- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
Copyright © 2024 新华三技术有限公司及其许可者 版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其它原因,本手册内容有可能变更。H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
H3C 安全威胁发现与运营管理平台是以安全大数据为基础,对能引起网络态势发生变化的要素进行获取、理解、评估和呈现,并对未来发展趋势预测;从全局视角对安全威胁进行发现识别、理解分析、响应处置;通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,安全能力的落地实践。
为了满足多方面、多维度的安全检测需求,安全威胁发现与运营管理平台提供多业务感知引擎,提升对全网风险威胁的检测、判断、识别、预测和告警能力。根据业务场景,不同业务引擎间可模块化组合,协同完成威胁检测、异常发现、攻击溯源、态势呈现和联动响应等功能,同时将机器学习引入多业务感知引擎,可以对海量的安全信息进行自动分析与深度挖掘。
为了全面采集情报、网络、终端等信息,为风险分析提供支撑,安全威胁发现与运营管理平台一方面接入外部威胁情报,另一方面采用主动、被动技术对全网中各种网络设备、安全设备、漏扫设备、互联网爬虫、主机及业务应用系统的异构海量日志进行采集,通过日志范式化处理和日志分类,实现不同厂家日志与系统的快速适配。
基于机器学习和专家系统,对大范围样本数据进行安全分析,利用机器学习算法,建立用户行为、异常流量和威胁攻击等基线,训练出异常流量检测、威胁行为分析和流量趋势预测等模型,同时建立知识库不断优化调整模型,发现威胁并预判趋势。
为了还原攻击链条,完成取证分析,安全威胁发现与运营管理平台以威胁事件为入口,以安全威胁模型为基准,针对攻击全过程中攻击者留下的任意线索进行多维拓展,利用云端丰富的实时威胁情报和本地的网络行为、终端行为、文件信息,对安全事件进行回溯和调查,可视化绘制出完整的攻击链条,覆盖攻击的源头、手段、目标、范围等相关信息,并对被发现的未知威胁进行快速溯源和定性。
为了实现对外部威胁的主动防御,构建“云-网-端”协同的主动防御体系,通过知识库进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网关键设备,现有安全硬件网关充当执行单元,通过云端检测与边界防御,实现安全事件的预警、响应和处置。
为了有效监控在网资产运行及风险状态,快速处置故障及风险事件,平台支持基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
为了从不同角色、实体维度进行风险呈现,为安全运营提供决策依据,平台支持针对不同角色差异化展示安全风险信息。平台以安全大数据为基础,通过可视化技术,从第三方监督专员、业务运营专员、信息安全专员和IT运维管理员等视角进行风险呈现,从资产/流量/业务/行为等维度形成可视化视图,同时提供丰富多样的数据可视化效果,包括3D图表、雷达图、拓扑图、热度图等样式,实现安全事件多维可视。
安全威胁发现与运营管理平台的关键在于采集大量分散的异构传感器提供的安全信息,将这些信息归一化处理,进行大数据关联分析,从而生成有效的安全事件,并以可视化方式呈现出来,使网络管理者能够迅速把握复杂、动态的安全态势。平台系统工作流程架构如下图所示。
数据采集包括主动采集、被动采集和日志导入三个部分,用于将数据源日志信息采集至平台。
· 主动日志采集:平台主动向数据库、日志服务器发起FTP、ODBC、JDBC等连接,主动获取日志或业务数据信息。
· 被动日志采集:平台接收各安全传感器和流量传感器通过Syslog、SNMP、NetStream、HTTP、HTTPS等协议上报的日志信息。
· 日志导入:平台支持接收文本格式日志信息导入。同时,数据采集对采集到的日志信息完成原始编解码处理。
数据处理流程包括数据预处理、分布式存储、分布式检索三个部分。
· 数据预处理:对编码后的原始日志信息进行适配解析和归一化处理,并完成上下文信息丰富(资产、终端、地理位置、区域等信息)。
· 分布式存储:丰富后的日志信息数据、原始流量抓包文件、大数据分析及计算结果信息归类存储,所存数据用于关联分析、AI机器智能学习、取证溯源和威胁信息可视化;考虑到处理性能和可靠性要求,数据进行分布式存储,并且支持按需扩展存储节点。
· 分布式检索:ClickHouse和ElasticSearch分布式检索引擎相结合,兼顾稳定性和检索效率,支撑平台海量日志存储与处理;大数据的快速检索引擎为高速网络流量的深度安全分析提供了技术支持,为高智能模型算法提供计算资源。
安全威胁发现与运营管理平台采用大数据存储架构和集群计算分析引擎构建大数据存储、计算平台。
· 事件关联分析
事件关联分析是指挖掘大量事件之间的关联和时序的关系,进行清洗、聚合。借助先进的关联分析引擎,抽取出真正重要的威胁事件。
平台系统引入威胁情报数据,通过安全日志、流量日志与情报的深度线索关联,实现对高级威胁或APT攻击的有效检测和跟踪,并可结合云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。
功能实现方面,平台内置了部分关联分析规则,同时支持用户自定义关联分析规则。用户可以定义基于逻辑表达式和统计条件的关联规则,所有日志字段都可参与关联,从而有效发现针对特定场景下的安全事件。
当多条日志匹配了某一关联规则,则认为它们之间存在对应的关联关系,系统将输出异常事件,同时将匹配用到的原始日志记录到异常事件中。
· 场景化分析
场景化分析针对关联分析后的安全事件,对危害程度高、业界关注度高的安全事件,通过一系列图、表等可视化界面,依据攻防等经验构造的数据展示形式进行专项场景化归类分析呈现。包括挖矿感染分析、勒索感染分析、C&C外联分析、恶意文件分析和热点事件分析。
· 流量和行为分析
平台可通过知识库的配置,将监测区域内地址分为服务器对应资产信息和个人终端对应用户信息。基于会话日志和审计日志对全网流量进行深度检测和分析。
一方面,对于资产而言,实现相关业务访问的精细化管理,建立网络流量的多维度流量基线,从而为后续的链路、带宽、和服务器扩容提供技术支撑;对用户而言,对其访问轨迹、互联网访问的内容和关注重点等进行分析,同时通过数据挖掘找到其兴趣爱好,对用户进行画像,从而为后续的信息推送等服务提供支撑。
另一方面,通过资产和用户的流量分布情况、访问关系、流量走向、协议端口等维度建立流量和行为基线,发现隐藏在流量中的攻击行为和失陷信息,即异常流量和异常行为。在实际应用中,此功能可有效监测出绕过传统安全产品防御的未知威胁攻击。
流量基线来源有两种:系统自学习和用户自定义。
○ 流量基线自学习,就是系统自动统计一段时间内(比如一个月)网络内访问信息和流量信息,以此访问和流量信息为基础(对于流量数据,还会自动设置合适的上下浮动范围),自动生成流量基线。
○ 用户自定义流量基线:用户手工配置访问和流量规则。
· 脆弱性分析
脆弱性分析是指,平台管理和分析漏洞检测和风险评估的漏洞数据,并对漏洞状态进行持续跟踪。提高漏洞检测、漏洞数据管理、漏洞运维各个环节的自动化程度,让用户能够掌握漏洞态势。提高漏洞管理和运维工作效率,降低工作难度和成本。帮助用户形成快速测试,快速分析、快速响应的能力,减少黑客利用的时间窗口。同时改进检测方法和策略,形成良性的循环。
· AI机器学习
利用人工智能技术构建“安全大脑”,对全网海量安全信息进行自动分析与深度挖掘,及时掌握安全状况和发展趋势,快速进行自适应联动响应,从而全面增强整体安全防护能力。
安全威胁发现与运营管理平台应用机器学习等技术构建安全大脑,基于样本数据的训练,利用LSTM(Long Short Term Memory)算法、CNN模型(卷积神经网络)等生成分类器模型,并在客户环境利用分类器模型进行DGA域名访问、DNS隐蔽隧道利用等方面的检测,从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为,实现从被动监测到主动防御的跨越。
· Web监测分析
通过沙箱技术、威胁情报、漏洞扫描等技术提供主动的网站安全监控与检测功能。帮助客户全面掌握网站风险情况(漏洞、弱口令等)、实时监控网站安全状态(钓鱼、木马、暗链等)并及时发现网站篡改事件。
· 深度综合关联分析
安全威胁发现与运营管理平台对安全事件分析引擎、异常流量检测引擎、AI机器学习引擎、脆弱性检测引擎等进行有效整合,再次进行高精度深层次关联分析,通过主机IP、文件MD5和URL等建立异常的时序和关联关系,根据预定义的行为判定模式判定是否高级威胁,同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估,从而产生可信度高的威胁事件。
安全威胁发现与运营管理平台通过“Web+APP”方式进行威胁事件和风险状态的可视化呈现。
· Web页面方式为网络安全运维人员进行威胁事件排查和处置提供数据依据和解决方案。
· APP方式的大屏可视化,具备多维度图形化和3D立体图滚动展示界面,实时展现企业在全球范围内面临的威胁和攻击,预判全网安全走势。
· 浏览器推荐使用Chrome101及以上版本。
· PC的推荐显示分辨率为1600*900像素及以上。
在Chrome浏览器地址栏输入平台IP地址,即可进入登录界面。系统设有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTPS服务登录设备的Web界面。
安全威胁发现与运营管理平台基于最小特权和权值分离的原则,将用户特权集进行划分,分为如下角色:
· 管理员:拥有系统所有权限。
· 业务管理员:拥有业务相关信息查看和处置权限。
· 系统管理员:拥有“综合概览”和“系统设置”下部分系统基础功能的管理权限。
· 审计管理员:拥有“系统设置”下部分日志功能的管理权限。
各角色的权限与软件版本有关,请以实际情况为准。
缺省的Web登录信息如下表。
|
用户名/密码 |
用户角色 |
用户权限 |
|
admin/secCsap@12345 |
管理员 |
拥有系统所有权限 |
|
buzAdmin/buzCsap@12345 |
业务管理员 |
拥有“综合概览”、“威胁中心”、“分析中心”、“调度中心”、“资产中心”、“报表中心”、“安全服务”和“系统设置”下部分业务相关功能的管理权限 |
|
sysAdmin/sysCsap@12345 |
系统管理员 |
拥有“综合概览”和“系统设置”下部分系统基础功能的管理权限 |
|
auditAdmin/auditCsap@12345 |
审计管理员 |
拥有“系统设置”下部分日志功能的管理权限 |
首次登录建议使用admin用户登录。首次登录设备后,可以单击Web页面右上角的用户名,选择系统设置,进入”系统配置 > 权限管理 > 用户管理”界面修改用户的密码,以提高安全性;还可以创建新的用户,方便对设备进行管理。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。单击Web页面右上角的用户名,选择退出登录,即可退出Web。
· 不同设备型号及软件版本的Web界面可能有差异,请以设备实际情况为准。
· 首次登录时浏览器可能会提示证书错误,选择继续前往即可。
· 用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。
配置向导用于指导用户快速配置系统基础功能。配置向导主要在以下两个场景中使用:
· 首次部署后:系统首次部署后,引导运维人员进行基础功能配置。
· 基础功能配置不完全:用户登录后,系统将自动检测当前是否已完成基础功能配置,未完成则弹出配置向导进行提示。
仅“管理员”角色的用户支持配置向导功能。
1. 首次登录系统后,用户可通过滑动开启页面左下方“显示配置向导”,也可通过单击页面右上角用户名后面的下拉三角符号进入配置向导页面。
2. 根据页面提示完成相关配置。
3. 如需后续登录时不再弹出本页面,请勾选页面下方“不再提示配置向导”。
· 网络配置
网络配置用于修改本系统的网络参数,包括DNS服务器IP地址、网络代理参数、系统IP地址、网关、Web端口以及网卡设置。
○ DNS服务器设置:情报在线升级功能需要配置DNS服务,用户可根据实际情况配置DNS服务器IP地址。
○ 网络代理设置:当系统不能访问公网时,可配置代理服务器,使系统能够通过代理访问公网。
○ 平台IP地址/网关设置:系统首次部署或网络变更时,可修改系统IP地址。修改系统IP地址后,采集器IP地址将自动更新为修改后的IP。此时,需要将被动采集日志源设备上配置的日志主机IP地址更新为修改后的IP,否则系统无法接收设备上报的日志。
○ Web端口设置:用于配置web服务使用的端口,默认端口为443。若修改后的端口为内部服务已使用端口,系统会提示端口已被占用。
○ 网卡设置:主要用于管理平台的网卡信息。
有关网络配置的详细介绍请参见平台网络设置。
· 日志源配置
系统支持主动采集和被动采集两种方式采集日志。被动采集是指如防火墙、流量探针等具有日志外发功能的设备主动向系统发送日志,系统被动接收;主动采集是指数据库、FTP服务器等设备不能主动外发日志,系统需主动访问这些服务器获取日志。添加设备为日志源并关联采集器后,采集器会定时采集设备日志并上报给系统,以便系统分析网络态势。有关日志源配置的详细介绍请参见日志源配置。
· 区域配置
区域是本系统针对用户网络进行的逻辑划分,与内网IP段绑定,方便识别IP地址是否为内网IP及其地理位置;同时,系统通过分析区域中IP的安全状态,从而推断出区域的网络安全状况。有关区域配置的详细介绍请参见区域配置。
· 资产配置
资产是安全告警发生时的直接承受者或发起者,如防火墙、路由器、交换机、服务器、摄像头、固定IP地址的终端等均可配置为资产。配置资产及其所属区域后,系统可以统一监测资产安全状态。 有关新增资产的详细介绍请参见新增/编辑资产。
· 特征库配置
通过特征库配置可以识别渗透、数据盗取等网络安全告警,以及攻击者的动机、攻击过程及使用设施等。特征库配置通过与关联规则联动可快速检测出可疑流量,以便管理员提前判断是否需要在网络中增加强相关安全防护能力。 有关特征库配置的详细介绍请参见特征库升级。
· 综合概览
从全局风险评估视角展示整网风险。
· 成熟度评估
从安全管理、技术防护、安全运营等多个方面整体评估组织安全运营综合能力和水平。
· 健康度评估
通过导入健康度指标库,建立评估模板,创建评估任务生成健康度评估得分,结合健康度评分模型,从健康度维度量化展示安全运营现状。
· 资产中心
用于管理区域、资产和业务系统等信息。
· 威胁中心
对网络中的安全告警、安全事件、存在的脆弱性风险进行统计与分析,便于管理员了解资产安全现状。
· 分析中心
提供场景化分析功能,多角度对资产安全现状进行深度分析,为管理员进行威胁判断提供了有力的数据支撑,便于管理员更加快速和准确的进行安全威胁处置。
· 溯源中心
提供溯源取证功能,实时提取有助于威胁分析和追踪溯源的关键元数据,为管理员的溯源分析提供有力支撑。
· 调度中心
提供对安全告警和脆弱性风险进行处置、内网主机上网行为通报溯源以及查看内置案例库和处置建议库等功能。
· 运营中心
提供通报预警、重保管理和安全服务等功能,旨在提高对安全威胁的感知能力、加强安全管理和保护能力,以及获得更专业的安全服务支持,从而更好地保障网络安全。
· 系统设置
提供系统基础配置,包括权限管理、平台升级、数据源配置、系统告警管理等配置。
在云安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 租户资产威胁监测
实时监测云租户网络资产,及时响应威胁,保持云网络的健康状态。
· 云自动化安全运维
基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
· 云安全可视化
提供丰富多样的数据可视化效果,通过大屏展示3D图表、雷达图、拓扑图、热度图等,实现云安全事件多维可视。
· 定制化报表展示
指定周期自动生成报表以帮助云网络租户掌握安全情况。同时系统提供的报表模板可灵活编辑,用户可根据自身需要在预置的报表展示内容中进行选择、调整顺序,以形成自身需要的报表。
在电子政务网络监测平台场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 安全运维一体化
实现运维平台与监测平台资产、安全信息、管理信息同步,实现政务外网资源的统一纳管。
· 监管流程化
通过工单、短信邮件实现监测流程化,建立应急机制,建设运维知识库,保证IT服务的知识传承有序,常规问题可通过知识库解决,提升效率。
· 能力定制化
定制对外展示门户;定制智能分析报表,实现数据的汇总分析;定制处置流程,实现安全事件处置可管可控。
· 安全可视化
构建安全大脑,采集全网事件,掌握全局安全状态,保障安全事件从发现到闭环全流程可管可视。
· 监防协同化
在监测的基础上,实现自动化防护能力;与终端安全管理、脆弱性发现系统、安全防护设备形成联动,实现快速响应。
· 资产数据化
梳理资产,将信息系统的基础信息、组件构成、责任单位及人员等信息电子化、数据化。为实现多级单位分级防护流程,划分权责界面奠定基础。
在企业场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 平台融合
安全管理平台与网络运维平台相融合,快速发现并定位问题,提升管理效率。
· 区域管理
按照区域和管理范围划分不同区域,按区域进行监控和管理,提升整体安全性。
· 定制化展示
根据企业自身需要量身打造定制化大屏,页面风格同企业风格相匹配。
· 自动化报告
按时生成安全报告发送给相关人员,报告内容可读性强,可指导后续安全加固。
在视频安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 持续监测
○ 掌握视频专网安全态势
○ 提升视频安全监测能力
○ 直观体现视频安全工作成果
· 威胁发现
○ 快速发现视频专网安全隐患
○ 提升视频专项安全分析预警能力
○ 威胁情报加强对威胁的多维度信息补充
· 处置响应
○ 提供安全事件响应处置管理抓手
○ 缩短安全事件响应处置时间
○ 提升视频安全防护策略变更效率
· 资产风险分析
○ 量化视频资产风险评估
○ 掌握整体视频资产风险走势
○ 掌握全网视频资产脆弱性
在高校场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 统一安全防护
通过机器学习、关联分析、情报融合,涵盖攻击、漏洞、外联风险监控,通过自动化编排实现主动防御。
· 资产梳理及核查
以信息系统为核心,完善的信息系统备案审批流程,上线前的安全核查。
· 安全运维管理
分级分权管理,定义校级、院级、信息系统及管理员,细粒度角色控制。
· 事件闭环处置
信息系统各角色接收、处置工单,并对风险进行自动化验证,上报风险处置结果,形成风险闭环。
从全局风险评估视角展示整网风险,基于对网络中存在的安全事件及风险进行全面分析,掌握全网安全度。通过可视化大屏,从攻击、资产脆弱性等多维度展示全网安全风险,全面的了解网络安全现状。通过实时监控平台整体运行状态和资源消耗情况,以及平台核心服务与各服务器节点的运行状态,实时了解平台健康状况。
本章包含如下内容:
· 综合分析
○ 查看整体运行状态
○ 查看安全状态
○ 查看系统时间
○ 首页展示设置
○ 威胁探测
○ 查看资产安全信息
○ 查看安全告警
○ 查看安全事件
○ 查看资产暴露面
○ 综合报告
· 工作台
○ 日常交付视图
○ 综合管理视图
○ 专项管理者视图
· 态势分析
○ 公共配置
○ 注意事项
○ 整网威胁态势
○ 查看异常外连态势
○ 查看资产态势
○ 查看脆弱性态势
○ 查看外网攻击态势
○ 查看横向威胁态势
○ 查看资产监控
○ 查看业务系统态势
○ 查看通报态势
○ 查看安全运营平台
· 平台运行监控
· 安全运营专家
· AI智能值守总览
在综合分析页面可以总览全网安全状态,方便管理员直观掌握全网安全,对网络中存在的安全事件及风险进行全面分析。
在综合分析页面顶部可以查看威胁检测探针、终端安全管理系统、漏洞扫描设备的接入情况以及专家远程会诊的剩余服务次数。单击<
>按钮,可进入相应的详情页面。
该功能用于查看系统整体运行状况以及核心服务与节点的运行状态。
单击<
>按钮,可进入平台运行监控页面,查看具体的运行信息。有关平台运行监控的详细介绍,请参见平台运行监控”。
安全状态由系统围绕整网资产/终端的安全状态进行综合分析并根据评分计算规则自动生成,可辅助用户评估全网安全状态。
不同评分对应的网络安全状态
· 91~100分:安全
· 81~90分:低危
· 61~80分:中危
· 60分以下:高危
评分规则
网络安全度总分为100分,扣分规则如下:
· 当系统检测到网络中存在1台失陷主机扣10分,失陷主机扣分上限为90分
· 当系统检测到网络中存在1台高危主机扣3分,高危主机扣分上限为39分
· 当系统检测到网络中存在1台低危主机扣1分,低危主机扣分上限为9分
其中,系统支持设置安全度最低分,当系统计算的安全度得分低于设置的安全度最低分时,则不再继续扣分,页面评分的显示结果为配置的安全度最低分。安全度最低分可到“系统设置 > 系统配置 > 个性化定制”页面进行配置。
提高评分方法
如果要提高安全度评分,则需要用户及时处理风险资产/风险终端列表中的相关资产/终端对应的安全事件。
具体操作步骤如下:
1. 单击“风险资产”或“风险终端”显示项下的取值,可进入“风险资产”或“风险终端”页面,用户可查看到相关的资产名称、终端名称、风险IP、终端IP等信息。
图-1 风险资产
2. 单击处理状态为未处理的安全事件显示项下的统计值,可进入事件台账页面。用户可根据风险IP或终端IP匹配源IP或目的IP,处理相应的安全事件。
图-2 事件台账
用户可在综合分析页面查看部署本平台的服务器的系统时间。
用户可根据实际需求,对综合分析页面的显示内容进行定制。同时支持调整各显示内容的展示顺序以及新增自定义关注对象。
1. 单击综合概览页面右上角<
>按钮,可进入首页显示设置页面。
2. 用户可以选择展示系统预置的关注对象,也可新增自定义的关注对象。
3. 单击<
>按钮,可调整各显示模块的顺序。
新增自定义关注对象
新增自定义关注对象的操作步骤如下:
4. 单击<新增关注对象>按钮,可配置关注对象的页面标签名称,并选择关键对象的类型,支持的类型包括资产/终端和事件名称。可以修改关注对象标题并添加关注的资产/终端或事件名称。
5. 单击<确认>按钮,保存新增自定义关注对象配置。
6. 单击<保存>按钮,保存首页显示设置的修改。
7. 在首页底部找到已新增的关注对象。
8. 单击右上角的<
>配置按钮,或者单击<配置模块显示内容>,可进入自定义关注对象配置页面。
9. 如果关注对象为资产/终端,则可通过单击<新增>按钮,手动输入资产名称或终端名称,添加关注的具体的资产或终端。也可通过单击<选择资产>按钮,选择添加关注的具体资产或终端;如果关注对象为事件名称,则可通过单击<新增>按钮,手动输入事件名称,添加相应的事件。
10. 单击<保存>按钮,完成配置。
威胁探测用于对风险资产、风险用户及IP情报、域名情报、MD5情报进行追踪定位,以便管理员快速了解并处理网络中存在的安全威胁。
用户可通过输入资产IP或资产名称,点击查询可进入该风险资产或资产画像页面;输入用户名称点击查询可进入该用户画像页面;输入情报IP、域名、URL或MD5值点击查询可进入IP情报、域名情报或MD5情报页面。
资产安全信息用于展示全网风险资产总数,并统计今日新增的风险资产数量,同时展示风险资产Top 5,管理员可查看这5个资产的资产名称、资产IP、所属区域、事件标签及安全状态。单击列表下指定的资产名称或资产IP,可进入该资产的画像页面,查看资产的详细信息。
展示全网安全告警总数,包括未处理、处理中、已处理和忽略的安全告警统计值,并统计今日新增的各个状态安全告警数量。同时,支持展示安全告警Top 5、攻击者Top 5、安全告警区域分布Top 5以及攻击阶段分布。
安全告警自定义图表设置:单击安全告警区域右侧
按钮,进入安全告警自定义图表设置页面,配置左侧的相关配置项(包括配置名称、图表展示项、图表类型、统计项),右侧效果预览可根据配置项的设置进行动态展示,注意预览效果中的数据为模拟数据而非真实数据。
用户可通过综合分析页面查看全网已发生的安全事件总数,包括未处理、处理中和已处理事件数,以及今日新增和今日处理的事件数量。同时可查看安全事件Top 5、攻击者Top 5、安全事件区域分布Top 5以及攻击阶段分布图。点击攻击阶段图标,可查看该阶段未处理和处理中的安全事件详细信息。
资产暴露面用于展示资产暴露面(即资产开放的端口)的分布情况,包括资产内网暴露面分布Top 10和资产互联网暴露面分布Top 10。
本功能需要与资产扫描功能配合使用,用户需要先通过配置资产扫描任务,使用资产探针主动探测网络中的内部资产,并检测资产开放的端口和服务等信息。
展示生成的综合安全风险的日报、周报及月报。用户可单击某报告对应操作列的下载图标将报告下载至本地查阅。
主要用于展示指定统计周期内部分数据的统计信息,包括待办数据总览、数据报表、告警监测和事件工单。
选择 “综合概览 > 工作台 > 日常交付视图”,进入日常交付视图页面。
· 待办数据总览:展示当前用户待处理的任务数据,帮助用户快速了解自己的工作量和工作进度。
○ 告警处置率:(已处理安全告警数+忽略安全告警数)/ 安全告警总数
○ 资产处置率:安全资产数/总风险资产数
○ 工单闭环率:已审核工单数/工单总数
○ 预警通告:通报预警 > 预警通告列表总数
○ 任务处置:调度中心 > 任务调度 > 待我处置列表总数
○ 告警:威胁中心 > 安全告警列表
○ 风险资产:资产中心 > 风险资产列表
○ 工单:调度中心 > 处置工单列表
○ 预警通告:通报预警 > 预警通告列表
○ 任务处置:展示调度中心 > 任务调度 > 待我处置列表
· 数据报表:展示调度中心 > 报告管理 > 报表文件 > 全部页面最新的10条报表文件,单击指定报表文件可下载对应的报表文件。单击<前往报表中心>按钮,即可进入调度中心 > 报表管理 > 报表文件查看报表文件信息。
· 告警监测:展示各等级安全告警的数量(威胁中心 > 安全告警页面严重、高危、中危、低危告警数量)、告警趋势(威胁中心 > 安全告警页面未处置安全告警和安全总告警数变化趋势图)、告警类型处置Top5(威胁中心 > 安全告警页面处理状态为已处置和忽略的告警类型top5)。
· 事件工单:展示今日新增工单数(调度中心 > 处置工单页面今日新增工单数量,包括处置、未处置)、待处置工单数(工单总数-已审核工单数)、长期滞留工单数(30天未处理的工单)、已完成工单数(已审核工单数)。
选择 “综合概览 > 工作台 > 综合管理视图”,进入综合管理视图页面。
· 数据总览:展示安全运营得分、安全防护天数、系统时间和近30日安全评分变化趋势。
· 运营成果:展示拦截攻击IP、闭环弱口令、研判告警、处置事件、推送预警、闭环漏洞、闭环工单、推送报告的数量。
· 安全态势:展示资产统计、风险统计和脆弱性风险统计信息。其中,资产统计信息包括资产总数、终端、服务器、网络设备、安全设备和其他的数量;风险统计信息包括高风险资产和高风险警告的数量;脆弱性风险统计信息包括漏洞数、弱口令数和风险配置数。
· 成熟度评估
○ 成熟度评估总分:展示成熟度评估总分、评估时间、当前成熟度等级、安全能力评分和工作执行评分。
○ 成熟度评估分析:展示成熟度评估分析的评分维度及评分趋势。其中,评分维度从安全管理、技术防护、安全运营三方面可细化为组织人员、制度流程、是否执行、执行频次、执行全面性和技术工具;评分趋势统计的是最近6次成熟度评估任务总分。
○ 安全能力待提升Top5:统计最近一次成熟度评估任务,按得分(应得分-实际得分>0)降序前5条记录的安全能力三级指标项。
○ 工作执行待提升Top5:统计最近一次成熟度评估任务,按得分(应得分-实际得分>0)降序前5条记录的工作执行三级指标项。
· 健康度评估
○ 健康度评估总分:展示健康度评估总分(成熟度得分+(人工评分+平台评分))、评估时间、平台安全度评分和安全运营效果评分。
○ 指标得分趋势:统计最近6次健康度评估任务,统计评估任务加分项总和、扣分项总和。
○ 待提升维度Top10:统计最近一次健康度评估任务,以实际得分降序排序前10的三级指标项数据。
主要用于展示指定统计周期内部分数据的统计分析信息,包括数据总览、运营成果、待办数据总览、告警监测、调度任务、数据报表和事件工单。
选择 “综合概览 > 工作台 > 专项管理者视图”,进入专项管理者视图页面。
· 数据总览:展示安全运营得分、运营成熟度评分、运营健康度评分和近30日安全得分变化趋势。
· 运营成果:展示拦截攻击IP、闭环弱口令、研判告警、处置事件、推送预警、闭环漏洞、闭环工单、推送报告的数量。
· 待办数据总览:展示当前用户待处理的任务数据,帮助用户快速了解自己的工作量和工作进度。
○ 告警处置率:(已处理安全告警数+忽略安全告警数)/ 安全告警总数
○ 资产处置率:安全资产数/总风险资产数
○ 工单闭环率:已审核工单数/工单总数
○ 预警通告:通报预警 > 预警通告列表总数
○ 任务处置:调度中心 > 任务调度 > 待我处置列表总数
○ 告警:威胁中心 > 安全告警列表
○ 风险资产:资产中心 > 风险资产列表
○ 工单:调度中心 > 处置工单列表
○ 预警通告:通报预警 > 预警通告列表
○ 任务处置:展示调度中心 > 任务调度 > 待我处置列表
· 告警监测:展示各等级安全告警的数量(威胁中心 > 安全告警页面严重、高危、中危、低危告警数量)、告警趋势(威胁中心 > 安全告警页面未处置安全告警和安全总告警数变化趋势图)、告警类型处置Top5(威胁中心 > 安全告警页面处理状态为已处置和忽略的告警类型top5)。
· 调度任务:展示调度中心 > 任务调度 > 任务列表页面的数据。
· 数据报表:展示调度中心 > 报告管理 > 报表文件 > 全部页面最新的10条报表文件,单击指定报表文件可下载对应的报表文件。单击<前往报表中心>按钮,即可进入调度中心 > 报表管理 > 报表文件查看报表文件信息。
· 事件工单:展示今日新增工单数(调度中心 > 处置工单页面今日新增工单数量,包括处置、未处置)、待处置工单数(工单总数-已审核工单数)、长期滞留工单数(30天未处理的工单)、已完成工单数(已审核工单数)。
该功能通过可视化大屏,从攻击、资产脆弱性等多维度展示全网安全风险,方便用户快速、全面的了解网络安全现状。
系统支持展示整网威胁态势、异常外连态势、资产态势、脆弱性态势、外网攻击态势和横向威胁态势。
1. 选择“综合概览 > 态势分析”,进入态势分析页面。
2. 单击各态势区域,系统将展示相应的态势大屏页面。
3. 单击左上角<设置>按钮,可设置大屏轮播参数、选择需要展示的态势大屏、以及各态势大屏页面的展示参数(包括大屏名称、地图区域和图标)。配置完成后,单击<确认>按钮,保存配置。
4. 单击左上角<轮播>按钮,系统将根据用户配置的轮播参数,轮流展示各态势大屏页面。
5. 单击页面右上角<驾驶舱>和<平铺>按钮,可以切换大屏页面的展示风格。
图-3 平铺风格
图-4 驾驶舱风格
· 可视化大屏对PC性能要求较高,建议在内存至少8GB的PC上观看大屏,否则可能会出现屏幕卡顿、页面加载失败等问题。
· 对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析、通报中心等特性,用户必须申请并安装License激活文件后才能使用。
该页面用于展示境外、境内以及国内指定区域的攻击事件统计分布情况,包括攻击次数、威胁事件名称分布等,方便用户了解整网的威胁状态和攻击趋势,及时调整相应的防护策略。
其中,区域态势页面中展示的统计数据与用户配置有关。用户可通过如下步骤指定需要统计的区域:
1. 选择“综合概览 > 态势分析”,进入态势分析页面。
2. 单击左上角<设置>按钮,选择整网威胁态势,在地图区域下拉框中,根据实际需求选择指定的区域。配置完成后,单击<确认>按钮,保存配置。
3. 配置完成后,用户可单击整网威胁态势区域,选择区域态势,页面中将展示所选地图区域的统计数据。
该页面用于展示资产的异常外连事件的统计分布情况,包括外连事件总数、异常外连趋势、异常外连事件列表、外联资产排名等,方便用户了解资产的异常外连情况,及时调整相应的防护策略。
该页面用于展示资产的统计分布情况,包括资产总数、资产类型分布、风险资产统计和脆弱性资产统计等,方便用户了解资产在各个维度下的分布情况以及风险概况和脆弱性风险等,及时对资产进行相应的防护。
该页面用于展示资产存在的脆弱性风险统计信息,包括脆弱性资产Top5、脆弱性资产趋势、漏洞列表Top10等,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
该页面用于展示内网资产和终端受到外部攻击的统计分布情况,包括总攻击次数、攻击类型排名Top5、攻击趋势和实时攻击列表等,同时支持按照攻击者所属的地理位置,分别展示国内和国外的攻击事件统计分布情况。方便用户了解整网攻击现状,及时调整相应的防护策略。
该页面用于展示内网攻击者与受害者之间的攻击关系,单击<资产视角>,可从具体的资产维度查看对应的攻击关系;单击<区域视角>,可查看各个区域之间的攻击关系。有利于管理员直观地掌控攻击者与受害者之间的攻击关系,有针对性地调整相应的防护策略。
该页面使用3D立体图形展示资产在各个统计维度下的统计分布情况以及资产安全度分析,例如资产价值分布、脆弱性资产分布、风险资产安全状态分布、开放服务端口分布等。方便用户了解资产的安全概况和脆弱性风险等。同时支持以统计图、表等形式展示各维度下的TOP排行信息,例如资产类型分布TOP5、风险资产TOP10等,方便用户快速掌握资产风险概况,及时对资产进行相应的防护。
