Die Bedienung des Programmes wurde verständlich und weitestgehend selbsterklärend gestaltet.


Struktur


Analytics


Nach dem erfolgreichen Anmelden befinden Sie sich im Analytics Dashboard. Hier sehen Sie auf dem ersten Blick, was aktuell im Netzwerk geschieht & können von hier aus die aktuellen bzw. bisherigen Netzwerkverkehr analysieren.


Die Übersicht ist in drei Kapitel für die Netzwerk Analyse und eine für den generelle System-Status unterteilt:

  • Network Intelligence
    Datenverkehr in Bezug auf die Schnittstellen, Protokolle, Datenübermittlung
  • User Intelligence
    Datenverkehr in Bezug auf die Quell-IP's, Ziel-IP's, Ziel Länder
  • Security Intelligence
    Datenverkehr in Bezug auf die aktiven Regeln, IPS Regeln, URL Kategorien


Nähere Informationen finden Sie im Artikel Analytics / Reporting.



Policy


Hier finden Sie alle notwendigen Informationen und Einstellungen über die Regeln und Regelsätze für Ihr Netzwerk


Bitte beachten Sie:

Ein Doppel-Klick auf eine Regel leitet Sie in die Regel-Einstellungen weiter - unabhängig davon, ob diese eine Globale Regel ist oder eine Regel als Teil einer Advanced Correlation.



Security


Hierüber haben Sie Zugang zu implementierten Sicherheits-Lösungen des TD:



Network


In diesem Bereich können Sie den Status (aktiv/inaktiv, Geschwindigkeit, Zuordnung, Fehler) jeder vom cognitix Threat Defender für die Analyse verwendeten Schnittstelle (Processing Interfaces), sowie die zur Konfiguration verwendeten Schnittstelle ("Management Interface").

Die zur Analyse verwendeten Schnittstellen können wie folgt betrieben werden:

  • Bridge Modus (Vorgabe)
  • VirtualWire
  • SPAN: Port erhält ausschließlich duplizierte/gespiegelte Daten von einem Gerät (Switch)



Logging


Von hier aus haben Sie Zugriff auf lokale Protokoll-Daten inkl. Such-Funktion

Sie können die Protokolle zu ihrem eigenen IPFIX- (ausschließlich via TCP!) oder Syslog-Server weiterleiten.



Settings


Die System-Einstellungen. Hierüber können der Gerätename, System-Nutzer, Datensicherung/Datenwiederherstellung des Threat Defender oder ein Neustart durchgeführt werden. Weiterhin sind hierüber Firmware-Aktualisierungen, Lizenz-Verwaltung und das Zurücksetzen aller Report-Systeme zugänglich.


In den Firmware-Aktualisierungen sehen Sie z.B. die aktuell verwendete Software-Version und wann letztmalig auf Software-Aktualisierungen geprüft worden ist. Wenn Aktualisierungen bereit stehen, können diese von hier aus auch installiert werden. Sofern ein Neustart erforderlich ist, wird dies entsprechend hervorgehoben - dieser können Sie dann manuell nach Ihren Bedürfnissen veranlassen.


Within the License tab you can view/enable/disable/add/delete your license. As you can imagine - only one licence can be active at the time.



Diagnostics


Im Diagnose Bereich können Sie einen Fehlerbericht (Troubleshoot Report) ggf. manuell erstellen, z.B. wenn vom Support für weitere Analysen angefordert.

Sie können hierüber auch den aktuellen Inhalt (max. 1 Stunde) der Verbindungstabelle auch in IP-anonymisierter Form herunterladen können (Flow Table Reporting). Dies ist eine Echtzeit-Ausgabe, welche bei Bedarf immer neu erzeugt wird. Eine Historie existiert nicht!

In Countries sehen Sie die für die Reports verwendeten Kürzel.

Via URL können Sie die implementierte URL Kategorien und Klassifizierung für bekannte URL's abfragen. Bitte beachten Sie, dass dies keine online Abfrage ist & dementsprechend URL's unbekannt sein können!



Allgemeines

Symbole

  • Bearbeiten
  • Ansicht/Details
  • Löschen
  • Aktiviert
  • Deaktiviert


Änderungen

  • Alle Änderungen werden über den  APPLY  Knopf in das aktive System übernommen.


Diagramm Elemente

  • Ein Einfach-Klick verzweigt eine Ebene tiefer


Tabellen Elemente

  • Auge: Ansicht der Details einer Advanced Correlation
  • Doppel-Klick: Gewählten Eintrag bearbeiten
  • Wenn eine Regel Teil einer Advanced Correlation ist, werden die Regeln unter einer verlinkten Überschrift der Advanced Correlation zusammengefasst.
  • Wenn Einträge neu geordnet werden sollen, muss das sicherheitshalber explizit aktiviert und nachfolgend wieder deaktiviert werden..
    Achtung! Dies ist gleichbedeutend mit der Neuordnung der Regelabarbeitung und beeinflusst, wie der Thread Defender die Netzwerk-Daten abarbeitet!


Gut zu Wissen

  • Die "Hits" Spalte zeigt ein kleines Echtzeit-Diagramm der Regel-Treffer an - ein Doppel-Klick verzweigt direkt in die Regel, welche dann eine größere Statistik anzeigt.
  • Ein Klick auf eine angezeigte Zahl in der "Counts" Spalte öffnet die entsprechende Event Tracking Table mit deren Inhalten.