Zum Hauptinhalt springen

Netzwerk: Abnormaler Upload

Alert when a device's upload bandwidth exceeds a threshold for a sustained duration. Useful for catching data exfiltration, runaway backups, and other unexpected outbound traffic.

Einführung

Erhalten Sie eine Warnung, wenn ein Gerät mehr Daten nach außen sendet als erwartet. Der Monitor „Netzwerk: Abnormaler Upload" überwacht die Upload-Bandbreite und löst einen Alarm aus, wenn diese den festgelegten Schwellenwert für die gesamte Überschreitungsdauer überschreitet – und markiert so ungewöhnliche ausgehende Aktivitäten, bevor sie zu einem größeren Problem werden.

Anhaltend abnormale Uploads gehören zu den nützlichsten Frühwarnsignalen in einer Umgebung: Datenexfiltration, ein falsch konfigurierter Sicherungsauftrag, ein unkontrollierter Cloud-Sync-Client oder Malware, die nach Hause telefoniert – all das taucht hier zuerst auf.

Funktionsweise des Monitors „Netzwerk: Abnormaler Upload"

Level erfasst den ausgehenden Durchsatz auf den Netzwerkschnittstellen des Geräts. Wenn die Upload-Rate Ihren Schwellenwert (in Mbps) erreicht oder überschreitet und dies für die gesamte Überschreitungsdauer anhält, erstellt Level einen Alarm. Der Alarm enthält eine aufgeschlüsselte Ansicht pro Schnittstelle, sodass Sie genau sehen können, welche Netzwerkkarte den Datenverkehr erzeugt.

Dies ist ein Raten-Monitor, kein Inhalts- oder Zielmonitor. Er misst, wie viele Bits pro Sekunde das Gerät verlassen; er weiß nicht, wohin der Datenverkehr geht oder welcher Prozess ihn sendet. Das macht ihn zu einem schnellen Stolperdraht für „dieses Gerät sendet plötzlich sehr viele Daten nach außen", und die Raten pro Schnittstelle im Alarm bieten einen Ausgangspunkt für die Untersuchung.

Die Überschreitungsdauer ist das, was echte Anomalien von normalem Datenverkehr unterscheidet. Ein Gerät, das während eines Videoanrufs oder einer Dateifreigabe kurzzeitig einen Spitzenwert erreicht, ist keine Warnung wert. Eine Workstation, die um 2 Uhr morgens 20 Minuten lang 50 Mbps ausgehend hält, wahrscheinlich schon.

Konfiguration des Monitors „Netzwerk: Abnormaler Upload"

Öffnen Sie die gewünschte Monitor-Richtlinie und klicken Sie dann auf + Neuen Monitor hinzufügen (oder öffnen Sie einen vorhandenen Monitor „Netzwerk: Abnormaler Upload", um ihn zu bearbeiten).

Network Abnormal Upload Monitor

Name und Typ

  1. Geben Sie einen Namen in das Feld Name Feld. Das Feld ist optional, aber ein spezifischer Name wie „Workstations – Abnormaler Upload" ist in einer Alarmübersicht viel leichter zu scannen als der Standardname.

  2. Setzen Sie Typ auf Netzwerk: Abnormaler Uploadein.

Schweregrad

Setzen Sie Schweregrad basierend darauf, wie Ihr Team auf abnormalen ausgehenden Datenverkehr in diesem Kontext reagieren soll:

  • Information

  • Warnung

  • Kritisch

  • Notfall

💡 TIPP: Wenn Sie diesen Monitor als Exfiltrationswarnung auf Servern mit sensiblen Daten einsetzen, ist „Kritisch" angemessen. Für die allgemeine Workstation-Überwachung hält „Warnung" das Signal aufrecht, ohne bei einer großen OneDrive-Synchronisierung eine Benachrichtigung auszulösen.

Schwellenwert

Schwellenwert legt die Upload-Bandbreite in Mbps fest, die den Monitor auslöst. Der Vergleich erfolgt als „größer oder gleich": Datenverkehr genau am Schwellenwert gilt als Überschreitung. Passen Sie den Wert mit den Pfeilen nach oben/unten an oder geben Sie ihn direkt ein.

