielname, Zielnachrichten-Bytes out, gesendete Zielnachrichten, Zielserverfehler, gelöschte Nachrichten in voller Warteschlange, Dekodierungsfehler, gelöschte Nachrichten, Zielserver-Verbindungsversuche und Zielserver-Verbindungsfehler.
SSL Zertifikate
Im Bereich SSL-Zertifikate des Systemstatus-Dashboards können Sie die Statusinformationen für alle SSL-Zertifikate auf Ihrem System überprüfen.
Die SSL Zertifikate Dieser Abschnitt enthält die folgende Tabelle:
Einzelheiten zum Zertifikat
Ein Listendiagramm, das die folgenden Informationen für jedes Zertifikat anzeigt:
- Entschlüsselte Sitzungen
- Die Anzahl der Sitzungen, die erfolgreich entschlüsselt wurden.
- Nicht unterstützte Sitzungen
- Die Anzahl der Sitzungen, die mit passiver Analyse nicht entschlüsselt werden konnten, z. B. beim DHE-Schlüsselaustausch.
- Getrennte Sitzungen
- Die Anzahl der Sitzungen, die aufgrund von Desynchronisierungen nicht oder nur teilweise entschlüsselt wurden.
- Passthrough-Sitzungen
- Die Anzahl der Sitzungen, die aufgrund von Hardwarefehlern nicht entschlüsselt wurden, z. B. aufgrund von Fehlern, die durch Überschreitung der Spezifikationen der SSL-Beschleunigungshardware verursacht wurden.
- Mit Shared Secret entschlüsselte Sitzungen
- Die Anzahl der Sitzungen, die mit einem gemeinsamen geheimen Schlüssel entschlüsselt wurden.
Paketerfassung aus der Ferne (RPCAP)
Im Bereich Remote Packet Capture (RPCAP) des Systemstatus-Dashboards können Sie die Anzahl der Pakete und Frames anzeigen, die von RPCAP-Peers gesendet und vom ExtraHop-System empfangen wurden.
Die Paketerfassung aus der Ferne (RPCAP) Dieser Abschnitt enthält die folgenden Diagramme:
Weitergeleitet von Peer
Ein Listendiagramm, das die folgenden Informationen zu Paketen und Frames anzeigt, die von einem RPCAP-Peer weitergeleitet werden:
- Weitergeleitete Pakete
- Die Anzahl der Pakete, die ein RPCAP-Peer versucht hat, an ein ExtraHop-System weiterzuleiten.
- Forwarder-Schnittstellenpakete
- Die Gesamtzahl der Pakete, die vom Forwarder angesehen wurden. Forwarder auf RPCAP-Geräten koordinieren sich miteinander, um zu verhindern, dass mehrere Geräte dasselbe Paket senden. Dies ist die Anzahl der Pakete, die angesehen wurden, bevor Frames entfernt wurden, um den weitergeleiteten Verkehr zu reduzieren, und bevor Frames durch benutzerdefinierte Filter entfernt wurden.
- Forwarder-Kernel-Frame-Drops
- Die Anzahl der Frames, die gelöscht wurden, weil der Kernel des RPCAP-Peers mit dem Stream ungefilterter Frames überlastet war. Ungefilterte Frames wurden vom Kernel nicht gefiltert, um doppelte Pakete oder Pakete zu entfernen, die aufgrund benutzerdefinierter Regeln nicht weitergeleitet werden sollten.
- Die Forwarder-Schnittstelle wird unterbrochen
- Die Anzahl der Pakete, die verworfen wurden, weil der RPCAP-Forwarder mit dem Stream ungefilterter Frames überlastet war. Ungefilterte Frames wurden nicht gefiltert, um doppelte Pakete oder Pakete zu entfernen, die aufgrund benutzerdefinierter Regeln nicht weitergeleitet werden sollten.
Vom ExtraHop-System empfangen
Ein Listendiagramm, das die folgenden Informationen zu Paketen und Frames anzeigt, die von einem ExtraHop-System von einem Remote Packet Capture (RPCAP) -Peer empfangen werden:
- Gekapselte Bytes
- Die Gesamtgröße aller Pakete, die sich auf den UDP-Fluss vom RPCAP-Gerät zum ExtraHop-System beziehen, in Byte. Diese Information zeigt Ihnen, wie viel Traffic der RPCAP-Forwarder Ihrem Netzwerk hinzufügt.
- Gekapselte Pakete
- Die Anzahl der Pakete, die sich auf den UDP-Fluss vom RPCAP-Gerät zum ExtraHop-System beziehen.
- Tunnel-Bytes
- Die Gesamtgröße der Pakete, ohne Kapselungsheader, die das ExtraHop-System von einem RPCAP-Gerät empfangen hat, in Byte.
- Tunnel-Pakete
- Die Anzahl der Pakete, die das ExtraHop-System von einem RPCAP-Peer empfangen hat. Diese Zahl sollte der Zahl der weitergeleiteten Pakete in der Tabelle Vom Remote-Gerät gesendet sehr ähnlich sein. Wenn zwischen diesen beiden Zahlen eine große Lücke besteht, fallen Pakete zwischen dem RPCAP-Gerät und dem ExtraHop-System ab.
Die Verfolgung der gekapselten Pakete und Bytes ist eine gute Methode, um sicherzustellen, dass RPCAP-Forwarder Ihr Netzwerk nicht unnötig belasten. Sie können Tunnelpakete und Bytes überwachen, um sicherzustellen, dass das ExtraHop-System alles empfängt, was das RPCAP-Gerät sendet.
Fortgeschrittene Gesundheitsmetriken
Im Bereich Advanced Health Metrics des Systems Health Dashboard können Sie die Heap-Zuweisung im Zusammenhang mit der Datenerfassung, dem Systemdatenspeicher, Triggern und Fernübertragungen verfolgen. Überwachen Sie den Schreibdurchsatz, die Größe des Arbeitssets und die Triggeraktivität im Systemdatenspeicher.
Die Fortgeschrittene Gesundheitsmetriken Dieser Abschnitt enthält die folgenden Diagramme:
Erfassung und Datenspeicher-Heap-Zuweisung
Ein Liniendiagramm, das die Speichermenge anzeigt, die das ExtraHop-System für die Erfassung von Netzwerkpaketen und für den Datenspeicher reserviert.
Trigger- und Remote-Heap-Zuweisung
Ein Liniendiagramm, das die Speichermenge, ausgedrückt in Byte, anzeigt, die das ExtraHop-System der Verarbeitung von Capture-Triggern und Open Data Streams (ODS) widmet.
Schreibdurchsatz speichern
Ein Flächendiagramm, das den Datenspeicher-Schreibdurchsatz, ausgedrückt in Byte, auf dem ExtraHop-System anzeigt. Das Diagramm zeigt Daten für das ausgewählte Zeitintervall und für Intervalle von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden an.
Größe des Arbeitssets
Ein Flächendiagramm, das die Größe des Schreib-Cache-Arbeitssets für Metriken auf dem ExtraHop-System anzeigt. Die Größe des Arbeitssets gibt an, wie viele Metriken für das ausgewählte Zeitintervall und für Intervalle von 24 Stunden, 1 Stunde, 5 Minuten und 30 Sekunden in den Cache geschrieben werden können.
Laden des Datenspeicher-Triggers
Ein Liniendiagramm, das den Prozentsatz der Zyklen anzeigt, die von datenspeicherspezifischen Triggern auf dem ExtraHop-System verbraucht wurden, basierend auf der gesamten Capture-Thread-Zeit.
Der Datenspeicher-Trigger wird ausgeführt und gelöscht
Ein Linien- und Säulendiagramm, in dem das Liniendiagramm anzeigt, wie oft datenspeicherspezifische Trigger auf dem ExtraHop-System während des ausgewählten Zeitintervalls ausgeführt wurden, und das dazugehörige Säulendiagramm die Anzahl der datenspeicherspezifischen Trigger anzeigt, die während des ausgewählten Zeitintervalls aus der Warteschlange der Trigger gelöscht wurden, die darauf warten, auf dem ExtraHop-System ausgeführt zu werden.
Aus dem Laden des Datenspeicher-Triggers Diagramm, klicken Sie auf Last auslösen Metriklabel, um eine Aufschlüsselung durchzuführen und zu sehen, welche Datenspeicher-Trigger am häufigsten ausgeführt werden.
Alle Drop-Daten, die im Säulendiagramm angezeigt werden, weisen darauf hin, dass es zu Drops von Datenspeicher-Triggern kommt und dass Trigger-Warteschlangen gesichert werden .
Das System stellt Triggeroperationen in die Warteschlange, wenn ein Trigger-Thread überlastet ist. Wenn die Datenspeicher-Trigger-Warteschlange zu lang wird, beendet das System das Hinzufügen von Trigger-Vorgängen zur Warteschlange und löscht die Trigger. Aktuell ausgeführte Trigger sind davon nicht betroffen.
Die Hauptursache für lange Warteschlangen und nachfolgende Triggerausfälle ist ein Trigger mit langer Laufzeit im Datenspeicher.
Datenspeicherauslöserausnahmen nach Trigger
Ein Listendiagramm, das die Anzahl der unbehandelten Ausnahmen anzeigt, die durch datenspeicherspezifische Trigger im ExtraHop-System verursacht wurden.
Status- und Diagnosetools in den Administrationseinstellungen
Die Administrationseinstellungen sind eine weitere Quelle für Systeminformationen und Diagnosen.
Für weitere Messwerte zum allgemeinen Zustand des ExtraHop-Systems und für Diagnosetools, die ExtraHop-Unterstützung um Systemfehler zu beheben, schauen Sie sich die Status und Diagnose Abschnitt der Administrationseinstellungen.
Dashboard zur Systemnutzung
Mit dem Dashboard zur Systemnutzung können Sie überwachen, wie Benutzer mit dem ExtraHop-System interagieren.
Jedes Diagramm im Systemnutzungs-Dashboard enthält Visualisierungen der Benutzerinteraktionen mit dem ExtraHop-System und der Erkennungen, die über das ausgewähltes Zeitintervall, nach Region organisiert.
Hinweis: | Das Systemnutzungs-Dashboard ist ein integriertes System-Dashboard, das Sie nicht bearbeiten, löschen oder einer gemeinsamen Sammlung hinzufügen können. Sie können keine Kopie des Systemnutzungs-Dashboards erstellen oder Diagramme in benutzerdefinierte Dashboards kopieren. |
Before you begin
Das Systemnutzungs-Dashboard kann nur von Benutzern mit System- und Zugriffsadministration von einer Konsole aus angezeigt werden Privilegien.Die folgenden Informationen fassen jede Region und ihre Diagramme zusammen.
- ExtraHop Nutzer
- Beobachten Sie die Anmeldeaktivitäten der Benutzer und die aktuelle Anzahl der aktiven Benutzer im
ExtraHop-System.
Aktive Benutzer und Logins: Die Häufigkeit, mit der sich Benutzer beim ExtraHop-System angemeldet haben, und aktuelle Schnappschüsse der aktiven Benutzer. Das Liniendiagramm zeigt die aktuellen aktiven Benutzer an, und das Säulendiagramm zeigt die Anzahl der Benutzeranmeldungen im Laufe der Zeit an. Eine Anmeldung wird jedes Mal gezählt, wenn sich ein Benutzer am System anmeldet, einschließlich mehrerer Anmeldungen durch einen einzelnen Benutzer.
Die häufigsten Benutzeranmeldungen: Benutzer mit den meisten Logins im ExtraHop-System im ausgewählten Zeitintervall.
Aktive Benutzer und Logins: Die Anzahl der Benutzer, die derzeit auf dem ExtraHop-System aktiv sind, und die Gesamtzahl der Benutzeranmeldungen im ausgewählten Zeitintervall.
- Armaturenbretter
- Beobachten Sie, wie oft Benutzer zuschauen Dashboards und welche Dashboards am häufigsten angesehen werden.
Dashboard-Ansichten: Gesamtzahl der Dashboard-Ansichten im Laufe der Zeit. Eine Dashboard-Ansicht wird gezählt, wenn ein Dashboard nach einer Benutzeranmeldung, einem Klick oder einer direkten Navigation über eine geteilte URL angezeigt wird.
Am häufigsten angesehene Dashboards: Dashboards mit der höchsten Anzahl von Ansichten.
Gesamtzahl der Dashboard-Ansichten: Die Gesamtzahl der Dashboard-Ansichten im ausgewählten Zeitintervall.
- Erkennungen
- Beachten Sie Informationen über Erkennungen die vom ExtraHop-System generiert werden und wie die Benutzer
sie betrachten und Verfolgung Erkennungen.
Erkennungsansichten: In diesem Liniendiagramm werden zwei Werte angezeigt: Erkennungslistenansichten zählen die Anzahl der Klicks auf die Erkennungsliste, wenn gruppiert nach Erkennungstyp, und Detection Detail Views zählt, wie oft a Entdeckungsdetailseite erscheint nach einer Benutzeranmeldung, einem Klick oder einer direkten Navigation über eine geteilte URL. Klicken Sie in der Legende auf einen der Metriknamen, um eine Aufschlüsselung nach Erkennungstyp durchzuführen.
Am häufigsten angesehene Erkennungen: Die Erkennungstypen, die im ausgewählten Zeitintervall am häufigsten angesehen wurden.
Gesamtzahl der Entdeckungsansichten: Die Gesamtwerte für Erkennungslistenansichten und Erkennungsdetailansichten im ausgewählten Zeitintervall.
Erkennungsverfolgung (Liniendiagramm): Die Anzahl der Funde, die mit und ohne ergriffene Maßnahmen geschlossen wurden, und die Anzahl der Funde, die im Laufe der Zeit bestätigt wurden.
Erkennungsverfolgung (Listendiagramm): Die Gesamtzahl der Entdeckungen, die mit und ohne ergriffene Maßnahmen abgeschlossen wurden, die Anzahl der erstellten Untersuchungen und die Gesamtzahl der Entdeckungen, die im ausgewählten Zeitintervall auf den Status Bestätigt gesetzt wurden. Die Liste enthält auch die Anzahl der Erkennungen, für die derzeit der Status In Bearbeitung festgelegt ist.
Gesamtzahl geschlossener Erkennungen: Die Gesamtzahl der Funde, die im ausgewählten Zeitintervall mit und ohne ergriffene Maßnahmen geschlossen wurden. Die Werte für Gesamtzahl geschlossener Entdeckungen beinhalten Entdeckungen, die ausgeblendet wurden, nachdem der Erkennungsstatus festgelegt wurde.
Empfohlene Erkennungen: Die Anzahl der Funde, die während des ausgewählten Zeitintervalls für die Triage empfohlen wurden.
Die am häufigsten empfohlenen Erkennungen: Die Erkennungstypen, die während des ausgewählten Zeitintervalls am häufigsten für die Triage empfohlen wurden.
Gesamtzahl geschlossener empfohlener Erkennungen: Die Gesamtzahl der empfohlenen Erkennungen, die während des ausgewählten Zeitintervalls mit und ohne ergriffene Maßnahmen geschlossen wurden.
- Erkennungsarten
- Beobachten Sie, welche Erkennungstypen am häufigsten vom ExtraHop-System generiert wurden und
wie Benutzer mit diesen Erkennungen interagieren.
Am häufigsten angesehene Erkennungstypen: Die Anzahl der Erkennungslistenansichten und Erkennungsdetailansichten für die Erkennungstypen, die im ausgewählten Zeitintervall aufgetreten sind.
- Ermittlungen
- Beachten Sie die Informationen über von Benutzern erstellte Untersuchungen, die vom ExtraHop-System
empfohlenen Untersuchungen und die Art und Weise, wie Benutzer Untersuchungen ansehen und mit ihnen interagieren
.
Ansichten zur Untersuchung: Die Anzahl der vom Benutzer erstellten und empfohlenen Untersuchungsansichten im Laufe der Zeit. Eine Untersuchungsansicht wird gezählt, wenn eine Untersuchung nach einer Benutzeranmeldung, einem Klick oder einer direkten Navigation über eine geteilte URL angezeigt wird.
Am häufigsten angesehene Untersuchungen: Die Typen von vom Benutzer erstellten und empfohlenen Untersuchungen, die während des ausgewählten Zeitintervalls am häufigsten angesehen wurden.
Gesamtzahl der Ermittlungsansichten: Die Gesamtzahl der vom Benutzer erstellten und empfohlenen Untersuchungsansichten während des ausgewählten Zeitintervalls.
Ermittlungen eingeleitet: Die Anzahl der Untersuchungen, die im Laufe der Zeit erstellt wurden, aufgeführt nach Untersuchungen, die von Benutzern erstellt wurden, und nach Untersuchungen, die vom ExtraHop-System empfohlen wurden.
Die am häufigsten empfohlenen Untersuchungen: Die Untersuchungstypen, die vom ExtraHop-System während des ausgewählten Zeitintervalls am häufigsten empfohlen wurden.
Gesamtzahl der eingeleiteten Ermittlungen: Die Gesamtzahl der von Benutzern erstellten Untersuchungen und die Gesamtzahl der Untersuchungen, die vom ExtraHop-System während des ausgewählten Zeitintervalls empfohlen wurden.
- Bedrohungsinformationen
- Beachten Sie die Informationen zu Bedrohungsinformationen, die Hinweise zu potenziellen
Bedrohungen für Ihr Netzwerk geben und darüber, wie Benutzer sie betrachten.
Einblicke in die Bedrohungslage: Die Anzahl der Aufrufe von Bedrohungsübersicht im Laufe der Zeit. Eine Bedrohungs-Briefing-Ansicht wird gezählt, wenn eine Detailseite der Bedrohungsinformationen angezeigt wird, nachdem ein Benutzer auf eine geteilte URL geklickt oder direkt durch eine geteilte URL navigiert hat.
Die am häufigsten angesehenen Bedrohungsinformationen: Die Bedrohungsinformationen, die während des ausgewählten Zeitintervalls am häufigsten angesehen wurden.
Gesamtansichten zur Bedrohungslage: Die Gesamtzahl der Bedrohungsinformationen, die während des ausgewählten Zeitintervalls angesehen wurden.
Erstellen Sie ein Dashboard
Dashboards bieten einen zentralen Ort für wichtige Kennzahlen, die Ihnen wichtig sind. Wenn Sie ein benutzerdefiniertes Dashboard erstellen, wird ein Dashboard-Layout geöffnet, das eine einzelne Region mit einem leeren Diagramm-Widget und einem leeren Textfeld-Widget enthält. Bearbeiten Sie ein Diagramm, um Echtzeitmetriken in Ihr Dashboard zu integrieren, und bearbeiten Sie ein Textfeld, um Informationen bereitzustellen. Passen Sie abschließend das Layout an und fügen Sie weitere Widgets hinzu, um Ihr Dashboard zu vervollständigen und mit der Überwachung Ihres Netzwerk zu beginnen.
Before you begin
Bestimmen Sie, welche Metriken Sie auf Ihrem Dashboard überwachen möchten. Stellen Sie sich die folgenden Fragen:- Möchte ich nachverfolgen, ob mein Server offline oder nicht verfügbar ist? Fügen Sie Verfügbarkeitsmetriken wie Anfragen und Antworten zu Ihren Dashboard-Diagrammen hinzu.
- Funktioniert mein Server richtig? Fügen Sie Zuverlässigkeitsmetriken wie Fehler zu Ihren Dashboard-Diagrammen hinzu.
- Ist mein Server richtig ausgestattet? Fügen Sie Leistungskennzahlen wie die Serververarbeitungszeit zu Ihren Dashboard-Diagrammen hinzu.
Erstellen Sie das Dashboard-Layout
Die folgenden Schritte zeigen Ihnen, wie Sie das Framework für Ihr Dashboard erstellen, das zwei leere Widget-Typen umfasst: ein Diagramm und ein Textfeld. Ihr neues Dashboard wird im Modus „ Layout bearbeiten" geöffnet (der in der oberen rechten Ecke angezeigt wird). Im Modus „Layout bearbeiten" können Sie Ihr Diagramm und Ihr Textfeld schnell bearbeiten und die Platzierung von Widgets und Bereichen auf einem Dashboard anordnen.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie oben auf der Seite auf Armaturenbretter.
-
Führen Sie auf der Seite Dashboards einen der folgenden Schritte aus:
- klicken Armaturenbretter im Dashboard-Dock und dann klicken Dashboard erstellen am unteren Rand des Docks.
- Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Neues Dashboard.
- Geben Sie im Fenster Dashboard-Eigenschaften einen Namen für Ihr Dashboard ein.
- Geben Sie weitere Metadaten für Ihr Dashboard ein, z. B. einen Namen für den Autor oder eine Beschreibung. Beachten Sie, dass der Permalink eine direkte URL zu Ihrem Dashboard für alle Benutzer bereitstellt, die Freigabeberechtigungen für dein Dashboard.
- klicken Erstellen.
Bearbeiten Sie ein einfaches Diagramm
Die folgenden Schritte zeigen den allgemeinen Fluss für die Bearbeitung eines Diagramm-Widgets im Metric Explorer-Tool. Geben Sie zunächst Quellen und Metriken an, um Daten zu Ihrem Diagramm hinzuzufügen. Sie können jetzt beispielsweise die Verfügbarkeits-, Zuverlässigkeits- oder Leistungskennzahlen, die Sie zu Beginn dieses Verfahrens berücksichtigt haben, zu Ihrem Dashboard hinzufügen. Wählen Sie dann einen Diagrammtyp aus, um die Daten zu visualisieren.
Nächste Maßnahme
- Erfahren Sie mehr über Charts von der Häufig gestellte Fragen zu Grafiken.
- Üben Sie das Erstellen von Diagrammen, indem Sie die folgenden exemplarischen Vorgehensweisen ausführen:
Bearbeiten Sie ein einfaches Textfeld-Widget
Die folgenden Schritte zeigen Ihnen, wie Sie benutzerdefinierten Text in einem Dashboard-Bereich anzeigen. Dies ist ein hilfreiches Tool zum Hinzufügen von Notizen zu einem Diagramm oder Daten in einem Dashboard. Das Textfeld-Widget unterstützt die Markdown-Syntax. Ein neues Textfeld-Widget enthält Beispieltext, der bereits in Markdown formatiert ist, um Ihnen grundlegende Beispiele zu bieten.
- Klicken Sie auf das Textfeld.
- Text auf der linken Seite eingeben und bearbeiten Herausgeber Fensterscheibe. Der HTML-Ausgabetext wird dynamisch im rechten Vorschaufenster angezeigt. Weitere Formatierungsbeispiele finden Sie unter Text in Markdown formatieren.
- klicken Speichern.
Fügen Sie Ihrem Dashboard weitere Widgets und Regionen hinzu
Fügen Sie Regionen und Widgets hinzu und ordnen Sie deren Platzierung auf Ihren Dashboards an.
Nächste Maßnahme
Jetzt, da Ihr Dashboard fertig ist, können Sie die folgenden Schritte ausführen:
Tipps zur Bearbeitung von Diagrammen
Die folgenden Tipps helfen Ihnen bei der Erstellung eines Diagramms bei der Suche nach Metriken und deren Auswahl.
- Filtern Sie die Suchergebnisse nach einem bestimmten Quelltyp oder Protokoll, indem Sie auf Beliebiger Typ oder Beliebiges Protokoll unter den Suchfeldern.
- Sie können nur denselben Quelltyp auswählen, der derzeit in Ihrem Metriksatz enthalten ist. Ein Metriksatz enthält einen Quelltyp und Metriken. Wenn Sie beispielsweise die Anwendung „Alle Aktivitäten" als Quelle auswählen, können Sie diesem Metriksatz nur weitere Anwendungen hinzufügen.
- Erstellen Sie eine Ad-hoc-Gruppe mit mehr als einer Quelle in Ihrem Diagramm, indem Sie Quellen kombinieren. Sie können beispielsweise zwei Anwendungen kombinieren und dann einen einzelnen Metrikwert im Diagramm für diese beiden Anwendungen anzeigen.
- Wenn Sie eine Gerätegruppe als Quelle auswählen, können Sie Aufschlüsselung nach Gruppenmitglied um einzelne Metriken für bis zu 20 Geräte innerhalb der Gruppe anzuzeigen.
Erstellen Sie ein Dashboard mit dynamischen Quellen
Sie können ein Dashboard mit dynamischen Quellen erstellen, damit Benutzer die Quelle des Dashboard jederzeit ändern können. Wenn Sie eine große Anzahl von Dashboards erstellt haben , die alle dieselben Metriken, aber unterschiedliche Quellen haben, sollten Sie erwägen, diese Dashboards durch ein einzelnes Dashboard mit dynamischen Quelle zu ersetzen.
Hinweis: | Wenn Sie das dynamische Quellmenü in Ihrem Dashboard ausblenden möchten, fügen Sie
den folgenden Parameter an das Ende der URL der Dashboard-Seite an:
&hideTemplatePanel=true. Vorher Nach Zum Beispiel: https://eda/extrahop/#/Dashboard/XYFwM/?$device=16&from=30&interval_type=MIN&until=0&hideTemplatePanel=true |
Nächste Maßnahme
Ein Dashboard kopieren
Wenn Sie ein nützliches Dashboard duplizieren möchten, können Sie ein Dashboard kopieren und dann Quellen ersetzen oder ändern, um andere Anwendung-, Gerät- oder Netzwerkdaten anzuzeigen. Sie können jeweils nur ein Dashboard kopieren.
Hinweis: | Wenn Sie nur ein Dashboard kopieren möchten, damit Sie die Quelle im gesamten Dashboard ändern können, sollten Sie Folgendes in Betracht ziehen Erstellen eines Dashboard mit dynamischen Quellen anstatt mehrere Kopien eines einzelnen Dashboard zu erstellen. |
Ein Dashboard-Layout bearbeiten
Versetzen Sie Ihr Dashboard in den Modus „Layout bearbeiten", um Widgets und Bereiche in Ihrem Dashboard-Layout hinzuzufügen, zu löschen oder neu anzuordnen. Sie können Widgets oder Regionen nur hinzufügen oder löschen, wenn sich das Dashboard im Modus „Layout bearbeiten" befindet.
Wenn Sie ein neues Dashboard erstellen, wird das Dashboard automatisch in den Layoutbearbeitungsmodus versetzt. Gehen Sie wie folgt vor, um das Layout eines vorhandenen Dashboard zu bearbeiten:
Ein Diagramm mit dem Metric Explorer bearbeiten
Der Metric Explorer ist ein Tool zum Erstellen und Bearbeiten von Diagrammen, mit dem Sie dynamische Visualisierungen des Gerät- und Netzwerkverhaltens erstellen können.
Video: | Sehen Sie sich die entsprechende Schulung an: Eine Metrik auswählen |
Erstellen und bearbeiten Sie ein Basisdiagramm
Mit dem Metric Explorer können Sie Diagrammkomponenten wie Quellen, Metriken und Datenberechnungen bearbeiten und dann eine Vorschau anzeigen, wie Metrikdaten in verschiedenen Diagrammtypen angezeigt werden. Wenn Sie mit Ihrer Auswahl zufrieden sind, speichern Sie Ihr Diagramm in einem Dashboard.
Die folgenden Schritte zeigen Ihnen den grundlegenden Arbeitsablauf und die Mindestanforderungen für das Ausfüllen eines neuen Diagramms.
Konfigurieren Sie erweiterte Optionen für die Datenanalyse und Diagrammanpassung
Abhängig von den ausgewählten Metriken und dem ausgewählten Diagrammtyp können Sie erweiterte Optionen für die Erstellung anspruchsvoller Visualisierungen mit dem Metric Explorer konfigurieren, wie in der folgenden Abbildung dargestellt.
Sehen Sie sich Metrik Daten und Quellen genauer an, um Details anzuzeigen
Im Abschnitt „ Details" auf der Registerkarte „Metriken" können Sie Drilldown zur Anzeige detaillierter Metriken oder Drilldown zu einer Gerätegruppe um einzelne Geräte innerhalb des Diagramms anzuzeigen. Sie können auch Detailmetriken nach exakten Übereinstimmungen filtern oder eine erstellen Regex-Filter .Fügen Sie auf der Registerkarte Analyse eine Basis- oder Schwellenwertlinie hinzu
Du eine Dynamische Basislinie hinzufügen oder statische Schwellenwertlinie zu deinem Diagramm. Basislinien werden berechnet, nachdem das Diagramm gespeichert wurde. Um eine Linie anzuzeigen, die einen Schwellenwert darstellt, z. B. einen SLA-Wert (Service Level Agreement), fügen Sie Ihrem Diagramm eine statische Schwellenwertlinie hinzu.Legendenbeschriftungen und den Diagrammtitel umbenennen
Bei Diagrammen, in denen eine Legende angezeigt wird, können Sie einen Metriknamen in der Diagrammlegende mit einem ändern benutzerdefiniertes Etikett. Klicken Sie im Metric Explorer im Vorschaufenster auf die Bezeichnung und wählen Sie dann Umbenennen. Um ein Diagramm umzubenennen, klicken Sie auf den Diagrammtitel und wählen Umbenennen.Passen Sie Ihr Diagramm auf der Registerkarte Optionen an
Sie können auf die folgenden Optionen zugreifen, um die Diagrammeigenschaften und die Anzeige von Metrikdaten in Ihrem Diagramm anzupassen:- Metrik Daten von Byte in Bits umwandeln
- Metrik Daten von Basis 2 (Ki=1024) nach Basis 10 (K = 1000) konvertieren
- Ändern Sie die Y-Achse in einem Zeitreihendiagramm von einer linearen auf eine logarithmische Skala
- Metrikwerte in einem Diagramm abkürzen (z. B. 16.130.542 Byte auf 16,1 MB abkürzen)
- Sortieren von Metrikdaten in aufsteigender oder absteigender Reihenfolge in einem Balken-, Listen- oder Wertediagramm
- Ändern der Perzentilgenauigkeit in einem Tortendiagramm
- Eine Diagrammlegende ein- oder ausblenden
- Blenden Sie inaktive Metriken mit einem Wert von Null aus, sodass diese Metriken im Diagramm nicht sichtbar sind, einschließlich der Legende und der Bezeichnung
- Sparkline in eine Liste oder ein Wertdiagramm einbeziehen
- Den Warnstatus für Daten anzeigen, die in Listen- oder Wertediagrammen angezeigt werden (weitere Informationen finden Sie unter Warnmeldungen)
- Schalten Sie die Farbanzeige für Metrik Daten auf Graustufen um (mit Ausnahme von Diagrammen , die einen Warnstatus anzeigen)
- Zeigen Sie für IP-Adressbezeichnungen den Hostnamen (falls er anhand des DNS-Verkehrs in wire data erkannt wird) oder die Quell-IP-Adresse (wenn ein Proxy anhand von wire data erkannt wird) an
- Zeigt die relative Zeit für ein Ablaufdatum an, z. B. die Anzahl der Tage, bis ein SSL-Zertifikat abläuft.
Hinweis: | Einige Optionen sind nur für bestimmte Diagrammtypen verfügbar. Beispielsweise wird die Option, eine Sparkline einzubeziehen, nur auf der Registerkarte Optionen für Listen- und Wertediagramme angezeigt. |
Erstellen Sie eine Ad-hoc-Gruppe, um Daten aus mehreren Quellen zu kombinieren
Auf der Registerkarte Metrik können Sie eine Ad-hoc-Gruppe mit mehreren Quellen innerhalb eines Sets erstellen, indem Sie Quellen kombinieren. Sie können beispielsweise zwei Anwendungen kombinieren und dann einen einzelnen Metrikwert im Diagramm für diese beiden Anwendungen anzeigen.Nächste Maßnahme
Üben Sie das Erstellen von Diagrammen, indem Sie die folgenden exemplarischen Vorgehensweisen ausführen:Filter für reguläre Ausdrücke
Filtern Sie Ihre Suchergebnisse, indem Sie reguläre Ausdrücke (Regex) in bestimmte Suchfelder im gesamten ExtraHop-System schreiben. Sie können beispielsweise nach Parametern in einem Detail-Metrik Metrikschlüssel filtern, z. B. nach einer Zahl innerhalb einer IP-Adresse. Sie können auch filtern, indem Sie bestimmte Schlüssel oder eine Kombination von Schlüsseln aus Diagrammen ausschließen.
- Suchfelder mit einem Sternchen
- Klicken Sie auf das Sternchen, um Regex-Strings zu aktivieren.
Dieser Feldtyp ist auf den folgenden Systemseiten verfügbar:- Eine Tabelle mit Geräten filtern
- Filterkriterien für eine dynamische Gerätegruppe erstellen
- Bestimmte Suchfelder mit einem Dreifeld-Operator
- Klicken Sie auf das Operator-Dropdown-Menü, um die Regex-Option auszuwählen.
Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:- Bearbeiten eines Diagramms im Metric Explorer
- Bestimmte Suchfelder mit einem Tooltip
- Bewegen Sie den Mauszeiger über den Tooltip im Feld, um zu sehen, wann Regex erforderlich ist.
Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:- Hinzufügen von Datensatzbeziehungen zu einer benutzerdefinierten Metrik
Die folgende Tabelle enthält Beispiele für die Standard-Regex-Syntax.
Chart-Szenario | Regex-Filter | So funktionierts |
---|---|---|
HTTP-Statuscodes vergleichen 200 zu 404. | (200|404) | Das vertikale Balkensymbol (|) ist der OR-Operator. Dieser Filter passt 200, oder 404, oder beide Statuscodes. |
Zeigt einen beliebigen HTTP-Statuscode an, der eine enthält 4. | [41] | Eckige Klammern ([und]) kennzeichnen einen Zeichenbereich. Der Filter sucht nach jedem Zeichen innerhalb der Klammern, unabhängig von der Reihenfolge. Dieser Filter entspricht jedem Wert, der eine enthält 4 oder ein 1. Dieser Filter kann beispielsweise zurückgeben 204, 400, 101, oder 201 Statuscodes. |
Alle anzeigen 500HTTP-Statuscodes auf -Ebene. | ^ [5] | Das Caret-Zeichen (^) außerhalb der eckigen Klammern ([und]) bedeutet „beginnt mit". Dieser Filter entspricht jedem Wert, der mit a beginnt 5. Dieser Filter kann beispielsweise zurückgeben 500 und 502 Statuscodes. |
Alle anzeigen 400 und 500 HTTP-Statuscodes auf -Ebene. | ^ [45] | Mehrere Werte in eckigen Klammern ([und]) werden einzeln gesucht, auch wenn ihnen das Caret-Symbol (^) vorangestellt ist. Dieser Filter sucht nicht nach Werten, die beginnen mit 45, entspricht aber allen Werten, die mit a beginnen 4 oder 5. Dieser Filter kann beispielsweise zurückgeben 400, 403, und 500 Statuscodes. |
Zeigt alle HTTP-Statuscodes an, außer 200 Statuscodes auf -Ebene. | ^ (?! 2) | Ein Fragezeichen (? ) und Ausrufezeichen (! ) in Klammern geben einen auszuschließenden Wert an. Dieser Filter entspricht allen Werten außer Werten, die mit a beginnen 2. Dieser Filter kann beispielsweise zurückgeben 400, 500, und 302 Statuscodes. |
Zeigen Sie eine beliebige IP-Adresse mit einem 187. | 187. | Spiele 1, 8, und 7 Zeichen in der IP-Adresse. Dieser Filter gibt keine IP-Adressen zurück, die auf 187 enden, da der letzte Zeitraum angibt, dass hinter den Werten etwas stehen muss. Wenn Sie den Punkt als Literalwert durchsuchen möchten, müssen Sie ihm einen umgekehrten Schrägstrich ( \) voranstellen. |
Überprüfen Sie alle IP-Adressen, die 187.18. | 187\ ,18. | Spiele 187.18 und alles, was folgt. Der erste Punkt wird wörtlich behandelt, da ihm ein umgekehrter Schrägstrich (\) vorangestellt ist. Die zweite Periode wird als Platzhalter behandelt. Dieser Filter gibt beispielsweise Ergebnisse für 187.18.0.0, 180.187.0.0, oder 187.180.0.0/16. Dieser Filter gibt keine Adresse zurück, die endet mit 187.18, weil der Platzhalter erfordert, dass Zeichen den angegebenen Werten folgen. |
Zeigen Sie eine beliebige IP-Adresse an, außer 187.18.197.150. | ^ (?! 187\ .18\ .197\ .150) | Passt zu allem außer 187.18.197.150, wo ^(?!) gibt den auszuschließenden Wert an. |
Schließt eine Liste bestimmter IP-Adressen aus. | ^(?!187\.18\.197\.15[012]) | Passt zu allem außer 187.18.197.150, 187.18.197.151, und 187.18.197.152, wo ^(?!) gibt den auszuschließenden Wert an und die eckigen Klammern ([und]) geben mehrere Werte an. |
Zusätzliche Filter
Wenn du eine benutzerdefinierte Detail-Metrik erstellen im Metrikkatalog können Sie dem Suchfeld Zusätzliche Filter im Bereich Datensatzbeziehungen erweiterte Regex-Syntax hinzufügen.
Die Regex-Syntax in diesem Feld muss die folgenden Anforderungen erfüllen:
- Wenn Ihr Schlüssel mehrere Werte enthält, muss Ihre Regex-Syntax eine
einzelne Capture-Gruppe enthalten. Eine Capture-Gruppe wird durch Klammern gekennzeichnet. Ihre
Erfassungsgruppe bestimmt den Filterwert.
- Wenn Sie einen bestimmten Wert aus einem Detail-Metrik Metrikschlüssel zurückgeben möchten, der mehrere Datensatzfeldwerte
enthält, muss die Regex der folgenden Syntax folgen:
$SCHLÜSSEL:/ <regex> /
Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet und Sie nur den IP-Adresswert zurückgeben möchten, würden Sie Folgendes eingeben:
$SCHLÜSSEL: /^ ([^:] +): . +/
- Wenn Ihr Schlüssel mehrere Datensatzfeldwerte enthält, werden die Werte durch ein Trennzeichen getrennt, das in dem Auslöser angegeben ist, der den Schlüssel generiert. Die Platzierung der Trennzeichen in Ihrer Regex-Syntax muss mit den Trennzeichen im Detailschlüssel übereinstimmen. Wenn Sie beispielsweise einen Schlüssel mit drei Werten haben, die durch ein Trennzeichen getrennt sind, das ein Doppelpunkt ist, müssen die drei Werte für den Schlüssel in Ihrer Regex-Syntax durch zwei Doppelpunkte getrennt werden.
Hinweis: | Wenn Sie alle Datensatzfeldwerte in einem detaillierten Metrikschlüssel zurückgeben möchten, geben Sie ein $-SCHLÜSSEL. Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet, geben Sie ein $-SCHLÜSSEL im Suchfeld , um alle drei dieser Felddatensatzwerte (IP-Adresse, Hostname und SSL-Verschlüsselungssuite) zurückzugeben. |
Ein Textfeld-Widget bearbeiten
Wenn Sie erläuternden Text neben Ihren Dashboard-Diagrammen einfügen oder ein Firmenlogo in Ihrem Dashboard anzeigen möchten, können Sie ein Textfeld-Widget bearbeiten. Mit dem Textfeld-Widget können Sie Text, Links, Bilder oder Beispielmetriken in Ihrem Dashboard anzeigen.
Video: | Sehen Sie sich die entsprechende Schulung an: Kontext mit Textfeld-Widgets bereitstellen |
Das Textfeld-Widget unterstützt Markdown, eine einfache Formatierungssyntax, die einfachen Text in HTML mit nicht alphabetischen Zeichen wie „#" oder „*" konvertiert. Neue Textfeld-Widgets enthalten Markdown-Beispiele. Jedes Mal wird automatisch ein Textfeld-Widget bereitgestellt ein Dashboard erstellen. Du kannst auch fügen Sie Ihrem Dashboard-Layout ein Textfeld-Widget Widget.
Gehen Sie wie folgt vor, um ein vorhandenes Textfeld-Widget zu bearbeiten:
Text in Markdown formatieren
Die folgende Tabelle zeigt gängige Markdown-Formate, die im Textfeld-Widget unterstützt werden.
Hinweis: | Weitere Beispiele für das Markdown-Format finden Sie im GitHub-Anleitungen: Markdown beherrschen und in der CommonMark-Spezifikation . |
Format | Beschreibung | Beispiel |
---|---|---|
Überschriften | Platzieren Sie ein Nummernzeichen (#) und ein Leerzeichen vor Ihrem Text, um Überschriften zu formatieren. Die Ebene der Überschrift wird durch die Anzahl der Nummernzeichen bestimmt. | #### Example H4 heading |
Ungeordnete Listen | Platzieren Sie ein einzelnes Sternchen (*) vor Ihrem Text. Wenn möglich, fügen Sie jedes Listenelement in eine separate Zeile ein. |
* First example
* Second example |
Geordnete Listen | Platzieren Sie für jeden Zeileneintrag eine Zahl 1 und einen Punkt (1.) vor Ihrem Text. Markdown erhöht automatisch die Listennummer. Wenn möglich, fügen Sie jedes Listenelement in eine separate Zeile ein. |
1. First example
1. Second example |
Mutig | Platzieren Sie doppelte Sternchen vor und nach Ihrem Text. | **bold text** |
Kursivschrift | Platzieren Sie einen Unterstrich vor und nach Ihrem Text. | _italicized text_ |
Hyperlinks |
Platzieren Sie den Linktext in Klammern vor der URL in Klammern. Oder geben Sie Ihre URL ein. Links zu externen Websites werden in einem neuen Browser-Tab geöffnet. Links innerhalb des ExtraHop-Systems, wie z. B. Dashboards, werden im aktuellen Browser-Tab geöffnet. |
[Visit our home page](https://www.extrahop.com) https://www.extrahop.com |
Anführungszeichen blockieren | Platzieren Sie eine rechtwinklige Klammer und ein Leerzeichen vor Ihrem Text. |
On the ExtraHop website: > Access the live demo and review case studies. |
Monospace-Schrift | Platziere einen Backtick (`) vor und nach deinem Text. | `example code block` |
Emojis | Kopieren Sie ein Emoji-Bild und fügen Sie es in das Textfeld ein. Sehen Sie die Unicode-Emoji-Diagramm Website für Bilder. Die Markdown-Syntax unterstützt keine Emoji-Shortcodes. |
Bilder in Markdown hinzufügen
Sie können dem Textfeld-Widget Bilder hinzufügen, indem Sie sie verlinken. Stellen Sie sicher, dass Ihr Bild in einem Netzwerk gehostet wird, auf das das ExtraHop-System zugreifen kann.
Links zu Bildern müssen im folgenden Format angegeben werden:
![<alt_text>](<file_path>)
Wo <alt_text> ist der alternative Text für den Bildnamen und <file_path> ist der Pfad des Bildes. Zum Beispiel:
![Graph](/images/graph_1.jpg)
Hinweis: | Sie können Bilder auch hinzufügen, indem Sie sie mit Base64 codieren. Weitere Informationen finden Sie im folgenden Beitrag im ExtraHop-Forum:"Bilder in Textfelder einfügen." |
Fügen Sie Metrikbeispiele in Markdown hinzu
Sie können eine Metrikabfrage schreiben, um einen Metrikwert in das Textfeld-Widget einzubeziehen. Um beispielsweise zu zeigen, wie viele Webserver einen 404-Fehler zurückgegeben haben, können Sie einem Satz eine Metrikabfrage hinzufügen und der Wert wird im Text aktualisiert.
Das folgende Beispiel zeigt das grundlegende Format für das Schreiben von Metrikabfragen:
%%metric:{ "metric_category": "<metric_category>", "object_type": "<object_type>", "object_ids": [object_id], "metric_specs": [ { "name": "<metric_spec>" } ] }%%
Um das zu finden object_type, metric_spec, und metric_category Werte für eine Metrik, führen Sie die folgenden Schritte aus:
- klicken Einstellungen
- klicken Metrischer Katalog.
- Geben Sie den Metriknamen in das Suchfeld Feld.
- Wählen Sie die Metrik aus und notieren Sie sich die Werte für metric_category, object_type, und metric_spec in der REST-API-Parameter Abschnitt.
Um das zu finden object_id Führen Sie für ein Gerät, eine Gerätegruppe oder ein anderes Asset die folgenden Schritte aus:
- klicken Vermögenswerte, und klicken Sie dann im linken Bereich auf einen Asset-Typ.
- Klicken Sie auf den Namen des gewünschten Asset, und öffnen Sie dann das Eigenschaftenfenster.
- Notieren Sie sich den Wert, der für die REST-API-ID angezeigt wird.
Nachdem Sie die Werte für die Metrik gefunden haben, die Sie anzeigen möchten, fügen Sie sie der Metrikabfrage im Texteditor hinzu. Der Wert wird im Text-Widget angezeigt.
Hinweis: | Die folgenden Metrikabfragen werden im Textfeld-Widget nicht unterstützt:
|
Beispiele für metrische Abfragen für das Textfeld-Widget
Die folgenden Beispiele zeigen Ihnen, wie Sie Metrikabfragen der obersten Ebene oder Basis für Anwendung-, Gerät- und Netzwerkobjekte schreiben. Sie können auch eine Abfrage für Detailmetriken schreiben.
Anwendungsmetriken
Um das Objekt All Activity zu spezifizieren, object_ids ist "0".
Diese Beispielabfrage zeigt, wie Sie HTTP-Metriken aus dem Anwendungsobjekt All Activity abrufen können, und zeigt die folgende Ausgabe an:"Getting [value] HTTP requests and [value] HTTP responses from All Activity."
Getting %%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http", "metric_specs": [{"name":"req"}] }%%HTTP requests and %%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http", "metric_specs": [{"name":"rsp"}] }%% HTTP responses from All Activity.
Geräte-Metriken
Sie müssen entweder einen Client angeben ("_client") oder Server ("_server") in der metric_category. Um Metriken für ein bestimmtes Gerät abzurufen, geben Sie die Geräteobjekt-ID-Nummer in object_ids. Um die Geräteobjekt-ID abzurufen (deviceOid), suchen Sie in der globalen ExtraHop-Suche nach dem Geräteobjekt. Wählen Sie das Gerät aus Ihren Suchergebnissen aus. Das "deviceOid=" Der Wert wird in die URL-Abfragezeichenfolge eingebettet.
Diese Beispielabfrage zeigt, wie Metriken von einem Geräteclient-Objekt abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] CLIENT DNS response errors from a specific device."
Getting %%metric:{"object_type": "device", "object_ids": [8], "metric_category": "dns_client", "metric_specs": [{"name":"rsp_error"}] }%% CLIENT DNS response errors from a specific device.
Diese Beispielabfrage zeigt, wie Metriken von einem Geräteserverobjekt abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] SERVER DNS response errors from a specific device."
Getting %%metric:{ "object_type": "device", "object_ids": [156], "metric_category": "dns_server", "metric_specs": [{"name":"rsp_error"}] }%% SERVER DNS response errors from a specific device.
Netzwerk-Metriken
Um Alle Netzwerke anzugeben, object_type ist"capture" und die object_ids ist"0." Um ein bestimmtes VLAN anzugeben, object_type ist"vlan" und die object_ids ist die VLAN-Nummer.
Diese Beispielabfrage zeigt, wie Metriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] broadcast packets from all networks."
Getting %%metric:{ "object_type": "capture", "object_ids": [0], "metric_category": "net","metric_specs": [{"name":"frame_cast_broadcast_pkts"}] }%% broadcast packets from all networks.
Diese Beispielabfrage zeigt, wie Metriken für ein bestimmtes VLAN abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] broadcast packets from VLAN 3."
Getting %%metric:{ "object_type": "vlan", "object_ids": [3], "metric_category": "net", "metric_specs": [{"name":"frame_cast_broadcast_pkts"}] }%% broadcast packets from VLAN 3.
Kennzahlen für Gruppen
Um eine Gruppe anzugeben, object_type ist"device_group." Sie müssen entweder einen Client angeben ("_client") oder Server ("_server") in der metric_category. Die object_ids für die spezifische Gruppe muss aus dem REST API Explorer abgerufen werden.
Diese Beispielabfrage zeigt, wie Metriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] HTTP responses from the HTTP Client Device Group."
Getting %%metric:{ "object_type": "device_group", "object_ids": [17], "metric_category": "http_client", "metric_specs": [{"name":"req"}] }%% HTTP responses from the HTTP Client Device Group.
Metriken im Detail
Wenn Sie Detailmetriken abrufen möchten, sollte Ihre Metrikabfrage zusätzliche Schlüsselparameter wie Schlüssel1 und Schlüssel2 enthalten:
- Objekttyp
- Objekt-IDs
- metrik_kategorie
- metrische Spezifikation
- Name
- Schlüssel 1
- Schlüssel 2
Wichtig: | Sie müssen die liefern object_ids in Ihrer Anfrage. |
Dieses Beispiel zeigt, wie HTTP-Anfragen per URI für die All Activity-Anwendung abgerufen werden (object_ids ist"0"):
%%metric:{ "object_type": "application", "object_ids": [0], "metric_category": "http_uri_detail", "metric_specs": [{"name":"req"}] }%%
Diese Beispielabfrage zeigt Ihnen, wie Sie HTTP-Anfragen anhand von URIs abrufen, die einen Schlüsselwert für"pagead2" für die All Activity-Anwendung (object_ids ist"0"):
%%metric:{ "metric_category": "http_uri_detail", "object_type": "application", "object_ids": [0], "metric_specs": [ { "name": "req", "key1": "/pagead2/" } ] }%%
Diese Beispielabfrage zeigt, wie Zählmetriken für alle Netzwerke abgerufen werden, und zeigt die folgende Ausgabe an:"Getting [value] detail ICA metrics on all networks."
Getting %%metric:{ "object_type": "capture", "object_ids": [0], "metric_category": "custom_detail", "metric_specs": [{ "name":"custom_count", "key1":"network-app-byte-detail-ICA" }] }%% detail ICA metrics on all networks.
Diese Beispielabfrage zeigt, wie eine benutzerdefinierte Datensatzstatistik mit Topn-Schlüsseln und Perzentilen abgerufen wird, und zeigt die folgende Ausgabe an:"The fifth percentile is: [value]."
The fifth percentile is: %%metric:{ "object_type": "vlan", "object_ids": [1], "metric_category": "custom_detail", "metric_specs": [{ "name": "custom_dset", "key1": "myCustomDatasetDetail", "key2": "/10.10.7/", "calc_type": "percentiles", "percentiles": [5] }] }%% .
Hinweis: | Beispielsatz-Metriken werden im Textfeld-Widget nicht unterstützt. Zum Beispiel das Hinzufügen von "calc_type": "mean" Der Parameter für Ihre Textfeld-Abfrage wird nicht unterstützt. |
Eine Dashboard-Region bearbeiten
Dashboard-Bereiche, die Diagramme und Widgets enthalten, sind hochgradig anpassbar. Bei der Arbeit mit Dashboards müssen Sie eine Region möglicherweise häufig ändern oder kopieren. Sie können einen Region nur löschen, seine Größe ändern oder neu anordnen, indem Sie das Dashboard-Layout bearbeiten.
Dashboard-Eigenschaften bearbeiten
Um ein Dashboard umzubenennen, das Design zu ändern oder die URL zu ändern, müssen Sie die Dashboard-Eigenschaften bearbeiten. Wenn Sie ein Dashboard erstellen, haben Sie die Möglichkeit, Dashboard-Eigenschaften anzugeben. Sie können die Dashboard-Eigenschaften jedoch jederzeit ändern.
Präsentieren Sie ein Dashboard
Sie können Ihr Dashboard so einrichten, dass es für Präsentationen oder für die Bildschirme Ihres Netzwerk Operation Centers im Vollbildmodus angezeigt wird.
Der Vollbildmodus bietet die folgenden Anzeigeoptionen:
- Im Präsentationsmodus können Sie das gesamte Dashboard anzeigen und mit ihm interagieren.
- Sie können einen kontinuierlichen Zyklus jedes Diagramms im Dashboard in einer Widget-Diashow anzeigen.
- Sie können eine ansehen einzelne Region in der Vollbildanzeige.
Gehen Sie wie folgt vor, um ein ganzes Dashboard im Vollbildmodus anzuzeigen:
Ein Dashboard teilen
Standardmäßig sind alle benutzerdefinierten Dashboards, die Sie erstellen, privat, was bedeutet, dass keine ExtraHop-Benutzer Ihr Dashboard anzeigen oder bearbeiten können. Sie können Ihr Dashboard jedoch teilen, indem Sie anderen ExtraHop-Benutzern und -Gruppen Ansichts- oder Bearbeitungszugriff gewähren.
Hier sind einige wichtige Überlegungen zum Teilen von Dashboards:
- Wie ein Benutzer mit einem gemeinsam genutzten Dashboard interagiert und welche Informationen er im ExtraHop-System einsehen kann, hängt von den Benutzerrechten ab. Sie können zum Beispiel einen Benutzer mit eingeschränktem Nur-Lese-Recht hinzufügen, wodurch dieser Benutzer nur die Dashboards sehen kann, die Sie mit ihm im ExtraHop-System teilen. Weitere Informationen finden Sie in der Benutzerrechte Abschnitt im ExtraHop-Administratorhandbuch.
- Wenn Sie einem Benutzer die Bearbeitungsberechtigung gewähren, kann dieser Benutzer das Dashboard ändern und mit anderen teilen und es einer Sammlung hinzufügen. Andere Benutzer können das Dashboard jedoch nicht löschen. Nur der Dashboard-Besitzer kann ein Dashboard löschen.