该页面用于展示业务系统的基本信息、网站访问排行、网站攻击排行、网站脆弱性、实时告警列表等统计信息,方便用户快速了解业务系统的安全现状并及时调整防护策略。
该页面用于展示通报相关的组织信息、通报告警统计信息,通报工单统计信息、反复感染告警信息及其涉及的组织信息。一级组织负责人登录后,通报态势统计数据来源于该一级组织的直接下级组织;二级组织负责人登录后,通报态势大屏统计数据来源于该二级组织的直接下级组织;三级组织负责人登录后,通报态势大屏统计数据来源于该三级组织直接上级组织的所有下级组织。
该页面用于展示安全运营的核心数据,涵盖资产数量分布、安全评分趋势、威胁预警、风险态势、历史运营成果和工单动态等多维度信息,助力用户快速了解并把握安全运营的全貌与现状。
该页面用于展示运营交付的成果和实时情况,包括专家坐席、运营成果、安全度评分、资产概览、脆弱性概览、工单概览、调度概览、威胁预警和工单处置情况等关键信息,方便用户快速了解运营交付成果,为决策和应对提供有力的支持。
本平台是由多个服务器组成的综合分析集群,通过平台运行监控,管理员可实时监控平台整体运行状态和资源消耗情况,包括平台CPU使用率、内存使用率、磁盘的系统区与数据区的使用率,还可以查看平台的核心服务与各服务器节点的运行状态。
选择“综合概览> 平台运行监控”,进入平台运行监控页面,即可查看系统整体运行状况以及核心服务与节点的运行状态。
说明(参数的支持情况请以设备的实际情况为准):
· 平台整体运行状态
○ 整体运行状态:平台的整体运行状态由节点运行状态和核心服务状态共同决定,包括健康和故障:
§ 平台中除cyber2外的任意节点离线,整体运行状态显示故障。
§ 任意核心服务故障,整体运行状态显示为故障。
○ CPU使用率:集群CPU的总容量和当前使用百分比。
○ 内存使用率:集群内存总容量合和当前使用百分比。
○ 磁盘[系统区]使用率:集群中所有系统盘总容量和当前使用百分比。
○ 磁盘[数据区]使用率:集群中所有数据盘总容量和当前使用百分比。
· 核心服务监控
○ 名称:核心服务的名称。
○ 状态:服务的运行状态,包括健康和故障:
§ 对于在线服务,若该服务包含的任意进程异常退出,则该服务状态为故障。
§ 对于离线服务,若在调度周期内启动失败,则该服务状态为故障。
○ CPU使用率:服务包含的所有进程的CPU使用率总和。
○ 内存使用率:服务包含的所有进程的内存使用率总和。
○ 服务重启:单击<服务重启>按钮,进入弹窗页面,单击<确认>按钮即可完成操作。注意因不同的服务重启时间存在差异,执行重启服务操作后,大约需等待两分钟才能重启成功。
· 节点监控
○ 名称:节点名称,组成安全威胁发现与运营管理平台的一台服务器为一个节点。
○ IP:节点IP,包括管理IP和内部通信IP。
○ 状态:节点服务器的运行情况,包括健康和故障,若服务器离线则显示故障。
○ CPU使用率:节点服务器的CPU使用百分比。
○ 内存使用率:节点服务器的内存使用百分比。
○ 磁盘[系统区]使用率:节点服务器的系统盘使用百分比。
○ 磁盘[数据区]使用率:节点服务器的数据盘的使用百分比。
安全运营专家具有一定的网络安全知识,可以辅助用户处理安全告警、分析网络安全问题、给出专业化建议。
1. 通过单击页面右上角用户名前面的
按钮,进入安全运营专家页面。
2. 可通过在下方的输入框中输入需要咨询的网络安全问题或单击页面中间白色区域中灰色背景的提问模板(提问模板分为四个方面,具体介绍如下),然后单击<发送>按钮,或者单击输入框上方的蓝色底色文字直接提问,安全运营专家将会根据你的提问给出相应的分析及建议,同时也会跳转至对应的界面。
○ 整网安全状态:包括安全风险信息汇总、安全告警信息汇总、安全事件信息汇总、安全漏洞信息汇总和攻击者分析汇总。
○ 资产梳理盘点:包括资产总览全貌、区域信息概况、失陷资产概况、资产风险趋势和高危端口资产。
○ 安全威胁分析:包括勒索病毒情况分析、挖矿木马情况分析、恶意外联情况分析、外网Web攻击情况分析和恶意病毒感染情况分析。
○ 应急响应处置:包括攻击成功告警分析、未处置安全告警分析和未处理处置工单分析。
3. 单击页面右上方的
按钮。进入历史记录页面,单击指定的记录,可以查看相应的对话记录信息,单击<AI重新生成>按钮,可重新提问并再次获得提问结果。
4. 单击页面右上方的
按钮,可与安全运营专家重新建立新的会话。
5. 单击页面右上方的
按钮,可将安全运营专家页面以悬浮框进行展示,单击安全运营专家所在行,出现
按钮后可拖拽页面至指定区域。单击页面右上方的
按钮,可将页面最大化。
6. 单击页面右上方的
按钮,将退出安全运营专家页面。
安全运营专家功能需用户申请并安装License激活文件后才能使用。
AI智能值守与安全运营专家智能联动,根据平台分析获取的日志数据,进一步筛选出有效的告警数据,并根据指令辅助用户处理安全告警,在一定程度上减少了用户的运营成本。
选择 “综合概览 > AI智能值守总览”,进入AI智能值守总览页面,即可查看AI智能值守总览数据,主要包括平台分析获取日志数、告警来源设备数、各个告警来源设备所发现的告警数量、SecGPT 分析有效告警数、综合告警数量、AI智能值守的守护天数、AI智能处置告警数量、SecGPT告警削减数、SecGPT告警削减率(SecGPT 分析有效告警数/综合告警数量)和累计节省人工用时。
AI智能值守总览功能需用户申请并安装License激活文件后才能使用。
成熟度评估从安全管理、技术防护、安全运营等多个方面整体评估组织安全运营综合能力和水平,分别从技术工具、组织人员、制度流程、开展频次及开展全面性等多个维度量化评估,从而进行针对性地改进和提升。通过导入成熟度指标库,建立评估模板,创建评估任务,生成成熟度等级及评估得分,可以量化展示安全运营现状,了解与目标之间的差距,进而明确需要改进和提升的方向。
· 成熟度概览
· 成熟度评估任务
· 成熟度评估模板
· 成熟度指标库
主要用于从成熟度维度可视化展示安全运营现状,包括成熟度评估得分、成熟度数据统计、成熟度等级、成熟度分析、成熟度趋势和指标趋势。
选择 “成熟度评估 > 成熟度概览”,进入成熟度概览页面。
· 成熟度评估得分:展示最近一次成熟度评估任务的总分、安全能力评分和工作执行评分。
· 成熟度数据统计:展示评估任务数(成熟度评估任务列表中的总任务数)、评估模板数(评估模板列表中的总模板数)、评估指标库数(成熟度评估指标库列表中的总指标库数)和评估指标数(成熟度评估指标库列表中,每个评估指标库所含指标数之和)。
· 成熟度等级:展示最近一次评估任务的成熟度等级评估结果,以及对应一级指标L1-L5开展率。平台成熟度由高到低分为5个等级:L5-深度运营、L4-体系运营、L3-运行可控、L2-基础运行和L1-初始状态。
· 成熟度分析:展示一级指标(安全管理、技术防护、安全运营)达成度、从安全能力和工作执行两方面分别展示待提升指标top10。
· 成熟度趋势:展示基于时间维度成熟度评估总分的变化趋势。
· 指标趋势:从安全能力和工作执行两方面分别展示基于时间维度一级指标(安全管理、技术防护、安全运营)的评估得分。
主要用于创建评估任务,生成成熟度量化评估结果,包含成熟度等级、评估得分及提升指标项。
1. 选择 “成熟度评估 > 成熟度评估任务”,进入成熟度评估任务页面,分四个页签展示评估任务,包括全部、未开始、进行中和已完成状态的评估任务。页面上方可看到评估任务的总览数据,包括任务总数、未开始、进行中、已完成状态对应的评估任务数、平均闭环时长。
2. 检索评估任务:支持按任务名称和评估模板等条件检索评估任务信息。
3. 新增评估任务:单击评估任务列表左上方的<新增>按钮,进入新增评估任务页面,配置相关参数后,单击<确认>按钮,完成评估任务的新增。
4. 查看评估任务:单击评估任务列表操作列下的<详情>按钮,可查看评估任务的详细信息。
5. 编辑评估任务:单击评估任务列表操作列下的<编辑>按钮,进入编辑评估任务页面,完成参数修改后,单击<确认>按钮,完成评估任务的编辑。
6. 删除评估任务:单击评估任务列表操作列下的<删除>按钮,可删除对应的评估任务。勾选一个或多个评估任务,单击评估任务列表左上方的<删除>按钮,可删除一个或多个评估任务。
7. 评估任务打分:单击评估任务列表操作列下的<评估>按钮,评估负责人对需要评估的指标进行打分,单击<提交>按钮,完成评估任务的评估打分。
· 任务名称:评估任务的名称。
· 任务描述:评估任务的描述。
· 评估模板:下拉选择评估任务的模板。
· 任务时间:评估任务的计划开始时间、计划结束时间。
· 评估负责人:下拉选择评估任务的负责人。
· 仅状态为未进行的评估任务支持编辑操作,状态为进行中的评估任务不支持删除操作,仅指定的评估负责人支持评估操作。
自定义选择引用指标库中的评估指标,构建评估模板供评估任务使用。成熟度评估模板,同步使用安全能力和工作执行两维度指标库。
1. 选择 “成熟度评估 > 成熟度评估模板”,进入成熟度评估模板页面。
2. 检索评估模板:支持按模板名称和指标库名称等条件检索评估模板信息。
3. 新增评估模板:单击评估模板列表左上方的<新增>按钮,进入新增评估模板页面,配置相关参数后,单击<确认>按钮,完成评估模板的新增。
4. 查看评估模板:单击评估模板列表操作列下的<详情>按钮,可查看评估模板的详细信息。
5. 编辑评估模板:单击评估模板列表操作列下的<编辑>按钮,进入编辑评估模板页面,完成参数修改后,单击<确认>按钮,完成评估模板的编辑。
6. 删除评估模板:单击评估模板列表操作列下的<删除>按钮,可删除对应的评估模板。勾选一个或多个评估模板,单击评估列表左上方的<删除>按钮,可删除一个或多个评估模板。
· 基本信息
○ 模板名称:评估模板的名称。
○ 模板描述:评估模板的描述。
○ 一级指标权重:配置安全管理体系、安全技术体系和安全运营体系的权重。
○ 开展率阈值:配置平台成熟度各个等级L1~L5的开展率阈值。
· 添加指标:安全能力
○ 选择指标库:下拉选择指标库后,左侧页面默认加载对应指标库下全量评估指标(树形菜单结构),左侧页面用于勾选评估指标,右侧页面展示勾选后的指标数据。
· 添加指标:工作执行
○ 选择指标库:下拉选择指标库后,左侧页面默认加载对应指标库下全量评估指标(树形菜单结构),左侧页面用于勾选评估指标,右侧页面展示勾选后的指标数据。
· 被评估任务引用的评估模板不支持编辑和删除操作。
成熟度指标库,以安全能力和工作执行两个维度创建评估指标(默认内置一套指标库)。支持基于指标库模板文件,自定义构建符合业务场景指标库。提供复制指标库功能,适用于小范围修改评估指标参数。
1. 选择 “成熟度评估 > 成熟度指标库”,进入成熟度指标库页面。
2. 检索指标库:支持按指标库名称和和指标库类型条件检索指标库信息。
3. 新增指标库:单击指标库列表左上方的<新增>按钮,进入新增指标库页面,配置相关参数后,单击<确认>按钮,完成指标库的新增。
4. 查看指标库:单击指标库列表操作列下的<详情>按钮,可查看指标库的详细信息。
5. 复制指标库:单击指标库列表操作列下的<复制>按钮,可快速新增与对应指标库类似的指标库。
6. 编辑指标库:单击指标库列表操作列下的<编辑>按钮,进入编辑指标库页面,完成参数修改后,单击<确认>按钮,完成指标库的编辑。
7. 删除指标库:单击指标库列表操作列下的<删除>按钮,可删除对应的指标库。勾选一个或多个指标库,单击评估列表左上方的<删除>按钮,可删除一个或多个指标库。
8. 导出指标库:勾选一个或多个指标库,单击指标库列表左上方的<导出>按钮,可导出指定的指标库。
9. 刷新指标库:单击指标库列表左上方的<刷新>按钮,可刷新指标库。
· 指标库名称:指标库的名称。
· 指标库类型:指标库的类型,包括安全能力和工作执行。
· 指标库描述:指标库的描述。
· 导入指标库:单击<下载指标库模板>按钮,根据所选择的指标库类型可下载安全能力指标库模板工作执行指标库模板。点击上传或拖拽文件到灰色区域可导入指标库。
· 被评估模板引用的指标库不支持编辑和删除操作。
健康度评估通过持续监测、评估安全效果指标,从而全面了解组织安全态势,并针对性地优化安全运营流程与策略。通过导入健康度指标库,建立评估模板,创建评估任务生成健康度评估得分,结合健康度评分模型,从健康度维度量化展示安全运营现状,了解与目标之间的差距,进而明确需要改进和提升的方向。
· 健康度概览
· 健康度评估任务
· 健康度评估模板
· 健康度指标库
主要用于从健康度维度可视化展示安全运营现状,包括健康度评估得分、健康度数据统计、健康度等级、健康度分析、健康度趋势和指标趋势。
选择 “健康度评估 > 健康度概览”,进入健康度概览页面。
· 健康度评估得分:展示最近一次健康度评估任务的总分。
· 评估数据统计:展示评估任务数(健康度评估任务列表中的总任务数)、评估模板数(评估模板列表中的总模板数)和评估指标库数(健康度评估指标库列表中的总指标库数)。
· 健康度分析
○ 日常运营情况:展示最近24小时资产处置率、告警处置率、漏洞处置率和工单处置率数据。单击"资产 >"或"告警 >"或"漏洞 >"或"工单 >"按钮,可跳转至"资产中心/风险资产"或"威胁中心/安全告警"或"威胁中心/脆弱性视角/脆弱性告警列表"或"调度中心/处置工单"页面。
○ 待提升指标top10:展示最近一次评估任务三级指标的得分<0的指标项及对应指标类型(一级指标:安全管理、技术防护、安全运营),从低到高排序。
· 健康度趋势
○ 评估总分统计:基于时间维度用柱状图和折线图展示健康度评估得分,展示最近6次健康度评估任务评分总分。
○ 指标得分趋势:基于时间维度用堆叠柱状图展示健康度人工评分部分加分和扣分的情况,展示最近6次三级指标加分项总和及三级指标扣分项总和。加分项:三级指标得分>0的指标项,扣分项:三级指标得分<0的指标项。
主要用于创建评估任务,生成健康度量化评估结果,包含健康度等级、评估得分及提升指标项。
1. 选择 “健康度评估 > 健康度评估任务”,进入健康度评估任务页面,分四个页签展示评估任务,包括全部、未开始、进行中和已完成状态的评估任务。页面上方可看到评估任务的总览数据,包括任务总数、未开始、进行中、已完成状态对应的评估任务数、平均闭环时长。
2. 检索评估任务:支持按任务名称和评估模板等条件检索评估任务信息。
3. 新增评估任务:单击评估任务列表左上方的<新增>按钮,进入新增评估任务页面,配置相关参数后,单击<确认>按钮,完成评估任务的新增。
4. 查看评估任务:单击评估任务列表操作列下的<详情>按钮,可查看评估任务的详细信息。
5. 编辑评估任务:单击评估任务列表操作列下的<编辑>按钮,进入编辑评估任务页面,完成参数修改后,单击<确认>按钮,完成评估任务的编辑。
6. 删除评估任务:单击评估任务列表操作列下的<删除>按钮,可删除对应的评估任务。勾选一个或多个评估任务,单击评估任务列表左上方的<删除>按钮,可删除一个或多个评估任务。
7. 评估任务打分:单击评估任务列表操作列下的<评估>按钮,评估负责人对需要评估的指标进行打分,单击<提交>按钮,完成评估任务的评估打分。
· 任务名称:评估任务的名称。
· 任务描述:评估任务的描述。
· 评估模板:下拉选择评估任务的模板。
· 任务时间:评估任务的计划开始时间、计划结束时间。
· 评估负责人:下拉选择评估任务的负责人。
· 评估有效期:评估任务的有效天数。
· 关联成熟度评估:选择关联已完成的成熟度评估。
· 成熟度评估任务:选择关联的成熟度评估任务。仅关联成熟度评估勾选是才需配置此参数。
· 仅状态为未进行的评估任务支持编辑操作,状态为进行中的评估任务不支持删除操作,仅指定的评估负责人支持评估操作。
自定义选择引用指标库中的评估指标,构建评估模板供评估任务使用。
1. 选择 “健康度评估 > 健康度评估模板”,进入健康度评估模板页面。
2. 检索评估模板:支持按模板名称和指标库名称等条件检索评估模板信息。
3. 新增评估模板:单击评估模板列表左上方的<新增>按钮,进入新增评估模板页面,配置相关参数后,单击<确认>按钮,完成评估模板的新增。
4. 查看评估模板:单击评估模板列表操作列下的<详情>按钮,可查看评估模板的详细信息。
5. 编辑评估模板:单击评估模板列表操作列下的<编辑>按钮,进入编辑评估模板页面,完成参数修改后,单击<确认>按钮,完成评估模板的编辑。
6. 删除评估模板:单击评估模板列表操作列下的<删除>按钮,可删除对应的评估模板。勾选一个或多个评估模板,单击评估列表左上方的<删除>按钮,可删除一个或多个评估模板。
· 模板名称:评估模板的名称。
· 模板描述:评估模板的描述。
· 选择指标库:下拉选择指标库后,左侧页面默认加载对应指标库下全量评估指标(树形菜单结构),左侧页面用于勾选评估指标,右侧页面展示勾选后的指标数据。
· 被评估任务引用的评估模板不支持编辑和删除操作。
健康度指标库,支持基于指标库模板文件,自定义构建符合业务场景指标库(默认内置一套指标库)。提供复制指标库功能,适用于小范围修改评估指标参数。
1. 选择 “健康度评估 > 健康度指标库”,进入健康度指标库页面。
2. 检索指标库:支持按指标库名称和和指标库类型条件检索指标库信息。
3. 新增指标库:单击指标库列表左上方的<新增>按钮,进入新增指标库页面,配置相关参数后,单击<确认>按钮,完成指标库的新增。
4. 查看指标库:单击指标库列表操作列下的<详情>按钮,可查看指标库的详细信息。
5. 复制指标库:单击指标库列表操作列下的<复制>按钮,可快速新增与对应指标库类似的指标库。
6. 编辑指标库:单击指标库列表操作列下的<编辑>按钮,进入编辑指标库页面,完成参数修改后,单击<确认>按钮,完成指标库的编辑。
7. 删除指标库:单击指标库列表操作列下的<删除>按钮,可删除对应的指标库。勾选一个或多个指标库,单击评估列表左上方的<删除>按钮,可删除一个或多个指标库。
8. 导出指标库:勾选一个或多个指标库,单击指标库列表左上方的<导出>按钮,可导出指定的指标库。
9. 刷新指标库:单击指标库列表左上方的<刷新>按钮,可刷新指标库。
· 指标库名称:指标库的名称。
· 指标库描述:指标库的描述。
· 导入指标库:单击<下载指标库模板>按钮,根据所选择的指标库类型可下载安全能力指标库模板工作执行指标库模板。点击上传或拖拽文件到灰色区域可导入指标库。
· 被评估模板引用的指标库不支持编辑和删除操作。
资产中心用于管理区域、资产和业务系统等信息。
本章包含如下内容:
· 资产总览
· 风险资产
· 资产列表
· 资产配置
· 业务系统
· 区域配置
该功能用于展示资产在各个维度下的统计信息,包括风险资产总数、资产总数、不同类型资产的统计值、以及不同维度下资产的分布情况等,方便管理员了解当前资产状态以及安全风险情况,从而对资产进行更精细的监控和管理。
该功能用于对全网中存在风险的资产进行统计,展示风险资产的名称、IP地址、所属区域、安全状态、威胁度、告警标签等信息,支持将风险资产列表以Excel文件形式导出到本地。
其中,威胁度是由系统根据全网安全告警自动计算所得的分数,可辅助用户评估风险资产的安全状态。威胁度分数越高,风险资产失陷概率越大。
威胁度分数与风险资产安全状态的对应关系如下:
○ 80~99.9:已失陷
○ 60~79.9:高危
○ 1~59.9:低危
· 查看资产画像
· 导出风险资产
该功能用于查看风险资产的详细信息,方便管理员了解资产的IP地址、安全状态、资产类型等基础信息以及基于安全告警的风险分析、脆弱性分析和安全病例等。
1. 选择“资产中心 > 风险资产”,进入风险资产页面。
2. 单击某个资产对应操作列的< 画像> 按钮,进入资产画像页面查看资产相关信息。
· 攻击阶段
展示安全告警所处的攻击阶段的分布情况。
· 取证溯源
通过安全告警时间顺序展示资产攻击或被攻击的历史情况,并使用不同颜色的空心圆标识事件的确信度,以便用户对资产发生的安全告警进行溯源取证。
· 告警趋势图
展示安全告警的发生趋势,且仅统计处理中和未处理事件。
· 资产信息
展示资产的基础信息(资产名称、资产类型、生产厂商等)、服务信息、软件信息、硬件信息以及指纹历史变化(以时间轴的方式展示了资产指纹的历史变化信息,包括资产基本信息的新增、删除与其变更前后的信息,端口新增与关闭信息,软件新增、移除以及其变更前后的信息)。
○ 基础信息指纹包括:资产名称、IP(仅记录管理IP)、MAC、资产价值、所属区域(仅记录资产列表页面对资产进行区域绑定/变更)、资产类型、生产厂商、操作系统(管理IP对应的操作系统)。
○ 软件信息指纹包括:软件名称、软件版本、软件分类、生产厂商。其中,软件名称+软件版本作为软件信息判断的唯一标识。
○ 端口指纹包括:端口、服务名称、协议。其中,端口号作为服务信息判断的唯一标识。
· 风险分析
展示资产发生的安全告警以及风险概况,便于管理员快速了解资产安全状况。
○ 安全告警:展示资产的所有安全告警,并支持对告警事件进行处理、白名单、编排和处置等操作。详细操作步骤请参见安全告警
○ 安全事件:展示资产的所有安全事件,便于管理员快速了解安全事件的威胁类型、攻击阶段等信息,以及事件的处理状态。单击操作列下< 详情>按钮,可进入事件详情页面,查看事件的处置建议和攻击行为分析。的处置建议和攻击行为分析。
○ 攻击路径:系统将资产作为调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
○ 专家解读:通过专家分析引擎检测资产是否失陷。对于已失陷资产,本页面将展示失陷依据,包括失陷标签、标签描述及判断失陷的安全告警。每个失陷标签(除“完成多个攻击阶段”标签外)的关系图中最多展示50个节点与该资产之间的攻击关系。其中,系统仅对30天内的安全告警数据进行统计。
○ 攻击者:用于展示当资产作为被攻击者时,其攻击者的相关信息、当资产作为攻击者时,其攻击对象的相关信息,方便用户对资产的攻击信息进行分析。
○ ATT&CK:系统基于 ATT&CK模型,展示了攻击者的攻击生命周期以及各个攻击阶段使用的技术,用户可以通过单击指定的技术查看其详细信息。同时,系统将安全告警与ATT&CK模型进行匹配,方便用户查看各攻击阶段中安全告警与技术的命中情况,通过单击指定的技术,可查看安全告警详情并对安全告警进行处置、处理、白名单、编排等相应的操作。详细操作步骤请参见安全告警
○ 参考案例:资产涉及的所有安全告警相关的参考案例,单击详情按钮,可以查看详细的案例信息。
· 脆弱性分析
展示资产存在的脆弱性风险的统计数据,包括漏洞风险、配置风险和弱口令,以及各风险的详细信息。
· 安全病例
展示资产的安全告警的处理记录和工单记录。
· 网络访问关系
展示正常访问和异常访问的网络访问信息,包括内网交互服务器、内网交互终端、外网交互主机、虚拟节点的统计信息,以及源、目的、正常访问会话数和异常访问告警数信息。支持按访问类型、统计周期等条件检索网络访问关系。
· 流量监控
展示外到内访问总流量、上行流量、下行流量、流量TOP10分布、流量TOP10趋势、会话数TOP10分布、会话数TOP10趋势的统计信息。支持按统计周期、访问关系等条件检索网络访问关系。
该功能用于将风险资产列表导出为Excel表格文件并下载至本地,最多只能导出时间最近的前两万条数据。
1. 选择“资产中心 > 风险资产”进入风险资产页面。
2. 单击<导出>按钮,弹出导出提示窗口。
3. 单击<确定>按钮,关闭提示窗口。
4. 单击界面右上方的下载图标,弹出下载列表窗口。
5. 单击最新文件对应的下载按钮,即可将风险资产表格文件下载至本地。
该功能用于展示和管理用户网络中的资产,并实时监控资产运行信息。资产是本系统管理的最小网络元素,是网络安全事件发生时的直接承受者或发起者。当资产上发生安全事件时,安全设备(如防火墙、沙箱等)会将安全事件记录成日志,上报至本系统进行分析。 网络中的防火墙、路由器、交换机、服务器、摄像头等设备均可以作为资产。录入资产信息后, 管理员可以统一进行管理,并可以根据不同的部门或者设备类型分组,进行更精细的监控和管理。
资产列表页面各参数解释如下:
· 资产名称:资产名称,单击操作列的<画像>按钮,可查看该资产的详细信息。
· 资产IP:资产的IP地址,单击资产IP可查看该资产的IP地址列表。
· 
:点击将在新的窗口打开选中资产的Web登录界面。必须将设备管理口的IP地址配置为管理IP,且设备支持并已开启Web网管服务时才能进入Web网管页面。
· 资产MAC:资产的MAC地址。
· 序列号:资产的序列号,例如SN码。
· 资产型号:资产所属的具体型号。
· 资产描述:资产的描述信息,便于快速了解资产。
· 安全状态:资产的安全情况。
· 资产价值:资产在网络中的位置或保存的数据不同而具有不同的重要性,通过资产价值来标识资产的重要性,重要性越大资产价值越高。
· 所属区域:资产所属区域。
· 资产类型:资产所属的类型。
· 开放端口:资产开放的端口和服务信息。
· 资产责任人:负责维护该资产的账户名称。
· 生产厂商:资产的生产厂商。
· 操作系统:资产管理IP对应的操作系统。
· EDR状态:从终端安全管理系统同步的第三方设备资产的客户端状态。
· 添加方式:资产的添加方式(系统自动识别)。
· 资产标签:资产的标签信息,最多支持5个标签,每个标签最多10个字符。
· 登录用户名:登录资产所使用的用户名。
· 操作:
○ 编辑:点击可修改选中资产的配置信息。
○ 删除:点击可删除选中资产。
○ 详情:点击查看选中资产的配置详情。
○ 快速扫描:点击可对指定的资产快速下发一个漏扫任务,有关快速扫描配置参数的详细介绍,请参见漏扫任务联机帮助。
○ 画像:点击查看选中资产的画像。
· 最多只能配置15万个资产,资产数量达到规格上限后,任何方式都不能再添加资产。
· 仅一级类型为“网络设备”和“安全设备”的资产支持通过图标进入其Web登录界面。
该功能用于增加一个新的资产或者修改已有资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击页面中的<新增>按钮可新增资产;单击<编辑>按钮可修改选中资产的配置信息。
3. 在配置页面填写资产信息,配置完成后,单击<确认>按钮完成操作。
○ 资产名称:资产的唯一标识。建议填写设备实际名称。
○ 资产类型:资产类型报文括一级类型和二级类型,一级类型和二级类型具有关系,选则一级类型后系统将自动关联对应的二级资产类型。
○ 生产厂商:资产的生产厂商。
○ 资产价值:资产在网络中的位置或保存的数据不同而具有不同的重要性,通过资产价值来标识资产的重要性,重要性越大资产价值越高。缺省为未知。
○ 经纬度:资产的经纬度信息。经纬度之间用,(英文逗号)隔开经度在前,纬度在后, 形如“经度,纬度”。取值范围说明:东经:0~180;西经:-180~0;北纬:0~90;南纬:-90~0;支持精确度为小数点后6位。
○ 业务系统:选择资产所属的业务系统。
○ 所属区域:选择资产所在的区域。
○ 地理位置:资产所在的地理位置。
○ 组织机构:资产所属的组织机构。若无可选组织机构,请到系统设置-组织管理-组织机构中新增组织机构。
○ 资产标签:为资产打上标签信息,最多支持5个标签,每个标签最多10个字。
○ 等保级别:资产的等保级别。等保一级对应自主保护,二级对应指导保护,三级对应监督保护,四级对应强制保护,五级对应专控保护。
○ 关键信息基础设施:标记资产是否为关键信息基础设施。
○ 责任人:选择负责维护该资产的资产责任人。
○ 资产描述:通过合理编写描述信息,便于管理员快速理解和识别该资产。
○ 资产IP:配置资产的IP地址信息,一个资产必须且仅能配置一个管理IP,最多可配置30个IP信息。单击<新增>按钮,进入新增资产IP页面,配置相关参数。完成配置后,单击<确认>按钮。
§ IP类型:可选择配置IPv4或IPv6类型。
§ IP地址:资产的IP地址。
§ 管理IP:表示用户配置的IP地址是否为资产的管理IP,默认用户新增的第一条资产IP即为管理IP。
§ MAC地址:资产的MAC地址。
○ 硬件信息
§ 设备序列号:硬件的序列号,例如SN码。
§ 设备型号:硬件设备所属的具体型号。
§ 国产化:标记硬件设备为国产或非国产。
§ CPU核数:CPU核数。
§ CPU型号:CPU型号,如:Intel Core i5。
§ 硬盘型号:硬盘型号。
§ 硬盘容量:硬盘的存储容量,单位:GB。
§ 内存型号:内存型号。
§ 内存容量:内存容量,单位:GB。
§ 所属机房:硬件设备所在的机房。
§ 连接互联网:硬件设备是否与互联网连接。
§ 虚拟设备:是否为虚拟设备。
§ 所属云平台:硬件设备所属的云平台名称。
§ 采购时间:硬件设备的采购日期。
§ 操作系统:硬件设备上安装的操作系统。
§ 备注信息:硬件设备的备注信息。
○ 登录信息:登录硬件设备所需要的信息
§ 登录IP地址:连接设备的IP地址。
§ 登录协议:连接设备使用的协议。
§ 登录端口:连接设备使用的端口。
§ 登录账号:登录设备使用的账号。
§ 登录密码:登录设备使用的密码。
○ 软件信息:资产中安装的软件信息
§ 软件名称:资产中安装的软件的名称。
§ 软件版本:软件版本号。
§ 软件分类:软件的分类。
§ 生产厂商:软件生产厂商的名称。
§ 关键信息基础设施:是否为关键信息基础设施。
§ 国产化:标记软件为国产或非国产。
§ 标准化命名方法:软件名称的命名方式,如:驼峰命名法、下划线命名法、语义化命名法等。
§ 连接互联网:软件是否与互联网连接。
§ 备注信息:软件的备注信息。
○ 服务信息:资产开放的端口与对应服务的服务名称。单击<新增>按钮,进入新增资产开放端口页面,配置相关参数,完成配置后,单击<确认>按钮。
§ 端口:服务的访问端口。
§ 服务名称:资产开放的服务名称。
§ 操作系统:资产的操作系统。
§ 协议:端口的访问协议。
§ URL:资产提供的访问URL。
§ 该URL是否有效:URL的有效性,取值包括是和否。
§ 网站Title:网站的Title。
§ 非有效业务页面:是否为“非有效业务页面”,取值包括是和否。
§ 是否公共端口:是否连接到互联网或与其他网络设备进行通信。
§ 备注信息:服务的备注信息。
○ 资产管理协议:配置系统采用命令行方式登录资产时所采用的协议类型及其相关参数。
§ SNMP参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SNMP协议是否能够成功连接到所选资产。
§ NETCONF over SSH参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SSH协议是否能够成功连接到所选资产。
§ NETCONF over SOAP参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SOAP协议是否能够成功连接到所选资产。
○ 资产开放端口:资产开放的端口与对应服务的服务名称。单击<新增>按钮,进入新增资产开放端口页面,配置相关参数,完成配置后,单击<确认>按钮。
§ 端口:服务的访问端口,系统自动识别,不能编辑。
§ 服务名称:资产开放的服务名称,系统自动识别,不能编辑。
§ 操作系统:资产的操作系统。
§ 协议:端口的访问协议。
§ URL:资产提供的访问URL。
§ 该URL是否有效:URL的有效性,取值包括是和否。
§ 网站Title:网站的Title。
§ 非有效业务页面:是否为“非有效业务页面”,取值包括是和否。
· 编辑添加方式为“流量发现”、“主动探测”或“漏扫发现”的资产时(无论是否修改配置信息)并单击<确认>按钮后,其发现方式将自动变为“手动添加”。
· 当手动新增的资产的IP信息与已有的“流量发现”、“主动探测”或“漏扫发现”的资产的资产IP信息相同时,若选择覆盖原有资产,那么,原有资产的发现方式将变为“手动添加”。
· 添加“漏洞扫描系统”类型的资产成功后,系统将自动生成一个名为漏扫设备+资产IP(如“漏扫设备192.168.0.1”)的白名单,该白名单不能手动删除或修改,只能停用或启用。有关白名单的详细介绍请参见“调度中心 > 白名单管理”。
· 删除“漏洞扫描系统”类型的资产后,该资产对应的白名单也将被自动删除。有关白名单的详细介绍请参见“系统设置 > 白名单配置”。
· 一键编辑时,只能编辑当前租户下的数据,不能编辑其他租户的数据。
· 资产开放端口输入限制最大为512个。
该功能用于导入及导出资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<导入>按钮选择“资产导入”,在弹出的“导入资产”页面,点击下载“资产批量导入模板”,按模板要求填写相应的资产信息后保存。
3. 选择保存的导入模板,点击上传或拖拽文件即可批量导入资产。
4. 单击<导入>按钮选择“操作结果”可查看导入结果,导入失败时将展示失败原因。
5. 单击<导出>按钮将导出满足查询条件的所有资产信息;若查询条件为空,则导出系统中的所有资产信息。
该功能用于更新资产所属区域信息,并对已删除的资产在平台中残留的分析数据进行清理,清理规则如下:
· 更新资产所属区域:系统将资产IP与区域IP范围进行匹配,若资产IP在某个区域IP范围内,则更新资产所属区域为该区域。其中,对于“主动探测”、“流量发现”和“漏扫发现”发现的资产,若未匹配到任何区域将被删除;第三方同步的资产若未匹配到任何区域,其所属区域保持不变;云管平台同步的资产和手动添加的资产不进行资产整理。
· 清除已删除资产的残留数据:对于已被删除的资产,系统将清除其相关的风险资产分析数据、脆弱性风险分析数据、流量分析数据、场景化分析数据以及溯源分析数据。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<一键整理>的下拉三角按钮后再单击<资产一键整理>按钮可一键整理资产。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<一键整理>的下拉三角按钮后再单击<操作结果>按钮可查看最近整理时间和最近整理结果的具体情况。
该功能用于删除资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 批量删除:选中多条资产信息,单击页面中的<删除>按钮,选择批量删除,可批量删除资产;单击操作列的<删除>按钮可删除选中的资产。
