Gilt für: Cloud-verwaltete Fireboxen, Lokal verwaltete Fireboxen
Der Intrusions (IPS)-Bericht zeigt eine Zusammenfassung der Intrusions in Ihrem Netzwerk an.
Dieser Bericht ist verfügbar, wenn im angegebenen Zeitrahmen Protokollmeldungen mit Daten für diesen Bericht vorliegen. Um sicherzustellen, dass Ihre Firebox die für die Erstellung dieses Berichts erforderlichen Protokollmeldungen sendet, führen Sie die folgenden Schritte aus: Protokollierung für diesen Bericht aktivieren.
Nutzung dieses Berichts
Mit Hilfe dieses Berichts können Sie mehr über die vom Intrusion Prevention Service blockierten Bedrohungen herausfinden. Hier finden Sie einige Möglichkeiten zur Verwendung dieses Berichts:
- Wählen Sie den Wechsel Signaturen, um die am häufigsten blockierten Angriffe auf Ihr Netzwerk anzuzeigen. Über die IPS-Signatur-ID, die in diesem Wechsel und im Detailbericht angezeigt wird, können Sie weitere Informationen über die Bedrohung im WatchGuard Security Portal abrufen.
- Wählen Sie den Wechsel Quelle aus, um die IP-Adresse oder den Namen des Benutzers anzuzeigen, der mit dem Eindringling in Verbindung steht. Auf diese Weise lässt sich zum Beispiel feststellen, welcher Computer oder Benutzer den Einbruch ausgelöst hat.
- Wählen Sie den Wechsel Bedrohungslevel, um die Intrusions nach Bedrohungslevel geordnet anzuzeigen.
- Wählen Sie den Wechsel Aktivitätstrend, um die Anzahl der erkannten und verhinderten Intrusions im Laufe der Zeit anzuzeigen.
- Wählen Sie den Wechsel Protokoll, um die Protokolle zu identifizieren, die mit Intrusion-Angriffen in Verbindung stehen.
Anzeigen des Berichts
- Melden Sie sich bei WatchGuard Cloud an.
- Wählen Sie Überwachen > Geräte.
- Wählen Sie einen Ordner oder ein bestimmtes Gerät aus.
- Um den Datumsbereich für den Bericht auszuwählen, klicken Sie auf
.
- Wählen Sie im Menü Berichte die Option Dienste > Intrusions (IPS).
Der Intrusions (IPS)-Bericht wird geöffnet.
- Um Berichte zu Ihren Fireboxen oder FireClustern anzuzeigen, wählen Sie Home > Geräte.
Die Liste Geräte wird geöffnet.
Um Berichte für Ihre Gruppen von Fireboxen anzuzeigen, wählen Sie Home > Gruppen.
Die Liste Gruppen wird geöffnet. - Wählen Sie den Namen einer Firebox, eines Clusters oder einer Gruppe.
Die Seite Tools > Executive-Dashboard wird geöffnet. - Wählen Sie die Registerkarte Berichte.
- Wählen Sie Dienste > Intrusions (IPS).
Der Intrusions (IPS)-Bericht wird geöffnet.
Wechsel
Mit Hilfe von Wechseln können Sie die Anzeige der Daten im Bericht ändern.
Um zu einer anderen Ansicht zu wechseln, wählen Sie einen Wechsel aus der Dropdown-Liste oberhalb des Berichts.
Dieser Bericht enthält diese Wechsel:
Aktivitätstrend
Zusammenfassender Bericht über die Entwicklung der Intrusions in Ihrem Netzwerk im Laufe der Zeit.
Protokoll
Zusammenfassung der IPS-Aktionen, geordnet nach dem für den Datenverkehr verwendeten Protokoll.
Signaturen
Zusammenfassung der IPS-Aktionen, geordnet nach Signaturen.
Quelle
Zusammenfassung der IPS-Aktionen, geordnet nach der IP-Adresse, von der der Datenverkehr ausging.
Bedrohungslevel
Zusammenfassung der IPS-Aktionen, geordnet nach Bedrohungslevel.
Intrusions (IPS)-Bericht – Detailansicht
Um einen detaillierten Bericht über alle vom IPS erkannten Intrusions anzuzeigen, klicken Sie am oberen Rand des Berichts auf Details anzeigen.
Der Intrusions (IPS)-Detailbericht enthält eine Zeile für jede vom IPS erkannte Bedrohung:
| Spalte | Beschreibung |
|---|---|
| Status | Von der Firebox für diesen Datenverkehr ergriffene Aktionen, z. B. Abgelehnt oder Zugelassen |
| Zeit | Datum und Zeit, zu der die Aktion eingetreten ist |
| Bedrohungslevel | Schweregrad der Bedrohung: Kritisch, Hoch, Mittel, Niedrig, oder Information |
| Name | Name der Datei, die als Bedrohung identifiziert wurde |
| Kategorie | Art der Bedrohung, z. B. Virus/Wurm |
| Quelle | IP-Adresse der Quelle des Datenverkehrs |
| Ziel | IP-Adresse des Ziels für den Datenverkehr |
| Regel | Name der Firebox-Regel, die den Datenverkehr untersucht hat |
| Protokoll | Protokoll zum Senden des Datenverkehrs |
| Treffer | Anzahl der Treffer |
| Mehr Informationen |
Klicken Sie in Dimension in dieser Spalte auf Security Portal, um weitere Informationen über die Bedrohung im WatchGuard Security Portal anzuzeigen. |
| Signatur |
Signatur-ID der Bedrohung |
Protokollierung für diesen Bericht aktivieren
Die Protokollierung für Cloud-verwaltete Fireboxen ist automatisch aktiviert. Für lokal verwaltete Fireboxen müssen Sie die Protokollierung in Fireware Web UI oder Policy Manager manuell aktivieren. Weitere Informationen erhalten Sie in Präferenzen für Protokollierung und Benachrichtigung festlegen.
Um die für diesen Bericht für lokal verwaltete Fireboxen benötigten Daten zu erfassen, gehen Sie in Fireware Web UI oder Policy Manager wie folgt vor:
-
Aktivieren Sie bei den Einstellungen für Intrusion Prevention auf der Firebox das Kontrollkästchen Protokollierung für Bedrohungslevel mit den Aktionen Blockieren und Trennen. Weitere Informationen finden Sie unter Intrusion Prevention konfigurieren.