المشكلة

في كاتو، هناك نوعان من الحصص: الأولى تتعلق بالأحداث، بينما الأخرى تتعلق بالتنبيهات. الحد الافتراضي يختلف بناءً على ترخيص DPA الذي يمتلكه العميل.

• بالنسبة للعميل الذي لديه ترخيص DPA 2021، يكون العتبة الافتراضية لتوليد الأحداث عند 2.5 مليون حدث في الساعة، لكل نوع فرعي. 
• في DPA 23، يتم تحديد العتبة بواسطة عدد وحدات البيانات التي يكتسبها العميل أثناء عملية التجديد أو الانضمام. 1 وحدة بيانات تعادل 2.5 مليون حدث في الساعة. (جمع لجميع الأنواع الفرعية). 

ملاحظة: معدل تغذية الأحداث في كاتو API لا يقتصر على حصة الأحداث، بل يتبع حدود معدل API المختلفة كما هو موضح في فهم حجب معدل كاتو API

بالنسبة للتنبيهات، تم تحديد الحد الأقصى الافتراضي لتوليد التنبيه عند 50 تنبيهًا في الساعة، لكل نوع فرعي. 

للتعرف على نوع ترخيص DPA لديك، اذهب إلى الإدارة > الترخيص

مثال. على DPA 2021

مثال. على DPA 2023

للحصول على المزيد من المعلومات، ارجع إلى حدود وعتبات سحابة كاتو.

تهدف هذه المقالة إلى تقديم التوجيه حول كيفية معالجة المواقف التي تلقيت فيها بريدًا إلكترونيًا يخبرك بتجاوز حصة الأحداث و/أو حصص التنبيهات.

استكشاف الأعطال وإصلاحها

1. تجاوز حصة أحداث كاتو
2. تجاوز حصة تنبيهات كاتو

تجاوز حصة أحداث كاتو

عندما يتجاوز عدد الأحداث الحصة القصوى للحساب، كاتو تولد تنبيهًا عبر البريد الإلكتروني.  

تظهر لقطة الشاشة التالية رسالة عينة لتنبيه تجاوز حصة الأحداث لأحداث جدار حماية الإنترنت:  

الحل 

كاتو تولد التنبيه تجاوز حصة الأحداث عندما يتجاوز عدد الأحداث لنوع حدث محدد الحدود القصوى للأحداث في الساعة. للحصول على معلومات حول حدود الأحداث، انظر حدود وعتبات سحابة كاتو.

أحداث الشبكة الواسعة والإنترنت

يمكنك تحديد قاعدة الشبكة الواسعة أو الإنترنت التي تولد عددًا كبيرًا من الأحداث ثم تعطيل خيار التتبع > Event.   

للتعرف على قاعدة الجدار الناري وتعطيل خيار تتبع الأحداث: 

1. افتح تطبيق إدارة كاتو وانتقل إلى الصفحة الرئيسية > الأحداث. 
2. قم بتوسيع القاعدة بمجال الحقول القسم. 
3. حدد قاعدة الجدار الناري التي تولد عددًا كبيرًا من الأحداث. 

تظهر لقطة الشاشة التالية مثالًا على قاعدة الجدار الناري (السماح لجميع العمليات الصادرة) التي تنتج 5.6 مليون حدث: 

    4. اذهب إلى الأمان>الشبكة الواسعة أو جدار حماية الإنترنت، حدد القاعدة (من الخطوة السابقة) وقم بتعديل إعدادات التتبع.

5. عطل خيار الحدث لهذه القاعدة. 

   6. انقر على تطبيق ثم انقر على حفظ.

أحداث IPS

إذا كان محرك IPS يحجب حركة المرور المتوقعة، مثل عمليات الفحص الضعيفة، التي تولد عددًا كبيرًا من الأحداث، يمكنك وضع قائمة السماح على مصدر الحركة كما هو موضح في وضع قائمة السماح لتوقيعات IPS

لتحديد عنوان IP المصدر وإضافته إلى قائمة السماح:  

1. افتح تطبيق إدارة كاتو وانتقل إلى الصفحة الرئيسية > الأحداث. 
2. اختر الاعداد الافتراضي لـ IPS
3. قم بتوسيع عنوان IP المصدر بمجال الحقول القسم واختر عنوان IP الذي يحتوي على أكبر عدد من أحداث IPS.
4. انقر على ID التوقيع وقم بتكوين قائمة السماح حسب المناسب. تأكد من تعطيل التتبع.
5. انقر على تطبيق

تجاوز حصة تنبيهات كاتو

سيتم إرسال بريد إلكتروني إلى قائمة مراسلات العميل، ضمن الإعلام العام، عندما يتجاوز عدد التنبيهات التي يتم إنشاؤها لمدة ساعة 50 للحساب. سيحصل العميل على بريد إلكتروني بعنوان "تنبيهات كاتو تجاوز الحصة".

الحل

1. تحديد البريد الإلكتروني لتجاوز حصة التنبيه الذي تم إنشاؤه لأي ميزة من ميزات كاتو. على سبيل المثال، في البريد الإلكتروني لتجاوز حصة التنبيه، كان ذلك لبريد التنييب IPs. 
2. قم بتسجيل الدخول إلى CMA للتحقق من صحة هذا التنبيه
   • اذهب إلى الصفحة الرئيسية > الأحداث
   • تحت اختيار القوالب، اختر IPS وقم بتخصيص الفترة الزمنية بناءً على وقت استلام البريد الإلكتروني. نظرًا لأن الحد الأدنى لعدد التنبيهات لتوليد بريد التنبيه تجاوز الحصة هو 50 تنبيهًا في الساعة، قم بتخصيص الفترة الزمنية بدءًا من ساعة قبل استلام البريد الإلكتروني.  
     
3. افحص الأحداث لتحديد السبب وراء التنبيه. على سبيل المثال، في لقطة الشاشة أدناه، يمكن ملاحظة وجود عدة أحداث لهجوم محتمل، وأنه كان مصدرها من نفس المصدر.
   
4. تحقق من الأحداث واتخذ الإجراءات اللازمة.
5. إذا تبين أن هذه التنبيهات إيجابية كاذبة، فاتصل بدعم كاتو. لفتح قضية دعم، يرجى الرجوع إلى تقديم تذكرة دعم.
6. إذا كنت لا ترغب في تلقي تنبيهات مماثلة لاحقًا، يمكنك الذهاب إلى القاعدة أو الميزة المتعلقة بهذا التنبيه وتعطيل إشعار البريد الإلكتروني.