原创 虹科分享 | 网络流量监控 | 使用 ntopng 收件人和端点进行灵活的警报处理

2022-11-29 14:17 463 1 1 分类: 通信 文集: 网络流量和安全监控

在之前,ntopng引擎对所有警报的配置是单一的:进入偏好页面并指定警报的发送地点。但这是不理想的,原因有很多:包括不可能在不同的渠道向不同的收件人发送警报,或有选择地决定何时发送警报。

出于这个原因,我们引入了以下概念:

  • 端点

    服务器账户配置,用于发送警报。它用于配置一次服务器参数(例如,对于电子邮件,你需要配置服务器IP、用户名和密码),你可以多次重复使用。

  • 收件人

    发送警报的终端用户。例如,一旦你配置了一个电子邮件服务器账户端点,你可以定义几个可以通过同一端点到达的接收者,只需继承端点的配置并定义接收者的电子邮件地址。

 

如何配置收件人和端点

这可以通过选择系统界面,使用通知子菜单来完成。

必须首先定义端点,如下所述:

请注意,有几个端点系列,包括:

  • Email

  • ElasticSearch

  • Slack

  • WebHook

  • Discord

  • Syslog

在这一点上,你可以定义一个收件人,这个收件人就是将收到警报信息的人。

请注意,你可以指定哪些警报的严重程度和类别可以被传递给这个人。这样,你可以将安全事件传递给一个接收者,而将网络事件传递给另一个接收者。

当然,你可以定义多个收件人和端点。

 

将收件人与警报绑定

现在我们已经定义了警报的传递地点,我们需要指定如何/何时将警报传递给指定的接收者。这是通过Pools实现的,你可以在系统菜单下访问。

Pools是一种将资源聚集起来的方式,我们想对其进行特定的设置。正如你在下图中所看到的,有各种Pool 族。

  • Hosts
  • Interfaces
  • Local networks
  • SNMP Devices
  • Active Monitoring
  • Host Pools (pools of host pools)
  • Flows
  • Devices
  • System (Interface)

假设你想在主动监测有警报要报告时发送一个警报。你所需要做的就是:

1. 选择 "主动监测 "标签

2. 点击 "编辑 "按钮,在下拉菜单中指定我们刚刚定义的收件人,并保存它。

如果你想仔细检查这个设置是否正确,你可以到你定义的一个活动监测资源中去编辑它。

正如你在上面的高亮文本上看到的,我们定义的新收件人已经被定义,现在正在使用中。

如果现在你想为每个被监控的主机定义不同的收件人呢?那么你需要回到Pool页面,选择活动监控(这将适用于其他标签),并定义新的池子,如下图所示,并将不同的收件人联系起来。

你现在可以回到活动监控页面,为每台主机选择你喜欢的主机池,如下图所示

让事情更复杂的是,你需要掌握主机池的定义方式。与主动监控相反,主机池可能相当复杂,因为你可能想根据IP地址、网络(CIDR)和Mac地址来定义Pool成员(对于IP浮动的DHCP网络来说是很好的)。

 

结束语

     我们希望收件人和端点的概念现在已经很清楚了。你现在可以做的是,以一种简单而有效的方式,灵活地将事件传递给选定的接收者。

 

作者: 虹科网络可视化, 来源:面包板社区

链接: https://mbb.eet-china.com/blog/uid-me-3989660.html

版权声明:本文为博主原创,未经本人允许,禁止转载!

给作者打赏,鼓励TA抓紧创作!

赞赏支持
点赞 1
赞赏0

文章评论0条评论)

登录后参与讨论
相关推荐阅读
虹科网络可视化 2023-02-06 10:06
虹科分享|您的遗留系统的安全性如何?
自2023年1月10日起,Windows 7、Windows 8、Windows 8.1及其衍生产品Windows Embedded以及Windows Server 2008 R2将不再收到微软提供的...
虹科网络可视化 2023-02-02 10:41
虹科分享|怎么做才可以保护你的数据隐私?
你的数据是很有价值的。即使你不同意,许多组织和团体也会为此付出高昂的代价,而且他们并不都把你的最佳利益放在心上。但你有权管理你的数据。在当今的数字时代,我们通过工作、社交媒体、在线购物或简单地使用...
虹科网络可视化 2023-02-02 09:55
虹科分享|论企业网络安全的重要性
拥有有效的企业网络安全不仅仅是让你的员工创建一个不是他们宠物名字的密码--除非他们的猫的名字至少有12个字符长,由大小写字母和符号组成。无论是经过充分研究的鱼叉式钓鱼尝试,还是绕过MFA,威胁者都...
虹科网络可视化 2023-01-10 10:27
虹科分享 | 网络流量监控 | 构建大型捕获文件(Ⅱ)——Pcap分析仪:Allegro网络万用表的Pcap过滤器
上一期我们讨论的是如何使用Wireshark工具进行结构化搜索的技术,这一期我们将为大家进行介绍,我们该如何使用 Allegro 网络万用表来加快 pcap 分析器的工作。前期回顾:构建大型捕获文件(...
我要评论
0
1
1
2
3
4
5
6
7
8
9
0
关闭 热点推荐上一条 /4 下一条