第17章 Dashboard#

跟傳統 UTM的數據呈現方式不同,NG-UTM 的 Dashboard(威脅情報儀表)以圖形的方式提供網路流量、內容及駭客攻防紀錄等資訊,
並以 Drill Down 的方式,便於管理者找出問題的根源。
../_images/image532.png
進入 Dashboard 的首頁,上方是每一個模塊的切換,其中【功能配置】是切回傳統的管理介面。
此處的功能列表可以操作:
1. 時間:可以選擇 24 小時模式或自訂範圍。
2. 排行:設置各項目的統計排行數量。預設為 10,表示會顯示前 10 名的數據。
3. IPV4/IPV6:切換目前的位址。
4. PNG/PDF:依選擇的檔案格式下載目前顯示的統計資料。
5. 刷新:重新整理。

Tip

影片參考|眾至NU系列 UTM教學 Dashboard介紹Dashboard報表與配送

17-1、威脅情報#

顯示 NG-UTM 的攻防紀錄。首頁的威脅情報分成即時資訊跟依風險類型分類的攻防資訊,即時資訊顯示今日最高連線、可疑連線等,
依風險類型分類的攻防資訊可以依今日或本月份把病毒防護、垃圾郵件、IPS、防火牆防護跟各種管制羅列出來,同時跟最近五個月內的月份做簡單的比較。
威脅情報 Dashboard

圖 404. 威脅情報 Dashboard#

首頁的威脅情報是概約式的統計,如果要看更詳細的資訊,點擊上方的威脅情報圖示,即會開啟新視窗顯示更完整的資訊,包含區域圖、圓餅圖及各風險類型的排行列表。

17-2、流量分析#

NG-UTM 是以 DPI 為建構的基本核心,每一個進出設備的網路連線都會被辨識其使用的應用程式並統計它的使用量,
Dashboard 的流量分析 (Application) 會將這一些統計數據以圖形介面呈現。
Applications 的 Dashboard

圖 405. Applications 的 Dashboard#

【區域圖】:過去 24 小時內,以小時為基本單位,進出 NG-UTM 的所有流量(上傳/下載)總和的統計。
點選每個小時的統計數字後,Dashboard 會列出這一個小時內所有應用程式的使用量分配。
以上圖為例,點選 18:00 的流量,系統會自動統計 17:30~18:30 經過 NG-UTM 的上傳跟下載流量,並根據使用的應用程式跟來源 IP 位址進行分類,如下圖。
點選表列的應用程式或是來源 IP 位址,可以繼續 Drill Down 更詳細的資訊。
每小時的應用程式使用量分析

圖 406. 每小時的應用程式使用量分析#

【圓餅圖】:每一個應用程式的分布比例。

【前 10 名 應用程序流量】:列出過去 24 小時內前 10 種使用量最多的應用程式,點選應用程式的種類,系統會自動在【區域圖】分析這一個應用程式在過去 24 小時內的分布。

點選每個應用程式詳細欄位的圖示 image481 ,進入更詳細的統計分析,以點選 SSH 為例:
NG-UTM 會統計過去 24 小時內,哪一些來源或是目的 IP 位址的使用者用過這一個應用程式或者是這個應用程式使用的 Port 分布。
應用程式使用量分析

圖 407. 應用程式使用量分析#

再點選每個 IP 位址後詳細欄位的圖示 image483 ,則會顯示這一個來源 IP 位址使用 SSH 到哪裡、使用量分別是多少。

應用程式來源目的 IP 位址使用量分析

圖 408. 應用程式來源目的 IP 位址使用量分析#

【前 10 名 IP 地址流量】:列出過去 24 小時內前 10 名使用量最大的來源或是目的 IP 位址,點選 IP 位址後,系統會自動在【區域圖】分析這一個 IP 位址在過去 24 小時內的使用量分布,
跟前面以應用程式分類的查詢方式一樣,只不過這個地方是以來源/目的 IP 位址為查詢依據。

17-3、連線狀態#

NG-UTM 能看到所有經過的即時連線數,並根據應用程式分類每一個應用程式跟統計每一個來源 IP 位址的即時連線數量,這個功能最容易找出當下連線異常的使用者。
在動態顯示的圖形上,預設是統計所有的數量後再去計算它佔的比例,如果管理者想要剔除某些資料量進入總量的統計,只要在圓餅圖旁點選該項目,則 NG-UTM 就會自動剔除其資料並重新統計數量分配。
即時連線數統計

圖 409. 即時連線數統計#

【圓餅圖】:根據應用程式跟連線數量統計,並顯示它的分布比例。

17-4、防火牆防護#

欲查看防火牆防護的統計資訊需要事先確認以下動作:

  1. 「管理目標 > 防火牆功能」中其他項目必須要勾選。

  2. 系統預設會針對本機的駭客攻防紀錄進行統計,當管理者在 管制條例 使用者進出網路的介面,有一條條例是套用防護設定,則 Dashboard 也會統計這一些紀錄。

