Einschränkung des YouTube-Zugriffs auf Basis des Benutzerverhaltens
Sie können mit Threat Defender den Zugriff auf bestimmte Websites für eine gewisse Zeit beschränken.
Dieses Beispiel erläutert die Verwendung folgender Konzepte:
Verhaltensbasierte Korrelation für Benutzer
Event-Tracking-Tabellen
Ziel
Der YouTube-Zugriff wird auf 5 Minuten beschränkt. Danach wird YouTube eine Stunde lang blockiert.
In diesem Beispiel basiert die Zugriffsbeschränkung auf dem Benutzerverhalten und ist von den verwendeten Geräten unabhängig. Wenn Sie keine Benutzer nachverfolgen, erfahren Sie unter Einschränkung des YouTube-Zugriffs auf Basis des Asset-Verhaltens wie Sie den Zugriff auf Basis der verwendeten Geräte einschränken.
Sie benötigen ein Korrelationsszenario mit zwei Event-Tracking-Tabellen und einem dedizierten Regelsatz.
Anlegen des Korrelationsszenarios
Navigieren Sie zunächst zu Policy > Advanced Correlation. Richten Sie ein neues Korrelationsszenario ein, das die Regeln und Event-Tracking-Tabellen enthalten wird.
Anlegen der Event-Tracking-Tabellen
Öffnen Sie im Korrelationsszenario den Reiter Event Tracking Tables. Erstellen Sie zwei Event-Tracking-Tabellen. Eine speichert Benutzer für 5 Minuten, die andere speichert Benutzer für eine Stunde. So werden zwei Listen mit YouTube-Benutzern erstellt.
Mit den Event-Tracking-Tabellen werden die Benutzer nachverfolgt. Da nur das primäre Attribut, d. h. der User, nachverfolgt werden soll, wählen Sie als sekundäres Attribut None aus. Das ist wichtig zu beachten, da Threat Defender Attributpaare vergleichen würde, wenn ein sekundäres Attribut ausgewählt würde. Die Regeln würden dann nicht treffen.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Event-Tracking-Tabellen:
Name |
Retention Time |
Primary Attribute Type |
Max. Nein. Primary |
Secondary Attribute Type |
Max. Nein. Secondary |
|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
Bemerkung
Unter Maximum Number of Primary Attributes stellen Sie sicher, dass beide Tabellen groß genug sind, um die Benutzer in ihrem Netzwerk zu fassen.
Eine ausführliche Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.
Erstellen des Regelsatzes
Erstellen Sie im Korrelationsszenario einen Regelsatz aus fünf Regeln:
Regel 1 erlaubt sämtlichen Datenverkehr außer YouTube.
Regel 2 erlaubt YouTube-Zugriff für Benutzer auf der 5-Minuten-Liste.
Regel 3 verbietet YouTube-Zugriff für Benutzer auf der 1-Stunden-Liste.
Regel 4 fügt Benutzer zur 5-Minuten-Liste hinzu, wenn sie eine neue YouTube-Verbindung gestartet haben.
Regel 5 fügt Benutzer, die YouTube-Datenverkehr erzeugen, zur 1-Stunden-Liste hinzu.
Die folgende Tabelle zeigt die erforderlichen Einstellungen für die Regeln:
Regel |
Source |
Destination |
Condition |
Actions |
|---|---|---|---|---|
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
|
|
|
Classification |
Final Action: Allow Traffic and Skip to Next Scenario |
|
|
|
Classification |
Final Action: Reject Traffic and Stop Processing |
|
|
|
Classification |
Add to Event Tracking Table |
|
|
|
Classification |
Add to Event Tracking Table |
Eine ausführliche Anleitung zur Erstellung einer Regel in einem Korrelationsszenario finden Sie unter Anlegen von Regeln in einem Korrelationsszenario.
Klicken Sie auf APPLY CHANGES oben in der Hauptnavigation, um Ihre Konfigurationsänderungen zu aktivieren.
Ergebnis
Das System verarbeitet den Regelsatz von oben nach unten:
Das System erlaubt sämtlichen Datenverkehr außer YouTube.
Für YouTube-Datenverkehr prüft das System, ob sich der anfragende Benutzer in einer der Event-Tracking-Tabellen befindet.
Wenn sich der Benutzer in der Tabelle
5 min usersbefindet, erlaubt Threat Defender den Zugriff auf YouTube und springt zum nächsten Korrelationsszenario.Wenn sich der Benutzer nicht in der Tabelle
5 min users, aber in der Tabelle1 hour usersbefindet, verbietet Threat Defender den Zugriff auf YouTube und springt zum nächsten Korrelationsszenario.Befindet sich der Benutzer in keiner der beiden Tabellen, fügt Threat Defender den Benutzern zu beiden Event-Tracking-Tabellen hinzu.