文章目录
这里的Web Proxy主要代指proxy server,采用的解决方案是websense,为避免水文嫌疑,后面这里的websense一律用web proxy代表。
Web Proxy 主要基于用户认证之后的用户访问Internet代理,在且内网中,Web proxy是提高用户上网行为的重要安全措施。
在用户上网行为过程中,不可避免的因主观或者客观原因,会访问到一些有威胁的网页或者链接。通过web proxy代理,可以识别用户上网行为过程中的威胁。
针对这类威胁,我们需要建立实时的告警机制,这就涉及到需要启用web proxy的Alerts功能。
启用Alerts
配置:Web->Alerts->Enable Alerts。
Enable Alerts会将系统事件和超过定义阈值的Internet访问通知管理员。
Alert Limits per 24 hours
在“每24小时警报限制”下,配置一个数字来指定要为每个类别使用情况、协议使用情况和可疑活动警报生成的每种类型的最大每日警报。
关于每日最大告警数阈值的配置,可以参见官方说明:
例如,您可以配置一个分类使用警报,每当有人请求体育类别的站点达到5次(阈值)时发送一次。根据用户数量和他们的互联网使用模式,这可能每天会产生数百个警报。
如果每种类型的最大每日警报数为10,管理员会在特定一天收到关于前50次体育站点请求的警报(每个警报5次请求乘以10个警报),但当天后续请求该类别的将不再产生警报。
Email Alerts
System, usage, and severity alerts can be delivered to specified recipients via email.
系统、使用情况和严重性警报可以通过电子邮件发送给指定的收件人。
这边会有四个选项,分别说明一下。
- SMTP server IPv4 address or name: 发送电子邮件告警的SMTP服务器的IPv4地址或主机名。如果企业内网有私有的SMTP服务器,通常使用私有的SMTP服务器地址。
- From email address: 用作电子邮件告警发件人的电子邮件地址,这个可以自己定义,例如[email protected]。
- Administrator email address (To): 电子邮件警报的主要收件人的电子邮件地址,通常填写管理员的邮件地址。
- Recipient email addresses (Cc): 最多50个配置副本收件人的电子邮件地址。但是每个地址必须在单独占用一行。
邮件收件人根据实际需要接收这个告警进行配置。
System Alerts
系统告警通知主要包含有关主数据库下载、订阅问题等内容。有两种告警模式可供选择:电子邮件和SNMP。在能够针对特定警报进行选择之前,必须在“Alerts > enable Alerts”页面上启用Alerts模式。
因为此前我们只启用了邮件告警,并未启用SNMP,所以,我们只需要选择email alerts即可。
基于能够及时掌握web proxy是否正常工作,我们将所有告警都启用。避免有异常告警信息遗漏。
- A Master Database download failed. 下载主数据失败。
- The Master Database has been updated. 主数据库已经更新。
- The number of current users exceeds your subscription level. 用户数量超过订阅的用户数量。
- The number of current users has reached 90% of your subscription level. 当前用户数量达到订阅用户数的90%。
- The search engines supported by Search Filtering have changed. 引擎数据发生变化。
- Your subscription expires in one month. 距离订阅到期前一个月提醒。
- Your subscription expires in one week. 距离订阅到期前一周提醒。
Suspicious Activity Alerts
Permitted Suspicious Activity Alerts
配置允许可疑的网络行为告警阈值。当达到配置的允许阈值时,会发送一个邮件告警到管理员。
通常Low事件可以不配置告警或者阈值配置到比较大。
Blocked Suspicious Activity Alerts
配置阻断可疑网络行为的告警阈值。当达到配置的允许阈值时,会发送一个邮件告警到管理员。
通常Low事件可以不配置告警或者阈值配置到比较大。
Protocol&Category Usage Alerts
针对协议和分类也可以分别配置permit 和 block 阈值。可以将分类为间谍、勒索、色情、暴力、赌博等这一类的分类进行直接block,仅配置block Alerts,当上网行为过程中出现这类网址的频繁访问,管理员也可以及时掌握和了解用户上网行为。
告警邮件范例
收到的告警邮件会包含基本要素,时间、用户、IP、违反阈值、action、目的url等信息。
Date: 12/25/2023 2:06:44 PM
Type: Information
Source: Forcepoint Usage Monitor
A client has exceeded a configured daily Internet usage threshold.
For more information, run investigative or presentation reports in the Forcepoint Security Manager. See the Administrator Help for details.
User name:
User IP address:
Threshold (in visits): 20
Category: Personal Network Storage and Backup
Action: Permitted
--Most recent request--
URL: https://api.onedrive.com:443
IP address: 13.107.42.12
Port: 443
以上就是web proxy启用alerts的案例分享,希望可以帮助到大家。