Wykrywanie i alertowanie logowań po godzinch pracy

Jest to jeden z najczęstszych alertów i można go łatwo stworzyć z pomocą Energy Logserver. Co więcej - taki alert jest już zdefiniowany i domyślnie umieszczany w paczce instalacyjnej systemu Energy Logserver. W przypadku użytkowników systemu Windows wykrywamy logowania w nocy.

W niektórych wdrożeniach, alert ten został zmodyfikowany dla użytkowników systemu Linux lub użytkowników usług dedykowanych, które nie są związane z określonym systemem operacyjnym.
Taka konfiguracja reguł nie może być prostsza:

Co więcej, do każdego alertu możemy dodać opcję kalendarza, więc taki alert będzie wyzwalany na podstawie formatu crontab, na przykład:

calendar:
  schedule: "* 0-8,16-23 * * mon-fri"

Wykrywanie i alertowanie anomalii w ruchu sieciowym

Do monitorowania anomalii w ruchu używamy różnych podejść. Oczywiście możemy obsługiwać takie zdarzenia w Energy Logserver dedykowaną sondą sieciową, która jest wyposażona w moduł Netflow Analazing i domyślnie wykrywa anomalie. Takie sondy odbierają przepływ sieciowy z wybranego span portu i mogą być również używane jako urządzenie wirtualne.

Niezależnie od zastosowania sondy - w Energy Logserver używamy do tego naszego modułu alarmowego, w którym wybieramy odpowiednie podejście.
W przypadku niektórych klientów używamy typu Metric Aggregation, w którym ustalamy próg wysyłanych / odbieranych danych.

Ale Energy Logserver ma również zestaw predefiniowanych alertów, a wśród nich są: Netflow - DNS traffic abnormal typu Spike. Ta reguła działa na zasadzie porównaniu rzeczywistych ram czasowych z poprzednimi i obliczeniu różnicy między nimi. W ten sposób wykrywamy nagły wzrost (lub spadek) wybranego wzoru.

Innym podejściem jest monitorowanie nowych, nie widzianych wcześniej wartości w wybranym polu (jak nowy adres url w naszych logach) per użytkownik, źródło lub inny parametr.

 

Energy Logserver może łączyć ze sobą wiele alertów w jeden, skorelowany przez pola i warunki z typami Chain lub Logical.