【网络安全】上网行为代理服务器启用Alerts

发布时间:2024年01月02日


这里的Web Proxy主要代指proxy server,采用的解决方案是websense,为避免水文嫌疑,后面这里的websense一律用web proxy代表。

Web Proxy 主要基于用户认证之后的用户访问Internet代理,在且内网中,Web proxy是提高用户上网行为的重要安全措施。

在用户上网行为过程中,不可避免的因主观或者客观原因,会访问到一些有威胁的网页或者链接。通过web proxy代理,可以识别用户上网行为过程中的威胁。
6
针对这类威胁,我们需要建立实时的告警机制,这就涉及到需要启用web proxy的Alerts功能。

启用Alerts

配置:Web->Alerts->Enable Alerts。
Enable Alerts会将系统事件和超过定义阈值的Internet访问通知管理员。
在这里插入图片描述

Alert Limits per 24 hours

在“每24小时警报限制”下,配置一个数字来指定要为每个类别使用情况、协议使用情况和可疑活动警报生成的每种类型的最大每日警报。
在这里插入图片描述
关于每日最大告警数阈值的配置,可以参见官方说明:
例如,您可以配置一个分类使用警报,每当有人请求体育类别的站点达到5次(阈值)时发送一次。根据用户数量和他们的互联网使用模式,这可能每天会产生数百个警报。
如果每种类型的最大每日警报数为10,管理员会在特定一天收到关于前50次体育站点请求的警报(每个警报5次请求乘以10个警报),但当天后续请求该类别的将不再产生警报。

Email Alerts

System, usage, and severity alerts can be delivered to specified recipients via email.
系统、使用情况和严重性警报可以通过电子邮件发送给指定的收件人。
在这里插入图片描述
这边会有四个选项,分别说明一下。

  • SMTP server IPv4 address or name: 发送电子邮件告警的SMTP服务器的IPv4地址或主机名。如果企业内网有私有的SMTP服务器,通常使用私有的SMTP服务器地址。
  • From email address: 用作电子邮件告警发件人的电子邮件地址,这个可以自己定义,例如webproxy@alerts.com。
  • Administrator email address (To): 电子邮件警报的主要收件人的电子邮件地址,通常填写管理员的邮件地址。
  • Recipient email addresses (Cc): 最多50个配置副本收件人的电子邮件地址。但是每个地址必须在单独占用一行。

邮件收件人根据实际需要接收这个告警进行配置。

System Alerts

系统告警通知主要包含有关主数据库下载、订阅问题等内容。有两种告警模式可供选择:电子邮件和SNMP。在能够针对特定警报进行选择之前,必须在“Alerts > enable Alerts”页面上启用Alerts模式。
因为此前我们只启用了邮件告警,并未启用SNMP,所以,我们只需要选择email alerts即可。

在这里插入图片描述
基于能够及时掌握web proxy是否正常工作,我们将所有告警都启用。避免有异常告警信息遗漏。

  • A Master Database download failed. 下载主数据失败。
  • The Master Database has been updated. 主数据库已经更新。
  • The number of current users exceeds your subscription level. 用户数量超过订阅的用户数量。
  • The number of current users has reached 90% of your subscription level. 当前用户数量达到订阅用户数的90%。
  • The search engines supported by Search Filtering have changed. 引擎数据发生变化。
  • Your subscription expires in one month. 距离订阅到期前一个月提醒。
  • Your subscription expires in one week. 距离订阅到期前一周提醒。

Suspicious Activity Alerts

Permitted Suspicious Activity Alerts

配置允许可疑的网络行为告警阈值。当达到配置的允许阈值时,会发送一个邮件告警到管理员。
在这里插入图片描述
通常Low事件可以不配置告警或者阈值配置到比较大。

Blocked Suspicious Activity Alerts

配置阻断可疑网络行为的告警阈值。当达到配置的允许阈值时,会发送一个邮件告警到管理员。
在这里插入图片描述
通常Low事件可以不配置告警或者阈值配置到比较大。

Protocol&Category Usage Alerts

针对协议和分类也可以分别配置permit 和 block 阈值。可以将分类为间谍、勒索、色情、暴力、赌博等这一类的分类进行直接block,仅配置block Alerts,当上网行为过程中出现这类网址的频繁访问,管理员也可以及时掌握和了解用户上网行为。
在这里插入图片描述

告警邮件范例

收到的告警邮件会包含基本要素,时间、用户、IP、违反阈值、action、目的url等信息。

Date: 12/25/2023 2:06:44 PM
Type: Information
Source: Forcepoint Usage Monitor

A client has exceeded a configured daily Internet usage threshold.

For more information, run investigative or presentation reports in the Forcepoint Security Manager. See the Administrator Help for details.

User name: 
User IP address: 
Threshold (in visits): 20
Category: Personal Network Storage and Backup
Action: Permitted

--Most recent request--
URL: https://api.onedrive.com:443
IP address: 13.107.42.12
Port: 443

以上就是web proxy启用alerts的案例分享,希望可以帮助到大家。

推荐阅读

文章来源:https://blog.csdn.net/weixin_37813152/article/details/135197390
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。