- Gruppeninformationen werden aus LDAP (wie OpenLDAP oder Active Directory) in das ExtraHop-System importiert. Benutzerinformationen sind verfügbar, nachdem sich ein ExtraHop-Benutzer bei seinem Konto angemeldet hat.
- Um ein Dashboard mit einem Nicht-ExtraHop-Benutzer zu teilen, können Sie eine PDF-Datei des Dashboard erstellen.
- Du kannst einen geplanten Dashboard-Bericht erstellen, das die PDF-Datei des Dashboard regelmäßig an jeden E-Mail-Empfänger sendet. (Nur Konsolen.)
Zugriff auf ein Dashboard entfernen
Sie können den Dashboard-Zugriff, den Sie Benutzern und Gruppen gewährt haben, entfernen oder ändern.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie oben auf der Seite auf Armaturenbretter.
- Wählen Sie im Dashboard-Dock das benutzerdefinierte Dashboard aus, das Sie ändern möchten.
- Klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Teilen.
-
Entfernen Sie den Zugriff für Benutzer oder Gruppen, indem Sie einen der folgenden
Schritte ausführen:
- Entfernen Sie den gesamten Zugriff für einen Benutzer oder eine Gruppe, indem Sie auf das rote Löschen klicken (x) Symbol neben dem Benutzer- oder Gruppennamen.
- Entfernen Sie den Bearbeitungszugriff, indem Sie Kann ansehen aus der Dropdownliste neben dem Benutzer- oder Gruppennamen.
- klicken Speichern.
Eine Dashboard-Sammlung erstellen
Sie können eine Sammlung erstellen, um Dashboards zu organisieren, die Ihnen gehören und die mit Ihnen geteilt wurden.
Im Folgenden finden Sie einige wichtige Überlegungen zu Dashboard-Sammlungen:
- Ihr Benutzerrechte bestimmen Sie , ob Sie Sammlungen erstellen und teilen können.
- Sie können einer Sammlung jedes Dashboard hinzufügen, das Ihnen gehört oder das Sie anzeigen oder bearbeiten dürfen.
- Sie können ein Dashboard zu mehreren Sammlungen hinzufügen.
- Sie können eine Sammlung teilen, wenn Sie Eigentümer aller Dashboards in dieser Sammlung sind oder über Bearbeitungsberechtigungen verfügen.
Daten exportieren
Sie können Diagrammdaten aus dem ExtraHop-System in den Formaten CSV und XLSX exportieren.
Du kannst auch PDFs erstellen von ExtraHop-Diagrammen, Seiten und Dashboards.
Erstellen Sie eine PDF-Datei
Sie können Daten aus einem Dashboard, einer Protokollseite oder einem einzelnen Diagramm als PDF-Datei exportieren.
-
Suchen Sie das Dashboard oder die Protokollseite, die die Daten enthält, die Sie exportieren möchten,
und führen Sie einen der folgenden Schritte aus:
- Um eine PDF-Datei der gesamten Seite zu erstellen, klicken Sie auf das Befehlsmenü in der oberen rechten Ecke der Seite und wählen Drucken von einem Sensor oder Als PDF exportieren von einer Konsole aus.
- Um eine PDF-Datei eines einzelnen Diagramms oder Widget zu erstellen, klicken Sie auf den Diagrammtitel und wählen Sie Drucken von einem Sensor oder wählen Als PDF exportieren aus dem Drop-down-Menü auf einer Konsole.
-
Ein PDF-Vorschaufenster wird geöffnet. Führen Sie einen der folgenden Schritte aus:
- Klicken Sie Seite drucken und wählen Sie dann PDF als Ziel aus den Druckeinstellungen in Ihrem Browser.
- Klicken Sie von einem Sensor aus auf Widget drucken und wähle PDF als Ziel aus den Druckeinstellungen in Ihrem Browser.
- Wählen Sie auf einer Konsole Anpassungen im PDF-Format und klicken Sie dann Als PDF exportieren. Das Generieren einer PDF-Datei kann mehrere Sekunden dauern.
Passen Sie das Format einer PDF-Datei an
Beim Erstellen einer PDF-Datei einer Dashboard- oder Protokollseite aus einem Konsole, haben Sie mehrere Möglichkeiten, das Erscheinungsbild Ihrer PDF-Datei anzupassen.
Nächste Maßnahme
Die PDF-Datei wird auf Ihren lokalen Computer heruntergeladen. Jede PDF-Datei enthält den Titel und das Zeitintervall des Dashboard. klicken Bericht auf ExtraHop ansehen um das ursprüngliche Dashboard zu öffnen, das auf das in der PDF-Datei angegebene Zeitintervall eingestellt ist.Einen geplanten Bericht erstellen
Von einem Konsole, können Sie festlegen, dass Berichte, die Informationen über Aktivitäten auf Ihrem ExtraHop-System enthalten, per E-Mail an bestimmte Empfänger gesendet werden. Erstellen Sie einen geplanten Dashboard-Bericht, um eine PDF-Datei mit ausgewählten Dashboard-Informationen, einschließlich Diagrammen und Metriken, per E-Mail zu senden. Erstellen Sie einen geplanten Sicherheitsbetriebsbericht, um eine PDF-Datei mit einer Zusammenfassung der wichtigsten Erkennungen und Risiken für Ihr Netzwerk per E-Mail zu versenden.
Erstellen Sie einen geplanten Dashboard-Bericht
Wenn Sie einen geplanten Dashboard-Bericht erstellen, können Sie angeben, wie oft der Bericht per E-Mail gesendet wird und in welchem Zeitintervall die Dashboard-Daten in der PDF-Datei enthalten sind.
Before you begin
- Ihr Benutzerkonto muss über eine beschränkte Schreibfähigkeit oder mehr verfügen Privilegien.
- Ihr ExtraHop-System muss konfiguriert für den Versand von E-Mails. (Nur RevealX Enterprise)
- Sie müssen sich an einer Konsole auf dem ExtraHop-System anmelden.
- Sie können einen Bericht nur für Dashboards erstellen, die Sie besitzen oder auf die Sie gemeinsamen Zugriff haben.
- Wenn Sie einen Bericht für ein Dashboard erstellen, das später gelöscht wird oder auf das Sie nicht mehr zugreifen können, wird trotzdem eine E-Mail an die Empfänger gesendet. Die E-Mail enthält jedoch nicht die PDF-Datei und einen Hinweis, dass das Dashboard für den Berichtsbesitzer nicht verfügbar ist.
Nächste Maßnahme
- Um das Senden eines geplanten Berichts zu beenden, löschen Sie das Bericht aktivieren Markieren oder löschen Sie den Bericht.
Einen Bericht über geplante Sicherheitsoperationen erstellen
Wenn Sie einen geplanten Sicherheitsbetriebsbericht erstellen, können Sie angeben, wie oft eine PDF-Datei des Berichts per E-Mail gesendet wird und in welchem Zeitintervall die im Bericht enthaltenen Daten verwendet werden sollen.
Before you begin
- Ihr Benutzerkonto muss über eine beschränkte Schreibrechte oder mehr verfügen Privilegien.
- Ihr ExtraHop-System muss das Network Detection and Response (NDR) -Modul enthalten.
- Sie müssen sich an einer Konsole auf dem ExtraHop-System anmelden.
- Ihr ExtraHop-System muss konfiguriert für den Versand von E-Mails. (Nur RevealX Enterprise)
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Geplante Berichte.
- Klicken Sie Erstellen.
- Geben Sie einen eindeutigen Namen für den Bericht in das Name des Berichts Feld.
- Optional: In der Beschreibung Feld, geben Sie Informationen zum Bericht ein. Die Beschreibung erscheint nicht im Abschlussbericht, sondern nur in den Berichtseinstellungen.
- Wählen Sie im Abschnitt Berichtstyp Sicherheitsoperationen.
- Aus dem Websites Wählen Sie im Dropdownmenü die Websites aus, die Sie in den Bericht aufnehmen möchten.
-
Aus dem Zeitplan Führen Sie im Abschnitt die folgenden Schritte aus, um einen Zeitplan für den Bericht zu
konfigurieren:
-
Aus dem E-Mail senden Führen Sie im Abschnitt die folgenden Schritte aus
, um E-Mail-Benachrichtigungen zu konfigurieren:
-
Führen Sie einen der folgenden Schritte aus, um Ihren Bericht zu speichern:
- klicken Jetzt senden um eine Testbericht-E-Mail an die E-Mail-Adressen zu senden, und klicken Sie dann auf Erledigt. Ihr Bericht wurde gespeichert und geplant.
- klicken Speichern. Ihr Bericht ist geplant und wird entsprechend der von Ihnen angegebenen Berichtshäufigkeit an die Empfänger gesendet.
Nächste Maßnahme
- Um das Senden eines geplanten Berichts zu beenden, löschen Sie das Bericht aktivieren Markieren oder löschen Sie den Bericht.
Diagrammtypen
Dashboard-Diagramme im ExtraHop-System bieten mehrere Möglichkeiten, Metrik Daten zu visualisieren, was Ihnen bei der Beantwortung von Fragen zu Ihrem Netzwerkverhalten helfen kann.
- Um zu erfahren, wie sich eine Metrik im Laufe der Zeit ändert, wählen Sie ein Zeitreihendiagramm aus, z. B. das Flächen-, Säulen-, Linien-, Zeilen- und Säulendiagramm oder das Statusdiagramm.
- Um zu erfahren, wie ein Metrikwert im Vergleich zu einem vollständigen Datensatz abschneidet, wählen Sie ein Verteilungsdiagramm aus, z. B. Boxplot, Candlestick, Heatmap oder Histogramm-Diagramm.
- Um den genauen Metrikwert für einen Zeitraum zu ermitteln, wählen Sie ein Gesamtwertdiagramm aus, z. B. ein Balken-, Listen-, Kreis-, Tabellen- oder Wertdiagramm.
- Um den Warnstatus dieser Metrik zu erfahren, wählen Sie die Liste, den Status oder das Wertdiagramm aus.
Weitere Antworten finden Sie in der Häufig gestellte Fragen zu Grafiken.
Die folgende Tabelle enthält eine Liste der Diagrammtypen und Beschreibungen. Klicken Sie auf den Diagrammtyp, um weitere Details und Beispiele zu sehen.
Diagrammtyp | Beschreibung | Typ |
---|---|---|
Flächendiagramm | Zeigt Metrik Werte als Linie an, die Datenpunkte im Laufe der Zeit verbindet, wobei der Bereich zwischen der Linie und der Achse farbig ausgefüllt ist. | Zeitreihen |
Säulendiagramm | Zeigt Metrikdaten als vertikale Spalten über ein ausgewähltes Zeitintervall an. | Zeitreihen |
Liniendiagramm | Zeigt Metrikwerte als Datenpunkte in einer Linie im Zeitverlauf an. | Zeitreihen |
Linien- und Säulendiagramm | Zeigt Metrikwerte als Linie an, die eine Reihe von Datenpunkten im Laufe der Zeit verbindet, mit der Option, eine weitere Metrik als Säulendiagramm unter dem Liniendiagramm anzuzeigen. | Zeitreihen |
Status-Diagramm | Zeigt Metrikwerte in einem Säulendiagramm und den Status einer Alarm an, die sowohl der Quelle als auch der Metrik im Diagramm zugewiesen ist. | Zeitreihen |
Boxplot-Diagramm | Zeigt die Variabilität für eine Verteilung metrischer Daten an. Jede horizontale Linie im Boxplot umfasst drei oder fünf Datenpunkte. | Vertrieb |
Candlestick-Diagramm | Zeigt die Variabilität für eine Verteilung metrischer Daten über die Zeit an. | Vertrieb |
Heatmap-Diagramm | Zeigt eine Verteilung metrischer Daten über die Zeit an, wobei Farbe für eine Datenkonzentration steht. | Vertrieb |
Histogramm-Diagramm | Zeigt eine Verteilung metrischer Daten als vertikale Balken oder Fächer an. | Vertrieb |
Balkendiagramm | Zeigt den Gesamtwert der Metrik Daten als horizontale Balken an. | Gesamtwert |
Diagramm auflisten | Zeigt Metrik Daten als Liste mit optionalen Sparklines an, die Datenänderungen im Laufe der Zeit darstellen. | Gesamtwert |
Kreisdiagramm | Zeigt Metrik Daten als Teil oder Prozentsatz eines Ganzen an. | Gesamtwert |
Tabellen-Diagramm | Zeigt mehrere Metrikwerte in einer Tabelle an, die einfach sortiert werden können. | Gesamtwert |
Wertetabelle | Zeigt den Gesamtwert für eine oder mehrere Metriken an. | Gesamtwert |
Flächendiagramm
Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die durch eine Linie verbunden sind, wobei der Bereich zwischen der Linie und der X-Achse farbig ausgefüllt ist.
Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Linie oder als Reihe angezeigt. Jede Reihe ist zusammengestapelt, um den kumulativen Wert der Daten zu veranschaulichen.
Wählen Sie das Flächendiagramm aus, um zu sehen, wie die Akkumulation mehrerer Metrik Datenpunkte im Laufe der Zeit zu einem Gesamtwert beiträgt. Ein Flächendiagramm kann beispielsweise aufzeigen, wie verschiedene Protokolle zur gesamten Protokollaktivität beitragen.
Weitere Informationen zur Anzeige von Raten in Ihrem Diagramm finden Sie in der Tarife anzeigen Abschnitt.
Hinweis: | Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind. |
Hinweis: | Erkennungen durch maschinelles Lernen erfordern eine Verbindung zu ExtraHop Cloud Services . |
Die folgende Abbildung zeigt ein Beispiel für ein Flächendiagramm.
Balkendiagramm
Der Gesamtwert der Metrik Daten wird als horizontale Balken angezeigt.
Wählen Sie das Balkendiagramm aus, wenn Sie die Daten für mehr als eine Metrik für ein ausgewähltes Zeitintervall vergleichen möchten.
Die folgende Abbildung zeigt ein Beispiel für ein Balkendiagramm.
Boxplot-Diagramm
Das Boxplot-Diagramm zeigt die Variabilität für eine Verteilung Metrik Daten. In diesem Diagramm können Sie nur Daten aus Datensatzmetriken anzeigen, z. B. die Serververarbeitungszeit.
Jede horizontale Linie im Boxplot umfasst drei oder fünf Datenpunkte. Bei fünf Datenpunkten enthält die Linie einen Textbalken, ein vertikales Häkchen, eine obere Schattenlinie und eine untere Schattenlinie. Bei drei Datenpunkten enthält die Linie ein vertikales Häkchen, einen oberen Schatten und einen unteren Schatten. Weitere Informationen zur Anzeige bestimmter Perzentilwerte in Ihrem Diagramm finden Sie unter Perzentile anzeigen.
Die folgende Abbildung zeigt ein Beispiel für ein Boxplot-Diagramm.
Kerzendiagramm
Das Kerzen-Chart zeigt die Variabilität einer Verteilung metrischer Daten über die Zeit. Sie können nur Daten aus Datensatzmetriken oder hochpräzisen Netzwerk-Byte- und Paketmetriken (L2) anzeigen.
Vertikale Linien in jedem Zeitintervall zeigen drei oder fünf Datenpunkte an. Wenn die Linie fünf Datenpunkte hat, enthält sie einen Körper, ein mittleres Häkchen, eine obere Schattenlinie und eine untere Schattenlinie. Wenn die Linie drei Datenpunkte hat, enthält sie ein mittleres Häkchen. Weitere Informationen zur Anzeige bestimmter Perzentilwerte in Ihrem Diagramm finden Sie unter Perzentile anzeigen.
Wählen Sie das Kerzen-Chart aus, um die Variabilität der Datenberechnungen für einen bestimmten Zeitraum anzuzeigen.
Die folgende Abbildung zeigt ein Beispiel für ein Kerzen-Chart.
Säulendiagramm
Metrische Daten werden im Zeitverlauf als vertikale Spalten angezeigt. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Spalte oder als Reihe angezeigt. Jede Reihe ist zusammengestapelt, um den kumulativen Wert der Daten zu veranschaulichen.
Wählen Sie das Säulendiagramm aus, um zu vergleichen, wie die Akkumulation mehrerer Metrik Datenpunkte zu einem bestimmten Zeitpunkt zum Gesamtwert beiträgt.
Hinweis: | Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind. |
Die folgende Abbildung zeigt ein Beispiel für ein Säulendiagramm.
Heatmap-Diagramm
Das Heatmap-Diagramm zeigt eine Verteilung der Metrik Daten über die Zeit, wobei die Farbe eine Datenkonzentration darstellt. Sie können nur eine Dataset-Metrik auswählen, die im Diagramm angezeigt werden soll, z. B. Serververarbeitungszeit oder Roundtrip-Zeit.
Wählen Sie die Heatmap aus, wenn Sie Muster in der Datenverteilung identifizieren möchten.
- Die Heatmap-Legende zeigt den Farbverlauf an, der dem Datenbereich im Diagramm entspricht. Beispielsweise weist die dunklere Farbe auf der Heatmap auf eine höhere Konzentration von Datenpunkten hin.
- Der Standarddatenbereich liegt zwischen dem 5. und 95. Perzentil, wodurch Ausreißer aus der Verteilung herausgefiltert werden. Ausreißer können den Maßstab der in Ihrem Diagramm angezeigten Daten verzerren, wodurch es schwieriger wird, Trends und Muster für den Großteil Ihrer Daten zu erkennen. Sie können sich jedoch dafür entscheiden, den gesamten Datenbereich anzuzeigen, indem Sie den Standardfilter in der Optionen Registerkarte. Weitere Informationen finden Sie unter Ausreißer filtern.
- Das ausgewählte Thema, z. B. Hell, Dunkel oder Raum, beeinflusst, ob eine dunkle oder helle Farbe auf eine höhere Konzentration von Datenpunkten hinweist.
Die folgende Abbildung zeigt ein Beispiel für ein Heatmap-Diagramm.
Histogramm-Diagramm
Das Histogramm-Diagramm zeigt eine Verteilung der Metrik Daten als vertikale Balken oder Abschnitte an. Sie können nur eine Dataset-Metrik auswählen, die in diesem Diagramm angezeigt werden soll, z. B. Serververarbeitungszeit oder Roundtrip-Zeit.
Wählen Sie das Histogramm-Diagramm aus, um die Form der Datenverteilung zu sehen.
- Der Standarddatenbereich reicht vom 5. bis zum 95. Perzentil (5. bis 95), wodurch Ausreißer aus der Verteilung herausgefiltert werden. In der Ansicht Minimum bis Maximum (Min-Max) wird der gesamte Datenbereich angezeigt. Klicken Sie auf die Lupe in der oberen rechten Ecke des Diagramms, um zwischen den beiden Ansichten umzuschalten.
- Die Daten werden je nach Datenbereich automatisch entweder auf linearer oder logarithmischer Skala in Fächer verteilt. Wenn sich der Datenbereich beispielsweise über mehrere Größenordnungen erstreckt, werden die Daten auf einer logarithmischen Skala in Abschnitte eingeteilt. Min-Max (log) wird in der oberen rechten Ecke des Diagramms angezeigt.
- Klicken und ziehen Sie, um mehrere Fächer oder eine bestimmte Ablage zu vergrößern. Klicken Sie erneut auf die
Lupe in der oberen rechten Ecke des Diagramms, um die ursprüngliche Ansicht zu verkleinern
(entweder 5—95. oder Min bis Max).
Hinweis: Durch das Heranzoomen, um ein benutzerdefiniertes Zeitintervall anzuzeigen, wird das globale oder Region Zeitintervall nicht geändert. - Ihre Umschaltoption (zwischen der 5. und 95. Ansicht und der Min-Max-Ansicht) bleibt für Ihr Diagramm bestehen, jedoch nicht für die Benutzer, mit denen Sie Ihr Dashboard und Ihr Diagramm geteilt haben. Informationen zum Festlegen einer dauerhaften Umschaltoption vor dem Teilen eines Dashboard finden Sie unter Ausreißer filtern.
Die folgende Abbildung zeigt ein Beispiel für ein Histogramm-Diagramm.
Hinweis: | Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte. |
Liniendiagramm
Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die in einer Linie verbunden sind. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik als einzelne Linie oder als Reihe angezeigt. Jede Serie überschneidet sich.
Wählen Sie das Liniendiagramm aus, um Änderungen im Laufe der Zeit zu vergleichen.
Hinweis: | Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind. |
Die folgende Abbildung zeigt ein Beispiel für ein Liniendiagramm.
Linien- und Säulendiagramm
Metrische Daten werden als Datenpunkte im Zeitverlauf angezeigt, die durch eine Linie miteinander verbunden sind. Es besteht die Möglichkeit, ein Säulendiagramm unter dem Liniendiagramm anzuzeigen. Wenn Ihr Diagramm beispielsweise mehr als eine Metrik enthält (z. B. HTTP-Anfragen und HTTP-Fehler), können Sie auswählen Als Spalten anzeigen um eine der Metriken als Säulendiagramm unter dem Liniendiagramm anzuzeigen.
Spalten werden standardmäßig in der Farbe Rot angezeigt. Um die rote Farbe zu entfernen, klicken Sie auf Optionen und abwählen Spalten rot anzeigen.
Wählen Sie das Linien- und Säulendiagramm aus, um verschiedene Metriken auf verschiedenen Skalen in einem Diagramm zu vergleichen. Sie können beispielsweise die Fehlerraten und die Gesamtzahl der HTTP-Antworten in einem Diagramm anzeigen.
Hinweis: | Dieses Diagramm unterstützt Erkennungsmarker, die auf Erkennungen hinweisen, die mit Diagrammdaten verknüpft sind. |
Die folgende Abbildung zeigt ein Beispiel für ein Linien- und Säulendiagramm.
Diagramm auflisten
Metrische Daten werden als Liste angezeigt. Wählen Sie das Listendiagramm aus, um lange Listen mit Metrikwerten, z. B. Detailmetriken, anzuzeigen.
- Fügen Sie eine Sparkline hinzu, bei der es sich um ein einfaches Flächendiagramm handelt, das direkt neben dem Namen und Wert der Metrik platziert wird. Eine Sparkline zeigt, wie sich Daten im Laufe der Zeit verändert haben. Klicken Sie auf Optionen Tabulatortaste und wählen Sparklines einbeziehen.
- Zeigt den Metrikwert in einer Farbe für den Warnstatus an. Verschiedene Farben geben den Schweregrad der konfigurierten Alarm an. Wenn beispielsweise ein Warnschwellenwert für eine Metrik überschritten wird, die im Listendiagramm angezeigt wird, wird der Wert für diese Metrik rot angezeigt. Klicken Sie auf Optionen Tabulatortaste und wählen Farbe zeigt den Alarmstatus an.
Hinweis: | Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte. |
Die folgende Abbildung zeigt ein Beispiel für ein Listendiagramm.
Kreisdiagramm
Metrische Daten werden als Teil oder Prozentsatz eines Ganzen angezeigt. Wenn Ihr Diagramm mehr als eine Metrik enthält, werden die Daten für jede Metrik im Kreisdiagramm als einzelnes Segment oder Reihe dargestellt.
Wählen Sie das Tortendiagramm aus, um die Metrikwerte zu vergleichen, die sich gegenseitig ausschließen, z. B. Statuscode-Detailmetriken für die HTTP-Antwortmetrik der obersten Ebene.
- Als Ringdiagramm anzeigen. Klicken Sie auf Wahl Tabulatortaste und wählen Gesamtwert anzeigen.
- Geben Sie die Dezimalgenauigkeit oder die Anzahl der Ziffern an, die in Ihrem Diagramm angezeigt werden. Die Perzentilgenauigkeit ist nützlich für die Darstellung von Datenverhältnissen, insbesondere für Service Level Agreements (SLAs), für die möglicherweise genaue Daten für die Berichterstattung erforderlich sind. Klicken Sie auf Optionen Registerkarte, und wählen Sie im Abschnitt Einheiten Prozentzahlen statt Zählungen anzeigen. Wählen Sie dann 0,00% oder 0,000% aus der Drop-down-Liste.
Die folgende Abbildung zeigt ein Beispiel für ein Tortendiagramm.
Status-Diagramm
Metrische Daten werden in einem Säulendiagramm angezeigt. Die Farbe jeder Spalte steht für den schwerwiegendsten Warnstatus der konfigurierten Alarm für die Metrik. Sie können nur eine Quelle und Metrik für die Anzeige in diesem Diagramm auswählen.
Um den Status aller Alerts anzuzeigen, die mit der ausgewählten Metrikkategorie verknüpft sind, klicken Sie auf Verwandte Benachrichtigungen anzeigen. Eine Liste von Warnungen wird dann unter dem Säulendiagramm angezeigt.
Wählen Sie das Statusdiagramm aus, um zu sehen, wie sich die Daten und der Warnstatus für Ihre Metrik im Laufe der Zeit ändern.
Hinweis: | Dieses Diagramm unterstützt keine Basislinien. |
Die folgende Abbildung zeigt ein Beispiel für ein Statusdiagramm.
Tabellen-Diagramm
Metrische Daten werden zeilen- und spaltenübergreifend in einer Tabelle angezeigt. Jede Zeile steht für eine Quelle. Jede Spalte steht für eine Metrik. Sie können einer Tabelle mehrere Quellen (desselben Typs) und Metriken hinzufügen.
Hinweis: | Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte . |
Die folgende Abbildung zeigt ein Beispiel für ein Tabellendiagramm.
Wertetabelle
Der Gesamtwert für eine oder mehrere Metriken wird als Einzelwert angezeigt. Wenn Sie mehr als eine Metrik auswählen, werden die Metrikwerte nebeneinander angezeigt.
Wählen Sie das Wertdiagramm aus, um den Gesamtwert wichtiger Metriken anzuzeigen, z. B. die Gesamtzahl der in Ihrem Netzwerk aufgetretenen HTTP-Fehler.
- Fügen Sie Sparklines hinzu. Dabei handelt es sich um ein einfaches Flächendiagramm, das unter dem Metrikwert platziert wird. Eine Sparkline zeigt, wie sich Daten im Laufe der Zeit verändert haben. Klicken Sie auf Optionen Tabulatortaste und wählen Sparklines einbeziehen.
- Zeigt den Metrikwert in einer Farbe für den Warnstatus an. Verschiedene Farben geben den Schweregrad der konfigurierten Alarm an. Wenn beispielsweise ein Warnschwellenwert für eine Metrik überschritten wird, wird der Wert rot angezeigt. Klicken Sie auf Optionen Tabulatortaste und wählen Farbe zeigt den Alarmstatus an.
Hinweis: | Dieses Diagramm unterstützt keine Grundlinien oder Schwellenwerte. |
Die folgende Abbildung zeigt ein Beispiel für ein Wertdiagramm.
Erstellen Sie ein Diagramm
Diagramme sind ein unverzichtbares Werkzeug zur Visualisierung, Analyse und zum Verständnis des Netzwerkverhaltens. Sie können von einem Dashboard oder einer Protokollseite aus ein benutzerdefiniertes Diagramm erstellen, um Daten aus den über 4.000 integrierten oder benutzerdefinierten Metriken zu visualisieren, die im ExtraHop-System verfügbar sind. Wenn Sie beispielsweise bei der Problembehandlung eine interessante Servermetrik beobachten, können Sie ein Diagramm erstellen, um diese Metrik zu visualisieren und weiter zu analysieren. Benutzerdefinierte Diagramme werden dann in Dashboards gespeichert.
Nächste Maßnahme
Nachdem Sie ein Diagramm erstellt haben, erfahren Sie mehr über die Arbeit mit Dashboards:
Ein Diagramm kopieren
Sie können ein Diagramm von einer Dashboard- oder Protokollseite kopieren und das kopierte Diagramm dann in einem Dashboard speichern. Kopierte Widgets werden immer in einem neuen Region auf dem Dashboard platziert, den Sie später ändern können.
Hinweis: | Wenn Sie ein Dashboard-Diagramm oder ein Textfeld kopieren möchten, ohne einen neuen Region zu erstellen, klicken Sie auf das Befehlsmenü. in der oberen rechten Ecke der Dashboard-Seite und klicken Sie auf Layout bearbeiten. Suchen Sie das Diagramm, das Sie kopieren möchten, und klicken Sie dann auf Duplizieren. |
Nächste Maßnahme
Das Diagramm wird in einen neuen Region auf dem Dashboard kopiert, der sich im Modus „Layout bearbeiten" befindet. Sie können Ihr Dashboard oder Diagramm jetzt auf folgende Weise bearbeiten:Drilldown
Eine interessante Metrik führt natürlich zu Fragen zu den Faktoren, die mit diesem Metrikwert verbunden sind. Wenn Sie beispielsweise in Ihrem Netzwerk eine große Anzahl von DNS-Anforderungs-Timeouts feststellen, fragen Sie sich möglicherweise, bei welchen DNS-Clients diese Timeouts auftreten. Im ExtraHop-System können Sie ganz einfach einen Drilldown von einer Top-Level-Metrik aus durchführen, um die Geräte, Methoden oder Ressourcen anzuzeigen, die mit dieser Metrik verknüpft sind.
Wenn Sie eine Metrik anhand eines Schlüssels (z. B. einer Client-IP-Adresse, Methode, URI oder Ressource) aufschlüsseln, berechnet das ExtraHop-System eine Topnset von bis zu 1.000 Schlüssel-Wert-Paaren. Anschließend können Sie diese Schlüssel-Wert-Paare untersuchen, die als Metriken detailliert, um zu erfahren, welche Faktoren mit der interessanten Aktivität zusammenhängen.
Drilldown von einem Dashboard oder einer Protokollseite aus
Wenn Sie in einem Diagramm oder einer Legende auf eine Metrik klicken, können Sie sehen, welcher Schlüssel, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Ressource, zu diesem Wert beigetragen hat.
In den folgenden Schritten erfahren Sie, wie Sie eine Metrik finden und anschließend eine Aufgliederung vornehmen können:
Nächste Maßnahme
Detaillierter Überblick über Netzwerkerfassung und VLAN-Metriken
Klicken Sie auf eine interessante Top-Level-Metrik zur Netzwerkaktivität auf einem Netzwerk einfangen oder VLAN Seite, um zu ermitteln, welche Geräte mit dieser Aktivität verknüpft sind.
Hinweis: | Informationen dazu, wie Sie Metriken von einer Seite mit einem Flussnetz oder einer Flow-Netzwerkschnittstelle aus aufschlüsseln können, finden Sie in Drilldown von einem Dashboard oder einer Protokollseite aus Abschnitt. |
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- klicken Vermögenswerte.
- klicken Netzwerke im linken Bereich.
- Klicken Sie auf einen Netzwerk-Capture- oder VLAN-Schnittstellennamen.
- Klicken Sie im linken Bereich auf einen Netzwerk-Layer, z. B. L3 oder L7-Protokolle. Es werden Diagramme angezeigt, die Metrikwerte für das ausgewählte Zeitintervall anzeigen. Für die meisten Protokolle und Metriken ist ein Gerät Die Tabelle wird auch unten auf der Seite angezeigt.
- Klicken Sie auf die Diagrammdaten, wodurch die Liste aktualisiert wird, sodass nur die Geräte angezeigt werden, die mit den Daten verknüpft sind.
- Klicken Sie auf einen Gerätenamen. EIN Gerät Eine Seite wird angezeigt, auf der der Datenverkehr und die Protokollaktivitäten im Zusammenhang mit dem ausgewählten Gerät angezeigt werden.
Drilldown von einer Erkennung aus
Bei bestimmten Erkennungen können Sie weitere Details zu der Metrik oder dem Schlüssel aufrufen , der zu dem ungewöhnlichen Verhalten beigetragen hat. Der Metrikname oder der Schlüssel wird als Link am Ende einer einzelnen Erkennung angezeigt.
Hinweis: | Erkennungen mit Metriken oder Schlüsseln, die keine detaillierten Metriken enthalten, beinhalten keine
Drilldown-Option. Erkennungen, die statt
einer Metrik nur anomale Protokollaktivitäten anzeigen, beinhalten auch keine Metrik-Drilldown-Option. Sie können z. B. keinen
Drilldown zu einer Erkennung von anomalen DNS-Client-Aktivitäten durchführen, wie in der Abbildung
unten dargestellt. Klicken Sie stattdessen auf die Links für den Gerät- oder Anwendungsnamen.
Karte der Aktivitäten, oder Rekorde um
mehr über die anomale Aktivität zu erfahren. |
Drilldown von einer Alarm aus
Klicken Sie in einer Schwellenwertwarnung auf den Metriknamen oder Schlüssel, um zu sehen, welcher Schlüssel, z. B. Client, Server, Methode oder Ressource, zu dem Metrikwert oder dem ungewöhnlichen Verhalten beigetragen hat.
Untersuchen Sie detaillierte Metriken
Nachdem Sie eine Metrik von einem Dashboard, einer Protokollseite, einer Erkennung oder einer Alarm aus detailliert untersucht haben, können Sie die Metrikwerte anhand von Schlüsseln auf einer Seite mit den Detail-Metrik untersuchen. Filtern Sie Metrikdaten oder wählen Sie verschiedene Schlüssel wie Statuscodes oder URIs aus, um Daten aus verschiedenen Perspektiven anzuzeigen.
Die folgende Abbildung zeigt, wie Sie Daten auf einer Seite mit Detail-Metrik Metriken filtern, pivotieren, sortieren oder exportieren.
Wenn Sie eine Metrik nach IP, Client oder Server aufgeschlüsselt haben, werden IP-Adressen und Hostnamen (sofern sie anhand des DNS-Datenverkehrs beobachtet wurden) in der Tabelle angezeigt. Zusätzliche Optionen stehen Ihnen jetzt zur Verfügung. Sie können beispielsweise direkt zu einer Client- oder Serverprotokollseite navigieren, wie in der folgenden Abbildung dargestellt.
- Ergebnisse filtern
-
Eine Detailseite kann bis zu 1.000 Schlüssel-Wert-Paare enthalten. Es gibt zwei Möglichkeiten, bestimmte Ergebnisse aus Daten zu finden: Filterergebnisse oder klicken Sie auf eine Taste in der Tabelle, um einen weiteren Drilldown-Filter zu erstellen.
Um die Ergebnisse zu filtern, klicken Sie auf Beliebiges Feld, und wählen Sie dann ein Feld aus, das je nach Schlüssel variiert. Zum Beispiel können Sie wählen Netzwerk-Lokalität für Client- oder Serverschlüssel. Wählen Sie dann einen der folgenden Operatoren aus:
- Wählen Sie = um eine exakte Zeichenkettenübereinstimmung durchzuführen.
- Wählen Sie ≈ um eine ungefähre Zeichenkettenübereinstimmung durchzuführen. Der
Operator ≈ unterstützt reguläre Ausdrücke.
Hinweis: Um ein Ergebnis auszuschließen, geben Sie einen regulären Ausdruck ein. Weitere Informationen finden Sie unter Filter für reguläre Ausdrücke erstellen. - Wählen Sie ≉ um eine ungefähre Zeichenkettenübereinstimmung aus Ihren Ergebnissen auszuschließen.
- Wählen Sie > oder ≥ um eine Übereinstimmung mit Werten durchzuführen, die größer als (oder gleich) einem angegebenen Wert sind.
- Wählen Sie < oder ≤ um eine Übereinstimmung mit Werten durchzuführen, die kleiner als (oder gleich) einem bestimmten Wert sind.
- Klicken Sie Filter hinzufügen um die Filtereinstellungen zu speichern. Sie können mehrere Filter für eine Abfrage speichern. Gespeicherte Filter werden gelöscht, wenn Sie im Bereich Details im linken Bereich einen anderen Schlüssel auswählen.
Um den Filter abzuschließen, geben Sie einen Wert ein, nach dem Sie die Ergebnisse filtern möchten, oder wählen Sie einen Wert aus, und klicken Sie dann auf Filter hinzufügen.
- Untersuchen Sie Bedrohungsdaten (Nur ExtraHop RevealX Premium und Ultra)
- Klicken Sie auf das rote Kamerasymbol zum Ansehen Bedrohungsinformationen Details zu einem verdächtigen Host, einer IP-Adresse oder einer URI, die in Detail-Metrik Metrikdaten gefunden wurden.
- Markieren Sie einen Metrikwert im oberen Diagramm
- Wählen Sie eine einzelne Zeile oder mehrere Zeilen aus, um die Diagrammdaten im oberen Diagramm auf der Seite mit den Detail-Metrik zu ändern. Zeigen Sie mit der Maus auf Datenpunkte im Diagramm, um weitere Informationen zu den einzelnen Datenpunkten anzuzeigen.
- Per Schlüssel zu mehr Daten wechseln
- Klicken Sie auf die Schlüsselnamen in der Einzelheiten Abschnitt, um detailliertere Metrikwerte zu sehen, aufgeschlüsselt nach anderen Schlüsseln. Klicken Sie für IP-Adresse oder Hostschlüssel auf einen Gerätenamen in der Tabelle, um zu einem Gerät Protokollseite, auf der der Verkehr und die Protokollaktivitäten angezeigt werden, die mit diesem Gerät verknüpft sind.
- Passen Sie das Zeitintervall an und vergleichen Sie Daten aus zwei Zeitintervallen
- Durch Ändern des Zeitintervalls können Sie Metrikdaten zu verschiedenen Zeiten
in derselben Tabelle anzeigen und vergleichen. Weitere Informationen finden Sie unter Vergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln.
Hinweis: Das globale Zeitintervall in der oberen linken Ecke der Seite enthält ein blaues Aktualisierungssymbol und einen grauen Text, der angibt, wann die Drilldown-Metriken zuletzt abgefragt wurden. Um die Metriken für das angegebene Zeitintervall neu zu laden, klicken Sie auf das Aktualisierungssymbol in der Anzeige von Global Zeitselektor. Weitere Informationen finden Sie unter Die neuesten Daten für ein Zeitintervall anzeigen. - Metrikdaten in Spalten sortieren
- Klicken Sie auf die Spaltenüberschrift, um nach Metriken zu sortieren und anzuzeigen, welche Schlüssel den größten oder kleinsten Metrikwerten zugeordnet sind. Sortieren Sie beispielsweise nach der Verarbeitungszeit, um zu sehen, welche Kunden die längsten Ladezeiten der Website hatten.
- Datenberechnung für Metriken ändern
- Ändern Sie die folgenden Berechnungen für die in der Tabelle angezeigten Metrikwerte:
- Wenn die Tabelle eine Zählmetrik enthält, klicken Sie auf Graf in der Optionen Abschnitt im linken Bereich und wählen Sie dann Durchschnittliche Rate. Erfahren Sie mehr in der Rate oder Anzahl in einem Diagramm anzeigen Thema.
- Wenn die Tabelle eine Datensatzmetrik enthält, klicken Sie auf Gemein in der Optionen Abschnitt im linken Bereich und wählen Sie dann Zusammenfassung. Wenn du auswählst Zusammenfassung, Sie können den Mittelwert und die Standardabweichung anzeigen.
- Daten exportieren
- Klicken Sie mit der rechten Maustaste auf einen Metrikwert in der Tabelle, um eine PDF-, CSV- oder Excel-Datei herunterzuladen.
Ein zweites Mal mit einem Schlüsselfilter aufschlüsseln
Nachdem Sie eine Top-Level-Metrik zunächst nach Schlüsseln aufgeschlüsselt haben, wird eine Detailseite mit einem Topnset von Metrik Werten, aufgeschlüsselt nach diesem Schlüssel. Sie können dann einen Filter erstellen, um einen zweiten Drilldown mit einem anderen Schlüssel durchzuführen. Sie können beispielsweise HTTP-Antworten nach Statuscode aufschlüsseln und dann erneut nach dem 404-Statuscode aufschlüsseln, um weitere Informationen zu den Servern, URIs oder Clients zu finden, die mit diesem Statuscode verknüpft sind.
Hinweis: | Die Option, einen zweiten Drilldown durchzuführen, ist nur für bestimmte Topnsets verfügbar. |
Die folgenden Schritte zeigen Ihnen, wie Sie von einem Diagramm aus einen Drilldown durchführen und dann von einer Detailseite mit Metriken aus erneut einen Drilldown durchführen:
Detailmetriken zu einem Diagramm hinzufügen
Wenn Sie schnell eine Reihe von Detailmetriken in einem Dashboard überwachen möchten, ohne dieselben Drilldown-Schritte wiederholt ausführen zu müssen, können Sie bei der Bearbeitung eines Diagramms in der Metric Explorer. In den meisten Diagrammen können bis zu 20 der wichtigsten Detailmetrikwerte nach Schlüsseln aufgeschlüsselt angezeigt werden. Ein Schlüssel kann eine Client-IP-Adresse, ein Hostname, eine Methode, ein URI, ein Referrer oder mehr sein. Tabellen- und Listen-Widgets können bis zu 200 Metrikwerte mit den wichtigsten Details anzeigen.
Ein Dashboard zur Überwachung des Webverkehrs kann beispielsweise ein Diagramm enthalten, in dem die Gesamtzahl der HTTP-Anfragen und -Antworten angezeigt wird. Sie können dieses Diagramm bearbeiten, um jede Metrik nach IP-Adresse aufzuschlüsseln und die Top-Talker zu sehen.
In den folgenden Schritten erfahren Sie, wie Sie ein vorhandenes Diagramm bearbeiten und anschließend Detailmetriken anzeigen können:
Rate oder Anzahl in einem Diagramm anzeigen
Sie können Fehler, Antworten, Anfragen und andere Zählmetrikdaten in einem Diagramm als Rate pro Sekunde oder als Gesamtzahl der Ereignisse im Zeitverlauf visualisieren. Für hochpräzise Metriken zu Netzwerkbytes und Netzwerkpaketen stehen Ihnen zusätzliche Optionen zur Verfügung, um die maximale, minimale und durchschnittliche Rate pro Sekunde in einem Diagramm anzuzeigen.
Wann Bearbeiten eines Diagramms im Metric Explorer, können Sie eine Anzahl oder Rate auswählen, indem Sie auf den Dropdown-Link unter dem Metriknamen klicken, wie in der folgenden Abbildung dargestellt.
Darüber hinaus können Sie aus den folgenden Optionen für die Anzeige von Tarifen und Zählungen wählen. Beachten Sie, dass der von Ihnen Metrik Metriktyp davon abhängt, welche Rate oder Anzahl automatisch angezeigt wird.
- Durchschnittsrate
- Berechnet den durchschnittlichen Metrikwert pro Sekunde für das ausgewählte Zeitintervall. Für netzwerkbezogene Messwerte wie Response L2 Bytes oder NetFlow Bytes wird die durchschnittliche Rate pro Sekunde automatisch angezeigt.
- Zählen
- Zeigt die Gesamtzahl der Ereignisse für das ausgewählte Zeitintervall an. Für die meisten Zählmetriken, wie Fehler, Anfragen und Antworten, wird die Anzahl automatisch angezeigt.
- Zusammenfassung der Tarife
- Berechnet den maximalen, minimalen und durchschnittlichen Metrikwert pro Sekunde. Bei hochpräzisen Metriken wie Netzwerkbytes und Netzwerkpaketen werden diese drei Raten automatisch als Zusammenfassung im Diagramm angezeigt. Sie können auch wählen, ob nur der Höchst-, Mindest- oder Durchschnittskurs in einem Diagramm angezeigt werden soll. Hochpräzise Metriken werden mit einem erfasst Granularitätsebene von 1 Sekunde und sind nur verfügbar, wenn Sie konfiguriere dein Diagramm mit einer Netzwerk- oder Gerätequelle.
Zeigen Sie den Durchschnittskurs in einem Diagramm an
Wenn Sie ein Diagramm mit einer Fehler-, Antwort-, Anfrage- oder anderen Zählmetrik konfiguriert haben, wird automatisch die Gesamtzahl der Ereignisse im Laufe der Zeit angezeigt. Sie können das Diagramm weiter bearbeiten, um eine Durchschnittsrate pro Sekunde für Ihre Daten anzuzeigen.
Before you begin
Erstellen Sie ein Diagramm und wählen Sie eine Zählmetrik, z. B. Fehler, Anfragen oder Antworten, als Quelle aus. Speichern Sie Ihr Diagramm in einem Dashboard.Perzentile oder einen Mittelwert in einem Diagramm anzeigen
Wenn Sie über eine Reihe von Servern verfügen, die für Ihr Netzwerk von entscheidender Bedeutung sind, können Sie anhand des 95. Perzentils der Serververarbeitungszeit in einem Diagramm abschätzen, wie viele Server Probleme haben. Perzentile sind statistische Kennzahlen, die Ihnen zeigen können, wie ein Datenpunkt im Vergleich zu einer Gesamtverteilung im Laufe der Zeit abschneidet.
Sie können Perzentilwert- und Mittelwertberechnungen (Durchschnittsberechnungen) nur in Diagrammen anzeigen, die Datensatz oder Probenset Metriken. Datensatzmetriken sind mit Timing und Latenz verknüpft, z. B. Metriken zur Serververarbeitungszeit und zur Roundtrip-Zeit. Sampleset-Metriken bieten Zusammenfassungen detaillierter Timing-Metriken, wie z. B. die Serververarbeitungszeit, aufgeschlüsselt nach Server, Methode oder URI.
Wann Bearbeiten eines Diagramms im Metric Explorer, können Sie Perzentile oder den Mittelwert auswählen, indem Sie auf den Dropdown-Link unter dem Metriknamen des Datensatzes oder des Stichprobensatzes klicken, wie in der folgenden Abbildung dargestellt.
Der Metric Explorer bietet die folgenden Berechnungen für die Anzeige von Perzentilen und des Mittelwerts.
- Zusammenfassung
-
Bei Datensatzmetriken ist die Zusammenfassung ein Bereich, der die 95., 75., 50., 25. und 5. Perzentilwerte umfasst.
Beispielsweise enthält jede Linie in einem Kerzen-Chart fünf Datenpunkte. Wenn Zusammenfassung ausgewählt ist, stellt der Hauptteil der Linie den Bereich vom 25. Perzentil bis zum 75. Perzentil dar. Das mittlere Häkchen steht für das 50. Perzentil (Median). Der obere Schatten über der Körperlinie steht für das 95. Perzentil. Der untere Schatten steht für das 5. Perzentil.
Für Stichprobenmesswerte zeigt die Zusammenfassung die +/-1 Standardabweichung und die Mittelwerte an. Im Kerzen-Chart steht das vertikale Häkchen in der Linie für den Mittelwert und die oberen und unteren Schatten für die Standardabweichungswerte.
- Gemein
- Der berechnete Durchschnitt der Daten.
- Median
- Der 50. Perzentilwert einer Datensatzmetrik.
- Maximal
- Der 100. Perzentilwert einer Datensatzmetrik.
- Minimal
- Der 0-te Perzentilwert einer Datensatzmetrik.
- Perzentil
- Ein benutzerdefinierter Bereich von drei oder fünf Perzentilwerten für eine Datensatzmetrik.
Einen benutzerdefinierten Perzentilbereich anzeigen
Sie können einen benutzerdefinierten Bereich von drei oder fünf Perzentilwerten für Messwerte zur Serververarbeitungszeit oder Roundtrip-Zeit anzeigen. Sie können keine benutzerdefinierten Perzentile in einem Kreis - oder Statusdiagramm anzeigen.
Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm einen benutzerdefinierten Perzentilbereich hinzufügen:
Before you begin
Erstellen Sie ein Diagramm und wähle eine Datensatz oder Probenset Metrik, und speichern Sie sie in einem Dashboard.- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie oben auf der Seite auf Armaturenbretter.
-
Starte das Metric
Explorer zum Bearbeiten des Diagramms indem Sie die folgenden Schritte ausführen:
- Wählen Sie im Dashboard-Dock ein Dashboard aus, das das Diagramm enthält, das Sie bearbeiten möchten.
- Klicken Sie auf den Diagrammtitel und wählen Sie Bearbeiten.
- klicken Zusammenfassung unter dem Metriknamen.
- Wählen Perzentil... aus der Drop-down-Liste.
- Geben Sie im Feld Perzentile festlegen eine Zahl für jeden Perzentilwert ein, getrennt durch ein Komma. Um beispielsweise die 10., 30. und 80. Perzentile anzuzeigen, geben Sie 10, 30, 80.
- klicken Speichern. Ihr benutzerdefinierter Bereich wird jetzt im Diagramm angezeigt. Sie können jederzeit zwischen Ihrem benutzerdefinierten Bereich und anderen Perzentilauswahlen wie Zusammenfassung oder Maximum wechseln.
- klicken Speichern erneut, um den Metric Explorer zu schließen.
Ausreißer in Histogramm- oder Heatmap-Diagrammen filtern
Histogramm- und Heatmap-Diagramme zeigen eine Verteilung der Daten. Ausreißer können jedoch die Darstellung der Verteilung in Ihrem Diagramm verzerren, sodass es schwierig ist, Muster oder Durchschnittswerte zu erkennen. Die Standardfilteroption für diese Diagramme schließt Ausreißer aus dem Datenbereich aus und zeigt die Perzentile vom 5. bis 95. an. Sie können den Filter so ändern, dass der gesamte Datenbereich (Mindest- bis Höchstwerte), einschließlich Ausreißer, in Ihrem Diagramm angezeigt wird, indem Sie das folgende Verfahren ausführen.
- Klicken Sie auf den Diagrammtitel und wählen Sie dann Bearbeiten um das zu starten Metric Explorer.
- Klicken Sie auf Optionen Registerkarte.
- Wählen Sie in der Dropdownliste Standardfilter im Abschnitt Filter die Option Min bis Max.
- klicken Speichern um den Metric Explorer zu schließen.
Metrikbeschriftungen in einer Diagrammlegende bearbeiten
Sie können die standardmäßige Metrikbezeichnung in einem Diagramm in eine benutzerdefinierte Bezeichnung ändern. Sie können beispielsweise die Standardbezeichnung „Netzwerk-Bytes" in eine benutzerdefinierte Bezeichnung wie „Durchsatz" ändern.
Benutzerdefinierte Beschriftungen gelten nur für einzelne Diagramme. Eine benutzerdefinierte Bezeichnung für eine Metrik bleibt bestehen, wenn Sie das Diagramm in ein anderes Dashboard kopieren, ein Dashboard mit einem anderen Benutzer teilen oder Ihrem Diagramm neue Metriken hinzufügen.
Wenn Sie jedoch Änderungen an der ursprünglichen Metrik vornehmen, z. B. die Datenberechnung aktualisieren (z. B. vom Median auf das 95. Perzentil) oder die Metrik genauer untersuchen, wird die benutzerdefinierte Bezeichnung automatisch gelöscht. Das Etikett wird gelöscht, um eine falsche Kennzeichnung oder mögliche Ungenauigkeit der benutzerdefinierten Bezeichnung zu verhindern, wenn sich Metrik Daten ändern.
Im Folgenden finden Sie einige Überlegungen zum Ändern der Bezeichnung einer Diagrammlegende:
- Für detaillierte Metriken, ein benutzerdefiniertes Etikett wird
automatisch an alle im Diagramm angezeigten Schlüssel angehängt. Sie können jedoch die Reihenfolge des Schlüssels in der Bezeichnung
ändern, indem Sie die Variable einbeziehen
$-SCHLÜSSEL:
- Typ $KEY-Fehler zur Anzeige Fehler 172.21.1.1
- Typ [$KEY] -Fehler anzeigen [172.21.1.1] Fehler
- Sie können Beschriftungen im Boxplot, im Candlestick, in der Heatmap, in der Tabelle oder in den Statusdiagrammen nicht ändern.
- Metrik Delta- oder Dynamische Basislinie Baseline-Labels können nicht umbenannt werden.
Before you begin
Erstellen Sie ein Diagramm und wählen Sie eine Metrik aus.Die folgenden Schritte zeigen Ihnen, wie Sie Metrikbeschriftungen in einem vorhandenen Dashboard-Diagramm ändern können:
Hinzufügen einer Dynamische Basislinie zu einem Diagramm
Dynamische Basislinien helfen dabei, zwischen normaler und abnormaler Aktivität in Ihren Diagrammdaten zu unterscheiden. Basislinien werden nur in Flächen-, Kerzendiagrammen, Säulen-, Linien- und Linien- und Säulendiagrammen unterstützt.
Das ExtraHop-System berechnet dynamische Basislinien auf der Grundlage historischer Daten. Um einen neuen Datenpunkt auf einer Dynamische Basislinie zu generieren, berechnet das System den Medianwert für einen bestimmten Zeitraum.