3. 一键删除:单击页面中的<删除>按钮,选择一键删除,可一键删除所有满足查询条件的资产,若无查询条件则删除所有资产。
注意事项
· 删除资产的同时,与资产相关的分析数据将被同步删除且不可恢复,请谨慎操作。
· 删除“漏洞扫描系统”类型的资产后,该资产对应的白名单也将被自动删除。有关白名单的详细介绍请参见“系统设置 > 白名单配置”。
· 一键删除时,只能删除当前租户下的数据,不能删除其他租户的数据。
主要用于展示所有资产中涉及的软件信息,主要包括:软件名称、软件分类、软件版本、资产名称、资产IP、组织机构等信息。
1. 选择“资产中心 > 资产列表”,选择进入软件页面。
2. 检索软件:支持按软件名称、软件分类、软件版本、资产名称、资产IP、组织机构和创建时间检索软件。其中,软件名称、软件版本、资产名称和资产IP支持模糊查询。
单击软件列表操作列下的<详情>按钮,进入软件详情页面,可以查看软件的详细信息。
选中多个软件,单击软件列表左上方的<删除>按钮,可批量删除所选软件。单击软件列表操作列下的<删除>按钮,可删除指定的软件。
· 软件名称:软件名称。
· 软件分类:软件类型名称。
· 软件版本:软件版本号
· 资产名称:软件所在资产的名称。
· 资产IP:软件所在资产的IP。
· 组织机构:软件所在资产所属的组织机构名称。
· 创建时间:软件信息的创建时间。
· 操作:
○ 详情:点击可查看选中的软件的详细信息。
○ 删除:点击可删除选中的软件信息。
主要用于展示所有资产中涉及的服务端口信息,主要包括:端口、服务名称、协议、资产名称、资产IP、组织机构等信息。
1. 选择“资产中心 > 资产列表”,选择进入服务页面。
2. 支持按服务名称、资产名称、资产IP、端口、协议、组织机构和创建时间检索服务。其中,服务名称、资产名称和资产IP支持模糊查询。
单击服务列表操作列下的<详情>按钮,进入服务详情页面,可以查看服务的详细信息。
选中多个服务,单击服务列表左上方的<删除>按钮,可批量删除所选服务。单击服务列表操作列下的<删除>按钮,可删除指定的服务。
· 端口:端口号。
· 服务名称:端口上提供的服务名称。
· 协议:服务对应的协议。
· 资产名称:服务所在资产的名称。
· 资产IP:服务所在资产的IP。
· 组织机构:服务所在资产所属的组织机构名称。
· 创建时间:服务信息的创建时间。
· 操作:
○ 详情:点击可查看选中的服务的详细信息。
○ 删除:点击可删除选中的服务信息。
该功能用于自动发现和管理用户网络中的资产,并实时监控资产运行信息。资产是本系统管理的最小网络元素,是网络安全告警发生时的直接承受者或发起者。当资产上发生安全告警时,安全设备(如防火墙、沙箱等)会将安全告警记录成日志,上报至本系统进行分析。网络中的防火墙、路由器、交换机、服务器、摄像头等设备均可以作为资产。录入资产信息后,管理员可以统一进行管理,并可以根据不同的部门或者设备类型分组,进行更精细的监控和管理。
注意事项
· 最多只能配置15万个资产,资产数量达到规格上限后,任何方式都不能再添加资产。
· 仅一级类型为“网络设备”和“安全设备”的资产支持通过
图标进入其Web登录界面。
主要用于管理资产探针,包括查看、新增、删除资产探针等功能。
1. 选择“资产中心 > 资产配置 > 探针管理”,进入资产探针管理页面。
2. 单击探针列表左上方的<新增>按钮可新增网络空间资产探测探针。
单击探针列表操作列下的<编辑>按钮可修改选中探针的配置信息。
单击探针列表操作列下的<在线状态检测>按钮可对探针进行在线状态检测,并更新探针的在线状态信息。
选中多条网络空间资产探测探针信息,单击探针列表左上方的<删除>按钮,可批量删除资产探针;单击探针列表操作列下的<删除>按钮可删除选中的资产探针。
· 探针名称:资产探针的名称。
· 探针IP:资产探针的IP。
· 探针类型:资产探针的类型,包括:内网资产探测,网络空间资产探测。
· 账号:网络空间资产探测探针的认证账号。
· 密码:网络空间资产探测探针认证账号的密码。
· 内网资产探测探针仅支持查看详情信息,不可编辑与删除。
· 网络空间资产探测探针最多可以创建5个。
· 系统将为每个资产探针自动生成一个名为资产探针+IP(如“资产探针192.168.0.1”)的白名单,该白名单不能手动删除或修改,只能停用或启用。有关白名单的详细介绍请参见“系统设置 > 白名单”。
该功能用于配置发现资产功能。通过该功能,系统可自动识别区域中可管理的资产并根据资产入库审核策略将其添加到资产列表中,系统提供“主动探测资产”和“流量发现资产”两种资产自动发现方式。
通过配置主动探测任务,资产探针将主动探测网络中的内部资产,并检测资产的操作系统、厂商、主机名、MAC地址、软件信息、开放的端口和服务等信息,根据资产入库审核策略将其添加到资产列表或待审核列表中。通过该方式添加的资产,其添加方式为“主动探测”。
1. 选择“资产中心 > 资产配置 > 资产发现”,选择主动发现资产,界面中将展示探测任务列表和当前正在执行的探测任务详情。
2. 单击探测任务列表左上方的<+新建任务>按钮,配置探针扫描的IP地址范围。
3. 用户可根据实际情况,选择指定的资产探针,在“继承网段区域”中,选择指定的区域并移动至“已选择区域”后,“IP范围”区域中将添加所选区域中的所有网段。也可在“IP范围”区域,单击<新增>按钮,进入新增IP范围页面,选择区域,配置开始地址和结束地址,并单击<确认>按钮完成扫描网段的配置。
4. 如果用户选择的资产探针是网络空间资产探测探针,则要求选择扫描端口范围以及设置扫描带宽。
5. 单击探测任务列表左上方的“设置扫描时段”按钮,可以对当前租户的所有主动探测任务的探测时段进行设置。
6. 配置完成后后台任务调度任务会自动选择合适的“待探测”任务,进行资产探测。
资产探针列表参数说明
· 租户名称:资产探针所属租户。
· 探针名称:已成功注册的资产探针名称。
· 区域名称:探测发现的资产归属的区域名称。
· IP范围:探测任务的探测IP范围。
· 下发时间:探测任务的创建时间。
· 探测状态:探测任务的状态。分别有待探测、探测中、暂停、暂停中、删除中、探测完成以及异常七种状态。
· 开始时间:探测任务的开始时间。
· 结束时间:探测任务的结束时间。
· 耗时:探测任务执行完成所用时长,暂停时长不统计在内。
· 扫描结果:探测任务的扫描结果信息,发现存活IP数量、发现软件数量与发现的端口数量。
· 操作:
○ 暂停:用于暂停探测中的任务。
○ 重新启用:用于启动探测完成的任务以及暂停的任务。
○ 删除:用于删除探测任务。
开启流量发现功能后,系统将自动监测所有区域内的网络流量,并基于采集到的流量日志和安全日志中的数据进行分析,包括源IP、目的IP、源端口、目的端口、协议、设备类型、应用类型等,来确定设备的身份,自动识别出可管理的资产,并将其添加到资产列表。通过该方式添加的资产,其添加方式为“流量发现”。例如,用户使用SSH协议登录了区域A内的某个设备,系统检测到该流量数据后,会将设备识别为资产,并自动将其添加到资产列表中。
1. 选择“资产中心 > 资产配置 > 资产发现”,进入资产配置页面,选择流量发现资产。
2. 打开“流量发现资产”划钮(系统默认已开启),该划钮作为总开关,控制所有区域是否启用流量发现资产功能。
3. 如果需要单独开启或关闭指定区域的流量发现资产功能,可以在指定区域右侧的操作列下,开启或者关闭划钮。
该功能用于在资产生命周期中主机资产入库审核开启后,针对“主动探测”、“流量发现”、“漏扫发现”三种形式发现的资产,如果匹配中资产入库审核策略,则将对应资产添加到待审核列表。可对待审核资产进行检索、查看、入库、忽略操作。
1. 选择“资产中心 > 资产配置 > 资产发现”,进入资产配置页面,选择待审核资产,界面中将展示待审核资产列表。
2. 检索待审核资产:支持按资产IP、开放端口和发现方式检索待审核资产,其中,开放端口仅支持精确查询,查询时必须输入完整准确的开放端口号,如80。
3. 一键入库待审核资产:单击待审核资产列表左上方的下拉按钮<入库>,单击<一键入库>按钮,可以一键入库所有满足查询条件的待审核资产,若无查询条件则入库所有待审核资产。
4. 批量入库待审核资产:选中多个待审核资产,单击待审核资产列表左上方的下拉按钮<入库>,单击<批量入库>按钮,可以对选中的待审核资产进行批量入库操作。
5. 查看入库操作结果:单击待审核资产列表左上方的下拉按钮<入库>,单击<操作结果>按钮,可以查看最近入库的待审核资产的具体情况。
6. 一键忽略待审核资产:单击待审核资产列表左上方的下拉按钮<忽略>,单击<一键忽略>按钮,可以一键忽略所有满足查询条件的待审核资产,若无查询条件则忽略所有待审核资产。
7. 批量忽略待审核资产:选中多个待审核资产,单击待审核资产列表左上方的下拉按钮<忽略>,单击<批量忽略>按钮,可以批量忽略所有选中的待审核资产。
8. 查看忽略操作结果:单击待审核资产列表左上方的下拉按钮<忽略>,单击<操作结果>按钮,可以查看最近忽略的待审核资产的具体情况。
待审核资产参数说明
○ 租户名称:资产所属租户的名称。
○ 资产名称:待审核资产的名称。
○ 资产IP:待审核资产的IP地址,单击资产IP可查看该资产的IP地址列表。
○ 所属区域:资产所属区域。
○ 开放端口:资产开放的端口。
○ 服务:服务信息。
○ 生产厂商:资产的生产厂商。
○ 发现方式:资产的发现方式(主动探测、流量发现、漏扫发现)。
○ 操作:
§ 入库:点击可将所选资产入库,入库成功后将在资产列表中显示。
§ 忽略:点击可忽略所选资产。
§ 详情:点击可查看选中资产的配置详情。
注意事项
最多只能有10万个待审核资产,待审核资产数量达到规格上限后,任何方式都不能再添加待审核资产。
该功能包括责任人管理、机房管理、云平台管理、网络信息。
该功能用于管理责任人信息,包括新增、批量导入、导出及删除责任人信息。
新增资产责任人
a. 选择“资产中心 > 资产配置> 资产属性管理”,选择进入责任人管理页面。
b. 单击页面中的<新增>按钮进入新增资产责任人页面。
c. 配置新增资产参数。
§ 责任人名称:资产责任人的姓名。
§ 所属部门:资产责任人所属部门名称。
§ 地址:资产责任人的通讯地址。
§ 联系方式:资产责任人的联系电话。
§ 邮箱:资产责任人的邮箱地址。
d. 单击<确认>按钮完成新增资产责任人。
删除资产责任人
a. 选择“资产中心 > 资产配置> 资产属性管理”,选择进入责任人管理页面。
b. 选中多条责任人信息,单击页面中的<删除>按钮可批量删除责任人;单击操作列的<删除>按钮可删除选中的责任人。
导入/导出资产责任人
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入责任人管理页面。
b. 单击<导入>按钮选择“导入”,下载资产责任人导入模板后,按模板要求填写相应的资产责任人信息后保存配置;点击上传或将保存的导入模板文件拖拽到导入页面中,即可批量导入。
c. 单击<导入>按钮选择“操作结果”可查看导入结果,包括导入成功和导入失败,导入失败时将展示失败原因。
d. 单击<导出>按钮即可导出系统中所有的资产责任人信息。
该功能用于管理机房信息,包括新增、编辑及删除机房信息。
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入机房管理页面。
b. 支持按机房名称、机房位置和组织机构检索机房信息。其中,机房名称和机房位置支持模糊查询。
c. 单击机房列表左上方的<新增>按钮,配置相关参数可新增机房信息;单击机房列表操作列下的<详情>按钮可查看选中机房的配置信息;单击机房列表操作列下的<编辑>按钮可修改选中机房的配置信息。
d. 选中多条机房信息,单击机房列表左上方的<删除>按钮可批量删除机房。单击机房列表操作列下<删除>按钮可删除选中的机房信息。
参数说明
○ 租户名称:机房所属租户的名称。
○ 机房名称:机房的名称。
○ 机房位置:机房的详细地理位置。
○ 组织机构:机房所属的组织机构。
○ 经纬度:机房的经纬度位置信息。
○ 运营单位名称:机房所属的运营单位名称。
○ 责任人:机房管理责任人。
○ 关键信息基础设施:机房是否为关键信息基础设施。
○ 备注信息:机房的备注信息。
该功能用于管理云平台信息,包括新增、编辑及删除云平台信息。
a. 选择“资产中心 > 资产配置>资产属性管理”,选择进入云平台属性页面。
b. 支持按云平台名称、组织机构和责任人检索云平台信息。其中,云平台名称和责任人支持模糊查询。
c. 单击云平台列表左上方的<新增>按钮,配置相关参数可新增云平台信息;单击云平台列表操作列下的<详情>按钮可查看选中云平台的配置信息;单击云平台列表操作列下的<编辑>按钮可修改选中云平台的配置信息。
d. 选中多条云平台信息,单击云平台列表左上方的<删除>按钮可批量删除云平台信息。单击云平台列表操作列下的<删除>按钮可删除选中的云平台信息。
参数说明
○ 租户名称:云平台所属租户的名称。
○ 云平台名称:云平台的名称。
○ 云平台类型:云平台的类型,包括:公有云、政务云。
○ 组织机构:云平台所属的组织机构。
○ 运营单位名称:云平台所属的运营单位名称。
○ 责任人:云平台管理责任人。
○ 关键信息基础设施:云平台是否为关键信息基础设施。
○ 是否在境内:云平台是否在境内。
○ 备注信息:云平台的备注信息。
该功能用于管理运营商为各组织机构的资产联网运行提供的网络和端口服务的详细信息,通过网络信息,可以分析所属组织机构和相关网络资产的网络连通性、重要性、网络利用率等情况。
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入网络信息页面。
b. 支持按网络名称和组织机构检索网络信息。其中,网络名称支持模糊查询。
c. 单击网络列表左上方的<新增>按钮可新增网络信息;单击网络列表操作列下的<详情>按钮可查看选中网络信息的配置信息;单击网络列表操作列下的<编辑>按钮可修改选中网络信息的配置信息。
d. 选中多条网络信息信息,单击网络列表左上方的<删除>按钮可批量删除网络信息。单击网络列表操作列下的<删除>按钮可删除选中的网络信息信息。
参数说明
○ 网络名称:网络的名称。
○ 网络运营商:网络的运营商信息,包括:移动、联通、电信、其他。
○ 组织机构:网络所属的组织机构。
○ 物理接入位置:组织机构网络接入的地理位置,地理位置采用行政编码表精确到区县,之后加上详细文字描述:编码 +“|”+ 详细地址文字描述。
○ 责任人:组织机构的网络管理责任人。
○ 接入机房:组织机构的网络的接入机房。
○ 关键信息基础设施:该网络是否为关键信息基础设施。
○ 接入IP地址范围:组织机构的联网IP范围。
○ 备注信息:网络的备注信息。
该功能主要包括资产生命周期、资产运维管理相关模板、模板参数管理和资产端口暴露面管理。
该功能用于对自动发现的资产(流量发现、主动发现、漏扫发现),设置入库审核策略;对资产设置资产状态(在线、离线)识别策略。
a. 选择“资产中心 > 资产配置 > 资产参数”,进入资产生命周期页面。
b. 在主机资产入库下选择是否要开启入库审核。
§ 开启入库审核:单击<开启>按钮,可以开启入库审核,此时需要配置审核区域(流量发现、主动发现、漏扫发现的资产,如果属于配置的审核区域则自动进入待审核资产列表)。
§ 关闭入库审核:单击<关闭>按钮,可以关闭入库审核(当入库审核为关闭状态时,审核区域无法进行选择配置)。
c. 在主机资产状态下选择是否开启离线资产识别。
§ 开启离线资产识别:单击<开启>按钮,可以开启离线资产识别,此时需要配置离线规则,超过规定时间(以小时为单位)没有检测到资产的流量,资产状态将变为离线。
§ 关闭离线资产识别:单击<关闭>按钮,可以关闭离线资产识别(当离线资产识别为关闭状态时,离线规则无法进行配置)。
d. 点击<保存配置>按钮,将对填入的配置进行保存。
e. 点击<重置配置>按钮,将对填入的配置重置为初始默认值。
注意事项
○ 仅当入库审核为开启状态时,才需进行审核区域的配置。
○ 仅当离线资产识别为开启状态时,才需进行离线规则的配置。
开启资产信息增强功能后,平台将根据SNMP协议获取资产设备上的地址解析列表数据,在资产列表页面关联展示资产IP地址与资产MAC地址对应关系,便于快速识别定位威胁主机。添加获取信息的资产时,推荐选择防火墙、交换机、路由器类型的资产,更全面获取信息。
a. 选择“资产中心 > 资产配置>资产参数”,选择进入资产信息增强页面。
b. 开启/关闭资产信息增强功能:系统默认关闭资产信息增强功能,可通过单击按钮来选择开启或关闭资产信息增强功能。
c. 当开启资产信息增强功能时,可进行如下功能的配置:
§ 设置数据采集周期:单击数据采集周期设置下拉框,选择数据采集周期,系统默认周期为8小时。
§ 刷新资产列表:单击<立即刷新>按钮,刷新资产列表。
§ 新增需同步信息的资产:单击<选择资产>按钮,进入"选择资产"页面,勾选一个或多个资产,单击<保存>按钮,资产新增成功。
§ 编辑资产:单击资产列表的操作列下的<编辑>按钮,进入"编辑资产"页面,修改资产的配置参数后,单击<确认>按钮,可以编辑修改资产的配置信息。
§ 删除资产:勾选一个或多个资产,单击资产列表左上方<删除>按钮可以批量删除资产,或单击资产列表下操作列的<删除>按钮,可以删除指定资产。
该功能用于配置系统以命令行方式登录设备时使用的协议类型及其参数。为了减少用户重复配置,将协议参数以参数模板的方式进行管理。当用户设置的参数与参数模板相同时,只需从已定义的模板中选择需要的模板即可。
SNMP模板
该功能用于新增、修改或删除SNMP模板。
a. 选择“资产中心 > 资产配置 > 资产参数 > 模板参数管理”,进入模板参数管理页面。
b. 选择SNMP模板,单击<新增>按钮进入新增SNMP模板页面。
c. 配置SNMP模板参数。
§ 模板名称:SNMP模板的唯一标识,不允许重复。
§ SNMP版本:包括:
|
SNMPv1 |
SNMP的v1版本。 |
|
SNMPv2c |
SNMP的v2c版本。 |
|
SNMPv3 无认证 无加密 |
SNMPv3无认证无加密。 |
|
SNMPv3 无加密 MD5认证 |
SNMPv3无加密,采用MD5认证。 |
|
SNMPv3 无加密 SHA认证 |
SNMPv3无加密,采用SHA认证。 |
|
SNMPv3 DES加密 MD5认证 |
SNMPv3有加密,加密算法为DES,采用MD5认证。 |
|
SNMPv3 DES加密 SHA认证 |
SNMPv3有加密,加密算法为DES,采用SHA认证。 |
|
SNMPv3 AES128加密 MD5认证 |
SNMPv3有加密,加密算法为AES128,采用MD5认证。 |
|
SNMPv3 AES128加密 SHA认证 |
SNMPv3有加密,加密算法为AES128,采用SHA认证。 |
§ 只读团体名/读写团体名:具有只读权限的团体字只能对设备信息进行查询,具有读写权限的团体可以对设备进行查询和配置。
§ 端口号:SNMP协议使用的端口号。
§ 超时时间:表示系统在与设备通信时等待其响应的最长时间。
§ 重试次数:表示系统在与设备通信发生故障时的最大重试次数。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增SNMP模板。
NETCONF over SSH模板
该功能用于新增、修改或删除NETCONF over SSH模板。
a. 选择“资产中心 > 资产配置 > 资产参数 > 模板参数管理”,进入模板参数管理页面。
b. 选择NETCONF over SSH模板,单击<新增>按钮进入新增NETCONF over SSH模板模板页面。
c. 配置NETCONF over SSH模板参数。
§ 模板名称:SSH模板的唯一标识,不允许重复。
§ 用户名:通过SSH方式登录设备时使用的用户名。
§ 密码:通过SSH方式登录设备时使用的密码。
§ 超时时间:表示系统在与设备通信时等待其响应的最长时间,单位为秒,取值范围为1~60,缺省为10。
§ 重试次数:表示系统在与设备通信发生故障时的最大重试次数,取值范围1~20,缺省为3。
§ 端口:通过SSH方式登录设备时使用的端口号,,取值范围为1~65535,缺省为830。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增NETCONF over SSH模板。
NETCONF over SOAP模板
该功能用于新增、修改或删除NETCONF over SOAP模板。
a. 选择“资产中心 > 资产配置 > 资产参数 > 模板参数管理”,进入模板参数管理页面。
b. 选择NETCONF over SOAP模板,单击<新增>按钮进入新增NETCONF over SOAP模板模板页面。
c. 配置NETCONF over SOAP模板参数。
§ 模板名称:NETCONF over SOAP模板的唯一标识,不允许重复。
§ 访问URL协议:选择开启基于HTTPS或HTTP的NETCONF over SOAP功能。
§ 端口:SOAP协议使用的端口号。访问URL协议选择HTTPS时默认端口为832。
§ 用户名:通过SOAP方式登录设备时使用的用户名。
§ 密码:通过SOAP方式登录设备时使用的密码。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增NETCONF over SOAP模板。
主要用于配置、管理业务系统和业务数据。
本章包含如下内容:
· 业务系统
· 业务数据
业务系统描述了各类业务信息系统的详细信息,主要包括重要党政机关网站、安全防护系统、 OA 系统、信息管理系统(政务微信、公众号)、电子邮件系统、社会化生产生活系统(供水 供电、卫生医疗、民政等信息化系统)、私有云平台等信息。通过业务信息系统信息,结合组织机构、机房等,可以分析得到关键信息基础设施、重要网站、系统等重要性、地理分布、行业分布、服务对象重要程度、用户规模大小等,从而进行重点防护,保障系统顺利运行。
1. 选择“资产中心 > 业务系统”,进入业务系统页面。通过单击右上角
按钮或
按钮,可选择将业务系统以列表或卡片的形式展现,其中,卡片视图下支持展示业务系统关联的资产数、对应的风险资产数以及最近7天安全告警的统计趋势。
2. 支持按照系统名称、系统类型、组织机构、关键信息基础设施、ICP备案状态和行业分类检索业务系统信息,其中,系统名称支持模糊查询。
单击业务系统列表操作列下或卡片下方的<详情>按钮,可以查看选中的业务系统的详细信息。
单击业务系统列表操作列下或卡片下方的<投屏演示>按钮,可以查看选中的业务系统态势。
单击业务系统列表左上方的<新增>按钮,完成相关参数的配置,单击<确认>按钮,完成业务系统的新增操作。
新增业务系统参数说明
· 系统名称:业务系统的名称。
· 系统版本:业务系统的版本。
· 系统类型:系统所属类型,包括:公众服务系统、业务信息系统、办公管理系统等。
· ICP备案状态:业务系统的ICP备案状态。
· 等保级别:业务系统的等保级别。
· 关键信息基础设施:是否为关键信息基础设施。
· 网络监管部门:业务系统的网络监管部门名称。
· 组织机构:业务系统所属组织机构。
· 责任人:业务系统的责任人。
· 行业分类:业务系统所属行业分类,包括:电信、财政、税务、电力、交通、能源等。
· 重要性:业务系统的重要性。
· 服务对象:业务系统的服务对象,包括:个人用户服务、组织机构服务等。
· 用户规模:业务系统的用户规模。
· 连接互联网:业务系统是否连接互联网。
· 使用状态:业务系统的使用状态。
· 关键业务:业务系统中的关键业务。
· 系统域名:业务系统的域名。
· 系统IP端口:业务系统使用的ip端口列表,支持输入范围,单个IPv4端口(192.168.1.1:80|81)、IPv6端口(21DA:0000:0000:0000:02AA:000F:FE08:9C5A:80|81)没有端口填-1,多个ip端口以英文逗号','分割。
· 系统URL:业务系统使用的url,支持输入范围,多个域名以英文逗号','分割。
· DNS服务器域名:业务系统的DNS服务器域名列表,支持输入范围,多个域名以英文逗号','分割。
· 系统简介:业务系统的简介。
· 系统截图:单击<上传图片>按钮可选择上传业务系统的截图。
· 关联资产:单击<选择资产>按钮可选择业务系统的关联资产。单击关联资产操作列下的删除按钮或勾选多个关联资产后单击关联资产列表左上方的<删除>按钮可删除指定的关联资产。
单击业务系统列表操作列下的<编辑>按钮或选中卡片下方的
按钮后单击<编辑>按钮,可以修改选中的业务系统信息。
单击业务系统列表操作列下的<选择资产>按钮或选中卡片下方的
按钮后单击<选择资产>按钮,选择指定的一个或多个资产后单击<确认>按钮,可以指定业务系统的关联资产。
单击业务系统列表操作列下的<快速扫描>按钮或选中卡片下方的
按钮后单击<快速扫描>按钮,配置相关参数,可以对业务系统进行快速扫描。
单击业务系统列表操作列下的<日志检索>按钮或选中卡片下方的
按钮后单击<日志检索>按钮,可跳转至溯源中心 > 全文检索页面查看相应日志。
单击业务系统列表操作列下的<业务拓扑>按钮或选中卡片下方的
按钮后单击<业务拓扑>按钮,单击<配置拓扑>按钮进入配置拓扑页面,单击<+>按钮后单击<确认>按钮,可以上传指定业务系统的拓扑图。
选中多条业务系统信息,单击业务系统列表左上方的<删除>按钮,可批量删除业务系统;单击业务系统列表操作列下的<删除>按钮或选中卡片下方的
按钮后单击<删除>按钮可删除选中的业务系统信息。
· 在进行快速扫描、日志检索操作前需先配置系统域名或者系统URL。
业务数据描述了各级单位上报的业务信息系统生产、使用、存储的业务数据的详细信息。业务数据安全是网络安全态势的重要组成和网络防护的重要目标,通过业务数据,关联业务信息系统、软硬件等,可以分析数据的敏感程度、敏感数据类型、重要性、数据规模大小等信息,在面临风险和遭受网络安全事件时,分析数据泄露规模、泄露内容、影响范围、危害的大小等,并采取合适的防护措施,减少损失和危害,保证数据安全。
1. 选择“资产中心 > 业务系统”,选择进入业务数据页面。
2. 支持按数据名称、业务系统和组织机构检索业务数据信息,其中,数据名称支持模糊查询。
单击业务数据列表操作列下的<详情>按钮,可以查看选中的业务数据的详细信息。
单击业务数据列表左上方的<新增>按钮,完成相关参数的配置,单击<确认>按钮,完成业务数据的新增操作。
单击业务数据列表操作列下的<编辑>按钮可修改选中业务数据的配置信息。
选中多条业务数据信息,单击业务数据列表左上方的<删除>按钮,可批量删除业务数据;单击业务数据列表操作列下的<删除>按钮可删除选中的业务数据信息。
· 数据名称:业务数据的名称。
· 数据类型:业务数据的数据类型,业务数据、办公数据、个人信息数据等。
· 组织机构:业务数据所属的组织机构。
· 业务系统:业务数据所属的业务系统。
· 数据形态:业务数据的数据形态,电子文档、数据库、其他。
· 数据总量:业务数据的数据总量,单位:MB。
· 数据总条目:业务数据的数据总条目。
· 数据增量:业务数据的平均每日增量,单位:MB。
· 数据重要度:业务数据的重要度。
· 责任人:业务数据的负责人。
· 备注信息:业务数据的备注信息。
· 操作:
○ 编辑:点击可修改选中业务数据的配置信息。
○ 删除:点击可删除选中业务数据。
○ 详情:点击查看选中业务数据的配置详情。
区域是本系统针对用户网络进行的逻辑划分,与内网IP段绑定,方便识别IP地址是否为内网IP及其地理位置;同时,系统通过分析区域中IP的安全状态,从而推断出区域的网络安全状况。
该页面相关参数解释如下:
· 
:点击可参看当前区域拥有的子区域信息。
· 区域名称:父区域或子区域名称。
· IP范围:区域的IP地址范围。
· 描述:区域描述信息。
· 地理位置:区域所属的地理位置。
· 创建人:创建区域的用户名称。
· 操作:支持编辑区域、添加子区域和删除区域。
区域管理只显示当前用户所属租户下的所有区域信息。
该功能用于新增区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 单击页面中的<新增>按钮进入新增区域页面。
3. 在新增区域页面填写区域信息。
○ 区域名称:区域的唯一标识。
○ 区域地理位置:区域所在的省市。
○ 组织机构:区域所属的组织机构。
○ 区域描述:区域的描述信息,合理的描述信息有助于管理员快速了解区域。
○ IP范围:当前区域包含的IP地址范围。单击<新增>按钮可为当前区域添加IP范围。
§ IP类型:可选择配置IPv4或IPv6网段。
§ IP属性:可选择配置IP属性。
§ 网段类型:选择区域IP范围的配置方式,包括IP地址范围和子网。
§ IP范围:网段类型选择IP地址范围时需要配置区域IP范围的开始地址和结束地址。开始地址即区域IP范围的起始IPv4或IPv6地址,结束地址即区域IP范围的结束IPv4或IPv6地址,结束IP必须大于或等于起始IP。网段类型选择子网时需要配置IP地址和掩码长度,IP地址即区域子网,掩码长度即区域子网的掩码长度。
4. 配置完成后,单击<确认>按钮完成操作。
注意事项
· 区域名称保存后不能再修改。
· 一个父区域下最多可嵌套4层子区域,但可配置多个同一层级的子区域。
· 单击
按钮可查看当前区域拥有的子区域信息。
该功能用于为区域创建子区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 单击操作列<添加子区域>按钮为选中区域创建子区域。参数解释请参见新增区域。
编辑区域管理用于删除选中区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 选中多条区域信息,单击<删除>按钮即可批量删除区域;单击操作列的<删除>按钮即可删除选中的区域或子区域。
注意事项
删除父区域后,该区域下的所有子区域也会被同步删除。
该功能用于批量导入或导出区域信息。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 按IP范围导入
a. 单击<导入>按钮选择“IP范围导入”,单击“IP范围模板”。按模板要求填写相应的区域信息及其IP信息后保存配置。
b. 选择保存的模板,点击上传即可批量为区域配置IP范围。
3. 按区域导入
a. 单击<导入>按钮选择“区域导入”,单击“区域模板”。按模板要求填写相应的区域信息及其IP信息后保存配置。
b. 选择保存的模板,点击上传即可批量导入区域。
4. 单击<导入>按钮选择“导入结果”可查看导入结果,导入失败时将展示失败原因。
5. 单击<导出>按钮将导出满足查询条件的区域信息;若查询条件为空,则导出所有区域信息。
注意事项
· 一个父区域下最多可嵌套4层子区域,但可配置多个同一层级的子区域
· 区域导入模板中包含子区域时,其父区域必须已存在,否则导入不成功。
· 批量导入IP范围时,区域名必须已存在,否则导入不成功。
总览全局安全事件统计信息,多维度展示全网威胁分析结果,及时感知资产风险。还可对风险资产、风险终端和攻击者进行画像,并可展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
本章包含如下内容:
· 安全告警
· 安全事件
· 攻击者视角
· 脆弱性视角
○ 脆弱性风险总览
○ 脆弱性风险事件
○ 脆弱性告警列表
· 威胁情报
○ IP情报库
○ 域名情报库
○ URL情报库
○ MD5情报库
○ 云端配置
该功能用于统计和展示全网发生的安全告警。当网络中频繁发生安全告警时,安全告警列表中会出现大量信息,不利于运维人员进行安全分析。为了方便运维人员分析,平台支持配置多种查询条件,并根据查询结果在页面上方以图表形式展示安全告警的统计信息和趋势图,并在页面下方以表格形式详细展示安全告警的主要信息。其中,查询条件支持收藏,方便后续查询。
管理员可对安全告警进行处理、处置、编排、添加白名单、研判和查看详情等操作:
○
处理:修改安全告警处理状态,支持批量处理和单个处理。安全告警处理状态缺省为“未处理”,若告警无需处理,管理员需手动修改其状态为“忽略”,若告警已线下处理过,则需手动修改其状态为“已处理”。平台分析资产及网络安全状态时,不再将“已处理”和“忽略”的告警纳入统计数据。
除了支持手动修改告警处理状态外,平台内置了灰色事件分析引擎,内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的告警进行分析,将符合灰色事件条件的告警自动置为“忽略”状态;也会对被自动置为“忽略”状态的历史告警进行分析,在本次的分析中不符合灰色事件条件的历史告警,其状态将自动还原为“未处理”。
○ 处置:创建处置工单,并将安全告警添加到工单中,通过邮件或短信通知相关责任人处理安全告警,并反馈处理结果。处理完成后,管理员需手动修改安全告警处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。
○ 编排:向某个安全告警手动下发剧本,平台将会根据剧本动作调用相关的设备对安全告警进行响应闭环。
○ 通报:创建通报告警,并将安全告警关联到通报工单,下发给下级组织处理。有关通报告警的详细介绍请参见通报告警。
○ 白名单:当确认某类安全告警为误报时,可将该告警添加为白名单,减少误报。有关白名单的详细介绍请参见白名单。
○ 研判:管理员可以手动修改安全告警的可信程度。
1. 选择“威胁中心 > 安全告警”,进入安全告警页面。
2. 支持按告警名称、统计周期等条件检索安全告警。配置查询条件后,页面下方图表中将只展示符合查询条件的安全告警。
3. 单击<展开告警分析>,可查看影响主机的告警类型Top 10、告警趋势图和告警名称统计Top10。其中,告警名称分布Top10、告警趋势图与告警处理状态联动展示,例如,处理状态选择“未处理”,则告警名称分布图将只展示未处理告警中发生次数Top10的安全告警,告警趋势图也将只展示未处理告警的发生趋势。
4. 选择一个安全告警,单击操作列详情按钮,进入告警详情页面,查看告警的详细信息。