滿足上面 2 個條件後,NG-UTM 就會自動執行統計分析。

防火牆攻防紀錄

圖 410. 防火牆攻防紀錄#

【圓餅圖】:根據攻擊種類分類,並顯示它的分布比例。

【Top 10】:共有 2 種分類,分別是攻擊種類跟攻擊/受駭的 IP 位址,點選詳細欄位的圖示 image487 ,都可以繼續 Drill Down 更詳細的資訊。

防火牆詳細紀錄

圖 411. 防火牆詳細紀錄#

17-5、IPS#

欲查看 IPS 的統計資訊需要事先確認以下動作:

  1. 「IPS > IPS 設定」中至少要啟用紀錄功能。

  2. 管制條例 使用者進出網路的介面,必須要有一條條例是套用在 IPS 設定的項目。

滿足上面 2 個條件後,NG-UTM 就會自動執行統計分析。

IPS 的統計

圖 412. IPS 的統計#

【圓餅圖】:根據特徵值的風險程度分類,分成高、中、低 3 種,並顯示它的分布比例。

【Top 10】:共有 3 種分類,依據風險程度、攻擊或是受害的 IP 位址及攻擊種類,點選詳細欄位的圖示 image490 ,都可以繼續Drill Down 更詳細的資訊。

IPS 攻防詳細資料

圖 413. IPS 攻防詳細資料#

17-6、Web 服務#

欲查看 Web 的統計資訊需要事先確認:

管制條例 使用者進出網路的介面,必須要有一條條例有勾選 Web 紀錄的項目。

滿足此條件後,NG-UTM 就會自動執行統計分析。

Web 的統計

圖 414. Web 的統計#

【圓餅圖】:根據 Web(包含 HTTP 跟 HTTPS 的總和)網站分類,並顯示它的分布比例。

【Top 10】:共有 2 種分類,分別是造訪網站的前 10 名跟使用 WEB 量的前 10 名,點選詳細欄位的圖示 image493 ,都可以繼續 Drill Down 更詳細的資訊。

Web 的詳細分布

圖 415. Web 的詳細分布#

17-7、Web Control#

欲查看 Web Control 的統計資訊需要事先確認:

管制條例 使用者進出網路的介面,必須要有一條條例有勾選 Web 紀錄的項目。

滿足此條件後,NG-UTM 就會自動執行統計分析。

Web 的統計

圖 416. Web 的統計#

【圓餅圖】:根據 Web(包含 HTTP 跟 HTTPS 的總和)觸發黑名單資料庫或是惡意程式的網址,做出統計。

17-8、郵件服務#

欲查看 MAIL 的統計資訊有幾個地方需要事先確認以下動作:

1.「郵件管理 > 垃圾郵件過濾 > 垃圾郵件處理方式」必須啟用其中一樣,如果管理者不想改變原有的機制,只想作分析用,則可以選「僅作資料分析」。

  1. 管制條例 使用者進出網路的介面,必須要有一條條例是啟用 SMTP 紀錄。

滿足上面 2 個條件後,NG-UTM 就會自動執行統計分析。

Mail 使用量分析

圖 417. Mail 使用量分析#

【區域圖】:過去 24 小時內,以小時為基本單位,進出 NG-UTM 的所有郵件總和的統計,顯示正常郵件、垃圾郵件、病毒郵件、連線失敗跟拒絕對方連線的統計數值,
點選每個小時的統計數字後,Dashboard 會列出這一個小時內所有郵件的使用量分配。 再點選郵件每一個項目都可以繼續追查更詳細的使用情況。
每小時 Mail 使用量分析

圖 418. 每小時 Mail 使用量分析#

【圓餅圖】:正常郵件、垃圾郵件、病毒郵件、連線失敗跟拒絕對方連線這5種郵件的統計分析。

【Top 10】:共有 7 種 Top 10 的統計分析,點選詳細欄位的圖示 image498 ,都可以繼續 Drill Down 更詳細的資訊。
如下圖呈現寄件者 Peter@sharetech.com.tw 寄給 hotmail.com 中 sharetech-peter@hotmail.com 的帳號,包含寄信時間、主旨、大小等資訊。
Mail 原始資訊

圖 419. Mail 原始資訊#

17-9、應用程式管制#

(待補)

17-10、WAF異常連線#

(待補)

17-11、IP 地區#

統計透過 NG-UTM 的目的跟來源地區(依國家)。

IP 地區查詢

圖 420. IP 地區查詢#

17-12、DNS 查詢#

統計透過 NG-UTM DNS 查詢的目的跟使用的 DNS 伺服器。

DNS 查詢

圖 421. DNS 查詢#

17-13、統計#

手動設定查詢條件,點選查詢後將呈現管理者想要看到的資訊圖表。

查詢統計

圖 422. 查詢統計#

17-14、報表#

將統計的資訊產生報表,可以設定寄給指定的管理者。先在 2-6、訊息通知 中設定 SMTP 伺服器後,可以於此選擇要收到報表的帳號。

報表設定

圖 423. 報表設定#