Warnung: | Durch das Löschen oder Ändern einer Dynamische Basislinie können Basisdaten aus dem System gelöscht werden. Wenn keine Dashboards auf eine Dynamische Basislinie verweisen, werden die Daten aus dem System gelöscht, um ungenutzte Systemressourcen freizugeben. Sie können eine Dynamische Basislinie nicht wiederherstellen, nachdem sie gelöscht wurde. |
Wählen Sie einen Baseline-Typ, der am besten zu Ihrer Umgebung passt. Wenn Sie beispielsweise regelmäßig dramatische Veränderungen von einem Tag zum anderen feststellen, wählen Sie einen Basiswert für die Wochenstunden aus, der die Aktivitäten an bestimmten Wochentagen vergleicht. Wenn die HTTP-Aktivität an Samstagen stark ansteigt, können Sie anhand der Wochenstundenbasis den aktuellen Anstieg der HTTP-Aktivität mit dem Niveau vergleichen, das an anderen Samstagen zur gleichen Stunde zu beobachten ist. In der folgenden Tabelle wird beschrieben, wie die einzelnen Basislinientypen berechnet werden:
Basislinientyp | Historische Daten | Was die Baseline miteinander vergleicht | Neue Basisdatenpunkte hinzugefügt |
---|---|---|---|
Stunde des Tages | 10 Tage | Metrische Werte für eine bestimmte Stunde eines Tages. Zum Beispiel jeden Tag um 14:00 Uhr. | Jede Stunde |
Stunde der Woche | 5 Wochen | Metrische Werte für eine bestimmte Stunde an einem bestimmten Wochentag. Zum Beispiel jeden Mittwoch um 14:00 Uhr. | Jede Stunde |
Kurzfristiger Trend | 1 Stunde | Metrische Werte für jede Minute in einer Stunde. | Alle 30 Sekunden |
Im Folgenden finden Sie einige wichtige Überlegungen zum Hinzufügen einer Basislinie zu einem Diagramm:
- Dynamische Baselines berechnen und speichern Basisdaten. Daher verbraucht das Erstellen einer Baseline Systemressourcen, und die Konfiguration zu vieler Baselines kann die Systemleistung beeinträchtigen.
- Durch das Löschen oder Ändern einer Dynamische Basislinie können Dynamische Basislinie Basisdaten aus dem System gelöscht werden.
- Detailmetriken, auch als Topnsets bezeichnet, werden nicht unterstützt. Die Metriken Sampleset, Maximal Rate und Minimal Rate werden ebenfalls nicht unterstützt. Wenn eine dieser Arten von Kennzahlen in Ihrem Diagramm ausgewählt ist, können Sie keine Dynamische Basislinie für diese Daten generieren.
- Das System kann nur dann mit dem Aufbau einer Dynamische Basislinie beginnen, wenn die erforderliche Menge an historischen Daten verfügbar ist. Zum Beispiel ein Stunde des Tages Für den Basisplan sind historische Daten von 10 Tagen erforderlich. Wenn das System erst seit sechs Tagen Daten sammelt, beginnt die Basislinie erst mit der Darstellung, wenn Daten für weitere vier Tage vorliegen.
- Das System zeichnet nicht rückwirkend eine Dynamische Basislinie für historische Daten auf. Das System zeichnet nur eine Dynamische Basislinie für neue Daten.
- Wenn zwei identische dynamische Baselines in separaten Dashboards existieren, verwenden die Dashboards die Basisdaten wieder. Die Baselines müssen jedoch identisch sein. Wenn Sie einen neuen Basislinientyp auswählen, teilt die neue Dynamische Basislinie keine Daten mit der vorherigen Dynamische Basislinie.
Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm eine Dynamische Basislinie hinzufügen:
Hinzufügen einer statischen Schwellenwertlinie zu einem Diagramm
Durch die Anzeige einer statischen Schwellenwertlinie in einem Diagramm können Sie feststellen, welche Datenpunkte entweder unter oder über einem signifikanten Wert liegen.
Sie können beispielsweise ein Liniendiagramm für die Serververarbeitungszeit erstellen, um die Leistung einer wichtigen Datenbank in Ihrer Netzwerkumgebung zu überwachen. Durch Hinzufügen einer Schwellenwertlinie, die eine Grenze der akzeptablen Verarbeitungszeit (Service Level Agreement, SLA) definiert, können Sie erkennen, wann sich die Datenbankleistung verlangsamt, und das Problem beheben.
Sie können nach Belieben eine oder mehrere Schwellenwertlinien hinzufügen Bearbeiten Sie ein Diagramm mit dem Metric Explorer. Diese Linien sind lokal im Diagramm und nicht mit anderen Widgets oder Benachrichtigungen verknüpft. Schwellenwertlinien sind nur für Flächen-, Kerzen-, Säulen-, Linien-, Linien- und Säulen- und Statusdiagramme verfügbar.
Die folgenden Schritte zeigen Ihnen, wie Sie einem vorhandenen Dashboard-Diagramm eine statische Schwellenwertlinie hinzufügen:
Gerätegruppenmitglieder in einem Diagramm anzeigen
Wenn Sie über ein Diagramm verfügen, in dem eine Gerätegruppe angezeigt wird, können Sie Messwerte für die wichtigsten Geräte in der Gruppe anzeigen, anstatt einen einzelnen Wert für die gesamte Gerätegruppe anzuzeigen. Wenn Sie im Metric Explorer nach Gruppenmitgliedern aufschlüsseln, können Sie bis zu 20 Geräte im Diagramm anzeigen.
Wenn Sie in einem Diagramm weniger Gruppenmitglieder sehen als die von Ihnen angegebene Anzahl von Ergebnissen, kann dies daran liegen, dass Sie eine integrierte Gerätegruppe mit einer kleinen Anzahl von Geräten ausgewählt haben. Bei integrierten Gerätegruppen werden Geräte dynamisch einer Gruppe zugeordnet, basierend auf der Art des Protokollverkehrs, dem sie zugeordnet sind, oder der Rolle, die ihnen zugewiesen wurde.
Before you begin
Erstellen Sie ein Diagramm das eine Gerätegruppe als ausgewählte Quelle enthält. Speichern Sie das Diagramm in einem Dashboard.Filter für reguläre Ausdrücke
Filtern Sie Ihre Suchergebnisse, indem Sie reguläre Ausdrücke (Regex) in bestimmte Suchfelder im gesamten ExtraHop-System schreiben. Sie können beispielsweise nach Parametern in einem Detail-Metrik Metrikschlüssel filtern, z. B. nach einer Zahl innerhalb einer IP-Adresse. Sie können auch filtern, indem Sie bestimmte Schlüssel oder eine Kombination von Schlüsseln aus Diagrammen ausschließen.
- Suchfelder mit einem Sternchen
- Klicken Sie auf das Sternchen, um Regex-Strings zu aktivieren.
Dieser Feldtyp ist auf den folgenden Systemseiten verfügbar:- Eine Tabelle mit Geräten filtern
- Filterkriterien für eine dynamische Gerätegruppe erstellen
- Bestimmte Suchfelder mit einem Dreifeld-Operator
- Klicken Sie auf das Operator-Dropdown-Menü, um die Regex-Option auszuwählen.
Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:- Bearbeiten eines Diagramms im Metric Explorer
- Bestimmte Suchfelder mit einem Tooltip
- Bewegen Sie den Mauszeiger über den Tooltip im Feld, um zu sehen, wann Regex erforderlich ist.
Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:- Hinzufügen von Datensatzbeziehungen zu einer benutzerdefinierten Metrik
Die folgende Tabelle enthält Beispiele für die Standard-Regex-Syntax.
Chart-Szenario | Regex-Filter | So funktionierts |
---|---|---|
HTTP-Statuscodes vergleichen 200 zu 404. | (200|404) | Das vertikale Balkensymbol (|) ist der OR-Operator. Dieser Filter passt 200, oder 404, oder beide Statuscodes. |
Zeigt einen beliebigen HTTP-Statuscode an, der eine enthält 4. | [41] | Eckige Klammern ([und]) kennzeichnen einen Zeichenbereich. Der Filter sucht nach jedem Zeichen innerhalb der Klammern, unabhängig von der Reihenfolge. Dieser Filter entspricht jedem Wert, der eine enthält 4 oder ein 1. Dieser Filter kann beispielsweise zurückgeben 204, 400, 101, oder 201 Statuscodes. |
Alle anzeigen 500HTTP-Statuscodes auf -Ebene. | ^ [5] | Das Caret-Zeichen (^) außerhalb der eckigen Klammern ([und]) bedeutet „beginnt mit". Dieser Filter entspricht jedem Wert, der mit a beginnt 5. Dieser Filter kann beispielsweise zurückgeben 500 und 502 Statuscodes. |
Alle anzeigen 400 und 500 HTTP-Statuscodes auf -Ebene. | ^ [45] | Mehrere Werte in eckigen Klammern ([und]) werden einzeln gesucht, auch wenn ihnen das Caret-Symbol (^) vorangestellt ist. Dieser Filter sucht nicht nach Werten, die beginnen mit 45, entspricht aber allen Werten, die mit a beginnen 4 oder 5. Dieser Filter kann beispielsweise zurückgeben 400, 403, und 500 Statuscodes. |
Zeigt alle HTTP-Statuscodes an, außer 200 Statuscodes auf -Ebene. | ^ (?! 2) | Ein Fragezeichen (? ) und Ausrufezeichen (! ) in Klammern geben einen auszuschließenden Wert an. Dieser Filter entspricht allen Werten außer Werten, die mit a beginnen 2. Dieser Filter kann beispielsweise zurückgeben 400, 500, und 302 Statuscodes. |
Zeigen Sie eine beliebige IP-Adresse mit einem 187. | 187. | Spiele 1, 8, und 7 Zeichen in der IP-Adresse. Dieser Filter gibt keine IP-Adressen zurück, die auf 187 enden, da der letzte Zeitraum angibt, dass hinter den Werten etwas stehen muss. Wenn Sie den Punkt als Literalwert durchsuchen möchten, müssen Sie ihm einen umgekehrten Schrägstrich ( \) voranstellen. |
Überprüfen Sie alle IP-Adressen, die 187.18. | 187\ ,18. | Spiele 187.18 und alles, was folgt. Der erste Punkt wird wörtlich behandelt, da ihm ein umgekehrter Schrägstrich (\) vorangestellt ist. Die zweite Periode wird als Platzhalter behandelt. Dieser Filter gibt beispielsweise Ergebnisse für 187.18.0.0, 180.187.0.0, oder 187.180.0.0/16. Dieser Filter gibt keine Adresse zurück, die endet mit 187.18, weil der Platzhalter erfordert, dass Zeichen den angegebenen Werten folgen. |
Zeigen Sie eine beliebige IP-Adresse an, außer 187.18.197.150. | ^ (?! 187\ .18\ .197\ .150) | Passt zu allem außer 187.18.197.150, wo ^(?!) gibt den auszuschließenden Wert an. |
Schließt eine Liste bestimmter IP-Adressen aus. | ^(?!187\.18\.197\.15[012]) | Passt zu allem außer 187.18.197.150, 187.18.197.151, und 187.18.197.152, wo ^(?!) gibt den auszuschließenden Wert an und die eckigen Klammern ([und]) geben mehrere Werte an. |
Zusätzliche Filter
Wenn du eine benutzerdefinierte Detail-Metrik erstellen im Metrikkatalog können Sie dem Suchfeld Zusätzliche Filter im Bereich Datensatzbeziehungen erweiterte Regex-Syntax hinzufügen.
Die Regex-Syntax in diesem Feld muss die folgenden Anforderungen erfüllen:
- Wenn Ihr Schlüssel mehrere Werte enthält, muss Ihre Regex-Syntax eine
einzelne Capture-Gruppe enthalten. Eine Capture-Gruppe wird durch Klammern gekennzeichnet. Ihre
Erfassungsgruppe bestimmt den Filterwert.
- Wenn Sie einen bestimmten Wert aus einem Detail-Metrik Metrikschlüssel zurückgeben möchten, der mehrere Datensatzfeldwerte
enthält, muss die Regex der folgenden Syntax folgen:
$SCHLÜSSEL:/ <regex> /
Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet und Sie nur den IP-Adresswert zurückgeben möchten, würden Sie Folgendes eingeben:
$SCHLÜSSEL: /^ ([^:] +): . +/
- Wenn Ihr Schlüssel mehrere Datensatzfeldwerte enthält, werden die Werte durch ein Trennzeichen getrennt, das in dem Auslöser angegeben ist, der den Schlüssel generiert. Die Platzierung der Trennzeichen in Ihrer Regex-Syntax muss mit den Trennzeichen im Detailschlüssel übereinstimmen. Wenn Sie beispielsweise einen Schlüssel mit drei Werten haben, die durch ein Trennzeichen getrennt sind, das ein Doppelpunkt ist, müssen die drei Werte für den Schlüssel in Ihrer Regex-Syntax durch zwei Doppelpunkte getrennt werden.
Hinweis: | Wenn Sie alle Datensatzfeldwerte in einem detaillierten Metrikschlüssel zurückgeben möchten, geben Sie ein $-SCHLÜSSEL. Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet, geben Sie ein $-SCHLÜSSEL im Suchfeld , um alle drei dieser Felddatensatzwerte (IP-Adresse, Hostname und SSL-Verschlüsselungssuite) zurückzugeben. |
Finden Sie alle Geräte, die mit externen IP-Adressen kommunizieren
Die folgenden Schritte zeigen Ihnen, wie Sie alle externen IP-Adressen finden, mit denen Ihre internen Geräte kommunizieren. Sie können dann sehen, ob Geräte unbefugte Verbindungen von anderen Geräten außerhalb Ihres Netzwerk herstellen oder empfangen.
Hinweis: | Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten), das das ExtraHop-System automatisch erkennt, als internes Gerät klassifiziert. Da einige Netzwerkumgebungen IP-Adressen enthalten, die nicht nach RFC1918 stammen, als Teil ihres internen Netzwerk können Sie Geben Sie den Standort einer IP-Adresse an auf der Seite Network Localities. |
Überwachen Sie ein Gerät auf externe IP-Adressverbindungen
Wenn Sie über einen Authentifizierungsserver oder eine Datenbank verfügen, die keine Verbindung zu IP-Adressen außerhalb Ihres internen Netzwerk herstellen sollen, können Sie in einem Dashboard ein Wertdiagramm erstellen, das die Messwerte Extern Accepted und External Connected verfolgt. Von Ihrem Dashboard aus können Sie dann die Anzahl der externen Verbindungen für ein bestimmtes Gerät überwachen.
Hinweis: | Standardmäßig wird jedes Gerät mit einer RFC1918-IP-Adresse (in einem 10/8-, 172.16/12- oder 192.168/16 CIDR-Block enthalten), das das ExtraHop-System automatisch erkennt, als internes Gerät klassifiziert. Da einige Netzwerkumgebungen IP-Adressen enthalten, die nicht nach RFC1918 stammen, als Teil ihres internen Netzwerk können Sie Geben Sie den Standort einer IP-Adresse an auf der Seite Network Localities. |
Die folgenden Schritte zeigen Ihnen, wie Sie ein Wertdiagramm für diese TCP-Metriken erstellen und das Diagramm dann zu einem Dashboard hinzufügen.
Nächste Maßnahme
Ein Dashboard teilenVergleichen Sie Zeitintervalle, um das Metrik Delta zu ermitteln
Durch den Vergleich von Metrikdaten zwischen zwei Zeitintervallen können Sie den Unterschied oder das Delta in Metrik Daten nebeneinander in demselben Diagramm erkennen. Wenn Sie einen Vergleich erstellen und zu einem anderen Bereich des ExtraHop-Systems navigieren, ist der Vergleich vorübergehend deaktiviert. Wenn Sie zu Ihrer ursprünglichen Seite zurückkehren, ist der von Ihnen gespeicherte Vergleich wieder aktiviert.
Vermögenswerte
Alle anhand der Daten in Ihrem Netzwerk gesammelten Metrikaktivitäten sind logisch in Abschnitte auf der Seite „Ressourcen" gruppiert, in denen Sie nach den benötigten Daten navigieren können.
Video: | Sehen Sie sich die entsprechende Schulung an: Vermögenswerte |
Geräte
Geräte, auch bekannt als Assets und Endpoints, sind Objekte in Ihrem Netzwerk mit einer MAC-Adresse oder IP-Adresse, die vom ExtraHop-System automatisch erkannt und klassifiziert wurden. Ordnen Sie ein beliebiges Gerät einem Diagramm, einer Alarm oder einem Auslöser als Metrikquelle zu. Erfahre mehr über Geräte.
Gerätegruppen
Gerätegruppen sind benutzerdefinierte Gruppen von Geräten, die einem Diagramm, einer Alarm oder einem Auslöser gemeinsam als Metrikquelle zugewiesen werden können. Du kannst eine dynamische Gerätegruppe erstellen das fügt Geräte hinzu, die Ihren angegebenen Kriterien entsprechen, oder Sie können eine statische Gerätegruppe erstellen und fügen Sie Geräte manuell hinzu oder entfernen Sie sie. Das ExtraHop-System umfasst auch integrierte dynamische Gerätegruppen nach Rolle und Protokollaktivität, die Sie als Metrikquelle zuweisen können. Klicken Sie auf der Seite Geräte auf einen Rollen- oder Protokoll-Link , um Metriken für eine integrierte Gerätegruppe anzuzeigen.
Nutzer
Auf der Seite Benutzer werden eine Liste aller aktiven Benutzer in Ihrem Netzwerk sowie der Geräte angezeigt, an denen sich der Benutzer angemeldet hat. Der Benutzername wird aus dem Authentifizierungsprotokoll wie LDAP oder Active Directory extrahiert. Suchen Sie nach Geräten, auf die ein bestimmter Benutzer zugegriffen hat.
Hinweis: | Diese Benutzer sind nicht mit Benutzerkonten für das ExtraHop-System verknüpft. |
Anwendungen
Anwendungen sind benutzerdefinierte Container, die verteilte Systeme in Ihrem Netzwerk darstellen. Erstellen Sie eine Anwendung, um die gesamte Metrikaktivität im Zusammenhang mit Ihrem Website-Traffic anzuzeigen — Webtransaktionen, DNS-Anfragen und -Antworten sowie Datenbanktransaktionen. Sehen Sie die Häufig gestellte Fragen zu Anwendungen.
Grundlegende Anwendungen, die integrierte Metriken nach Protokollaktivität filtern, können sein erstellt durch das ExtraHop-System . Komplexe Anwendungen, die benutzerdefinierte Metriken oder Metriken aus Nicht-L7-Verkehr sammeln, müssen durch einen Auslöser erstellt, was JavaScript-Code erfordert. Erfahre mehr über Trigger erstellen.
Netzwerke
Netzwerke sind Standorte und Flussnetzwerke, von denen das ExtraHop-System Daten sammelt und analysiert. Websites enthalten Paket Sensoren und Fluss Sensoren. Klicken Sie auf einen Eintrag, um die mit einer Standort verknüpften VLANs anzuzeigen, oder klicken Sie auf einen Eintrag, um die mit einem Flussnetz verknüpften Schnittstellen anzuzeigen.
Geräte
Das ExtraHop-System erkennt und klassifiziert automatisch Geräte, auch Endpunkte genannt, die aktiv über Ihr Netzwerk kommunizieren, wie Clients, Server, Router, Load Balancer und Gateways. Jedes Gerät erhält die höchste verfügbare Analyseniveau, basierend auf Ihrer Systemkonfiguration.
Das ExtraHop-System kann Geräte entdecken und verfolgen nach ihrer MAC-Adresse (L2 Discovery) oder nach ihren IP-Adressen (L3 Discovery). Die Aktivierung von L2 Discovery bietet den Vorteil, dass Metriken für ein Gerät auch dann verfolgt werden, wenn die IP-Adresse durch eine DHCP-Anfrage geändert oder neu zugewiesen wird. Wenn L3 Discovery aktiviert ist, ist es wichtig zu wissen, dass Geräte möglicherweise keine Eins-zu-Eins-Beziehung zu den physischen Geräten in Ihrer Umgebung haben. Wenn beispielsweise ein einzelnes physisches Gerät über mehrere aktive Netzwerkschnittstellen verfügt, wird dieses Gerät vom ExtraHop-System als mehrere Geräte identifiziert.
Nachdem ein Gerät erkannt wurde, beginnt das ExtraHop-System mit der Erfassung von Metriken auf der Grundlage der Analyseebene für dieses Gerät konfiguriert. Die Analyseebene bestimmt, welche Arten von Metriken generiert werden und welche Funktionen für die Organisation von Metrikdaten verfügbar sind.
Navigierende Geräte
klicken Vermögenswerte aus dem oberen Menü, um Suchoptionen und Diagramme anzuzeigen, die einen Einblick in die aktiven Geräte geben, die während des ausgewählten Zeitintervalls in Ihrem Netzwerk entdeckt wurden:
- AI Search Assistant (erfordert Zugriff auf das NDR-Modul)
- Ermöglicht es Ihnen suche nach Geräten mit Fragen geschrieben in natürlicher, alltäglicher Sprache. KI-Suchassistent muss vom ExtraHop-Administrator aktiviert werden.
- Standard-Suchfeld
- Stellt einen Filter bereit, zu dem Kriterien hinzugefügt werden können suche nach bestimmten Geräten. Klicken Sie auf den Filter, um die Suchkriterien zu ändern.
- Vorschläge für die Suche
- Bietet Suchvorschläge, die die erstellten Suchfilter nutzen.
- Aktive Geräte
- Zeigt die Gesamtzahl der Geräte an, die vom ExtraHop-System während des ausgewählten Zeitintervalls erkannt wurden. Klicken Sie auf die Zahl, um eine Liste aller erkannten Geräte anzuzeigen. In der Liste der aktiven Geräte können Sie suche nach bestimmten Geräten oder klicken Sie auf einen Gerätenamen, um Gerätedetails auf der Seite „ Geräteübersicht".
- Neue Geräte
- Zeigt die Anzahl der Geräte an, die in den letzten fünf Tagen entdeckt wurden. Klicken Sie auf die Nummer, um eine Liste all dieser Geräte anzuzeigen.
- Geräte nach Rolle
- Zeigt jede Geräterolle und die Anzahl der Geräte an, die jeder Rolle zugewiesen sind, die während des angegebenen Zeitintervalls aktiv ist. Klicken Sie auf eine Geräterolle, um eine integrierte Übersichtsseite für Gerätegruppen anzuzeigen, die Metrikdaten, Peer-IPs und Protokollaktivitäten für diese Gerätegruppe enthält. Sie können auch zusätzliche Filterkriterien hinzufügen und die Gruppe als neue dynamische Gerätegruppe speichern.
- Geräte nach Protokollaktivität
- Zeigt eine Liste der Protokollaktivitäten an, die in Ihrem Netzwerk gefunden wurden. Klicken Sie auf einen Protokollnamen oder eine Geräteanzahl, um eine integrierte Übersichtsseite mit bestimmten Metrikdiagrammen zu dieser Protokollaktivität anzuzeigen. Klicken Sie auf eine Aktivitätsdiagramm, um alle Gerät-zu-Gerät-Verbindungen anzuzeigen. Sie können auch zusätzliche Filterkriterien hinzufügen und die Gruppe als neue dynamische Gerätegruppe speichern.
Seite „Geräteübersicht"
Wenn Sie auf einen Gerätenamen klicken, können Sie alle Informationen, die das ExtraHop-System über das Gerät gefunden hat, auf der Seite Geräteübersicht einsehen. Die Seite „Geräteübersicht" ist in drei Abschnitte unterteilt: eine Zusammenfassung auf oberster Ebene, einen Eigenschaftenbereich und einen Aktivitätsbereich.
Zusammenfassung des Geräts
Die Geräteübersicht enthält Informationen wie den Gerätenamen, die aktuelle IP - oder MAC-Adresse und die dem Gerät zugewiesene Rolle. Wenn Sie von einem aus betrachten Konsole, der Name der mit dem Gerät verknüpften Standort wird ebenfalls angezeigt.
- Klicken Sie Rekorde um eine zu starten Abfrage Datensatz das wird von diesem Gerät gefiltert.
- Klicken Sie Pakete um eine zu starten Paketabfrage das wird von diesem Gerät gefiltert.
Eigenschaften des Geräts
Der Abschnitt mit den Geräteeigenschaften enthält die folgenden bekannten Attribute und Zuweisungen für das Gerät.
- Hochwertiges Gerät
- Eine hoher Wert Ikone erscheint, wenn das ExtraHop-System beobachtet hat, dass das Gerät die Authentifizierung oder wichtige Dienste bereitstellt; Sie können auch geben Sie manuell ein Gerät als hohen Wert an. Die Risikowerte für Erkennungen auf hoher Wert Geräten werden erhöht.
- IP-Adressen
- Eine Liste der IP-Adressen, die zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls auf dem Gerät beobachtet wurden. Wenn L2 Discovery aktiviert ist, werden in der Liste möglicherweise sowohl IPv4- als auch IPv6-Adressen angezeigt, die gleichzeitig auf dem Gerät beobachtet werden, oder in der Liste werden möglicherweise mehrere IP-Adressen angezeigt, die über DHCP-Anfragen zu unterschiedlichen Zeiten zugewiesen wurden. Ein Zeitstempel gibt an, wann die IP-Adresse zuletzt auf dem Gerät beobachtet wurde. Klicken Sie auf eine IP-Adresse um andere Geräte anzuzeigen, auf denen die IP-Adresse gesehen wurde.
- Zugeordnete IP-Adressen
- Eine Liste von IP-Adressen, normalerweise außerhalb des Netzwerk, die dem Gerät zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls zugeordnet sind. Beispielsweise könnte ein VPN-Client in Ihrem Netzwerk mit einer externen IP-Adresse im öffentlichen Internet verknüpft sein. Ein Zeitstempel gibt an, wann die IP-Adresse zuletzt mit dem Gerät verknüpft wurde. Klicken Sie auf eine zugehörige IP-Adresse um Details wie den geografischen Standort und andere Geräte anzuzeigen, mit denen die IP-Adresse verknüpft wurde.
- Eigenschaften der Cloud-Instanz
-
Die folgenden Cloud-Instanzeigenschaften werden für das Gerät angezeigt, wenn Sie die Eigenschaften über die REST-API konfigurieren:
- Cloud-Konto
- Cloud-Instanztyp
- Virtuelle private Cloud (VPC)
- Subnetz
- Cloud-Instanzname (erscheint in der Eigenschaft Bekannter Alias)
- Beschreibung der Cloud-Instanz (Instanz-Metadaten werden automatisch für Geräte in Flow Analysis angezeigt)
siehe Fügen Sie Cloud-Instanz-Eigenschaften über den ExtraHop API Explorer hinzu für weitere Informationen.
- Nutzer
- Eine Liste der authentifizierten Benutzer, die am Gerät angemeldet sind. Klicken Sie auf einen Benutzernamen um zur Benutzerseite zu gehen und zu sehen, auf welchen anderen Geräten der Benutzer angemeldet ist.
- Bekannte Aliase
- Eine Liste von Alternativen
Gerätenamen und das Quellprogramm oder Protokoll.
Hinweis: Es werden mehrere DNS-Namen unterstützt. - Hardware und Software
- Die Hardware oder der Hersteller und das Modell des Geräts sowie alle
Betriebssysteme, die auf dem Gerät ausgeführt werden.
Das ExtraHop-System beobachtet den Netzwerkverkehr auf Geräten, um automatisch die Marke und das Modell des Herstellers zu ermitteln, oder Sie können Manuelles Zuweisen einer neuen Marke und eines neuen Modells.
Hinweis: (CrowdStrike-Integration (nur auf RevealX 360) Klicken Sie auf Links von CrowdStrike-Geräten, um Gerätedetails in CrowdStrike Falcon anzuzeigen und die Eindämmung von CrowdStrike-Geräten einleiten das sind Teilnehmer an einer Sicherheitserkennung. - Schlagworte
- Das dem Gerät zugewiesene Tags. Klicken Sie auf einen Tag-Namen, um die anderen Geräte anzuzeigen, denen das Tag zugewiesen ist.
- Zuerst und zuletzt gesehen
- Die Zeitstempel von dem Zeitpunkt, an dem das Gerät zum ersten Mal entdeckt wurde und wann die Aktivität zuletzt auf dem Gerät beobachtet wurde. NEU erscheint, wenn das Gerät innerhalb der letzten fünf Tage entdeckt wurde
- Analyse
- Das Ebene der Analyse die dieses Gerät empfängt.
Hier sind einige Möglichkeiten, wie Sie Geräteeigenschaften anzeigen und ändern können:
- Klicken Sie Gruppen ansehen um das zu sehen Gerätegruppe Mitgliedschaft für das Gerät.
- Klicken Sie Eigenschaften bearbeiten zum Anzeigen oder Ändern von Geräteeigenschaften wie Geräterolle, Gerätegruppenmitgliedschaften oder Geräte-Tags.
- Klicken Sie Aufgaben bearbeiten um welche einzusehen oder zu ändern Warnungen und löst aus sind dem Gerät zugewiesen.
Aktivität des Geräts
Der Abschnitt Geräteaktivität enthält Informationen darüber, wie das Gerät mit anderen Geräten kommuniziert und welche Erkennungen und Warnungen mit dem Gerät verknüpft sind.
- Klicken Sie Verkehr um Diagramme für Protokoll- und Peer-Daten anzuzeigen,
und dann
nach unten bohren zu Metriken in Verkehrskarten.
Hinweis: Verkehrsdiagramme sind nicht verfügbar, wenn sich die Geräteanalyseebene im Entdeckungsmodus befindet. Um Verkehrskarten für das Gerät zu aktivieren, erhöhen Sie das Gerät auf Fortgeschrittene Analyse oder Standardanalyse. - Klicken Sie Erkennungen um eine Liste der Funde anzuzeigen, und klicken Sie dann auf einen Erkennungsnamen, um Erkennungsdetails anzeigen.
- Klicken Sie Ähnliche Geräte um eine Liste von Geräten mit ähnlichem Netzwerkverkehrsverhalten anzuzeigen, das durch maschinelle Lernanalysen beobachtet wurde. Ähnliche Geräte können Ihnen helfen, bei der Suche nach Bedrohungen einen Einblick in das normale Geräteverhalten zu erhalten. Diese Registerkarte wird nur angezeigt, wenn dem Gerät ähnliche Geräte zugeordnet sind.
- (Zugriff auf das NPM-Modul erforderlich.) Klicken Sie Warnmeldungen um eine Liste von Warnungen anzuzeigen, und klicken Sie dann auf einen Warnungsnamen, um Warnungsdetails anzeigen. Diese Registerkarte wird nur angezeigt, wenn dem Gerät Warnungen zugeordnet sind.
- Klicken Sie Peer-Geräte zu eine Aktivitätsdiagramm, das ist eine visuelle Darstellung der L4-L7-Protokollaktivität zwischen Geräten in Ihrem Netzwerk. Zu modifizieren Sie die Aktivitätsdiagramm mit zusätzlichen Filtern und Schritten klicken Sie auf Aktivitätenkarte öffnen.
Hinweis: | Sie können die Seite „Geräteübersicht" mit einem Lesezeichen für eine bestimmte Aktivitätsansicht versehen,
indem Sie die tab URL-Parameter für einen der folgenden Werte:
Beispielsweise zeigt die folgende URL immer die Erkennungsaktivität für das angegebene Gerät an: https://example-eda/extrahop/#/metrics/devices//0026b94c03810000/overview/&tab=detections |
Angaben zur IP-Adresse
Geben Sie eine IP-Adresse in das globale Suchfeld ein oder klicken Sie auf einer Seite mit der Geräteübersicht auf einen IP-Adress-Link, um Details zu einer IP-Adresse anzuzeigen.
Die folgenden Informationen werden für eine IP-Adresse angezeigt, die auf einem Gerät angezeigt wird:
- Jedes Gerät, auf dem die IP-Adresse derzeit beobachtet wird, unabhängig vom ausgewählten Zeitintervall.
- Jedes Gerät, bei dem die IP-Adresse zuvor innerhalb des ausgewählten Zeitintervalls beobachtet wurde, einschließlich des Zeitstempel, ab dem die IP-Adresse zuletzt auf dem Gerät gesehen wurde.
Wenn L2-Entdeckung aktiviert ist, können sowohl IPv4- als auch IPv6-Adressen gleichzeitig auf dem Gerät beobachtet werden, oder es können dem Gerät im Laufe der Zeit unterschiedliche IP-Adressen von DHCP zugewiesen werden.
Die folgenden Informationen werden für eine IP-Adresse angezeigt, die einem Gerät zugeordnet ist:
- Die Geolokalisierung der IP-Adresse und Links zur ARIN Whois-Website.
- Jedes Gerät, bei dem die zugehörige IP-Adresse zu einem beliebigen Zeitpunkt während des ausgewählten Zeitintervalls außerhalb des Netzwerk gesehen wurde. Beispielsweise kann ein VPN-Client in Ihrem Netzwerk mit einer externen IP-Adresse im öffentlichen Internet verknüpft sein.
- Alle Cloud-Dienste, die mit der IP-Adresse verknüpft sind.
- Die IP-Adresse des Gerät, wie sie vom ExtraHop-System in Ihrem Netzwerk gesehen wird.
- Der Zeitstempel, zu dem die zugehörige IP-Adresse zuletzt auf dem Gerät gesehen wurde.
Hier sind einige Möglichkeiten, wie Sie zusätzliche IP-Adresse und Geräteinformationen anzeigen können:
- Zeigen Sie mit der Maus auf einen Gerätenamen, um die Geräteeigenschaften anzuzeigen.
- Klicken Sie auf einen Gerätenamen, um die Seite mit der Geräteübersicht anzeigen.
- klicken Suche nach Datensätzen um eine zu starten Datensatzabfrage das wird nach der IP gefiltert .
- klicken Suche nach Paketen um eine zu starten Paketabfrage das wird von diesem Gerät gefiltert.
Geräte gruppieren
Sowohl mit benutzerdefinierten Geräten als auch mit Gerätegruppen können Sie Ihre Gerätekennzahlen aggregieren. Benutzerdefinierte Geräte sind vom Benutzer erstellte Geräte, die Metriken auf der Grundlage bestimmter Kriterien sammeln, während Gerätegruppen Metriken für alle angegebenen Geräte in einer Gruppe sammeln. Bei Gerätegruppen können Sie weiterhin Messwerte für jedes einzelne Gerät oder Gruppenmitglied anzeigen. Die Messwerte für ein benutzerdefiniertes Gerät werden wie für ein einzelnes Gerät erfasst und angezeigt — Sie können keine individuellen Gerätemetriken anzeigen.
Sowohl Gerätegruppen als auch benutzerdefinierte Geräte können Metriken basierend auf Ihren angegebenen Kriterien dynamisch aggregieren. Wir empfehlen, zuverlässige Kriterien wie Geräte-IP-Adresse, MAC-Adresse, VLAN, Tag oder Typ auszuwählen. Sie können Geräte zwar anhand ihres Namens auswählen, aber wenn der DNS-Name nicht automatisch erkannt wird, wird das Gerät nicht hinzugefügt.
Gerätegruppen | Maßgeschneiderte Geräte | |
---|---|---|
Kriterien | Beinhaltet:
|
|
Kosten der Leistung | Vergleichsweise niedrig. Da Gerätegruppen nur Metriken kombinieren, die bereits berechnet wurden, hat dies einen relativ geringen Effekt auf die Erfassung von Metrik. Die Verarbeitung einer hohen Anzahl von Gerätegruppen mit einer großen Anzahl von Geräten und komplexen Kriterien nimmt jedoch mehr Zeit in Anspruch. | Vergleichsweise hoch. Da die Metriken für benutzerdefinierte Geräte auf der Grundlage benutzerdefinierter Kriterien aggregiert werden, erfordert eine große Anzahl benutzerdefinierter Geräte oder benutzerdefinierter Geräte mit extrem breiten Kriterien mehr Verarbeitung. Benutzerdefinierte Geräte erhöhen auch die Anzahl der Systemobjekte, für die Metriken übertragen werden. |
Einzelne Gerätekennzahlen anzeigen | Ja | Nein |
Bearbeitungssteuerung für Benutzer mit eingeschränktem Schreibzugriff | Ja Nutzer mit eingeschränkte Schreibrechte kann Gerätegruppen erstellen und bearbeiten. Diese globale Rechterichtlinie muss in den Administrationseinstellungen aktiviert werden. |
Nein |
Bewährte Verfahren | Erstellen Sie für lokale Geräte, bei denen Sie die Metriken in einem einzigen Diagramm anzeigen und vergleichen möchten. Gerätegruppen können als Metrikquelle festgelegt werden. | Erstellen Sie für Geräte, die sich außerhalb Ihres lokalen Netzwerk befinden, oder für Arten von Datenverkehr, den Sie als eine einzige Quelle organisieren möchten. Beispielsweise möchten Sie möglicherweise alle physischen Schnittstellen auf einem Server als ein einziges benutzerdefiniertes Gerät definieren, um die Messobjekte für diesen Server als Ganzes besser anzeigen zu können. |
Maßgeschneiderte Geräte
Mit benutzerdefinierten Geräten können Sie Messwerte für Geräte erfassen, die sich außerhalb Ihres lokalen Netzwerk befinden, oder wenn Sie über eine Gruppe von Geräten verfügen, für die Sie Messwerte zu einem einzigen Gerät zusammenfassen möchten. Bei diesen Geräten kann es sich sogar um unterschiedliche physische Schnittstellen handeln, die sich auf demselben Gerät befinden. Wenn Sie die Messwerte für diese Schnittstellen zusammenfassen, können Sie leichter nachvollziehen, wie stark Ihre physischen Ressourcen insgesamt belastet sind, und nicht anhand der einzelnen Schnittstellen.
Du könntest ein benutzerdefiniertes Gerät erstellen um einzelne Geräte außerhalb Ihrer lokalen Broadcast-Domain zu verfolgen oder Metriken über mehrere bekannte IP-Adressen oder CIDR-Blöcke von einem entfernten Standort oder Cloud-Dienst aus zu sammeln. Du kannst Erfassen Sie Metriken von Remote-Standorten für benutzerdefinierte Geräte um zu erfahren, wie Dienste an entfernten Standorten genutzt werden, und um Einblick in den Verkehr zwischen entfernten Standorten und einem Rechenzentrum zu erhalten. Sehen Sie die Referenz zu Protokollmetriken für eine vollständige Liste der Metriken und Beschreibungen von Remote-Standorten.
Nachdem Sie ein benutzerdefiniertes Gerät erstellt haben, werden alle mit den IP-Adressen und Ports verknüpften Messwerte zu einem einzigen Gerät zusammengefasst, das L2-L7-Metriken erfasst. Ein einzelnes benutzerdefiniertes Gerät zählt als ein Gerät auf Ihre lizenzierte Kapazität für Erweiterte Analyse oder Standardanalyse, was es Ihnen ermöglicht ein benutzerdefiniertes Gerät zur Beobachtungsliste hinzufügen. Alle Auslöser oder Warnungen werden dem benutzerdefinierten Gerät ebenfalls als einzelnes Gerät zugewiesen.
Benutzerdefinierte Geräte aggregieren zwar Metriken auf der Grundlage ihrer definierten Kriterien, aber die Metrikberechnungen werden nicht genauso behandelt wie für erkannte Geräte. Angenommen, Sie haben einem benutzerdefinierten Gerät einen Auslöser zugewiesen, das Datensätze in einen Recordstore überträgt. Das benutzerdefinierte Gerät wird jedoch in keinem Transaktionsdatensatz als Client oder Server angezeigt. Das ExtraHop-System füllt diese Attribute mit dem Gerät, das der Konversation auf der Leitung entspricht.
Benutzerdefinierte Geräte können sich auf die Gesamtleistung des Systems auswirken. Daher sollten Sie die folgenden Konfigurationen vermeiden:
- Vermeiden Sie es, mehrere benutzerdefinierte Geräte für dieselben IP-Adressen oder Ports zu erstellen. Benutzerdefinierte Geräte , die mit sich überschneidenden Kriterien konfiguriert sind, können die Systemleistung beeinträchtigen.
- Vermeiden Sie es, ein benutzerdefiniertes Gerät für eine Vielzahl von IP-Adressen oder Ports zu erstellen, da dies die Systemleistung beeinträchtigen könnte.
Wenn eine große Anzahl von benutzerdefinierten Geräten die Leistung Ihres Systems beeinträchtigt, können Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren. Die eindeutige Discovery-ID für das benutzerdefinierte Gerät verbleibt immer im System. siehe Erstellen Sie ein benutzerdefiniertes Gerät zur Überwachung des Datenverkehrs in entfernten Büros um sich mit kundenspezifischen Geräten vertraut zu machen.
Gerätegruppen
Eine Gerätegruppe ist eine benutzerdefinierte Sammlung, mit der Sie Messwerte für mehrere Geräte verfolgen können, die normalerweise nach gemeinsamen Attributen wie Protokollaktivitäten gruppiert sind.
Du kannst eine statische Gerätegruppe erstellen das erfordert, dass Sie manuell ein Gerät zur Gruppe hinzufügen oder daraus entfernen. Oder du kannst eine dynamische Gerätegruppe erstellen das beinhaltet Kriterien, die bestimmen, welche Geräte automatisch in die Gruppe aufgenommen werden. Sie können zum Beispiel Erstellen Sie eine dynamische Gerätegruppe basierend auf der Geräteerkennungszeit das fügt Geräte hinzu , die während eines bestimmten Zeitintervalls entdeckt wurden.
Standardmäßig enthält die Gerätegruppenseite die folgenden dynamischen Gerätegruppen, die Sie überschreiben oder löschen können:
- Neue Geräte (letzte 24 Stunden)
- Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 24 Stunden zum ersten Mal erkannt hat.
- Neue Geräte (letzte 7 Tage)
- Beinhaltet Ressourcen und Endpunkte, die das ExtraHop-System in den letzten 7 Tagen zum ersten Mal erkannt hat.
Das ExtraHop-System umfasst auch integrierte dynamische Gerätegruppen nach Rolle und Protokoll. Sie können integrierte Gerätegruppen als Metrikquelle für Objekte wie Diagramme, Benachrichtigungen, Auslöser und Aktivitätskarten zuweisen. Sie können eine integrierte Gerätegruppe nicht überschreiben oder löschen, aber Sie können Filterkriterien hinzufügen und sie als neue Gerätegruppe speichern.
Klicken Sie auf der Seite Geräte auf eine Geräteanzahl für eine Rolle oder ein Protokoll, z. B. Domänencontroller oder CIFS-Clients, um die Seite Gerätegruppenübersicht aufzurufen. Wenn Sie oben auf der Seite auf den Filter klicken, können Sie zusätzliche Kriterien hinzufügen und die Seitendaten bei Bedarf aktualisieren, anstatt eine Gerätegruppe erstellen zu müssen.
Die Erfassung von Metriken mit Gerätegruppen hat keine Auswirkungen auf die Leistung. Wir empfehlen Ihnen jedoch, priorisieren Sie diese Gruppen durch ihre Bedeutung, sicherzustellen, dass die richtigen Geräte den höchsten Analysegrad erhalten.
Gerätegruppen sind eine gute Wahl, wenn Sie Geräte haben, die Sie gemeinsam als Quelle verwenden möchten. Sie könnten beispielsweise Messwerte für all Ihre Produktionswebserver mit hoher Priorität in einem Dashboard sammeln und anzeigen.
Durch das Erstellen einer Gerätegruppe können Sie all diese Geräte als eine einzige Metrik Quelle verwalten, anstatt sie als einzelne Quellen zu Ihren Diagrammen hinzuzufügen. Beachten Sie jedoch, dass alle zugewiesenen Auslöser oder Benachrichtigungen jedem Gruppenmitglied (oder einzelnen Gerät) zugewiesen werden.
Gerätenamen und Rollen
Nachdem ein Gerät erkannt wurde, verfolgt das ExtraHop-System den gesamten mit dem Gerät verbundenen Datenverkehr, um den Gerätenamen und die Rolle zu ermitteln.
Gerätenamen
Das ExtraHop-System erkennt Gerätenamen durch passive Überwachung von Benennungsprotokollen wie DNS, DHCP, NETBIOS und Cisco Discovery Protocol (CDP).
Wenn ein Name nicht über ein Benennungsprotokoll ermittelt wird, wird der Standardname aus Geräteattributen wie MAC-Adressen und IP-Adressen abgeleitet. Für einige Geräte, die auf Fluss entdeckt wurden Sensoren, weist das ExtraHop-System Namen basierend auf der Rolle des Gerät zu, z. B. Internet Gateway oder Amazon DNS Server. Du kannst auch einen benutzerdefinierten Namen erstellen oder einen Cloud-Instanznamen festlegen für ein Gerät.
Ein Gerät kann anhand mehrerer Namen identifiziert werden, die auf der Seite Geräteübersicht als Bekannte Aliase angezeigt werden. Wenn ein Gerät mehrere Namen hat, Die Reihenfolge der Anzeigepriorität ist in den Administrationseinstellungen festgelegt. Sie können nach einem beliebigen Namen suchen, um finde ein Gerät.
Hinweis: | Benutzerdefinierte Namen werden nicht zwischen verbundenen ExtraHop-Systemen synchronisiert. Beispielsweise ist ein für einen Sensor erstellter benutzerdefinierter Name nicht über eine verbundene Konsole verfügbar. |
Wenn ein Gerätename keinen Hostnamen enthält, hat das ExtraHop-System noch keinen mit diesem Gerät verbundenen Verkehr mit dem Namensprotokoll beobachtet. Das ExtraHop-System führt keine DNS-Suchen nach Gerätenamen durch.
Geräterollen
Je nach Art des Datenverkehrs, der dem Gerät oder dem Gerätemodell zugeordnet ist, weist das ExtraHop-System dem Gerät automatisch eine Rolle zu, z. B. ein Gateway, einen Server, eine Datenbank oder einen Load Balancer. Die Rolle „Andere" wird Geräten zugewiesen, die nicht identifiziert werden können.
Einem Gerät kann jeweils nur eine Rolle zugewiesen werden. Sie können manuell eine Geräterolle ändern, oder das ExtraHop-System weist möglicherweise eine andere Rolle zu, wenn beobachtete Traffic- und Verhaltensänderungen beobachtet werden. Wenn beispielsweise ein PC in einen Server umfunktioniert wurde, können Sie die Rolle sofort ändern, oder die Änderung wird im Laufe der Zeit beobachtet und die Rolle wird vom System aktualisiert.
Das ExtraHop-System identifiziert die folgenden Rollen:
Ikone | Rolle | Beschreibung |
---|---|---|
Benutzerdefiniertes Gerät | Ein vom Benutzer erstelltes Gerät, das Metriken auf der Grundlage bestimmter Kriterien erfasst. Das ExtraHop-System weist diese Rolle automatisch zu, wenn Sie ein benutzerdefiniertes Gerät erstellen. Die benutzerdefinierte Rolle kann einem Gerät nicht manuell zugewiesen werden. | |
Angriffssimulator | Ein Gerät, auf dem Software zur Breach- und Angriffssimulation (BAS) ausgeführt wird, um Angriffe in einem Netzwerk zu simulieren. | |
Datenbank | Ein Gerät, das hauptsächlich eine Datenbankinstanz hostet. | |
DHCP-Server | Ein Gerät, das hauptsächlich DHCP-Serveraktivitäten verarbeitet. | |
DNS-Server | Ein Gerät, das hauptsächlich DNS-Serveraktivitäten verarbeitet. | |
Domänencontroller | Ein Gerät, das als Domänencontroller für Kerberos-, CIFS- und MSRPC-Serveraktivitäten fungiert. | |
Dateiserver | Ein Gerät, das auf Lese- und Schreibanforderungen für Dateien über NFS - und CIFS/SMB-Protokolle reagiert. | |
Brandmauer | Ein Gerät, das den eingehenden und ausgehenden Netzwerkverkehr überwacht und den Datenverkehr gemäß den Sicherheitsregeln blockiert. Das ExtraHop-System weist Geräten diese Rolle nicht automatisch zu. | |
Tor | Ein Gerät, das als Router oder Gateway fungiert. Das ExtraHop-System sucht bei der Identifizierung von Gateways nach Geräten, denen eine große Anzahl an eindeutigen IP-Adressen zugeordnet ist (ab einem bestimmten Schwellenwert). Gateway-Gerätenamen enthalten den Routernamen wie Cisco B1B500. Im Gegensatz zu anderen L2-Elterngeräte , du kannst ein Gateway-Gerät zur Beobachtungsliste hinzufügen für erweiterte Analysen. | |
IP-Kamera | Ein Gerät, das Bild- und Videodaten über das Netzwerk sendet. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu. | |
Load Balancer | Ein Gerät, das als Reverse-Proxy für die Verteilung des Datenverkehrs auf mehrere Server fungiert. | |
Medizinisches Gerät | Ein Gerät, das für Gesundheitsbedürfnisse und medizinische Umgebungen entwickelt wurde. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn es sich bei einem Gerät um eine bekannte medizinische Marke und ein bekanntes medizinisches Modell handelt oder wenn das Gerät DICOM-Verkehr verarbeitet. | |
Mobilgerät | Ein Gerät, auf dem ein mobiles Betriebssystem installiert ist, z. B. iOS oder Android. | |
NAT-Schnittstelle | Ein Gerät, das als Network Address Translation (NAT) -Gateway fungiert. Das ExtraHop-System weist diese Rolle möglicherweise zu, wenn ein Gerät mit vier oder mehr Betriebssystem-Fingerabdruckfamilien oder mit vier oder mehr Hardware- oder Herstellermarken und -modellen verknüpft ist. Nachdem einem Gerät diese Rolle zugewiesen wurde, werden Geräteeigenschaften für Software, Hardwaremarke und -modell sowie authentifizierte Benutzer nicht mehr für das Gerät angezeigt. | |
PC | Ein Gerät wie ein Laptop, ein Desktop, eine Windows-VM oder ein macOS-Gerät, das DNS-, HTTP- und SSL-Clientdatenverkehr verarbeitet. | |
Drucker | Ein Gerät, mit dem Benutzer Text und Grafiken von anderen angeschlossenen Geräten drucken können. Das ExtraHop-System weist diese Rolle auf der Grundlage des Gerätemodells oder des über mDNS beobachteten Datenverkehrs (Multicast-DNS) zu. | |
VoIP-Telefon | Ein Gerät, das Voice over IP (VoIP) -Telefonanrufe verwaltet. | |
VPN-Client | Ein internes Gerät, das mit einer Remote-IP-Adresse kommuniziert. Wenn VPN-Client-Erkennung ist aktiviert, weist das ExtraHop-System diese Rolle automatisch internen Geräten zu, die über ein VPN-Gateway mit Remote-IP-Adressen kommunizieren. Sie können einem Gerät die VPN-Client-Rolle nicht manuell zuweisen. | |
VPN-Gateway | Ein Gerät, das zwei oder mehr VPN-Geräte oder Netzwerke miteinander verbindet , um Remoteverbindungen zu überbrücken. Das ExtraHop-System weist diese Rolle Geräten mit einer großen Anzahl von externen VPN-Peers zu, wenn die automatische Klassifizierung für diese Rolle in der laufenden Konfigurationsdatei aktiviert ist. | |
Schwachstellen-Scanner | Ein Gerät, auf dem Programme zum Schwachstellenscanner ausgeführt werden. | |
Web-Proxyserver | Ein Gerät, das HTTP-Anfragen zwischen einem Gerät und einem anderen Server verarbeitet. | |
Webserver | Ein Gerät, das hauptsächlich Webressourcen hostet und auf HTTP-Anfragen reagiert. | |
Wi-Fi-Zugangspunkt | Ein Gerät, das ein drahtloses lokales Netzwerk erstellt und ein drahtloses Netzwerksignal in einen bestimmten Bereich projiziert. Das ExtraHop-System weist diese Rolle basierend auf dem Gerätemodell zu. |
Finde ein Gerät
Das ExtraHop-System erkennt automatisch Geräte wie Clients, Server, Router, Load Balancer und Gateways, die aktiv über das Kabel mit anderen Geräten kommunizieren. Sie können auf dem System nach einem bestimmten Gerät suchen und dann die Verkehrs- und Protokollmetriken auf einer Protokollseite anzeigen.
Es gibt mehrere Möglichkeiten, nach einem Gerät zu suchen:
- Finden Sie Geräte über eine globale Suche
- Geräte anhand von Details finden
- Finden Sie Geräte mit AI Search Assistant
- Finden Sie Geräte mit Suchvorschlägen
- Geräte anhand der Erkennungsaktivität finden
- Geräte anhand der Protokollaktivität finden
- Finden Sie Geräte, auf die ein bestimmter Benutzer zugegriffen hat
- Finden Sie Peer-Geräte
Finden Sie Geräte über eine globale Suche
Sie können über das globale Suchfeld oben auf der Seite nach Geräten suchen. Die globale Suche vergleicht einen Suchbegriff mit mehreren Geräteeigenschaften wie Hostname, IP-Adresse, bekanntem Alias, Anbieter, Tag, Beschreibung und Gerätegruppe. Wenn Sie beispielsweise nach dem Begriff suchen vm, in den Suchergebnissen werden möglicherweise Geräte angezeigt, die Folgendes enthalten vm im Gerätenamen, Gerätehersteller oder Geräte-Tag.
Geräte anhand von Details finden
Sie können anhand von Informationen, die über das Kabel beobachtet wurden, wie IP-Adresse, MAC-Adresse, Hostname oder Protokollaktivität, nach Geräten suchen. Sie können auch anhand benutzerdefinierter Informationen wie Geräte-Tags nach Geräten suchen.
Mit dem Dreifeld-Suchfilter können Sie nach mehreren Kategorien gleichzeitig suchen. Sie können beispielsweise Filter für Gerätename, IP-Adresse und Rolle hinzufügen, um Ergebnisse für Geräte anzuzeigen, die alle angegebenen Kriterien erfüllen.
