Menüpfad: Policy - Event Tracking Tables


Event Tracking Tables (ETTs, Ereignistabellen) sind Pufferspeicher, die Kombinationen von Attributen speichern. Sie überwachen Traffic-Eigenschaften, um die verhaltensbasierte Korrelation zu ermöglichen. Die Anwendung von Regeln kann davon abhängig sein, ob und wie oft bestimmte Eigenschaften aufgetreten sind.

 

Hinweis:

Event Tracking Tables können nur innerhalb von Korrelationsszenarien verwendet werden. Neue ETTs können nur bei der Konfiguration eines Szenarios erstellt werden.

 

Unter Policy > Event Tracking Tables sehen Sie eine Übersicht über die in Szenarien vorhandenen ETTs. Mit Klick auf die Zahl in der Spalte Counts, öffnen Sie den Inhalt der ETT.

 

Sie können die Attribute, die von einer ETT gespeichert werden nach Bedarf kombinieren. 

Folgende Attributtypen sind verfügbar:

  • Assets
  • Classification applications and/or protocols 
  • HTTP domain names
  • HTTP URLs
  • Interfaces
  • IDS hits
  • IP addresses
  • Layer 4 ports
  • MAC addresses
  • None (dient dem Tracking von einzelnen Attributen anstelle von Attributpaaren)
  • Timestamps
  • Users
  • VLAN tags

 

Hilfreiche Beispielkombinationen sind:

 

Primäres Attribut

Sekundäres Attribut

Verwendung

IP address

Layer 4 port

Speichert eine Liste von Ports pro IP-Adresse.

MAC address

Timestamp

Zählt wie of eine MAC-Adresse zu einer ETT hinzugefügt wurde.

User

HTTP URL

Zeigt welche URLs von den Nutzern besucht wurden, indem eine Liste besuchter URLs pro Nutzer angelegt wird.

Asset

IDS hit

Speichert eine Liste von IDS-Treffern pro Asset. Diese ETT können Sie in Szenarios verwenden, die Geräte isolieren, welche eine bestimmte Anzahl IDS-Treffer ausgelöst haben.

User

None

Diese ETT erfasst Nutzer. Mit ihr können auf dem Nutzerverhalten basierende Regeln erstellt werden.

None

Assets

Mit dieser ETT können Sie die Anzahl der Assets in Ihrem Netz zählen und Regeln anlegen, die ausgelöst werden, wenn ein bestimmter Wert überschritten wird.