5. 选择一个安全告警,单击操作列的处理按钮,修改告警处理状态;选择多个告警,单击<批量处理>批量修改安全告警处理状态。处理完成后,单击处理状态列
按钮,可查看处理历史记录,方便管理员进行行为审计。
6. 选择一个安全告警,单击操作列白名单按钮,将告警添加到白名单。
7. 选择一个安全告警,单击操作列编排按钮,向某个安全告警手动下发剧本。下发完成后,单击剧本执行状态列的取值,可查看剧本简要信息,方便管理员调整相关配置。
8. 选择一个安全告警,单击操作列通报按钮,可新增通报告警,在添加通报告警后,可将其关联到通报工单中,下发给下级组织处理。
9. 选择一个安全告警,单击操作列处置按钮,将告警添加到处置工单;选择多个告警,单击<批量处理>可将所选安全告警添加到一个处置工单进行跟踪处理。
10. 选择一个安全告警,单击操作列研判按钮,修改告警的确信度。
11. 单击<导出>按钮可将安全告警列表导出为Excel表格文件,用户可单击Web页面右上角的<
>按钮,进入下载列表页面,查看文件导出进度,完成导出后,可以单击<下载>按钮,将文件下载到本地。
· 编排状态为“未执行”表示该告警未匹配任何案件,需要手动选择剧本并下发,“待执行”表示告警已匹配非自动执行剧本的案件,需要手动下发剧本,“已执行”表示告警已匹配自动执行剧本的案件,无需手动下发。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。剧本动作下发失败后,可在编排详情页面重新下发。
· 执行剧本动作的设备必须已经添加为资产,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 由灰色事件分析引擎处理的告警,处理人将标记为灰色事件分析引擎。
该功能用于展示网络中已发生的安全告警详细信息。
· 基本信息:展示安全告警的最近发生时间、首次发生时间、攻击阶段等基础的信息以及网元信息和载荷分析。
○ 网元信息:展示安全告警的源/目的的IP地址、端口和地理信息等。
○ 取证溯源(检测引擎为云端情报):展示安全告警的恶意情报详细访问关系图、IOC信息表,用于管理员对该安全告警分析取证和研判。
○ 取证溯源(检测引擎为UEBA):展示安全告警的详细会话信息列表,用于管理员对该安全告警分析取证和研判。
· 原始日志:展示该安全告警原始日志信息,单击指定原始日志右侧操作列下的<详情>按钮可以查看具体的日志详情(包括检测数据、JSON数据和数据包下载),数据包下载页面点击<下载pcap包>按钮可以下载对应日志的pcap包。
· 资产分析:对安全告警的原目的资产进行多维度分析。
· 攻击行为分析:对攻击行为进行多维度分析,对攻击组织下一步攻击行为做出预测。
· 参考案例:展示该安全告警的参考处理方案,单击指定案例名称右侧操作列下的<案例详情>按钮,可查看具体的参考案例内容。
安全事件是基于安全告警将告警页面的数据按照安全告警攻击状态是攻击成功的数据进行聚合,更方便管理员从一定高度上去分析现在系统中存在的安全问题,页面顶部配有“攻击阶段ATT&CK分布图”。管理员可以通过分析图查看整个系统中各个阶段安全事件的数量,以及各阶段攻击者多使用的攻击技术、战术等。
管理员可通过页面下方的安全事件列表,查看事件的名称、影响资产数等基本信息,也对指定的事件执行如下操作:
○ 详情:可进入事件详情页面,查看安全事件的详情。包括告警列表、影响资产、处置建议和攻击行为分析。
§ 告警列表:可以展示具体聚合的安全告警数据,方便管理员浏览处理等进行后续操作,可以针对告警进行批量处理、处置,也可针对单条进行添加白名单、编排等操作等。
§ 影响资产:将所有与该事件相关联的资产进行展示,可查看资产画像详情。
§ 处置建议:系统默认配置处置建议,用户可以根据自己的实际经验修改相应事件的处置建议。
§ 攻击行为分析:针对攻击行为,预测攻击组织及其对其下一步攻击进行预测。
○ 处理:修改安全事件处理状态,支持批量处理和单个处理。
○ 处置:创建处置工单,并将安全事件添加到工单中,通过邮件、短信或企业微信通知相关责任人处理安全事件,并反馈处理结果。处理完成后,管理员需手动修改安全事件处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。
1. 选择“威胁中心 > 安全事件”,进入安全事件页面。
2. 支持按事件名称、威胁等级、统计周期等条件检索安全事件。配置查询条件后,页面下方列表中将只展示符合查询条件的安全事件。
3. 选择一个安全事件,单击操作列详情按钮,进入事件详情页面,查看事件的详细信息。关于安全事件详情的详细介绍请参见查看安全事件详情。
4. 选择一个安全事件,单击操作列的处理按钮,修改事件处理状态;选择多个事件,单击<批量处理>批量修改安全事件处理状态。处理完成后,单击处理状态列
按钮,可查看处理历史记录,方便管理员进行行为审计。
5. 选择一个安全事件,单击操作列处置按钮,将事件添加到处置工单;选择多个事件,单击<批量处理>可将所选安全事件添加到一个处置工单进行跟踪处理。
该功能用于展示网络中已发生的安全事件详细信息。
· 基本信息
展示安全事件的基本信息,包括安全事件名称、处理状态、威胁类型、威胁等级、分析引擎、攻击阶段等。单击<事件处理记录>按钮可查看安全事件的处理记录,单击<事件处理>按钮可修改安全事件处理状态,单击<事件处置>按钮可将安全事件添加至工单并进行后续的处置。
· 告警列表
展示安全事件相应的安全告警信息,包括最近发生时间、告警名称、攻击名称等信息。支持查看详情、处理、白名单、编排和处置操作,关于安全告警的详细介绍请参见安全告警。
· 影响资产
展示安全事件的影响资产信息,包括资产名称、资产IP、所属区域等信息。支持根据资产IP检索影响资产信息、资产画像操作,关于资产画像的详细介绍请参见资产画像。
· 处置建议
○ 风险分析:展示该安全事件攻击原理和对用户网络的威胁详情。点击编辑按钮可修改风险分析内容,点击恢复按钮可恢复为系统预定义的风险分析。用户编辑后的风险分析可在调度中心 > 安全知识库的“处置建议库”页签查看。
○ 处置建议:展示针对该安全事件的预定义处置方案。点击编辑按钮可修改处置建议内容,点击恢复按钮可恢复为系统预定义的处置建议。用户编辑后的处置建议可在调度中心 > 安全知识库的“处置建议库”页签查看。
· 攻击行为分析
展示攻击行为分析信息,包括ATT&CK 攻击组织、攻击技术、攻击源等信息。
该功能用于统计和展示基于攻击者角度分析的安全告警。当网络中频繁发生安全告警时,安全告警列表中会出现大量信息,不利于运维人员进行安全分析。为了方便运维人员分析,平台支持配置多种查询条件,并根据查询结果在页面上方以图表形式展示安全告警的统计信息,并在页面下方以表格形式详细展示安全告警的主要信息。
管理员可对安全告警进行处理、处置和添加白名单等操作:
○
处理:修改安全告警处理状态,支持批量处理和单个处理。安全告警处理状态缺省为“未处理”,若安全告警无需处理,管理员需手动修改其状态为“忽略”,若安全告警已线下处理过,则需手动修改其状态为“已处理”。平台分析资产、用户及网络安全状态时,不再将“已处理”和“忽略”的安全告警纳入统计数据。
除了支持手动修改安全告警处理状态外,平台内置了灰色事件分析引擎,内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的安全告警进行分析,将符合灰色事件条件的安全告警自动置为“忽略”状态;也会对被自动置为“忽略”状态的历史安全告警进行分析,在本次的分析中不符合灰色事件条件的历史安全告警,其状态将自动还原为“未处理”。
○ 处置:创建处置工单,并将安全告警添加到工单中,通过邮件或短信通知相关责任人处理安全告警,并反馈处理结果。处理完成后,管理员需手动修改安全告警处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单 。
○ 白名单:当确认某类安全告警为误报时,可将该安全告警添加为白名单,减少误报。有关白名单的详细介绍请参见白名单 。
○ 一键阻断:针对攻击者实施一键阻断,直接将命令下发目标设备。实现安全告警快速反应,保证业务安全。
1. 选择“威胁中心 > 攻击者视角”,进入攻击者视角页面。
2. 配置统计周期,查看攻击者总数、外部攻击者等统计信息,以及攻击者地理位置分布Top 10、攻击者手段Top 10的排行数据。
○ 攻击者总数:攻击事件对应的攻击者总数。
○ 外部攻击者:源IP为外网主机,目的IP为内网主机的攻击事件对应的攻击者数量。
○ 外连攻击者:源IP为内网主机,目的IP为外网主机的攻击事件对应的攻击者数量。
○ 横向攻击者:源IP为内网主机,目的IP为内网主机的攻击事件对应的攻击者数量。
3. 配置攻击者IP、地理位置等统计条件,在页面下方的安全告警列表中查看符合条件的安全告警信息。
4. 选择一条攻击者数据,单击操作列画像图标进入攻击者画像页面,查看详细信息。
5. 选择一条攻击者数据,单击操作列的处理图标,修改安全告警处理状态;选择多个安全告警,单击<批量处理>批量修改安全告警处理状态。
6. 选择一条攻击者数据,单击操作列处置图标,将安全告警添加到处置工单;选择多个安全告警,单击<批量处理>可将所选安全告警添加到一个处置工单进行跟踪处理。
7. 选择一条攻击者数据,单击操作列白名单图标,将安全告警添加到白名单。
8. 选择一条攻击者数据,单击操作列一键阻断,选择执行阻断动作的设备类型、执行设备并添加阻断原因,完成配置后,单击立即执行按钮,平台会立即向执行设备下发黑名单命令。
9. 单击<导出>按钮可将安全告警列表导出为Excel表格文件,用户可单击Web页面右上角的<
>按钮,进入下载列表页面,查看文件导出进度,完成导出后,可以单击<下载>按钮,将文件下载到本地。
该功能用于展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
该功能用于展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
选择“威胁中心 > 脆弱性视角 > 总览”,进入脆弱性总览页面,可查看脆弱性风险的统计信息,包括脆弱性资产数量、脆弱性风险数量、处理状态分布、验证状态分布等。
该功能用于展示网络中存在漏洞、弱口令、配置风险等风险的资产信息及其风险详情。
平台从漏洞维度(包括漏洞、弱口令、配置风险)综合分析每种漏洞对单个资产和对整网的影响,并计算出处理优先级得分,从而提醒管理员优先处理影响更大的漏洞。若漏洞只影响了一个资产则按资产维度计算处理优先级得分,否则按整网维度计算处理优先级得分:
· 整网维度处理优先级:是指一个漏洞影响网络中多个资产,平台将根据这些资产的资产价值、资产安全度、资产开放端口、漏洞等级,以及该漏洞是否被利用成功导致资产受攻击等因素进行综合计算,得出处理优先级得分,分值越小,处理优先级越高。以便管理员评估漏洞对整个网络的影响。
· 资产维度处理优先级:是指一个资产上存在多个漏洞,平台将根据这些漏洞的漏洞等级、资产开放端口,以及漏洞是否被利用成功导致资产受攻击等因素进行综合计算,得出处理优先级得分,分值越大,处理优先级越高。以便管理员评估漏洞对资产的影响。
选择“威胁中心 > 脆弱性视角 > 脆弱性风险事件”,可查看脆弱性风险事件的具体信息,包括漏洞风险、配置风险、弱口令等。
· 漏洞风险
展示资产存在的漏洞风险的具体信息,并支持对这些风险进行批量处理。
· 配置风险
展示资产存在的配置风险的具体信息,并支持对这些风险进行批量处理。
· 弱口令
展示资产存在的弱口令信息,并支持对这些风险进行批量处理。缺省情况下,页面以密文方式展示扫描出来的弱口令账号和密码,开启“显示账号密码”功能并验证当前管理员登录密码后,可查看弱口令账号和密码明文。
· 设置整网维度处理优先级阈值
单击页面右上角处理优先级配置按钮,设置整网维度处理优先级阈值。优先级得分小于等于高处理优先级阈值的漏洞将被划分到高处理优先级漏洞,得分大于低处理优先级阈值的漏洞将被划分到低处理优先级漏洞,得分在高、低处理优先级阈值之间的则为中处理优先级漏洞。
该功能用于展示网络中存在漏洞风险、配置风险和弱口令的资产相关信息,并支持对这些风险进行处理、处置、验证和编排。
1. 脆弱性告警列表页面包括漏洞风险、配置风险和弱口令的列表信息。有关脆弱性风险事件的详细介绍,请参见脆弱性风险事件。
2. 单击威胁中心 > 脆弱性视角 > 脆弱性告警列表,进入脆弱性告警列表页面,可以选择查看漏洞风险、配置风险或弱口令的相关信息。
支持按照多种条件检索漏洞风险、配置风险和弱口令的信息。
单击漏洞风险或配置风险或弱口令列表操作列下的<处理>按钮,进入脆弱性风险处理界面,可以修改该脆弱性风险告警的处理状态。
单击漏洞风险或配置风险或弱口令列表操作列下的<处置>按钮,进入脆弱性风险工单处置页面,可以创建处置工单,并将该脆弱性风险告警添加到工单中,通过邮件或短信通知相关责任人处理,并反馈处理结果。有关工单处置的详细介绍,请参见处置工单。
单击漏洞风险或配置风险或弱口令列表操作列下的<验证>按钮,进入脆弱性风险验证界面,验证方式可选择漏扫联动或人工验证,可根据人工验证结果选择验证状态。其中,验证状态取值包括待验证、未修复和已修复。
单击漏洞风险或配置风险或弱口令列表操作列下的<编排>按钮,进入编排处置页面,可以进行剧本的配置。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量处理>按钮,可以对选中的脆弱性告警列表信息的状态进行批量处理。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量处置>按钮,可以对选中的脆弱性告警列表信息批量进行工单处置。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量验证>按钮,可以对选中的脆弱性告警列表信息进行批量验证。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<导出>按钮,可以导出选中的脆弱性告警列表信息。
· 显示弱口令账号及密码:选择“脆弱性明细 > 弱口令”,进入弱口令页面,单击<隐藏账号密码>按钮,输入管理员密码,验证成功后会显示弱口令的账号及密码。
· 隐藏弱口令账号及密码:选择“脆弱性明细 > 弱口令”,进入弱口令页面,单击<显示账号密码>按钮,弱口令的账号及密码将会被隐藏。
导出脆弱性告警列表时,最多只能导出脆弱性风险发生时间最近的前十万条数据。
该功能用于查看威胁情报信息(包括IP情报、域名情报和URL情报信息)并对情报执行启用、停用、导入的操作,以及升级情报特征库。
同时,支持开启云端平台(即云端情报中心)同步功能,开启该功能后,平台可定期从云端平台获取情报信息,丰富平台情报库。
· IP情报库
· 域名情报库
· URL情报库
· MD5情报库
· 云端配置
该功能用于展示IP情报信息。系统支持预定义和自定义IP情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
· 预定义IP情报
该功能用于查询预定义IP情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入IP地址后单击
按钮即可查看相应的IP情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
· 自定义IP情报
用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义IP情报”页签,单击<新增>按钮进入新增自定义IP情报页面,配置相关参数后单击<确认>按钮完操作。
○
查询情报:选择“自定义IP情报”页签,输入IP后单击按钮即可查看相应的IP情报信息。
○ 启用情报:选择“自定义IP情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择“自定义IP情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:选择“自定义IP情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义IP情报库页面,单击“自定义IP情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选择“自定义IP情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· IP地址:用于对网络流量进行过滤。
· 情报类型:该IP地址对应的攻击分类。
· 方向:该IP地址被标识为特定攻击时的匹配方向,包括源、目的及双向。
· 可靠性:该自定义IP情报的准确度,值越大准确度越高。
· 端口:用于对网络流量的目的端口进行过滤。
· 情报状态:选择是否启用该自定义情报。
· 情报溯源若无结果,情报可能已被删除。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于展示域名情报信息。系统支持预定义和自定义域名情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
· 预定义域名情报
该功能用于查询预定义域名情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入域名后单击按钮即可查看相应的域名情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
· 自定义域名情报
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:选择“自定义域名情报”页签,单击<新增>按钮进入新增自定义域名情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:选择“自定义域名情报”页签,输入域名后单击按钮即可查看相应的域名情报信息。
· 启用情报:选择“自定义域名情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择“自定义域名情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:选择“自定义域名情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义域名情报库页面,单击“自定义域名情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
· 删除情报:选择“自定义域名情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· 域名:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该域名对应的攻击分类。
· 可靠性:该自定义域名情报的准确度,值越大准确度越高。
· 匹配方式:系统对域名匹配的方式,包括精确匹配和模糊匹配。选择精确匹配时,网络流量的域名必须与域名情报完全一致才认为匹配成功;选择模糊匹配时,只需要网络流量的根域名与域名情报一致即认为匹配成功。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于展示URL情报信息。系统支持预定义和自定义URL情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
· 预定义URL情报
该功能用于查询预定义URL情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入URL后单击按钮即可查看相应的URL情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
· 自定义URL情报
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义URL情报”页签,单击<新增>按钮进入新增自定义URL情报页面,配置相关参数后单击<确认>按钮完操作。
○ 查询情报:输入URL后单击<查询>按钮即可查看相应的URL情报信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:单击<导入>按钮,选择“导入”,进入导入自定义URL情报库页面,单击“自定义URL情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· URL:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该URL对应的攻击分类。
· 可靠性:该自定义URL情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于展示MD5情报信息。系统支持预定义和自定义MD5情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
· 预定义MD5情报
该功能用于查询预定义MD5情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入MD5值后单击按钮即可查看相应的MD5情报信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
· 自定义MD5情报
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义MD5情报”页签,单击<新增>按钮进入新增自定义MD5情报页面,配置相关参数后单击<确认>按钮完操作。
○
查询情报:选择“自定义MD5情报”页签,输入MD5后单击按钮即可查看相应的MD5情报信息。
○ 启用情报:选择“自定义MD5情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择“自定义MD5情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:选择“自定义MD5情报”页签,选择“导入”,进入导入自定义MD5情报页面,单击“自定义MD5情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选择“自定义MD5情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· MD5值:恶意文件MD5值,格式为32位16进制字符串。
· 家族名称:MD5值对应的病毒家族名称。
· 危害等级:该MD5值对应的危害等级,值越大危害越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于配置本平台与云端平台(即云端情报中心)对接,对接成功后,平台可定期从云端平台获取情报信息,丰富平台情报库。
用户必须购买并安装威胁情报更新升级License后,平台才能从云端平台同步情报信息,有关License的详细介绍,请参见《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》。
1. 选择“威胁中心 > 威胁情报> 云端配置”,进入云端配置页面。
2. 打开同步状态开关。缺省情况下,同步状态开关已打开,无需修改。
· 本平台与云端平台之间必须网络互通,否则无法使用本功能。
· 关闭同步状态开关后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
· 威胁情报更新升级License过期后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
总览全局安全事件统计信息,多维度展示全网威胁分析结果,及时感知资产风险。还可对风险资产、风险终端和攻击者进行画像,并可展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
本章包含如下内容:
· 威胁场景分析
○ 挖矿风险分析
○ 勒索感染分析
○ C&C外联分析
○ 恶意文件分析
○ 威胁情报分析
· 流量场景分析
○ 异常流量分析
○ 互联网流量分析
○ 内网流量分析
· 行为场景分析
○ 互联网行为分析
○ 内网行为分析
○ 用户行为审计
· 分析模型管理
○ XRULE模型
○ UEBA模型
○ 关联分析模型
○ 复杂攻击模型
该功能用于分析和展示网络中发生的各类事件,例如挖矿、勒索感染、C&C外联等。方便用户了解网络安全现状,并根据分析结果调整相应的防护策略。
该功能用于分析和展示网络中发生的挖矿安全告警,仅统计处理中和未处理的安全告警。展示的内容主要包括如下:
· 挖矿阶段分布图
展示指定统计周期内,各个挖矿阶段的主机个数。单击统计值,将展示相关的主机列表。
· 挖矿矿池影响主机分布图
展示指定统计周期内,主机访问的矿池分布情况。单击统计值,将展示相关的主机列表。
· 挖矿币种分布图
展示指定统计周期内,主机挖矿的币种分布情况。单击统计值,将展示相关的主机列表。
· 挖矿主机列表
展示指定统计周期内,受挖矿病毒影响的主机信息。单击操作列的详情按钮查看主机发生的挖矿安全告警明细,单击<导出>按钮可将分析数据导出到excel表格,下载到本地进行预览。
具体操作步骤如下:
1. 选择“分析中心 > 威胁场景分析 > 挖矿风险分析”,进入挖矿风险分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能用于分析和展示网络中发生的勒索病毒感染告警,仅统计处理中和未处理的非白名单告警。展示的内容主要包括如下:
· 勒索活动告警检测
展示统计周期内,勒索恶意通信、勒索病毒、暴力破解、弱口令登录和勒索漏洞利用告警的分布情况。
· 勒索影响范围
展示统计周期内,勒索活动告警影响资产数的个数,单击<详情>按钮可查看影响资产数列表。
· 勒索家族分布Top5
展示统计周期内,各勒索家族的分布情况,单击资产数量区域可查看对应的勒索告警列表。
· 安全告警列表
○ 展示统计周期内,勒索活动触发的安全告警列表信息,可对安全告警进行处理、处置、编排、添加白名单、研判和查看详情等操作。关于安全告警的详细介绍,请参见安全告警。
○ 单击安全告警列表“影响资产”列的数据,可查看对应的资产勒索分析结果,包括资产的勒索态势、资产信息、开放服务、弱口令、漏洞以及关联告警列表信息。
○ 单击安全告警列表“攻击者”列的数据,可查看对应的攻击者画像。关于攻击者画像的详细介绍,请参见攻击者画像。
具体操作步骤如下:
1. 选择“分析中心 > 威胁场景分析 > 勒索感染分析”进入勒索感染分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
C&C外联告警是指内网主机与外网C&C服务器建立连接关系后,外网C&C服务器可以控制内网主机进行攻击活动(如窃取机密文件,操控内网主机攻击其他资产等)从而引发的安全告警。C&C外联分析功能从多个维度统计并展示用户网络中发生的C&C外联告警,以便管理员快速定位异常主机,排除风险。展示的内容主要包括如下:
· C&C外联告警风险危害及处置建议
展示C&C外联告警对网络安全产生的威胁及建议处理方案。
· C&C外联安全告警发生次数趋势图
通过折线图展示统计周期内,C&C外联安全告警发生次数趋势。
· C&C主机
展示统计周期内,内网主机访问过的C&C主机及其所属地区。支持按C&C主机IP地址和域名检索C&C外联告警分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击内部影响主机数列的数字将展示受影响的内网主机信息;点击操作列详情按钮可进入该C&C主机的安全告警明细页面,查看该统计周期内与该C&C主机相关的安全告警详情。
· 源主机
展示统计周期内,内网资产和用户访问过的C&C主机及连接C&C主机次数。支持按主机名称检索C&C外联告警分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击C&C主机列的数字将展示该主机连接过的C&C主机的IOC情报信息;点击操作列详情按钮可进入该主机的安全告警明细页面,查看该统计周期内与该主机相关的安全告警详情。
具体操作步骤如下:
1. 选择“分析中心 > 威胁场景分析> C&C外联分析”进入C&C外联分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
攻击者通过传播恶意文件来感染内网主机,从而控制内网主机来进行攻击活动,如盗取敏感数据。 恶意文件分析功能用于统计并展示网络中存在的恶意文件及被感染主机信息,以便管理员快速定位异常主机,排除风险。展示的内容主要包括如下:
· 恶意文件风险危害及处置建议
展示恶意文件攻击事件对网络安全产生的威胁及建议处理方案。
· 感染主机详情
通过列表展示统计周期内,感染恶意文件的主机信息。支持按感染主机名称检索感染主机,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击恶意文件数列的数字将展示恶意文件信息;点击感染内网主机数列的数字将展示被感染的内网主机IP; 点击操作列详情按钮可进入该主机的安全告警明细页面,查看该统计周期内与该主机相关的安全告警详情。
· 恶意文件
通过列表展示统计周期内,恶意文件的详细信息,包括文件名称、MD5值、感染主机数等。单击感染主机数列下的统计值,可以查看感染主机的简要信息,包括主机IP地址和主机名等。
具体操作步骤如下:
1. 选择“分析中心 > 威胁场景分析 > 恶意文件分析”进入恶意文件分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能用于分析和展示威胁情报命中情况。展示的内容主要包括如下:
· 威胁情报命中总览
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报的命中次数。
· 情报类型影响主机数Top10分析
在指定的统计周期内,支持选择不同情报类查看IP类、域名类、URL类、MD5类中Top10威胁情报类型影响主机的总数、Top10的威胁情报类型及其各自的影响主机数 。
· 活跃威胁情报Top20
从确信度、影响资产数、命中次数等方面对情报进行综合分析,并展示指定统计周期内,排名前20的情报。同时,支持将情报加入白名单,加入白名单后,情报不再生效,原来匹配成功的数据(如安全告警、风险资产等)也不再展示。
· 威胁情报命中
通过情报IOC查询情报的命中情况。
具体操作步骤如下:
1. 选择“分析中心 > 威胁场景分析 > 威胁情报分析”进入威胁情报分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能基于对网络中发生的各类事件的异常流量进行分析。
该功能用于分析并展示网络中发生的异常流量告警,将分析结果通过多种方式直观展示,便于快速定位网络中的异常流量,排除风险。
1. 选择“分析中心 > 流量场景分析 > 异常流量分析”进入异常网流量分析页面。
2. 单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据。
· 异常流量告警统计
展示统计周期内,网络中各等级的异常流量告警的发生情况。
· 异常流量类型分布
展示统计周期内,网络中发生次数最多的前5类异常流量告警的发生情况。
· 异常流量告警排名
展示统计周期内,发生异常流量告警次数最多的前10个资产发生次数,可选择查看资产的排名情况。
· 近期异常流量告警
展示最近发生的的异常流量告警信息,默认只展示10条告警。
· 异常流量告警发生趋势
展示统计周期内,资产发生异常流量告警的时间趋势。
该页面用于展示统计对象(如内网用户、用户组、区域等)访问互联网的流量统计信息,帮助管理员直观掌握内网访问互联网的概况。通过柱状图和折线图分别展示不同维度下,统计对象访问互联网的总流量,其中,仅支持展示总流量排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问互联网的流量情况,包括上/下行流量、总流量及总流量占比,并支持查看指定统计对象的网络流量日志。
1. 选择“分析中心 > 流量场景分析 > 互联网流量分析”进入互联网流量分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮可以查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到全文检索页面,查看指定统计对象的网络流量日志。
当统计周期超过6小时时,实际查询结果的展示存在短暂的延时(5分钟左右),请耐心等待。
该页面用于展示内网或互联网对象访问内网资产、用户、区域的流量统计信息,帮助管理员直观掌握内网资产、用户、区域的流量概况。通过柱状图和折线图分别展示不同维度下,统计对象访问内网的总流量,其中,仅支持展示总流量排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问内网的流量情况,包括上/下行流量、总流量及总流量占比,并支持查看指定统计对象的网络流量日志。
1. 选择“分析中心 > 流量场景分析 > 内网流量分析”进入内网流量分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮,可查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到全文检索页面,查看指定统计对象的网络流量日志。
该功能旨在帮助管理员审计用户上网行为、统计内网用户登录和资源访问行为,并展示用户访问互联网各应用行为信息,以便监管和规范上网行为。
该功能用于展示统计对象(如用户、用户组、区域等)访问互联网上各种应用的的行为信息,帮助管理员直观掌握内网访问互联网的概况。通过柱状图和折线图分别展示不同维度下,统计对象访问互联网应用的总次数,其中仅支持展示总次数排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问互联网应用的情况,包括访问次数及占比等,并支持查看指定统计对象的网络审计日志。