Es gibt hier keine universell richtige Zahl. Es hängt von der Rolle des Geräts und Ihrer Uplink-Kapazität ab. Einige Ausgangspunkte:

  • Workstations mit einer typischen Büroverbindung: 20 bis 50 Mbps erfassen anhaltende Massen-Uploads, ohne Videoanrufe zu markieren

  • Server, die kaum Daten hochladen sollten (Domänen-Controller, interne Anwendungsserver): 5 bis 10 Mbps

  • Backup-Server oder Medien-Workstations: deutlich über ihrem normalen Spitzenwert einstellen oder in eine separate Richtlinie auslagern

💡 TIPP: Wenn Sie nicht wissen, wie normaler Datenverkehr aussieht, beginnen Sie mit einem großzügigen Schwellenwert bei Schweregrad „Information" und passen Sie ihn an, sobald Sie eine Woche echten Datenverkehr gesehen haben.

Überschreitungsdauer

Überschreitungsdauer legt fest, wie lange die Upload-Bandbreite den Schwellenwert überschreiten muss, bevor Level einen Alarm erstellt. Stellen Sie den Wert mit dem Schieberegler oder den Pfeilen nach oben/unten ein; beide steuern denselben Wert. Der Bereich liegt bei 0 bis 120 Minuten.

Wenn die Überschreitungsdauer auf 0 gesetzt wird, löst der Alarm sofort aus, sobald der Schwellenwert überschritten wird. Das ist für einen Bandbreiten-Monitor fast immer zu störend. Legitimer Datenverkehr zeigt ständig Spitzen: Dateiübertragungen, Bildschirmfreigaben, Cloud-Sync-Bursts.

💡 TIPP: Eine Überschreitungsdauer von 10 bis 15 Minuten filtert nahezu alle legitimen Spitzen heraus. Exfiltration und unkontrollierte Upload-Prozesse halten ihre Rate aufrecht; ein Teams-Anruf endet.

Behebung

Fügen Sie optional eine Automatisierung hinzu, die ausgeführt wird, wenn dieser Monitor auslöst. So erstellen Sie ein Ticket, benachrichtigen Ihr Team oder starten ein Eindämmungsskript, sobald der Alarm erstellt wird.

  1. Klicken Sie auf das Feld Behebung Feld und wählen Sie eine Automatisierung aus der Liste aus.

  2. Verwenden Sie das Link-Symbol, um die ausgewählte Automatisierung in einem neuen Tab zu öffnen, das Augensymbol für eine Vorschau, oder das × , um sie zu entfernen.

Öffnen Sie nach dem Verknüpfen die Automatisierung, um die Nutzlast des Monitors einer Automatisierungsvariablen zuzuweisen, wenn Sie den Alarmkontext in die Logik der Automatisierung übergeben möchten. Die Nutzlast dieses Monitors enthält den Schwellenwert und die gemessene Upload-Rate für jede Schnittstelle, die die Überschreitung verursacht hat, zum Beispiel:

Upload traffic has exceeded 50 Mbps.
* en0: 87.34 Mbps  
* eth1: 61.20 Mbps

ℹ️ HINWEIS: Wenn der Monitor auf einem Gerät nicht ausgeführt werden kann (z. B. weil keine Netzwerkschnittstellen zur Verfügung stehen), enthält der Alarm statt der üblichen Nutzlast eine Fehlermeldung.

Empfänger benachrichtigen

Zwei Kontrollkästchen steuern, wann dieser Monitor die Empfänger der Richtlinie per E-Mail benachrichtigt:

  • Bei Alarmerstellung sendet eine E-Mail, wenn der Alarm ausgelöst wird

  • Bei Alarmauflösung sendet eine E-Mail, wenn der Alarm aufgelöst wird

Empfänger werden auf Ebene der Monitor-Richtlinie verwaltet, im Abschnitt Empfänger Abschnitt.

