Passer au contenu principal

Chargement montant réseau anormal

Alert when a device's upload bandwidth exceeds a threshold for a sustained duration. Useful for catching data exfiltration, runaway backups, and other unexpected outbound traffic.

Introduction

Recevez une alerte lorsqu'un appareil commence à envoyer plus de données que prévu. Le moniteur de chargement montant réseau anormal surveille la bande passante en upload et se déclenche lorsqu'elle dépasse votre seuil pendant toute la durée de la violation, signalant une activité sortante inhabituelle avant qu'elle ne devienne un problème plus grave.

Les uploadings montants anormaux soutenus constituent l'un des signaux précoces les plus utiles dans un environnement : l'exfiltration de données, une tâche de sauvegarde mal configurée, un client de synchronisation cloud incontrôlé ou un logiciel malveillant qui communique avec son serveur de commande apparaissent tous ici en premier.

Fonctionnement du moniteur de chargement montant réseau anormal

Level échantillonne le débit sortant sur les interfaces réseau de l'appareil. Lorsque le taux d'upload atteint ou dépasse votre seuil (en Mbps) et y reste pendant toute la durée de la violation, Level crée une alerte. L'alerte inclut une ventilation par interface, ce qui vous permet de voir exactement quelle carte réseau pousse le trafic.

Il s'agit d'un moniteur de débit, non d'un moniteur de contenu ou de destination. Il mesure le nombre de bits par seconde quittant l'appareil ; il ne sait pas où va le trafic ni quel processus l'envoie. Cela en fait un déclencheur rapide pour « cette machine envoie soudainement beaucoup de données », et les débits par interface dans l'alerte vous donnent un point de départ pour l'investigation.

La durée de violation est ce qui distingue les vraies anomalies du trafic normal. Un appareil présentant un pic momentané pendant un appel vidéo ou un partage de fichiers ne mérite pas une alerte. Un poste de travail maintenant 50 Mbps en sortie pendant 20 minutes à 2 h du matin, probablement si.

Configuration du moniteur de chargement montant réseau anormal

Ouvrez la politique de moniteur cible, puis cliquez sur + Ajouter un nouveau moniteur (ou ouvrez un moniteur de chargement montant réseau anormal existant pour le modifier).

Network Abnormal Upload Monitor

Nom et type

  1. Saisissez un nom dans le Nom champ. Le champ est facultatif, mais un nom spécifique comme « Postes de travail - Upload anormal » est bien plus lisible dans une liste d'alertes que la valeur par défaut.

  2. Définissez Type à Chargement montant réseau anormal.

Gravité

Définissez Gravité en fonction de la façon dont votre équipe doit réagir au trafic sortant anormal dans ce contexte :

  • Information

  • Avertissement

  • Critique

  • Urgence

💡 CONSEIL : Si vous utilisez ce moniteur comme déclencheur d'exfiltration sur des serveurs contenant des données sensibles, Critique est approprié. Pour une couverture générale des postes de travail, Avertissement maintient le signal sans alerter qui que ce soit pour une grande synchronisation OneDrive.

Seuil

Seuil définit la bande passante d'upload, en Mbps, qui déclenche le moniteur. La comparaison est supérieur ou égal à : un trafic exactement au seuil compte comme une violation. Ajustez la valeur avec les flèches haut/bas ou saisissez-la directement.

Il n'existe pas de valeur universellement correcte. Cela dépend du rôle de l'appareil et de votre liaison montante. Quelques points de départ :

  • Postes de travail sur une connexion de bureau classique : 20 à 50 Mbps détecte les uploads massifs soutenus sans signaler les appels vidéo

  • Serveurs qui ne devraient pas beaucoup uploader (contrôleurs de domaine, serveurs d'applications internes) : 5 à 10 Mbps

  • Serveurs de sauvegarde ou postes de travail multimédia : définir bien au-dessus de leur pic normal, ou les regrouper dans une politique distincte

💡 CONSEIL : Si vous n'êtes pas sûr de ce que représente un trafic normal, commencez avec un seuil généreux au niveau de gravité Information et resserrez-le une fois que vous avez observé une semaine de trafic réel.

Durée de violation

Durée de violation contrôle la durée pendant laquelle la bande passante d'upload doit rester au-dessus du seuil avant que Level ne crée une alerte. Définissez-la avec le curseur ou les flèches haut/bas ; les deux ajustent la même valeur. La plage est de 0 à 120 minutes.

Définir la durée de violation à 0 déclenche l'alerte dès que le seuil est dépassé. C'est presque toujours trop bruyant pour un moniteur de bande passante. Le trafic légitime présente constamment des pics : transferts de fichiers, partage d'écran, rafales de synchronisation cloud.

💡 CONSEIL : Une durée de violation de 10 à 15 minutes filtre presque tous les pics légitimes. L'exfiltration et les tâches d'upload incontrôlées maintiennent leur débit ; un appel Teams se termine.