操作步骤
1. 选择“分析中心 > 行为场景分析 > 互联网行为分析”进入互联网行为分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮,可查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到日志中心界面,查看指定统计对象的网络审计日志。
该功能用于对SSL VPN用户和终端准入用户的登录情况及资源访问行为进行分析统计,并通过图表展示区域在线总次数、用户登录分布等相关统计结果。
注意事项
· 平台通过解析SSL VPN日志来获取SSL VPN用户的登录和资产访问情况。上报SSL VPN日志的日志源IP地址必须在某个区域网段内,或将该日志源添加为资产,否则将会导致用户类型选择“SSL VPN用户”时,页面无可展示数据。
操作步骤
1. 选择“分析中心 > 行为场景分析 > 内网行为分析”进入内网行为分析页面。
2. 单击用户类型下拉框,选择“SSL VPN用户”可查看SSL VPN用户的登录和资产访问情况;选择“终端接入用户”可查看终端准入用户的登录和资产访问情况。
3. 单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近30天的统计数据。
主要功能
· 区域在线总次数
展示以中国地图为模型的各省市用户在线情况,该功能不受统计周期限制。
· 所有用户在线总次数趋势
展示所有用户登录总次数的统计趋势,该统计值包含了国内在线总次数和国外在线总次数。
· 用户登录地分布
展示用户登录次数最多的前10个地区排名。
· 用户登录时段分布
展示用户登录上线时间在00:00~04:00、04:00~08:00、08:00~12:00、12:00~16:00、16:00~20:00、20:00~00:00各时段的登录次数分布情况。
· 登录时长分布
展示登录时长在4小时内、4到8小时和大于8小时,三个阶段登录次数分布情况。
· 访问阻断最多的用户Top10
展示SSL VPN用户访问资产被阻断次数最多的前10个用户。
· 访问资产最多的用户Top10
展示访问资产次数最多的前10个SSL VPN用户。
· 被访问最多的资产Top10
展示被SSL VPN用户访问次数最多的前10个资产。
· 认证失败最多的用户Top10
展示终端准入用户登录认证失败次数最多的前10个用户。
· 登录终端类型分布
展示终端准入用户登录使用的种终端类型的分布情况。
该功能用于展示统计周期内用户的上网行为记录,以便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。
场景配置
该功能用于设置用户上网行为分析场景,系统预定义了企业、校园两个场景。不同的场景对用户上网行为的关注点不同,如企业场景关注怠工等行为,校园场景更关注校园贷、学生沉迷上网、学生沉迷游戏等行为
选择场景后,系统提取用户的上网特征行为并为其打上标签,以便管理员快速了解用户的行为倾向。企业和校园场景支持的标签如下:
· 公共标签:
○ 赌博:标识关注赌博信息的用户
○ 毒品:标识关注毒品信息的用户
○ 低俗:标识关注低俗色情信息的用户
○ 下载狂:标识有大量下载行为的用户
○ 重度游戏迷:标识重度游戏成瘾的用户
○ 中度游戏迷:标识中度游戏成瘾的用户
○ 视频控:标识经常看视频的用户
○ 炒股:标识关注股票信息的用户
· 企业场景特有标签:
○ 怠工:标识企业内部上班期间浏览与工作无关信息的用户
· 校园场景特有标签:
○ 校园贷:标识校园内关注校园贷的用户
○ 校园暴力:标识校园内关注暴力的用户
○ 重度网瘾:标识重度上网成瘾的用户
○ 中度网瘾:标识中度上网成瘾的用户
○ 夜猫子:标识经常熬夜的用户
操作步骤
1. 选择“分析中心 > 行为场景分析 > 用户行为审计 > 场景配置”进入场景配置页面。
2. 选中场景前面的单选按钮可启用对应的场景。启用一个场景时,默认关闭之前启用的场景。
查看用户行为详情
该功能用于查看用户的行为详情,包括访问应用的Top排行情况、访问应用的趋势和访问应用的时段分布情况。
3. 选择“分析中心 > 行为分析 > 用户行为审计”,进入用户行为审计页面。
4. 选择指定用户操作列下的<详情>按钮,可查看该用户的行为详情。
○ 用户基本信息
展示用户的基本信息,包括用户名称、用户IP、所属用户组及所属区域。
○ 用户标签
展示系统根据用户的上网行为,为其标识的上网行为标签。
○ 统计条件
管理员可通过配置统计维度和选择指定的应用,查看用户对指定应用的访问情况。统计维度包括流量和次数,系统可分别从访问次数和访问的流量大小对用户访问的Top10应用进行统计。同时,管理员可以选择对指定的应用进行统计,系统将展示指定应用的统计排行情况。
○ 应用访问Top10
系统将根据管理员配置的统计条件,展示用户访问次数或流量排行Top10的应用。
○ Top10应用访问趋势
系统将根据管理员配置的统计条件,展示访问次数或者流量排行Top10的应用类型及其访问趋势。
○ Top10应用访问时段分布
系统将根据管理员配置的统计条件,展示访问次数或者流量排行Top10的应用及其访问时间段的分布情况。
该功能主要用于配置并管理XRULE模型、UEBA模型、关联分析模型和复杂攻击模型。
该功能主要用于配置、管理资源池。资源池包括静态资源池和动态资源池。
该功能用于管理静态资源池。静态资源池是一系列内置函数集合,内置函数可以对一个或多个字段值进行处理,得到一个输出值。静态资源可以用于动态资源和关联规则,通过引用函数,对输入字段进行灵活处理,满足筛选。
预定义静态资源包括:
· 在IP范围内:判断IP是否在配置的IP范围内。用于处理IP相关字段,如:源IP,目的IP,产生日志设备IP,NAT转换源IP,NAT转换目的IP,认证服务设备IP,接入用户IP,登录IP,终端IP。在IP范围内结果返回True,否则结果返回False。
· 在时间范围内:判断时间是否在配置的星期、时分秒时间范围内。用于处理时间相关字段,如:日志产生时间,开始时间,结束时间,首次发生时间,最近发生时间,接入时间,病毒处理时间。在时间范围内结果返回True,否则结果返回False。
· 属于恶意IP:判断IP是否属于配置的恶意IP情报分类。支持处理字段:源IP,目的IP。IP在IP情报中,且情报分类在配置的IP情报分类中,结果返回True,否则结果返回False。
· 属于恶意URL:判断URL是否属于配置的恶意URL情报分类。支持处理字段:访问URL。URL在URL情报中,且情报分类在配置的URL情报分类中,结果返回True,否则结果返回False。
· 属于恶意域名:判断域名是否属于配置的恶意域名情报分类。支持处理字段:网站域名,访问域名。域名在域名情报中,且情报分类在配置的域名情报分类中,结果返回True,否则结果返回False。
· 属于恶意MD5:判断MD5是否属于MD5情报。支持处理字段:文件MD5,MD5。MD5在MD5情报中,结果返回True,否则结果返回False。
· 提取主域名:提取域名的主域名,例如:s1.abc.com,主域名为abc.com。
· 计数:计算每个分组结果集的行数。
· 求不同个数:计算每个分组结果集中,统计字段的不同值个数。
· 统计条件求不同个数:计算每个分组结果集中,统计字段相同值个数符合配置条件的不同值个数。
· 求和:计算每个分组结果集中,统计字段累加求和。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 求平均:计算每个分组结果集中,统计字段的平均值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 最大值:计算每个分组结果集中,统计字段的最大值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 最小值:计算每个分组结果集中,统计字段的最小值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 钓鱼网站IP:判断IP是否是情报分类为钓鱼网站的威胁情报。支持处理字段:源IP,目的IP。IP在IP情报中,且情报分类在配置的IP情报分类中,结果返回True,否则结果返回False。
· 钓鱼网站URL:判断URL是否是情报分类为钓鱼网站的威胁情报。支持处理字段:访问URL。URL在URL情报中,且情报分类在配置的URL情报分类中,结果返回True,否则结果返回False。
· 钓鱼网站域名:判断域名是否是情报分类为钓鱼网站的威胁情报。支持处理字段:网站域名,访问域名。域名在域名情报中,且情报分类在配置的域名情报分类中,结果返回True,否则结果返回False。
· URL checksum8校验:判断URL是否满足校验规则(判断URL去除域名及之后的第一个斜杠/后的字符串总长度为4,且该4个字符满足ASCII码之和模256取余为92,例如:abc.com/aaa9)。支持处理字段:访问URL。
操作步骤
1. 选择“分析中心 > 分析模型管理 > XRULE模型”,进入静态资源池页面。
2. 查询静态资源:支持按名称、分类检索静态资源,输入查询条件,单击<查询>按钮页面将展示满足查询条件的静态资源信息; 单击<重置>按钮可重置查询条件。默认展示所有静态资源。
3. 查看静态资源:单击静态资源列表操作列下的<详情>按钮,可查看静态资源的详细信息。
4. 编辑静态资源:单击静态资源列表操作列下的<编辑>按钮,可修改静态资源的参数配置。
5. 复制静态资源:部分预定义静态资源可配置参数,通过复制可自定义静态资源,配置相关参数。单击静态资源列表操作列下的<复制>按钮,可快速创建与此静态资源相似的静态资源。
○ 在IP范围内:可配置网段范围,可选IP类型:IPv4、IPv6,可选网段类型:IP地址范围、子网。最多可配置10条。
○ 在时间范围内:可配置星期与时分秒。
○ 属于恶意IP:可多选配置IP情报的情报类型。
○ 属于恶意URL:可多选配置URL情报的情报类型。
○ 属于恶意域名:可多选配置域名情报的情报类型。
○ 统计条件求不同个数:可配置字段相同值统计次数条件。
6. 删除静态资源:单击静态资源列表操作列下的<删除>按钮,可删除对应的静态资源。或勾选多个自定义静态资源,单击左上角的<删除>按钮,可批量删除静态资源。
参数说明
○ 名称:静态资源的名称。
○ 描述内容:静态资源的描述信息,合理的描述信息有利于管理员快速了解该资源。
○ 分类:静态资源的分类。
○ 函数名:静态资源的函数名。
○ 支持输入字段:静态资源支持输入的字段。
○ 返回类型:函数在执行完成后返回的值的数据类型。。
○ 资源类型:静态资源的类型,包括自定义和预定义。
注意事项
○ 仅自定义类型的静态资源支持编辑和删除操作,预定义类型的静态资源不支持编辑和删除操作。
○ 编辑自定义静态资源时,若该资源已经被动态资源池或者关联规则引用。编辑后,变更会立即影响引用该资源的动态资源或关联规则的数据匹配逻辑。
该功能用于管理动态资源池。动态资源池是自定义的统计数据集合,对数据来源包括日志和安全告警进行处理,输出统计结果。统计结果支持导出,以及可被关联规则引用。
操作步骤
1. 选择“分析中心 > 分析模型管理 > XRULE模型”,选择进入动态资源池页面。
2. 查询动态资源:支持按名称、引用静态资源和启用状态检索动态资源,输入查询条件,单击<查询>按钮页面将展示满足查询条件的动态资源信息; 单击<重置>按钮可重置查询条件。默认展示所有动态资源。
3. 查看动态资源:单击动态资源列表操作列下的<详情>按钮,可查看动态资源的详细信息。
4. 新增动态资源:单击动态资源列表操作列左上方的<新增>按钮,进入新增动态资源页面,配置相关参数完成动态资源的新增操作。
5. 编辑动态资源:单击动态资源列表操作列下的<编辑>按钮,可修改动态资源的参数配置。
6. 启用动态资源:单击动态资源列表启用状态列下的启用按钮,可启用对应的动态资源。或勾选多个动态资源,单击动态资源列表左上角的<启用>按钮,可批量启用动态资源。
7. 停用动态资源:单击动态资源列表启用状态列下的停用按钮,可停用对应的动态资源。或勾选多个动态资源,单击动态资源列表左上角的<停用>按钮,可批量停用动态资源。
8. 清空数据:单击动态资源列表操作列下的<清空数据>按钮,可清空已有动态资源结果列表数据。
9. 导出数据:单击动态资源列表操作列下的<导出数据>按钮,导出动态资源结果列表数据为excel表格(最多只能导出发生时间最近的前十万条数据),可通过导航栏右上角“下载列表”中查看导出进度、下载文件。
10. 删除动态资源:单击动态资源列表操作列下的<删除>按钮,删除已有动态资源结果列表数据。或勾选多个动态资源,单击动态资源列表左上角的<删除>按钮,可批量删除已有动态资源结果列表数据。
参数说明
○ 名称:动态资源的名称。
○ 描述内容:动态资源的描述信息,合理的描述信息有利于管理员快速了解该资源。
○ 数据源:动态资源的数据来源。
○ 数据周期:动态资源的数据周期。
○ 输出字段:动态资源数据的输出字段。
○ 最近更新时间:动态资源最近更新的时间。
○ 启用状态:动态资源的启用状态。
○ 匹配条件
§ 设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,通过选择OR、AND和设置条件组来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
§ 设置匹配条件:指定匹配条件的关键字段实际值与设定值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、“IN”。其中,选择“IN” 可选择多个匹配字段。可选择静态资源对字段实际值先进行处理,也可不选静态资源。
§ 添加匹配条件:点击<添加条件>按钮可以增加一个匹配条件, 点击
按钮可以删除一个匹配条件。
§ 添加匹配条件组:点击<添加条件组>按钮可以增加一个匹配条件组,里面包含一个或多个匹配条件,可添加或删除匹配条件,当一个匹配条件组中的所有匹配条件都删除后,匹配条件组即被删除。
○ 统计模型
§ 统计模型间的逻辑关系:统计模型之间逻辑关系固定为与。
§ 设置统计模型:符合匹配条件的数据按输出字段分组后,每个组内的统计字段按统计函数计算,统计结果值根据判断条件进行判断。判断条件包括:“=”、“!=”、“>”、“<”、“>=”、“<=”。
§ 添加统计指标:点击<+>按钮可以增加一个统计指标,点击按钮可以删除一个统计指标。
该功能提供多个预定义异常流量检测规则,并支持对规则的关键检测参数进行配置和设置规则的启用状态。 通过这些规则,系统可以及时发现网络中的异常流量事件并在安全告警页面展示,以便管理员尽早对全网安全威胁进行处理。系统预定义的异常流量检测规则如下:
○ 外网数据库风险访问_Elasticsearch数据库风险访问
○ 异常Web访问行为监测_对特定Web应用提交的内容中含有特定的敏感内容
○ 异常Web访问行为监测_异常地点对特定Web应用的登录访问行为
○ 异常Web访问行为监测_异常时间点对特定Web应用的登录访问行为
○ 异常远程控制行为监测_异常地点对特定主机的远程登录访问行为
○ 异常远程控制行为监测_异常时间点对特定主机的远程登陆访问行为
○ 异常电子邮件行为监测_异常地点对特定电子邮件账户的访问行为
○ 异常电子邮件行为监测_异常时间对特定电子邮件账户的访问行为
操作步骤
1. 选择“分析中心 > 分析模型管理 > UEBA模型”,进入UEBA模型页面,可以执行如下操作:
2. 规则检索:支持按规则名称、告警名称、启用状态、威胁等级检索UEBA规则。单击<重置>按钮可重置查询条件。
3. 设置规则启用状态:支持单个或批量设置规则启用状态。选择一个或多个停用的规则,单击<启用>按钮可批量启用规则, 被启用的规则将在下个检测周期执行检测任务;选择一个或多个启用的规则,单击<停用>按钮可批量停用规则,被停用的规则将不再在下个检测周期中执行检测任务。
4. 设置规则参数:选择要编辑的规则,点击操作列的<配置>按钮即可设置该规则的核心参数,有关各规则可配置参数的说明请参见各规则介绍。
注意事项
以下规则缺省处于停用状态,用户可根据实际需求手动启用:
○ 内网访问速率异常_域名请求速率异常
○ 内网访问速率异常_相同域名请求速率异常
○ 内网访问速率异常_网站访问速率异常
○ 内网访问速率异常_网站访问超限
○ 内网违规访问_违规访问
○ 内网隐蔽隧道_域名型DNS隧道
○ 内网端口暴力破解_端口暴力破解尝试
○ 外网隐蔽隧道_IP型DNS隧道
○ 外网隐蔽隧道_域名型DNS隧道
○ 外网端口暴力破解_端口暴力破解尝试
○ 对外扫描侦测_端口水平扫描
○ 对外端口暴力破解_端口暴力破解尝试
○ 访问互联网速率异常_域名请求速率异常
○ 访问互联网速率异常_相同域名请求速率异常
○ 违规访问外网_翻墙行为
○ 违规访问外网_违规外联成功
○ 外网拒绝服务_DNS拒绝服务
○ 网站违规搭建_网站违规搭建
○ 高危端口挖矿通信_挖矿通信
○ 应用端口异常_MSSQL端口异常
○ 应用端口异常_MySQL端口异常
○ 应用端口异常_RDP端口异常
○ 应用端口异常_SMTP端口异常
○ 应用端口异常_SSH端口异常
○ 应用端口异常_Telnet端口异常
○ 数据泄露风险_root账号远程登录
○ 数据泄露风险_应用url中存在密码信息
○ 数据泄露风险_异常高频应用访问
○ 数据泄露风险_批量查询敏感数据
○ 数据泄露风险_接口参数遍历
○ 数据泄露风险_接口目录遍历
○ 数据泄露风险_敏感数据高频访问
○ 数据泄露风险_非工作时间登录
○ 数据泄露风险_非工作时间访问敏感数据
○ 数据泄露风险_非授信IP访问数据库
○ 数据滥用风险_单账号多IP登录
○ 数据滥用风险_批量修改敏感数据
○ 数据滥用风险_批量删除敏感数据
○ 数据滥用风险_撞库攻击
○ 数据滥用风险_敏感数据采集频率异常
○ 数据滥用风险_敏感条件定向查询
○ 数据滥用风险_敏感表授权
○ 数据滥用风险_数据库账号高频登录
○ 数据滥用风险_账号滥用
○ 数据滥用风险_账号破解
○ 数据滥用风险_越权访问分类数据
○ 数据滥用风险_越权访问分级数据
○ 数据破坏风险_应用大量访问4XX
○ 数据破坏风险_应用拒绝服务攻击
○ 数据破坏风险_敏感表被破坏
○ 数据破坏风险_数据库拒绝服务攻击
○ 数据破坏风险_数据库频繁高危操作
○ 数据篡改风险_敏感表被篡改
○ 访问应用时间异常_访问应用时间异常
○ 访问应用被阻断_访问应用被阻断
○ 违法违规出境数据_境外登录
○ 违法违规出境数据_敏感应用境外访问
○ 违法违规出境数据_敏感数据境外访问
○ 频繁访问应用_频繁访问应用
○ 蠕虫病毒内网扩散_利用漏洞传播蠕虫
○ 蠕虫病毒外网扩散_利用漏洞传播蠕虫
○ VPN异常行为_VPN用户首次从新地点登录
○ VPN异常行为_VPN用户首次登录
○ 首次下载行为_首次外网下载行为
○ 首次外联成功_首次外联成功
关联分析模型用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全告警,并在“威胁中心>安全告警”页面进行展示。 以便用户可实时监控整网安全情况,用户也可以根据事件的描述、关注点等字段进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:
· 自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括编辑、新增、删除、启用、停用、复制关联规则和历史数据回溯。
· 预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。系统预定义关联规则如下:
○
外网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及 X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网投递恶意程序
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机投递恶意文件来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网拒绝服务攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机发起FLOOD攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名相同的日志聚合成一条,生成一个安全告警。
○
外网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网扫描探测攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击源向内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
多设备暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次请求登录失败的日志进行解析聚合,并将用户登录IP相同的日志聚合成一条,生成一个安全告警。
○
单设备多次登录失败
该关联规则用于对一段时间内,系统对接收到的攻击者在外网通过单台设备向内网主机多次(50次以上)请求登录失败的日志进行解析聚合,并将产生日志设备IP相同的日志聚合成一条,生成一个安全告警。
○
外网暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次发起暴力破解的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
单主机暴力破解成功
此规则为嵌套规则,单主机暴力破解成功规则里嵌套单主机被单一源暴力破解成功规则。其中,单主机被单一源暴力破解成功规则是将一段时间内,系统接收到的攻击者(一个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全告警;
单主机暴力破解成功规则是将一段时间内,系统接收到的攻击者(多个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全告警。
当“单主机被单一源暴力破解成功规则”有符合匹配规则的安全告警生成时,不输出“单主机暴力破解成功”规则生成的安全告警; 当“单主机被单一源暴力破解成功规则”没有符合匹配规则的安全告警生成时,输出“单主机暴力破解成功”规则生成的安全告警。
○
恶意网站访问
该关联规则用于对一段时间内,系统对接收到的用户或者主机在内网访问恶意网站的日志进行解析聚合,并将攻击子分类、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
源主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
目的主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
内网暴力破解
该关联规则用于对一段时间内,系统对接收到的内网主机发起暴力破解来进行权限获取的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网拒绝服务攻击
该规则用于对一段时间内,系统接收到的攻击者在内网通过内网主机发起FLOOD攻击的日志进行解析聚合,并将攻击名称、攻击子分类、源IP、目的IP相同的日志聚合成一条,生成一个安全告警。
○
内网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网扫描攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网弱口令登录
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意主机外联
该规则用于对流量探针、终端主机上报的内网主机访问特定外网主机(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等IP库里的外网主机IP)的日志进行解析聚合,并将源IP、目的IP相同的日志聚合成一条,生成一个安全告警。
○
恶意域名事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网域名(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等域名库里的外网域名)的日志进行解析聚合,并将源IP、访问域名相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
内部发起恶意通信
该关联规则用于对一段时间内,系统对接收到的攻击者在内网主机发起恶意通信请求的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
外部发起恶意通信尝试
该关联规则用于对一段时间内,系统对接收到的攻击者在外网尝试向内网主机发起恶意通信的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意URL事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网URL(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等URL库里的外网URL)的日志进行解析聚合,并将源IP、访问URL相同的日志聚合成一条,生成一个安全告警。
○
内网访问风险主机
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
目的主机存在风险
该关联规则用于对一段时间内,系统对接收到的攻击者在外网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意通信成功
该关联规则用于对一段时间内,系统对接收到的攻击者向内网主机发起恶意通信日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
主机配置风险
该关联规则用于对一段时间内,系统对接收到的内网主机存在配置风险的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
终端MD5情报
该规则用于对终端上报的内网主机存在操作恶意文件(即文件MD5值在系统威胁情报中恶意文件库里的文件)行为的日志进行解析聚合,并将终端MAC地址、文件MD5值相同的日志聚合成一条,生成一个安全告警。
○
源主机疑似感染恶意程序
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值的日志聚合成一条,生成一个安全告警。
○
内网暴破成功
该关联规则用于对一段时间内,系统对接收到的内网主机向内网主机发起暴力破解并成功获取权限的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网风险访问
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机开放端口来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网弱口令登录
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
Web安全风险
该关联规则用于对一段时间内,系统对接收到的外网访问内网主机产生的Web安全的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
访问钓鱼网站
该关联规则用于对一段时间内,系统对接收到的用户或者主机在内网访问钓鱼网站的日志进行解析聚合,并将源IP、目的IP、目的端口或者源IP、网站域名或者源IP、访问URL字段值相同的日志聚合成一条,生成一个安全告警。
○
CS使用HTTP信标下载stage
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定URL(URL符合特定校验规则)的日志进行解析聚合,并将源IP、访问URL相同的日志聚合成一条,生成一个安全告警。
○
CS DNS隧道上线
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS隧道上线的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式A不带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式A切换指令不带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式A带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式A切换指令带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式TXT不带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式TXT切换指令不带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式TXT带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式TXT切换指令带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式AAAA不带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式AAAA切换指令不带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
CS DNS信标切换模式AAAA带checkin
该关联规则用于对一段时间内,系统对接收到的内网主机访问特定域名(符合cobaltstrike DNS beacon 模式AAAA切换指令带checkin的特征)的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
异常操作水平扩散
该关联规则用于对一段时间内,系统对接收到的内网主机向多个内网主机(20个以上)请求登录失败的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
内网越权访问
该关联规则用于对一段时间内,系统对接收到的内网主机越权访问内网主机的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
通过钓鱼邮件进行横向渗透
该关联规则用于对一段时间内,系统对接收到的内网主机向内网主机通过钓鱼邮件进行横向渗透的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
○
上传文件至外网
该关联规则用于对一段时间内,系统对接收到的内网主机向外网上传文件的日志进行解析聚合,并将源IP相同的日志聚合成一条,生成一个安全告警。
该功能用于新增自定义关联规则。主要包括规则信息、子规则集和关联模型三个部分。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 单击<新增>按钮进入新增关联规则页面,配置相关参数后单击<下一步>按钮,继续进行后续参数配置。所有参数配置完成后,单击<确认>按钮,完成新增规则操作。
3. 对于已配置的规则可通过启用和停用按钮改变规则的状态。
参数说明
规则信息
○ 规则名称:规则的名称。
○ 规则描述:规则的描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 时间窗:规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位为分钟,必须是正整数。时间窗长度可输入1-60分钟。当数据来源选择安全告警、脆弱性/漏洞、脆弱性/弱口令、脆弱性/配置风险时,时间窗的值必须为5的倍数。
○ 溯源描述:规则生成安全告警后在溯源分析中的描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击源%向%攻击目的%发起暴力破解尝试,共登录%攻击次数%次。
○ 风险危害:该规则生成的安全告警的风险危害,例如,"危害:主机很可能已被黑客控制,正与黑客主机通信。原理:内部主机失陷后会直接或者通过隧道等方式外联黑客主机,甚至被当成肉鸡攻击互联网其他主机,通过本地主机是否发起恶意通信进行检测。"
○ 处置建议:该规则生成的安全告警的处置建议,例如,"如果主机是普通PC或服务器无相关代理服务,则建议使用杀毒工具进行全盘查杀。
○ 告警名称:该规则生成的安全告警的名称,长度为1~20个字符,可文字描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击类型%攻击。
○ 告警描述:该规则生成的安全告警的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:发现%攻击目的%遭受%攻击类型%攻击,攻击名称为%攻击名称%。
○ 威胁等级:该规则生成的安全告警的威胁等级,可选择低危、中危、高危、严重和默认。其中选择默认时,将展示日志本身的威胁等级。
○ 关注点:该规则生成的安全告警的关注点,可选择关注源或目的。通过关注点字段用户可以关注资产的安全状态。