Nächste Maßnahme
- Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
- Klicken Sie Dynamische Gruppe erstellen von der oberen rechten Ecke bis eine dynamische Gerätegruppe erstellen basierend auf den Filterkriterien.
- Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.
Finden Sie Geräte mit AI Search Assistant
Mit dem AI Search Assistant können Sie nach Geräten suchen, deren Fragen in natürlicher, alltäglicher Sprache verfasst sind. So können Sie im Vergleich zur Erstellung einer Standard-Suchanfrage mit denselben Kriterien schnell komplexe Abfragen erstellen.
Wenn Sie beispielsweise „Welche Geräte haben HTTP-Verkehr mit TLS v1.0?" eingeben , die folgende AI Search Assistant-Abfrage wird angezeigt:
(Detection Activity where Device Role = As Participant and Type = Deprecated SSL/TLS Versions )
Hier sind einige Dinge, die Sie bei der Suche nach Geräten mit AI Search Assistant beachten sollten:
- Eingabeaufforderungen sind demselben zugeordnet Filterkriterien für Gerät die Sie beim Erstellen einer Standardsuche angeben. Das ExtraHop-System ist möglicherweise nicht in der Lage, eine Abfrage zu verarbeiten, die Anfragen nach Geräteinformationen enthält, die außerhalb der Kriterien liegen.
- Die Eingabeaufforderungen können absolute und relative Zeitbereiche enthalten, z. B. „Welches meiner Geräte war diese Woche an blockierten Datenübertragungen beteiligt?". Das aktuelle Jahr wird verwendet, wenn ein Jahr nicht im Datum enthalten ist.
- Die Eingabeaufforderungen sollten so klar und präzise wie möglich sein. Wir empfehlen Ihnen, einige Variationen zu schreiben, um Ihre Ergebnisse zu maximieren.
- Das ExtraHop-System kann Benutzeranweisungen zur Produktverbesserung speichern. Wir empfehlen, dass Sie in Ihren Eingabeaufforderungen keine urheberrechtlich geschützten oder vertraulichen Daten angeben.
- Sie können die Abfragefilterkriterien bearbeiten, um die Suchergebnisse zu verfeinern.
Before you begin
- Ihr ExtraHop-System muss verbunden mit ExtraHop Cloud Services.
- Der AI Search Assistant muss von Ihrem ExtraHop-Administrator aktiviert werden.
Nächste Maßnahme
- Klicken Sie Erkennungen anzeigen um zur Seite „Entdeckungen" zu navigieren; der Gerätefilter wird auf die Zusammenfassung der Erkennungen angewendet. Klicken Sie Erweiterter Gerätefilter um Filterkriterien anzuzeigen und zu bearbeiten.
- Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
- Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.
Finden Sie Geräte mit Suchvorschlägen
Das ExtraHop-System bietet mehrere Suchvorschläge mit vorgefertigten Filtern, mit denen Sie häufig verwendete Gerätesuchen effizienter durchführen können. Nachdem Sie eine vorgeschlagene Suche ausgewählt haben, können Sie die Filterkriterien bearbeiten, um Ihre Ergebnisse zu verfeinern.
Nächste Maßnahme
- Klicken Sie Erkennungen anzeigen um zur Seite „Entdeckungen" zu navigieren; der Gerätefilter wird auf die Zusammenfassung der Erkennungen angewendet. Klicken Sie Erweiterter Gerätefilter um Filterkriterien anzuzeigen und zu bearbeiten.
- Klicken Sie Dynamische Gruppe erstellen von der oberen rechten Ecke bis eine dynamische Gerätegruppe erstellen basierend auf den Filterkriterien.
- Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
- Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.
Geräte anhand der Erkennungsaktivität finden
Sie können anhand der zugehörigen Erkennungen nach Geräten suchen, indem Sie Ihrem Suchfilter die Option Kriterien für Erkennungsaktivitäten hinzufügen und Ihre Suche dann mit Kriterien wie Erkennungskategorien, Risikobewertungen und MITRE-Techniken weiter verfeinern.
Nächste Maßnahme
- Klicken Sie auf einen Gerätenamen, um Geräteeigenschaften und Messwerte auf der Seite „ Geräteübersicht".
- Klicken Sie auf das Befehlsmenü und wählen Sie dann PDF oder CSV, um die Geräteliste in eine Datei zu exportieren.
Geräte anhand der Protokollaktivität finden
Auf der Seite Geräte werden alle Protokolle angezeigt, die während des ausgewählten Zeitintervalls aktiv auf dem ExtraHop-System kommunizieren. Sie können schnell ein Gerät finden, das mit einem Protokoll verknüpft ist, oder ein stillgelegtes Gerät erkennen, das immer noch aktiv über ein Protokoll kommuniziert.
Finden Sie Geräte, auf die ein bestimmter Benutzer zugegriffen hat
Auf der Seite Benutzer können Sie aktive Benutzer und die Geräte sehen, mit denen sie sich während des angegebenen Zeitintervalls am ExtraHop-System angemeldet haben.
Hinweis: | Du kannst auch Suche nach Benutzern aus dem globalen Suchfeld oben auf der Seite. |
Dieses Verfahren zeigt Ihnen, wie Sie eine Suche von der Benutzerseite aus durchführen.
Finden Sie Peer-Geräte
Wenn Sie wissen möchten, welche Geräte aktiv miteinander kommunizieren, können Sie auf einer Gerät- oder Gerätegruppen-Protokollseite einen Drilldown nach Peer-IPs durchführen.
Einen Gerätenamen ändern
Das ExtraHop-System benennt Geräte automatisch, indem es den Verkehr mit den Benennungsprotokollen (DNS, DHCP, NETBIOS, CDP) passiv überwacht. Wenn für ein Gerät kein Benennungsprotokollverkehr beobachtet wird, zeigt der Gerätename entweder die IP-Adresse oder die MAC-Adresse an. In beiden Fällen können Sie den automatischen Gerätenamen in einen benutzerdefinierten Namen ändern. Der benutzerdefinierte Name wird im gesamten ExtraHop-System angezeigt.
- Benutzerdefinierte Namen werden nicht zwischen den verbundenen ExtraHop-Systemen synchronisiert. Beispielsweise ist ein auf einem Sensor erstellter benutzerdefinierter Name von einem verbundenen Gerät nicht verfügbar Konsole.
- Das ExtraHop-System führt keine DNS-Suchen nach Gerätenamen durch. Das ExtraHop-System leitet den DNS-Namen für ein Gerät ab, indem es den DNS-Verkehr über Kabeldaten beobachtet. Weitere Informationen finden Sie unter Erkennung von Geräten.
- Wenn ein Gerät mehrere Namen hat, Die Reihenfolge der Anzeigepriorität ist in den Administrationseinstellungen festgelegt.
Eine Geräterolle ändern
Das ExtraHop-System erkennt und klassifiziert automatisch Geräte in Ihrem Netzwerk anhand der Protokollaktivität oder des Gerätemodells und weist jedem Gerät eine Rolle zu, z. B. einem Gateway, einem Dateiserver, einer Datenbank oder einem Load Balancer. Sie können die einem Gerät zugewiesene Rolle jederzeit ändern.
- Nachdem Sie das geändert haben Geräterolle, das Gerät könnte entfernt oder hinzugefügt werden dynamische Gerätegruppen die eine Gerät als Kriterien beinhalten.
- Änderungen der Geräterolle werden nicht zwischen den verbundenen ExtraHop-Systemen synchronisiert. Wenn Sie beispielsweise eine Geräterolle auf einem ändern Sensor, die Rolle wird nicht von einer verbundenen geändert Konsole.
Ein Gerätemodell ändern
Das ExtraHop-System beobachtet den Netzwerkverkehr auf Geräten, um automatisch die Marke und das Modell des Herstellers zu ermitteln. Sie können das Gerätemodell jedoch manuell ändern.
Hier sind einige wichtige Überlegungen zum Ändern eines Gerätemodells:
- Geräte werden anhand von Kriterien, die auf Gerätemodellen basieren, automatisch zu dynamischen Gerätegruppen hinzugefügt und daraus entfernt.
- Sie können ein Gerätemodell von ändern Sensoren und Konsolen. Wenn das Gerät auf einem aktualisiert wird Konsole, die Änderung wird mit Connected synchronisiert Sensoren. Die Änderung wird jedoch nicht von einzelnen Personen synchronisiert Sensoren zu den verbundenen Konsole.
Before you begin
Du musst haben volle Schreibrechte oder höher.Manuelles Identifizieren eines Gerät als hoher Wert
Das ExtraHop-System identifiziert Geräte, die Authentifizierung oder wichtige Dienste bereitstellen, automatisch als hoher Wert, aber Sie können ein Gerät auch manuell als hoher Wert oder nicht identifizieren.
- Die Risikowerte für Erkennungen auf hoher Wert Geräten werden erhöht.
- Geräte werden automatisch dynamischen Gerätegruppen hinzugefügt und aus ihnen entfernt, wobei die Kriterien auf einem hoher Wert basieren.
- Sie können hoher Wert Geräte manuell identifizieren von Sensoren und Konsolen. Wenn das Gerät auf einem aktualisiert wird Konsole, die Änderung wird mit Connected synchronisiert Sensoren. Die Änderung wird jedoch nicht von einzelnen Personen synchronisiert Sensoren zu den verbundenen Konsole.
Before you begin
Das musst du haben volle Schreibrechte oder höher.Ein Geräte-Tag erstellen
Tags sind benutzerdefinierte Labels, die Sie an ein Gerät anhängen können. Mithilfe von Tags können Geräte im ExtraHop-System unterschieden werden, die ein gemeinsames Attribut oder eine gemeinsame Eigenschaft aufweisen. Sie können dann nach Geräten suchen oder dynamische Geräte erstellen Gerätegruppen basierend auf dem Geräte-Tag.
Hinweis: | Sie können ein Geräte-Tag nicht umbenennen, nachdem es erstellt wurde. |
Hinweis: | Du kannst auch Automatisieren Sie diese Aufgabe über die REST-API. |
Eine Gerätegruppe erstellen
Sie können Gerätegruppen erstellen, die Metriken für alle angegebenen Geräte in einer Gruppe sammeln. Bei Gerätegruppen können Sie weiterhin Messwerte für jedes einzelne Gerät oder Gruppenmitglied anzeigen. Gerätegruppen können auch als Metrikquelle festgelegt werden.
Nutzer mit eingeschränkte Schreibrechte kann sowohl dynamische als auch statische Gerätegruppen erstellen und bearbeiten.
- Erstellen Sie eine dynamische Gerätegruppe um automatisch alle Geräte, die den angegebenen Kriterien entsprechen, zur Gruppe hinzuzufügen.
- Erstellen Sie eine statische Gerätegruppe um jedes Gerät manuell hinzuzufügen.
Im Folgenden finden Sie einige Überlegungen zur Leistung beim Erstellen einer Gerätegruppe:
- Die Verarbeitung einer großen Anzahl von Gerätegruppen mit einer großen Anzahl von Geräten nimmt mehr Zeit in Anspruch.
- Statische Gruppen werden schneller verarbeitet als dynamische Gruppen und werden für eine bestimmte Gruppe von Geräten empfohlen.
- Dynamische Gruppen mit komplexen Kriterien können höhere Leistungseinbußen haben.
Erstellen Sie eine dynamische Gerätegruppe
Hinweis: | Auf der
Seite Geräte können Sie
schnell eine dynamische Gerätegruppe aus einer gefilterten Geräteliste erstellen. klicken Dynamische Gruppe erstellen aus der oberen rechten
Ecke. Sie können auch eine dynamische Gerätegruppe aus einer integrierten Gerätegruppe erstellen. Klicken Sie auf der Seite Assets auf eine Rolle oder ein Protokoll, aktualisieren Sie die Filterkriterien und klicken Sie dann auf Speichern Symbol in der oberen rechten Ecke. |
Erstellen Sie eine statische Gerätegruppe
Hinweis: | Auf der Seite Geräte können Sie das Kontrollkästchen neben einem oder mehreren Geräten auswählen und auf Zur Gruppe hinzufügen um schnell eine statische Gerätegruppe zu erstellen oder Geräte zu einer vorhandenen Gruppe hinzuzufügen. |
Nächste Maßnahme
Geräte aus einer Gruppe entfernen, indem Sie das Kontrollkästchen neben dem Gerätenamen markieren und auf Aus Gruppe entfernen in der oberen rechten Ecke.Benutzerdefiniertes Gerät erstellen
Erfassen Sie Metriken für ein Verkehrssegment über mehrere IP-Adressen und Ports, indem Sie ein benutzerdefiniertes Gerät erstellen. Benutzerdefinierte Geräte sind nützlich, um den Verkehr außerhalb Ihrer lokalen Broadcast-Domain zu überwachen, z. B. in Filialen, Geschäften oder Kliniken.
Hier sind einige wichtige Überlegungen zu kundenspezifischen Geräten:
- Benutzerdefinierte Geräte werden erst im ExtraHop-System angezeigt, nachdem Traffic beobachtet wurde, der Ihren angegebenen Kriterien entspricht.
- Vermeiden Sie es, mehrere benutzerdefinierte Geräte für dieselben IP-Adressen oder Ports zu erstellen. Benutzerdefinierte Geräte, die mit sich überschneidenden Kriterien konfiguriert sind, können die Systemleistung beeinträchtigen.
- Vermeiden Sie es, ein benutzerdefiniertes Gerät für eine Vielzahl von IP-Adressen oder Ports zu erstellen, da dies die Systemleistung beeinträchtigen könnte.
- Ein einzelnes benutzerdefiniertes Gerät zählt als ein Gerät auf Ihre lizenzierte Kapazität für Erweiterte Analyse und Standardanalyse.
- Du kannst auch Automatisieren Sie diese Aufgabe über die REST-API.
Before you begin
Du musst haben volle Schreibrechte oder höher.Benutzerdefiniertes Gerät löschen oder deaktivieren
Benutzerdefinierte Geräte werden manuell auf einem ExtraHop-System erstellt, um Messwerte für den über mehrere IP-Adressen und Ports beobachteten Datenverkehr zu sammeln. Wenn eine große Anzahl von benutzerdefinierten Geräten die Systemleistung beeinträchtigt, können Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren.
Before you begin
Vollständige Rechte oder höher sind erforderlich für erstellen oder löschen Sie ein benutzerdefiniertes Gerät.- Wenn Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren, wird das Gerät inaktiv, was bedeutet, dass das System die Erfassung von Messwerten für dieses Gerät beendet.
- Wenn Sie ein benutzerdefiniertes Gerät löschen oder deaktivieren, wird das Gerät weiterhin als Asset angezeigt, bis alle für dieses Gerät gesammelten Messwerte lokal überschrieben werden Datenspeicher.
- Wenn Sie ein benutzerdefiniertes Gerät löschen, verbleibt die eindeutige Discovery-ID für das benutzerdefinierte Gerät immer im System und kann nicht auf ein neues benutzerdefiniertes Gerät angewendet werden.
Remote-Sites für benutzerdefinierte Geräte konfigurieren
Benutzerdefinierte Geräte sind nützlich, um den Verkehr außerhalb Ihrer lokalen Broadcast-Domain zu überwachen, z. B. in Filialen, Geschäften oder Kliniken. Sie können Metriken zu benutzerdefinierten Geräten an entfernten Standort sammeln, um auf einfache Weise zu erfahren, wie Dienste an entfernten Standorten genutzt werden, und um einen Überblick über den Verkehr zwischen entfernten Standorten und einem Rechenzentrum zu erhalten.
Erstellen Sie beispielsweise ein Dashboard und fügen Sie ein benutzerdefiniertes Gerät als Metrikquelle hinzu, um Metriken an entfernten Standort wie eingehenden und ausgehenden Durchsatz, Timeouts für erneute Übertragungen, Roundtrip-Zeiten und Nullfenster anzuzeigen. Sehen Sie die Referenz zu Protokollmetriken für eine vollständige Liste der Metriken und Beschreibungen von Remote-Standorten.
Im Folgenden finden Sie einige wichtige Überlegungen zu Remotestandorten für benutzerdefinierte Geräte:
- Die Konfiguration von Remote-Standorten gilt für alle aktivierten benutzerdefinierten Geräte. Sie können Remote-Sites nicht für ein einzelnes benutzerdefiniertes Gerät konfigurieren.
- Metriken für Remote-Standorte werden nur dann im Metrikkatalog und im Metric Explorer angezeigt, wenn die Erfassung von Metriken an Remote-Standorten aktiviert ist.
Before you begin
Du musst volle Schreibrechte oder höher.- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und dann klicken Maßgeschneiderte Geräte.
- klicken Remote-Sites konfigurieren.
- Wählen oder löschen Sie die Erfassen Sie Metriken für Remote-Standorte Checkbox.
- klicken Speichern.
Geben Sie eine Netzwerklokalität an
Mithilfe von Netzwerklokalisierungen können Sie den Datenverkehr von IP-Adressen und CIDR-Blöcken als intern oder extern in Ihrem Netzwerk klassifizieren. Sie können auch einen Namen für jeden Standort angeben, z. B. „DMZ" oder „Gastnetzwerk", und in Geräten und Datensätzen nach diesem Namen filtern.
Im Folgenden finden Sie einige wichtige Überlegungen zu diesen Einstellungen:
- Die Benennung von Netzwerkstandorten wirkt sich auf Erkennungen und Auslöser sowie auf verwandte Funktionen wie Benachrichtigungen, Übersichtsseiten und den Security Operations Report aus.
- Wenn Ihre ExtraHop-Bereitstellung eine Konsole umfasst, empfehlen wir Ihnen Transfermanagement aller an die Konsole angeschlossenen Sensoren.
- Für ExtraHop RevealX 360 werden diese Einstellungen auf allen angeschlossenen Sensoren synchronisiert. Sie sollten diese Einstellungen nicht für einzelne Sensoren konfigurieren.
- Bei ExtraHop RevealX Enterprise werden diese Einstellungen für alle Sensoren synchronisiert, wenn Sie die Verwaltung auf eine verbundene Konsole übertragen. Andernfalls müssen die Netzwerkstandorteinstellungen auf allen Sensoren und Konsolen konfiguriert werden.
- Sie müssen vollständig schreiben können Privilegien um diese Einstellungen zu ändern.
Video: | Sehen Sie sich die entsprechende Schulung an: Netzwerkstandorte konfigurieren |
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Netzwerk-Lokalitäten.
- Klicken Sie Erstellen.
- Geben Sie im Feld Network Locality Name einen eindeutigen Namen ein.
- Optional: In der Beschreibung Feld, geben Sie Informationen über den Netzwerkstandort ein.
- Wählen Sie im Abschnitt Network Locality Type die Option Intern oder Extern aus, je nachdem, welche Klassifizierung Sie auf die IP-Adressen und CIDR-Blöcke anwenden möchten.
- Geben Sie in das Feld IP-Adressen und CIDR-Blöcke die IP-Adressen und CIDR-Blöcke ein, die Sie der Lokalität hinzufügen möchten. Sie müssen einen eindeutigen Bereich von Adressen oder Blöcken eingeben.
- Klicken Sie Speichern.
Nächste Maßnahme
- Auf der Seite „Assets" Geräte finden nach Netzwerklokalität.
- Drilldown zu einer Metrik nach Client, Server oder IP-Adresse und wähle Intern oder Extern als Netzwerklokalität im Dreifeld-Filter aus.
- Filtern Sie Datensätze, indem Sie einen der folgenden Filter angeben:
- Name der Netzwerklokalität
- Lokalitätsname des Client-Netzwerks
- Lokalitätsname des Servernetzwerks
- Lokalitätsname des Absendernetzwerks
- Lokalitätsname des Empfängernetzwerks
Prioritäten der Analyse
Das ExtraHop-System analysiert den Verkehr und sammelt Daten von allen erkannten Geräten auf einem einzigen Sensor. Jedes erkannte Gerät erhält eine Analyseebene, die bestimmt, welche Daten und Metriken für ein Gerät erfasst werden. Analyseprioritäten bestimmen, welche Analysestufe ein Gerät erhält.
Wichtig: | Analyseprioritäten können sein zentral verwaltet von einer Konsole aus. |
Video: | Sehen Sie sich die entsprechende Schulung an: Analyse-Prioritäten |
Geräte und Gruppen priorisieren
Das ExtraHop-System kann Hunderttausende von Geräten analysieren und automatisch bestimmen, welche Analysestufe jedes Gerät erhält. Sie können jedoch steuern, welche Geräte für Advanced und Standard Analysis priorisiert werden.
Die meisten Geräte können zu einer Beobachtungsliste hinzugefügt werden, um Erweiterte Analyse sicherzustellen, oder Sie können Gerätegruppen zu einer geordneten Liste hinzufügen, um sie für Advanced Analysis und Standard Analysis zu priorisieren.
Hier sind einige wichtige Überlegungen zur Priorisierung von Geräten anhand der Beobachtungsliste:
- Geräte bleiben auf der Beobachtungsliste, auch wenn sie inaktiv sind, aber es werden keine Messwerte für inaktive Geräte erfasst.
- Die Anzahl der Geräte auf der Beobachtungsliste darf Ihre Erweiterte Analyse Analysis-Kapazität nicht überschreiten.
- Geräte können der Beobachtungsliste nur von einer Geräteeigenschaftenseite oder der Gerätelistenseite aus hinzugefügt werden. Sie können der Beobachtungsliste keine Geräte von der Seite Analyseprioritäten aus hinzufügen.
- Wenn Sie mehrere Geräte zur Beobachtungsliste hinzufügen möchten, empfehlen wir Ihnen eine Gerätegruppe erstellen und dann priorisieren Sie diese Gruppe für Advanced Analysis .
- Geräte, die L2 Parent Analysis oder Flow Analysis empfangen, können nicht zur Beobachtungsliste hinzugefügt werden.
Hier sind einige wichtige Überlegungen zur Priorisierung von Gerätegruppen:
- Ordnen Gerät Gerätegruppen von der höchsten zur niedrigsten Priorität in der Liste an.
- Klicken und ziehen Sie Gruppen, um ihre Reihenfolge in der Liste zu ändern.
- Stellen Sie sicher, dass jedes Gerät in der Gruppe aktiv ist. Gruppen, die eine große Anzahl von Geräten enthalten, beanspruchen Kapazität und inaktive Geräte generieren keine Messwerte.
- Sie können nicht mehr als 200 Gerätegruppen für jede Ebene priorisieren.
Standardmäßig füllt das ExtraHop-System die Stufen Advanced und Standard Analysis automatisch bis zur maximalen Kapazität aus. Hier sind einige wichtige Überlegungen zu den Kapazitätsniveaus und der automatischen Fülloption:
- Geräte, die in der Beobachtungsliste oder über eine priorisierte Gruppe priorisiert wurden, füllen zuerst die höheren Analysestufen und dann die Geräte, die am frühesten entdeckt wurden.
- Geräte werden für die erweiterte Analyse priorisiert, wenn das Gerät mit bestimmten Erkennungen verknüpft ist, wenn das Gerät eine externe Verbindung akzeptiert oder initiiert hat oder wenn auf dem Gerät gängige Angriffstools ausgeführt werden.
- Geräteeigenschaften wie Rolle, Hardware und Software, Protokollaktivität, Erkennungsverlauf und hoher Wert können ebenfalls die Analysestufen bestimmen.
- Die Option Automatisch ausfüllen ist standardmäßig aktiviert. Wenn diese Option deaktiviert ist, werden alle Geräte entfernt, die sich nicht in priorisierten Gruppen oder in der Beobachtungsliste befinden, und das ExtraHop-System legt die Priorität für jedes Gerät fest.
- Ihr ExtraHop-Abonnement und Ihre Lizenz bestimmen die maximale Kapazität.
Sehen Sie die Häufig gestellte Fragen zu Analyseprioritäten um mehr über Kapazitäten auf Analyseebene zu erfahren.
Analysestufen vergleichen
Analyseebene | Funktionen | So erhalten Sie dieses Level |
---|---|---|
Entdeckungsmodus |
|
Geräte erhalten automatisch den Entdeckungsmodus, wenn sie sich nicht in Standard, Advanced oder L2 Parent Analysis befinden. |
Standardanalyse |
|
Gerätegruppen für die Standardanalyse priorisieren. |
Erweiterte Analyse |
|
Gerätegruppen für Erweiterte Analyse priorisieren oder einzelne Geräte zur Beobachtungsliste hinzufügen. |
L2-Elternanalyse (Gilt nur, wenn L3-Entdeckung ist aktiviert) |
|
L2-Elterngeräte erhalten automatisch L2 Parent Analysis, mit Ausnahme von Gateways und Routern. |
Strömungsanalyse |
|
Geräte erhalten automatisch eine Durchflussanalyse, wenn sie auf einem Flusssensor entdeckt werden. |
Transfermanagement der Analyseprioritäten
Jeder Paketsensor kann seine eigenen Analyseprioritäten verwalten, die bestimmen, welche Geräte empfangen Erweiterte Analyse oder Standardanalyse. Wenn Ihr Sensor an eine Konsole angeschlossen ist, können Sie die Prioritätsverwaltung auf diese Konsole übertragen, um eine zentrale Ansicht dieser Einstellungen zu erhalten.
Hier sind einige wichtige Überlegungen zur Übertragung der Verwaltung:
- Sie müssen über volle Schreibrechte verfügen, um Analyseprioritäten bearbeiten zu können.
- Nach der Übertragung des Managements auf einen Konsole, alle weiteren Änderungen, die Sie an einzelnen Sensoren vornehmen, sind inaktiv. Sehen Sie, welche andere Einstellungen werden ebenfalls übertragen.
- Die Einstellungen für Analyseprioritäten sind für Durchflusssensoren nicht verfügbar. Die Verwaltung kann nicht übertragen werden.
Die folgenden Schritte zeigen Ihnen, wie Sie das Prioritätsmanagement an einen übertragen Konsole:
Hinweis: | Um Analyseunterbrechungen zu vermeiden, können Sie einen Entwurf der Einstellungen für die Analyseprioritäten für jeden Sensor speichern, bevor Sie die Verwaltung an eine Konsole übertragen. |
Priorisieren Sie Gruppen für Erweiterte Analyse
Sie können Gerätegruppen für Erweiterte Analyse auf der Grundlage ihrer Bedeutung für Ihr Netzwerk angeben. Die Gruppen werden in einer geordneten Liste geordnet.
Hier sind einige wichtige Überlegungen zu Erweiterte Analyse:
- Geräte auf dem Beobachtungsliste sind garantiert Erweiterte Analyse und haben Vorrang vor Gerätegruppen.
- Geräte innerhalb einer Gerätegruppe, die inaktiv sind, wirken sich nicht auf die Kapazität von Erweiterte Analyse aus.
- Benutzerdefinierte Metriken sind nur für Geräte in Erweiterte Analyse verfügbar. Wenn Sie benutzerdefinierte Messwerte für ein bestimmtes Gerät sehen möchten, priorisieren Sie eine Gruppe, die das Gerät enthält, oder fügen Sie das Gerät zur Beobachtungsliste hinzu.
- Sie benötigen volle Schreibberechtigungen, um Analyseprioritäten bearbeiten zu können.
- Sie können nicht mehr als 200 Gerätegruppen für Erweiterte Analyse priorisieren.
Nächste Maßnahme
Im Folgenden finden Sie einige zusätzliche Möglichkeiten, Gruppen, die Advanced Analysis erhalten, zu verwalten und zu verfeinern:
- Wenn Sie mehrere Gruppen hinzufügen, werden die Gruppen von oben nach unten priorisiert. Klicken Sie auf
das Symbol oben links neben Gruppe, und ziehen Sie die Gruppe dann
an eine andere Position in der sortierten Liste.
- Klicken Sie auf den Scheck Symbol, um die Gruppe zu reduzieren. Klicke auf den Stift Symbol, um die Gruppe erneut zu
erweitern, wie in der folgenden Abbildung dargestellt.
- Klicken Sie auf Gehe zu Symbol neben einem Gruppennamen, um zur Gerätegruppenseite zu navigieren. Auf der Gerätegruppenseite wird angezeigt, welche Geräte und wie viele Geräte sich in der Gruppe befinden. Das Symbol ist nur verfügbar, wenn die Gruppe ausgeblendet ist.
- Klicken Sie auf das X-Symbol, um eine Gruppe aus der Liste zu entfernen, wie in der folgenden Abbildung dargestellt.
Priorisieren Sie Gruppen für die Standardanalyse
Sie können Gerätegruppen für die Standardanalyse auf der Grundlage ihrer Bedeutung für Ihr Netzwerk angeben. Die Gruppen werden in einer geordneten Liste geordnet.
Hier sind einige wichtige Überlegungen zu Standardanalyse:
- Geräte, die für den Bereich Standardanalyse priorisiert wurden, erhalten die erweiterte Analyse, wenn genügend Kapazität vorhanden ist.
- Sie benötigen volle Schreibberechtigungen, um Analyseprioritäten bearbeiten zu können.
- Sie können nicht mehr als 200 Gerätegruppen für die Standardanalyse priorisieren.
Nächste Maßnahme
Im Folgenden finden Sie einige zusätzliche Möglichkeiten, Gruppen, die Standardanalysen erhalten, zu verwalten und zu verfeinern:
- Wenn Sie mehrere Gruppen hinzufügen, werden die Gruppen von oben nach unten priorisiert. Klicken Sie auf
das Symbol oben links neben Gruppe, und ziehen Sie die Gruppe dann
an eine andere Position in der sortierten Liste.
- Klicken Sie auf den Scheck Symbol, um die Gruppe zu reduzieren. Klicke auf den Stift Symbol, um die Gruppe erneut zu erweitern, wie in der folgenden Abbildung dargestellt.
- Klicken Sie auf Gehe zu Symbol neben einem Gruppennamen, um zur Gerätegruppenseite zu navigieren. Auf der Gerätegruppenseite wird angezeigt, welche Geräte und wie viele Geräte sich in der Gruppe befinden. Das Symbol ist nur verfügbar, wenn die Gruppe ausgeblendet ist.
- Klicken Sie auf das X-Symbol, um eine Gruppe aus der Liste zu entfernen, wie in der folgenden Abbildung dargestellt.
Gerät zur Beobachtungsliste hinzufügen
Fügen Sie Geräte zur Watchlist hinzu, um eine erweiterte Analyse zu gewährleisten. Sie können der Watchlist ein benutzerdefiniertes Gerät hinzufügen, aber Sie können der Watchlist kein übergeordnetes L2-Gerät hinzufügen, es sei denn, das Gerät ist ein Gateway oder Router, und Sie können in Flow Analysis kein Gerät hinzufügen. Geräte bleiben auf der Beobachtungsliste, egal ob sie inaktiv oder aktiv sind, aber ein Gerät muss aktiv sein, damit das ExtraHop-System Erweiterte Analyse Analysis-Metriken erfassen kann.
Hinweis: | Anstatt mehrere Geräte zur Beobachtungsliste hinzuzufügen, eine Gerätegruppe erstellen und dann
priorisieren Sie diese
Gruppe für die erweiterte Analyse. Oder fügen Sie mehrere Geräte auf der Gerätelistenseite zur Beobachtungsliste
hinzu. Klicken Sie auf das Kontrollkästchen neben einem oder mehreren Geräten und dann
auf das Symbol Zur Watchlist hinzufügen. in der oberen rechten Ecke. Erfahre mehr über Prioritäten der Analyse. |
Ein Gerät von der Beobachtungsliste entfernen
Sie können Geräte, die auf der Beobachtungsliste stehen, von der Seite Analyseprioritäten entfernen.
Hinweis: | Es ist möglich, Geräte anhand ihrer eindeutigen MAC-Adressen zu einer Blockliste hinzuzufügen, indem die laufende Konfigurationsdatei auf dem ExtraHop-System geändert wird. Wenden Sie sich an Ihren ExtraHop-Administrator, um Geräte zu einer Blockliste hinzuzufügen. |
Karten der Aktivitäten
Eine Aktivitätsdiagramm ist eine dynamische visuelle Darstellung der L4-L7-Protokollaktivität zwischen Geräten in Ihrem Netzwerk. Sie können ein 2D- oder 3D-Layout der Geräteverbindungen in Echtzeit sehen , um mehr über den Verkehrsfluss und die Beziehungen zwischen Geräten zu erfahren.
Aktivitätskarten können dir bei den folgenden Anwendungsfällen helfen:
- Schließen Sie eine Rechenzentrum- oder Cloud-Migration ab
- Im Rahmen Ihrer Migrationsstrategie müssen Sie festlegen, welche Dienste wann ausgeschaltet werden können. Mithilfe einer Aktivitätsdiagramm können Sie erkennen, welche Geräte noch verbunden sind, sodass Sie unerwartete Serviceunterbrechungen während des Migrationsprozesses verhindern können. Weitere Informationen finden Sie in der Planen und überwachen Sie Ihre Migration mit Activity Maps Komplettlösung.
- Identifizieren Sie die Ursache für eine langsame Anwendung
- Anwendungen hängen oft von mehreren Dienstebenen innerhalb eines Netzwerk ab. Mithilfe einer Aktivitätsübersicht können Sie die Lieferkette des Datenverkehrs zu Ihrem langsamen Anwendungsserver identifizieren. Klicken Sie auf ein Gerät, um verwandte Messwerte zu untersuchen, die mehr Aufschluss über die Ursache der Verlangsamung geben können.
- Verfolgen Sie verdächtige Geräte oder unerwartete Verbindungen
- Während eines Sicherheitsereignisses kann Ihnen eine Aktivitätsdiagramm dabei helfen, betroffene Geräte zu identifizieren, indem sie den Ost-West-Verkehr in Echtzeit verfolgt, der mit einem verdächtigen Gerät verbunden ist. Im Rahmen einer täglichen Sicherheitsüberwachungsstrategie können Sie eine Aktivitätsdiagramm erstellen, um zu bestätigen, dass Geräte keine unerwarteten Verbindungen zu anderen Geräten herstellen.
Hier sind einige wichtige Überlegungen zu Aktivitätskarten:
- Du kannst Aktivitätskarten erstellen für Geräte in den Bereichen Advanced, Standard, L2 Parent Analysis und Flow Analysis. Sie können keine Aktivitätsdiagramm für Geräte im Entdeckungsmodus erstellen. Weitere Informationen finden Sie unter Prioritäten der Analyse.
- Wenn Sie eine Aktivitätsdiagramm für ein Gerät oder eine Gerätegruppe erstellen, die während des ausgewählten Zeitintervalls keine Protokollaktivität aufweist, wird die Karte ohne Daten angezeigt. Ändern Sie das Zeitintervall oder Ihre Ursprungsauswahl und versuchen Sie es erneut.
- Sie können eine Aktivitätsdiagramm aus einem erstellen Konsole um die Geräteverbindungen aller Ihrer Sensoren anzuzeigen.
- Du kannst eine Aktivitätsdiagramm speichern und teilen , gewährt anderen Systembenutzern oder Gruppen Lese- oder Bearbeitungszugriff. Du kannst auch eine gespeicherte Aktivitätsdiagramm laden um die Karteneigenschaften zu ändern.
Weitere Informationen zu Aktivitätskarten finden Sie in der Häufig gestellte Fragen zu Aktivitätskarten.
Navigiere durch Aktivitätskarten
Nach eine Aktivitätskarte erstellen, können Sie mit der Untersuchung von Daten beginnen. In den folgenden Abschnitten finden Sie Informationen zur Interaktion mit einer Aktivitätsdiagramm und Informationen zu den Daten, die Sie sich gerade ansehen.
Grundriss
Geräte werden durch Kreise und Verbindungen durch Linien dargestellt.
Die Platzierung der Geräte ist für die Anzeige von Informationen optimiert. Das Layout kann sich ändern, wenn Daten zur Geräteaktivität in Echtzeit aktualisiert werden. Beispielsweise wird das Layout aktualisiert , wenn neue Verbindungen beobachtet werden oder Geräte inaktiv werden.
Hinweis: | Wenn das Zeitintervall in der oberen linken Ecke der Seite auf Letzte 30 Minuten, Letzte 6 Stunden oder Letzter Tag eingestellt ist, werden die Aktivitätsdiagramm Map-Daten kontinuierlich jede Minute mit Echtzeitdaten aktualisiert. Legen Sie ein benutzerdefiniertes Zeitintervall mit einer bestimmten Start- und Endzeit fest, um Layoutaktualisierungen in Echtzeit zu stoppen. |
2D- oder 3D-Layout
Standardmäßig werden Aktivitätskarten in einem 2D-Layout angezeigt, aber Sie können auf 3D klicken, um die Anzeige in ein rotierendes 3D-Modell zu ändern. Möglicherweise möchten Sie 3D-Karten auf einem großen Bildschirm in einem Netzwerk- oder Sicherheitszentrum präsentieren.
Neu positionieren, drehen und zoomen
Zoomen Sie mit den Steuerelementen in der unteren rechten Ecke der Seite in eine Karte hinein und heraus oder zoomen Sie mit dem Mausrad. Klicken und ziehen Sie mit der Maus, um eine 2D-Karte neu zu positionieren oder eine 3D-Karte zu drehen.
Beschriftungen und Icons
Kreisbeschriftungen enthalten Details wie den Hostnamen, die IP-Adresse oder die MAC-Adresse des Gerät.
Linienbeschriftungen enthalten Protokollnamen, die mit der Geräteverbindung und der Richtung des Datenverkehrs zwischen den Geräten verknüpft sind, was als animierte Impulse angezeigt wird. Spezifisch Geräterollen werden durch ein Symbol dargestellt.
Um die Anzeige von Informationen zu optimieren, wird nicht jedes Etikett angezeigt. Bewegen Sie den Mauszeiger über einen Kreis oder eine Linie, um deren Bezeichnung anzuzeigen, wie in der folgenden Abbildung dargestellt.
Hinweis: | Geräterollen werden einem Gerät automatisch zugewiesen, basierend auf der Art des Datenverkehrs, den das ExtraHop-System für dieses Gerät beobachtet. Weitere Informationen finden Sie unter Eine Geräterolle ändern. |
Kreis- und Liniengröße
Die Größe der Objekte in der Karte entspricht einem Metrikwert, der dazu beiträgt,
Bereiche mit erhöhter Aktivität hervorzuheben, z. B. die Anzahl der Byte oder das Verkehrsaufkommen, die mit einer
Geräteverbindung verbunden sind.
Unten im linken Bereich können Sie eine andere Metrik für Kartenelemente auswählen:
Byte: Sehen Sie sich alle Geräte an, die während des Zeitintervalls Daten senden oder empfangen.
Verbindungen: Es werden nur die Geräte angezeigt, die während des Zeitintervalls mindestens einmal eine neue Verbindung hergestellt haben.
TCP-Kurven: Es werden nur die Geräte angezeigt, die während des Zeitintervalls mindestens einmal zwischen Senden und Empfangen von Daten gewechselt haben.
Farbe
Blau und Grau sind Standardfarben für Kreise und Linien. Diese Standardfarben sind für die Anzeige von Informationen in einer Karte optimiert. Sie können Ihrer Karte jedoch unterschiedliche Farben zuweisen, um den Schweregrad einer Alarm hervorzuheben oder anzuzeigen, wann eine Geräteverbindung hergestellt wurde.
Erkennungen
Erkennungen Die einem Gerät auf der Karte zugewiesenen Geräte erscheinen um den Kreis herum als animierte Impulse, sogenannte Erkennungsmarkierungen. Die Farbe des Pulses ist rot, wenn das Gerät der Täter ist, und blaugrün, wenn das Gerät Opfer der Erkennung ist. Der Teilnehmerstatus erscheint auch auf dem Geräteetikett.
Hinweis: | Erkennungen durch maschinelles Lernen erfordern eine Verbindung zu ExtraHop Cloud Services . |
Klicken Sie auf einen Kreis mit einer Erkennungsmarkierung, um zugehörige Erkennungen anzuzeigen und zu ihnen zu navigieren, oder Seite „ Geräteübersicht".
Wenn Erkennungsmarkierungen nicht wie erwartet auf Ihren Aktivitätskarten angezeigt werden, sind Erkennungsmarkierungen möglicherweise deaktiviert. Du kannst Erkennungsmarkierungen aktivieren oder deaktivieren von der Nutzer Speisekarte.
Alarmstatus (NPM-Modulzugriff erforderlich)
Um den Schweregrad einer Alarm für ein Gerät in Ihrer Karte anzuzeigen, wählen Sie Warnstatus anzeigen in der unteren linken Ecke oder auf der Seite, wie in der folgenden Abbildung dargestellt. Die Kreisfarbe entspricht dann dem schwerwiegendsten Status für alle Alarme, die einem Gerät während des Zeitintervalls zugewiesen wurden. Wenn einem Gerät keine Alarm zugewiesen ist oder die Warnstufe informativ ist, ist die Standardfarbe des Kreises grün.
Um die Alarm zu untersuchen, klicken Sie auf den Kreis und wählen Sie dann den Gerätenamen in der Gehe zu Gerät... Abschnitt. Scrollen Sie auf der Protokollseite des Geräts nach unten zu die Seite „Benachrichtigungen" anzeigen.
Vergleich von Zeitintervallen
Wenn du Vergleiche zwei Zeitintervalle, um Metrik Deltas zu finden, anhand verschiedener Farben in der Karte können Sie feststellen, wann Geräteverbindungen hergestellt wurden oder wann sich die Protokollaktivität für ein Gerät geändert hat. Zum Beispiel nach dem Erstellen eines Vergleichs zwischen Gestern und der Letzte 30 Minuten, neue Geräteverbindungen oder Aktivitäten, die nur im neueren Zeitintervall auftreten, werden grün angezeigt. Frühere Geräteverbindungen oder Aktivitäten, die nur im früheren Zeitintervall aufgetreten sind, sind rot. Geräteverbindungen, die sich zwischen den Zeitintervallen nicht geändert haben, sind blau. In der folgenden Abbildung werden neue Verbindungen, die in den letzten dreißig Minuten hergestellt wurden, durch grüne Kreise und Linien dargestellt.Hinweis: | Wenn alle Geräte eine einzige Farbe haben, z. B. grün, bedeutet dies, dass die Abfrage im früheren Zeitintervall keine Ergebnisse erbracht hat. Beispielsweise hatte das Ursprungsgerät im früheren Zeitintervall keine Protokollaktivität. |
Schritte und Filter zu einer Map hinzufügen
Ein Schritt ist eine Ebene von Verbindungen zwischen Geräten. Die Geräte in jedem Schritt haben eine
Beziehung zu den Geräten im vorherigen Schritt. Diese Beziehungen werden durch ihre
Protokollaktivität definiert.
Fügen Sie einer Aktivitätsdiagramm einen neuen Schritt hinzu, um Ihrer Karte eine weitere Informationsebene hinzuzufügen. Klicken Sie auf die Dropdownliste für einen bestimmten Schritt und wählen Sie dann eine Protokollaktivität aus.
Sie können Geräte auch in einem Schritt nach ihrer Gruppenmitgliedschaft filtern. Wenn Sie beispielsweise HTTP-Server auswählen, aber nur Ihre Testserver in der Map sehen möchten, können Sie HTTP-Server nach einer Gerätegruppe filtern, z. B. Meine Testserver.
Weitere Informationen zum Hinzufügen von Schritten und Filtern zu einer Map finden Sie unter Erstellen Sie eine Aktivitätsdiagramm.
Aktivitätskarten verwalten
Die folgenden Optionen zur Verwaltung deiner Aktivitätsdiagramm sind im Befehlsmenü in der oberen rechten Ecke verfügbar:
- Speichern und teilen Sie eine Aktivitätsdiagramm
- Eine gespeicherte Aktivitätsdiagramm laden und verwalten
- Aktivitätsdiagramm als PDF-, PNG- oder SVG-Datei exportieren
Bewährte Methoden für die Untersuchung von Aktivitätsdiagramm Map-Daten
Wenn Sie auf Ihrer Karte ein Gerät finden, das es wert ist, untersucht zu werden, haben Sie mehrere Möglichkeiten, weitere Informationen über dieses Gerät zu sammeln.
- Suchen Sie nach kürzlich verbundenen Geräten
-
Klicken Sie auf das Zeitintervall in der oberen linken Ecke der Seite und klicken Sie auf Vergleiche. Sie können sehen, wie sich die Geräteverbindungen zwischen zwei verschiedenen Zeitintervallen geändert haben.
Weitere Informationen finden Sie unter Vergleich von Zeitintervallen.
- Navigieren Sie zu den Protokollseiten, um verwandte Metrikaktivitäten zu finden
-
Klicken Sie auf einen Kreis oder eine Linie, um ein Dropdownmenü aufzurufen, wie in der folgenden Abbildung dargestellt.
Wählen Sie den Gerätenamen aus dem Menü aus, um die Seite Geräteübersicht aufzurufen. Klicken Sie im linken Bereich auf einen Protokollnamen, um die Protokollseite aufzurufen, die eine Zusammenfassung wichtiger Protokollmetriken enthält, die beobachtet wurden und mit dem Gerät verknüpft wurden. Auf einer Protokollseite finden Sie verwandte Metriken wie Fehler, Anfragen, Antworten und Serververarbeitungszeit. Sie können eine Metrik auch von einer Protokollseite aus aufschlüsseln, um Metrikdetails wie Server-IP-Adresse, Client-IP-Adresse, Statuscodes, Methoden und URIs anzuzeigen.
- Navigieren Sie zu den auf dem Gerät identifizierten Erkennungen
- Geräte auf einer Aktivitätsdiagramm, denen Erkennungen zugeordnet sind, werden als animierte
Impulse rund um das kreisförmige Etikett angezeigt. Klicken Sie auf einen Kreis mit dieser Erkennungsmarkierung, um ein
Dropdownmenü aufzurufen, wie in der folgenden Abbildung dargestellt.
Wählen Sie einen Erkennungsnamen aus dem Menü aus, um zur Detailseite für diese Erkennung zu gelangen. Die Detailseite enthält Informationen über die Art der Erkennung und ihre Bedeutung sowie über den Zeitpunkt der Erkennung und die Dauer des Problems. Weitere Informationen finden Sie unter Seite mit Erkennungsdetails.
- Suchen Sie nach Transaktionsdatensätzen, die mit einer Verbindung verknüpft sind (erfordert einen konfigurierten Recordstore)
- Klicken Sie auf einen Kreis oder eine Linie, um das Drop-down-Menü aufzurufen. klicken Aufzeichnungen. Eine Datensatzabfrageseite wird geöffnet und zeigt alle Datensätze von jedem verbundenen Gerät an, einschließlich aller Datensatztypen, die den Geräteverbindungsprotokollen zugeordnet sind.
Erstellen Sie eine Aktivitätsdiagramm
Eine Aktivitätsdiagramm ist eine interaktive 2D- oder 3D-Anzeige von Geräteverbindungen in Echtzeit, die auf der Protokollaktivität zwischen Geräten basiert. Mithilfe von Aktivitätskarten können Sie Verkehrsflüsse visualisieren und anhand eines interessanten Datenpunkts auf einer Karte die Fehlerbehebung einleiten.
Sie können eine Aktivitätsdiagramm für ein aktives einzelnes Gerät oder eine Gerätegruppe erstellen. Nachdem Sie eine Basiskarte generiert haben, können Sie Geräte und Verbindungen in Ihrer Karte filtern.
Hinweis: | Sie können Aktivitätskarten für Geräte in Advanced, Standard, L2 Parent Analysis und Flow Analysis erstellen. Sie können keine Aktivitätsdiagramm für Geräte im Entdeckungsmodus erstellen. Weitere Informationen finden Sie unter Prioritäten der Analyse. |
Erstellen Sie eine grundlegende Aktivitätsdiagramm
Eine grundlegende Aktivitätsdiagramm zeigt Ihnen einen einzelnen Schritt oder eine Ebene von Geräteverbindungen zwischen Originalgeräten und Peer-Geräten in Ihrem Netzwerk.
Hinweis: | Sie können Aktivitätskarten für Geräte in Advanced, Standard, L2 Parent Analysis und Flow Analysis erstellen. Sie können keine Aktivitätsdiagramm für Geräte im Entdeckungsmodus erstellen. Weitere Informationen finden Sie unter Prioritäten der Analyse. |
Fügen Sie Verbindungen hinzu und filtern Sie Geräte zu Ihrer Karte
Um den Pfad des Datenverkehrs von den Ursprungsgeräten zu den nachgeschalteten Geräten besser zu verstehen, können
Sie Ihrer Karte weitere Schritte hinzufügen. Sie können auch Filter erstellen, um
Geräte in die Karte ein- oder auszuschließen. Die folgende Abbildung zeigt Ihnen, wie Sie Schritte hinzufügen und
Filter erstellen.
Fügen Sie eine weitere Ebene von Geräteverbindungen hinzu
Ein Schritt definiert eine Verbindungsebene zwischen Geräten in einer Map. Die Geräte in jedem Schritt haben eine Beziehung zu den Geräten im vorherigen Schritt. Diese Beziehungen werden durch ihre Protokollaktivität definiert. Sie können bis zu 5 Schritte hinzufügen, um zu sehen, wie der Datenverkehr von einem Gerät zum anderen fließt.
Speichern und teilen Sie eine Aktivitätsdiagramm
Sie können eine Aktivitätsdiagramm speichern und mit anderen teilen. Standardmäßig sind alle Aktivitätskarten, die Sie erstellen, privat, was bedeutet, dass keine ExtraHop-Benutzer Ihre Map ansehen oder bearbeiten können. Sie können Ihre Map jedoch beim Speichern teilen, indem Sie anderen ExtraHop-Benutzern und -Gruppen Ansichts- oder Bearbeitungszugriff gewähren.
Hier sind einige wichtige Überlegungen zum Teilen von Activity Maps:
- Wie ein Benutzer mit einer Activity Aktivitätsdiagramm interagiert und welche Informationen er im ExtraHop-System einsehen kann, hängt von den Benutzerrechten ab, die ihm vom ExtraHop-Administrator zugewiesen werden. Weitere Informationen finden Sie in der Benutzerrechte Abschnitt im ExtraHop-Administratorhandbuch.
- Wenn Sie einem Benutzer Bearbeitungszugriff gewähren, kann dieser Benutzer die Activity Map ändern und mit anderen teilen. Andere Benutzer können die Aktivitätsdiagramm jedoch nicht löschen. Nur der Kartenbesitzer kann eine Aktivitätsdiagramm löschen.
- Gruppeninformationen werden aus LDAP (wie OpenLDAP oder Active Directory) in das ExtraHop-System importiert. Benutzerinformationen sind verfügbar, nachdem sich ein ExtraHop-Benutzer bei seinem Konto angemeldet hat.
- Wenn Sie einen Benutzer löschen, haben Sie die Möglichkeit, seine Aktivitätskarten auf einen anderen Benutzer zu übertragen.
Die folgenden Schritte zeigen dir, wie du eine Aktivitätsdiagramm speichern und teilen kannst:
Nächste Maßnahme
- Wenn Sie Ihre Karte geteilt haben, kopieren Sie die gesamte Karten-URL aus Ihrem Browser und senden Sie die URL dann an die Benutzer mit Zugriff auf Ihre Karte.
- Eine gespeicherte Aktivitätsdiagramm laden und verwalten.
- Zugriff auf eine Aktivitätsdiagramm entfernen oder ändern
Zugriff auf eine Aktivitätsdiagramm entfernen oder ändern
Sie können den Zugriff auf eine Aktivitätsdiagramm, die Sie Benutzern und Gruppen gewährt haben, entfernen oder ändern. Sie müssen zuerst eine Aktivitätsdiagramm erstellen, um auf Optionen zum Ändern von gespeicherten Activity Maps zugreifen zu können.
- Erstellen Sie eine Aktivitätsdiagramm, und klicken Sie dann auf das Symbol Öffnen in der oberen rechten Ecke der Seite.
- Klicken Sie auf den Namen der Aktivitätsdiagramm.
-
Führen Sie im Abschnitt Teilen einen der folgenden Schritte aus:
- Um Benutzern oder Gruppen den Zugriff zu entziehen, klicken Sie auf das rote Löschen x Symbol neben dem Benutzer- oder Gruppennamen.
- Um den Zugriff für einen vorhandenen Benutzer oder eine bestehende Gruppe zu ändern, klicken Sie auf Kann ansehen oder Kann bearbeiten, und treffen Sie eine andere Auswahl.
- Um einen neuen Benutzer oder eine neue Gruppe hinzuzufügen, suchen Sie nach dem Benutzernamen und klicken Sie darauf. klicken Kann ansehen oder Kann bearbeiten, und klicken Sie dann Hinzufügen.
- klicken Speichern.
Erkennungen
Das ExtraHop-System wendet Techniken des maschinellen Lernens und eine regelbasierte Überwachung Ihrer wire data an, um ungewöhnliche Verhaltensweisen und potenzielle Risiken für die Sicherheit und Leistung Ihres Netzwerk zu identifizieren.
Before you begin
Benutzern muss Folgendes gewährt werden Privilegien um Erkennungen anzuzeigen.Wenn anomales Verhalten erkannt wird, generiert das ExtraHop-System eine Erkennung und zeigt die verfügbaren Daten und Optionen an. Steuerelemente auf der Seite „Erkennungen" führen zu folgenden Oberflächenerkennungen : für die Triage empfohlen und helfe dir filtern und sortieren Ihre Ansichten, sodass Sie sich schnell auf Erkennungen im Zusammenhang mit kritischen Systemen konzentrieren können.