Remédiation

Associez éventuellement une automatisation à exécuter lorsque ce moniteur se déclenche. C'est ainsi que vous créez un ticket, alertez votre équipe ou lancez un script de confinement au moment où l'alerte est créée.

  1. Cliquez sur le Remédiation champ et sélectionnez une automatisation dans la liste.

  2. Utilisez l'icône de lien pour ouvrir l'automatisation sélectionnée dans un nouvel onglet, l'icône d'œil pour la prévisualiser, ou le × pour la supprimer.

Une fois associée, ouvrez l'automatisation pour affecter la charge utile du moniteur à une variable d'automatisation si vous souhaitez transmettre le contexte de l'alerte à la logique de l'automatisation. La charge utile de ce moniteur inclut le seuil et le taux d'upload mesuré pour chaque interface ayant enfreint le seuil, par exemple :

Upload traffic has exceeded 50 Mbps.
* en0: 87.34 Mbps  
* eth1: 61.20 Mbps

ℹ️ REMARQUE : Si le moniteur lui-même échoue à s'exécuter sur un appareil (par exemple, aucune interface réseau n'est disponible pour l'échantillonnage), l'alerte contient un message d'erreur à la place de la charge utile habituelle.

Notifier les destinataires

Deux cases à cocher contrôlent le moment où ce moniteur envoie un e-mail aux destinataires de la politique :

  • À la création de l'alerte envoie un e-mail lorsque l'alerte se déclenche

  • À la résolution de l'alerte envoie un e-mail lorsque l'alerte est résolue

Les destinataires sont gérés au niveau de la politique de moniteur, dans la Destinataires section.

Résolution automatique

Le bouton Résoudre automatiquement l'alerte lorsque les conditions sont rétablies ferme automatiquement l'alerte une fois que la bande passante d'upload repasse en dessous du seuil.

Réfléchissez avant d'activer cette option pour les cas d'usage liés à la sécurité. Un événement d'exfiltration qui termine son upload passera en dessous du seuil de lui-même. Si l'alerte se résout automatiquement, personne ne la consultera peut-être jamais. Pour les politiques orientées sécurité, laissez la résolution automatique désactivée afin qu'un humain examine chaque occurrence.

⚠️ AVERTISSEMENT : Avec la résolution automatique activée, une courte rafale de trafic d'upload anormal peut se déclencher et se résoudre avant que quiconque n'enquête. L'historique des alertes est conservé, mais les alertes résolues sont faciles à manquer. Pour la détection d'exfiltration, laissez cette option désactivée.

FAQ

  • Qui peut créer et modifier des moniteurs ? Les techniciens ayant accès à la politique de moniteur concernée. Les paramètres de permission sont gérés dans Espace de travail → Permissions.

  • Le seuil est-il mesuré en mégabits ou en mégaoctets ? Mégabits par seconde (Mbps). Un seuil de 100 Mbps représente environ 12,5 mégaoctets par seconde d'upload soutenu.

  • Mon alerte se déclenche chaque nuit à la même heure. Que se passe-t-il ? Il s'agit presque certainement d'une tâche planifiée : sauvegardes, synchronisation cloud ou une tâche de réplication hors site. Soit augmentez le seuil pour la politique de cet appareil, prolongez la durée de violation au-delà de la durée d'exécution de la tâche, ou déplacez les serveurs de sauvegarde dans leur propre politique avec des limites correspondant à leur charge de travail réelle.

  • Quelle est la différence entre le seuil et la durée de violation ? Le seuil est le taux d'upload qui doit être dépassé. La durée de violation est la durée pendant laquelle il doit rester dépassé. Les deux conditions doivent être remplies avant qu'une alerte ne se déclenche.

  • Ce moniteur m'indique-t-il quelle interface ou quel processus est responsable ? La charge utile de l'alerte détaille le taux d'upload mesuré par interface (en0, eth1, etc.), vous saurez donc quelle carte réseau est concernée. Elle ne capture pas le processus, l'adresse IP de destination ou le port. Pour cela, effectuez l'investigation via Gestion en arrière-plan → Processus ou votre outil réseau une fois l'alerte déclenchée.

  • Puis-je l'utiliser pour détecter une exfiltration de données ? C'est un déclencheur utile, mais il est basé sur la bande passante, pas sur le contenu. Une exfiltration lente et à faible débit en dessous de votre seuil ne le déclenchera pas. Associez-le à des seuils adaptés par classe d'appareils et considérez-le comme un signal parmi d'autres, pas comme un remplacement de la prévention des pertes de données.

  • Que se passe-t-il avec les alertes ouvertes si je supprime le moniteur ? Les alertes existantes restent en place. La suppression d'un moniteur ne ferme pas les alertes qu'il a déjà créées. Résolvez-les manuellement.

Articles connexes
Moniteur d'utilisation du processeur
Moniteur d'utilisation de la mémoire
Moniteur IOPS disque
Moniteur de débit disque
Moniteur de saturation réseau
Avez-vous trouvé la réponse à votre question ?