○ 攻击阶段:该规则生成安全告警时,该事件所属攻击链环节,攻击阶段总共分为扫描侦查、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏。
○ 确信度:该规则生成的安全告警的可信程度,包括已失陷、高可疑、低可疑。
子规则集
用于匹配原始日志、安全告警、脆弱性数据的子规则,其中,一个规则中不能只包含脆弱性数据子规则,至少要包含一个原始日志或安全告警的子规则。点击<添加子规则>按钮,用于新增一个子规则,配置相关参数后单击<保存>按钮完成操作;点击<删除>按钮可删除已配置的子规则。
○ 数据来源:该规则只对此类型的原始日志、安全告警、脆弱性数据进行匹配。
○ 子规则名称:子规则的唯一标识,不能重复,不能包含字符“{}!_|<>/\%&'",;:*=?#”。
○ 子规则描述:子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 匹配条件
§ 设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,通过选择OR、AND和设置条件组来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
§ 设置匹配条件:指定匹配条件的关键字段实际值与设定值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、“IN”、“inList”、“notInList”。其中,选择“IN” 可选择多个匹配字段;选择“inList”、“notInList”,可以匹配动态资源结果。可选择静态资源对字段实际值先进行处理,也可不选静态资源。
§ 添加匹配条件:点击<添加条件>按钮可以增加一个匹配条件, 点击
按钮可以删除一个匹配条件。
§ 添加匹配条件组:点击<添加条件组>按钮可以增加一个匹配条件组,里面包含一个或多个匹配条件,可添加或删除匹配条件,当一个匹配条件组中的所有匹配条件都删除后,匹配条件组即被删除。
○ 统计模型
§ 统计模型间的逻辑关系:统计模型之间逻辑关系固定为与。
§ 设置统计模型:符合匹配条件的数据按输出字段分组后,每个组内的统计字段按统计函数计算,统计结果值根据判断条件进行判断。判断条件包括:“=”、“!=”、“>”、“<”、“>=”、“<=”。
§ 添加统计指标:点击<+>按钮可以增加一个统计指标,点击按钮可以删除一个统计指标。
§ 继承策略:指定聚合日志输出和上报事件的时间依据。若选择“最早时间”,则选择产生时间最早的数据为聚合日志或上报事件; 若选择“最晚时间”,则选择产生时间最晚的数据为聚合日志或上报事件。
关联模型
一个关联规则下可添加多个子规则,多个子规则之间的匹配顺序可以选择全部匹配、任一匹配、顺序匹配、Follow By(仅适用子规则数为两个时)、Not Follow By(仅适用子规则数为两个时)。只有配置了多个子规则时才可配置关联模型。
○ 全部匹配:每个子规则均要配置关联条件,符合所有关联条件的。
○ 任一匹配:每个子规则单独生成事件,不需要关联。
○ 顺序匹配:每个子规则都需要生成事件,只返回第一个子规则生成的事件。
○ Follow By:配置在左边的子规则事件,发生在满足关联条件的右边的子规则事件之前,生成事件。
○ Not Follow By:配置在左边的子规则事件,发生在满足关联条件的右边的子规则事件之后,或只发生左边的子规则事件,没发生对应的右边的子规则事件,生成事件。
配置举例
例如,用户需要自定义一条关联规则,用于根据流量日志来分析内网主机之间频繁访问的情况。该规则中要求一个内网IP至少访问其他内网IP 500次,且访问次数不少于50次的内网IP数至少为10个。
自定义关联规则的操作步骤如下:
1. 选择“系统设置>规则配置>资源池管理”,进入静态资源池页面,复制“统计条件求不同个数”,名称为"自定义统计条件求不同个数",设置字段相同值统计次数:>= 50;。
2. 选择“系统设置 > 规则配置>关联规则”,进入关联规则页面,单击<新增>按钮,进入新增关联规则页面,配置如下参数。
规则信息
○ 规则名称:内网主机频繁访问
○ 时间窗:1分钟
○ 溯源描述:【%规则名称%】 %源IP% 发起频繁访问
○ 风险危害:频繁访问
○ 处置建议:关注主机安全
○ 告警名称:内网主机频繁访问
○ 告警描述:内网主机频繁访问
○ 威胁等级:默认
○ 关注点:源
○ 攻击阶段:其他
○ 确信度:低可疑
子规则集
○ 数据来源:日志/网络流量日志
○ 子规则名称:内网主机频繁访问
○ 配置匹配条件:设置匹配条件间的逻辑关系为”AND“
§ 第1个匹配条件:后三个输入框中分别选择日志子分类、IN、会话结束,会话开始&结束
§ 第2个匹配条件:后三个输入框中分别选择源内外网标识、IN、内网
§ 第3个匹配条件:后三个输入框中分别选择目的内外网标识、IN、内网
○ 配置统计模型
§ 分组字段选择:源IP
§ 设置统计指标1
§ 统计函数:计数
§ 统计字段:源IP
§ 判断条件:>=
§ 值:500
§ 设置统计指标2
§ 统计函数:自定义统计条件求不同个数
§ 统计字段:目的IP
§ 判断条件:>=
§ 值:10
§ 继承策略:最晚时间
3. 单击<保存>按钮,完成子规则配置。
4. 单击<确认>按钮,完成自定义关联规则配置。
注意事项
○ 通过特定字段前后加占位符%方式表示安全告警信息时,特定字段将被替换为该字段的实际取值。
§ 告警名称、告警描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。
§ 告警描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。
其中攻击源、攻击目的若已配置资产名或用户名,则展示资产名或用户名,否则展示为IP地址。
○ 建议不要配置过长的时间窗,否则会影响匹配性能。
○ 嵌套规则:同一个时间窗口内,只要嵌套子规则有生成事件,则嵌套父规不会生成事件。建议嵌套子规则的匹配条件,是嵌套父规则匹配条件的一个特殊子集。
○ 关联规则停用后,不会影响停用前匹配的数据展示。
该功能用于查看已配置的关联规则。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 支持按规则名称、威胁等级、启用状态、告警名称、引用静态资源和引用动态资源检索关联规则,输入查询条件,单击<查询>按钮页面将展示满足查询条件的关联规则信息; 单击<重置>按钮可重置查询条件。默认展示所有关联规则。
参数说明
○ 规则名称:关联规则的唯一标识。
○ 配置类型:关联规则的类型,包括自定义和预定义。
○ 告警名称:该关联规则生成的安全告警的名称。
○ 告警描述:该关联规则生成的安全告警的描述信息,合理的描述信息有利于管理员快速了解该事件。
○ 威胁等级:该关联规则生成的安全告警的严重等级。
○ 命中次数:日志成功匹配该关联规则生成的安全告警数,点击次数可查看命中该规则的安全告警信息。
○ 引用静态资源:关联规则引用的静态资源。
○ 引用动态资源:关联规则引用的动态资源。
○ 启用状态:关联规则的使用状态,包括启用和停用。
该功能用于复制已有的关联规则以快速新增关联规则。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 单击关联规则操作列下的<复制>按钮进入复制关联规则页面,配置相关参数后单击<确认>按钮,完成复制操作。具体的配置及参数说明请参见新增关联规则。
该功能用于删除自定义关联规则。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 选中多条规则,单击<删除>按钮可批量删除规则; 单击操作列的<删除>按钮可删除选中的规则。
注意事项
○ 删除规则时,若白名单中“规则名称”字段引用的关联规则均被删除,那么,该白名单也将被同步删除。
该功能用于启用关联规则。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 选中多条状态为“停用”规则,单击页面中的<启用>按钮可批量启用规则。
注意事项
○ 批量启用关联规则时,一次最多只能启用单页面能展示的所有关联规则。
该功能用于停用关联规则。
操作步骤
1. 选择“分析中心 > 分析模型管理 > 关联分析模型”,进入关联分析模型页面。
2. 选中一条或多条状态为“启用”的规则,单击页面中的<停用>按钮可批量停用规则。
注意事项
○ 批量停用关联规则时,一次最多只能停用单页面能展示的所有关联规则。
复杂攻击模型集合了具有复杂特征或行为的攻击规则,其中这些攻击可能包括多个步骤或多个阶段,并且可能使用多种攻击技术或手段。匹配“复杂攻击规则”的安全告警将会输出一个安全告警,并在“威胁中心>安全告警”页面进行展示, 以便用户可实时监控整网安全情况。
1. 选择“分析中心 > 分析模型管理 > 复杂攻击模型”,进入复杂攻击模型页面。
2. 支持按照规则名称、告警名称检索复杂攻击规则。
3. 单击规则列表操作列下的<详情>按钮,可以查看规则信息及可视化视图。单击步骤列表操作列下的<详情>按钮,可以查看基础攻击行为的详细信息。
· 规则名称:规则的名称。
· 告警名称:该规则生成的安全告警的名称。
· 威胁等级:该规则生成的安全告警的威胁等级。
· 命中次数:该规则生成的安全告警数。
提供调查分析、NAT溯源和全文检索功能,为管理员的溯源分析提供有力支撑。
本章包含如下内容:
· 调查分析
· NAT溯源
· 全文检索
该功能用于对配置的调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
1. 选择“溯源中心 > 调查分析”,进入调查分析页面。
2. 单击<新增>按钮,进入新增调查任务页面。配置相关参数后,单击<下发>按钮,完成新增调查任务的操作。
3. 选择一个或多个调查分析任务,单击<删除>按钮,可批量删除调查分析任务。
4. 单击指定调查分析任务右侧的<详情>按钮,可进入调查任务详情页面,查看该任务分析出的攻击链路和回溯链路。
· 调查时间范围:指定调查分析的时间范围,系统将对在此时间范围内发生的安全告警进行调查。
· 调查对象类型:调查分析的对象的类型,包括资产、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报。
· 调查对象:根据不同的调查对象类型指定具体的调查分析对象。
· 当调查对象在调查周期内未产生安全告警时,调查分析结果将显示为暂无数据。
· 调查分析过程中,若相邻节点间发生如下安全告警,则相邻节点间展示的源IP为最近一次安全告警中的源IP地址。安全告警包括:外网拒绝服务攻击、内网弱口令登录、主机配置风险和外网扫描侦测。
· 调查分析过程中,若相邻节点间发生如下安全告警,则相邻节点间展示的目的IP为最近一次安全告警中的目的IP地址。安全告警包括:内网漏洞利用攻击、内网暴力破解、内网畸形报文攻击、内网扫描攻击、内网访问风险主机和内网扫描侦测。
NAT溯源功能通过新建溯源任务来获取满足条件的NAT日志或DNS访问日志,从中提取目的IP地址、目的端口、NAT转换源IP地址、NAT转换源端口或域名等关键信息, 并结合安全告警对内网主机的上网行为进行溯源,通报存在风险行为的主机及存在相似行为的主机信息,包括风险主机IP、风险主机类型、安全状态、溯源记录等。
该功能用于管理溯源任务。
1. 选择“溯源中心 > NAT溯源 ”进入NAT溯源页面。
2. 单击<新增>按钮,新增溯源任务。配置任务参数后,单击<确认>按钮下发任务。
3. 任务执行成功后,单击操作列的<详情>按钮,查看分析详情及原始日志。
· 任务名称:溯源任务的唯一标识。
· 溯源时间:配置溯源时间后,系统将获取该时刻前后1分钟内产生的满足以下条件的日志,用于溯源分析。
· 溯源类型:选择溯源对象,包括IP溯源和域名溯源。当溯源类型为IP溯源时,系统会从指定的数据来源中获取NAT日志,用于溯源分析; 当溯源类型为域名溯源时,系统会从指定的数据来源中获取DNS访问日志,用于溯源分析。有关数据来源的详细介绍,请参见溯源配置。
· NAT转换源IP:NAT转换后的源IP地址。配置后,系统将获取NAT转换后的源IP地址为该IP的日志,用于溯源分析。
· NAT转换源端口:NAT转换源后的端口。配置后,系统将获取NAT转换后的源端口为该端口的日志,用于溯源分析。
· 目的IP:配置目的IP后,系统将获取目的IP为该IP的日志,用于溯源分析。
· 目的端口:配置目的端口后,系统将获取目的端口为该端口的日志,用于溯源分析。
· 域名地址:配置域名地址后,系统将获取域名地址为该域名地址的日志,用于溯源分析。其中,域名地址不需要包含协议类型,例如“http://”或“https://”。
· 配置溯源任务前必须先进行溯源配置,用于提供日志数据来源。有关溯源配置的详细介绍,请参见溯源配置。
· 当数据来源是第三方数据源时,溯源类型仅支持配置为IP溯源。
· 下发溯源任务后,若配置了白名单功能或处理了安全告警,可能导致溯源记录统计值与实际展示的安全告警不一致,此时,可重新下发溯源任务,更新统计数据。
该功能用于配置日志来源,为溯源任务提供分析数据。
1. 选择“溯源中心 > NAT溯源”进入NAT溯源页面。
2. 单击溯源任务列表左上方的<溯源配置>按钮,进入溯源配置页面,配置日志来源相关参数后,单击<确认>按钮完成操作。
· 溯源类型:选择从第三方数据源或本地数据源获取日志数据。
· URL地址:选择从第三方数据源获取日志时,需要配置该平台的访问地址。地址以“http://”或“https://”开头,必须配置有效的URL地址,确保本平台与第三方系统之间网络互通,否则会导致溯源任务执行失败。
该功能用于展示系统采集到的日志的分析结果,分别从日志类型和设备类型两个维度呈现。不同类别的日志展示的关键字段不同,用户可根据实际需求通过点击<列设置>按钮选择配置不同日志类型的显示列。当选择展示某一类型的日志时,系统将展示该日志类型对应配置的显示列;当选择展示两个及以上类型的日志时,系统将默认展示通用字段。各类型日志说明请参见日志类型说明。
· 手动导入的日志在日志列表“产生日志设备IP”列中显示的IP是真实IP。
· 日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他类”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。
用户可配置多种过滤条件筛选出关心的日志。平台支持基础查询、高级查询和全文检索多种方式。
· 基础查询:通过选择指定日志字段,输入字段值的方式检索日志。其中,当配置多个查询字段时,系统将按照如下逻辑进行处理:
○ 如果配置多个相同字段,当运算符号为“=”时,则按照“or”(逻辑或)进行查询,即满足任意一个字段即可;如果运算符号为“!=”,则按照“and”(逻辑与)进行查询,即必须同时满足所有字段;当运算符号既有“=”又有“!=”时,则按照“and”(逻辑与)进行查询。
○ 如果配置多个不同字段,则按照“and”(逻辑与)进行查询。
· 高级查询:通过在输入框中输入SQL语句进行精细查询。当用户所需的查询条件不符合基础查询方式的查询逻辑时,可通过高级查询方式配置相应的查询条件。
· 全文检索:通过在输入框中输入任意字段值,对原始日志进行快速模糊查询。
1. 选择“溯源中心 > 全文检索”进入全文检索页面,选择要查询的日志类型。
2. 选择<基础查询>页签,单击<过滤条件>按钮,在自定义项或字段结果统计页签下,配置相应的过滤条件。
3. 在自定义项页签下,用户可选择需要过滤的字段、运算符号,并手动输入具体的值,点击<确认>按钮完成操作。
4. 在字段结果统计页签下,用户可单击需要过滤的字段,系统将根据当前日志查询结果展示出该字段的所有取值,单击指定取值右侧操作列下的添加按钮,系统会将该取值作为新的过滤条件,对日志进行筛选。
· 字段值支持精确查询,也支持输入通配符进行模糊搜索。系统支持如下两种通配符:
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.1,182.9.0.2……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.1,182.9.0.2……182.9.0.255。
· 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段,只支持精确查找。
· 最多仅支持新增10个过滤条件进行检索。
1. 选择“溯源中心 > 全文检索”进入全文检索页面,选择要查询的日志类型。
2. 选择<高级查询>页签,在输入框中输入SQL查询语句,单击<查询>按钮,完成操作。
高级查询注意事项
日志产生时间、开始时间、结束时间、采集器接收日志时间、agent日志采集时间等字段需要输入unix时间戳进行搜索。
1. 选择“溯源中心 > 全文检索”进入全文检索页面,选择要查询的日志类型。
2. 选择<全文检索>页签,在输入框中输入任意字段值,单击<查询>按钮,完成操作。
该功能用于将各种编码格式的字符串转换为可阅读的内容。例如,访问URL、攻击载荷、报文首行等字段中可能会出现HEX编码的字符串,通过解码助手可转换为utf-8格式,方便阅读。
1. 选择“溯源中心 > 全文检索”进入全文检索页面。
2. 复制需要解码的内容,单击<解码小助手>按钮,在弹出的解码助手页面左侧输入框中粘贴复制的内容,并选择编码格式;然后在右侧目标内容中选择合适的编码格式,单击<解码>按钮即可解码源内容。
该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的十万条日志。
1. 选择“溯源中心 > 全文检索”进入全文检索页面,按照需求查询需要的日志,单击<导出>按钮,系统会将满足查询条件的日志导出到excel表格中。
2. 点击页面右上角
按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。
调度中心用于提供对安全告警和脆弱性风险进行处置、报表管理以及查看内置案例库和处置建议库等功能。
本章包含如下内容:
· 任务调度
○ 待我处置
○ 任务列表
○ 流程模板
· 白名单管理
○ 新增/编辑白名单
○ 删除白名单
· 剧本管理
· 响应编排
○ 编排总览
○ 案件管理
○ 执行记录
○ 人工查验
○ 应用管理
○ 一键阻断
· 处置工单
· 报表管理
○ 报表文件
○ 报表模板
· 安全知识库
○ 内置案例库
○ 处置建议库
主要用于有效地对各个类型的任务进行调度安排,包括待我处置、任务列表和流程模板。
待我处置页面展示了当前租户下所有任务中的“事件处置”节点,主要用于责任人进行任务处置。
1. 选择“调度中心 > 任务调度 > 待我处置”,进入待我处置页面。
2. 查看任务处置详情:支持按任务编号、任务名称和责任人等查询条件检索待我处置的任务信息。
3. 任务处置:单击待我处置任务列表操作列下的<任务处置>按钮,进入任务处置详情页面,单击<转他人处理>按钮,下拉选择责任人,可将流程转交给他人处理。单击<终止流程>按钮,再单击<确认>按钮,可终止当前任务流程。
○ 基本信息:查看任务的基本信息,包括任务分类、优先级、当前环节等信息。在各个事件处置节点区域的文本框或选项中反馈相应的任务执行结果,如有附件,单击<上传文件>按钮选择上传附件,输入评论内容后单击<发表评论>按钮可对当前流程所处节点发表评论,再单击<办结提交>按钮,即可完成任务的处置。
○ 流程图:查看任务的流程图,单击事件处置节点按钮,可查看事件处置节点的执行情况(包括处置状态、通知方式、责任人、和执行开始时间等)。
○ 流程记录:查看各个事件处置节点的执行信息(包括流程节点名称、执行开始时间、执行结束时间和流程执行状态等)。单击流程记录列表操作列下的<查看>按钮,可查看事件处置节点的详细执行信息(包括处置状态、通知方式、责任人、和执行开始时间等)。
· 租户名称:任务所属的租户名称。
· 任务编号:任务的编号。
· 任务名称:任务的名称。
· 责任人:任务所属的责任人。
· 当前节点开始时间:当前节点的开始时间。
· 当前节点滞留时长(天):当前节点的滞留时长,以天计数。
主要用于管理任务,包括配置任务类型、新增任务、任务管理等功能。
1. 选择“调度中心 > 任务调度 > 任务列表”进入任务列表页面。
2. 任务统计信息:页面上方展示了任务总览、任务分析和任务分类统计TOP5的统计信息。
○ 任务总览:展示了总任务数、已完成及进行中对应的任务数。
○ 任务分析:展示了任务完成率及平均闭环时长。
○ 任务分类统计TOP5:展示了不同任务类型对应的任务数及其总数。
3. 检索任务信息:支持按照任务类型名称检索任务分类信息,同时支持按照任务编号和任务名称检索任务信息。
4. 配置任务类型:单击指定任务分类后的<
>按钮,配置任务分类名称,单击<确认>按钮,即可新增一级任务分类或二级任务分类。单击指定任务分类后的<
>按钮,可修改任务分类名称。单击指定任务分类后的<
>按钮,可删除指定的任务分类。
5. 新增任务:单击任务列表左上方的<新增>按钮,进入新增任务页面,配置相关参数,单击<确认>按钮,完成任务的新增。
6. 查看任务处置详情:全部页签展示了所有任务列表(包括运行中、已完成的任务),进行中页签展示了执行中的任务列表,已完成页签展示了执行结束的任务列表。单击任务列表操作列下的<详情>按钮,进入任务处置详情页面,可查看任务的基本信息、流程图和流程记录。
○ 基本信息:可查看任务的基本信息(包括任务分类、优先级、当前环节等信息)、各个事件处置节点信息。单击<发表评论>按钮可对当前流程所处节点发表评论。
○ 流程图:可查看任务的流程图,单击事件处置节点按钮,可查看事件处置节点的执行情况(包括处置状态、通知方式、责任人、和执行开始时间等)。
○ 流程记录:可查看各个事件处置节点具体的执行信息(包括流程节点名称、执行开始时间、执行结束时间和流程执行状态等)。单击流程记录列表操作列下的<查看>按钮,可查看事件处置节点的具体执行信息(包括处置状态、通知方式、责任人、和执行开始时间等)。
7. 任务管理:单击任务列表左上方的<任务管理>按钮,进入任务管理页面,可查看当前的任务列表。
○ 查看任务详情:支持按任务名称、任务分类和任务周期等查询条件检索任务。
○ 启用任务:单击任务列表操作列下的<启用>按钮,可启用指定的任务。勾选一个或多个任务,单击任务列表左上方的<启用>按钮,可启用选中的任务。
○ 停用任务:单击任务列表操作列下的<停用>按钮,可停用指定的任务。勾选一个或多个任务,单击任务列表左上方的<停用>按钮,可停用选中的任务。
○ 删除任务:单击任务列表操作列下的<删除>按钮,可删除指定的任务。勾选一个或多个任务,单击任务列表左上方的<删除>按钮,可删除选中的任务。
· 任务名称:任务的名称。
· 任务分类:下拉选择任务的一级任务分类、二级任务分类。
· 流程模板:下拉选择任务模板。
· 优先级:选择任务的优先级。
· 任务描述:任务的具体描述信息。
· 任务周期:选择任务的执行周期。
· 执行时间:设置任务具体的执行时间。任务周期为立即执行的任务,无需配置该参数项。
· 上传附件:单击<上传文件>按钮,可选择上传任务相关的附件。
· 任务状态为“运行中”、“已完成”的数据不能被启用。任务状态为“已停用”、“已完成”的数据不能被停用。
· 启用或停用任务时,所选中的数据中不能包含其他租户的数据。
主要用于管理任务调度的流程模板,包括新增、编辑及删除等功能。每个流程模板中包含一个或多个事件处置节点,每个事件处置节点在执行过程中均需要人工处理。
1. 选择“调度中心 > 任务调度 > 待我处置”,进入待我处置页面。
2. 检索流程模板:支持按照模板名称和模板类型检索流程模板信息。
3. 新增流程模板:单击流程模板列表左上方的<新增>按钮,进入新增流程模板页面,配置相关参数及事件处置流程,单击<保存>按钮,即可完成流程模板的新增。
4. 查看流程模板:单击流程模板列表操作列下的<详情>按钮,进入流程模板详情页面,可查看模板流程的详细信息。单击<编辑>按钮,可跳转至编辑模板流程页面修改模板流程的配置。
5. 修改流程模板:单击流程模板列表操作列下的<编辑>按钮,进入编辑流程模板页面,可修改模板流程的配置,单击<保存>按钮,即可完成模板流程的修改。
6. 删除流程模板:单击流程模板列表操作列下的<删除>按钮,可删除指定的模板流程;勾选一个或多个流程模板,单击流程模板列表左上方的<删除>按钮,可删除所选的模板流程。
· 模板名称:流程模板的名称。
· 模板描述:流程模板的描述。
· 事件处置设置
○ 节点名称:事件处置的节点名称。
○ 通知方式:事件处置的通知方式,包括邮件、短信和企业微信。
○ 责任人:事件处置的责任人。
○ 抄送人:事件处置的抄送人。
○ 录入项配置
§ 处置内容:事件处置的具体内容。
§ 答复是否必填:取值包括是、否。
§ 答复内容类型:支持文本或选择选项以答复处置内容。
§ 新增:单击<新增>按钮,可新增录入项配置。
· 被绑定的流程模板不能直接删除,需先在“任务列表 > 任务管理”页面,找到绑定的任务并删除,才可被删除。
当用户通过查看安全告警发现存在误报的情况时,可配置白名单功能,将某类安全告警加入白名单,系统将不展示该类安全告警,降低误报率。配置白名单后,系统将对关联规则或UEBA规则输出的安全告警进行白名单匹配, 匹配上白名单的安全告警不会在安全告警页面展示,未匹配白名单的安全告警则进行分析和丰富,并在安全告警页面展示。有关关联规则和UEBA规则的介绍请参见关联分析模型 和UEBA模型。
白名单启用规则如下:
· 启用白名单后,对采集器上报的安全告警先进行关联规则或UEBA规则匹配,再进行白名单匹配,若匹配白名单成功系统将不展示该安全告警;停用或删除该白名单后,系统将重新展示该安全告警。
· 启用白名单后,已经展示安全告警也会做白名单匹配,若匹配成功则不再展示该安全告警,但不会从系统中删除该安全告警数据;停用或删除该白名单后,该安全告警将会重新展示。
该功能用于新增或修改白名单信息。建议通过安全告警的白名单图标新增白名单,各参数字段将自动关联,不需要手动配置。 用户可根据实际情况选择安全告警进行过滤。
1. 选择“调度中心 > 白名单管理”进入白名单配置页面。
2. 单击<新增>按钮可新增一条白名单;单击<编辑>按钮可修改选中白名单的配置信息。
3. 进入新增或编辑白名单配置页面,配置相关参数后单击<确认>按钮完操作。
相关说明:
· 策略名称:白名单的唯一标识,不能重复。
· 攻击名称:安全告警对应的攻击名称。
· 等级:安全告警的威胁等级(可多选),匹配该等级的安全告警将不在安全告警页面进行展示。
· 确信度:安全告警的可信程度(可多选),匹配该确信度的安全告警将不在安全告警页面进行展示。
· 规则名称:可选择关联规则和和UEBA规则(可多选),配置规则名称后,命中该关联规则或UEBA规则的安全告警将不在安全告警页面进行展示。
· 情报IOC:通过情报类型的关联规则输出的安全告警,将用情报中的域名、IP地址或MD5值作为该安全告警的情报IOC。对于匹配该情报IOC的安全告警将不在安全告警页面进行展示。
· 访问域名:安全告警的访问域名,例如www.example.com。最多支持输入10个域名,域名之间使用“|”分隔。
· 访问URL:安全告警的访问URL,例如www.example.com/index。最多支持输入10个URL,URL之间使用“|”分隔。
· X-Forwarded-For:安全告警的X-Forwarded-For,例如10.123.0.1。最多支持输入10个X-Forwarded-For,X-Forwarded-For之间使用“|”分隔。
· 源端口:安全告警的源端口,支持配置为端口或端口范围(例如20-3000)。
· 目的端口:安全告警的目的端口,支持配置为端口或端口范围(例如20-3000)。
· 源IP:安全告警的源IP地址,匹配该源IP的安全告警将不在安全告警页面进行展示。单击<新增>按钮,完成如下参数配置后,单击<保存>按钮,新增一条源IP表项。
○ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
○ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
○ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
· 目的IP:安全告警的目的IP地址,匹配该目的IP的安全告警将不在安全告警页面进行展示。单击<新增>按钮,完成如下参数配置后,单击<保存>按钮,新增一条目的IP表项。
○ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
○ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
○ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
· 启用状态:选择是否启用该白名单。
4. 对于已配置的白名单可通过<启用>和<停用>按钮改变其运行状态。
注意事项
· 添加“漏洞扫描系统”类型的资产成功后,系统将自动生成一个名为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单,避免系统将漏扫设备的正常扫描行为误报为安全告警。该类白名单不能手动删除或修改,但可通过删除对应的资产进行关联删除。
· 资产探针注册成功后,系统将自动生成一个名为资产探针+IP(如“资产探针192.168.0.1”)的白名单,避免系统将探针的正常扫描行为误报为安全告警。该类白名单不能手动删除或修改,但可通过删除对应的资产探针进行关联删除。
该功能用于删除白名单信息。
1. 选择“调度中心 > 白名单”进入白名单配置页面。
2. 选择一条或多条白名单,单击页面上方<删除>按钮批量删除白名单;单击指定白名单操作列下的<删除>按钮可删除选中白名单。
注意事项
· 名称为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产后,系统将自动删除该白名单。有关资产的详细介绍请参见“资产中心 > 资产列表”。
· 名称为资产探针+IP(如“资产探针192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产探针后,系统将自动删除该白名单。有关资产探针的详细介绍请参见“资产中心 > 资产配置”。
· 若白名单中“规则名称”字段引用的关联规则和UEBA规则均被删除,那么该白名单也将被同步删除。
该功能用于管理响应编排剧本。系统为预定义案件提供了默认剧本,用户也可以根据实际需求自定义剧本。
平台根据不同的设备类型提供了一系列的响应动作,当安全告警或脆弱性风险触发执行对应的响应编排案件时,平台会根据指定的动作调用相关的设备进行响应闭环。
1. 选择“调度中心 > 剧本管理”进入剧本管理页面。
2. 单击<新增>按钮新增剧本,完成剧本的相关配置,单击<保存>按钮,即可完成剧本的新增。支持的剧本流程节点包括动作、决策器和人工查验。其中,动作用来调用所有接入的联动设备程序,决策器用于根据条件判断下一步流程,人工查验是人工确认编排是否执行。
○ 动作设置:拖动动作图标至流程制定区域,在动作设置页面配置节点名称、动作选择和动作配置等相关参数,单击<确认>按钮,完成动作的设置。其中,支持按照动作和设备两种维度选择执行动作。
○ 决策器设置:拖动决策器图标至流程制定区域,在决策器设置页面配置节点名称、条件等相关参数,单击<确认>按钮,完成决策器的设置。设置多个条件或条件组时:AND表示所有条件均需满足,OR表示其中一个条件满足即可。
§ if:表示满足if所设的条件时,执行选择该条件分支的下一节点。
§ else if:在多条件判断时使用,如果if所设条件不满足,则进一步判断else if所设条件,当满足else if所设条件后执行选择该条件分支的下一节点。
§ else:必选,当if或else if的所设条件不满足时执行else条件分支的下一节点。
○ 人工查验设置:拖动人工查验图标至流程制定区域,在人工查验设置页面配置节点名称、责任人等相关参数,单击<确认>按钮,完成人工查验设置。其中,查验内容由多个参数组合而成。参数设置举例:'源IP为{src_ip}的主机向目的IP为{dest_ip}的主机发起了{attack_name}攻击。',其对应查验内容为:源IP为181.8.8.1的主机向目的IP为182.9.9.2的主机发起了Attack_Byme_TELNET攻击。
3. 单击操作列<编辑>按钮修改剧本配置参数。
4. 剧本中如需添加重定向动作,则需要单击<重定向配置>按钮,配置重定向相关参数。当用户主机中毒后,使用浏览器访问网络资源时,浏览器会自动跳转到断网公告页面。该页面会引导用户下载并安装杀毒软件,对用户主机进行全盘扫描以及病毒查杀。具体参数如下:
○ 是否启用:选择是否开启重定向功能。
○ 杀毒软件服务器IP:为断网公告页面提供下载杀毒软件功能的服务器IP地址。
○ 杀毒软件下载链接:断网公告页面中杀毒软件的下载链接。
○ 备注信息:断网公告页面中显示的备注信息。
需要注意,配置本功能前,需要先修改平台的Web端口。有关Web端口的详细介绍,请参见平台网络设置。
· 剧本名称:剧本的唯一标识。
· 剧本描述:剧本的描述信息,合理的描述信息有助于管理员快速了解该剧本。
· 数据来源:下拉选择数据来源。
· 动作设置:针对不同的安全告警或脆弱性风险选择合适的动作。
· 系统服务
○ 告警通知
§ 邮箱告警:通过邮件方式发送告警信息到指定用户。收件人必须已配置邮件地址。
§ 短信告警:通过短信方式发送告警信息到指定用户。收件人必须已配置联系方式。
§ 企业微信:通过企业微信方式发送告警信息到指定用户。收件人必须已配置企业微信。
○ 处置工单
§ 通知责任人:平台自动创建处置工单,并通过指定的通知方式通知相关责任人处理事件。
§ 通知方式:选择指定的通知方式通知相关责任人处理事件,取值包括邮件、短信和企业微信。注意配置通知方式时,所选责任人必须已配置邮箱、电话或企业微信。
· 联动封锁