- Erfassen Sie hochwertige, verwertbare Daten, um die Ursachen von Netzwerkproblemen zu ermitteln.
- Finden Sie unbekannte Probleme mit Leistung oder Infrastruktur.
- Identifizieren Sie bösartiges Verhalten, das mit verschiedenen Angriffskategorien oder MITRE-Techniken in Verbindung steht.
- Sehen Sie sich verwandte Erkennungen an oder erstellen Sie Ihre eigenen Untersuchung um Erkennungen zu gruppieren und potenzielle Angriffskampagnen zu verfolgen.
- Kennzeichnen Sie verdächtige IP-Adressen, Hostnamen und URIs, die anhand von Bedrohungsinformationen identifiziert wurden.
- Heben Sie bewährte Methoden zur Erhöhung der Sicherheit hervor.
Wichtig: | Obwohl Erkennungen Sie über Sicherheitsrisiken und Leistungsprobleme informieren können, ersetzen Erkennungen nicht die Entscheidungsfindung oder das Fachwissen über Ihr Netzwerk. Immer überprüfen Sicherheit und Performance Erkennungen, um die Ursache für ungewöhnliches Verhalten zu ermitteln und zu ermitteln, wann Maßnahmen ergriffen werden müssen. |
Video: | Sehen Sie sich die entsprechenden Schulungen an: |
Erkennungen anzeigen
In der oberen linken Ecke der Erkennungsseite gibt es vier Optionen zum Anzeigen von Erkennungen: Zusammenfassung, Triage, MITRE Map und Untersuchungen. Diese Optionen bieten jeweils eine einzigartige Ansicht Ihrer Erkennungsliste.
Zusammenfassung
Standardmäßig werden Erkennungen auf der Seite Erkennungen in der Übersichtsansicht angezeigt, in der Informationen zu Erkennungen zusammengefasst werden, um Aktivitätsmuster in Ihrer Umgebung hervorzuheben. Sie können Ihre Erkennungsliste in der Übersichtsansicht sortieren und gruppieren, um sich auf häufig auftretende Erkennungstypen und die aktivsten Teilnehmer zu konzentrieren.
Hinweis: | Standardmäßig ist der Offen Der Statusfilter wird angewendet auf den Erkennungen Seite. Klicken Sie auf Offen filtern, um auf andere zuzugreifen Optionen filtern. |
Sortierung von Erkennungen in der Übersichtsansicht
Sie können Erkennungen entweder nach der höchsten Risikoscore oder nach dem jüngsten Ereignis sortieren.
Wenn sie nach Risikobewertung sortiert sind, sind dies Erkennungen für die Triage empfohlen erscheinen zuerst, gefolgt von Entdeckungen mit der höchsten Risikoscore.
Wenn sortiert nach Aktuellste, Erkennungen mit der letzten Endzeit werden zuerst angezeigt. Wenn noch zwei Erkennungen andauern, wird die Erkennung mit dem letzten Aktualisierungszeitpunkt zuerst angezeigt. Klicken Sie auf das Sortiersymbol über der Erkennungsliste, um eine Option auszuwählen.
Gruppierung von Erkennungen in der Übersichtsansicht
Sie können Erkennungen nach Erkennungstyp (z. B. Spike in SSH-Sitzungen) oder nach Erkennungsquelle (z. B. IP-Adresse des Täters) gruppieren, oder Sie können festlegen, dass Ihre Erkennungsliste überhaupt nicht gruppiert wird.
- Nach Typ gruppieren
- Beim Gruppieren der Zusammenfassungsansicht nach Typ, können Sie
Wertelisten anzeigen, die mit Erkennungen verknüpft sind, die während des ausgewählten
Zeitintervalls aufgetreten sind, z. B. Teilnehmer, Erkennungseigenschaften oder
Netzwerklokalitäten.
Sie können auf Teilnehmerwerte klicken, um mehr über dieses Gerät oder diese IP-Adresse zu erfahren. Klicken Sie auf einen beliebigen Wert, um nur Erkennungen anzuzeigen, die mit diesem Wert verknüpft sind, oder alle zugehörigen Erkennungen verfolgen.
- Teilnehmer
- Führt alle Täter und Opfer der ausgewählten Erkennungsart auf. Die Täter- und Opferlisten sind nach der Anzahl der Erkennungen geordnet , bei denen der Teilnehmer auftaucht.
- Immobilienwerte
- Listet die Eigenschaftswerte auf, die dem Erkennungstyp zugeordnet sind. Die Liste der Eigenschaftswerte ist nach der Anzahl der Erkennungen sortiert, in denen der Eigenschaftswert vorkommt.
- Lokalitäten im Netzwerk
- Führt die Netzwerklokalitäten auf, die Erkennungen des ausgewählten Typs enthalten. Die Liste der Netzwerkortschaften ist nach der Anzahl der Entdeckungen in der Netzwerklokalität sortiert.
Sie können über den Übersichtsbereich hinaus scrollen, um einzelne Erkennungskarten anzuzeigen. Erkennungen, die für die Triage empfohlen erscheinen zuerst.
- Nach Quelle gruppieren
- Wenn Sie die Übersichtsansicht nach Quelle gruppieren, können Sie Teilnehmer anzeigen, die die Quelle einer Erkennung
sind, wobei die Anzahl der Erkennungen neben dem Namen
des Teilnehmers angezeigt wird. Klicken Sie auf eine Quelle, um die Erkennungen anzuzeigen, bei denen das Gerät entweder als Täter oder als Opfer
aufgetreten ist. klicken
Einzelheiten unter dem Gerätenamen, um eine Liste der
Erkennungstypen anzuzeigen, in denen das Gerät aufgetreten ist, und klicken Sie dann auf einen Erkennungstyp, um nach diesem Erkennungstyp zu
filtern.
- Nach Keiner gruppieren
- Bei der Gruppierung nach Keine Auf der Seite Erkennungen können Sie ein Zeitdiagramm mit der Gesamtzahl der Entdeckungen
anzeigen, die innerhalb des
ausgewählten Zeitintervalls identifiziert wurden. Jeder horizontale Balken im Diagramm stellt die Dauer
einer einzelnen Erkennung dar und ist entsprechend der Risikoscore farblich gekennzeichnet.
- Klicken und ziehen Sie, um einen Bereich im Diagramm hervorzuheben, um einen bestimmten Zeitraum zu vergrößern. Erkennungen werden für das neue Zeitintervall aufgelistet.
- Bewegen Sie den Mauszeiger über einen Balken, um die Bewertung des Erkennungsrisikos anzuzeigen.
- Klicken Sie auf eine Leiste, um direkt zur Seite mit den Erkennungsdetails zu gelangen.
Triage
(nur NDR-Modul) Die Triage-Ansicht zeigt Erkennungen, die ExtraHop für die Triage empfiehlt, basierend auf einer kontextuellen Analyse von Faktoren in Ihrer Umgebung.
- Beinhaltet einen hochwertigen Asset
- Das Asset bietet Authentifizierung oder wichtige Dienste, oder ein Asset, das manuell als hoher Wert identifiziert.
- Beinhaltet einen Top-Täter
- Das Gerät oder die IP-Adresse hat an zahlreichen Erkennungen und einer Vielzahl von Erkennungstypen teilgenommen.
- Beinhaltet einen seltenen Erkennungstyp
- Der Erkennungstyp ist in letzter Zeit nicht in Ihrer Umgebung aufgetreten. Ungewöhnliche Erkennungstypen können auf einzigartiges, bösartiges Verhalten hinweisen.
- Beinhaltet einen verdächtigen Hostnamen oder eine verdächtige IP-Adresse
- Der Hostname oder die IP-Adresse lautet in einer Bedrohungssammlung referenziert das ist auf Ihrem System aktiviert.
- Beinhaltet eine empfohlene Untersuchung
- Die Erkennung ist Teil einer potenziellen Angriffskette in einem empfohlene Untersuchung.
Erkennungen, die für die Triage empfohlen werden, werden in der Zusammenfassungsansicht priorisiert und erscheinen unabhängig von der Sortierung ganz oben in Ihrer Erkennungsliste.
Du kannst Erkennungen filtern um nur Erkennungen anzuzeigen, die für die Triage empfohlen werden, und „Empfohlen für Triage" als Kriterium für eine Benachrichtigungsregel.
- Empfehlungen, die auf hoher Wert Ressourcen basieren, sind auf maximal fünf Erkennungen desselben Erkennungstyps über einen Zeitraum von zwei Wochen begrenzt.
- Zwei Wochen an Sensordaten sind erforderlich, bevor Empfehlungen auf der Grundlage von Faktoren ausgesprochen werden, bei denen es sich um die häufigsten Straftäter oder um seltene Erkennungsfaktoren handelt.
- Empfehlungen auf der Grundlage von Bedrohungsinformationen sind auf zwei Erkennungen desselben Erkennungstyps für denselben Bedrohungsindikator über einen Zeitraum von dreißig Tagen beschränkt.
MITRE karte
Klicken Sie auf das MITRE Karte anzeigen, wenn Sie Ihre Erkennungen nach Angriffstechnik anzeigen möchten.
Jede Kachel in der Matrix steht für eine Angriffstechnik aus der MITRE ATT&CK® Matrix
for Enterprise. Wenn eine Kachel hervorgehoben ist,
erfolgte die mit dieser Technik verbundene Erkennung während des ausgewählten Zeitintervalls. Klicken Sie auf eine beliebige Kachel, um Erkennungen zu sehen, die
dieser Technik entsprechen.
Tabelle „Untersuchungen"
In der Ansicht Untersuchungen werden alle vom Benutzer erstellten und empfohlenen Untersuchungen angezeigt, die während des ausgewählten Zeitintervalls erstellt wurden.
Klicken Sie auf einen Ermittlungsnamen, um die Untersuchung zu öffnen. Erfahre mehr über Ermittlungen.
Erkennungen filtern
Sie können die Seite „Entdeckungen" filtern, um nur die Erkennungen anzuzeigen, die Ihren angegebenen Kriterien entsprechen. Beispielsweise könnten Sie nur an Exfiltrationserkennungen interessiert sein, die über HTTP erfolgen , oder an Erkennungen, die Teilnehmern zugeordnet sind, bei denen es sich um wichtige Server handelt.
Status
Sie können Erkennungen mit einem bestimmten Erkennungsstatus filtern, z. B. Bestätigt, In Bearbeitung oder Geschlossen. Standardmäßig ist der Öffnen Der Statusfilter wird angewendet auf Erkennungen Seite. Klicken Sie auf Öffnen Filter, um auf andere Filteroptionen zuzugreifen.
Sie können das auswählen Versteckt Status, um nur Erkennungen anzuzeigen, die derzeit versteckt von Tuning-Regeln.
Kategorie
Sie können nach Angriffs- oder Operationserkennungen filtern oder eine spezifischere Kategorie auswählen, um Ihre Ansicht der Seite „Entdeckungen" weiter zu verfeinern. Wenn Sie auf den Kategoriefilter klicken, werden die meisten Kategorien unter dem Alle Angriffskategorien und Alle Betriebskategorien Die Optionen sind nach der Anzahl der Funde in der Kategorie sortiert. Härteerkennungen werden immer am Ende der Liste angezeigt.
Zu den Erkennungen von Angriffen gehören die folgenden Kategorien, die den Phasen der Angriffskette entsprechen.
- Befehl und Steuerung
- Ein externer Server, der eine Verbindung zu einem kompromittierten Gerät in Ihrem Netzwerk hergestellt und aufrechterhalten hat. C&C-Server können Malware, Befehle und Payloads senden, um den Angriff zu unterstützen. Diese Erkennungen identifizieren, wenn ein internes Gerät mit einem Remotesystem kommuniziert, das anscheinend als C&C-Server fungiert.
- Aufklärung
- Ein Angreifer sucht nach hochwertigen Zielen und Schwächen, die er ausnutzen kann. Diese
Erkennungen identifizieren Scans und Aufzählungstechniken.
Hinweis: Bei Erkennungen kann ein bekannter Schwachstellenscanner wie Nessus und Qualys identifiziert werden. Klicken Sie auf den Gerätenamen, um zu bestätigen, ob dem Gerät bereits eine Vulnerability Scanner-Rolle im ExtraHop-System zugewiesen ist. Informationen zum Ausblenden von Erkennungen im Zusammenhang mit diesen Geräten finden Sie unter Erkennungen abstimmen. - Ausbeutung
- Ein Angreifer nutzt eine bekannte Schwachstelle in Ihrem Netzwerk aus, um Ihre Ressourcen aktiv auszunutzen. Diese Erkennungen identifizieren ungewöhnliche und verdächtige Verhaltensweisen im Zusammenhang mit Ausnutzungstechniken.
- Seitliche Bewegung
- Ein Angreifer hat Ihr Netzwerk infiltriert und bewegt sich auf der Suche nach höherwertigen Zielen von Gerät zu Gerät. Diese Erkennungen identifizieren ungewöhnliches Geräteverhalten im Zusammenhang mit Datenübertragungen und Verbindungen im Ost-West-Korridor.
- Zielgerichtete Maßnahmen
- Der Angreifer ist kurz davor, sein Ziel zu erreichen, das vom Diebstahl sensibler Daten bis hin zur Verschlüsselung von Dateien bis hin zum Lösegeld reichen kann. Diese Erkennungen identifizieren, wenn ein Angreifer kurz davor ist, ein Kampagnenziel zu erreichen.
- Vorsicht
- Heben Sie Aktivitäten hervor, die keine unmittelbare Gefahr für den Betrieb darstellen, aber angegangen werden sollten, um eine gesunde Sicherheitslage aufrechtzuerhalten. Diese Erkennungen identifizieren auch Aktivitäten verdächtiger Teilnehmer, die mit Bedrohungsinformationen in Verbindung stehen.
Bedienung Erkennungen umfassen die folgenden Kategorien.
- Authentifizierung und Zugriffskontrolle
- Markieren Sie erfolglose Versuche von Benutzern, Clients und Servern, sich anzumelden oder auf Ressourcen zuzugreifen. Diese Erkennungen identifizieren potenzielle WLAN-Probleme im Zusammenhang mit Authentifizierung-, Autorisierungs- und Auditprotokollen (AAA), übermäßige LDAP-Fehler oder decken Geräte mit eingeschränkten Ressourcen auf.
- Datenbank
- Heben Sie Zugriffsprobleme für Anwendungen oder Benutzer auf der Grundlage der Analyse von Datenbankprotokollen hervor. Diese Erkennungen identifizieren Datenbankprobleme, z. B. Datenbankserver, die eine übermäßige Anzahl von Antwortfehlern senden , die zu langsamen oder fehlgeschlagenen Transaktionen führen können.
- Desktop- und Anwendungsvirtualisierung
- Heben Sie lange Ladezeiten oder Sitzungen mit schlechter Qualität für Endbenutzer hervor. Diese Erkennungen identifizieren Anwendungsprobleme, z. B. eine übermäßige Anzahl von Zero Windows, was darauf hindeutet, dass ein Citrix-Server überlastet ist.
- Netzwerk-Infrastruktur
- Heben Sie ungewöhnliche Ereignisse über die TCP-, DNS- und DHCP-Protokolle hervor. Diese Erkennungen können auf DHCP-Probleme hinweisen, die verhindern, dass Clients eine IP-Adresse vom Server abrufen, oder zeigen, dass Dienste Hostnamen aufgrund übermäßiger DNS-Antwortfehler nicht auflösen konnten.
- Verschlechterung des Dienstes
-
Heben Sie Serviceprobleme oder Leistungseinbußen im Zusammenhang mit Voice over IP (VoIP), Dateiübertragungs- und E-Mail-Kommunikationsprotokollen hervor. Diese Erkennungen zeigen möglicherweise Dienstverschlechterungen an, bei denen VoIP-Anrufe fehlgeschlagen sind, und geben den entsprechenden SIP-Statuscode an, oder zeigen, dass nicht autorisierte Anrufer versucht haben, mehrere Anrufanfragen zu stellen.
- Aufbewahrung
- Heben Sie Probleme mit dem Benutzerzugriff auf bestimmte Dateien und Freigaben hervor, die bei der Auswertung des Netzwerkdateisystemverkehrs festgestellt wurden. Diese Erkennungen könnten darauf hinweisen, dass Benutzer aufgrund von SMB/CIFS-Problemen am Zugriff auf Dateien auf Windows-Servern gehindert wurden oder dass NAS-Server (Netzwerk Attached Storage) aufgrund von NFS-Fehlern nicht erreicht werden konnten.
- Web-Applikation
- Heben Sie eine schlechte Webserverleistung oder Probleme hervor, die bei der Verkehrsanalyse über das HTTP-Protokoll beobachtet wurden. Diese Erkennungen zeigen möglicherweise, dass interne Serverprobleme zu einer übermäßigen Anzahl von Fehlern auf der Ebene 500 führen, sodass Benutzer nicht auf die Anwendungen und Dienste zugreifen können, die sie benötigen.
Aushärten Erkennungen identifizieren Sicherheitsrisiken und Möglichkeiten zur Verbesserung Ihrer Sicherheitslage.
- Aushärten
- Heben Sie bewährte Methoden zur Erhöhung der Sicherheit hervor, die durchgesetzt werden sollten, um das Risiko einer Ausnutzung zu minimieren. Diese Erkennungen identifizieren Möglichkeiten zur Verbesserung der Sicherheitslage Ihres Netzwerk, z. B. zur Verhinderung der Offenlegung von Anmeldeinformationen und zum Entfernen abgelaufener SSL/TLS-Zertifikate von Servern. Nachdem Sie auf eine Härteerkennung geklickt haben, können Sie zusätzliche Filter anwenden, um bestimmte Erkennungen innerhalb dieses Härteerkennungstyps anzuzeigen. Erfahre mehr über Filtern und Abstimmung von Härteerkennungen.
System zur Erkennung von Eindringlingen (Intrusion Detection System) Erkennungen identifizieren Sicherheitsrisiken und bösartiges Verhalten.
- Erkennung von Eindringlingen
- Heben Sie den Netzwerkverkehr hervor, der bekannten Signaturen unsicherer Praktiken,
Exploit-Versuche und Indikatoren für Sicherheitslücken im Zusammenhang mit Malware und
Command-and-Control-Aktivitäten entspricht.
Wichtig: Während IDS-Erkennungen Links zu Paketen für alle Protokolltypen beinhalten, sind Links zu Datensätzen nur für L7-Protokolle verfügbar.
Typ
Filtern Sie Ihre Erkennungsliste nach einem bestimmten Erkennungstyp, z. B. nach Datenexfiltration oder abgelaufenen SSL-Serverzertifikaten. Sie können auch eine CVE-Identifikationsnummer in diesen Filter eingeben, um nur Erkennungen für eine bestimmte öffentliche Sicherheitslücke anzuzeigen.
MITRE-Technik
Markieren Sie Erkennungen, die bestimmten MITRE-Technik-IDs entsprechen. Das MITRE-Framework ist eine weithin anerkannte Wissensdatenbank für Angriffe.
Täter und Opfer
Die mit einer Erkennung verbundenen Endpunkte von Täter und Opfer werden als Teilnehmer bezeichnet. Sie können Ihre Erkennungsliste so filtern, dass nur Erkennungen für einen bestimmten Teilnehmer angezeigt werden, z. B. für einen Täter, der eine unbekannte Remote-IP-Adresse hat, oder ein Opfer, das ein wichtiger Server ist. Gateway- oder Load Balancer-Geräte, die Externer Endpunkt Endpunktteilnehmern zugeordnet sind, können ebenfalls in diesen Filtern angegeben werden.
Mehr Filter
- Für Triage empfohlen
- Geräterollen
- Quelle
- Site (nur Konsole)
- Ticket-ID-Filter ( Ticketverfolgung durch Dritte nur)
- Mindestrisikobewertung
Durch Erkennungen navigieren
Nachdem Sie ausgewählt haben, wie Ihre Erkennungsliste angezeigt, gruppiert und gefiltert werden soll, klicken Sie auf eine beliebige Erkennungskarte, um zur Erkennungsdetailseite zu gelangen.
Erkennungskarten
Jede Erkennungskarte identifiziert die Ursache der Entdeckung, die Erkennungskategorie, den Zeitpunkt der Erkennung sowie die Teilnehmer des Opfers und des Täters. Sicherheitserkennungen beinhalten eine Risikoscore.
- Risikobewertung
- Misst die Wahrscheinlichkeit, Komplexität und geschäftliche Auswirkungen einer Sicherheitserkennung. Diese Bewertung liefert eine Schätzung, die auf Faktoren wie Häufigkeit und Verfügbarkeit bestimmter Angriffsvektoren im Vergleich zu den erforderlichen Fähigkeiten eines potenziellen Hackers und den Folgen eines erfolgreichen Angriffs basiert. Das Symbol ist nach Schweregrad als rot (80-99), orange (31-79) oder gelb (1-30) farblich gekennzeichnet.
- Teilnehmer
- Identifiziert jeden Teilnehmer (Täter und Opfer), der an der Erkennung beteiligt war, anhand des
Hostnamens oder der IP-Adresse. Klicken Sie auf einen Teilnehmer, um grundlegende Details anzuzeigen und auf Links zuzugreifen.
Interne Endpunkte zeigen einen Link zur Seite Geräteübersicht an; externe Endpunkte
zeigen die Geolokalisierung der IP-Adresse an. Endpunkt-Suchlinks wie
ARIN Whois und ein Link zur IP-Adressdetailseite. Wenn ein Teilnehmer ein
anderes Gerät wie einen Load Balancer oder ein Gateway passiert hat, werden sowohl der Teilnehmer als auch das Gerät auf der Teilnehmerkarte
angezeigt, aber nur der Ausgangsendpunkt wird als
Teilnehmer betrachtet.
Hinweis: Eine SSL/TLS-Entschlüsselung ist erforderlich, um die Ausgangsendpunkte anzuzeigen, wenn HTTPS aktiviert ist. Erfahre mehr über SSL/TLS-Entschlüsselung. Bei der Gruppierung nach Typ, wird unter dem Erkennungstyp ein Übersichtsfeld angezeigt, das die Erkennungen nach Tätern und Opfern aufschlüsselt und Ihnen ermöglicht, schnell Teilnehmerfilter anwenden.
Bei der Gruppierung nach Quelle, die internen Geräterollensymbole sind rot hervorgehoben, wenn das Gerät bei einer Erkennung ein Täter war, und blaugrün, wenn das Gerät ein Opfer war. Du kannst klicken Einzelheiten unter dem Quellennamen, um eine Zusammenfassung der Entdeckungen anzuzeigen, an denen diese Quelle Teilnehmer war. Diese Gerätedetails werden neben der Erkennungskarte auf Breitbildschirmen (1900 Pixel oder mehr) angezeigt.
- Dauer
- Gibt an, wie lange das ungewöhnliche Verhalten erkannt wurde, oder zeigt FORTLAUFEND an, wenn das
Verhalten gerade auftritt.
Bei Erkennungen, die auf bewährte Methoden zur Erhöhung der Sicherheit hinweisen, werden zwei Daten angezeigt: das erste und das Datum, an dem der Verstoß zuletzt identifiziert wurde.
- Metrische Daten
- Identifiziert zusätzliche Metrikdaten, wenn das ungewöhnliche Verhalten mit einer
bestimmten Metrik oder einem bestimmten Schlüssel verknüpft ist. Wenn Metrikdaten für die Erkennung nicht verfügbar sind, wird die Art der
anomalen Protokollaktivität angezeigt.
- Erkennungsmanagement
- Du kannst Spur oder stimmen die Erkennung aus der Dropdownliste Aktionen, oder klicken Sie auf Erkennungsdetails anzeigen um zur Seite mit den Erkennungsdetails zu navigieren.
Seite mit Erkennungsdetails
Die meisten Daten, die Sie benötigen, um eine Erkennung zu verstehen und zu validieren, werden auf der Erkennungsdetailseite angezeigt: Tabellen mit relevanten Metrikdaten, Aufzeichnungstransaktionen und Links zu Rohpaketen.
Auf die Informationen der Erkennungskarte folgen alle verfügbaren Abschnitte für die Erkennung. Diese Abschnitte variieren je nach Art der Erkennung.
- Spurerkennung
- Du kannst Spur oder stimmen die Erkennung, oder klicken Sie auf
Zu einer Untersuchung hinzufügen um die Erkennung in eine neue oder
bestehende aufzunehmen Untersuchung.
Wenn Sie eine konfiguriert haben CrowdStrike-Integration auf Ihrem ExtraHop-System können Sie die Eindämmung von CrowdStrike-Geräten einleiten das sind Teilnehmer an der Erkennung. (Nur RevealX 360.)
- Entschlüsselungsabzeichen
- Wenn das ExtraHop-System verdächtiges Verhalten oder einen potenziellen Angriff in
entschlüsselten Verkehrsaufzeichnungen feststellt, wird auf der Erkennungsdetailseite
rechts neben dem Erkennungsnamen ein Entschlüsselungskennzeichen angezeigt.
Erfahre mehr über SSL/TLS-Entschlüsselung und Entschlüsseln des Datenverkehrs mit einem Windows-Domänencontroller .
- Erkennungseigenschaften
- Stellt eine Liste der Eigenschaften bereit, die für die Erkennung relevant sind. Zu den
Erkennungseigenschaften können beispielsweise eine Abfrage, eine URI oder ein Hacking-Tool gehören, das für die
Erkennung von zentraler Bedeutung ist.
- Karte der Aktivitäten
-
Bietet eine Aktivitätsdiagramm das hebt die Teilnehmer hervor, die an der Erkennung beteiligt waren. Auf der Aktivitätsdiagramm wird der Ost-West-Verkehr des mit der Erkennung verknüpften Protokoll angezeigt, sodass Sie den Umfang der bösartige Aktivität besser einschätzen können. Klicken Sie auf das Opfer oder den Täter, um ein Drop-down-Menü mit Links zur Geräteübersichtsseite und anderen Erkennungen aufzurufen, an denen das Gerät Teilnehmer ist.
- Erkennungsdaten und Links
-
Stellt zusätzliche Daten im Zusammenhang mit der zu untersuchenden Entdeckung bereit. Die Datentypen können verwandte Metriken, Links zu enthalten Datensatz Transaktionsabfragen und ein Link zu einer allgemeinen Pakete abfrage. Die Verfügbarkeit von Metriken, Datensätzen und Paketen variiert je nach Erkennung. IDS-Erkennungen umfassen beispielsweise Links zu Paketen für alle Protokolltypen, aber Links zu Datensätzen sind nur für L7-Protokolle verfügbar.
Metrikdaten und Datensatztransaktionen werden in Tabellen angezeigt. Klicken Sie in einer Metriktabelle auf das Symbol um zugehörige Datensatztransaktionen anzuzeigen. Klicken Sie in einer Datensatztabelle auf das Symbol um die zugehörige Paketabfrage für eine Transaktion anzuzeigen.
Hinweis: EIN Recordstore muss für die Anzeige von Transaktionen und fortlaufenden Transaktionen konfiguriert sein PCAP muss für das Herunterladen von Paketen konfiguriert sein. - Verhalten vergleichen
-
Stellt ein Diagramm bereit, in dem die Aktivität des Täters neben den Aktivitäten ähnlicher Geräte im Zeitraum angezeigt wird, in dem die Erkennung stattgefunden hat. Das Diagramm wird für Erkennungen im Zusammenhang mit unkonventionellen Aktivitäten eines Gerät angezeigt. Unerwartetes Verhalten wird hervorgehoben, indem es neben dem Verhalten von Geräten im Netzwerk mit ähnlichen Eigenschaften angezeigt wird.
- Verwandte Erkennungen
- Bietet eine Zeitleiste der Erkennungen im Zusammenhang mit der aktuellen Erkennung, anhand derer Sie eine größere Angriffskampagne
identifizieren können. Zu den zugehörigen Erkennungen gehören die Rolle des Teilnehmer, die
Dauer, der Zeitstempel und alle Rollenänderungen, wenn der Täter bei einer Erkennung zum
Opfer einer anderen Erkennung wird. Klicken Sie in der Zeitleiste auf eine zugehörige Erkennung, um die
Detailseite für diese Erkennung anzuzeigen.
Verwandte Erkennungen, die in einem enthalten sind empfohlene Untersuchung sind mit goldenen Links gekennzeichnet und können angeklickt werden, um zur Ermittlungsseite zu gelangen.
- Einzelheiten zur Erkennung
- Enthält eine ausführliche Beschreibung der Erkennung, z. B. zugehörige
MITRE-Techniken, Risikofaktoren, Angriffshintergründe und -diagramme, Abhilfemaßnahmen und
Referenzlinks zu Sicherheitsorganisationen wie MITRE.
Diese Details werden neben der Erkennungskarte auf Breitbildschirmen angezeigt, oder Sie können auf sie zugreifen, indem Sie auf Einzelheiten unter dem Erkennungstitel, wenn die Erkennungsseite nach gruppiert wird Typen.
Für einige Erkennungstypen ist ein So funktioniert dieser Detektor Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen dazu, warum eine Erkennung in Ihrem ExtraHop-System erscheint.
Hinweis: Du kannst Erkennung von Aktien Detailseiten mit anderen ExtraHop-Benutzern.
Erkennungskatalog
Der Erkennungskatalog enthält eine vollständige Liste aller Erkennungstypen im ExtraHop-System, einschließlich Erkennungstypen, die derzeit inaktiv sind oder überprüft werden. Sie können benutzerdefinierte Erkennungstypen auch auf der Seite Erkennungskatalog verwalten.
Sie können auf die Seite Erkennungskatalog zugreifen, indem Sie auf das Symbol Systemeinstellungen klicken. .
Zusätzlich zum Anzeigenamen und Autor können Sie die Liste der Erkennungstypen nach ID, Status, Kategorie, MITRE-Techniken, die dem Erkennungstyp zugeordnet sind, und Erkennungstypen filtern, die Daten aus dem Fluss unterstützen Sensoren.
Klicken Sie auf eine von ExtraHop verfasste Erkennung, um die Einstellungen für den Erkennungstyp Bereich, in dem der Name des Erkennungstyps, die ID, der Autor, der aktuelle Status des Erkennungstyps, das Datum, an dem der Erkennungstyp erstmals für die Produktion freigegeben wurde (sofern verfügbar), und die zugehörigen Kategorien angezeigt werden. Um mehr über die Erkennung zu erfahren, klicken Sie auf Details zum Entdeckungstyp.
Status des Entdeckungstyps
- Aktiv
- Aktive Erkennungstypen sind für alle Sensoren verfügbar und können in Ihrer Umgebung zu Erkennungen führen.
- Inaktiv
- Inaktive Erkennungstypen wurden von allen Sensoren entfernt und erzeugen keine Erkennungen mehr. Wenn ein Erkennungstyp inaktiv wird, werden bestehende Erkennungen dieses Typs weiter anzeigen.
- Im Rückblick
- In Review werden die Erkennungstypen auf einer begrenzten Anzahl von ExtraHop-Systemen evaluiert, bevor sie für alle Sensoren verfügbar sind. Diese Erkennungstypen werden einer gründlichen Prüfung auf Effizienz und Genauigkeit unterzogen, bevor sie einer zunehmenden Anzahl von Sensoren zur Verfügung gestellt werden. Der Überprüfungszeitraum kann bis zu mehreren Wochen dauern. Nach Abschluss der Überprüfung wird der Status des Entdeckungstyps auf Aktiv aktualisiert.
Im Folgenden finden Sie einige wichtige Überlegungen dazu, ob Erkennungen eines bestimmten Typs in Ihrer Umgebung sichtbar sind:
- Wenn aktive Erkennungen nicht wie erwartet angezeigt werden, erfordert der Erkennungstyp möglicherweise Entschlüsselung oder unterstützt möglicherweise keine Durchflusssensoren (nur RevealX 360).
- RevealX Enterprise-Systeme müssen verbunden sein mit Cloud-Dienste um regelmäßige Updates für den Erkennungskatalog zu erhalten. Ohne eine Verbindung zu Cloud Services Updates sind verzögert bis die Firmware aktualisiert ist.
Benutzerdefinierte Erkennungen
- Um einen benutzerdefinierten Erkennungstyp zu erstellen, klicken Sie auf Erstellen in der oberen rechten Ecke der Seite. Die Erkennungstyp-ID für den neuen Erkennungstyp muss mit der ID übereinstimmen, die im benutzerdefinierten Erkennungsauslöser enthalten ist. Erfahre mehr über Erstellen einer benutzerdefinierten Erkennung.
- Um eine benutzerdefinierte Erkennung zu bearbeiten, klicken Sie auf die Erkennung und bearbeiten Sie den Anzeigenamen, den Autor, die Erkennungskategorien und die zugehörigen MITRE-Techniken in der Erkennungstyp bearbeiten Panel. Sie können keine Erkennungen bearbeiten, bei denen ExtraHop als Autor aufgeführt ist.
- Um eine benutzerdefinierte Erkennung zu löschen, klicken Sie auf die Erkennung und dann auf Löschen aus dem Einstellungen für den Erkennungstyp Panel.
- Bei benutzerdefinierten Erkennungen wird unter Status immer ein Bindestrich (-) angezeigt.
Ermittlungen
(nur NDR-Modul) Mithilfe von Untersuchungen können Sie mehrere Funde in einer einzigen Zeitleiste und Karte hinzufügen und anzeigen. Anhand einer Zusammenfassung verbundener Erkennungen können Sie feststellen, ob verdächtiges Verhalten eine gültige Bedrohung darstellt und ob die Bedrohung von einem einzelnen Angriff oder Teil einer größeren Angriffskampagne stammt.
Sie können Untersuchungen von einer Entdeckungsdetailseite aus erstellen und zu ihnen hinzufügen oder von Aktionen Menü auf jeder Erkennungskarte. Ihr ExtraHop-System erstellt außerdem empfohlene Untersuchungen als Reaktion auf potenziell böswillige Aktivitäten.
- Zeitplan der Untersuchung
-
Die Untersuchungszeitleiste wird auf der linken Seite der Seite angezeigt und listet die hinzugefügten Funde auf, beginnend mit der neuesten Erkennung. Neue Funde, die der Untersuchung hinzugefügt werden, werden in der Zeitleiste entsprechend der Uhrzeit und dem Datum der Erkennung angezeigt. Erkennungsteilnehmer werden unter dem Erkennungstitel angezeigt, und Informationen zur Erkennungsverfolgung, wie Beauftragter und Status, werden neben den Teilnehmern angezeigt.
- Angriffskategorien
- Die Kategorien der hinzugefügten Funde werden oben auf der
Ermittlungsseite angezeigt.
Die Kette der Angriffskategorien zeigt die Anzahl der Funde in jeder Kategorie an, nicht die Reihenfolge, in der die Erkennungen aufgetreten sind. Einen genauen Überblick darüber, wie die Erkennungen im Laufe der Zeit aufgetreten sind, finden Sie im Zeitplan der Untersuchung.
Untersuchungen anzeigen
Oben auf der Ermittlungsseite gibt es zwei Optionen, um die Untersuchung anzuzeigen: Zusammenfassung und Angriffskarte. Beide Optionen bieten einen einzigartigen Überblick über Ihre Untersuchung.
- Zusammenfassung
- Standardmäßig beginnen Ermittlungen in Zusammenfassung Ansicht, die den Zeitplan für die Erkennung, eine aggregierte Teilnehmerliste und ein Panel
zur Verfolgung des Status und der Reaktionsmaßnahmen für die Untersuchung
enthält.
Sie können in der Untersuchungszeitleiste auf eine Erkennung klicken, um sie anzuzeigen Erkennungsdetails, klicken Sie dann auf das X-Symbol, um die Erkennungsdetails zu schließen und zur Zusammenfassung der Untersuchung zurückzukehren. Sie können auch auf Gehe zu klicken Symbol in der oberen rechten Ecke, um die Seite mit den Erkennungsdetails in einem neuen Tab anzuzeigen.
Im Panel „ Teilnehmer" werden die Teilnehmer an der Untersuchung nach externen Endpunkten, hoher Wert Geräten und wiederkehrenden Teilnehmern gruppiert. Dabei handelt es sich um Teilnehmer, die bei mehreren Funden in der Untersuchung vorkommen. Klicken Sie auf einen Teilnehmer, um Details anzuzeigen und auf Links zuzugreifen.
In der Status - und Reaktionsmaßnahmen Panel, klicken Untersuchung bearbeiten um den Namen der Untersuchung zu ändern, den Status oder die endgültige Bewertung der Untersuchung festzulegen, einen Beauftragten anzugeben oder Anmerkungen hinzuzufügen .
Sie können fortfahren Verfolgen Sie einzelne Erkennungen nachdem Sie sie zu einer Untersuchung hinzugefügt haben. - Angriffskarte
- In Angriffskarte Ansicht, der Täter und das Opfer von jeder
Erkennung in der Untersuchung werden auf einer interaktiven Karte neben dem Zeitplan der
Untersuchung angezeigt.
Die Teilnehmer sind durch Linien verbunden, die mit dem Erkennungstyp beschriftet sind, und die Geräterollen werden durch ein Symbol dargestellt.
- Klicken Sie in der Zeitleiste der Untersuchung auf eine Erkennung, um die Teilnehmer hervorzuheben. Kreise werden rot hervorgehoben, wenn das Gerät bei mindestens einer Erkennung im Rahmen der Untersuchung als Täter aufgetreten ist, und blaugrün hervorgehoben, wenn es sich bei dem Gerät um ein Opfer handelt. Die Markierungen werden aktualisiert , wenn Sie auf eine andere Erkennung klicken, damit Sie leichter erkennen können, wann ein Teilnehmer vom Opfer zum Täter wird.
- Klicken Sie auf einen Kreis, um Details wie den Hostnamen, die IP-Adresse oder die MAC-Adresse des Gerät anzuzeigen oder um zu den zugehörigen Erkennungen oder dem Seite „Geräteübersicht".
- Zeigen Sie mit der Maus auf einen Kreis oder eine Linie, um das Etikett anzuzeigen.
Empfohlene Untersuchungen
Der ExtraHop Machine Learning Service überwacht die Netzwerkaktivität auf Kombinationen von Angriffstechniken, die auf bösartiges Verhalten hinweisen könnten. Wenn eine Kombination identifiziert wird, erstellt das ExtraHop-System eine empfohlene Untersuchung, sodass Ihre Sicherheitsteams die Situation beurteilen und schnell reagieren können, wenn bösartiges Verhalten bestätigt wird.
Wenn beispielsweise ein Gerät Opfer einer Erkennung in der Kategorie Command-and-Control wird, bei einer Exfiltrationserkennung aber zum Täter wird, empfiehlt das ExtraHop-System eine C&C mit Exfiltrationsuntersuchung.
Sie können mit empfohlenen Untersuchungen auf die gleiche Weise interagieren wie von Benutzern erstellte Untersuchungen, z. B. indem Sie Erkennungen hinzufügen oder entfernen, einen Beauftragten angeben und einen Status und eine Bewertung festlegen.
Empfohlene Untersuchungen finden Sie in der Tabelle der Untersuchungen. Sie können die sortieren Erstellt von Spalte, um Untersuchungen zu finden, die von ExtraHop erstellt wurden.
Auffinden von Erkennungen im ExtraHop-System
Die Seite Erkennungen bietet zwar schnellen Zugriff auf alle Erkennungen, es gibt jedoch Indikatoren und Links zu Erkennungen im gesamten ExtraHop-System.
Hinweis: | Erkennungen bleiben gemäß Ihrem System-Lookback-Kapazität für 1-Stunden-Metriken mit einer Mindestspeicherzeit von fünf Wochen. Erkennungen bleiben ohne unterstützende Metriken im System, wenn Ihre System-Lookback-Kapazität weniger als fünf Wochen beträgt. |
- Klicken Sie auf einer Seite mit der Geräteübersicht auf Erkennungen, um eine Liste der zugehörigen Erkennungen anzuzeigen. Klicken Sie auf den Link für eine einzelne Erkennung, um die Seite mit den Erkennungsdetails anzuzeigen.
- Klicken Sie auf einer Seite mit der Gerätegruppenübersicht auf den Link Erkennungen, um zur Seite Erkennungen zu gelangen. Die Entdeckungsliste wird nach der Gerätegruppe als Quelle gefiltert.
- Klicken Sie auf der Protokollseite eines Gerät oder einer Gerätegruppe auf den Link Erkennungen, um zur Seite Erkennungen zu gelangen. Die Entdeckungsliste wird nach Quelle und Protokoll gefiltert.
- Klicken Sie auf einer Aktivitätsdiagramm auf ein Gerät, das animierte Impulse rund um die Kreisbeschriftung anzeigt, um eine Liste der zugehörigen Erkennungen anzeigen. Klicken Sie auf den Link für eine einzelne Erkennung, um die Erkennungsdetails anzuzeigen.
- Zeigen Sie in einem Diagramm auf einem Dashboard oder einer Protokollseite mit der Maus auf ein Erkennungsmarker um den Titel der zugehörigen Erkennung anzuzeigen, oder klicken Sie auf die Markierung, um die Erkennungsdetails anzuzeigen.
Erkennungen optimieren
Hier sind einige bewährte Methoden, die Sie implementieren sollten, um Ihre Erkennungen zu verbessern: Fügen Sie Details zu Ihrem Netzwerk hinzu, aktivieren Sie das ExtraHop-System, potenziell verdächtigen Traffic zu erkennen, und filtern Sie Ihre Seitenaufrufe nach Ihren Prioritäten.
Die meisten dieser Einstellungen bieten Kontext zu Ihrem Netzwerk, den Sie bereitstellen können, um sowohl maschinelles Lernen als auch regelbasierte Erkennungen zu verbessern. Diese Einstellungen werden manchmal übersehen und können die Qualität Ihrer Erkennungen beeinträchtigen.
- Entschlüsselung konfigurieren
- Verschlüsselter HTTP-Verkehr ist ein häufiger Angriffsvektor, auch weil Angreifer
wissen, dass der Verkehr in der Regel versteckt ist. Und wenn Ihr Netzwerk über Active Directory verfügt, sind
eine Reihe von Erkennungen im verschlüsselten Datenverkehr in der gesamten Domain versteckt.
Wir empfehlen dringend, die Entschlüsselung für zu aktivieren SSL/TLS und Active Directory.
- Tuning-Parameter konfigurieren
- Diese Einstellung verbessert die Genauigkeit regelbasierter Erkennungen. Du das
ExtraHop-System mit Details versorgen über Ihre Netzwerkumgebung, um den Kontext
zu den beobachteten Geräten bereitzustellen.
Beispielsweise wird eine regelbasierte Erkennung generiert, wenn ein internes Gerät mit externen Datenbanken kommuniziert. Wenn Datenverkehr zu einer externen Datenbank erwartet wird oder die Datenbank Teil einer legitimen Cloud-basierten Speicher- oder Produktionsinfrastruktur ist, können Sie einen Optimierungsparameter festlegen, um den Datenverkehr zur genehmigten externen Datenbank zu ignorieren.
- Netzwerkstandorte konfigurieren
- Mit dieser Einstellung können Sie intern oder extern klassifizieren Endpunkte, denen Sie vertrauen, z. B. ein
CIDR-Block von IP-Adressen, mit denen Ihre Geräte regelmäßig eine Verbindung herstellen.
Erkennungen und Systemmetriken durch maschinelles Lernen basieren auf Gerät- und Verkehrsklassifizierungen.
Wenn Ihre Geräte beispielsweise regelmäßig eine Verbindung zu einer unbekannten, aber vertrauenswürdigen Domain herstellen, die als externe IP-Adresse eingestuft ist, werden Erkennungen für diese Domain unterdrückt.
- Tuning-Regeln erstellen
- Mit diesen Einstellungen können Sie Erkennungen ausblenden
nachdem das System sie generiert hat. Wenn Sie eine Erkennung sehen, die keinen
Mehrwert bietet, können Sie das Rauschen aus Ihrer Gesamtansicht reduzieren.
Wenn beispielsweise eine Erkennung anhand eines Täters, eines Opfers oder anderer Kriterien generiert wird, die für Ihr Netzwerk kein Problem darstellen, können Sie alle früheren und zukünftigen Erkennungen mit diesen Kriterien ausblenden.
- Teilen Sie externe Klartext-Daten
- Mit dieser Option kann der Machine Learning Service Erfassen Sie IP-Adressen, Hostnamen und Domains
die mit verdächtigen Aktivitäten in Verbindung stehen.
Wenn Sie diese Option aktivieren, erweitern Sie einen kollektiven Datensatz potenzieller Bedrohungen, der Ihnen und Ihrem Beitrag zur Sicherheitsgemeinschaft helfen kann.
- Erkennungen verfolgen
- Mit dieser Option können Sie Weisen Sie einem Benutzer eine Erkennung zu, fügen Sie Notizen hinzu und aktualisieren Sie den Status von bestätigt bis geschlossen. Anschließend können Sie die Seite „Erkennungen" filtern, um gelöste Probleme aus der Ansicht zu entfernen oder die Erkennungen zu überprüfen.
Eine Erkennung teilen
Sie können die URL von einer Erkennungsdetailseite an andere Benutzer des ExtraHop-Systems senden.
Nächste Maßnahme
- Erstellen Sie eine Regel für Erkennungsbenachrichtigungen um E-Mail-Benachrichtigungen über eine Erkennung zu erhalten.
Bestätigen Sie Erkennungen
Bestätigungen bieten eine visuelle Möglichkeit, um zu erkennen, dass eine Erkennung erkannt wurde. Sie können eine Erkennung bestätigen, um die Teammitglieder darüber zu informieren, dass Sie ein Ticket untersuchen oder dass das Problem geprüft wurde und für die weitere Bearbeitung priorisiert werden sollte. Sie können Ihre Ansicht der Erkennungen auch so filtern, dass nur unbestätigte Erkennungen angezeigt werden.
Before you begin
Benutzer müssen über eingeschränkte Schreibzugriffe oder höher verfügen Privilegien um eine Erkennung zu bestätigen oder eine Bestätigung zu löschen.- Eine Bestätigung verbirgt die Erkennung nicht.
- Nachdem eine Erkennung bestätigt wurde, werden ein Zeitstempel und der Benutzername der Person angezeigt , die die Erkennung bestätigt hat.
- Eine Bestätigung kann von jedem Benutzer gelöscht werden, auch wenn er nicht der Benutzer ist, der die Erkennung ursprünglich bestätigt hat.
Gehen Sie wie folgt vor, um eine Erkennung zu bestätigen:
Eine Untersuchung erstellen
Erstellen Sie eine Untersuchung, um mehrere Entdeckungen in einer einzigen Zeitleiste und Karte anzuzeigen.
Before you begin
- Benutzern muss Zugriff auf das NDR-Modul gewährt werden und sie müssen über eingeschränkte Schreibmöglichkeiten verfügen Privilegien oder höher, um die Aufgaben in diesem Handbuch zu erledigen.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie oben auf der Seite auf Erkennungen.
- klicken Aktionen aus der unteren linken Ecke der Erkennungskarte.
- klicken Zu einer Untersuchung hinzufügen....
- Wählen Erkennung zu einer neuen Untersuchung hinzufügen.
- klicken Weiter.
- Geben Sie einen Namen ein und fügen Sie Notizen zur neuen Untersuchung hinzu.
- klicken Erstellen.
- Um der Untersuchung eine Erkennung hinzuzufügen, klicken Sie auf Aktionen, und klicken Sie dann auf Zu einer Untersuchung hinzufügen....
- Um eine Entdeckung aus einer Untersuchung zu löschen, klicken Sie in der Untersuchungszeitleiste auf das Löschsymbol (X) auf der Erkennung.
Erstellen Sie eine Regel für Erkennungsbenachrichtigungen
Erstellen Sie eine Benachrichtigungsregel, wenn Sie eine Benachrichtigung über Entdeckungen erhalten möchten , die bestimmten Kriterien entsprechen.
Video: | Sehen Sie sich die entsprechende Schulung an: Erkennungsbenachrichtigungen konfigurieren |
Wenn eine Erkennung generiert wird, die Ihren Kriterien entspricht, wird eine Benachrichtigung mit Informationen von Erkennungskarte.
Sie können das System so konfigurieren, dass es eine E-Mail an eine Empfängerliste sendet oder einen bestimmten Webhook aufruft.
Before you begin
- Benutzern muss der Zugriff auf das NDR- oder NPM-Modul gewährt werden und sie müssen über vollständige Schreibberechtigungen verfügen Privilegien oder höher, um die Aufgaben in diesem Handbuch abzuschließen.
- RevealX 360 benötigt eine Verbindung zu ExtraHop Cloud Services um Benachrichtigungen per E-Mail und Webhooks zu senden. RevealX Enterprise benötigt eine Verbindung zu ExtraHop Cloud Services, um Benachrichtigungen per E-Mail zu senden, kann aber auch ohne Verbindung eine Benachrichtigung über einen Webhook senden.
- E-Mail-Benachrichtigungen werden über ExtraHop Cloud Services gesendet und können identifizierbare Informationen wie IP-Adressen, Benutzernamen, Hostnamen, Domainnamen, Gerätenamen oder Dateinamen enthalten. RevealX Enterprise-Benutzer, deren behördliche Anforderungen externe Verbindungen verbieten, können Benachrichtigungen mit Webhook-Aufrufen so konfigurieren, dass Benachrichtigungen ohne externe Verbindung gesendet werden.
- RevealX 360 kann keine Webhook-Aufrufe an Endpunkte in Ihrem internen Netzwerk senden. Webhook-Ziele müssen für externen Verkehr geöffnet sein.
- Webhook-Ziele müssen über ein Zertifikat verfügen, das von einer Zertifizierungsstelle (CA) des Mozilla CA Certificate Program signiert wurde. siehe https://wiki.mozilla.org/CA/Included_Certificates für Zertifikate von vertrauenswürdigen öffentlichen CAs.
- RevealX Enterprise muss eine direkte Verbindung zu Webhook-Endpunkten herstellen, um Benachrichtigungen zu senden.
- E-Mail-Benachrichtigungen werden von no-reply@notify.extrahop.com gesendet. Stellen Sie sicher, dass Sie diese Adresse zu Ihrer Liste der zulässigen Absender hinzufügen.
Referenz zur Webhook-Benachrichtigung
Dieses Handbuch enthält Referenzinformationen, die Ihnen beim Schreiben der JSON-Payload für Webhook-basierte Benachrichtigungen helfen sollen. Das Handbuch enthält einen Überblick über die Payload-Schnittstelle (JSON), eine Liste von Erkennungsvariablen, die für Webhooks verfügbar sind, und Beispiele für die JSON-Struktur für gängige Webhook-Ziele wie Slack, Microsoft Teams und Google Chat.
Weitere Informationen zu Benachrichtigungsregeln finden Sie unter Erstellen Sie eine Regel für Erkennungsbenachrichtigungen.
Nutzlast JSON
ExtraHop-Webhooks sind in JSON formatiert und werden unterstützt von Jinja2-Vorlagen-Engine. Wenn Sie eine Benachrichtigungsregel erstellen und die Webhook-Option auswählen, wird der Webhook-Editor auf der rechten Seite geöffnet, und Sie können die Payload bearbeiten.
Du kannst die Standard-Payload mit benutzerdefinierten Eigenschaften ändern oder eine JSON-Vorlage für Slack, Microsoft Teams oder Google Chat kopieren, und zwar aus dem Beispiele Abschnitt.
Standardmäßig enthält die Payload ein Beispiel text Eigentum. Das JSON-Beispiel in der Abbildung unten sendet eine Benachrichtigung mit dem Text „ExtraHop Erkennung", gefolgt vom Erkennungstitel, der die Variable ersetzt.
Wir empfehlen, dass Sie Ihre Verbindung zur Webhook-URL testen, bevor Sie die Nutzlast ändern. Auf diese Weise können Sie sicher sein, dass Probleme nicht auf einen Verbindungsfehler zurückzuführen sind.
Variablen
Erkennungsvariablen werden der Nutzlast hinzugefügt, indem der Variablenname zwischen doppelten Gruppen geschweifter Klammern ({{und}}) eingefügt wird.
Das Beispiel in der Payload enthält beispielsweise eine Variable für den Erkennungstitel:
"text": "ExtraHop Detection: {{title}}"
Wenn eine Erkennung einer Benachrichtigungsregel mit der Variablen entspricht, wird die Variable durch den Erkennungstitel ersetzt. Wenn die Benachrichtigungsregel beispielsweise mit der Erkennung für Network Share Enumeration übereinstimmt, wird die Variable durch den Titel in der Benachrichtigung ersetzt, ähnlich der folgenden Abbildung:
Sehen Sie eine Liste von Erkennungsvariablen.
Filter
Filter ermöglichen es Ihnen, eine Variable zu ändern.
Wenn die Variable einen Wert zurückgibt, der in JSON formatiert ist, wird der Wert automatisch maskiert und in eine Zeichenfolge übersetzt. Wenn Sie gültiges JSON an Ihr Webhook-Ziel übergeben möchten, müssen Sie Folgendes angeben: safe filtern:
{{<variable> | safe }}
Im folgenden Beispiel gibt die Variable Erkennungsdaten über Teilnehmer im JSON-Format direkt an das Webhook-Ziel zurück:
{{api.participants | safe }}
IF-Kontoauszüge
Eine IF-Anweisung kann überprüfen, ob ein Wert für die Variable verfügbar ist. Wenn die Variable leer ist, können Sie eine alternative Variable angeben.
