【网络安全】上网行为代理服务器启用Alerts

这里的Web Proxy主要代指proxy server，采用的解决方案是websense，为避免水文嫌疑，后面这里的websense一律用web proxy代表。

Web Proxy 主要基于用户认证之后的用户访问Internet代理，在且内网中，Web proxy是提高用户上网行为的重要安全措施。

在用户上网行为过程中，不可避免的因主观或者客观原因，会访问到一些有威胁的网页或者链接。通过web proxy代理，可以识别用户上网行为过程中的威胁。

针对这类威胁，我们需要建立实时的告警机制，这就涉及到需要启用web proxy的Alerts功能。

启用Alerts

配置：Web->Alerts->Enable Alerts。
Enable Alerts会将系统事件和超过定义阈值的Internet访问通知管理员。

Alert Limits per 24 hours

在“每24小时警报限制”下，配置一个数字来指定要为每个类别使用情况、协议使用情况和可疑活动警报生成的每种类型的最大每日警报。

关于每日最大告警数阈值的配置，可以参见官方说明：
例如，您可以配置一个分类使用警报，每当有人请求体育类别的站点达到5次（阈值）时发送一次。根据用户数量和他们的互联网使用模式，这可能每天会产生数百个警报。
如果每种类型的最大每日警报数为10，管理员会在特定一天收到关于前50次体育站点请求的警报（每个警报5次请求乘以10个警报），但当天后续请求该类别的将不再产生警报。

Email Alerts

System, usage, and severity alerts can be delivered to specified recipients via email.
系统、使用情况和严重性警报可以通过电子邮件发送给指定的收件人。

这边会有四个选项，分别说明一下。

• SMTP server IPv4 address or name: 发送电子邮件告警的SMTP服务器的IPv4地址或主机名。如果企业内网有私有的SMTP服务器，通常使用私有的SMTP服务器地址。
• From email address: 用作电子邮件告警发件人的电子邮件地址，这个可以自己定义，例如webproxy@alerts.com。
• Administrator email address (To): 电子邮件警报的主要收件人的电子邮件地址，通常填写管理员的邮件地址。
• Recipient email addresses (Cc): 最多50个配置副本收件人的电子邮件地址。但是每个地址必须在单独占用一行。

邮件收件人根据实际需要接收这个告警进行配置。

System Alerts

系统告警通知主要包含有关主数据库下载、订阅问题等内容。有两种告警模式可供选择：电子邮件和SNMP。在能够针对特定警报进行选择之前，必须在“Alerts > enable Alerts”页面上启用Alerts模式。
因为此前我们只启用了邮件告警，并未启用SNMP，所以，我们只需要选择email alerts即可。

基于能够及时掌握web proxy是否正常工作，我们将所有告警都启用。避免有异常告警信息遗漏。

• A Master Database download failed. 下载主数据失败。
• The Master Database has been updated. 主数据库已经更新。
• The number of current users exceeds your subscription level. 用户数量超过订阅的用户数量。
• The number of current users has reached 90% of your subscription level. 当前用户数量达到订阅用户数的90%。
• The search engines supported by Search Filtering have changed. 引擎数据发生变化。
• Your subscription expires in one month. 距离订阅到期前一个月提醒。
• Your subscription expires in one week. 距离订阅到期前一周提醒。

Suspicious Activity Alerts

Permitted Suspicious Activity Alerts

配置允许可疑的网络行为告警阈值。当达到配置的允许阈值时，会发送一个邮件告警到管理员。

通常Low事件可以不配置告警或者阈值配置到比较大。

Blocked Suspicious Activity Alerts

配置阻断可疑网络行为的告警阈值。当达到配置的允许阈值时，会发送一个邮件告警到管理员。

通常Low事件可以不配置告警或者阈值配置到比较大。

Protocol&Category Usage Alerts

针对协议和分类也可以分别配置permit 和 block 阈值。可以将分类为间谍、勒索、色情、暴力、赌博等这一类的分类进行直接block，仅配置block Alerts，当上网行为过程中出现这类网址的频繁访问，管理员也可以及时掌握和了解用户上网行为。

告警邮件范例

收到的告警邮件会包含基本要素，时间、用户、IP、违反阈值、action、目的url等信息。

Date: 12/25/2023 2:06:44 PM
Type: Information
Source: Forcepoint Usage Monitor

A client has exceeded a configured daily Internet usage threshold.

For more information, run investigative or presentation reports in the Forcepoint Security Manager. See the Administrator Help for details.

User name: 
User IP address: 
Threshold (in visits): 20
Category: Personal Network Storage and Backup
Action: Permitted

--Most recent request--
URL: https://api.onedrive.com:443
IP address: 13.107.42.12
Port: 443

以上就是web proxy启用alerts的案例分享，希望可以帮助到大家。

推荐阅读

• 【网络安全】WebCatcher识别未分类的URL
• 【网络安全】HTTP Slowloris攻击原理解析
• 【网络安全】网络设备可能面临哪些攻击？
• 【网络安全】SMB over QUIC帮助实现文件服务器在公网安全共享
• 【网络安全】企业角度看当前网络安全威胁形势