○ 黑名单
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称)。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
选择“应用驱动广域网系统”表示向AD-Campus控制器下发策略。
选择“应用驱动园区网系统”表示向AD-WAN控制器下发Flowspec策略。
选择“H3C防火墙”或“H3C IPS入侵防御系统”表示向H3C防火墙或入侵防御系统设备下发黑名单,此时设备必须先开启全局黑名单过滤功能,具体配置方法请参见目标设备配套的资料。
选择“H3C 交换机”或“H3C 路由器”表示向H3C交换机或H3C 路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用。
选择“深信服防火墙”、“海康威视防火墙”、“天融信防火墙”、“山石防火墙”、“山石 IPS 入侵防御系统”或“华为防火墙”设备时,表示向设备下发黑名单,此时设备必须先开启黑名单过滤相关功能,具体配置方法请参见目标设备配套的资料。
§ 阻断对象:支持选择关注点IP、对端IP、关注点MAC、对端MAC或X-Forwarded-For,即将匹配的安全事件的源IP、目的IP、源MAC、目的MAC或真实源IP地址加入黑名单。其中,X-Forwarded-For的支持情况与设备类型有关,请以实际情况为准。
§ 阻断方向:包括“发起方向”、“响应方向”和“双向”。“发起方向”表示丢弃源地址为阻断对象的报文;“响应方向”表示丢弃目的地址为阻断对象的报文;“双向”表示该阻断对象不能收发报文。
§ 老化时间:黑名单老化时间,当黑名单达到老化时间后将被自动删除。默认老化时间为0,表示黑名单永不老化。用户也可根据实际需求,配置相应的老化时间。
§ ACL编号:指定ACL编号。
§ 纳管设备:选择AD-WAN控制器/AD-Campus控制器下发策略的目标设备。
○ 访问控制
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称)。
选择“应用驱动园区网系统”表示向AD-Campus控制器下发策略。
选择“H3C 防火墙”或“H3C IPS入侵防御系统”表示向H3C防火墙或H3C IPS入侵防御系统设备下发安全策略(策略名称以“SIS_devBlock”开头或策略名称为“csap_soar_url_rule”和“csap_soar_dns_rule”)。
选择“H3C 交换机”或“H3C 路由器”表示向H3C交换机或H3C 路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
§ 阻断对象类型:被阻断的对象类型,取值包括IP、域名和URL。
§ ACL编号:指定ACL编号。
§ 纳管设备:选择AD-Campus控制器下发策略的目标设备。
○ 网站阻断
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅H3C Web应用防火墙支持配置网站阻断。
§ 检测方向:包括“源”和“目的”。“源”表示阻断安全事件中的源主机发起的访问;“目的”表示阻断安全事件中源主机被其他主机访问的流量。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
○ 重定向
配置本动作前,需要先在剧本管理页面配置重定向相关参数。
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅路由器和交换机支持配置重定向。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
§ 阻断对象:包括关注点IP和对端IP,即将匹配的安全事件的源IP或目的IP加入设备的重定向列表。
§ ACL编号:指定ACL编号。
· 用户控制
○ 无线接入
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅H3C AC无线控制器支持配置无线接入。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
§ 地址类型:选择将安全事件中的源IP地址或终端MAC地址加入用户黑名单,禁止该IP或MAC对应的用户接入网络。
§ 老化时间:用户黑名单老化时间,用户黑名单达到老化时间后策略将被自动删除。
○ 上网阻断
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅H3C ACG应用控制网关支持配置上网阻断。
§ 阻断对象:将匹配的安全事件的源IP加入黑名单,禁止其访问互联网。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
§ 老化时间:上网阻断策略老化时间,上网阻断策略达到老化时间后将失效。
○ 用户下线
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅H3C iMC EIA终端智能接入支持配置用户下线。
§ 下线对象:将匹配的安全事件的源IP强制下线。
§ 选择设备:执行动作的相应设备类型的应用实例名称。
· 终端防护
○ 全网主机扫描
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)和终端安全管理系统(ESM-G)支持配置全网主机扫描。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
○ EDR告警提醒
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)支持配置EDR告警提醒。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:告警提醒策略老化时间,告警提醒策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR病毒隔离
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)和终端安全管理系统(ESM-G)支持配置EDR病毒隔离。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ 老化时间:病毒隔离策略老化时间,病毒隔离策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR病毒查杀
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)和终端安全管理系统(ESM-G)支持配置EDR病毒查杀。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ 老化时间:病毒查杀策略老化时间,病毒查杀策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR进程查杀
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)支持配置EDR进程查杀。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:进程查杀策略老化时间,进程查杀策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间
○ EDR主机封堵
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)支持配置EDR主机封堵。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:主机封堵策略老化时间,主机封堵策略达到老化时间后将失效。默认老化时间为0,表示策略永不老化。用户也可根据实际需求,配置相应的老化时间。
○ EDR主机扫描
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM)和终端安全管理系统(ESM-G)支持配置EDR主机扫描。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ 扫描对象:执行扫描任务的目标对象,仅支持对关注点IP进行扫描。
§ 扫描类型:包含快速扫描和全盘扫描:
快速扫描:扫描进程以及系统关键目录(如系统盘中的windows目录) 扫描速度快,用时少,可以基本确定当前系统的安全性。
全盘扫描:扫描进程以及主机的所有分区,扫描用时较长,可以更好的保证主机的系统安全。
§ 自动处置威胁:当扫描出病毒文件时,是否自动对文件进行处置。
§ 处置手段:自动处理威胁时采用的处理手段,仅支持对扫描出的病毒文件进行隔离。
○ EDR网络隔离
§ 节点名称:配置不同动作的名称,以作区分。
§ 动作选择:选择的动作名称(设备名称),仅终端安全管理系统(ESM-G)支持配置EDR网络隔离。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM-G)。
§ 隔离对象:执行EDR网络隔离策略的目标对象,仅支持对关注点IP进行隔离。
· 高级配置:用来启用或停用阶梯封堵策略,阶梯封堵策略用来执行阶段性的回滚操作。例如:当事件首次编排下发设备黑名单成功后就会触发第一阶,如果第一阶配置为5min计时,那么自下发成功后的第5min就会做策略回滚,删除黑名单。
○ 阶梯封堵策略基于安全事件的维度计算阶数,剧本中动作的重复执行,不计入阶梯计算。
○ 在阶梯封堵策略启用的情况下,若阶梯封堵配置为永久,将不执行动作自动回滚操作,但后续阶数配置有限时长,仍会执行动作自动回滚。如果需要阶梯封堵策略执行结束后,动作配置下发永久生效,那么阶梯封堵策略最后一阶的时间需要配置为永久。
○ 若阶梯封堵策略配置到第n阶(n不大于5),则在事件第n+1次触发时,将以第n阶配置的时间进行动作自动回滚操作。
○ 在阶梯封堵窗口时间未到达之前,手动撤销执行成功后,将不再进行自动回滚操作。
· 删除:删除选中的动作。
· 启用了重定向功能后,系统会自动下发重定向的相关配置。当用户修改了平台IP地址后,所有阻断对象都将无法被重定向。管理员需要重新进入重定向配置页面,单击<确认>按钮,使系统更新相关配置。更新配置后,新下发动作参数的阻断对象可以正常被重定向,但是历史阻断对象仍无法正常重定向,此时管理员可通过重新执行剧本,恢复历史阻断对象的重定向功能。
· 修改重定向动作ACL编号后,历史下发的ACL策略将不再生效。
· 编辑预定义剧本时,若预定义剧本动作中包含“选择设备”、“EDR管理中心”等选项,必须为其配置有效参数才能保存成功。
· 预定义剧本无法被删除。
· 删除剧本时,若剧本已被案件引用,则需先解除引用关系。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。
· 执行剧本动作的设备必须已经添加为应用管理实例,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 高级配置-阶梯封堵策略仅EDR网络隔离、上网阻断、网站阻断、访问控制、黑名单动作支持,且只最多支持添加5个配置。
· 新增剧本时,默认数据来源为安全事件,若更改数据来源,将会清空动作节点配置、决策器所设置的判断条件和人工查验节点中的查验内容。
响应编排通过案件和剧本,将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的、有效的工作流,实现对安全事件和脆弱性风险的自动化响应,提高安全运维团队的整体运维效率。
· 案件:用于对相同类型的安全事件或脆弱性风险进行流程化、持续化的调查分析与响应处置。安全事件或脆弱性风险成功匹配案件后,系统将按照案件中引用的剧本对安全事件或脆弱性风险自动执行一系列的响应动作。
· 剧本:定义了针对安全事件或脆弱性风险的一系列响应动作。管理员按照安全工程师的工作流程对这些动作进行编排后,当网络中发生安全事件或存在脆弱性风险触发案件时,系统将自动下发剧本中的响应动作。
通过响应编排功能,系统将根据案件自动下发剧本动作到目标设备,可有效防止发生安全风险,从而保障用户业务持续、安全、稳定的运行。
该页面主要用于展示响应编排的相关统计信息,包括已编排脆弱性、已编排告警以及人工查验的次数统计等。
1. 选择“调度中心 > 响应编排 > 编排总览”进入编排总览页面。
2. 编排总览页面主要展示以下统计信息:
○ 已编排告警:展示近一个月内已编排告警的次数。
○ 已编排脆弱性:展示近一个月内已编排脆弱性风险的次数。
○ 人工查验:展示近一个月内人工查验的次数。
○ 平均响应时间:展示近一个月内告警发生到响应结束时间的平均值。
○ 平均人工查验时间:展示近一个月内人工查验动作的平均响应时间。
○ 平均自动响应时间:展示近一个月内自动化编排执行过程的平均响应时间。
○ 已执行的剧本和动作:展示近一个月内已执行的剧本和动作次数的分布情况。
○ 剧本执行Top5:展示近一个月内执行次数排名前5的剧本信息,包括剧本名称、包含动作和最近执行时间信息。
○ 动作执行Top5:展示近一个月内执行次数排名前5的动作信息,包括动作类型、最近执行设备和最近执行时间信息。
○ 设备执行Top5:展示近一个月内执行次数排名前5的设备信息,包括设备名称、最近动作类型和最近执行时间信息。
○ 已编排告警趋势:展示近一个月内已编排的告警次数的分布情况,包括自动编排和手动编排。
○ 已编排脆弱性趋势:展示近一个月内已编排的脆弱性风险的分布情况,包括自动编排和手动编排。
该功能用于管理案件。系统针对常见的安全告警提供了不同的预定义案件,可有效防止此类事件再次发生,用户也可以根据实际需求为安全告警和脆弱性风险事件自定义案件。
同时,系统提供案件复制功能,当需要将某个案件应用到其他区域时,可复制已有案件,修改案件名称和区域信息,从而提高配置效率。
1. 选择“调度中心 > 响应编排 > 案件管理”进入案件管理页面。
2. 单击<新增>按钮新增案件。
3. 单击操作列<编辑>按钮,修改案件配置参数。
4. 选择案件,单击<启用>、<停用>按钮改变案件的启用状态。
5. 选择案件,单击<复制>复制案件配置参数,提高配置效率。
6. 单击命中次数列的数字可查看命中该案件的安全告警或脆弱性风险详情及剧本执行结果。
· 案件名称:案件的唯一标识。
· 是否启用:是否启用案件,只有启用状态的案件能触发剧本动作下发。
· 案件类型:触发案件执行的风险类型,包括安全告警和脆弱性风险。
选择“安全告警”需要配置以下参数:
○ 攻击名称:该类攻击对应的安全告警将触发案件执行。仅自定义案件支持配置该参数。
○ 规则名称:该关联规则对应的安全告警将触发案件执行。
○ 告警类型:仅匹配选中类型的安全告警(可多选)。仅部分预定义案件支持配置该参数,请以界面实际情况为准。
○ 攻击阶段:该攻击阶段的安全告警将触发案件执行。(可多选)
○ 失陷确信度:该失陷确信度的安全告警将触发案件执行。(可多选)
○ 等级:该严重等级的安全告警将触发案件执行。(可多选)
选择“脆弱性风险”需要配置以下参数:
○ 脆弱性类型:触发案件执行的脆弱性风险类型,包括漏洞、配置风险和弱口令。
○ 漏洞名称:脆弱性类型选择“漏洞”时,该漏洞名称对应的事件将触发案件执行。
○ 漏洞等级:脆弱性类型选择“漏洞”时,该漏洞等级对应的事件将触发案件执行。(可多选)
○ 风险名称:脆弱性类型选择“配置风险”时,该风险名称对应的事件将触发案件执行。
○ 风险等级:脆弱性类型选择“配置风险”时,该风险等级对应的事件将触发案件执行。
○ 弱口令类型:脆弱性类型选择“弱口令”时,该弱口令类型对应的事件将触发案件执行。
· 生效区域:选择剧本的生效区域范围。
· 剧本名称:定义了对成功匹配以上条件的安全告警或脆弱性风险下发的动作。
· 剧本执行:选择剧本的执行方式,“自动执行”表示匹配案件成功后,系统自动下发相应的剧本动作,“手动执行”表示匹配案件成功后不自动下发动作,用户可根据需要在安全告警界面或事件详情界面手动下发剧本动作。
· 执行条件设置:设置案件匹配命中条件。
· 案件名称保存后不能再修改。
· 修改预定义案件后,可单击<恢复默认设置>按钮恢复到出厂配置。
分别从告警、剧本及动作三个维度展示执行历史信息。
1. 选择“调度中心 > 响应编排 > 执行记录 > 告警执行历史”,进入告警执行历史页面,分别从安全告警和脆弱性风险两个维度展示执行历史。
2. 安全告警页签:展示了安全告警执行历史列表,同时支持以下操作:
○ 检索告警执行历史:支持按照告警描述、源IP等多个查询条件检索告警执行历史记录。
○ 查看告警执行详情:单击告警执行列表操作列下的<查看>按钮,即可查看告警的执行详情(包括告警执行流程当前所处节点及当前责任人信息、基本信息、流程图及流程记录)。单击页面右上方的<催办>按钮或<终止流程>按钮即可催办或终止流程。
§ 基本信息页签展示了告警详情、网络信息、人工查验和评论信息。在评论的文本框中输入评论并单击<发表评论>按钮即可发表评论。
§ 流程图页签展示了告警执行的流程图,支持下载、美化、放大或缩小、全屏展示或居中展示流程图。
§ 流程记录页签展示了告警执行动作的详细信息(包括执行动作名称、执行应用类型、执行设备等信息)。单击执行动作列表操作列下的<查看>按钮即可查看指定动作的执行情况。单击执行失败的动作的操作列下的<重新执行>按钮即可重新执行指定的动作。
○ 重新执行剧本:单击告警执行列表操作列下的<重新执行>按钮,进入剧本重新执行页面,配置相关参数,单击<确认>按钮,即可重新执行剧本。
3. 选择进入脆弱性风险页签:分别从漏洞风险、配置风险和弱口令维度展示脆弱性风险执行历史,同时支持以下操作:
○ 检索脆弱性风险执行历史:支持按照剧本名称、案件名称等多个查询条件检索脆弱性风险的执行历史记录。其中漏洞风险、配置风险和弱口令风险的查询条件不同,请以实际情况为准。
○ 查看脆弱性风险执行详情:单击脆弱性风险执行列表操作列下的<查看>按钮,即可查看脆弱性风险的执行详情(包括事脆弱性风险执行流程当前所处节点及当前责任人信息、基本信息、流程图及流程记录)。单击页面右上方的<催办>按钮或<终止流程>按钮即可催办或终止流程。
§ 基本信息页签展示了脆弱性风险详情、人工查验和评论信息。在评论的文本框中输入评论并单击<发表评论>按钮即可发表评论。
§ 流程图页签展示了脆弱性风险的流程图,支持下载、美化、放大或缩小、全屏展示或居中展示流程图。
§ 流程记录页签展示了脆弱性风险执行动作的详细信息(包括执行动作名称、执行应用类型、执行设备等信息)。单击执行动作列表操作列下的<查看>按钮即可查看指定动作的执行情况。单击执行失败的动作的操作列下的<重新执行>按钮即可重新执行指定的动作。
○ 重新执行剧本:单击告警执行列表操作列下的<重新执行>按钮,进入编排详情页面,配置相关参数,单击<确认>按钮,即可重新执行剧本。
1. 选择“调度中心 > 响应编排 > 执行记录 > 剧本执行历史”,进入剧本执行历史页面。
2. 检索剧本执行历史信息:支持按剧本名称、剧本执行动作、剧本执行方式和剧本执行状态检索剧本执行历史信息,其中,剧本名称支持精确和模糊查询。
3. 查看剧本执行详情:单击剧本执行列表操作列下的<查看>按钮,即可查看剧本的执行详情(包括事件执行流程当前所处节点及当前责任人信息、网络信息、基本信息、流程图及流程记录)。单击页面右上方的<催办>按钮或<终止流程>按钮即可催办或终止流程。
○ 基本信息页签展示了事件详情、网络信息、人工查验和评论信息。在评论的文本框中输入评论并单击<发表评论>按钮即可发表评论。
○ 流程图页签展示了剧本执行的流程图,支持下载、美化、放大或缩小、全屏展示或居中展示流程图。
○ 流程记录页签展示了剧本执行动作的详细信息(包括执行动作名称、执行应用类型、执行设备等信息)。单击执行动作列表操作列下的<查看>按钮即可查看指定动作的执行情况。单击执行失败的动作的操作列下的<重新执行>按钮即可重新执行指定的动作。
4. 重新执行剧本:单击剧本执行列表操作列下的<重新执行>按钮,即可重新执行剧本。
1. 选择“调度中心 > 响应编排 > 执行记录 > 动作执行历史”,进入动作执行历史页面。
2. 检索动作执行历史信息:支持按执行动作、执行应用类型、执行设备和动作执行状态检索动作执行历史信息,其中,执行动作和执行设备支持精确和模糊查询。
3. 查看动作执行详情:单击动作执行列表的执行动作列下的执行动作名称,即可查看指定动作的执行详情。
○ 基本信息页签展示了事件详情、网络信息和评论信息。在评论的文本框中输入评论并单击<发表评论>按钮即可发表评论。
○ 流程图页签展示了剧本执行的流程图,支持下载、美化、放大或缩小、全屏展示或居中展示流程图。
○ 流程记录页签展示了剧本执行动作的详细信息(包括执行动作名称、执行应用类型、执行设备等信息)。单击执行动作列表操作列下的<查看>按钮即可查看指定动作的执行情况。单击执行失败的动作的操作列下的<重新执行>按钮即可重新执行指定的动作。
4. 查看动作执行情况:单击动作执行列表操作列下的<查看>按钮,即可查看指定动作的执行情况。
5. 重新执行动作:单击动作执行列表操作列下的<重新执行>按钮,即可重新执行指定动作。
· 剧本动作执行后将会生成执行记录,无论动作参数是否更新,重新执行该动作都将按上一次执行时的参数下发。如需下发最新动作参数,请在调度中心> 响应编排> 执行记录的告警执行历史、剧本执行历史或动作执行历史页面选择重新执行剧本。
· 如果联动下发至H3C 交换机、H3C 路由器、H3C 防火墙、H3C IPS 入侵防御系统等设备的策略未保存到配置文件中,设备掉电后策略将丢失。
此功能主要用于处理安全告警和脆弱性风险的人工查验任务。人工查验指的是在系统对某个告警或脆弱性风险做出自动化响应后,需要人工介入查验和确认该响应是否正确有效,进而确保系统自动化响应的准确性和有效性,提高整体的安全响应能力。
1. 选择“调度中心 > 响应编排 > 人工查验”,进入人工查验页面。
2. 检索人工查验任务:支持按照剧本名称、任务创建时间等多个查询条件检索人工查验任务信息。
3. 处理人工查验任务:单击安全告警或脆弱性风险列表操作列下的<人工查验>按钮,在人工查验区域配置相关参数,单击<办结提交>按钮,即可完成人工查验任务的处理。
该功能用于管理需要与平台进行联动的设备,包括H3C自有应用和第三方联动应用。当前支持联动的设备如下:
○ 终端安全管理系统:当平台执行响应编排剧本中的终端防护动作时,需要与终端安全管理系统进行联动,由该系统执行终端威胁检测等操作。平台支持联动的终端安全管理系统包括H3C SecCenterCSAP-ESM和H3C SecCenterCSAP-ESM-G。其中,H3C SecCenterCSAP-ESM支持执行除EDR网络隔离外所有的终端防护动作,H3C SecCenterCSAP-ESM-G仅支持执行全网主机扫描、EDR病毒隔离、EDR病毒查杀、EDR主机扫描和EDR网络隔离。
○ 网站安全监测:当用户需要通过本平台直接跳转到网站安全监测平台时,需要配置与网站安全监测平台的联动参数。
○ H3C ACG 应用控制网关:当平台执行响应编排剧本中“用户控制-上网阻断”动作时,可以选择向H3C ACG 应用控制网关下发策略。
○ H3C 防火墙:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制”动作时,可以选择向H3C 防火墙下发策略。
○ H3C IPS 入侵防御系统:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制”动作时,可以选择向H3C IPS 入侵防御系统下发策略。
○ H3C Web应用防火墙:当平台执行响应编排剧本中“联动封锁-网站阻断”动作时,可以选择向H3C Web应用防火墙下发访问控制策略。
○ 应用驱动园区网系统:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制”动作时,可以选择向AD-Campus控制器下发策略。
○ 应用驱动广域网系统:当平台执行响应编排剧本中“联动封锁-黑名单”动作时,可以选择向AD-WAN控制器下发Flowspec策略。
○ H3C iMC EIA 终端智能接入:当平台执行响应编排剧本中“用户控制-用户下线”动作时,可以选择向H3C iMC EIA 终端智能接入下发策略。
○ H3C 路由器:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制/重定向”动作时,可以选择向H3C 路由器下发策略。
○ AC无线控制器:当平台执行响应编排剧本中“用户控制-无线接入”动作时,可以选择向AC无线控制器下发策略。
○ H3C 交换机:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制/重定向”动作时,可以选择向H3C 交换机下发策略。
○ 山石 IPS 入侵防御系统:当平台执行响应编排剧本中的“联动封锁-黑名单”动作时,可以选择向山石 IPS 入侵防御系统下发黑名单。
○ 其他厂商防火墙:当平台执行响应编排剧本中的“联动封锁-黑名单”动作时,可以选择向其他厂商的防火墙设备下发黑名单。
终端安全管理系统具备恶意代码防护、桌面管理、终端威胁检测与响应(EDR)功能,能够统一管理、监测、分析终端安全状态,并提供终端安全保障功能,完成终端安全威胁处理闭环。平台与终端安全管理系统联动后,可以同步并展示终端主机数据,以及对终端主机进行策略联动处置。有关终端安全管理系统的详细介绍请参见终端安全管理系统配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击终端安全管理系统(ESM)区域,进入应用详情页面。可以查看终端安全管理系统的信息。
2. 单击<新增实例>按钮,配置需要联动的终端安全管理系统参数。 配置完参数后,单击<联通测试>按钮,测试平台与终端安全管理系统是否成功连接。
3. 单击<确认>按钮,保存上述参数。
注意:当实例相关配置无误,点击<打开设备>按钮页面跳转失败时,请检查对应实例设备是否正常运行。
终端安全管理系统具备恶意代码防护、桌面管理、终端威胁检测与响应(EDR)功能,能够统一管理、监测、分析终端安全状态,并提供终端安全保障功能,完成终端安全威胁处理闭环。本平台与该系统联动后,可以同步并展示终端主机数据,以及对终端主机进行策略联动处置。有关终端安全管理系统的详细介绍请参见终端安全管理系统配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击终端安全管理系统(ESM-G)区域,进入应用详情页面。可以查看终端安全管理系统的信息。
2. 单击<新增实例>按钮,配置需要联动的终端安全管理系统参数。
3. 单击<确认>按钮,保存上述参数。
H3C 网站安全监测平台是一款针对互联网网站、应用安全问题发现的自助式云平台,主要由可用性监测、合规性监测和安全性检测三部分组成,平台提供了安全监测、检测、预警与报告四大功能。通过应用此平台,可以轻松掌握网站安全状况。有关H3C 网站安全监测平台的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C 网站安全监测区域,进入应用详情页面。可以查看H3C 网站安全监测平台的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C 网站安全监测平台参数。配置完参数后,单击<联通测试>按钮,测试系统与H3C 网站安全监测平台是否成功连接。
3. 单击<确认>按钮,保存上述参数。
H3C ACG 应用控制网关(型号:H3C SecPath ACG1000系列)是为NFV、云计算环境设计的新一代虚拟化应用控制网关,ACG1000融入了H3C最新的BON(Business Oriented Network以业务为导向的网络)设计理念,以虚拟机形态部署,适用于虚拟化、云计算环境,是面向客户业务而量身定制的全业务适用于虚拟化网关产品。有关H3C ACG 应用控制网关的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C ACG 应用控制网关区域,进入应用详情页面。可以查看H3C ACG 应用控制网关的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C ACG 应用控制网关参数。 配置完参数后,单击<联通测试>按钮,测试系统与H3C ACG 应用控制网关是否成功连接。
3. 单击<确认>按钮,保存上述参数。
H3C防火墙产品支持多维一体化安全防护。可从用户、应用、时间、五元组等多个维度,对流量展开IPS、AV、DLP等一体化安全访问控制,能够有效的保证网络安全的安全;支持多种VPN业务,如L2TP VPN、GRE VPN、IPsec VPN和SSL VPN等,与智能终端对接实现移动办公;提供丰富的路由能力,支持RIP/OSPE/BGP/路由器策略及基于应用与URL的策略路由;支持IPV4/IPV6双协议栈同时,可实现对IPV6的状态防护和攻击防范。有关H3C 防火墙的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C 防火墙区域,进入应用详情页面。可以查看H3C 防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C 防火墙参数。
3. 单击<确认>按钮,保存上述参数。
H3C IPS产品对网络数据流进行4到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时还具有强大、实用的带宽管理和URL过滤功能。有关H3C IPS 入侵防御系统的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C IPS 入侵防御系统区域,进入应用详情页面。可以查看H3C IPS 入侵防御系统的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C IPS 入侵防御系统参数。
3. 单击<确认>按钮,保存上述参数。
H3C SecPath W2000-G2系列Web应用防火墙更专注于WEB应用自身的漏洞,并提供了SSL加速、抗DDoS、应用负载均衡等WEB应用安全模块,是一款多安全引擎、高性价比的WEB应用安全产品。有关H3C Web应用防火墙的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C Web应用防火墙区域,进入应用详情页面。可以查看H3C Web应用防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C Web应用防火墙参数。 配置完参数后,单击<联通测试>按钮,测试系统与H3C Web应用防火墙是否成功连接。
3. 单击<确认>按钮,保存上述参数。
H3C SeerEngine-Campus是新华三开发的园区网络智能控制系统,基于统一数字底盘进行部署运维,实现网络与业务的完美结合。SeerEngine-Campus支持基于VXLAN和VLAN的不同规模的园区网络,支持Aggregation透传设备、Access环网、BRAS做准出网关等多种灵活组网方式,提供包括园区网络的自动化上线、业务端到端自动化部署、接入用户名址绑定、有线无线一体化管理、光电一体化管理、多园区管理、安全纳管、融合分析组件的智能化管理运维等一系列功能,是园区网络部署、管理和运维的有力助手。有关应用驱动园区网系统的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击应用驱动园区网系统区域,进入应用详情页面。可以查看应用驱动园区网系统的信息。
2. 单击<新增实例>按钮,配置需要联动的应用驱动园区网系统参数。
3. 单击<确认>按钮,保存上述参数。
H3C SeerEngine-WAN是新华三应用驱动广域网AD-WAN承载网解决方案的核心组件,提供面向广域网流量调优能力,全局视角下结合带宽、时延、抖动、丢包、时间段、链路亲和属性、优选、排除等多种选路策略,实现业务转发路径优化及将相关配置下发到设备。针对Native IP公网业务和VPN业务,可以基于五元组/DSCP/VPN进行精细化的流分类,自动化引流入SR隧道,集中算路调整SR隧道路径,实现全网TE资源优化,使网络带宽资源利用率最大化,同时兼顾不同业务的SLA差异化管理,优先保障高优先级业务需求。并且,实时感知网络状态变化,设备秒毫米故障逃生,秒级路径重优化,确保广域网时刻提供高品质、高可靠的网络服务。有关应用驱动广域网系统的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击应用驱动广域网系统区域,进入应用详情页面。可以查看应用驱动广域网系统的信息。
2. 单击<新增实例>按钮,配置需要联动的应用驱动广域网系统参数。 配置完参数后,单击<联通测试>按钮,测试本平台与应用驱动广域网系统是否成功连接。
3. 单击<确认>按钮,保存上述参数。
H3C iMC EIA终端智能接入组件是一款全面的企业终端网络接入策略管理解决方案。它提供企业统一的网络接入策略,实现企业网络(有线、无线和VPN网络)的统一接入管理,并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制,满足企业多种网络接入、多种终端接入的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。有关H3C iMC EIA 终端智能接入的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C iMC EIA 终端智能接入区域,进入应用详情页面。可以查看H3C iMC EIA 终端智能接入的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C iMC EIA 终端智能接入参数。 配置完参数后,单击<联通测试>按钮,测试系统与H3C iMC EIA 终端智能接入是否成功连接。