{% if {{<variable>}} %}
Im folgenden Beispiel prüft die IF-Anweisung, ob ein Wert für die Opfervariable verfügbar ist:
{% if victims %}
Im folgenden Beispiel prüft die IF-Anweisung, ob ein Tätername verfügbar ist. Wenn es keinen Wert für den Namen des Täters gibt, wird stattdessen der Wert für die Variable IP-Adresse des Täters zurückgegeben.
{% if offender.name %}{{offender.name}}{%else%}{{offender.ipaddr}} {% endif %}
FÜR Schleifen
Eine FOR-Schleife kann es der Benachrichtigung ermöglichen, ein Array von Objekten anzuzeigen.
{% for <array-object-variable> in <array-variable> %}
Im folgenden Beispiel wird eine Liste mit Täternamen aus dem Täter-Array in der Benachrichtigung angezeigt. Eine IF-Anweisung sucht nach weiteren Elementen im Array ({% if not loop.last %}) und fügt einen Zeilenumbruch hinzu, bevor der nächste Wert gedruckt wird (\n). Wenn ein Tätername leer ist, gibt der Standardfilter „Unbekannter Name" für den Wert zurück.
{% for offender in offenders %} {{offender.name | default ("Unknown Name")}} {% if not loop.last %}\n {% endif %} {% endfor %}
Verfügbare Erkennungsvariablen
Die folgenden Variablen sind für Webhook-Benachrichtigungen über Erkennungen verfügbar.
- titel: Schnur
- Der Titel der Erkennung.
- Erkennung: Schnur
- Eine Beschreibung der Erkennung.
- typ: Schnur
- Die Art der Erkennung.
- ID: Zahl
- Die eindeutige Kennung für die Erkennung.
- URL: Schnur
- Die URL für die Erkennung im ExtraHop-System.
- risk_score: Zahl
- Die Risikoscore der Erkennung.
- Standort: Schnur
- Die Standort, an der die Erkennung stattgefunden hat.
- Startzeit_Text: Schnur
- Der Zeitpunkt, zu dem die Erkennung begann.
- Endzeit_Text: Schnur
- Der Zeitpunkt, zu dem die Erkennung endete.
- kategorien_array: Reihe von Zeichenketten
- Eine Reihe von Kategorien, zu denen die Erkennung gehört.
- Kategorien_Zeichenfolge: Schnur
- Eine Zeichenfolge, die die Kategorien auflistet, zu denen die Erkennung gehört.
- Mitre_Tactics: Reihe von Zeichenketten
- Eine Reihe von MITRE-Taktik-IDs, die mit der Erkennung verknüpft sind.
- mitre_tactics_string: Schnur
- Eine Zeichenfolge, die die MITRE-Taktik-IDs auflistet, die mit der Erkennung verknüpft sind.
- Mitre_Techniken: Reihe von Zeichenketten
- Eine Reihe von MITRE-Technik-IDs, die mit der Erkennung verknüpft sind.
- mitre_techniques_string: Schnur
- Eine Zeichenfolge, die die MITRE-Technik-IDs auflistet, die der Erkennung zugeordnet sind.
- primärer Täter: Objekt
- Ein Objekt, das den Haupttäter identifiziert und die folgenden Eigenschaften enthält:
- extern: Boolescher Wert
- Der Wert ist true wenn sich die IP-Adresse des primären Täters außerhalb Ihres Netzwerk befindet.
- iPaddr: Schnur
- Die IP-Adresse des Haupttäters.
- name: Schnur
- Der Name des Haupttäters.
- Täter: Reihe von Objekten
- Eine Reihe von Täterobjekten, die mit der Erkennung in Verbindung stehen. Jedes Objekt
enthält die folgenden Eigenschaften:
- extern: Boolescher Wert
- Der Wert ist true wenn sich die IP-Adresse des Täters außerhalb Ihres Netzwerk befindet.
- iPaddr: Schnur
- Die IP-Adresse des Täters. Gilt für Feststellungen mit mehreren Tätern.
- name: Schnur
- Der Name des Täters. Gilt für Feststellungen mit mehreren Tätern.
- primäres Opfer: Objekt
- Ein Objekt, das das primäre Opfer identifiziert und die folgenden Eigenschaften enthält:
- extern: Boolescher Wert
- Der Wert ist true wenn die IP-Adresse des primären Opfers außerhalb Ihres Netzwerk liegt.
- iPaddr: Schnur
- Die IP-Adresse des primären Opfers.
- name: Schnur
- Der Name des Hauptopfers.
- Opfer: Reihe von Objekten
- Eine Reihe von Opferobjekten, die mit der Erkennung in Verbindung stehen. Jedes Objekt
enthält die folgenden Eigenschaften:
- extern: Boolescher Wert
- Der Wert ist true wenn sich die IP-Adresse des Opfers außerhalb Ihres Netzwerk befindet.
- iPaddr: Schnur
- Die IP-Adresse des Opfers. Gilt für Erkennungen mit mehreren Opfern.
- name: Schnur
- Der Name des Opfers. Gilt für Erkennungen mit mehreren Opfern.
- api: Objekt
- Ein Objekt, das alle Felder enthält, die von GET /detections/{id}operation. Weitere Informationen finden Sie in der Einführung in die ExtraHop REST API.
Webhook-Beispiele
Die folgenden Abschnitte enthalten JSON-Vorlagen für gängige Webhook-Ziele.
Slack
Nachdem du eine Slack-App erstellt und eingehende Webhooks für die App aktiviert hast, kannst du einen eingehenden Webhook erstellen. Wenn du einen eingehenden Webhook erstellst, generiert Slack die URL, die du in das Feld Payload-URL in deiner Benachrichtigungsregel eingibst.
Das folgende Beispiel zeigt die JSON-Nutzlast für einen Slack-Webhook:
{ "blocks": [ { "type": "header", "text": { "type": "plain_text", "text": "Detection: {{ title }}" } }, { "type": "section", "text": { "type": "mrkdwn", "text": "• *Risk Score:* {{ risk_score }}\n • *Category:* {{ categories_string }}\n • *Site:* {{ site }}\n • *Primary Offender:* {{ offender_primary.name}} ({{ offender_primary.ipaddr}})\n • *Primary Victim:* {{ victim_primary.name }} ({{ victim_primary.ipaddr }})\n" } }, { "type": "section", "text": { "type": "plain_text", "text": "Detection ID: {{ id }}" }, "text": { "type": "mrkdwn", "text": "<{{ url }}|View Detection Details>" } } ] }
Microsoft-Teams
Du kannst einem Teams-Kanal einen eingehenden Webhook als Connector hinzufügen. Nachdem Sie einen eingehenden Webhook konfiguriert haben, generiert Teams die URL, die Sie in das Feld Payload-URL in Ihrer Benachrichtigungsregel eingeben müssen.
Das folgende Beispiel zeigt die JSON-Nutzlast für einen Microsoft Teams-Webhook:
{ "type":"message", "attachments":[ { "contentType":"application/vnd.microsoft.card.adaptive", "contentUrl":null, "content":{ "$schema":"https://adaptivecards.io/schemas/adaptive-card.json", "type":"AdaptiveCard", "body":[ { "type":"ColumnSet", "columns":[ { "type": "Column", "width":"16px", "items":[ { "type":"Image", "horizontalAlignment":"center", "url":"https://assets.extrahop.com/favicon.ico", "altText":"ExtraHop Logo" } ] }, { "type": "Column", "width":"stretch", "items":[ { "type":"TextBlock", "text":"ExtraHop RevealX", "weight": "bolder" } ] } ] }, { "type":"TextBlock", "text":"**{{ title }}**" }, { "type":"TextBlock", "spacing":"small", "isSubtle":true, "wrap":true, "text":"{{ description }}" }, { "type":"FactSet", "facts":[ { "title":"Risk Score:", "value":"{{ risk_score }}" }, { "title":"Category:", "value":"{{ categories_string }}" }, { "title":"Site:", "value":"{{ site }}" }, { "title":"Primary Offender:", "value":"{{ offender_primary.name }} ({{ offender_primary.ipaddr }})" }, { "title":"Primary Victim:", "value":"{{ victim_primary.name }} ({{ victim_primary.ipaddr }})" } ] }, { "type":"ActionSet", "actions":[ { "type":"Action.OpenUrl", "title":"View Detection Details", "url":"{{ url }}" } ] } ] } } ] }
Google Chat
In einem Google-Chatroom können Sie auf das Drop-down-Menü neben dem Raumnamen klicken und Webhooks verwalten auswählen. Nachdem Sie einen Webhook hinzugefügt und ihm einen Namen gegeben haben, generiert Google Chat die URL, die Sie in das Feld Payload-URL in Ihrer Benachrichtigungsregel eingeben müssen.
Das folgende Beispiel zeigt die JSON-Nutzlast für einen Google Chat-Webhook:
{ "cards": [ { "header": { "title": "{{title}}" }, "sections": [ { "widgets": [ { "keyValue": { "topLabel": "Risk score", "content": "{{risk_score}}" } }, { "keyValue": { "topLabel": "Categories", "content": "{{categories_string}}" } } {% if offenders %} ,{ "keyValue": { "topLabel": "Offenders", "contentMultiline": "true", "content": "{% for offender in offenders %}{% if offender.name %}{{offender.name}}{% else %}{{offender.ipaddr}}{% endif %}{% if not loop.last %}\n{% endif %}{% endfor %}" } } {% endif %} {% if victims %} ,{ "keyValue": { "topLabel": "Victims", "contentMultiline": "true", "content": "{% for victim in victims %}{% if victim.name %}{{victim.name}}{% else %}{{victim.ipaddr}}{% endif %}{% if not loop.last %}\n{% endif %}{% endfor %}" } } {% endif %} ] }, { "widgets": [ { "buttons": [ { "textButton": { "text": "VIEW DETECTION DETAILS", "onClick": { "openLink": { "url": "{{url}}" } } } } ] } ] } ] } ] }
Eine Benachrichtigungsregel für den Erkennungskatalog erstellen
Erstellen Sie eine Benachrichtigungsregel, wenn Sie eine Benachrichtigung erhalten möchten, wenn neue Erkennungen auf Ihrem ExtraHop-System aktiv werden.
Before you begin
- Benutzern muss der Zugriff auf das NDR- oder NPM-Modul gewährt werden und sie müssen Vollzugriff haben Privilegien oder höher, um die Aufgaben in diesem Handbuch abzuschließen.
- Das ExtraHop-System muss verbunden mit ExtraHop Cloud Services um Benachrichtigungen per E-Mail zu senden.
- E-Mail-Benachrichtigungen werden von no-reply@notify.extrahop.com gesendet. Stellen Sie sicher, dass Sie diese Adresse zu Ihrer Liste der zulässigen Absender hinzufügen.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Regeln für Benachrichtigungen.
- klicken Erstellen.
- Geben Sie im Feld Name einen eindeutigen Namen für die Benachrichtigungsregel ein.
- Fügen Sie im Feld Beschreibung Informationen zur Benachrichtigungsregel hinzu.
-
Wählen Sie im Abschnitt Ereignistyp eine der folgenden Optionen aus:
- Wählen Sie für Aktualisierungen des NDR-Erkennungskatalogs Katalog für Sicherheitserkennung (erfordert Zugriff auf das NDR-Modul).
- Wählen Sie für Aktualisierungen des NPM-Erkennungskatalogs Katalog zur Leistungserkennung (erfordert Zugriff auf das NPM-Modul).
- Geben Sie einzelne E-Mail-Adressen an, getrennt durch ein Komma.
- Klicken Sie im Abschnitt Optionen auf Kontrollkästchen „Benachrichtigungsregel aktivieren" um die Benachrichtigung zu aktivieren.
- klicken Speichern.
Eine Erkennung verfolgen
Mit der Erkennungsverfolgung können Sie Benutzer zuweisen, einen Status festlegen und Notizen zu einer Erkennungskarte hinzufügen.
Video: | Sehen Sie sich die entsprechende Schulung an: Erkennungsverfolgung |
Before you begin
Benutzer müssen eingeschränkte Schreibmöglichkeiten haben Privilegien oder höher, um die Aufgaben in diesem Handbuch abzuschließen.- Öffnen
- Die Erkennung wurde nicht überprüft.
- Bestätigen
- Die Erkennung wurde festgestellt und sollte bei der Nachverfolgung priorisiert werden.
- Im Gange
- Die Erkennung wurde einem Teammitglied zugewiesen und wird derzeit überprüft.
- Geschlossen — Maßnahme ergriffen
- Die Erkennung wurde überprüft und Maßnahmen ergriffen, um dem potenziellen Risiko zu begegnen.
- Geschlossen — Keine Maßnahmen ergriffen
- Die Erkennung wurde überprüft und erforderte keine Maßnahmen.
Im Folgenden finden Sie wichtige Überlegungen zu Tracking-Erkennungen:
- Der Status Bestätigt oder Geschlossen verbirgt die Erkennung nicht.
- Der Erkennungsstatus kann von jedem berechtigten Benutzer aktualisiert werden.
- Sie können Erkennungsverfolgung mit ExtraHop und Systemen von Drittanbietern in der Verwaltung Einstellungen.
Gehen Sie wie folgt vor, um eine Erkennung zu verfolgen:
Eine Erkennung von einer Erkennungskarte aus verfolgen
Sie können eine Erkennung verfolgen, indem Sie einen Beauftragten, einen Status und Notizen von einer Erkennungskarte hinzufügen.
Gehen Sie wie folgt vor, um eine Erkennung zu verfolgen:
Verfolgen Sie eine Gruppe von Erkennungen anhand einer Erkennungsübersicht
In einem Übersichtsfenster auf der Seite Erkennungen können Sie mehreren Erkennungen gleichzeitig einen Status, einen Beauftragten oder eine Notiz zuweisen.
Gehen Sie wie folgt vor, um eine Gruppe von Erkennungen anhand einer Erkennungsübersicht zu verfolgen:
CrowdStrike-Geräte aus einer Erkennung eindämmen
Sie können die Eindämmung von CrowdStrike-Geräten einleiten, die an einer Sicherheitserkennung Erkennung sind. Containment verhindert, dass Geräte Verbindungen zu anderen Geräten in Ihrem Netzwerk herstellen.
Nachdem Sie die Eindämmung anhand einer Erkennung eingeleitet haben, wird eine Anfrage an CrowdStrike Falcon gestellt, um die Geräte einzudämmen, und neben dem Teilnehmer wird der Status Eindämmung ausstehend angezeigt. Der Status wird erst dann auf Enthalten aktualisiert, wenn das ExtraHop-System eine Antwort von CrowdStrike erhalten hat.
Before you begin
- Device Containment muss aktiviert sein für CrowdStrike-Integration .
- Benutzern muss Zugriff auf das NDR-Modul gewährt werden und sie müssen über eingeschränkte Schreibmöglichkeiten verfügen Privilegien oder höher, um die Aufgaben in diesem Handbuch zu erledigen.
Nächste Maßnahme
- Überprüfen Sie die Geräteeinhausung, indem Sie den Status anhand der Erkennungsdetails überprüfen. Der
Containment-Status erscheint auch in der Eigenschaften Gerät.
- Versuchen Sie erneut, ein Gerät zu enthalten. Der Status „Eindämmung steht noch aus" wird nicht mehr angezeigt, wenn eine Eindämmungsanfrage an CrowdStrike abgelehnt wird oder abläuft.
- Befreien Sie ein Gerät über die CrowdStrike Falcon-Konsole aus dem Container. Klicken Sie im Bereich Integrationen unter Track Detection auf CrowdStrike Falcon um die Konsole in einem neuen Tab zu öffnen. Der Containment-Status wird nicht mehr angezeigt, nachdem das ExtraHop-System eine Antwort von CrowdStrike erhalten hat.
Erstellen Sie eine benutzerdefinierte Erkennung
Mit benutzerdefinierten Erkennungen können Sie Kriterien angeben, anhand derer Erkennungen auf dem ExtraHop-System generiert werden. Maschinelles Lernen und regelbasierte Erkennungen erfassen ungewöhnliche Verhaltensweisen und häufige Bedrohungen. Durch die Erstellung einer benutzerdefinierten Erkennung können Sie jedoch die Geräte und Verhaltensweisen genauer untersuchen, die für Ihr Netzwerk von entscheidender Bedeutung sind.
Wenn Sie eine benutzerdefinierte Erkennung erstellen, müssen Sie einen Auslöser erstellen, der das Systemereignis und die Bedingungen identifiziert, auf die das System achten soll, und dann können Sie den Auslöser den spezifischen Geräten oder Gerätegruppen zuweisen, die Sie überwachen möchten. Wenn das Ereignis eintritt, wird eine Erkennung generiert.
In diesem Handbuch finden Sie die Schritte und ein Beispielskript, das eine benutzerdefinierte Erkennung generiert, wenn verdächtige Verbindungen zu bestimmten Websites über Windows PowerShell hergestellt werden.
Before you begin
- Sie müssen mit ExtraHop vertraut sein Auslöser. Betrachten Sie insbesondere diese Best Practices beim Schreiben Ihres Skripts und beim Zuweisen von Triggern.
- Sie benötigen ein Benutzerkonto bei Privilegien erforderlich, um Trigger zu erstellen.
- Wenn du eine hast Konsole, erstelle einen Auslöser auf dem Konsole und der Auslöser läuft auf allen angeschlossenen Sensoren.
Erstellen Sie einen Auslöser, um benutzerdefinierte Erkennungen zu generieren
Trigger generieren benutzerdefinierte Erkennungen, indem sie den aufrufen commitDetection Funktion im Trigger-Skript.
Im folgenden Beispiel generiert der Auslöser eine benutzerdefinierte Erkennung, wenn ein PowerShell-Client eine Website aufruft, die als Staging-Site für exfiltrierte Daten bezeichnet wird.
Der Auslöser identifiziert PowerShell-Verbindungen, indem er nach JA3-Hashes für SSL-Clients sucht, die zu bekannten PowerShell-Clients gehören.
Wenn die SSL-Verbindung von einem PowerShell-Client zu einem verdächtigen Host hergestellt wird, generiert der Auslöser eine Erkennung. Die Erkennung umfasst die Version von PowerShell, die die Verbindung initiiert hat, die Server-IP-Adresse und die Client-IP-Adresse.
Hinweis: | Für weitere Informationen über die commitDetection Funktion, siehe Trigger-API-Referenz. |
Erstellen Sie einen benutzerdefinierten Erkennungstyp
Nachdem Sie einen Auslöser zur Generierung Ihrer benutzerdefinierten Erkennung erstellt haben, können Sie im Erkennungskatalog einen benutzerdefinierten Erkennungstyp erstellen, um weitere Informationen zu Ihrer Erkennung hinzuzufügen.
Benutzerdefinierte Erkennungen anzeigen
Sie können benutzerdefinierte Erkennungen auf der Erkennungen Seite mit anderen integrierten Erkennungen.
Gruppieren Sie die Erkennungsseite nach Typ. Alle Entdeckungen in der Erkennungsliste sind nach Erkennungstyp gruppiert.
Zum Beispiel, wenn Ihr Erkennungsanzeigename lautet [custom]Segmentation Breach, würde der Eintrag in der Erkennungsliste ähnlich der folgenden Abbildung erscheinen:
Wählen Sie links oben auf der Seite MITRE Karte. Die MITRE-Techniken, die mit der benutzerdefinierten Erkennung verknüpft wurden, sind in der Matrix hervorgehoben.
Die nächsten Schritte
Erstellen Sie eine Regel für Erkennungsbenachrichtigungen. Sie können das ExtraHop-System beispielsweise so konfigurieren, dass es Ihnen eine E-Mail sendet, wenn Ihre benutzerdefinierte Erkennung erfolgt.
Beispiel für einen benutzerdefinierten Erkennungsauslöser
Das folgende Skript ist das vollständige PowerShell/JA3-Beispiel, auf das in diesen Anweisungen verwiesen wird.
// If the server is internal, exit if ( ! Flow.server.ipaddr.isExternal ) { return; } // If the SSL host name is not set, exit if(SSL.host === null) { return; } // Continue only if the SSL hostname belongs to one of the suspicious sites if(SSL.host.match(/pastebin/i) || SSL.host.match(/raw.githubusercontent.com/i) || SSL.host.match(/githack/i)) { // List of common PowerShell JA3 hashes let suspect_ja3_hashes = cache('suspect_ja3_hashes', () => ({ '13cc575f247730d3eeb8ff01e76b245f':'PowerShell/BitsAdmin/PowerShell 4.0 Windows Server 2012RT', '5e12c14bda47ac941fc4e8e80d0e536f':'PowerShell/BitsAdmin/PowerShell 4.0 Windows Server 2012RT', '2c14bfb3f8a2067fbc88d8345e9f97f3':'PowerShell/BitsAdmin Windows Server 2012RT', '613e01474d42ebe48ef52dff6a20f079':'PowerShell/BitsAdmin Windows Server 2012RT', '05af1f5ca1b87cc9cc9b25185115607d':'BitsAdmin/PowerShell 5.0 Windows 7 64 bit enterprise', '8c4a22651d328568ec66382a84fc505f':'BitsAdmin/PowerShell 5.0 Windows 7 64 bit enterprise', '235a856727c14dba889ddee0a38dd2f2':'BitsAdmin/PowerShell 5.1 Server 2016', '17b69de9188f4c205a00fe5ae9c1151f':'BitsAdmin/PowerShell 5.1 Server 2016', 'd0ec4b50a944b182fc10ff51f883ccf7':'PowerShell/BitsAdmin (Microsoft BITS/7.8) Server 2016', '294b2f1dc22c6e6c3231d2fe311d504b':'PowerShell/BitsAdmin (Microsoft BITS/7.8) Server 2016', '54328bd36c14bd82ddaa0c04b25ed9ad':'BitsAdmin/PowerShell 5.1 Windows 10', 'fc54e0d16d9764783542f0146a98b300':'BitsAdmin/PowerShell 5.1 Windows 10', '2863b3a96f1b530bc4f5e52f66c79285':'BitsAdmin/PowerShell 6.0 Windows Server 2012RT', '40177d2da2d0f3a9014e7c83bdeee15a':'BitsAdmin/PowerShell 6.0 Windows Server 2012RT', '36f7277af969a6947a61ae0b815907a1':'PowerShell/BitsAdmin Windows 7 32 bit enterprise', })); // Store the client JA3 hash in a variable const hash = SSL.ja3Hash; // Iterate through each PowerShell JA3 hash for ( let ja3 in suspect_ja3_hashes ) { // If the client JA3 hash is from PowerShell, // commit the detection if ( hash.includes(ja3) ) { commitDetection('PowerShell_JA3', { categories: ['sec.caution'], title: "PowerShell / BitsAdmin Suspicious Connection", // Specify the offender as the device object of the client participants: [ { role: 'offender', object: Flow.client.device } ], description: "This SSL client matched a variant of PowerShell." + "\n"+ "Investigate other client behaviors on the victim host." + "\n"+ "- ** PowerShell/BitsAdmin JA3 client match**" + "\n"+ "- **Client IP:** " + Flow.client.ipaddr + "\n"+ "- **Server IP:** " + Flow.server.ipaddr + "\n"+ "- **JA3 Client Value:** " + ja3 + "\n"+ "- **JA3 Client Match:** " + suspect_ja3_hashes[ja3], // Create the identity key by combining the server IP address, client IP address, and PowerShell JA3 hash identityKey: [ Flow.server.ipaddr, Flow.client.ipaddr, hash ].join('!!'), riskScore: 60, identityTtl: 'hour' }); } } }
Laden Sie benutzerdefinierte IDS-Regeln hoch
Sie können einen benutzerdefinierten Satz von IDS-Regeln auf ExtraHop IDS-Sensoren hochladen. Das ExtraHop-System konvertiert die Regeln in Erkennungstypen, die Erkennungen generieren, die Sie anzeigen und untersuchen können.
Fügen Sie Regeln, die gemäß den Suricata-Richtlinien formatiert sind, zu einer oder mehreren .rules-Dateien hinzu und laden Sie sie in einer ZIP-Datei hoch. Beim Upload verarbeitet das ExtraHop-System jede Regel. Diese wird in einer Tabelle angezeigt, in der die Signatur-ID, der Name jeder Regel und einer der folgenden Regelstatus angezeigt werden.
Akzeptiert: Das ExtraHop-System hat die Regel erfolgreich verarbeitet.
Abgelehnt: Das ExtraHop-System konnte die Regel nicht verarbeiten. Die Regel enthält möglicherweise einen Formatierungsfehler oder die Regel enthält eine Aktion, ein Protokoll oder eine Option, die derzeit vom ExtraHop-System nicht unterstützt wird. Kontakt ExtraHop-Unterstützung um sich über zukünftige Unterstützung für die Regel zu erkundigen.
Upgrade erforderlich: EIN Eine neuere Version der ExtraHop-Firmware ist erforderlich um die Regel zu unterstützen. Die erforderliche Systemversion wird angezeigt.
Im Folgenden finden Sie einige Überlegungen zu benutzerdefinierten IDS-Regeln:
- Benutzerdefinierte IDS-Regeln müssen als gültig formatiert sein .rules-Datei hochladen.
- Eine oder mehrere Suricata-.rules-Dateien müssen zu einer einzigen ZIP-Datei für den Upload hinzugefügt werden.
- Sie können nicht mehr als 10.000 benutzerdefinierte IDS-Regeln hochladen.
- Durch das Löschen einer Datei werden alle Regeln gelöscht, die mit der hochgeladenen Datei verknüpft sind. Dies kann mehrere Minuten dauern. Benutzern werden möglicherweise weiterhin Erkennungen angezeigt, die auf diesen Regeln basieren, bis der Löschvorgang abgeschlossen ist.
- Durch das Ersetzen einer Datei werden alle Regeln gelöscht, die mit der zuvor hochgeladenen Datei verknüpft sind, und dann werden die Regeln aus der neuen Datei verarbeitet.
- Integrierte IDS-Regeln werden nicht gelöscht oder ersetzt, wenn Sie Ihre benutzerdefinierten IDS-Regeln verwalten. Ihr ExtraHop-System ist mit den ExtraHop Cloud Services verbunden und die neuesten integrierten Regeln werden automatisch auf das System heruntergeladen, sobald aktualisierte Versionen verfügbar sind.
Hinweis: | ExtraHop überprüft möglicherweise die hochgeladenen Regeln, um die Genauigkeit der Konvertierung zu überprüfen und um Produktverbesserungen im Hinblick auf die Konvertierung, Richtigkeit und Leistung der Suricata-Regeln anzuleiten. |
Nächste Maßnahme
Klicken Sie Erkennungen von der oberen Navigationsmenüseite aus, um Erkennungen anzuzeigen, die anhand benutzerdefinierter IDS-Regeln generiert wurden. Diese Erkennungen deuten darauf hin, dass die Regel von einer benutzerdefinierten IDS-Datei bereitgestellt wurde und die Signatur-ID der Regel enthält.Erkennungen abstimmen
Die Erkennungsoptimierung ermöglicht es Ihnen, Geräusche zu reduzieren und kritische Erkennungen zu erkennen, die sofortige Aufmerksamkeit erfordern.
Es gibt zwei Möglichkeiten, Erkennungen zu optimieren: Sie können Optimierungsparameter hinzufügen, die verhindern, dass Erkennungen überhaupt generiert werden, oder Sie können Optimierungsregeln erstellen, die vorhandene Erkennungen basierend auf Erkennungstyp, Teilnehmern oder Erkennungseigenschaften ausblenden.
Video: | Sehen Sie sich die entsprechende Schulung an: Tuning-Regeln konfigurieren |
Tuning-Parameter
Mithilfe von Optimierungsparametern können Sie bekannte und vertrauenswürdige Domänen, DNS-Server und HTTP CONNECT-Ziele angeben, die keine Erkennung generieren sollen. Sie können auch Tuning-Parameter aktivieren, die häufige und redundante Erkennungen von Gateway-Geräten und Tor-Knoten unterdrücken.
Die Tuning-Parameter werden über das verwaltet Tuning-Parameter Seite.
Tuning-Regeln
Mithilfe von Optimierungsregeln können Sie Kriterien angeben, die generierte Erkennungen verbergen, die jedoch von geringem Wert sind und keine Aufmerksamkeit erfordern.
Hinweis: | Optimierungsregeln verbergen möglicherweise bestimmte Erkennungen nicht, wenn auf Ihren Paketsensoren nicht dieselbe Firmware-Version wie auf Ihrer Konsole ausgeführt wird. |
- Versteckte Erkennungen führen nicht dazu, dass zugehörige Trigger und Warnungen ausgeführt werden, solange die Regel aktiviert ist.
- Versteckte Erkennungen werden in Diagrammen nicht als Erkennungsmarkierungen angezeigt.
- Versteckte Entdeckungen erscheinen nicht auf den Aktivitätskarten, aber versteckte Teilnehmer werden auf den Ermittlungskarten angezeigt.
- Versteckte Erkennungen erscheinen nicht in den Erkennungszahlen auf verwandten Seiten, z. B. auf der Seite „Geräteübersicht" oder der Seite „Aktivität".
- Versteckte Funde und Teilnehmer erscheinen nicht im Security Operations Report.
- Versteckte Erkennungen sind in E-Mail- und Webhook-Benachrichtigungen nicht enthalten.
- Versteckte Erkennungen werden nicht in ein integriertes SIEM oder SOAR exportiert.
Hinweis: | Wenn Sie keine Erkennungsmarkierungen für Erkennungen sehen, bestätigen Sie dies Erkennungsmarker wurden nicht deaktiviert. |
Optimierte Best Practices
Es ist besser, einen einzelnen Parameter oder eine Regel zu erstellen, die umfassender ist, als mehrere überlappende Parameter und Regeln zu erstellen.
- Fügen Sie zunächst Optimierungsparameter hinzu, um Erkennungen zu vermeiden, an denen bekannte oder vertrauenswürdige Agenten beteiligt sind. Lesen Sie unbedingt die Tuning-Parameter und Netzwerk-Locations Seiten für bestehende Parameter, um Redundanz zu vermeiden.
- Legen Sie fest, ob Sie alle Erkennungen für einen bestimmten Teilnehmer, z. B. einen Schwachstellenscanner, ausblenden möchten, und wählen Sie Alle Erkennungsarten. Wenn Sie sich nach Geräterolle verstecken möchten, erweitern Sie den Bereich auf Gerätegruppe.
-
Wenn ein IP-Adresse oder CIDR-Block ist in der Dropdownliste Täter oder Opfer ausgewählt. Fügen Sie der Liste im Feld IP-Adressen Einträge hinzu oder entfernen Sie sie, um den Geltungsbereich der Optimierungsregel zu erweitern oder zu reduzieren.
-
Standardmäßig laufen Tuning-Regeln nach 8 Stunden ab. Sie können eine andere Ablaufzeit aus der Dropdownliste auswählen oder eine neue Ablaufzeit auswählen, nachdem Sie eine abgelaufene Regel aus dem Tuning-Regeln Seite.
- Das ExtraHop-System löscht automatisch Erkennungen, die seit Beginn der Erkennung 21 Tage im System waren, die nicht andauern und die ausgeblendet sind. Wenn eine neu erstellte oder bearbeitete Optimierungsregel eine Erkennung verbirgt , die diesen Kriterien entspricht, wird die betroffene Erkennung 48 Stunden lang nicht gelöscht.
-
Wenn Sie beim Hinzufügen einer Tuning-Regel ein Gerät identifizieren, das nicht korrekt klassifiziert ist, können Sie die Geräterolle ändern.
-
Bestimmte Erkennungen erfordern möglicherweise eine genaue Optimierungsregel, die auf einer bestimmten Eigenschaft der Erkennung basiert. Klicken Sie unter der Überschrift Eigenschaft auf das Kontrollkästchen neben einer Eigenschaft, um einen Wert oder regulären Ausdruck anzugeben und Kriterien für eine fokussierte Optimierungsregel hinzuzufügen.
- Wenden Sie das an Versteckt Statusfilter zum Erkennungen Seite, um Erkennungen anzuzeigen, die derzeit versteckt indem du Abstimmung optimierst.
Erfahren Sie, wie Unterdrücken Sie Erkennungen mit Tuning-Parametern und Ausblenden von Erkennungen mit Tuning-Regeln .
Unterdrücken Sie Erkennungen mit Tuning-Parametern
Stellen Sie Informationen über Ihre Netzwerkumgebung bereit, damit das ExtraHop-System verhindern kann, dass geringwertige oder redundante Erkennungen jemals generiert werden.
Sie können Kriterien aus dem Tuning-Parameter Seite oder direkt von einer Erkennungskarte. Darüber hinaus können Sie Netzwerk angeben, die IP-Adressbereiche als interne oder externe Adressbereiche Ihres Netzwerk klassifizieren.
Video: | Sehen Sie sich die entsprechende Schulung an: Tuning-Parameter konfigurieren |
Geben Sie Optimierungsparameter für Erkennungen und Metriken an
Geben Sie Optimierungsparameter an, um Metriken zu verbessern und zu verhindern, dass Erkennungen mit niedrigen Werten überhaupt generiert werden.
Hinweis: | Die Felder auf dieser Seite können im Laufe der Zeit von ExtraHop hinzugefügt, gelöscht oder geändert werden. |
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Tuning-Parameter.
-
Geben Sie Werte für einen der folgenden Parameter an, die auf der Seite verfügbar sind.
Option Bezeichnung Gateway-Geräte Standardmäßig werden Gateway-Geräte von regelbasierten Erkennungen ignoriert, da sie zu redundanten oder häufigen Erkennungen führen können.
Wählen Sie diese Option, um potenzielle Probleme mit Gateway-Geräten wie Ihren Firewalls, Routern und NAT-Gateways zu identifizieren.
Diese Einstellung wirkt sich nicht auf Erkennungen durch maschinelles Lernen aus.
Ausgehende Tor-Knoten Standardmäßig werden ausgehende Verbindungen zu bekannten Tor-Knoten von regelbasierten Erkennungen ignoriert, da sie in Umgebungen mit minimalem Tor-Verkehr zu Erkennungen mit geringem Wert führen können.
Wähle diese Option, um Erkennungen bei ausgehenden Verbindungen zu bekannten Tor-Knoten zu identifizieren, falls deine Umgebung erheblichen ausgehenden Tor-Verkehr beobachtet.
Eingehende Tor-Knoten Standardmäßig werden eingehende Verbindungen von bekannten Tor-Knoten von regelbasierten Erkennungen ignoriert, da sie in Umgebungen mit minimalem Tor-Verkehr zu Erkennungen mit geringem Wert führen können.
Wähle diese Option, um Erkennungen bei eingehenden Verbindungen von bekannten Tor-Knoten zu identifizieren, falls deine Umgebung erheblichen eingehenden Tor-Verkehr beobachtet.
Beschleunigte Beaconing-Erkennung Standardmäßig erkennt das ExtraHop-System potenzielle Beaconing-Ereignisse über HTTP und SSL.
Wählen Sie diese Option, um Beaconing-Ereignisse schneller als bei der Standarderkennung zu erkennen.
Beachten Sie, dass die Aktivierung dieser Option die Erkennung von Beaconing-Ereignissen erhöhen kann, die nicht bösartig sind.
IDS-Erkennungen Standardmäßig sind ExtraHop-Systeme mit verbundenen Sensoren des Intrusion Detection Systems (Intrusion Detection System) generiert nur Erkennungen für den Verkehr innerhalb Ihres Netzwerk. Wählen Sie diese Option, um IDS-Erkennungen für Datenverkehr zu generieren , der von einem Externer Endpunkt eingeht.
Beachten Sie, dass die Aktivierung dieser Option die Anzahl der IDS-Erkennungen erheblich erhöhen kann.
Privilegierte Active Directory Directory-Konten Geben Sie reguläre Ausdrücke (Regex) an, die privilegierten Active Directory-Konten in Ihrer Umgebung entsprechen. Die Parameterliste enthält eine Standardliste regulärer Ausdrücke für allgemeine privilegierte Konten , die Sie bearbeiten können.
Das ExtraHop-System identifiziert privilegierte Konten und verfolgt die Kontoaktivitäten in Kerberos-Datensätzen und -Metriken.
Zulässige öffentliche DNS-Server Geben Sie in Ihrer Umgebung zulässige öffentliche DNS-Server an, die regelbasierte Erkennungen ignorieren sollen.
Geben Sie eine gültige IP-Adresse oder einen CIDR-Block an.
Zulässige HTTP CONNECT-Ziele Geben Sie URIs an, auf die Ihre Umgebung über die HTTP CONNECT-Methode zugreifen kann.
URIs müssen formatiert sein als <hostname>: <Portnummer> . Wildcards und Regex werden nicht unterstützt.
Wenn Sie keinen Wert angeben, werden keine Erkennungen generiert, die auf diesem Parameter basieren.
Vertrauenswürdige Domänen Fügen Sie legitime bekannte Domänen zur Liste der vertrauenswürdigen Domänen hinzu, um zukünftige Erkennungen zu unterdrücken, die auf bösartige Domänenaktivitäten für diese Domain abzielen.
Geben Sie einen einzelnen Domänenname pro Feld ein.
Wenn Sie einen Domänenname angeben, unterdrückt der Tuning-Parameter Erkennungen für alle Subdomänen. Wenn Sie beispielsweise example.com als vertrauenswürdige Domain hinzufügen, werden Erkennungen mit vendor.example.com als Täter ebenfalls unterdrückt. Wenn Sie eine Subdomain wie vendor.example.com hinzufügen, unterdrückt der Parameter nur Erkennungen, bei denen der Teilnehmer mit genau dieser Subdomain endet. In diesem Beispiel würde test.vendor.example.com unterdrückt werden, test.example.com jedoch nicht.
Wildcards und Regex werden nicht unterstützt.
Um mehr als einen vertrauenswürdigen Domänenname hinzuzufügen, klicken Sie auf Domain hinzufügen.
Für Erkennungen, denen eine Domain zugeordnet ist, können Sie auch Fügen Sie eine vertrauenswürdige Domain direkt von einer Erkennungskarte hinzu.
- Klicken Sie Speichern.
Hinzufügen eines Tuning-Parameters von einer Erkennungskarte
Wenn Sie auf eine Erkennung mit niedrigem Wert stoßen, können Sie direkt von einer Erkennungskarte aus Optimierungsparameter hinzufügen, um zu verhindern, dass ähnliche Erkennungen generiert werden.
Before you begin
Benutzer müssen Vollschreiben oder höher haben Privilegien um eine Erkennung zu optimieren.Erkennungen mit Optimierungsregeln ausblenden
Mithilfe von Optimierungsregeln können Sie Erkennungen ausblenden, die bestimmten Kriterien entsprechen.
Um redundante Regeln zu vermeiden, stellen Sie sicher, dass Sie zuerst Informationen über Ihre Netzwerkumgebung zum ExtraHop-System hinzufügen, indem Sie Angeben von Tuning-Parametern.
Erfahre mehr über Abstimmung von Erkennungen.
Eine Optimierungsregel erstellen
Erstellen Sie Optimierungsregeln, um Ihre Erkennungsliste zu optimieren, indem Sie Kriterien angeben, die vergangene, aktuelle und zukünftige Erkennungen verbergen, die von geringem Wert sind und keine Aufmerksamkeit erfordern.
Before you begin
Benutzer müssen über Vollschreibzugriff oder höher verfügen Privilegien um eine Optimierungsregel zu erstellen.Erfahre mehr über Abstimmung von Best Practices.
Eine Optimierungsregel von einer Erkennungskarte hinzufügen
Wenn Sie auf eine Erkennung mit niedrigem Wert stoßen, können Sie direkt von einer Erkennungskarte aus eine Optimierungsregel erstellen, um ähnliche Erkennungen im ExtraHop-System auszublenden.
Before you begin
Benutzer müssen über Vollschreibzugriff oder höher verfügen Privilegien um eine Erkennung zu optimieren.Erfahre mehr über Abstimmung von Best Practices.
Eine Optimierungsregel aus einer Härtungserkennung hinzufügen
Klicken Sie auf eine Hardening-Erkennung, um eine Zusammenfassung aller Ressourcen, Erkennungseigenschaften und Netzwerkstandorte anzuzeigen, die mit diesem Erkennungstyp verknüpft sind. Sie können die Zusammenfassung filtern, indem Sie auf einen der zugehörigen Werte klicken, und dann eine Optimierungsregel erstellen, um Erkennungen auf der Grundlage der angezeigten Ergebnisse auszublenden.
Before you begin
Benutzer müssen über Vollschreibzugriff oder höher verfügen Privilegien um eine Erkennung zu optimieren.Erfahre mehr über Filterung und Abstimmung von Härtungserkennungen.
Erfahre mehr über Abstimmung von Best Practices.
Eine Tuning-Regel von der Seite „Tuning-Regeln" hinzufügen
Erstellen Sie Optimierungsregeln, um Erkennungen nach Erkennungstyp, Teilnehmer oder bestimmten Erkennungseigenschaften auszublenden.
Before you begin
Benutzer müssen Vollschreiben oder höher haben Privilegien um eine Erkennung zu optimieren.Erfahre mehr über Abstimmung von Best Practices.
Kriterien für Optimierungsregeln
Wählen Sie aus den folgenden Kriterien aus, um zu bestimmen, welche Erkennungen durch eine Optimierungsregel ausgeblendet werden.
- Entdeckungstyp
- Erstellen Sie eine Optimierungsregel, die für einen einzelnen Erkennungstyp gilt, oder legen Sie fest, dass die Regel je nach Systemmodul für alle Sicherheits- oder Leistungserkennungstypen gilt. Regeln, die alle Arten von Sicherheitserkennungen umfassen, sind in der Regel für Aktivitäten im Zusammenhang mit Schwachstellenscannern reserviert.
- Teilnehmer
- Erstellen Sie eine Optimierungsregel, die Erkennungen anhand bestimmter Täter- und
Opferteilnehmer verbirgt. Geben Sie die Teilnehmer an einer Optimierungsregel mit einer der folgenden Optionen an.Hier sind einige wichtige Überlegungen zum Abstimmung von Teilnehmern:
- Jeder Täter oder Opfer
- Sie können Any Offender oder Any Victim angeben, um alle Teilnehmer auszublenden. Diese Option ist effektiv, um Erkennungen während geplanter Tests oder beim Scannen von Schwachstelle auszublenden.
- Gerätegruppe oder Gerät
- Sie können ein erkanntes Gerät angeben oder Gerätegruppe um Teilnehmer zu verstecken.
Sie können beispielsweise die integrierte Gerätegruppe für Vulnerability
Scanner angeben, um Erkennungen auszublenden, an denen ein interner Scanner
Teilnehmer ist.
Hinweis: Optimierungsregeln werden angewendet, wenn Erkennungen oder Optimierungsregeln erstellt oder aktualisiert werden. Optimierungsregeln werden nicht rückwirkend auf bestehende Erkennungen angewendet, wenn ein Teilnehmer zu einer dynamischen Gerätegruppe hinzugefügt oder daraus entfernt wird. - Externer Scan-Service
- Sie können einen externen Scan-Service als Teilnehmer an einer Optimierungsregel angeben. Das ExtraHop-System verbirgt externe Scandienste basierend auf dem mit dem Dienst verknüpften IP-Adressbereich.
- IP-Adresse oder CIDR-Block
- Sie können eine einzelne IP-Adresse oder einen CIDR-Block von
IP-Adressen angeben, um alle Teilnehmer innerhalb dieses Bereichs auszublenden. Wenn ein Team
beispielsweise Penetrationstest in einem bestimmten
Subnetz durchführt, können Sie eine Optimierungsregel mit den
Subnetz-IP-Adressen erstellen, um einen Anstieg der Erkennungen im Zusammenhang mit
Aufzählungs- und Hacking-Tools zu vermeiden.
Hinweis: Erkennungen werden basierend auf der IP-Adresse zum Zeitpunkt der Erkennung ausgeblendet. Da sich IP-Adressen für erkannte Geräte und externe Endpunkte dynamisch ändern können, ist die Angabe einer einzelnen IP-Adresse nur dann zuverlässig, wenn der Endpunkt eine statische IP-Adresse hat. - Hostname oder Domain
- Sie können einen Hostnamen, Domainnamen oder Server Name
Indication (SNI) angeben, um einen Teilnehmer auszublenden, der vom ExtraHop-System nicht
erkannt wurde. Wenn Sie einen
Domainnamen angeben, blendet die Tuning-Regel alle Subdomains aus.
Wenn Sie beispielsweise eine Optimierungsregel mit vendor.com als Täter erstellen, blendet
die Optimierungsregel Erkennungen mit
example.vendor.com als Täter aus. Wenn Sie eine Subdomain wie
example.vendor.com angeben, blendet die Tuning-Regel nur
Erkennungen aus, bei denen der Teilnehmer mit genau dieser Subdomain endet.
In diesem Beispiel wäre test.example.vendor.com versteckt, test.vendor.com jedoch nicht
.
Hinweis: Tuning-Regeln verbergen erkannte Geräte nicht nach Hostnamen. Sie können erkannte Geräte als Optimierungsregelkriterien hinzufügen, indem Sie eine IP-Adresse, ein Gerät oder eine Gerätegruppe angeben. - Netzwerk-Lokalität
- Sie können eine angeben
Netzwerklokalität um IP-Adressteilnehmer an diesem
Ort zu verbergen.
Hinweis: Durch Tuning-Regeln werden nur Teilnehmer mit den spezifischen IP-Adressen ausgeblendet , die in der Netzwerklokalität enthalten sind. Wenn einem Gerät eine andere IP-Adresse außerhalb des CIDR-Blocks für den Netzwerkstandort zugewiesen wird, wird dieses Gerät nicht versteckt.
- Wenn die Teilnehmerkriterien für eine Optimierungsregel nur mit einem Teil
der Teilnehmerliste einer Erkennung übereinstimmen, blendet das System die in der Optimierungsregel
angegebenen Teilnehmer aus, ohne die gesamte
Erkennung auszublenden.
- Teilnehmer, die als Optimierungskriterien angegeben sind, einschließlich CIDR-Blöcke und externe Scandienste, werden ausgeblendet, selbst wenn sie sich über ein Gateway oder einen Load Balancer verbinden.
- Erkennungseigenschaften
- Erstellen Sie eine Optimierungsregel, die Erkennungen anhand einer bestimmten Eigenschaft verbirgt. Sie können
beispielsweise seltene SSH-Port-Erkennungen für eine einzelne Portnummer oder Erkennungen von
Datenexfiltration in S3-Buckets für einen bestimmten S3-Bucket ausblenden.
Tuning-Regeln verwalten
Sie können die Kriterien bearbeiten oder die Dauer einer Regel verlängern, eine Regel erneut aktivieren und eine Regel deaktivieren oder löschen.
Klicken Sie oben auf der Seite auf das Symbol Systemeinstellungen und wähle Tuning-Regeln.
Klicken Sie auf eine Tuning-Regel in der Tuning-Regeln Tabelle zum Öffnen der Optimierungsregel bearbeiten tafel. Aktualisieren Sie Teilnehmer, Regelkriterien oder Eigenschaften, um den Geltungsbereich der Regel anzupassen. Klicken Sie auf die Schaltflächen am unteren Rand des Fensters, um eine Regel zu löschen, zu deaktivieren, zu aktivieren oder die Dauer einer Regel zu verlängern.
- Nachdem Sie eine Regel deaktiviert oder gelöscht haben, läuft die Regel sofort ab und die zugehörigen Auslöser und Benachrichtigungen werden fortgesetzt.
- Nachdem Sie eine Regel deaktiviert haben, bleiben zuvor ausgeblendete Erkennungen verborgen; laufende Erkennungen werden angezeigt.
- Beim Löschen einer Regel werden zuvor ausgeblendete Erkennungen angezeigt.
- Das ExtraHop-System löscht automatisch Erkennungen, die seit dem Startzeitpunkt der Erkennung 21 Tage lang auf dem System waren, die nicht andauern und die versteckt sind. Wenn eine neu erstellte oder bearbeitete Optimierungsregel eine Erkennung verbirgt, die diesen Kriterien entspricht, wird die betroffene Erkennung 48 Stunden lang nicht gelöscht.
Sie können das anwenden Versteckter Status zur Seite Erkennungen, um nur Erkennungen anzuzeigen, die derzeit versteckt durch eine Tuning-Regel.
Jede versteckte Erkennung oder jeder versteckte Teilnehmer enthält einen Link zur zugehörigen Optimierungsregel und zeigt den Benutzernamen des Benutzers an, der die Regel erstellt hat. Wenn die Erkennung oder der Teilnehmer durch mehrere Regeln verdeckt ist, wird die Anzahl der geltenden Regeln angezeigt.
Härteerkennungen filtern und abstimmen
Erkennungen in der Kategorie Härtung tragen dazu bei, das Risiko einer Ausnutzung zu verringern. Sie können eine große Anzahl von Härteerkennungen sortieren, indem Sie die Seite „Erkennungen" filtern und Abstimmung.
Before you begin
Benutzern muss Folgendes gewährt werden Privilegien um Erkennungen anzuzeigen und müssen über vollständige Schreibrechte oder höhere Rechte verfügen, um eine Optimierungsregel zu erstellen.Erfahre mehr über Abstimmung von Erkennungen.
Erfahre mehr über Abstimmung von Best Practices.
Klicken Sie auf eine Härteerkennung aus dem Erkennungen Seite, um die Zusammenfassung anzusehen. In den Zusammenfassungen der Hardening-Erkennung werden der Entdeckungstyp, die Ressourcen, die an Erkennungen dieses Typs beteiligt sind, die Erkennungseigenschaften und die Netzwerkstandorte, an denen sich die betroffenen Geräte befinden, identifiziert.
- Betroffene Vermögenswerte
- Eine Liste von Assets, die an Hardening-Erkennungen des ausgewählten Typs beteiligt sind. Die Liste der betroffenen Ressourcen ist nach dem letzten Zeitpunkt der Erkennung sortiert.
- Immobilienwerte
- Eine Liste der wichtigsten Eigenschaftswerte, die dem Erkennungstyp zugeordnet sind. Beispielsweise listet der Erkennungstyp Weak Cipher Suite die Verschlüsselungssammlungen auf, auf die bei Erkennungen verwiesen wird, und der Erkennungstyp Auslaufendes SSL/TLS-Serverzertifikat listet Zertifikate auf, deren Ablauf geplant ist. Die Liste der Eigenschaftswerte ist nach der Anzahl der Funde sortiert, die den Eigenschaftswert enthalten.
- Betroffene Netzwerkstandorte
- Eine Liste von Netzwerkstandorten, die Hardening-Erkennungen des ausgewählten Typs enthalten. Die Liste der betroffenen Netzwerkstandorte ist nach der Anzahl der Funde in der Netzwerklokalität sortiert.
Durch Filtern der Ergebnisse für eine einzelne Asset, Immobilie oder Lokalität können Sie Erkennungen identifizieren, die sich auf kritische Systeme auswirken oder eine Tuning-Regel erstellen Dadurch werden Erkennungen mit niedrigen Werten ausgeblendet, die den gefilterten Ergebnissen ähneln.
Erkennungsverfolgung aktivieren
Mit der Erkennungsverfolgung können Sie einem Benutzer eine Erkennung zuweisen, den Status festlegen und Notizen hinzufügen. Sie können Erkennungen direkt im ExtraHop-System, mit einem externen Ticketsystem eines Drittanbieters oder mit beiden Methoden verfolgen.
Hinweis: | Sie müssen die Ticketverfolgung auf allen angeschlossenen Sensoren aktivieren. |
Before you begin
- Sie müssen Zugriff auf ein ExtraHop-System mit einem Benutzerkonto haben, das Administratorrechte.
- Nachdem Sie die externe Ticketverfolgung aktiviert haben, müssen Sie Ticket-Tracking von Drittanbietern konfigurieren indem Sie einen Auslöser schreiben, um Tickets in Ihrem Ticketsystem zu erstellen und zu aktualisieren, und dann Ticketaktualisierungen auf Ihrem ExtraHop-System über die REST-API aktivieren.
- Wenn Sie das externe Ticket-Tracking deaktivieren, werden zuvor gespeicherte Status- und Empfänger-Ticketinformationen in das ExtraHop-Erkennungs-Tracking umgewandelt. Wenn das Erkennungs-Tracking innerhalb des ExtraHop-Systems aktiviert ist, können Sie Tickets einsehen, die bereits existierten, als Sie das externe Ticket-Tracking deaktiviert haben, aber Änderungen an diesem externen Ticket werden nicht im ExtraHop-System angezeigt.
Nächste Maßnahme
Wenn Sie externe Ticket-Tracking-Integrationen aktiviert haben, müssen Sie mit der folgenden Aufgabe fortfahren:Ticket-Tracking von Drittanbietern für Erkennungen konfigurieren
Mit der Ticketverfolgung können Sie Tickets, Alarme oder Fälle in Ihrem Work-Tracking-System mit ExtraHop-Erkennungen verknüpfen. Jedes Ticketsystem von Drittanbietern, das Open Data Stream (ODS) -Anfragen annehmen kann, wie Jira oder Salesforce, kann mit ExtraHop-Erkennungen verknüpft werden.
Before you begin
- Das musst du haben hat in den Verwaltungseinstellungen die Option zum Nachverfolgen der Erkennung durch Dritte ausgewählt.
