Dynamic Network Objects
Dynamische Netzwerkobjekte sind dynamische Listen von IP- bzw. MAC-Adressen. Sie werden dynamisch durch Policy-Regeln modifiziert.
Mit dynamischen Netzwerkobjekten wird der Status von Hosts nachverfolgt und während der Laufzeit werden Gruppen von Hosts mit ähnlichem Verhalten erstellt. Die Hosts einer Gruppe teilen eine bestimmte Eigenschaft, die nicht statisch ist, sondern von Ereignissen abhängt, die dynamisch im laufenden System stattfinden. Basierend auf diesem Verhalten, wird ein Regelsatz auf sie angewendet. So kann sich die Policy Engine an sich verändernde Situationen anpassen. Sie steuert dynamisch welche Regeln in Echtzeit auf unterschiedliche Hosts angewendet werden.
Unter Dynamic Network Objects zeigt die Tabelle die im System definierten dynamischen Netzwerkobjekte mit einer Übersicht ihrer Konfiguration an. Weitere Informationen finden Sie unter Einstellungen von dynamischen Netzwerkobjekten.
Mit den Icons in der letzten Tabellenspalte können Sie das jeweilige Objekt bearbeiten oder löschen.
Tipp
Klicken Sie auf die Zahl in der Spalte Counts, um die aktuell im dynamischen Netzwerkobjekt enthaltenen Einträge zu sehen. In dieser Ansicht können Sie mit RESET STATE den Inhalt des dynamischen Netzwerkobjekts löschen.
Globale dynamische Netzwerkobjekte stehen an der Spitze der Tabelle. In Korrelationsszenarien verwendete Objekte werden nach Szenario gruppiert. Um ein neues globales dynamisches Netzwerkobjekt hinzuzufügen, klicken Sie auf Add Global Dynamic Network Object oberhalb der Übersichtstabelle.
Bemerkung
Dynamische Netzwerkobjekte für Korrelationsszenarien werden direkt im jeweiligen Szenario erstellt. Klicken Sie doppelt auf den Namen des Szenarios, um seine Einstellungen zu bearbeiten. Im Tab Dynamic Network Objects, klicken Sie auf Add.
Einstellungen von dynamischen Netzwerkobjekten
Wenn Sie manuell ein neues dynamisches Netzwerkobjekt hinzufügen oder ein vorhandenes bearbeiten, wird das Einstellungsfenster angezeigt.
Der Abschnitt General enthält die folgenden Optionen:
Feld |
Beschreibung |
|---|---|
Name |
Geben Sie einen Namen für das Objekt ein. |
Note |
Optional: Fügen Sie eine kurze Beschreibung des Objekts hinzu. |
Der Abschnitt Settings enthält die folgenden Optionen:
Feld |
Beschreibung |
|---|---|
Network |
Weisen Sie das Netzwerkobjekt einem Netzwerk zu: Internal oder External. Beachten Sie, dass Threat Defender für Geräte im externen Netzwerk keine Einträge in der Asset-Datenbank erstellt. |
Size |
Geben Sie an, wie viele Assets dem dynamischen Netzwerkobjekt maximal zugeordnet werden können. |
Timeout |
Geben Sie in Sekunden an, wie lange die Einträge in dem dynamischen Netzwerkobjekt gespeichert werden. Läuft die festgelegte Zeit ab, werden die entsprechenden Einträge automatisch aus dem dynamischen Netzwerkobjekt entfernt. Wenn Sie diesen Wert auf |
Forced Includes |
Füllen Sie das Netzwerkobjekt im Vorfeld für die unter Timeout festgelegte Zeit mit Hosts. Geben Sie deren IP-Adressen durch Kommas getrennt ein. |
Excluded IP Addresses |
Um Ausnahmen zu definieren, geben Sie IP-Adressen an, die aus dem dynamischen Netzwerkobjekt ausgeschlossen werden sollen. Geben Sie die IP-Adressen durch Kommas getrennt ein. |
MAC Addresses |
Um Ausnahmen zu definieren, geben Sie MAC-Adressen an, die aus dem dynamischen Netzwerkobjekt ausgeschlossen werden sollen. Die MAC-Adressen müssen durch Kommas separiert werden. Um komplette MAC-Adressbereiche auszuschließen, lassen Sie ab dem Ende der MAC-Adresse Zeichenpaare weg, wobei die trennenden Doppelpunkte beibehalten werden. Zum Beispiel: |
Mit den Schaltflächen im unteren Bereich des Bildschirms können Sie Ihre Änderungen speichern (SAVE) oder verwerfen (CANCEL).
Bemerkung
Die Regelauswertung erfolgt per Datenstrom, nicht per Paket. Werden kurze Timeouts eingestellt, bedeutet dies für länger andauernde Datenströme, dass der Timeout ablaufen kann, während der Datenstrom noch fortdauert. In diesem Fall wird das dynamische Netzwerkobjekt nicht für diesen Datenstrom aktualisiert.