Event-Tracking-Tabellen
Event-Tracking-Tabellen (ETT) sind Datenpuffer, die Attributkombinationen speichern. Sie zeichnen Merkmale des Datenverkehrs auf und ermöglichen dadurch Korrelation in Threat Defender. Die Anwendung von Regeln hängt davon ab, ob und wie oft bestimmte Merkmale auftreten.
ETT verfolgen Attributpaare von Kommunikationsereignissen über mehrere Datenströme hinweg. Ein Kommunikationsereignis besteht aus einem primären Attribut und mehreren sekundären Attributen. Regeln tragen diese Ereignisse in die Event-Tracking-Tabellen ein. Jeder Eintrag in einer ETT hat einen individuellen Timeout. So können Änderungen über die Zeit nachverfolgt werden und die Einträge werden automatisch entfernt, wenn der Timeout abgelaufen ist. Regeln können die Tabellen abfragen und prüfen, ob bestimmte Attribute enthalten sind, oder die Attribute zählen. Abhängig davon, ob die Auswertungsbedingung erfüllt wird, können weitere Regeln auf den Datenstrom angewendet werden.
Zum Beispiel kann geprüft werden, wie oft ein bestimmter Host einer ETT für TCP-Verbindungsports hinzugefügt wurde. Wenn er innerhalb einer Minute 100-mal zur ETT hinzugefügt wurde, wird Datenverkehr zu diesem Host verworfen. Andernfalls wird er nicht eingeschränkt. Siehe Blockieren von TCP-Portscannern (T1046) für weitere Informationen. Dadurch beeinflussen in früheren Datenströmen erkannte Attribute wie spätere Datenströme gehandhabt werden.
Event-Tracking-Tabellen können jegliche Kombinationen von Attributpaaren nachverfolgen und korrelieren. Die folgenden Attributtypen sind verfügbar:
Assets
Klassifikation von Anwendungen bzw. Protokollen
HTTP-Domänennamen
HTTP URLs
Interfaces
IDS-Treffer
IP-Adressen
Schicht-4-Ports
MAC-Adressen
None (um nur einzelne Attribute statt Attributpaaren nachzuverfolgen)
Zeitstempel
Users
VLAN-Tags
Die folgende Tabelle zeigt einige Beispielkombinationen:
Primäres Attribut |
Sekundäres Attribut |
Verwendung |
---|---|---|
|
|
Speichert eine Liste von Ports pro IP-Adresse. |
|
|
Zählt wie oft eine MAC-Adresse einer ETT hinzugefügt wurde. |
|
|
Zeigt welche URLs Benutzer besucht haben, indem eine Liste aufgerufener URLs pro Benutzer gespeichert wird. |
|
|
Speichert eine Liste von IDS-Treffern pro Asset. Mit dieser Event-Tracking-Tabelle können Sie Regeln einrichten, um Geräte zu isolieren, die eine festgelegte Anzahl von IDS-Treffern überschreiten. |
|
|
Diese ETT verfolgt Benutzer. Mit ihr können Sie Policy-Regeln erstellen, die auf dem Verhalten der Benutzer basieren. |
|
|
Mit dieser ETT können Sie die Anzahl der Assets in ihrem System zählen und Regeln aufstellen, die ausgelöst werden, wenn ein bestimmter Wert überschritten wird. |
Weitere Informationen:
Eine ausführliche Schritt-für-Schritt-Anleitung zur Erstellung einer Event-Tracking-Tabelle finden Sie unter Eine Event-Tracking-Tabelle erstellen.
Informationen wie Sie den Inhalt von Event-Tracking-Tabellen ansehen oder löschen, finden Sie unter Anzeigen des Inhalts von Event-Tracking-Tabellen.
Weitere Informationen zu den Screens und Einstellungsoptionen finden Sie unter Event Tracking Tables.