- Sie müssen Zugriff auf ein ExtraHop-System mit einem Benutzerkonto haben, das System- und Zugriffsadministrationsrechte.
- Sie müssen mit dem Schreiben von ExtraHop-Triggern vertraut sein. siehe Auslöser und die Verfahren in Einen Auslöser erstellen.
- Sie müssen ein ODS-Ziel für Ihren Ticket-Tracking-Server erstellen. Weitere Informationen zur Konfiguration von ODS-Zielen finden Sie in den folgenden Themen : HTTP, Kafka, MongoDB, Syslog, oder Rohdaten.
- Sie müssen mit dem Schreiben von REST-API-Skripten vertraut sein und über einen gültigen API-Schlüssel verfügen, um die folgenden Verfahren ausführen zu können. siehe Generieren Sie einen API-Schlüssel.
Schreiben Sie einen Auslöser, um Tickets zu Erkennungen in Ihrem Ticketsystem zu erstellen und zu aktualisieren
Dieses Beispiel zeigt Ihnen, wie Sie einen Auslöser erstellen, der die folgenden Aktionen ausführt:
- Erstellen Sie jedes Mal, wenn eine neue Erkennung im ExtraHop-System erscheint, ein neues Ticket im Ticketsystem.
- Weisen Sie einem Benutzer mit dem Namen neue Tickets zu escalations_team im Ticketsystem.
- Wird jedes Mal ausgeführt, wenn eine Erkennung auf dem ExtraHop-System aktualisiert wird.
- Senden Sie Erkennungsaktualisierungen über einen HTTP Open Data Stream (ODS) an das Ticketsystem.
Das vollständige Beispielskript ist am Ende dieses Themas verfügbar.
const summary = "ExtraHop Detection: " + Detection.id + ": " + Detection.title; const description = "ExtraHop has detected the following event on your network: " + Detection.description const payload = { "fields": { "summary": summary, "assignee": { "name": "escalations_team" }, "reporter": { "name": "ExtraHop" }, "priority": { "id": Detection.riskScore }, "labels": Detection.categories, "mitreCategories": Detection.mitreCategories, "description": description } }; const req = { 'path': '/rest/api/issue', 'headers': { 'Content-Type': 'application/json' }, 'payload': JSON.stringify(payload) }; Remote.HTTP('ticket-server').post(req);
Ticketinformationen über die REST-API an Erkennungen senden
Nachdem Sie einen Auslöser konfiguriert haben, um Tickets für Erkennungen in Ihrem Ticket-Tracking-System zu erstellen, können Sie die Ticketinformationen in Ihrem ExtraHop-System über die REST-API aktualisieren.
Ticketinformationen werden bei Erkennungen auf der Seite „Entdeckungen" im ExtraHop-System angezeigt. Weitere Informationen finden Sie in der Erkennungen Thema.
Das folgende Python-Beispielskript entnimmt Ticketinformationen aus einem Python-Array und aktualisiert die zugehörigen Erkennungen auf dem ExtraHop-System.
#!/usr/bin/python3 import json import requests import csv API_KEY = '123456789abcdefghijklmnop' HOST = 'https://extrahop.example.com/' # Method that updates detections on an ExtraHop system def updateDetection(detection): url = HOST + 'api/v1/detections/' + detection['detection_id'] del detection['detection_id'] data = json.dumps(detection) headers = {'Content-Type': 'application/json', 'Accept': 'application/json', 'Authorization': 'ExtraHop apikey=%s' % API_KEY} r = requests.patch(url, data=data, headers=headers) print(r.status_code) print(r.text) # Array of detection information detections = [ { "detection_id": "1", "ticket_id": "TK-16982", "status": "new", "assignee": "sally", "resolution": None, }, { "detection_id": "2", "ticket_id": "TK-2078", "status": None, "assignee": "jim", "resolution": None, }, { "detection_id": "3", "ticket_id": "TK-3452", "status": None, "assignee": "alex", "resolution": None, } ] for detection in detections: updateDetection(detection)
Hinweis: | Wenn das Skript eine Fehlermeldung zurückgibt, dass die
SSL-Zertifikatsüberprüfung fehlgeschlagen ist, stellen Sie sicher, dass Ihrem Sensor oder Ihrer Konsole
wurde ein vertrauenswürdiges Zertifikat hinzugefügt. Alternativ können Sie das hinzufügen
verify=False Option zur Umgehung der Zertifikatsüberprüfung. Diese
Methode ist jedoch nicht sicher und wird nicht empfohlen. Der folgende Code sendet eine HTTP
GET-Anfrage ohne
Zertifikatsüberprüfung:requests.get(url, headers=headers, verify=False) |
- Status
- Der Status des Tickets, das mit der Erkennung verknüpft ist. Das Ticket-Tracking
unterstützt die folgenden Status:
- Neu
- Im Gange
- geschlossen
- Mit ergriffenen Maßnahmen geschlossen
- Geschlossen, ohne dass Maßnahmen ergriffen wurden
- Ticket-ID
- Die ID des Tickets in Ihrem Work-Tracking-System, das mit der Erkennung verknüpft ist. Wenn Sie eine Vorlagen-URL konfiguriert haben, können Sie auf die Ticket-ID klicken, um das Ticket in Ihrem Work-Tracking-System zu öffnen.
- Abtretungsempfänger
- Der Benutzername, der dem Ticket zugewiesen wurde, das mit der Erkennung verknüpft ist. Graue Benutzernamen weisen auf ein Konto hin, das kein ExtraHop-Konto ist.
Untersuchen Sie Sicherheitserkennungen
Wenn eine interessante Erkennung auftritt, sollten Sie untersuchen, ob das erkannte Verhalten auf ein Problem mit niedriger Priorität oder auf ein potenzielles Sicherheitsrisiko hindeutet. Sie können Ihre Untersuchung direkt von der Erkennungskarte aus starten, die Links zu Daten im gesamten ExtraHop-System enthält.
- Gab es zu ungewöhnlichen oder unerwarteten Zeiten Erkennungen, z. B. bei Benutzeraktivitäten am Wochenende oder außerhalb der Geschäftszeiten?
- Erscheinen irgendwelche Erkennungen in großen Clustern auf der Timeline?
- Werden Erkennungen für hochwertige Endgeräte angezeigt?
- Gibt es Entdeckungen mit hohen Risikowerten?
- Sind Geräte, die an der Erkennung beteiligt sind, auch an anderen Erkennungen beteiligt?
- Werden anhand einer Bedrohungssammlung im Zusammenhang mit der Erkennung Indikatoren für eine Gefährdung identifiziert?
Beginne deine Untersuchung
Lesen Sie den Titel und die Zusammenfassung der Erkennung, um zu erfahren, was die Erkennung verursacht hat.
Verfeinern Sie Ihre Untersuchung
Erkennungsdetailkarten enthalten verwandte Daten zur Erkennung. Die Verfügbarkeit der Daten hängt von den Geräten und Metriken ab, die mit der Erkennung verknüpft sind. Nachdem Sie auf einen Link geklickt haben, können Sie zur Erkennungskarte zurückkehren, indem Sie im Navigationspfad auf den Erkennungsnamen klicken. Jede Untersuchungsoption wird in den folgenden Abschnitten beschrieben.
Überprüfen Sie die Ermittlungsdaten
Die meisten Daten, die Sie benötigen, um eine Erkennung zu verstehen, zu validieren und zu untersuchen, werden auf der Erkennungsdetailseite angezeigt: Tabellen mit relevanten Metrikdaten, Aufzeichnungstransaktionen und Links zu Rohpaketen.
Klicken Sie auf einen Hostnamen, um zur Seite Geräteübersicht zu gelangen, oder klicken Sie mit der rechten Maustaste, um ein Diagramm mit diesem Gerät als Quelle und den relevanten Messwerten zu erstellen.
Name des Geräts
Klicken Sie auf einen Gerätenamen, um zur Seite Geräteübersicht zu gelangen, die die Rolle, Benutzer und Tags enthält, die diesem Gerät zugeordnet sind. Klicken Sie im linken Bereich auf einen Protokollnamen, um alle mit dem Gerät verknüpften Protokollmetriken anzuzeigen. Auf der Protokollseite erhalten Sie ein vollständiges Bild davon, was dieses Gerät zum Zeitpunkt der Erkennung getan hat.
Wenn Sie beispielsweise einen Reconnaissance-Scan erkennen, können Sie Erkennung, ob dem Gerät, das mit dem Scan verknüpft ist, die Rolle Vulnerability Scanner zugewiesen wurde.
- Verfügbarkeit
- Links zu Gerätenamen sind nur für Geräte verfügbar, die vom ExtraHop-System automatisch erkannt wurden. Remote-Geräte, die sich außerhalb Ihres Netzwerk befinden, werden durch ihre IP-Adressen dargestellt.
Karte der Aktivitäten
Klicken Sie auf das Activity Map-Symbol neben einem Gerätenamen, um die Geräteverbindungen nach Protokoll während der Erkennung anzuzeigen. Wenn Sie beispielsweise eine laterale Bewegung Bewegungserkennung erhalten, können Sie herausfinden, ob das verdächtige Gerät über ein Fernsteuerungsprotokoll Verbindungen zu anderen Clients, IT-Servern oder Domänencontrollern in Ihrem Netzwerk hergestellt hat.
- Verfügbarkeit
- Eine Aktivitätsdiagramm ist verfügbar, wenn ein einzelner Client oder Server mit ungewöhnlichen L7-Protokollaktivitäten verknüpft ist, z. B. einer hohen Anzahl von HTTP-Fehlern oder DNS-Anforderungs-Timeouts.
Detaillierter Metrik Drilldown
Klicken Sie auf einen Link zur Detail-Metrik, um einen Metrikwert genauer zu betrachten. Eine Metrik-Detailseite wird angezeigt , auf der Messobjektwerte nach einem Schlüssel aufgelistet sind, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Fehler. Wenn bei Ihnen beispielsweise ein Reconnaissance Scan erkannt wird, können Sie einen Drilldown durchführen, um herauszufinden, welche Client-IP-Adressen während der Erkennung mit der ungewöhnlich hohen Anzahl von 404-Statuscodes verknüpft waren.
- Verfügbarkeit
- Die Drilldown-Option ist verfügbar für Erkennungen im Zusammenhang mit Topnset detaillierte Metriken.
Sparkline
Klicken Sie auf die Sparkline, um ein Diagramm zu erstellen, das die Quelle, das Zeitintervall und die Drilldown-Details der Erkennung enthält. Dieses Diagramm können Sie dann zur Überwachung zu einem Dashboard hinzufügen. Wenn Sie beispielsweise eine ungewöhnliche Anzahl von Remotesitzungen feststellen, erstellen Sie ein Diagramm mit SSH-Sitzungen für diesen Server und fügen Sie dieses Diagramm dann einem Dashboard zur Sitzungsverwaltung hinzu.
- Verfügbarkeit
- Die Sparkline-Option ist für Erkennungen verfügbar, die mit Metriken verknüpft waren und eine Dauer von über einer Stunde hatten. Für 1-Sekunden-Metriken ist eine Sparkline verfügbar, wenn die Dauer über 30 Sekunden lag.
Verwandte Erkennungen
Klicken Sie auf eine verwandte Erkennung , um Informationen über verdächtiges Verhalten und neu auftretende Angriffe bei mehreren Erkennungen mit gemeinsamen Teilnehmern zu erhalten. Beispielsweise könnte ein Opfer an der aktuellen Erkennung, das an einer späteren Erkennung als Täter teilnimmt, darauf hinweisen, dass das Gerät kompromittiert ist. Sie können zugehörige Erkennungsdetails anzeigen, um festzustellen, ob die Erkennungsereignisse ähnlich sind, und um zu sehen , welche anderen Geräte beteiligt sind.
- Verfügbarkeit
- Die entsprechende Zeitleiste für Erkennungen ist verfügbar, wenn es Erkennungen gibt, bei denen dieselben Opfer- oder Täterteilnehmer wie bei der aktuellen Erkennung aufgetreten sind. Ähnliche Erkennungen sind möglicherweise vor oder nach der aktuellen Erkennung aufgetreten.
Bedrohungsinformationen
Klicken Sie auf ein rotes Kamerasymbol um detaillierte Bedrohungsinformationen zu einem Bedrohungsindikator abzurufen.
Bedrohungsinformationen liefern bekannte Daten über verdächtige IP-Adressen, Hostnamen und URIs, die Ihnen helfen können , Risiken für Ihr Unternehmen zu identifizieren. Diese Datensätze, sogenannte Bedrohungssammlungen, sind standardmäßig in Ihrem RevealX-System und aus kostenlosen und kommerziellen Quellen in der Sicherheits-Community verfügbar.
- Verfügbarkeit
- Bedrohungsinformationen müssen auf Ihrem RevealX-System aktiviert sein, bevor Sie diese Indikatoren sehen können.
Untersuchen Sie Leistungserkennungen
Wenn eine interessante Erkennung auftritt, sollten Sie untersuchen, ob das erkannte Verhalten auf ein Problem mit niedriger Priorität oder auf ein potenzielles Problem hindeutet. Sie können Ihre Untersuchung direkt von der Erkennungskarte aus starten, die Links zu Daten im gesamten ExtraHop-System enthält.
- Gab es zu ungewöhnlichen oder unerwarteten Zeiten Erkennungen, z. B. bei Benutzeraktivitäten am Wochenende oder außerhalb der Geschäftszeiten?
- Erscheinen irgendwelche Erkennungen in großen Clustern auf der Timeline?
- Werden Erkennungen für hochwertige Endgeräte angezeigt?
- Sind Geräte, die an der Erkennung beteiligt sind, auch an anderen Erkennungen beteiligt?
Beginne deine Untersuchung
Lesen Sie den Titel und die Zusammenfassung der Erkennung, um zu erfahren, was die Erkennung verursacht hat.
Verfeinern Sie Ihre Untersuchung
Karten mit Erkennungsdetails enthalten zugehörige Daten zur Erkennung. Die Verfügbarkeit der Daten hängt von den Geräten und Metriken ab, die mit der Erkennung verknüpft sind. Nachdem Sie auf einen Link geklickt haben, können Sie zur Erkennungskarte zurückkehren, indem Sie im Navigationspfad auf den Namen der Erkennung klicken. Jede Untersuchungsoption wird in den folgenden Abschnitten beschrieben.
Ermittlungsdaten überprüfen
Die meisten Daten, die Sie benötigen, um eine Erkennung zu verstehen, zu validieren und zu untersuchen, werden auf der Erkennungsdetailseite angezeigt: Tabellen mit relevanten Metrikdaten, Datensatztransaktionen und Links zu Rohpaketen.
Klicken Sie auf einen Hostnamen, um zur Seite „Geräteübersicht" zu gelangen, oder klicken Sie mit der rechten Maustaste, um ein Diagramm mit diesem Gerät als Quelle und den entsprechenden Messwerten zu erstellen.
Name des Geräts
Klicken Sie auf einen Gerätenamen, um zur Seite „Geräteübersicht" zu gelangen, die die Rolle, Benutzer und Tags enthält, die mit diesem Gerät verknüpft sind. Klicken Sie im linken Bereich auf einen Protokollnamen, um alle mit dem Gerät verknüpften Protokollmetriken anzuzeigen. Auf der Protokollseite erhalten Sie einen vollständigen Überblick darüber, was dieses Gerät zum Zeitpunkt der Erkennung getan hat.
Wenn Sie beispielsweise feststellen, dass Datenbanktransaktionen fehlschlagen, können Sie sich über andere Aktivitäten im Zusammenhang mit dem Server informieren, der die Datenbank-Instance hostet.
- Verfügbarkeit
- Links zu Gerätenamen sind nur für Geräte verfügbar, die vom ExtraHop-System automatisch erkannt wurden. Remote-Geräte, die sich außerhalb Ihres Netzwerk befinden, werden durch ihre IP-Adressen dargestellt.
Karte der Aktivitäten
Klicken Sie auf das Activity Map-Symbol neben einem Gerätenamen, um die Geräteverbindungen nach Protokoll während der Erkennung anzuzeigen. Wenn Sie beispielsweise eine Erkennung von LDAP-Authentifizierungsfehlern erhalten, können Sie eine Aktivitätsdiagramm erstellen, um zu erfahren, welche Geräte während der Erkennung mit einem LDAP-Server verbunden waren.
- Verfügbarkeit
- Eine Aktivitätsdiagramm ist verfügbar, wenn ein einzelner Client oder Server mit ungewöhnlichen L7-Protokollaktivitäten in Verbindung gebracht wird, z. B. einer hohen Anzahl von HTTP-Fehlern oder Timeouts bei DNS-Anfragen.
Detaillierter Metrik Drilldown
Klicken Sie auf einen Link zur Detail-Metrik, um einen Metrikwert aufzuschlüsseln. Es wird eine Seite mit Detail-Metrik angezeigt , auf der Metrikwerte nach einem Schlüssel aufgelistet sind, z. B. Client-IP-Adresse, Server-IP-Adresse, Methode oder Fehler. Wenn Sie beispielsweise eine Authentifizierungserkennung für einen LDAP-Server erhalten, können Sie im Detail herausfinden, welche Client-IP-Adressen die ungültigen Anmeldedaten übermittelt haben, die zur Gesamtzahl der LDAP-Fehler beigetragen haben.
- Verfügbarkeit
- Die Drilldown-Option ist für Erkennungen verfügbar, die mit Topnset detaillierte Metriken.
Sparkline
Klicken Sie auf die Sparkline, um ein Diagramm zu erstellen, das die Quelle, das Zeitintervall und die Drilldown-Details der Erkennung enthält. Sie können es dann einem Dashboard zur zusätzlichen Überwachung hinzufügen. Wenn Sie beispielsweise Probleme mit dem Erkennung feststellen, können Sie ein Diagramm mit den 500 vom Server gesendeten Statuscodes erstellen und dieses Diagramm dann zu einem Dashboard über die Leistung der Website hinzufügen.
- Verfügbarkeit
- Die Sparkline-Option ist für Erkennungen verfügbar, die mit Metriken verknüpft waren.
Verwandte Erkennungen
Klicken Sie auf eine entsprechende Erkennung, um Informationen zu Netzwerk-, Anwendung- und Infrastrukturproblemen bei mehreren Erkennungen mit gemeinsamen Teilnehmern zu erhalten. Beispielsweise ist ein als Täter identifiziertes Gerät die wahrscheinliche Quelle eines Problems, z. B. ein Datenbankserver, der eine übermäßige Anzahl von Antwortfehlern sendet. Ein Gerät, das als Opfer identifiziert wurde, ist in der Regel negativ von dem Problem betroffen, z. B. bei Clients, bei denen langsame oder fehlgeschlagene Datenbanktransaktionen auftreten. Sie können zugehörige Erkennungsdetails anzeigen, um festzustellen, ob die Erkennungsereignisse ähnlich sind, um zu sehen, welche anderen Geräte beteiligt sind, und um Metrikdaten einzusehen.
- Verfügbarkeit
- Die zugehörige Erkennungszeitleiste ist verfügbar, wenn es Erkennungen gibt, an denen dieselben Opfer- oder Täterteilnehmer wie an der aktuellen Erkennung beteiligt sind. Ähnliche Erkennungen sind möglicherweise vor oder nach der aktuellen Erkennung aufgetreten.
Bedrohungsinformationen
Bedrohungsinformationen bieten Hinweise zu potenziellen Bedrohungen für Ihr Netzwerk.
- Branchenweite Sicherheitsereignisse, bei denen das ExtraHop-System Erkennungen im Zusammenhang mit bekannten Sicherheitslücken entdeckt.
- Sicherheitsanalyse-Briefings, die auf Ihr Netzwerk zugeschnittene Machine-Learning-Analysen bieten.
- (Nur RevealX 360.) Rückblickende Informationen zur Bedrohungsanalyse, in denen neue Bedrohungsindikatoren in aktualisierten, von Extrahop kuratierten Bedrohungsinformationen erkannt werden.
Bedrohungsinformationen enthalten Hinweise auf Scans, Exploits und Bedrohungsindikatoren (Kompromittierungsindikatoren), die im Zusammenhang mit der Bedrohung stehen. Die Informationen in jedem Briefing variieren je nach Art der Bedrohung. Die Informationen im Zusammenhang mit dem Briefing werden in der Cloud aktualisiert, sobald Details über das Kompromittierungsindikatoren, potenzielle Angriffsvektoren und bekannte Risiken bekannt werden.
Bedrohungsinformationen finden Sie in der oberen linken Ecke des Überblick über die Sicherheit Seite. Klicken Sie auf einen beliebigen Titel, um zur Detailseite für dieses Briefing zu gelangen. Die Detailseite wird aktualisiert, sobald weitere Informationen gefunden werden.
Hier sind einige Möglichkeiten, wie Sie den Überblick über Bedrohungsinformationen behalten können:
- Benachrichtigungsregel Bedrohungsübersicht Bedrohungsinformationen erstellen um E-Mails zu erhalten, wenn eine neue Bedrohungsübersicht erscheint.
- klicken Untersuchung erstellen von der Detailseite aus, um die mit dem Briefing verbundenen Entdeckungen zu einer Untersuchung hinzuzufügen.
- klicken Archiv-Briefing von der Detailseite aus, wenn Sie das Briefing nicht mehr überwachen möchten; das Briefing wird automatisch wiederhergestellt und eine Benachrichtigungs-E-Mail wird gesendet, wenn das Briefing aktualisiert wird. Ältere Briefings finden Sie im Abschnitt Archiviert auf der Seite Threat Briefing. klicken Briefing wiederherstellen auf der Detailseite, um das Briefing wieder in den aktiven Bereich der Seite Threat Briefing zu verschieben.
Benachrichtigungsregel Bedrohungsübersicht Bedrohungsinformationen erstellen
Sie können eine Benachrichtigungsregel erstellen, die eine Empfängerliste per E-Mail benachrichtigt, wenn eine neue Bedrohungsinformation veröffentlicht oder automatisch wiederhergestellt wird. Briefings werden automatisch wiederhergestellt, wenn sie mit Inhaltsänderungen oder neuen Erkennungen aktualisiert werden.
Before you begin
- Benutzern muss Zugriff auf das NDR-Modul gewährt werden und sie müssen Vollschreibzugriff haben Privilegien oder höher, um die Aufgaben in diesem Handbuch zu erledigen.
- Das ExtraHop-System muss verbunden mit ExtraHop Cloud Services um Benachrichtigungen per E-Mail zu senden.
- E-Mail-Benachrichtigungen werden von no-reply@notify.extrahop.com gesendet. Stellen Sie sicher, dass Sie diese Adresse zu Ihrer Liste der erlaubten Absender hinzufügen.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und dann klicken Regeln für Benachrichtigungen.
- klicken Erstellen.
- Geben Sie im Feld Name einen eindeutigen Namen für die Benachrichtigungsregel ein.
- Fügen Sie im Feld Beschreibung Informationen zur Benachrichtigungsregel hinzu.
- Wählen Sie im Abschnitt Ereignistyp Bedrohungsinformation.
- Geben Sie einzelne E-Mail-Adressen an, getrennt durch ein Komma.
- Klicken Sie im Bereich Optionen auf Kontrollkästchen „Benachrichtigungsregel aktivieren" um die Benachrichtigung zu aktivieren.
- klicken Speichern.
Bedrohungsinformationen
Bedrohungsinformationen liefern bekannte Daten über verdächtige IP-Adressen, Domänen, Hostnamen und URIs, die Ihnen helfen können, Risiken für Ihr Unternehmen zu identifizieren.
Video: | Sehen Sie sich die entsprechende Schulung an: Bedrohungsinformationen |
Bedrohungsinformationsdatensätze, sogenannte Bedrohungssammlungen, enthalten Listen verdächtiger Endpunkte, die als Indicators of Compromise (IOCs) bezeichnet werden.
Teilnehmer, die einer Bedrohungssammlung entsprechen, werden in
Erkennungen, Erkennungszusammenfassungen, Systemdiagrammen und Aufzeichnungen als Verdächtig markiert. (Bei
Crowdstrike-IOCs, bei denen das Konfidenzniveau hoch ist, wird der Teilnehmer als bösartig
markiert.) Aufzeichnungen, die den verdächtigen Eintrag enthalten, sind
mit einem Kamerasymbol gekennzeichnet. . In vielen Fällen führt eine Übereinstimmung des Indikators auch zu einer Erkennung der
verdächtigen Verbindung.
Sammlungen von Bedrohungen
Das ExtraHop-System unterstützt das Sammeln von Bedrohungen aus verschiedenen Quellen.
- Integrierte Bedrohungssammlungen
- Kuratierte Bedrohungssammlungen von ExtraHop und CrowdStrike Falcon sind standardmäßig in Ihrem ExtraHop-System verfügbar. Integrierte Sammlungen werden alle 6 Stunden aktualisiert. Du kannst integrierte Bedrohungssammlungen aktivieren oder deaktivieren von der Threat Intelligence-Seite.
- STIX-Datei-Uploads
- Kostenlose und kommerzielle Sammlungen, die von der Sicherheits-Community angeboten werden und in Structured Threat Information eXpression (STIX) als komprimierte TAR-Dateien wie .TGZ oder TAR.GZ formatiert sind, können manuell hochgeladen oder über die REST-API zu ExtraHop-Systemen. STIX Version 1.0 - 1.2 werden derzeit unterstützt. Sie müssen jede Bedrohungssammlung einzeln auf Ihre Konsole und alle angeschlossenen Sensoren hochladen.
- TAXII füttern
- Bedrohungssammlungen können über das TAXII-Protokoll (Trusted Automated Exchange of Intelligence Information) von einer zuverlässigen Quelle in Ihre Umgebung übertragen werden. Ein TAXII-Feed kann einen konsistenten Strom aktualisierter Bedrohungsindikatoren liefern. Du kannst füge einen TAXII-Feed hinzu von der Bedrohungsinformationen Seite.
Untersuchung von Bedrohungen
Nachdem das RevealX-System einen Indikator für eine Gefährdung festgestellt hat, wird die verdächtige IP-Adresse, Domain, Hostname oder URI in den Erkennungszusammenfassungen und auf einzelnen Erkennungskarten als Verdächtig oder Bösartig markiert. In Tabellen und Diagrammen sind Kompromissindikatoren mit einem Kamerasymbol gekennzeichnet, sodass Sie direkt in den Tabellen und Diagrammen, die Sie gerade ansehen, Nachforschungen anstellen können.
- Wenn die Bedrohungssammlung hinzugefügt oder aktualisiert wird, nachdem das System die verdächtige Aktivität beobachtet hat, werden Bedrohungsinformationen erst dann auf diese IP-Adresse, diesen Hostnamen oder URI angewendet, wenn die verdächtige Aktivität erneut auftritt.
- (Nur RevealX 360) Wenn eine integrierte ExtraHop- oder CrowdStrike-Bedrohungssammlung aktualisiert wird, führt das ExtraHop-System eine automatische Retrospektive Detection (ARD) durch, die nach neuen Domains, Hostnamen, URLs und IP-Adressen sucht, die auf eine Gefährdung in den Datensätzen der letzten 7 Tage hinweisen. Wenn eine Übereinstimmung gefunden wird, generiert das System eine rückwirkende Erkennung.
- Wenn Sie eine Bedrohungssammlung deaktivieren oder löschen, werden alle Indikatoren aus den zugehörigen Metriken und Datensätzen im System entfernt. Erkennungen, die für die Triage auf der Grundlage von Bedrohungsinformationen empfohlen werden, verbleiben im System, nachdem die zugehörige Sammlung deaktiviert wurde.
Hier sind einige Stellen im RevealX-System, an denen die Bedrohungsindikatoren angezeigt werden, die in Ihren Bedrohungssammlungen gefunden wurden:
Dashboard zur Erhöhung der Sicherheit
Das Region „Bedrohungsinformationen" enthält Kennzahlen für verdächtige Aktivitäten, die mit den Daten in Ihren Bedrohungssammlungen übereinstimmen. Wenn Sie auf eine beliebige Metrik klicken, z. B. auf HTTP-Anfragen mit verdächtigen Hosts, können Sie Details zu der Metrik aufrufen oder Datensätze für verwandte Transaktionen abfragen.
Perimeter im Überblick
In der Halo-Visualisierung sind alle Endpunkte, die mit Einträgen zur Bedrohungserfassung übereinstimmen, rot hervorgehoben.
Erkennungen
Eine Erkennung erfolgt, wenn im Netzwerkverkehr ein Indikator für eine Gefährdung aus einer Bedrohungssammlung erkannt wird.
Angaben zur IP-Adresse
Auf den IP-Adressdetailseiten werden vollständige Bedrohungsinformationen zu IP-Adressindikatoren für
kompromittierte IP-Adressen angezeigt.
Aufzeichnungen
- Klicken Sie unter der Facette Verdächtig auf Wahr um nach allen Datensätzen mit Transaktionen zu filtern, die mit verdächtigen IP-Adressen, Hostnamen und URIs übereinstimmen.
- Erstellen Sie einen Filter, indem Sie Verdächtige, Verdächtige IP, Verdächtige Domain oder Verdächtige URI aus dem Dreifeld-Dropdownmenü, einen Operator und einen Wert auswählen.
- Klicken Sie auf das rote Kamerasymbol um Bedrohungsinformationen einzusehen.
Bedrohungssammlungen verwalten
Before you begin
- Erfahre mehr über Bedrohungsinformationen.
- Das musst du haben System- und Zugriffsadministrationsrechte auf jeder Konsole und jedem Sensor zur Verwaltung von Bedrohungssammlungen.
- Wenn Ihre ExtraHop-Bereitstellung eine Konsole umfasst, empfehlen wir Ihnen Transfermanagement Verbinden Sie alle angeschlossenen Sensoren mit der Konsole, um die integrierten Bedrohungssammlungen in Ihrem gesamten System zu aktivieren oder zu deaktivieren.
Integrierte Bedrohungssammlungen aktivieren oder deaktivieren
Integrierte Bedrohungssammlungen von ExtraHop und CrowdStrike identifizieren Anzeichen für eine Gefährdung im gesamten System.
Laden Sie eine Bedrohungssammlung hoch
Laden Sie Bedrohungssammlungen aus kostenlosen und kommerziellen Quellen hoch, um im gesamten ExtraHop-System Anzeichen für eine Gefährdung zu identifizieren. Da Bedrohungsdaten häufig (manchmal täglich) aktualisiert werden, müssen Sie möglicherweise eine Bedrohungssammlung mit den neuesten Daten aktualisieren. Wenn Sie eine Bedrohungssammlung mit neuen Daten aktualisieren, wird die Sammlung gelöscht und ersetzt und nicht an eine bestehende Sammlung angehängt.
Im Folgenden finden Sie einige Überlegungen zum Hochladen von Bedrohungssammlungen.
- Benutzerdefinierte Bedrohungssammlungen müssen in Structured Threat Information eXpression (STIX) als komprimierte TAR-Dateien wie .TGZ oder TAR.GZ formatiert werden. RevealX unterstützt derzeit Uploads der STIX-Dateiversionen 1.0 - 1.2.
- Sie können Bedrohungssammlungen direkt auf RevealX 360 hochladen, um sie selbst zu verwalten Sensoren. Wenden Sie sich an den ExtraHop-Support, um eine Bedrohungssammlung auf ExtraHop-Managed hochzuladen Sensoren.
- Die maximale Anzahl an Observables, die eine Bedrohungssammlung enthalten kann, hängt von Ihrem Sensorspeicher und Ihrer Lizenz ab. Um sicherzustellen, dass Uploads innerhalb der Grenzen Ihrer Sensoren und Ihrer Lizenz erfolgreich sind, empfehlen wir, Sammlungen in Dateien mit weniger als 3.000 Observables mit einer Gesamtgröße von weniger als 1 Million Observables aufzuteilen. Weitere Informationen zu Lizenz- und Plattformbeschränkungen für das Hochladen von Bedrohungssammlungen erhalten Sie von Ihrem ExtraHop-Vertreter.
- Du kannst Laden Sie STIX-Dateien über die REST-API hoch.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Bedrohungsinformationen.
- Klicken Sie Benutzerdefinierte Sammlungen verwalten.
- Klicken Sie Neue Kollektion hochladen.
- Geben Sie im Feld Sammlungs-ID eine eindeutige Sammlungs-ID ein. Die ID darf nur alphanumerische Zeichen enthalten und Leerzeichen sind nicht zulässig.
- Klicken Sie Wählen Sie eine Datei und wähle eine .tgz Datei, die eine STIX enthält.
- Geben Sie einen Anzeigenamen in das Feld Anzeigename ein.
- Klicken Sie Sammlung hochladen.
- Wiederhole diese Schritte für alle Konsolen und jeder ist verbunden Sensor.
Einen TAXII-Feed hinzufügen
Bedrohungssammlungen können über das TAXII-Protokoll (Trusted Automated Exchange of Intelligence Information) in Ihre Umgebung übertragen werden.
TAXII-Feeds können in ihrer Qualität oder Relevanz für Ihre Umgebung variieren. Um die Genauigkeit zu gewährleisten und das Rauschen zu reduzieren, empfehlen wir, nur Feeds aus zuverlässigen Quellen hinzuzufügen, die qualitativ hochwertige Bedrohungsdaten liefern.
Before you begin
- TAXII-Feed-Indikatoren werden von ExtraHop Cloud Services verarbeitet. Das ExtraHop-System muss verbunden mit ExtraHop Cloud Services um einen TAXII-Feed hinzuzufügen.
- TAXII-Feeds können nur von Benutzern mit NDR-Modulzugriff und Verwaltung von einer Konsole aus verwaltet werden Privilegien.
- TAXII-Feed-Indikatoren werden nur an angeschlossene Sensoren geliefert, auf denen die Firmware-Versionen 9.6.0 und höher ausgeführt werden.
- RevealX unterstützt derzeit TAXII-Feeds für die TAXII-Versionen 2.0 - 2.1, die die STIX-Dateiversionen 2.0 - 2.1 enthalten
Informationen zur TAXII-Feed-Konfiguration werden im Abschnitt TAXII-Feed der Threat
Intelligence-Seite angezeigt, einschließlich des angegebenen Lookback-Zeitraums, der Abfragehäufigkeit und der
Gesamtzahl der im Feed enthaltenen Indikatoren. Die Tabelle TAXII Collections
enthält Details zu den einzelnen Sammlungen im Feed.
- Die Zeit, die für die Abfrage der TAXII-Feed- und Prozessindikatoren benötigt wird, basiert auf der Anzahl der Indikatoren im Feed. Als Referenz: Die Abfrage eines Feeds mit 500.000 Indikatoren im angegebenen Lookback-Zeitraum kann eine Stunde oder länger dauern.
- Indikatortypen, die vom ExtraHop-System nicht erkannt werden, gutartige Endpunktindikatoren und als gesperrt markierte Indikatoren werden bei der Umfrage aus dem Feed entfernt.
- In der TAXII-Sammeltabelle wird der Abholstatus mit einem Bindestrich (-) angezeigt, bis die Abholung auf dem neuesten Stand ist. Wenn dieser Status nicht auf aktuell gesetzt wird, testen Sie Ihre Verbindung zum TAXII-Server und überprüfen Sie dann Ihren TAXII-Feed-Anbieter, um sicherzustellen, dass die Sammlung noch im Feed vorhanden ist, dass Ihre Anmeldedaten Zugriff auf die Sammlung gewähren und dass Sie die vom Anbieter festgelegten Abfragelimits nicht überschritten haben. Ein teilweiser Aktualisierungsstatus wird angezeigt, wenn eine Sammlung während der Abfrage nicht vollständig aktualisiert wird. Teilaktualisierungen können erfolgen, wenn die Abfrage unerwartet unterbrochen wurde oder wenn ein Ratenlimit des Anbieters erreicht wurde.
Warnmeldungen
Mithilfe von Warnmeldungen können Sie leicht erkennen, wenn wichtige Ereignisse in Ihrem Netzwerk auftreten oder ob Bereiche sich nicht wie erwartet verhalten, z. B. Verstöße gegen den Softwarelizenzvertrag (SLA) oder langsame Datenbankreaktionszeiten.
Video: | Sehen Sie sich die entsprechende Schulung an: Warnmeldungen |
Konfigurierte Warnbedingungen bestimmen, wann eine Alarm generiert wird. Warnbedingungen sind eine Kombination aus Einstellungen, z. B. einem Zeitintervall, einem Metrikwert und Metrik Berechnungen, die für zugewiesene Datenquellen durchgeführt werden. Schwellenwert- oder Trendwarnungen basieren auf dem Wert der überwachten Metrik.
Benachrichtigungen konfigurieren
Konfigurieren Sie eine Alarm, um bestimmte Bedingungen zu überwachen und Warnmeldungen zu generieren, wenn diese Bedingungen in den zugewiesenen Datenquellen erfüllt sind.
- Schwellenwertwarnungen
- Schwellenwertbasierte Warnmeldungen werden generiert, wenn eine überwachte Metrik innerhalb eines bestimmten
Zeitintervalls einen definierten Wert überschreitet.
Erstellen Sie eine Schwellenwarnung, um Ereignisse wie Fehlerraten, die einen angenehmen Prozentsatz überschreiten, oder Verstöße gegen SLAs zu überwachen. Erfahren Sie, wie Sie einen Schwellenwertalarm konfigurieren.
- Trendwarnungen
- Trendbasierte Warnmeldungen werden generiert, wenn eine überwachte Metrik von den vom System beobachteten
normalen Trends abweicht. Trendwarnungen sind komplexer als
Schwellenwertwarnungen und eignen sich zur Überwachung von Metriktrends wie ungewöhnlich
hohen Round-Trip-Zeiten oder ungewöhnlich geringem Datenverkehr auf Speicherservern,
was auf ein fehlgeschlagenes Backup hindeuten könnte.
Erstellen Sie eine Trendwarnung, um zu überwachen, wenn eine Metrik vom normalen Verhalten abweicht und wo Schwellenwerte schwer zu definieren sind. Erfahren Sie, wie Sie eine Trendwarnung konfigurieren.
Darüber hinaus können Sie eine Alarm mit den folgenden Optionen konfigurieren:
- Legen Sie ein Ausschlussintervall fest um Warnmeldungen während bestimmter Zeiträume zu unterdrücken, z. B. während eines Wartungsfensters.
- Benachrichtigungen konfigurieren um eine E-Mail zu erhalten, wenn eine Alarm generiert wird.
Benachrichtigungen anzeigen
Auf der Seite Alerts wird eine Liste aller Alerts angezeigt, die während des angegebenen Zeitintervalls generiert wurden.
Wählen Sie einen der Filter oben auf der Seite aus, um die Liste anzupassen, oder klicken Sie auf einen Warnungsnamen , um Details zu der Alarm anzuzeigen.
- Art der Quelle
- Filtern Sie Benachrichtigungen, die Anwendungen oder Geräten zugewiesen sind.
- Schweregrad
- Filtern Sie Warnmeldungen nach Schweregrad.
- Art der Warnung
- Filtern Sie nach Schwellenwert-, Trend- oder Erkennungswarnungen.
Wichtig: Erkennungswarnungen sind veraltet und werden in einer zukünftigen Freigabe entfernt. Um Benachrichtigungen über Entdeckungen zu erhalten, eine Benachrichtigungsregel erstellen. - Seite
- Filtern Sie nach verbundenen Websites. (Nur erhältlich bei einem Konsole.)
Auf der Seite „Benachrichtigungen" werden die folgenden Informationen zu jeder Alarm angezeigt:
- Schweregrad
- Ein farbcodierter Indikator für den Schweregrad der Alarm. Sie können die folgenden Schweregrad festlegen: Notfall, Warnung, Kritisch, Fehler, Warnung, Hinweis, Info und Debug.
- Name der Warnung
- Der Name der konfigurierten Alarm. Klicken Sie auf den Namen der Alarm, um die Warnungsdetails anzuzeigen.
- Quelle
- Der Name der Quelle, in der die Warnbedingungen aufgetreten sind. Klicken Sie auf den Quellnamen, um zur Seite mit der Quellübersicht zu gelangen.
- Zeit
- Der Zeitpunkt, zu dem die Warnbedingungen zuletzt eingetreten sind.
- Art der Warnung
- Zeigt einen Trend- oder Schwellenwertalarm an.
Weitere Informationen zum Anzeigen von Benachrichtigungen finden Sie in den folgenden Themen
Einen Schwellenwertalarm konfigurieren
Konfigurieren Sie eine Schwellenwertalarm, um zu überwachen, wenn eine bestimmte Metrik eine definierte Grenze überschreitet. Sie können beispielsweise eine Alarm generieren, wenn ein HTTP 500-Statuscode innerhalb eines Zeitraums von zehn Minuten mehr als 100 Mal beobachtet wird.
Before you begin
Du musst haben volle Schreibrechte oder höher.Konfigurieren Sie eine Trendwarnung
Konfigurieren Sie eine Trendwarnung, um zu überwachen, wenn eine bestimmte Metrik von normalen Trends abweicht. Trendwarnungen sind nützlich, um Metriktrends wie ungewöhnlich hohe Round-Trip-Zeiten oder ungewöhnlich wenig Traffic auf Speicherservern zu überwachen, was auf ein fehlgeschlagenes Backup hindeuten könnte. Sie können beispielsweise eine Trendwarnung konfigurieren, die Warnmeldungen generiert, wenn ein Anstieg (75. Perzentil) der HTTP-Webserver-Verarbeitungszeit länger als 10 Minuten dauert und wenn der Metrikwert der Verarbeitungszeit um 100% über dem Trend liegt.
Before you begin
Du musst volle Schreibrechte oder höher.Hinzufügen einer Benachrichtigung zu einer Warnungskonfiguration
Konfigurieren Sie eine Alarm so, dass eine Benachrichtigung gesendet wird, wenn die Warnbedingung erfüllt ist.
Eine Alarm hinzufügen (RevealX Enterprise)
Sie können einer Warnungskonfiguration eine Benachrichtigung hinzufügen, die eine E-Mail an eine angegebene E-Mail-Adresse oder E-Mail-Gruppe sendet, wenn die Alarm auftritt. Die E-Mail enthält Warnungsdetails und einen Link zum Anzeigen der Warnquelle. Sie können auch Benachrichtigungen an einen SNMP-Listener senden.
Before you begin
- Das musst du haben volle Schreibrechte oder höher.
- Ihr ExtraHop-System muss konfiguriert, um Benachrichtigungen zu senden.
- Wenn Sie möchten, dass eine Alarm an mehrere E-Mail-Adressen gesendet wird, eine E-Mail-Gruppe konfigurieren.
- Wenn Sie Benachrichtigungen über SNMP senden möchten, den SNMP-Listener konfigurieren.
Eine Alarm hinzufügen (RevealX 360)
Sie können einer Warnungskonfiguration eine Benachrichtigung hinzufügen, die eine E-Mail an eine oder mehrere angegebene E-Mail-Adressen sendet, wenn die Alarm auftritt. Die E-Mail enthält Warnungsdetails und einen Link zum Anzeigen der Warnungsquelle.
Before you begin
Das musst du haben volle Schreibrechte oder höher.Einer Alarm ein Ausschlussintervall hinzufügen
Mit Ausschlussintervallen können Sie eine oder mehrere Benachrichtigungen in bestimmten Zeiträumen unterdrücken. Sie können beispielsweise eine Alarm außerhalb der Geschäftszeiten, am Wochenende oder während Wartungsfenstern unterdrücken.
Before you begin
Du musst volle Schreibrechte oder höher.Aufzeichnungen
Datensätze sind strukturierte Informationen über Transaktions-, Nachrichten- und Netzwerkflüsse, die generiert und vom ExtraHop-System an einen Recordstore gesendet werden. Nachdem Ihre Aufzeichnungen gesammelt und gespeichert wurden, können Sie sie im gesamten ExtraHop-System abfragen.
Aufzeichnungen werden auf zwei Protokollebenen gesammelt: L3 und L7. L3- (oder Fluss-) Datensätze zeigen Transaktionen auf Netzwerkebene zwischen zwei Geräten über das IP-Protokoll. L7-Datensätze zeigen Transaktionen, die nachrichtenbasiert (wie ActiveMQ, DNS und DHCP), transaktional (wie HTTP, CIFS und NFS) und sitzungsbasiert (wie SSL und ICA) sind.
Video: | Sehen Sie sich die entsprechende Schulung an: Aufzeichnungen |
Bevor du anfängst
- Sie müssen einen konfigurierten Recordstore haben, z. B. ExtraHop Recordstore, Splunk, Google BigQuery, oder CrowdStrike Falcon LogScale.
- Sie können nur einen Recordstore für das ExtraHop-System konfigurieren.
- Ihr ExtraHop-System muss für das Sammeln und Speichern konfiguriert sein Flussaufzeichnungen oder L7-Datensätze.
Verfeinern Sie Ihren Datensatzabfragefilter
Es gibt eine Reihe von Möglichkeiten, Ihren Datensatzabfragefilter zu verfeinern, um genau die Datensätze zu finden, nach denen Sie suchen. Die folgenden Abschnitte beschreiben jede Methode und zeigen Beispiele, mit denen Sie sich zunächst vertraut machen können.
Filtern der Datensatzergebnisse aus dem linken Bereich
Nachdem alle verfügbaren Datensätze für das gewählte Zeitintervall auf der Seite Datensätze angezeigt wurden, können Sie im linken Bereich filtern, um Ihre Ergebnisse zu verfeinern.
Das Typ des Datensatzes Das Drop-down-Menü zeigt eine Liste aller Datensatztypen an, für deren Erfassung und Speicherung Ihr ExtraHop-System konfiguriert ist. Ein Datensatztyp bestimmt, welche Daten gesammelt und im Recordstore gespeichert werden.
Hinweis: | Da Sie einen Auslöser schreiben müssen, um Datensätze zu sammeln, benötigen Sie eine Möglichkeit, den Typ der zu sammelnden Daten zu identifizieren. Es gibt integrierte Datensatztypen, die alle verfügbaren bekannten Felder für ein Protokoll sammeln. Sie können mit einem integrierten Datensatztyp (z. B. HTTP) beginnen und einen Auslöser schreiben, der nur die Felder für dieses Protokoll erfasst, die für Sie von Bedeutung sind (wie URI und Statuscode). Fortgeschrittene Benutzer können auch einen benutzerdefinierten Datensatztyp erstellen, wenn sie proprietäre Informationen sammeln müssen, die über einen integrierten Datensatztyp nicht verfügbar sind. |
Das Gruppieren nach In der Dropdownliste finden Sie eine Liste von Feldern, nach denen Sie den Datensatztyp weiter filtern können.
Das Ergebnisse verfeinern Dieser Abschnitt zeigt Ihnen eine Liste gängiger Datensatzfilter für den ausgewählten Datensatztyp mit der Anzahl der Datensätze, die dem Filter in Klammern entsprechen.
Filterung der Datensatzergebnisse durch das Dreifeld
Klicken Sie auf das Stiftsymbol um einen vorhandenen Filter zu bearbeiten, oder klicken Sie auf die Schaltfläche Advance Filter hinzufügen um einen neuen Filter hinzuzufügen.
In der Anzeigename des Filters Feld, Sie können einen beschreibenden Namen angeben, um den allgemeinen Zweck der Abfrage zu identifizieren.
Wählen Sie eine Kriterienoption aus dem Dropdownmenü aus (die Standardoption ist IPv4-Adresse), wählen Sie einen Operator aus (z. B. das Gleichheitszeichen (=)), und geben Sie dann den Suchwert ein. Klicken Sie Filter hinzufügen, und der Filter wird über der Filterleiste hinzugefügt.
Ihre Ergebnisse zeigen nur Datensätze, die dem Filter entsprechen.
Die folgenden Operatoren können basierend auf dem ausgewählten Feldnamen ausgewählt werden:
Betreiber | Beschreibung |
---|---|
= | Ist gleich |
≈ | Ist nicht gleich |
≈ | Beinhaltet Wenn Datensätze in einem ExtraHop-Recordstore gespeichert sind, entspricht der Include-Operator ganzen Wörtern, die durch Leerzeichen und Satzzeichen getrennt sind. Beispielsweise würde eine Suche nach „www.extra" auf „www.extra.com", aber nicht auf „www.extrahop.com" passen. Bei allen anderen Datensatzspeichern entspricht der Include-Operator Teilzeichenfolgen, einschließlich Leerzeichen und Satzzeichen. Beispielsweise würde eine Suche nach „www.extra" mit „www.extrahop.com" übereinstimmen, aber eine Suche nach „www extra" würde nicht mit „www.extrahop.com" übereinstimmen. Regex- und Platzhalterzeichen werden nicht unterstützt. |
≈/ | Schließt aus Wenn Datensätze in einem ExtraHop-Recordstore gespeichert sind, entspricht der Ausschlussoperator ganzen Wörtern, die durch Leerzeichen und Satzzeichen getrennt sind. Beispielsweise würde eine Suche nach „extra" zwar „www.extra.com" ausschließen, aber nicht „www.extrahop.com". Bei allen anderen Datensatzspeichern entspricht der Operator excludes Teilzeichenfolgen, einschließlich Leerzeichen und Satzzeichen. Beispielsweise würde eine Suche nach „www.extra" „www.extrahop.com" ausschließen, aber eine Suche nach „www extra" würde „www.extrahop.com" nicht ausschließen. Regex - und Platzhalterzeichen werden nicht unterstützt. |
< | Weniger als |
≤ | Weniger als oder gleich |
> | Größer als |
≥ | Größer als oder gleich |
beginnt mit | Beginnt mit |
existiert | Existiert |
geht nicht | Existiert nicht |
Direktes Filtern aus Datensatzergebnissen
Sie können jeden Feldeintrag auswählen, der in Ihren Datensatzergebnissen entweder in der Tabellenansicht oder in der ausführlichen Ansicht angezeigt wird, und dann auf den Popup-Operator klicken, um den Filter hinzuzufügen. Filter werden unter der Diagrammzusammenfassung angezeigt (mit Ausnahme des Feld Datensatztyp, das im linken Bereich geändert wurde).
Datensätze im ExtraHop-System finden
- Geben Sie einen Suchbegriff in das globale Suchfeld oben auf dem Bildschirm ein und klicken Sie auf Datensätze durchsuchen, um eine Abfrage für alle gespeicherten Datensätze zu starten.
- Klicken Sie auf einer Geräteübersichtsseite auf Rekorde um eine nach diesem Gerät gefilterte Abfrage zu starten.
- Klicken Sie auf einer Übersichtsseite für Gerätegruppe auf Aufzeichnungen ansehen um eine nach dieser Gerätegruppe gefilterte Abfrage zu starten.
- Klicken Sie auf einer Erkennungskarte auf Datensätze anzeigen, um eine Abfrage zu starten, die mit den Transaktionen gefiltert wird, die mit der Erkennung verknüpft sind.
- Klicken Sie auf das Datensatzsymbol aus einem Diagramm-Widget, wie in der folgenden Abbildung dargestellt.
- Klicken Sie auf das Datensatzsymbol neben einer Detail-Metrik, nachdem Sie sich eine Top-Level-Metrik genauer angesehen haben. Klicken Sie beispielsweise nach der Aufschlüsselung der HTTP-Antworten nach Server auf das Symbol Datensätze, um eine Abfrage für Datensätze zu erstellen, die eine bestimmte Server-IP-Adresse enthalten.
Abfrage nach gespeicherten Datensätzen
Sie können Datensätze, die im Recordstore gespeichert sind, mit einer Standardsuche oder mit AI Search Assistant abfragen.
- Erfahren Sie mehr über das Abfragen von Datensätzen mit einer Standardsuche.
- Erfahren Sie mehr über das Abfragen von Datensätzen mit dem AI Search Assistant.
- Informationen zum Abfragen eines bestimmten Datensatz finden Sie in unserer exemplarischen Vorgehensweise für Fehlende Webressourcen entdecken.
- Du kannst auch automatisiere diese Aufgabe über die REST-API.
Nächste Maßnahme
Hinweis: | Um eine Datensatzabfrage für eine benutzerdefinierte Metrik zu erstellen, müssen Sie zunächst die Datensatzbeziehung definieren, indem Sie Verknüpfung der benutzerdefinierten Metrik mit einem Datensatztyp. |
Datensätze mit einer Standardsuche abfragen
Auf der Seite „Datensätze" können Sie einen komplexen Filter für die Suche nach Datensätzen erstellen.
- Sie können mehrere Kriterien mit den Operatoren OR (Match Any), AND (Match All) und NOT angeben.
- Sie können Filter gruppieren und innerhalb jeder Gruppe auf vier Ebenen verschachteln.
- Sie können eine Filtergruppe bearbeiten, nachdem Sie sie erstellt haben, um
Nächste Maßnahme
- Du kannst Abfrageergebnisse anzeigen und aufschlüsseln.
- Du kannst verfeinern Sie Ihren Datensatzabfragefilter.
- Sie können auf das Symbol Speichern klicken. von oben rechts auf der Seite, um Ihren Filter für ein anderes Mal zu speichern.
- Sie können auf ein Paketsymbol neben einem Datensatz klicken, um einen zu starten Paketabfrage das nach diesem Datensatz gefiltert wird, oder klicken Sie auf den Abfrage-Link am Ende der Tabelle, um eine Paketabfrage für alle angezeigten Datensätze zu starten.
