Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Der Botnet Detection-Bericht zeigt eine Zusammenfassung der Aktivitäten in Ihrem Netzwerk in Bezug auf Botnet-Sites. Der Bericht enthält die Top-blockierten Botnet-Websites, die blockierten Clients und die Ziele, zu denen Botnet-Websites eine Verbindung herzustellen versuchten.
Dieser Bericht ist verfügbar, wenn im angegebenen Zeitrahmen Protokollmeldungen mit Daten für diesen Bericht vorliegen. Um sicherzustellen, dass Ihre Firebox die für die Erstellung dieses Berichts erforderlichen Protokollmeldungen sendet, führen Sie die folgenden Schritte aus: Protokollierung für diesen Bericht aktivieren.
Nutzung dieses Berichts
Dieser Bericht kann Ihnen helfen, die Botnet-Aktivitäten in Ihrem Netzwerk zu verstehen. Hier finden Sie einige Möglichkeiten zur Verwendung dieses Berichts:
- Wählen Sie den Wechsel Botnet-Erkennung nach Client, um Clients zu identifizieren, die blockiert wurden, bevor sie mit Botnet-Sites verbunden waren.
- Wählen Sie den Wechsel Blockierte Botnet-Websites, um eine Liste der Top-Ziele von Botnets anzuzeigen.
- Verwenden Sie den Detailbericht, um anzuzeigen, welche Protokolle mit Verbindungen zu Botnet-Anwendungen verbunden sind.
Anzeigen des Berichts
Dieser Bericht ist in WatchGuard Cloud und in Dimension verfügbar.
- Melden Sie sich bei WatchGuard Cloud an.
- Wählen Sie Überwachen > Geräte.
- Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
- Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf
.
- Wählen Sie in der Liste der Berichte Dienste > Botnet Detection.
Der Botnet Detection-Bericht wird geöffnet.
- Um Berichte zu Ihren Fireboxen oder FireClustern anzuzeigen, wählen Sie Home > Geräte.
Die Liste Geräte wird geöffnet.
Um Berichte für Ihre Gruppen von Fireboxen anzuzeigen, wählen Sie Home > Gruppen.
Die Liste Gruppen wird geöffnet. - Wählen Sie den Namen einer Firebox, eines Clusters oder einer Gruppe.
Die Seite Tools > Executive-Dashboard wird geöffnet. - Wählen Sie die Registerkarte Berichte.
- Wählen Sie Dienste > Botnet Detection.
Der Botnet Detection-Bericht wird geöffnet.
Wechsel
Mit Hilfe von Wechseln können Sie die Anzeige der Daten im Bericht ändern.
Um zu einer anderen Ansicht zu wechseln, wählen Sie einen Wechsel aus der Dropdown-Liste oberhalb des Berichts.
Dieser Bericht enthält diese Wechsel:
Aktivitätstrend
Zusammenfassender Bericht über einen Trend der gescannten Seiten im Verhältnis zur Anzahl der blockierten Botnet-Websites.
Blockierte Botnet-Websites
Zusammenfassender Bericht über die Top-50 blockierten Botnet-Websites.
Botnet Detection nach Client
Zusammenfassender Bericht über alle Aktivitäten in Ihrem Netzwerk im Zusammenhang mit Botnet-Sites, nach Client. Die Zusammenfassung der Daten zeigt die Top-50 Clients, die blockiert wurden, bevor sie mit Botnet-Sites verbunden wurden.
Botnet Detection nach Ziel
Zusammenfassender Bericht über alle Aktivitäten in Ihrem Netzwerk in Bezug auf Botnet-Sites, nach Ziel. Die Zusammenfassung der Daten zeigt die 50 Top-Ziele, zu denen Botnet-Sites eine Verbindung herzustellen versuchten und die blockiert wurden.
Botnet Detection Bericht – Detailansicht
Um einen detaillierten Bericht über alle Botnet-Aktivitäten in Ihrem Netzwerk anzuzeigen, klicken Sie am oberen Rand des Berichts auf Details anzeigen.
Der Detailbericht zu Botnet Detection enthält eine Zeile für jede in Ihrem Netzwerk erkannte Botnet-Aktivität:
| Spalte | Beschreibung |
|---|---|
| Erste Aktion um | Datum und Zeit, zu der der Datenverkehr erstmals erkannt wurde |
| Quelle | IP-Adresse der Quelle des Datenverkehrs |
| Ziel | IP-Adresse des Ziels für den Datenverkehr |
| Versuche | Anzahl der Versuche, Datenverkehr an die Botnet-Site zu senden |
| Protokoll | Protokoll zum Senden des Datenverkehrs |
| Botnet | Indikatoren, ob die Adresse des Botnetzes die Quelle oder das Ziel des Datenverkehrs war |
Protokollierung für diesen Bericht aktivieren
Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.
Um die für diesen Bericht für lokal verwaltete Fireboxen benötigten Daten zu erfassen, gehen Sie in Fireware Web UI oder Policy Manager wie folgt vor:
- Der Feature Key des Geräts muss den Reputation Enabled Defense (RED) Security Service unterstützen.
- Der Security Service Botnet Detection muss aktiviert sein. Weitere Informationen finden Sie unter Botnet Detection konfigurieren.
Um detaillierte Daten in den Botnet Detection-Berichten für lokal verwaltete Fireboxen anzuzeigen, müssen Sie Folgendes tun:
- Ihrer Firebox erlauben, Protokollmeldungen zu Security Services-Statistiken an Ihren Log Server zu senden. Weitere Informationen finden Sie unter Performance-Statistiken in Protokollmeldungen einbeziehen (WSM).
- Legen Sie in den Einstellungen für blockierte Seiten die maximale Anzahl der Protokollmeldungen, die die Firebox generiert, auf Unbegrenzt fest. Weitere Informationen finden Sie unter Präferenzen für Protokollierung und Benachrichtigung festlegen.