Automatische Auflösung

Der Schalter Alarm automatisch auflösen, wenn Bedingungen nicht mehr zutreffen schließt den Alarm automatisch, sobald die Upload-Bandbreite wieder unter den Schwellenwert fällt.

Überlegen Sie gut, bevor Sie diese Option für sicherheitsbezogene Anwendungsfälle aktivieren. Ein Exfiltrationsereignis, das den Upload abgeschlossen hat, fällt von selbst unter den Schwellenwert. Wenn der Alarm automatisch aufgelöst wird, schaut sich möglicherweise niemand mehr damit an. Bei sicherheitsorientierten Richtlinien lassen Sie die automatische Auflösung deaktiviert, damit ein Mensch jedes Vorkommnis überprüft.

⚠️ WARNUNG: Bei aktivierter automatischer Auflösung kann ein kurzlebiger Ausbruch von abnormalem Upload-Datenverkehr auslösen und aufgelöst werden, bevor jemand nachforscht. Der Alarmverlauf bleibt erhalten, aber aufgelöste Alarme werden leicht übersehen. Lassen Sie dies für die Exfiltrationserkennung deaktiviert.

Häufig gestellte Fragen

  • Wer kann Monitore erstellen und bearbeiten? Techniker mit Zugriff auf die entsprechende Monitor-Richtlinie. Berechtigungseinstellungen werden verwaltet unter Arbeitsbereich → Berechtigungen.

  • Wird der Schwellenwert in Megabit oder Megabyte gemessen? Megabit pro Sekunde (Mbps). Ein Schwellenwert von 100 Mbps entspricht ungefähr 12,5 Megabyte pro Sekunde anhaltenden Uploads.

  • Mein Alarm wird jeden Abend zur gleichen Zeit ausgelöst. Was ist los? Höchstwahrscheinlich ein geplanter Auftrag: Sicherungen, Cloud-Synchronisierung oder eine externe Replikationsaufgabe. Erhöhen Sie entweder den Schwellenwert für die Richtlinie dieses Geräts, verlängern Sie die Überschreitungsdauer über die Laufzeit des Auftrags hinaus, oder verschieben Sie Backup-Server in eine eigene Richtlinie mit Grenzwerten, die der tatsächlichen Arbeitslast entsprechen.

  • Was ist der Unterschied zwischen Schwellenwert und Überschreitungsdauer? Der Schwellenwert ist die Upload-Rate, die überschritten werden muss. Die Überschreitungsdauer ist die Zeit, wie lange sie überschritten bleiben muss. Beide Bedingungen müssen erfüllt sein, bevor ein Alarm ausgelöst wird.

  • Zeigt mir dieser Monitor, welche Schnittstelle oder welcher Prozess verantwortlich ist? Die Alarmnutzlast schlüsselt die gemessene Upload-Rate pro Schnittstelle auf (en0, eth1 usw.), sodass Sie wissen, welche Netzwerkkarte aktiv ist. Prozess, Ziel-IP oder Port werden nicht erfasst. Untersuchen Sie dies über Hintergrundverwaltung → Prozesse oder Ihre Netzwerktools, sobald der Alarm ausgelöst wird.

  • Kann ich damit Datenexfiltration erkennen? Er ist ein nützlicher Stolperdraht, aber er basiert auf Bandbreite, nicht auf Inhalten. Langsame, niedrigratige Exfiltration unterhalb Ihres Schwellenwerts löst ihn nicht aus. Kombinieren Sie ihn mit sinnvollen Schwellenwerten pro Geräteklasse und betrachten Sie ihn als ein Signal – nicht als Ersatz für DLP.

  • Was passiert mit offenen Alarmen, wenn ich den Monitor lösche? Bestehende Alarme bleiben bestehen. Das Löschen eines Monitors schließt keine bereits erstellten Alarme. Lösen Sie diese manuell auf.

Verwandte Artikel
CPU-Auslastungsmonitor
Speicherauslastungs-Monitor
Festplatten-IOPS-Monitor
Festplattendurchsatz-Monitor
Netzwerkauslastungs-Monitor
Hat dies deine Frage beantwortet?