Datensätze mit AI Search Assistant abfragen
Mit dem AI Search Assistant können Sie nach Datensätzen mit Fragen suchen, die in natürlicher, alltäglicher Sprache verfasst sind. So können Sie im Vergleich zur Erstellung einer Standardsuchabfrage mit denselben Kriterien schnell komplexe Abfragen erstellen.
Wenn Sie beispielsweise abfragen: „Gab es in den letzten 7 Tagen verdächtige HTTP-Transaktionen mit Dateien?" , die folgende AI Search Assistant-Abfrage wird angezeigt:
Time Interval = Last 2 days and Record Type = [HTTP] Suspicious = True and File Observed = True
Hier sind einige Dinge, die Sie bei der Suche nach Geräten mit AI Search Assistant beachten sollten:
- Eingabeaufforderungen werden denselben Datensatzfilterkriterien zugeordnet, die Sie beim Erstellen einer Standardsuche angeben.
- Eingabeaufforderungen können absolute und relative Zeitbereiche enthalten, z. B. „Zeige mir Traffic mit potenziellem SQLi in den letzten 7 Tagen". Das aktuelle Jahr wird verwendet, wenn für ein Datum kein Jahr enthalten ist.
- Die Eingabeaufforderungen sollten so klar und präzise wie möglich sein. Wir empfehlen Ihnen, einige Variationen zu schreiben, um Ihre Ergebnisse zu maximieren.
- Das ExtraHop-System ist möglicherweise nicht in der Lage, eine Abfrage zu verarbeiten, die Anfragen nach Datensatzinformationen enthält, die außerhalb der verfügbaren Filter liegen.
- Das ExtraHop-System kann Benutzeranweisungen zur Produktverbesserung speichern. Wir empfehlen, dass Sie in Ihren Eingabeaufforderungen keine urheberrechtlich geschützten oder vertraulichen Daten angeben.
- Sie können die Abfragefilterkriterien bearbeiten, um die Suchergebnisse zu verfeinern.
Before you begin
- Ihr ExtraHop-System muss verbunden mit ExtraHop Cloud Services.
- Der AI Search Assistant muss von Ihrem ExtraHop-Administrator aktiviert werden.
Nächste Maßnahme
- Du kannst Abfrageergebnisse anzeigen und aufschlüsseln.
- Du kannst verfeinern Sie Ihren Datensatzabfragefilter.
- Sie können auf das Symbol Speichern klicken von oben rechts auf der Seite, um Ihren Filter für ein anderes Mal zu speichern.
- Sie können auf ein Paketsymbol neben einem Datensatz klicken, um einen zu starten Paketabfrage das nach diesem Datensatz gefiltert wird, oder klicken Sie auf den Abfrage-Link am Ende der Tabelle, um eine Paketabfrage für alle angezeigten Datensätze zu starten.
Aufzeichnungen sammeln
Bestimmte Arten von Datensätzen sind standardmäßig für die Erfassung aktiviert. Sie können die Arten von Datensätzen, die gesammelt und an Ihren Recordstore gesendet werden, hinzufügen oder daraus entfernen Einstellungen//Aufzeichnungen Seite. Diese Datensätze enthalten hauptsächlich Informationen über Nachrichten, Transaktionen und Sitzungen, die über gängige L7-Protokolle wie DNS, HTTP und SSL gesendet werden.
Wenn Sie nur bestimmte Details aus Transaktionen sammeln möchten, können Sie benutzerdefinierte Datensätze über die ExtraHop-Trigger-API .
Hinweis: | Du kannst verwalte diese Einstellungen zentral von einer Konsole aus. |
Erfahre mehr über ExtraHop Records.
Before you begin
Sie müssen über einen konfigurierten Recordstore verfügen, z. B. ExtraHop Recordstore, Splunk, oder Google BigQuery.Flow-Aufzeichnungen sammeln
Sie können automatisch alle Datenflussdatensätze erfassen und speichern, bei denen es sich um Kommunikation auf Netzwerkebene zwischen zwei Geräten über ein IP-Protokoll handelt. Wenn Sie diese Einstellung aktivieren, aber keine IP-Adressen oder Portbereiche hinzufügen, werden alle erkannten Flussdatensätze erfasst. Die Konfiguration von Flow-Datensätzen für die automatische Erfassung ist ziemlich einfach und kann eine gute Möglichkeit sein, die Konnektivität zu Ihrem Recordstore zu testen.
Before you begin
Sie müssen Zugriff auf ein ExtraHop-System haben mit System- und Zugriffsadministrationsrechte.Sammeln Sie L7-Datensätze mit einem Auslöser
L7-Protokolle können über eine globale Triggerfunktion als Datensatz festgeschrieben (gesammelt und gespeichert) werden. L7-Datensätze umfassen Nachrichten, Transaktionen und Sitzungen, die über gängige L7-Protokolle wie DNS, HTTP und SSL gesendet werden.
In den folgenden Schritten erfahren Sie, wie Sie Datensätze für jedes Gerät sammeln, das eine HTTP-Antwort sendet oder empfängt.
Erfahre mehr über ExtraHop Records.
Zunächst schreiben wir einen Auslöser, um Informationen aus dem integrierten HTTP-Datensatztyp mit der Methode commitRecord () zu sammeln, die für alle verfügbar ist Protokollklassen. Die grundlegende Trigger-Syntax lautet <protocol>.commitRecord(). Dann weisen wir den Auslöser einem Server zu. Schließlich werden wir überprüfen, ob die Aufzeichnungen an den Recordstore gesendet werden.
Before you begin
- Sie müssen über einen konfigurierten Recordstore verfügen, z. B. ExtraHop Recordstore, Splunk, oder Google BigQuery
- Diese Anweisungen setzen eine gewisse Vertrautheit voraus mit ExtraHop-Trigger, für die Erfahrung mit JavaScript erforderlich ist. Alternativ können Sie L7-Datensatzsammlung konfigurieren durch das ExtraHop-System.
Nächste Maßnahme
Warten Sie einige Minuten, bis die Datensätze erfasst wurden, und überprüfen Sie dann im nächsten Schritt, ob Ihre Datensätze erfasst werden, indem Sie auf Rekorde aus dem oberen Menü und dann klicken Aufzeichnungen ansehen um eine Abfrage zu starten.Wenn Sie nach 5 Minuten keine HTTP-Einträge sehen, klicken Sie auf Debug-Protokoll Klicken Sie unten auf der Seite im Trigger-Editor auf einen Tab, um zu sehen, ob es Fehler gibt, die Sie beheben können. Wenn der Auslöser ausgeführt wird, wird die Meldung „HTTP-Antworten übergeben" angezeigt. Wenn nach der Ausführung des Auslöser keine Datensätze angezeigt werden, wenden Sie sich an ExtraHop-Unterstützung.
Sammeln Sie benutzerdefinierte Datensätze
Sie können die Art der Datensatzdetails, die Sie generieren und in einem Recordstore speichern, anpassen, indem Sie einen Auslöser schreiben. Wir empfehlen, dass Sie auch ein Datensatzformat erstellen, um zu steuern, wie die Datensätze im ExtraHop-System angezeigt werden.
Before you begin
- Diese Anweisungen setzen eine gewisse Vertrautheit mit ExtraHop voraus Auslöser.
- Wenn Sie mit einem Google BigQuery-Datensatzspeicher verbunden sind, gilt für benutzerdefinierte Datensätze ein Limit von 300.
Im folgenden Beispiel erfahren Sie, wie Sie nur Datensätze für HTTP-Transaktionen speichern, die zu einem 404-Statuscode führen. Zunächst schreiben wir einen Auslöser, um Informationen aus dem integrierten HTTP-Datensatztyp zu sammeln. Dann weisen wir den Auslöser einem Server zu. Schließlich erstellen wir ein Datensatzformat, um ausgewählte Datensatzfelder in der Tabellenansicht für unsere Datensatzabfrageergebnisse anzuzeigen.
Einen Auslöser schreiben und zuweisen
Beachten Sie, dass der Auslöser auf jedem erstellt werden muss Sensor von denen Sie diese Arten von Datensätzen sammeln möchten. Sie können den Auslöser auf einem erstellen Konsole um Ihre benutzerdefinierten Datensätze von allen verbundenen zu sammeln Sensoren.
Erstellen Sie ein benutzerdefiniertes Datensatzformat, um Ihre Datensatzergebnisse in einer Tabelle anzuzeigen
Datensatzformate sind die empfohlene Methode, um Ihre Datensätze nur mit den Feldern anzuzeigen, die Sie sehen möchten. Ohne ein benutzerdefiniertes Datensatzformat werden die Felder für Ihren benutzerdefinierten Datensatz in keiner auswählbaren Liste angezeigt, z. B. in der Liste Gruppieren nach.
Einstellungen für das Aufzeichnungsformat
Die Einstellungen für das Aufzeichnungsformat Auf dieser Seite wird eine Liste aller integrierten und benutzerdefinierten Aufzeichnungsformate angezeigt, die auf Ihren ExtraHop-Sensoren oder Ihrer Konsole verfügbar sind. Wenn Sie ein benutzerdefiniertes Datensatzformat erstellen müssen, empfehlen wir Ihnen, das Schema zu kopieren und in gelesene Informationen aus einem integrierten Datensatzformat einzufügen. Fortgeschrittene Benutzer möchten möglicherweise ein benutzerdefiniertes Datensatzformat mit ihren eigenen Feld-Wert-Paaren erstellen und sollten das in diesem Abschnitt bereitgestellte Referenzmaterial verwenden.
- Name anzeigen
- Der Name, der für das Datensatzformat im ExtraHop-System angezeigt wird. Wenn es kein Datensatzformat für den Datensatz gibt, wird der Datensatztyp angezeigt.
- Autor
- (Optional) Der Autor des Datensatzformat. Alle integrierten Aufzeichnungsformate werden angezeigt ExtraHop als Autor.
- Art des Datensatzes
- Ein eindeutiger alphanumerischer Name, der den Informationstyp identifiziert, der im zugehörigen Datensatzformat enthalten ist. Der Datensatztyp verknüpft das Datensatzformat mit den Datensätzen, die an den Recordstore gesendet werden. Integrierte Aufzeichnungsformate haben einen Datensatztyp, der mit einer Tilde (~) beginnt. Benutzerdefinierte Datensatzformate können keinen Datensatztyp haben, der mit einer Tilde (~) oder einem AT-Symbol (@) beginnt.
- Schema beim Lesen
- Ein Array im JSON-Format mit mindestens einem Objekt, das aus einem Feldnamen- und
Wertepaar besteht. Jedes Objekt beschreibt ein Feld im Datensatz, und jedes Objekt muss eine
eindeutige Kombination aus Name und Datentyp für dieses Datensatzformat haben. Sie können die
folgenden Objekte für ein benutzerdefiniertes Datensatzformat erstellen:
- Name
- Der Name des Feldes.
- Anzeigename
- Der Anzeigename für das Feld. Wenn der display_name Feld ist leer, das name Feld wird angezeigt.
- Beschreibung
- (Optional) Beschreibende Informationen zum Datensatzformat. Dieses Feld ist auf die Seite mit den Einstellungen für das Datensatzformat beschränkt und wird in keiner Datensatzabfrage angezeigt.
- default_visible
- (Optional) Wenn gesetzt auf true, wird dieses Feld im ExtraHop-System standardmäßig als Spaltenüberschrift in der Tabellenansicht angezeigt.
- Facette
- (Optional) Wenn gesetzt auf true, Facetten für dieses Feld werden im ExtraHop-System angezeigt. Facetten sind eine kurze Liste der häufigsten Werte für das Feld, auf die Sie klicken können, um einen Filter hinzuzufügen.
- Datentyp
- Die Abkürzung, die den Typ der in diesem Feld gespeicherten Daten identifiziert. Die
folgenden Datentypen werden unterstützt:
Art der Daten Abkürzung Beschreibung Anwendung app ExtraHop-Anwendungs-ID (Zeichenfolge) boolesch b Boolescher Wert Gerät dev ExtraHop-Geräte-ID (Zeichenfolge) Flussschnittstelle fint Flow-Schnittstellen-ID Flussnetz fnet Flow-Netzwerk-ID IPv4 addr4 Eine IPv4-Adresse im Dotted-Quad-Format. Filter, die größer oder kleiner als sind, werden unterstützt. IPv6 addr6 Eine IPv6-Adresse. Es werden nur string-orientierte Filter unterstützt. Nummer n Zahl (Ganzzahl oder Fließkomma) Schnur s Generische Zeichenfolge - metatyp
- Die Unterklassifizierung des Datentyps, die weiter bestimmt, wie die
Informationen im ExtraHop-System angezeigt werden. Die folgenden Metatypen werden für
jeden der zugehörigen Datentypen unterstützt:
Art der Daten Metatyp Schnur - domain
- uri
- user
Zahl - bytes
- count
- expiration
- milliseconds
- packets
- timestamp
Datensatzabfragen für benutzerdefinierte Metriken aktivieren
Benutzerdefinierte Metriken werden in der Regel erstellt, um spezifische Informationen über Ihre Umgebung zu sammeln. Sie können Einstellungen konfigurieren, mit denen Sie Datensätze auf Transaktionsebene, die einer benutzerdefinierten Metrik zugeordnet sind, abfragen und abrufen können. Im Metrikkatalog können Sie im Bereich Datensatzbeziehungen eine benutzerdefinierte Metrik einem Datensatztyp zuordnen. Wenn Sie nach Datensätzen aus dieser benutzerdefinierten Metrik abfragen würden, würden Sie Ergebnisse für alle Datensätze dieses Datensatztyps zurückgeben, unabhängig von den anderen Attributen, die für Ihre benutzerdefinierte Metrik konfiguriert sind. Wir empfehlen Ihnen, Filter hinzuzufügen, um aussagekräftige Ergebnisse für Ihre Datensatzabfragen zurückzugeben.
Durch das Einstellen erweiterter Filter filtern Sie Datensätze automatisch nach den angegebenen Kriterien. Erweiterte Filter sind komplex und können auf vier Ebenen verschachtelt werden.
Before you begin
Erstellen Sie eine benutzerdefinierte MetrikNächste Maßnahme
- Erstellen Sie eine Datensatzabfrage für Ihre benutzerdefinierte Metrik, indem Sie in einem Diagramm auf die Metrik klicken und dann auf Rekorde.
Pakete
Ein Netzwerkpaket ist eine kleine Datenmenge, die über TCP/IP-Netzwerke (Transmission Control Protocol/Internet Protocol) gesendet wird. Das ExtraHop-System ermöglicht es Ihnen, diese Pakete kontinuierlich mit einer Trace-Appliance zu sammeln, zu durchsuchen und herunterzuladen. Dies kann nützlich sein, um Netzwerkeinbrüche und andere verdächtige Aktivitäten zu erkennen.
Sie können auf der Seite Pakete im ExtraHop-System nach Paketen suchen und diese herunterladen und über Paketsuche Ressource in der ExtraHop REST-API. Heruntergeladene Pakete können dann mit einem Drittanbieter-Tool wie Wireshark analysiert werden.
Hinweis: | Wenn Sie keine Trace-Appliance haben, können Sie Pakete trotzdem über löst aus. siehe Initiieren Sie präzise Paketerfassungen, um Bedingungen ohne Fenster zu analysieren für ein Beispiel. |
Video: | Sehen Sie sich die entsprechende Schulung an: Pakete |
Pakete werden heruntergeladen
Sie können die Abfrageergebnisse zusammen mit den SSL-Sitzungsschlüsseln und den Paketen zugehörigen Dateien zur Analyse in eine Paketerfassungsdatei (PCAP-Datei) herunterladen.
Download-Optionen sind im Drop-down-Menü oben rechts verfügbar. Klicken Sie auf eine Option, damit Ihr Browser die Datei auf Ihren lokalen Computer herunterladen kann.
Hier sind einige Überlegungen zum Herunterladen von Paketen und Extrahieren von Dateien:
- Die im Dropdownmenü angezeigten Download-Optionen hängen von Ihren Abfrageergebnissen ab. Wenn den Paketen beispielsweise keine Sitzungsschlüssel zugeordnet sind, werden möglicherweise nur Optionen zum Herunterladen von PCAP und zum Extrahieren von Dateien angezeigt.
- Wenn du Sitzungsschlüssel herunterladen, können Sie die Paketerfassungsdatei in einem Tool wie Wireshark öffnen, das die Sitzungsschlüssel anwenden und die entschlüsselten Pakete anzeigen kann.
- Dateiextraktion (auch bekannt als File Carving) ist verfügbar, wenn Dateien in
Paketen mit HTTP- oder CIFS-Einträgen beobachtet werden.
Hinweis: Auf der Seite „ Datensätze" können Sie nach HTTP- oder CIFS-Datensatztypen suchen und nach beobachteter Datei filtern. Klicken Sie auf das Paketsymbol neben dem Datensatz, der Dateien enthält, die Sie extrahieren möchten. - Extrahierte Dateien werden in einer ZIP-Datei heruntergeladen und enthalten unverschlüsselten Originalinhalt, der schädliche Daten enthalten kann.
- Der für jede Download-Option erforderliche Modulzugriff wird in der folgenden
Tabelle beschrieben:
Option herunterladen Modul erforderlich Paketforensik erforderlich PCAP+-Sitzungsschlüssel herunterladen NDR oder NPM Pakete und Sitzungsschlüssel PCAP herunterladen NDR oder NPM Nur Pakete Sitzungsschlüssel herunterladen NDR oder NPM Pakete und Sitzungsschlüssel Dateien extrahieren NDR Nur Pakete oder Pakete und Sitzungsschlüssel
Pakete im ExtraHop-System abfragen
Die Seite Pakete bietet zwar schnellen Zugriff, um alle Pakete abzufragen, aber es gibt Indikatoren und Links, über die Sie im gesamten ExtraHop-System eine Paketabfrage starten können.
- Geben Sie eine IP-Adresse in das globale Suchfeld ein und wählen Sie dann das
Symbol Pakete durchsuchen
.
- Klicken Sie Pakete auf einer Geräteseite.
- Klicken Sie auf das Paketsymbol neben einem beliebigen Datensatz auf der Ergebnisseite einer Datensatzabfrage.
- Klicken Sie in einem Diagramm mit Metriken für Netzwerkbytes oder
Pakete nach IP-Adresse auf eine IP-Adresse oder einen Hostnamen, um ein Kontextmenü aufzurufen. Klicken Sie dann auf das Paketsymbol um
das Gerät und das Zeitintervall abzufragen.
Konfigurieren Sie eine globale PCAP
Eine globale PCAP erfasst jedes Paket, das an das ExtraHop-System gesendet wird, für die Dauer, die den Kriterien entspricht.
- Klicken Sie auf RevealX Enterprise-Systemen auf Pakete aus dem
Hauptmenü und dann auf PCAP herunterladen.
Um das Auffinden Ihrer PCAP zu erleichtern, klicken und ziehen Sie auf die Zeitleiste der Paketabfrage, um den Zeitraum auszuwählen, in dem Sie die PCAP gestartet haben.
- Klicken Sie auf ExtraHop Performance-Systemen auf das Symbol Systemeinstellungen , klicken Die gesamte Verwaltung, und klicken Sie dann auf Paketerfassungen anzeigen und herunterladen im Abschnitt Paketerfassung.
Analysieren Sie eine Paketerfassungsdatei
Der Offline-Erfassungsmodus ermöglicht es Administratoren, eine mit einer Paketanalyse-Software wie Wireshark oder tcpdump aufgezeichnete Capture-Datei in das ExtraHop-System hochzuladen und zu analysieren.
Hier sind einige wichtige Überlegungen, bevor Sie den Offline-Aufnahmemodus aktivieren:
- Wenn die Erfassung in den Offline-Modus versetzt wird, wird der Systemdatenspeicher zurückgesetzt. Alle zuvor aufgezeichneten Metriken werden aus dem Datenspeicher gelöscht. Wenn das System in den Online-Modus versetzt wird, wird der Datenspeicher erneut zurückgesetzt.
- Im Offline-Modus werden keine Metriken von der Erfassungsoberfläche erfasst, bis das System wieder in den Online-Modus versetzt wird.
- Es werden nur Erfassungsdateien im PCAP-Format unterstützt. Andere Formate wie pcpapng werden nicht unterstützt.
Stellen Sie den Offline-Aufnahmemodus ein
Bringen Sie das System in den Live-Aufnahmemodus zurück
- In der Konfiguration des Systems Abschnitt, klicken Aufnehmen (offline).
- klicken Capture neu starten.
- Wählen Lebe, und klicken Sie dann auf Speichern.
Pakete mit der Berkeley-Paketfilter-Syntax filtern
Suchen Sie nach Paketen mit der Berkeley Packet Filter (BPF) -Syntax allein oder in Kombination mit den integrierten Filtern.
Berkeley-Paketfilter sind eine einfache Schnittstelle zu Datenverbindungsebenen und ein leistungsstarkes Tool für die Analyse der Erkennung von Eindringlingen. Die BPF-Syntax ermöglicht es Benutzern, Filter zu schreiben, die schnell nach bestimmten Paketen suchen, um die wichtigsten Informationen zu sehen.
Das ExtraHop-System erstellt einen synthetischen Paket-Header aus den Paketindexdaten und führt dann die BPF-Syntaxabfragen für den Paket-Header aus, um sicherzustellen, dass Abfragen viel schneller sind als das Scannen der gesamten Paketnutzlast. Beachten Sie, dass ExtraHop nur eine Teilmenge der BPF-Syntax unterstützt. siehe Unterstützte BPF-Syntax.
Die BPF-Syntax besteht aus einem oder mehreren Primitiven, denen ein oder mehrere Qualifikatoren vorangestellt sind. Primitive bestehen normalerweise aus einer ID (Name oder Nummer), der ein oder mehrere Qualifikatoren vorangestellt sind. Es gibt drei verschiedene Arten von Qualifikationsspielen:
- Art
- Qualifikatoren, die angeben, auf welchen Typ sich der ID-Name oder die ID-Nummer bezieht. Zum Beispiel host, net, port, und portrange. Wenn es kein Qualifikationsmerkmal gibt, host wird angenommen.
- dir
- Qualifier, die eine bestimmte Übertragungsrichtung zu und/oder von einer ID angeben. Mögliche Richtungen sind src, dst, src and dst, und src or dst. Zum Beispiel dst net 128.3.
- Proto
- Qualifikatoren, die die Übereinstimmung auf das jeweilige Protokoll beschränken. Mögliche Protokolle sind ether, ip, ip6, tcp, und udp.
Unterstützte BPF-Syntax
Das ExtraHop-System unterstützt die folgende Teilmenge der BPF-Syntax zum Filtern von Paketen.
Hinweis: |
|
Primitiv | Beispiele | Beschreibung |
---|---|---|
[src|dst] host <host ip> |
host 203.0.113.50
dst host 198.51.100.200 |
Entspricht einem Host als IP-Quelle, Ziel oder einer der beiden. Diese Host-Ausdrücke können in Verbindung mit anderen Protokollen wie ip, arp, rarp oder ip6 angegeben werden. |
ether [src|dst] host <MAC> |
ether host 00:00:5E:00:53:00
ether dst host 00:00:5E:00:53:00 |
Entspricht einem Host als Ethernet-Quelle, Ziel oder einer der beiden. |
vlan <ID> | vlan 100 | Entspricht einem VLAN. Gültige ID-Nummern sind 0-4095. Die
VLAN-Prioritätsbits sind Null. Wenn das ursprüngliche Paket mehr als ein VLAN-Tag hatte, hat das synthetische Paket, mit dem der BPF übereinstimmt, nur das innerste VLAN-Tag. |
[src|dst] portrange <p1>-<p2>
oder [tcp|udp] [src|dst] portrange <p1>-<p2> |
src portrange 80-88
tcp dst portrange 1501-1549 |
Ordnet Pakete zu oder von einem Port im angegebenen Bereich zu. Protokolle können auf einen Portbereich angewendet werden, um bestimmte Pakete innerhalb des Bereichs zu filtern. |
[ip|ip6][src|dst] proto <protocol> |
proto 1
src 10.4.9.40 and proto ICMP ip6 and src fe80::aebc:32ff:fe84:70b7 and proto 47 ip and src 10.4.9.40 and proto 0x0006 |
Entspricht anderen IPv4- oder IPv6-Protokollen als TCP und UDP. Das Protokoll kann eine Zahl oder ein Name sein. |
[ip|ip6][tcp|udp] [src|dst] port <port> |
udp and src port 2005
ip6 and tcp and src port 80 |
Entspricht IPv4- oder IPv6-Paketen an einem bestimmten Port. |
[src|dst] net <network> |
dst net 192.168.1.0
src net 10 net 192.168.1.0/24 |
Ordnet Pakete zu oder von einer Quelle oder einem Ziel oder beidem zu, die sich in einem
Netzwerk befinden. Eine IPv4-Netzwerknummer kann als einer der folgenden Werte angegeben werden:
|
[ip|ip6] tcp tcpflags & (tcp-[ack|fin|syn|rst|push|urg|) |
tcp[tcpflags] & (tcp-ack) !=0
tcp[13] & 16 !=0 ip6 and (ip6[40+13] & (tcp-syn) != 0) |
Entspricht allen Paketen mit dem angegebenen TCP-Flag |
Fragmentierte IPv4-Pakete (ip_offset! = 0) | ip[6:2] & 0x3fff != 0x0000 | Stimmt mit allen Paketen mit Fragmenten überein. |
Speichern Sie SSL-Sitzungsschlüssel in verbundenen Paketspeichern
Wenn die Weiterleitung von Sitzungsschlüsseln auf einem ExtraHop-System konfiguriert ist, das mit einem Packetstore verbunden ist, kann das ExtraHop-System verschlüsselte Sitzungsschlüssel zusammen mit den gesammelten Paketen speichern.
Before you begin
Erfahre mehr über Entschlüsseln von Paketen mit gespeicherten Schlüsseln.- Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
- In der Konfiguration des Systems Abschnitt, klicken Erfassen.
- Klicken Sie Speicher für SSL-Sitzungsschlüssel.
- Wählen SSL-Sitzungsschlüsselspeicher aktivieren.
- Klicken Sie Speichern.
Nächste Maßnahme
Weitere Hinweise zum Herunterladen von Sitzungsschlüsseln finden Sie unter Laden Sie Sitzungsschlüssel mit Paket herunter.
Laden Sie Sitzungsschlüssel mit Paket herunter
Sie können die PCAP Next Generation (pcapng) -Datei herunterladen, die alle erfassten SSL-Sitzungsschlüssel und verschlüsselten Pakete enthält. Anschließend können Sie die Paketerfassungsdatei in einem Tool wie Wireshark öffnen, das die Sitzungsschlüssel anwenden und die entschlüsselten Pakete anzeigen kann.
Before you begin
- Sie müssen über einen konfigurierten Packetstore oder eine Paketerfassungsdiskette verfügen, bevor Sie Pakete und Sitzungsschlüssel von einem herunterladen können Sensor oder ein Konsole. Sehen Sie unsere Bereitstellungsleitfäden um loszulegen.
- Das Konsole muss für SSL Shared Secrets lizenziert sein.
- Das Speicher für SSL-Sitzungsschlüssel Die Einstellung muss am Sensor aktiviert sein.
- RevealX Enterprise-Benutzer müssen entweder über Systemzugriff und Administration verfügen Privilegien oder eingeschränkte Rechte mit Zugriff auf Pakete und Sitzungsschlüssel. RevealX 360-Benutzer müssen Zugriff auf Pakete und Sitzungsschlüssel haben.
Sehen Sie sich die entschlüsselte Nutzlast in Wireshark an
- Starten Sie die Wireshark-Anwendung.
- Öffnen Sie die heruntergeladene Paketerfassungsdatei (pcapng) in Wireshark.
Wenn ein SSL-verschlüsselter Frame ausgewählt ist, wird Entschlüsseltes SSL Die Registerkarte wird am unteren Rand des Wireshark-Fensters angezeigt. Klicken Sie auf die Registerkarte, um die entschlüsselten Informationen in der PCAP als Klartext anzuzeigen.
Auslöser
Trigger bestehen aus benutzerdefiniertem Code, der automatisch bei Systemereignissen über die ExtraHop Trigger API ausgeführt wird. Sie können über die Trigger-API einen Trigger schreiben, bei dem es sich um einen JavaScript-Block handelt, um benutzerdefinierte Wire-Data-Ereignisse und -Metriken zu extrahieren, zu speichern und zu visualisieren, die für Ihr Unternehmen, Ihre Infrastruktur, Ihr Netzwerk, Ihre Kunden und Geschäftsanwendungen spezifisch sind.
Zu den gängigsten Workflows, die Sie über Trigger ausführen können, gehören die folgenden Operationen:
- Erstelle eine Anwendung Container, in dem Metriken für bestimmte Geräte gesammelt werden. Anwendungscontainer erweitern die gerätebasierten Ansichten, die das ExtraHop-System standardmäßig erstellt.
- Erstellen benutzerdefinierte Metriken und speichern Sie sie im ExtraHop-Datenspeicher. Zum Beispiel Benutzeragent-Daten, die von einem HTTP Anfrage ist keine Metrik, die in das ExtraHop-System integriert ist. Die ExtraHop Auslöser API bietet jedoch eine HTTP-Eigenschaft für Benutzeragenten , mit der Sie einen Trigger schreiben können, der Benutzeragentendaten als benutzerdefinierte Metrik sammelt.
- Generieren Aufzeichnungen und schreiben Sie sie in einen Datenspeicher, um sie langfristig zu speichern und abzurufen.
- Senden Sie Daten an Syslog-Verbraucher wie Splunk oder an Datenbanken von Drittanbietern, wie MongoDB oder Kafka, durch eine Datenstrom öffnen.
- Führen Sie eine Universal Payload Analysis (UPA) durch, um auf TCP- und UDP-Nutzlasten von nicht unterstützten Daten zuzugreifen und diese zu analysieren Protokolle.
- Initiieren Sie Paketerfassungen, um einzelne Datenflüsse auf der Grundlage benutzerdefinierter Kriterien Datensatz. Ihr ExtraHop-System muss für die PCAP lizenziert sein, um auf diese Funktion zugreifen zu können.
Um alle Auslöser anzuzeigen, klicken Sie auf Systemeinstellungen Symbol und dann klicken Auslöser. Auf der Trigger-Seite können Sie einen Auslöser erstellen oder klicken Sie auf das Häkchen neben einem Auslöser, um Bearbeiten Sie die Trigger-Konfiguration oder das Trigger-Skript ändern.
Einen Auslöser planen
Das Schreiben eines Auslöser zur Erfassung benutzerdefinierter Metriken ist eine leistungsstarke Methode zur Überwachung Ihrer Anwendungs - und Netzwerkleistung. Trigger verbrauchen jedoch Systemressourcen und können die Systemleistung beeinträchtigen, und ein schlecht geschriebener Auslöser kann zu unnötiger Systemlast führen. Bevor Sie einen Auslöser erstellen, sollten Sie auswerten, was Ihr Auslöser bewirken soll, ermitteln, welche Ereignisse und Geräte zum Extrahieren der benötigten Daten erforderlich sind, und ermitteln Sie, ob bereits eine Lösung existiert.
- Identifizieren Sie die spezifischen Informationen, die Sie sammeln müssen, indem Sie die folgenden Arten von
Fragen stellen:
- Wann laufen meine SSL-Zertifikate ab?
- Erhält mein Netzwerk Verbindungen über nicht autorisierte Ports?
- Wie viele langsame Transaktionen verzeichnet mein Netzwerk?
- Welche Daten möchte ich über einen offenen Datenstrom an Splunk senden?
- Überprüfen Sie die Metrischer Katalog um festzustellen, ob bereits eine integrierte Metrik existiert, die die benötigten Daten extrahiert. Integrierte Metriken belasten das System nicht zusätzlich.
- Identifizieren Sie, welches System Veranstaltungen produzieren Sie die Daten, die Sie sammeln möchten. Beispielsweise kann ein Auslöser, der die Aktivität von Cloud-Anwendungen in Ihrer Umgebung überwacht, bei HTTP-Antworten und beim Öffnen und Schließen von SSL-Verbindungen ausgeführt werden. Eine vollständige Liste der Systemereignisse finden Sie in ExtraHop Trigger API-Referenz .
- Machen Sie sich mit den API-Methoden und -Eigenschaften vertraut, die in der ExtraHop Trigger API-Referenz . Bevor Sie beispielsweise mit der Planung Ihres Auslöser zu weit kommen, überprüfen Sie die Referenz, um sicherzustellen, dass die Eigenschaft, die Sie extrahieren möchten, verfügbar ist, oder um herauszufinden, welche Eigenschaften in einem Standard-CIFS-Datensatz gesammelt werden.
- Legen Sie fest, wie Sie die vom Auslöser gesammelten Daten visualisieren oder speichern möchten. Sie können beispielsweise Metriken auf einem anzeigen Dashboard oder von Protokoll, Sie können Aufzeichnungen an den Recordstore senden.
- Stellen Sie fest, ob bereits ein Auslöser existiert, der Ihren Anforderungen entspricht oder leicht geändert werden könnte. Beginnen Sie immer mit einem bereits vorhandenen Auslöser, wann immer dies möglich ist. Suchen Sie in den folgenden Ressourcen nach einem vorhandenen Auslöser:
Auslöser bauen
Wenn Sie feststellen, dass Sie einen neuen Auslöser erstellen müssen, machen Sie sich mit den folgenden Aufgaben vertraut, die abgeschlossen werden müssen:
- Den Auslöser konfigurieren um Details wie den Namen des Auslöser und ob das Debuggen aktiviert ist, bereitzustellen. Geben Sie vor allem an, bei welchen Systemereignissen der Auslöser ausgeführt wird. Wenn Sie beispielsweise möchten, dass Ihr Auslöser jedes Mal ausgeführt wird, wenn eine SSH-Verbindung geöffnet wird, geben Sie an SSH_OPEN als auslösendes Ereignis.
- Schreiben Sie das Trigger-Skript, das die Anweisungen angibt, die der Auslöser ausführt, wenn ein für den Auslöser konfiguriertes Systemereignis eintritt. Das Triggerskript kann Anweisungen für einfache Aufgaben wie die Erstellung einer benutzerdefinierten Gerätezählmetrik namens „slow_rsp" oder für komplexere Aufgaben wie die Überwachung und Erfassung von Statistiken über die Cloud-Anwendungen, auf die in Ihrer Umgebung zugegriffen wird, bereitstellen.
Nachdem der Auslöser abgeschlossen ist und ausgeführt wird, ist es wichtig zu überprüfen, ob der Auslöser erwartungsgemäß funktioniert.
- Das Debug-Log anzeigen für die erwartete Ausgabe von Debug-Anweisungen im Trigger-Skript. Das Protokoll zeigt auch alle Laufzeitfehler und Ausnahmen an, die Sie beheben müssen.
- Überwachen Sie die Leistungskosten indem die Anzahl der vom Auslöser verbrauchten Zyklen verfolgt wird.
- Überprüfen Sie die Diagramme zur Systemintegrität für Trigger-Ausnahmen, Drops aus der Trigger-Warteschlange und unerwartete Aktivitäten.
- Vergewissern Sie sich, dass das Trigger-Skript dem entspricht Leitfaden mit bewährten Methoden für Trigger.
Einen Auslöser erstellen
Trigger bieten erweiterte Funktionen Ihres ExtraHop-Systems. Mit Triggern können Sie benutzerdefinierte Metriken erstellen, Datensätze generieren und speichern oder Daten an ein Drittanbietersystem senden. Da Sie das Trigger-Skript schreiben, steuern Sie die Aktionen, die der Auslöser bei bestimmten Systemereignissen ausführt.
Before you begin
Melden Sie sich beim ExtraHop-System mit einem Benutzerkonto an, das über die vollständige Schreibberechtigung verfügt Privilegien erforderlich, um Trigger zu erstellen.Wenn du mit Triggern noch nicht vertraut bist, Machen Sie sich mit dem Trigger-Planungsprozess vertraut, mit deren Hilfe Sie den Fokus Ihres Auslöser eingrenzen oder feststellen können, ob Sie überhaupt einen Auslöser erstellen müssen. Führen Sie dann den Prozess zum Erstellen eines Auslöser durch, indem Sie den Exemplarische Vorgehensweise für Trigger.
Trigger-Einstellungen konfigurieren
Der erste Schritt beim Erstellen eines Auslöser besteht darin, einen Triggernamen anzugeben, festzustellen, ob Debugging aktiviert ist, und vor allem zu identifizieren, bei welchen Systemereignissen der Auslöser ausgeführt wird.
Schreiben Sie ein Trigger-Skript
Das Triggerskript gibt die Anweisungen an, die der Auslöser ausführt, wenn ein für den Auslöser konfiguriertes Systemereignis eintritt.
Before you begin
Wir empfehlen Ihnen, das zu öffnen ExtraHop Trigger API-Referenz , das die Ereignisse, Methoden und Eigenschaften enthält, die Sie für Ihren Auslöser benötigen. Ein Link ist auch im Trigger-Editor-Fenster im ExtraHop-System verfügbar.Erweiterte Trigger-Optionen
Sie müssen Trigger so konfigurieren, dass sie bei mindestens einem Ereignis ausgeführt werden. Je nach ausgewähltem Ereignis werden im Bereich „Trigger erstellen" erweiterte Konfigurationsoptionen angezeigt. Wählen Sie zum Beispiel die HTTP_RESPONSE Ereignis ermöglicht es Ihnen, die Anzahl der Payload-Bytes festzulegen, die bei jedem Auftreten dieses Ereignis im System zwischengespeichert werden sollen.
Option | Beschreibung | Unterstützte Ereignisse | ||
---|---|---|---|---|
Zu erfassende Byte pro Paket | Gibt die Anzahl der Byte an, die pro Paket erfasst werden sollen. Die Erfassung
beginnt mit dem ersten Byte im Paket. Geben Sie diese Option nur an
, wenn das Trigger-Skript die PCAP durchführt. Ein Wert von 0 gibt an, dass die Erfassung alle Byte in jedem Paket sammeln soll. |
Alle Ereignisse außer der folgenden Liste werden unterstützt:
|
||
L7-Nutzdaten-Bytes in den Puffer | Gibt die maximale Anzahl von Nutzdatenbytes an, die gepuffert werden sollen.
|
|
||
Byte aus der Zwischenablage | Gibt die Anzahl der Byte an, die bei einer Übertragung in die Citrix-Zwischenablage gepuffert werden sollen. |
|
||
Metrischer Zyklus | Gibt die Länge des Metrik Zyklus an, ausgedrückt in Sekunden. Der einzig gültige Wert ist 30sec. |
|
||
Metrische Typen | Gibt den Metriktyp anhand des Rohmetriknamens an, z. B. extrahop.device.http_server. Geben Sie mehrere Metriktypen in einer kommagetrennten Liste an. |
|
||
Auslöser bei jedem Flow-Turn ausführen | Aktiviert die PCAP auf jedem Fluss
drehen. Die Per-Turn-Analyse analysiert kontinuierlich die Kommunikation zwischen zwei Endpunkten, um einen einzelnen Nutzdatenpunkt aus dem Datenfluss zu extrahieren. Wenn diese Option aktiviert ist, werden alle angegebenen Werte für Übereinstimmende Zeichenfolge für den Client und Passende Zeichenfolge für den Server Optionen werden ignoriert. |
|
||
Portbereich des Clients | Gibt den Portbereich des Client an. Gültige Werte liegen zwischen 0 und 65535. |
|
||
Client-Bytes in den Puffer | Gibt die Anzahl der Client-Bytes an, die gepuffert werden sollen. Der Wert dieser Option kann nicht auf 0 gesetzt werden, wenn der Wert von Server-Bytes zum Puffer Die Option ist ebenfalls auf 0 gesetzt. |
|
||
Suchzeichenfolge für den Client-Puffer | Gibt die Formatzeichenfolge an, die angibt, wann mit dem
Puffern der Client-Daten begonnen werden soll. Gibt bei einer
Zeichenkettenübereinstimmung das gesamte Paket zurück. Sie können die Zeichenfolge als Text oder Hexadezimalzahlen angeben. Zum Beispiel beide ExtraHop und \x45\x78\x74\x72\x61\x48\x6F\x70 sind gleichwertig. Hexadezimalzahlen unterscheiden nicht zwischen Groß- und Kleinschreibung. Jeder für diese Option angegebene Wert wird ignoriert , wenn Pro Spielzug oder Auslöser auf allen UDPs ausführen Die Option Pakete ist aktiviert. |
|
||
Server-Port-Bereich | Gibt den Serverportbereich an. Gültige Werte liegen zwischen 0 und 65535. |
|
||
Server-Bytes in Puffer | Gibt die Anzahl der Server-Bytes an, die gepuffert werden sollen. Der Wert dieser Option kann nicht auf 0 gesetzt werden, wenn der Wert von Client-Bytes zum Puffer Die Option ist ebenfalls auf 0 gesetzt. |
|
||
Suchzeichenfolge für Serverpuffer | Gibt die Formatzeichenfolge an, die angibt, wann mit dem
Puffern der Serverdaten begonnen werden soll. Sie können die Zeichenfolge als Text oder Hexadezimalzahlen angeben. Zum Beispiel beide ExtraHop und \x45\x78\x74\x72\x61\x48\x6F\x70 sind gleichwertig. Hexadezimalzahlen unterscheiden nicht zwischen Groß- und Kleinschreibung. Jeder für diese Option angegebene Wert wird ignoriert , wenn Pro Spielzug oder Auslöser auf allen UDPs ausführen Option ist aktiviert. |
|
||
Auslöser für alle UDP-Pakete ausführen | Ermöglicht die Erfassung aller UDP-Datagramme. |
|
||
FLOW_CLASSIFY für ablaufende, nicht klassifizierte Flows ausführen | Ermöglicht die Ausführung des Ereignis nach Ablauf, um Metriken zu sammeln für Flüsse die vor Ablauf nicht klassifiziert wurden. |
|
||
Externe Typen | Gibt die Typen von externen Daten an, die der Auslöser verarbeitet. Der Auslöser wird nur ausgeführt, wenn die Payload ein Typfeld mit einem der angegebenen Werte enthält. Geben Sie mehrere Typen in einer kommagetrennten Liste an. |
|
Triggerleistung überwachen
Nachdem Sie einen Auslöser erstellt haben, stellen Sie sicher, dass er wie erwartet ausgeführt wird, ohne Fehler oder unnötigen Ressourcenverbrauch. Wenn Ihr Trigger-Skript eine Debug-Anweisung enthält, überprüfen Sie das Debug-Log auf die Debug-Ausgabe. Sie können auch das Debug-Log auf Fehler und Ausnahmen überprüfen. Sie können Leistungsinformationen für einen einzelnen Auslöser und mehrere Systemstatusdiagramme anzeigen, die die kollektiven Auswirkungen all Ihrer Trigger auf das System angeben.
Informationen zu den Schritten, die Sie ausführen müssen, um einen Auslöser zu erstellen, finden Sie unter Einen Auslöser erstellen.
Überprüfen Sie die Triggerausgabe im Debug-Log
Nachdem Sie einen Auslöser erstellt oder bearbeitet haben, können Sie den Debug-Protokoll Registerkarte, um zu überprüfen, ob der Auslöser wie erwartet und ohne Probleme ausgeführt wird. Das Debug-Log zeigt Debug-Ausgaben, Fehler und Ausnahmen an. Diese Registerkarte wird erst angezeigt, nachdem der Auslöser gespeichert wurde.
Beachten Sie, dass die Debug-Ausgabe mit der Protokollierung beginnt, sobald der Auslöser zugewiesen und gespeichert wurde. Das Protokoll kann jedoch keine Daten anzeigen, die vor der Zuweisung und Speicherung des Auslöser aufgetreten sind.
Die folgenden Schritte zeigen Ihnen, wie Sie auf das Debug-Log zugreifen können:
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen , und klicken Sie dann Auslöser.
- Klicken Sie auf den Namen des Auslöser, den Sie anzeigen möchten.
- klicken Trigger-Skript bearbeiten.
- Klicken Sie auf Debug-Protokoll Tabulatur.
if (HTTP.uri.match("seattle")){ Application("Seattle App").commit(); debug(HTTP.uri); }
Wenn eine Übereinstimmung auftritt, wird der URI, der die Übereinstimmung enthält, in das Debug-Log geschrieben, wie in der folgenden Abbildung dargestellt:
Das Debug-Log zeigt auch alle auftretenden Laufzeitfehler oder Ausnahmen an, unabhängig davon, ob das Debuggen auf der Registerkarte Konfiguration aktiviert ist oder nicht. Sie sollten Ausnahmen korrigieren, wenn sie auftreten, um die Leistungseinbußen auf Ihr System zu minimieren.
Die Leistung eines einzelnen Auslöser anzeigen
Nachdem Sie einen Auslöser erstellt oder bearbeitet haben, können Sie den Leistung Registerkarte, um eine grafische Darstellung der Auswirkungen des Auslöser auf die Leistung auf Ihre Umgebung anzuzeigen. Diese Registerkarte wird erst angezeigt, nachdem der Auslöser gespeichert wurde.
- Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
- Klicken Sie auf das Symbol Systemeinstellungen , und klicken Sie dann Auslöser.
- Klicken Sie auf den Auslöser, den Sie anzeigen möchten.
- Scrollen Sie im Bereich Trigger bearbeiten nach unten zum Diagramm Capture Trigger Load.
Auf der Registerkarte wird ein Trigger-Leistungsdiagramm angezeigt, in dem die Anzahl der Zyklen aufgezeichnet wird, die der Auslöser innerhalb eines bestimmten Zeitintervalls verbraucht hat.
Nächste Maßnahme
Wenn die Wirkung des Auslöser stark ist, bewerten Sie den Zweck des Auslöser neu und ziehen Sie die folgenden Optionen in Betracht:- Stellen Sie sicher, dass der Auslöser nur die erforderlichen Aufgaben ausführt und nur auf den erforderlichen Geräten oder Netzwerken ausgeführt wird.
- Suchen Sie in der Tabelle unten nach Ausnahmen Capture Trigger Load, besuchen Sie die Gesundheit des Systems Seite, die zusätzliche Leistungskennzahlen für Auslöser enthält, z. B. die Anzahl der laufenden Trigger, die Triggerlast und Trigger-Ausnahmen.
- Beurteilen Sie die Effizienz des Trigger-Skripts und suchen Sie nach Tipps zur Trigger-Optimierung in der Leitfaden mit bewährten Methoden für Trigger.
Die Leistung aller Trigger auf dem System anzeigen
Nachdem Sie einen Auslöser erstellt haben, können Sie sich mehrere Diagramme zur Systemintegrität ansehen, die die Gesamtauswirkung all Ihrer Trigger auf das System aufzeigen. Sie können diese Diagramme auf Probleme hin überwachen, die sich auf die Systemleistung auswirken oder zu falschen Daten führen.
Die Gesundheit des Systems Diese Seite enthält mehrere Diagramme, die einen Überblick über die Trigger bieten, die auf dem ExtraHop-System ausgeführt werden.
Bündel
Ein Paket ist ein benutzerdefinierter Satz von Systemkonfigurationen, die gespeichert werden können und hochgeladen zu einem ExtraHop-System.
Video: | Sehen Sie sich die entsprechende Schulung an: Bündel |
Die folgenden Systemanpassungen können als Teil eines Paket gespeichert werden:
- Warnmeldungen
- Anwendungen
- Armaturenbretter
- Benutzerdefinierte Erkennungen
- Dynamische Gerätegruppen
- Abfragen aufzeichnen
- Formate aufzeichnen
- Trigger
Erfahre mehr über das Erstellen und Teilen von Paketen mit dem Leitfaden für bewährte Methoden im Bundle.
Installiere ein Paket
ExtraHop-Pakete ermöglichen es Ihnen, dem ExtraHop-System vorkonfigurierte Anpassungen hinzuzufügen.
Before you begin
- Sie müssen Vollschreiben oder höher haben Privilegien um ein Paket hochzuladen.
- Sie müssen mindestens über eine persönliche Schreibfähigkeit verfügen Privilegien um ein Paket herunterzuladen und zu installieren.
- Sie benötigen eine JSON-Bundle-Datei. Sie können ein Paket aus dem ExtraHop-System herunterladen, indem Sie zu Paket herunterladen aus dem rechten Bereich. , wählen Sie das Paket aus und klicken Sie dann auf
Ein Paket erstellen
Sie können Systemkonfigurationen in einer Bundle-Datei speichern und diese Datei dann auf andere ExtraHop-Systeme hochladen.
Before you begin
Sie müssen Vollschreiben oder höher haben Privilegien um ein Paket zu erstellen.Nächste Maßnahme
Dateianalyse konfigurieren
Mithilfe der Dateianalyse können Sie Dateien angeben, die mit dem SHA-256-Hashing-Algorithmus gehasht werden sollen. Datei-Hashes, die einer Bedrohungssammlung entsprechen, generieren eine Erkennung, und Datei-Hashdaten können in Datensätzen abgefragt werden.
ExtraHop empfiehlt, dass Sie diese Einstellungen über eine ExtraHop-Konsole verwalten. Dies ist die Standardkonfiguration in RevealX 360. Bei RevealX Enterprise verwalten Sensoren diese Einstellungen standardmäßig. Wenn Sie die Einstellungen lieber auf einer Konsole statt auf einem Sensor verwalten möchten, können Sie die Verwaltung auf eine Konsole übertragen.
Voraussetzungen
Sie müssen diese Anforderungen erfüllen, um die Dateianalyse auf Ihrem ExtraHop-System anzeigen und konfigurieren zu können.
- Das musst du haben System- und Zugriffsadministrationsrechte.
- Sie müssen Zugriff auf das NDR-Modul haben.
- Ihr ExtraHop-System muss verbunden mit ExtraHop Cloud Services.
Anlage
Protokollmodule
Das ExtraHop-System stellt Metriken über die folgenden Arten von Protokollmodulen bereit:
Typ des Moduls | Protokolle |
---|---|
L2-L3 Metriken |
|
L4-Metriken |
|
Benennung | DNS |
Verzeichnisdienste | LDAP |
Netz |
|
Middleware |
|
Datenbank |
|
Aufbewahrung |
|
Übertragung von Dateien | FTP |
Post | SMTP |
Citrix VDI |
|
Branchenspezifische Protokolle |
|
Entschlüsselung | Irgendein Protokoll verschlüsselt über einen Ende-zu-Ende-SSL-Kanal, kann mit dem SSL-Entschlüsselungsmodul entschlüsselt werden. |
Weitere Informationen zu den ExtraHop-Protokollmodulen finden Sie unter extrahop.com.
Unterstützte Browser
Die folgenden Browser sind mit allen ExtraHop-Systemen kompatibel. Wenden Sie die von Ihrem Browser bereitgestellten Barrierefreiheits- und Kompatibilitätsfunktionen an, um über technische Hilfsmittel auf Inhalte zuzugreifen.
- Firefox
- Google Chrome
- Microsoft Edge
- Safari
Wichtig: | Internet Explorer 11 wird nicht mehr unterstützt. Wir empfehlen Ihnen, die neueste Version aller unterstützten Browser zu installieren. |
Allgemeine Akronyme
In diesem Handbuch werden die folgenden gebräuchlichen Akronyme für Computer- und Netzwerkprotokolle verwendet.
Abkürzung | Vollständiger Name |
---|---|
AAA | Authentifizierung, Autorisierung und Abrechnung |
AMF | Format der Aktionsmeldung |
CIFS | Gemeinsames Internet-Dateisystem |
CLI | Befehlszeilenschnittstelle |
CPU | Zentrale Verarbeitungseinheit |
DB | Datenbank |
DHCP | Dynamisches Host-Konfigurationsprotokoll |
DNS | Domainnamensystem |
ERSPAN | Gekapselter RSPAN |
FIX | Austausch von Finanzinformationen |
FTP | FTP |
HTTP | Hypertext-Übertragungsprotokoll |
IBMMQ | IBM Nachrichtenorientierte Middleware |
ICA | Unabhängige Computerarchitektur |
IP | Internet-Protokoll |
iSCSI | Internet-Systemschnittstelle für kleine Computer |
L2 | Schicht 2 |
L3 | Schicht 3 |
L7 | Schicht 7 |
LDAP | Lightweight Directory Access Protocol |
MAC | Medienzugriffskontrolle |
MIB | Informationsbasis für das Management |
NFS | NFS |
NVRAM | Nichtflüchtiger Direktzugriffsspeicher |
RADIUS | Dial-In-Benutzerdienst mit Remoteauthentifizierung |
RPC | Prozeduraufruf aus der Ferne |
RPCAP | Paketerfassung aus der Ferne |
RSS | Größe des Resident-Sets |
SMPP | Peer-to-Peer-Protokoll für Kurznachrichten |
SMTP | Einfaches Nachrichtenübertragungsprotokoll |
SNMP | Einfaches Netzwerkmanagement-Protokoll |
SPAN | Analysator für geschaltete Ports |
SSD | Solid-State-Laufwerk |
SSH | Sichere Shell |
SSL | Sicherer Socket-Layer |
TACACS+ | Terminal Access Controller Zutrittskontrollsystem Plus |
TCP | TCP |
UI | Benutzerschnittstelle |
VLAN | VLAN |
VM | Virtuelle Maschine |
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?