Mit Threat Defender können Sie den Zugriff auf bestimmte Websites auf eine festgelegte Zeit beschränken.

Im folgenden Beispiel werden die folgenden Konzepte erläutert:

  • Korrelationsszenarien
  • Event Tracking Tables

 

Ziel

Der Zugriff auf YouTube wird auf 5 Minuten beschränkt. Danach wird YouTube eine Stunde lang blockiert. 

Dies wird mit einem Korrelationsszenario umgesetzt, das zwei Event Tracking Tables (ETTs) und einen dedizierten Regelsatz enthält.


Das Korrelationsszenario anlegen

Erstellen Sie zuerst das Szenario, das die Regeln und ETTs enthält.

  1. Navigieren Sie zu Policy - Advanced Correlation.
  2. Klicken Sie auf ADD.
  3. Geben Sie Name und optional eine Beschreibung (Note ) ein.
  4. Klicken Sie auf SAVE.

 

Die ETTs anlegen

Erstellen Sie zwei ETTs in dem Szenario. Eine speichert Nutzer für fünf Minuten, die andere für eine Stunde. So werden zwei Listen von YouTube-Nutzern erstellt.

Mit den ETTs werden die Nutzer nachverfolgt. Da nur das primäre Attribut, also der User, erfasst werden soll, wählen wir None als sekundäres Attribut. Das ist wichtig, denn wäre ein zweites Attribut ausgewählt, würde Threat Defender die Attributpaare vergleichen. In diesem Fall würden die Regeln nicht zutreffen.

 

Die folgende Tabelle zeigt die Einstellungen der beiden ETTs:

Name
Speicherdauer
Primäres Attribut
Max. Anzahl primärer Attribute
Sekundäres Attribut
Max. Anz. sekundärer Attribute pro primärem Attribut

1 hour users

3600

User

100

None

1

5 min users

300

User

100

None

1

Hinweis: Stellen Sie im Feld Maximum Number of Primary Attributes sicher, dass die beiden Tabellen groß genug für die Anzahl der Netzwerknutzer sind.

 

Den Regelsatz anlegen

Erstellen Sie fünf Regeln im Szenario:

  • Regel 1 erlaubt den gesamten Datenverkehr außer YouTube.
  • Regel 2 erlaubt den YouTube-Zugriff für Nutzer auf der 5-Minuten-Liste.
  • Regel 3 verbietet den YouTube-Zugriff für Nutzer auf der 1-Stunde-Liste.
  • Regel 4 fügt Nutzer, die eine neue YouTube-Verbindung hergestellt haben, zur 5-Minuten-Liste hinzu.
  • Regel 5 fügt Nutzer, die YouTube-Traffic erzeugen, zur 1-Stunde-Liste hinzu.

Die folgende Tabelle zeigt die Einstellungen für die Regeln:

Regel
Quelle
Ziel
Bedingung
Aktionen

1

Any

Any

Classification
 Excluded Applications/ Protocols:
YouTube

Final Action: Allow Traffic and Skip to Next Scenario

2

Any

Any

Classification
 Excluded Applications/ Protocols:
YouTube
Advanced Correlation Condition:
Event in Event Tracking Table
Event Tracking Table:
5 min users

Final Action: Allow Traffic and Skip to Next Scenario

3

Any

Any

Classification
 Excluded Applications/ Protocols: YouTube
Advanced Correlation Condition:
Event in Event Tracking Table
 Event Tracking Table:
1 hour users

Final Action: Reject Traffic and Stop Processing

4

Any

Any

Classification
 Excluded Applications/ Protocols:
YouTube

Add to Event Tracking Table
Event Tracking Table: 5 min users
Primary Attribute: User
Secondary Attribute:
None

5

Any

Any

Classification
 Excluded Applications/ Protocols:
YouTube

Add to Event Tracking Table
Event Tracking Table: 1 hour users
Primary Attribute: User
Secondary Attribute:
None


Aktivieren Sie die Konfigurationsänderungen mit APPLY CHANGES.

 

Ergebnis

Threat Defender verarbeitet den Regelsatz im Top-Down-Verfahren:

  1. Threat Defender erlaubt den gesamten Datenverkehr außer YouTube.
  2. Für YouTube-Traffic wird geprüft, ob sich die jeweiligen in einer der beiden ETTs befinden:
  • Befindet sich der Nutzer auf der Liste 5 min users, erlaubt Threat Defender den Zugriff auf YouTube und springt zum nächsten Szenario.
  • Befindet sich der Nutzer nicht auf der Liste 5 min users, aber auf der Liste 1 hour users, verbietet Threat Defender den Zugriff auf YouTube und springt zum nächsten Szenario.
  • Befindet sich der Nutzer auf keiner der beiden Listen, fügt Threat Defender ihn zu beiden ETTs hinzu.