3. 单击<确认>按钮,保存上述参数。
H3C路由器产品具备超宽、SDN极简、安全可信的特点,为广域承载网提供高可靠、可视化、自动化的智能保障。有关H3C 路由器的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C 路由器区域,进入应用详情页面。可以查看H3C 路由器的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C 路由器参数。
3. 单击<确认>按钮,保存上述参数。
H3C无线控制器(AC,Access Controller)产品,面向大中型企业园区WLAN接入、无线城域网覆盖、热点覆盖等应用场景,具有大容量、高可靠、业务类型丰富等特点,支持精细化用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈、多核控制平面、新一代无线定位、Bonjour、Hotspot2.0特性。有关AC无线控制器的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击AC无线控制器区域,进入应用详情页面。可以查看AC无线控制器的信息。
2. 单击<新增实例>按钮,配置需要联动的AC无线控制器参数。
3. 单击<确认>按钮,保存上述参数。
H3C 交换机面向新一代云数据中心和智慧园区两大场景,为用户打造基于智能、超宽、极简、融合的新一代网络,适用于各种场景和网络规模。有关H3C 交换机的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击H3C 交换机区域,进入应用详情页面。可以查看H3C 交换机的信息。
2. 单击<新增实例>按钮,配置需要联动的H3C 交换机参数。
3. 单击<确认>按钮,保存上述参数。
深信服下一代防火墙AF专注网络边界安全效果,通过应用丰富的安全创新防御技术和简单易用的产品设计理念,不仅增强网络边界的安全检测与防控能力,而且实现网络安全风险可视化展示与快速处理,让组织网络边界安全建设更有效、更简单。有关深信服防火墙的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击深信服防火墙区域,进入应用详情页面。可以查看深信服防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的深信服防火墙参数。
3. 单击<确认>按钮,保存上述参数。
海康威视下一代网络防火墙提供全面的威胁检测与安全防护,支持精细化的多维应用管控,全面支持IPv6严格定义访问规则、安防协议管控、SSL 加密流量防护和多样化VPN 接入。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击海康威视防火墙区域,进入应用详情页面。可以查看海康威视防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的海康威视防火墙参数。
3. 单击<确认>按钮,保存上述参数。
山石网科下一代防火墙基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,为用户提供 L2-L7 层网络的全面安全防护,在有效保护用户网络健康及服务器安全的同时提供出色的安全防护性能;通过网络流量深度检测和解析技术,能够基于应用、用户、内容、国家地理等进行多维度的精准识别,可为用户提供丰富而灵活的安全管控功能;通过强大的网络适应性,可实现复杂环境下的安全部署,满足用户多样化的网络功能需求。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击山石防火墙区域,进入应用详情页面。可以查看山石防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的山石防火墙参数。
3. 单击<确认>按钮,保存上述参数。
天融信下一代防火墙系统,融入了AI驱动一体化智能检测引擎,并集WAF、僵木蠕、ADS、HTTPS流量检测、高级威胁防护、异常行为分析、DLP等多个安全模块于一身,联动云管端多个网元,最终为用户提供融入AI单点防御、多元智慧协同、云端检测赋能的智能、主动、安全“零”死角的综合防护方案。有关天融信防火墙的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击天融信防火墙区域,进入应用详情页面。可以查看天融信防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的天融信防火墙参数。
3. 单击<确认>按钮,保存上述参数。
山石网科网络入侵检测/防御产品是专用于网络入侵攻击检测和防御的安全产品,可广泛部署于政府、企业、高校、运营商等行业的互联网出口、服务器前端、内网隔离防护等应用场景。结合山石网科在安全攻防领域的深刻理解和研究积累,能够为用户提供基于全生命周期的高级威胁防护方案。通过入侵防御服务、IP 信誉服务和病毒过滤服务,可以在网络攻击发生前精准识别网络攻击、恶意软件、风险 IP 等攻击流量并及时进行阻断;通过病毒过滤服务有效发现攻击过程中的已知威胁;攻击发生后,通过僵尸网络 C2 防御服务能够有效发现内网受感染的僵尸肉鸡,防止僵尸网络进一步破坏企业内网。 它将全面检测、立体防护、智能运维等技术深度融合,配合精准的入侵攻击特征库,可实时检测并阻断各类入侵攻击行为。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击山石 IPS 入侵防御系统区域,进入应用详情页面。可以查看山石 IPS 入侵防御系统的信息。
2. 单击<新增实例>按钮,配置需要联动的山石 IPS 入侵防御系统参数。
3. 单击<确认>按钮,保存上述参数。
华为防火墙面向新一代云数据中心和智慧园区两大场景,为用户打造基于智能、超宽、极简、融合的新一代网络,适用于各种场景和网络规模。有关华为防火墙的详细介绍请参见其配套资料。
1. 选择 “调度中心 > 响应编排 > 应用管理”,单击华为防火墙区域,进入应用详情页面。可以查看华为防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的华为防火墙参数。
3. 单击<确认>按钮,保存上述参数。
该功能用于阻断来自于指定地址的报文,可有效的防范安全风险。
1. 选择“调度中心 > 响应编排 > 一键阻断”,进入一键阻断页面。
2. 单击<新增>按钮,进入新增一键阻断页面。
3. 根据实际需求配置相关参数,完成配置后单击<立即执行>按钮,完成本次操作。
4. 勾选多个一键阻断策略,单击列表左上方的<重新执行>按钮,可批量重新执行一键阻断策略;或单击操作列下的<重新执行>按钮,可重新执行指定的一键阻断策略。
5. 勾选多个一键阻断策略,单击列表左上方的<撤销执行>按钮,可批量取消执行一键阻断策略;或单击操作列下的<撤销执行>按钮,可取消执行指定的一键阻断策略。
· 设备类型:执行黑名单动作的设备所属的类型。
· 执行设备:执行黑名单动作的设备。
· 阻断对象类型:被阻断的对象类型,取值包括IP、域名和URL。
· 阻断对象:被阻断的目标地址,配置多条地址时,使用回车进行换行分隔。
· 生效时长:黑名单的生效时长,即老化时间,当参数配置为0时,表示黑名单永不老化,永久生效。
· 阻断原因:用于描述阻断目标地址的原因,帮助管理员快速理解一键阻断策略。
· 下发时间:一键阻断策略的下发时间。
· 失效时间:一键阻断策略的失效时间。
· 下方结果:一键阻断策略的下发结果,包括成功、撤销成功和失败三种状态。
· 操作:
○ 重新执行:重新执行一键阻断策略。
○ 撤销执行:撤销执行一键阻断策略。
该功能用于管理处置工单。针对网络中发生的安全事件或存在的脆弱性风险,管理员可以通过创建处置工单来通知相关责任人进行处置并反馈处置结果。从而实现对网络风险进行闭环管理。
1. 选择“调度中心 > 处置工单”,进入处置工单页面。
2. 单击<新增>按钮,新增处置工单。
3. 根据实际情况选择“安全告警”、“安全事件”页签或“脆弱性风险”页签,然后在相应的页签下,单击<添加>按钮,进入添加安全告警、安全事件或脆弱性风险页面。
4. 根据实际情况配置查询条件后,单击<查询>按钮,在查询结果中选择所需的安全告警、安全事件或脆弱性风险。
5. 单击<选择>按钮,返回新增处置工单窗口。单击<下一步>按钮,进入工单基本信息配置页面。
6. 输入工单名称、整改期限及工单优先级。
7. 在工单责任人下拉列表中选择处置责任人,并勾选通知方式。
8. 输入处置建议。
9. 在通知附件配置项后,单击<文件上传>按钮,将通知文件附件上传至系统中。
10. 单击<下发>按钮,下发工单。
11. 处置责任人收到处置工单后,单击<签收>按钮签收任务工单,并在解决工单中的风险事件后,单击<提交审批>按钮上报处置结论及处置报告。
1. 选择“调度中心 > 处置工单”,进入处置工单页面。
2. 对于超过整改期限的工单,管理员可以单击<催单>按钮催单,系统将会以短信、企业微信或者邮件的方式知会责任人。
1. 选择“调度中心 > 处置工单”,进入处置工单页面。
2. 收到处置结论及处置报告后,管理员可以对其进行审核。审核通过则关闭工单,审核不通过可退回责任人重新处置。
1. 选择“调度中心 > 处置工单”,进入处置工单页面。
2. 若已创建的工单无需处理,管理员可单击<撤回>按钮对其执行撤回操作。
· 选择邮件、短信方式或企业微信通知责任人时,必须先在“系统设置 > 全局配置”页面完成邮件服务器和短信业务中心的相关配置,并且已正确配置指定责任人的邮箱、企业微信或联系电话,否则责任人无法成功接收处置工单通知信息。
· 责任人处置脆弱性风险时,对于验证后无法修复的漏洞,可以单击<移动>按钮将其移动到遗留风险列表。
· 处置工单被驳回时,工单状态会回退到“已签收”状态。
· 撤回工单后,安全告警、安全事件和脆弱性风险的处理状态将被修改为未处理。
· 工单下发后,若工单中的安全告警、安全事件被添加到白名单,则工单中不再显示该安全告警或该安全事件。
· 工单下发后,若脆弱性资产被删除,则工单详情中不再显示脆弱性风险。
提供基于风险、流量、行业等多种报表模板,提供多层次、多角度、多种格式、满足不同管理角色需求的详细的分析报表,方便管理员将整网安全状态分析结果生成报表,导出到本地分析。同时,支持客户指定的周期自动生成报表以帮助用户周期回顾安全情况。
· 报表文件
· 报表模板
该功能用于展示生成的报表文件信息,并提供报表文件检索、下载、删除功能。
1. 选择“调度中心 > 报表管理 > 报表文件”进入报表文件页面,在“全部”页签下即可查看所有报表文件信息。在“日报”、“周报”、“月报”和“立即执行”页签下,可查看各自类型任务下生成的报表文件。
2. 支持按生成报表文件的任务名称、报表模板等条件筛选报表文件。输入查询条件,点击<查询>按钮即可查看相应的报表文件,点击<重置>按钮重置查询条件,刷新报表文件列表。
3. 选中多个报表文件,单击页面上方的<下载>按钮即可批量下载报表文件,或单击操作列的<下载>按钮即可下载选中的报表文件。
4. 选中多个报表文件,单击页面上方的<删除>按钮即可批量删除报表文件,或单击操作列的<删除>按钮即可删除选中的报表文件。
5. 在“全部”、“日报”、“周报”、“月报”和“立即执行”各个页签下,均可通过单击<新增>按钮,进入新增报表页面,选择所需的报表模板并配置相应的报表导出参数。有关报表导出任务的详细介绍,请参见报表模板。
6. 报表导出配置完成后,平台将下发报表导出任务。可单击<任务管理>按钮,查看任务执行结果。
7. 任务执行成功后,可到各页签下查看导出的报表文件。选择指定的报表,单击操作列<下载>按钮即可下载报表文件到本地。
8. 对于未被执行下载操作的报表文件,会被平台标识为“未读”,勾选页面上方的<只看未读>按钮,界面中将仅展示未经下载的报表文件。方便用户快速筛选未读(即未下载)的文件。
9. 单击页面上方的<一键已读>按钮,系统将直接消除所有报表文件的“未读”标识。
· 报表文件格式由报表导出任务指定,包括docx、xlsx、zip和pptx。
· 报表文件名称格式为“生成该报表文件的报表模板名称-任务类型-任务创建人-报表任务创建时间”,如“综合安全风险报告-周报-admin-20201208094824”。
该功能用于展示报表模板信息。用户可根据需要下发报表导出任务,任务下发成功后,可在报表文件页面下载生成的报表文件。
1. 选择“调度中心 > 报表管理 > 报表模板”进入报表模板页面,查看各模板功能。
2. 根据需要选择一个报表模板,单击<报表导出>按钮,配置导出参数后,系统将下发一个导出任务。
3. 对于综合安全风险报告,平台支持自定义报表模板,单击<自定义配置>按钮,进入模板配置页面,可配置自定义模板参数。单击<确认>按钮,完成参数配置。
4. 报表导出配置完成后,平台将下发报表导出任务。可单击<查看任务>按钮,查看任务执行结果。
5. 任务执行成功后,返回“报表中心 > 报表文件”,进入报表文件页面,选择指定的报表,单击操作列<下载>按钮即可下载报表文件到本地。
· 报表模板:显示当前选择的报表模板的名称,不可修改。
· 任务类型:任务执行周期,可选择日报、周报、月报及立即执行,不同的任务类型需要配置的参数如下:
○ 选择日报,系统将会在每天23:59:59执行任务,并统计每天00:00:00~23:59:59之间的数据,生成报表文件。
○ 选择周报,系统将会在每周日的23:59:59执行任务,并统计周一00:00:00到周日23:59:59之间的数据,生成报表文件。
○ 选择月报,系统将会在每月最后一天23:59:59执行任务,并统计每月1号00:00:00到每月最后一天23:59:59之间的数据,生成报表文件。
○ 选择立即执行,需要指定统计周期,配置完成后系统将立即执行任务并按统计周期统计安全告警信息,生成报表文件。
· 统计周期:选择报表的统计周期(例如:2023-11-26 19:59:42~2023-11-27 19:59:42)。安全态势分析报告的统计周期目前仅支持配置至月份(例如:2023-05~2023-11)。
· 指定租户:多租户场景下,管理员统计指定租户下的数据。
· 指定条件:选择统计范围,根据页面提示可选择指定区域或指定资产。
· 区域:选择统计区域范围。
· 规则名称:仅指定关联规则或UEBA规则生成的安全告警输出分析报告。
· 事件确信度:仅指定确信度的安全告警输出分析报告。
· 事件等级:仅指定等级的安全告警输出分析报告。
· 动作类型:仅统计指定动作类型的攻击日志,并在报告中生成网络安全攻击状况统计数据。
· 报表名称:导出报表的名称。
· 弱口令:选择显示弱口令的账号或密码。需要注意,配置此参数时,系统会要求验证当前管理员密码。请根据界面提示输入正确的密码,单击<确认>按钮,完成密码验证。
· 报表格式:报表文件的输出格式,可选择输出docx、xlsx、zip、pptx格式的报表文件。
· 全网安全风险:用于配置报表中全网安全风险分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的新增风险主机、关键资产等的分析结果。(仅综合安全风险报告支持配置本参数)
· 安全告警分析:用于配置报表中安全告警分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的安全告警的分析结果。(仅综合安全风险报告支持配置本参数)
· 资产威胁分析:用于配置报表中资产威胁分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的风险资产和已处置资产的分析结果。(仅综合安全风险报告支持配置本参数)
· 终端威胁分析:用于配置报表中终端威胁分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的风险终端和已处置终端的分析结果。(仅综合安全风险报告支持配置本参数)
· 脆弱性分析:用于配置报表中脆弱性分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的漏洞、配置风险和弱口令的分析结果。(仅综合安全风险报告支持配置本参数)
· 邮件通知:生成报表后通过邮件知会相关管理员。指定的收件人必须配置了正确的邮箱地址,关于邮箱配置请参见用户管理。
· 中文标题:指定报表文件中首页展示的中文标题。
· 英文标题:指定报表文件中首页展示的英文标题。
· 统计内容:选择报表文件中包含的统计内容。
· 不同的报表模板可配置的导出参数不同,请以界面实际情况为准。
· 当选择的报表模板本身为zip或xlsx格式时,不能再在“输出格式”指定报表格式。生成的报表文件将按照模板格式输出。
· 缺省情况下,周期性任务创建成功后,其任务状态为“执行中”,单击<停用>或<启用>按钮可改变任务运行状态。停用状态下的任务将不再运行,直到再次启用。
· 仅周期性任务支持通过<停用>和<启用>按钮改变任务运行状态。
· 若配置邮件通知责任人,则必须在“系统设置 > 全局配置”页面完成邮件服务器相关配置,否则邮件发送失败。
· 生成的报表文件名称格式为“生成该报表文件的报表模板名称-任务类型-任务创建人-报表任务创建时间”,如“综合安全风险报告-周报-admin-20201208094824”。
该功能用于展示常见安全告警的风险危害分析、处置建议及处理案例,为管理员处理网络中发生的安全告警提供合理的处置建议和参考案例。
展示安全告警的处理案例,为管理员处理安全告警提供参考方案。
1. 选择“调度中心 > 安全知识库 > 内置案例库”进入内置案例库页面。
2. 支持按案例名称、案例分类检索安全告警处理案例,输入查询条件后点击<查询>即可查看相应的案例;点击<重置>按钮重置查询条件,默认展示所有案例。
3. 选择一条案例,点击<详情>按钮可查看该案例的详细信息。
参数说明
· 案例名称:安全告警处理案例名称。
· 案例描述:安全告警处理案例的描述信息。
· 案例分类:该案例适用的安全告警类型。
该页面用于展示用户在安全告警详情页面编辑后的风险危害和处置建议。有关风险危害和处置建议的介绍请参见安全告警。
1. 选择“调度中心 > 安全知识库 > 处置建议库”进入处置建议库页面。
2. 支持按规则名称、事件描述检索处置建议,输入查询条件后点击<查询>即可查看相应的处置建议;点击<重置>按钮重置查询条件,默认展示所有处置建议。
3. 选择一条处置建议,点击<删除>按钮可删除该条建议,删除后,安全告警详情页面将展示该事件的预定义风险危害和处置建议。
参数说明
· 规则名称:生成安全告警的关联规则名称或UEBA规则名称。
· 事件描述:安全告警的描述信息。
· 风险危害:安全告警的风险危害。
· 处置建议:安全告警的处理方法。
主要包括应急指挥、重保管理和安全服务等功能。
· 通报预警
○ 通报总览
○ 通报告警
○ 通报工单
○ 信息报送
○ 预警通告
· 应急指挥
○ 资源管理
○ 应急处置
· 重保管理
○ 重保任务
○ 公告栏
· 考核管理
○ 我的考核
○ 待我审批
○ 考核模板
· 等保管理
○ 等保概览
○ 定级管理
○ 备案管理
○ 建设整改管理
○ 测评管理
○ 监督检查
○ 等保模板库
· 攻防演练
○ 档案管理
○ 演练管理
· 安全服务
○ 远程专家会诊服务
○ 云端托管
○ 响应工具
○ 值班管理
· 可视化管理
○ 可视化组件
○ 仪表盘
在某些大型组网环境中,不同组织或部门之间存在相互监管的关系,上级组织需要向所有下级组织通报安全告警或派发任务,下级组织则需处理上级组织派发的任务,并反馈任务处置情况,同时向上级组织上报本组织发生的安全告警及处理措施。为满足该需求,系统提供了通报处置功能,不同组织的管理人员可在通报总览页面查看通报事件、通报工单、信息报送和预警通告的汇总信息以及部分详细统计数据。
· 对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析、通报预警等特性,用户必须申请并安装License激活文件后才能使用。
一级组织相关负责人通过通报总览页面可查看下属的二级组织的相关统计数据;二级组织负责人通过通报总览页面,可以从统计组织的视角查看本组织下级组织统计数据和本组织在同级组织中的排名;三级组织负责人通过通报总览页面,可以从统计组织视角,查看本组织在同级组织中的排名。
操作步骤
1. 选择“通报预警 > 通报总览”,进入通报总览页面。
2. 选择关心的通报场景并配置统计周期,可查看符合条件的统计信息。
参数说明
· 通报告警:用于展示上级组织向下级组织通报的通报告警统计信息。
· 通报工单:用于展示上级组织向下级组织下发的通报工单的统计信息。
· 通报组织总数:用于展示已通报组织和未通报组织的数量。
· 通报次数排行:用于展示所有通报组织的通报次数排名情况及其通报工单数的分布情况。
· 工单趋势:用于展示不同时间发生的通报工单数。
· 待签收工单Top10:用于展示待签收工单数量排行前10的下级组织及其对应的工单数量。
· 待处置工单Top10:用于展示待处置工单数量排行前10的下级组织及其对应的工单数量。
· 滞留工单时长分布:用于分别展示待签收和待处置的工单滞留时长的分布情况。
· 通报告警等级:用于展示不同等级的通报告警的分布情况。
· 通报告警类型Top5:用于展示不同类型的通报告警排行前5的分布情况。
· 反复感染告警详情:用于展示反复感染事件的详细信息。单击右侧的<导出告警详情>按钮,可以导出反复感染告警详情。
主要用于管理和查看通报告警。对于上级组织管理人员,可通过“手动新增”和“自动同步安全告警、脆弱性事件”两种方式添加通报告警,并在添加通报告警后,将其关联到通报工单中,下发给下级组织处理。对于下级组织管理人员,可在本页面查看接收到的通报告警。
操作步骤
1. 选择“通报预警 > 通报告警”,进入通报告警页面。
2. 对于上级组织的管理人员,可在本页面单击<新增>按钮,进入新增通报告警页面,录入待通报告警信息。
3. 单击<确认>按钮,完成配置。
参数说明
· 告警名称:通报告警的名称。
· 告警类型:通报告警所属的类型。
· 告警子类型:通报告警所属的子类型。
· 告警来源:通报告警的来源,例如漏洞风险、弱口令等。单击<+>按钮,可以新增告警来源。
· 告警等级:通报告警的严重级别。
· 所属组织:表示发生通报告警的组织。
· 主机类型:主机的类型。
· 主机名称:通报告警中的主机的名称。
· 主机IP:通报告警中的主机的IP地址。
· 源IP:通报告警中的源IP地址。
· 目的IP:通报告警中的目的IP地址。
操作步骤
1. 选择“通报预警 > 通报告警”,进入通报告警页面。
2. 对于一级组织的管理人员,可在本页面单击<同步配置>按钮,进入同步配置页面。
3. 勾选开启自动同步安全告警、脆弱性事件。
4. 配置需要同步的安全事件和脆弱性事件的筛选条件,包括安全告警确信度、漏洞风险等级、弱口令和配置风险等级。
5. 单击<导入>按钮,导入监控的资产信息。
6. 单击<确认>按钮,完成配置。当系统检测到符合上述条件的安全告警和脆弱性事件后,会自动同步到本页面。
注意事项
仅一级组织管理人员支持通过同步安全告警、脆弱性事件的方式添加通报告警。
上级组织添加了通报告警后,可将通报告警通过工单的形式下发给下级组织进行处理。下级组织处理完毕后,由上级组织对工单进行审核及归档,完成通报告警处置流程的闭环。
· 对于上级组织用户,可通过本页面查看所有已下发的工单的信息、关联的通报告警和所有组织的处理流程。并可对工单进行审核与驳回。
· 对于下级组织用户,可通过本页面查看本组织接收到的所有工单的信息以及工单处理流程,并可对工单进行签收和处置。
操作步骤
1. 对于上级组织用户,可以选择“通报预警 > 通报工单”进入通报工单页面。
2. 单击<新增>按钮,进入新增通报工单页面。
3. 在事件选择页面,单击<添加>按钮,选择需要下发的通报事件,单击<下一步>按钮。
4. 在工单基本信息页面,填写工单基本信息、处置建议并配置工单通知方式以及说明信息等。
5. 单击<下发>按钮,将工单下发至责任组织。
参数说明
· 工单名称:工单的名称,用于唯一标识工单。
· 整改期限:责任组织处理该工单的期限。
· 工单优先级:用于标识工单处理的优先级,取值包括高、中、低。
· 责任组织:表示需要对工单进行处置的组织。
· 邮件通知:表示使用邮件通知责任组织处置该工单。
· 短信通知:表示使用短信通知责任组织处置该工单。
· 处置建议:上级组织对下级组织处置工单时的操作指导和建议。
· 通知附件:工单中附加的文件。
操作步骤
1. 对于下级组织用户,可以选择“通报预警 > 通报工单”进入通报工单页面。
2. 单击指定工单右侧的<处置>按钮,进入处置工单页面。
3. 在处理流程区域,可以查看工单的处理历史流程。
4. 在工单处置区域,勾选工单处置承诺说明。
5. 勾选单击<签收>按钮,完成工单的签收,签收时可选择是否将工单再次下发到次级组织。
6. 用户根据工单内容对通报事件进行处置后,可进入通报工单页面,单击指定工单右侧的<处置>按钮,再次进入处置工单页面。在处置流程区域,单击<处置>按钮完成工单的处置。
操作步骤
1. 对于上级组织用户,当下级组织处置完工单后,可以对工单进行审核或驳回。选择“通报预警 > 通报工单”,进入通报工单页面。
2. 单击指定工单右侧的<处置>按钮,进入处置工单页面。
3. 单击<审核>按钮,表示对工单处置结果认可,系统将归档此工单。
4. 单击<驳回>按钮,表示对工单处置结果不认可,需要将工单打回给下级组织,重新进行处理。
主要用于下级组织向上级组织上报信息。对于上级组织用户,可在本页面查看所有下级组织上报的信息,其中一级组织可以将信息转为通报事件;对于下级组织的用户,可查看本组织新增的信息,并将信息上报给其上一级组织。
操作步骤
1. 对于下级组织用户,可以选择“通报预警 > 信息报送”,进入信息报送页面。
2. 单击<新增>按钮,进入新增报送信息页面。录入需要上报的事件信息。
3. 单击<确认>按钮,完成配置。
4. 选择需要上报的信息,单击右侧的<上报>按钮,可将信息上报给其上一级组织。
注意事项
信息上报后,不能编辑或删除。
操作步骤
1. 对于下级组织的用户,可以选择“通报预警 > 信息报送”,进入信息报送页面。
2. 对于一级组织的用户,选择指定的报送信息,单击右侧的<通报>按钮,选择责任组织,可将信息转为通报事件。
主要用于上级组织向下级组织发布通告信息,例如告警、漏洞、预警等。
对于上级组织用户,可在本页面新增、编辑、查看和发布通告信息以及查看下级组织反馈的意见;对于下级组织用户,可在本页面查看接收到的通告信息,并可反馈意见。
操作步骤
1. 选择“通报预警 > 预警通告”,进入预警通告页面。
2. 对于上级组织用户,可在本页面单击<新增>按钮,进入新增通告页面。
3. 录入通告信息以及上传附件。
4. 单击<确认>按钮,完成通告信息的配置。
5. 单击指定通告信息右侧的<发布>按钮,可将预警通告发布给指定的下级组织并配置指定的反馈期限。
查看反馈
对于上级组织用户,可单击指定通告信息右侧的<查看反馈>按钮,查看下级组织的签收反馈信息与处置反馈信息。
签收通告
对于下级组织,可单击指定通告信息右侧的<签收>按钮,对通告内容进行反馈。
处置通告
下级组织对上级组织下发的通告信息进行签收后,并且反馈存在通告内容中所述的情况,则通告信息可进一步进行处置。单击<处置>按钮,可针对通告内容进行处置动作,并反馈处置结果。
查看通告详情
对于下级组织,单击<详情>按钮,可以查看通告详情、签收反馈及处置反馈。
主要用于协调和管理应急事件响应工作,包括资源管理和应急处置。旨在快速、高效地应对紧急情况,最大限度地减少损失并保障公共安全。
· 应急指挥模块和组织机构相关联,只有当前登录用户属于组织机构的组织负责人时才有权限访问该模块,否则请根据界面的引导进行相关的配置。
该功能用于管理应急指挥所需的技术支撑单位、安全专家和预案管理信息。
1. 选择“运营中心 > 应急指挥 > 资源管理”,进入技术支撑单位页面。
2. 检索技术支撑单位:支持按单位名称、联系人对技术支撑单位进行检索。
3. 新增技术支撑单位:单击技术支撑单位列表左上方的<新增>按钮,完成参数的配置,单击<确认>按钮,可以新增技术支撑单位。
4. 查看技术支持单位:单击指定技术支撑单位操作列下的<详情>按钮,可以查看该技术支撑单位的详细信息。
5. 查看技术支撑人员:单击指定技术支撑单位的技术支持人员列下的蓝色括号(括号内的数字表示技术支持人员的数量),可以查看该技术支撑单位对应的技术支持人员列表信息。
6. 编辑技术支撑单位:单击指定技术支撑单位操作列下的<编辑>按钮,完成参数的配置,单击<确认>按钮,可以编辑修改该技术支撑单位的信息。
7. 删除技术支撑单位:单击指定技术支撑单位操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该技术支撑单位;也可以选择一个或多个技术支撑单位,单击技术支撑单位列表左上方的<删除>按钮,可以删除选中的技术支撑单位信息。
参数说明
· 单位名称:技术支撑单位的名称。
· 单位地址:技术支撑单位的地址。
· 联系人:技术支撑单位的联系人。
· 电话:技术支撑单位的电话。
· 邮箱:技术支撑单位的邮箱。
· 单击技术支持人员下方的<新增>按钮,完成参数的配置,单击<保存>按钮,即可新增技术支持人员信息。
○ 姓名:技术支持人员的姓名。
○ 电话:技术支持人员的电话号码。
○ 邮箱:技术支持人员的邮箱。
○ 操作:单击<编辑>按钮,可修改指定技术支持人员的信息。单击<删除>按钮或技术支持人员左上方的<删除>按钮,可删除指定的技术支持人员信息。
1. 选择“运营中心 > 应急指挥 > 资源管理”,选择进入安全专家页面。
2. 检索安全专家:支持按专家姓名、专家领域和单位名称对安全专家进行检索。
3. 新增安全专家:单击安全专家列表左上方的<新增>按钮,完成参数的配置,单击<确认>按钮,可以新增安全专家。
4. 编辑安全专家:单击指定安全专家操作列下的<编辑>按钮,完成参数的配置,单击<确认>按钮,可以编辑修改该安全专家的信息。
5. 删除安全专家:单击指定安全专家操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该安全专家;也可以选择一个或多个安全专家,单击安全专家列表左上方的<删除>按钮,可以删除选中的安全专家信息。
参数说明
· 专家姓名:安全专家的姓名。
· 单位名称:安全专家所属的单位名称。
· 职务:安全专家的职务。
· 电话:安全专家的电话。
· 邮箱:安全专家的邮箱。
· 专家领域:安全专家擅长的领域。
1. 选择“运营中心 > 应急指挥 > 资源管理”,选择进入预案管理页面。
2. 检索预案管理:支持按标题、任务类型和响应等级对预案管理进行检索。
3. 新增预案管理:单击预案管理列表左上方的<新增>按钮,完成参数的配置,单击<确认>按钮,可以新增预案管理。
4. 查看预案管理:单击指定预案管理操作列下的<详情>按钮,可以查看该预案管理的详细信息。
5. 新增应急任务:单击指定预案管理操作列下的<创建任务>按钮,完成参数的配置,单击<发布>按钮,可以新增并下发应急任务。
6. 删除预案管理:单击指定预案管理操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该预案管理;也可以选择一个或多个预案管理,单击预案管理列表左上方的<删除>按钮,可以删除选中的预案管理信息。
参数说明
· 标题:预案管理的标题。
· 类型:任务类型。
· 电话:预案管理的电话。
· 响应等级:预案管理的响应等级。
· 内容:预案管理的内容。
· 上传附件:单击<上传附件>按钮,可上传预案管理相关的附件。支持上传的文件格式为:rar,zip,docx,doc,pdf,上传文件大小不超过10M,文件数量不超过10个。
· 资源保障
○ 技术支撑单位:单击技术支撑单位列表左上方的<添加>按钮,可选择技术支撑单位或单击<新增>按钮,新增技术支撑单位。
○ 安全专家:单击安全专家列表左上方的<添加>按钮,可选择安全专家或单击<新增>按钮,新增安全专家。
注意事项
· 一级组织可创建应急处置任务下发给二级组织,但不能跨级下发给三级组织。二级组织可创建应急处置任务下发给三级组织,二级组织可接收一级组织下发的应急处置任务。三级组织只能处理应急处置任务。
该功能用于管理应急处置任务,包括应急任务统计信息和任务列表信息。
包括应急任务统计信息和任务列表信息。
1. 选择“运营中心 > 应急指挥 > 应急处置”,进入应急处置页面。
2. 检索应急处置:支持按处置编号、类型和响应等级等条件对应急处置任务进行检索。
3. 查看处置任务分析:单击<展开处置任务分析>按钮,可以查看应急处置分析详情,包括任务类型及任务状态的统计信息。单击<收起处置任务分析>按钮,可以折叠应急处置分析详情。
4. 新增应急任务:单击应急任务列表左上方的<新增>按钮,完成参数的配置,单击<确认>按钮,可以新增应急任务。
5. 查看应急任务详情:单击指定应急任务操作列下的<详情>按钮,可以查看该应急任务的详细信息。
6. 删除应急任务:单击指定应急任务操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该应急任务;也可以选择一个或多个应急任务,单击应急任务列表左上方的<删除>按钮,可以删除选中的应急任务信息。
7. 结束应急:选择一个或多个应急任务,单击应急任务列表左上方的<结束应急>按钮,可以结束选中的应急任务。
参数说明
○ 标题:应急任务的标题。
○ 类型:应急任务的类型。
○ 电话:应急任务的电话。
○ 响应等级:应急任务的响应等级。
○ 内容:应急任务的内容。
○ 上传附件:单击<上传附件>按钮,可上传应急任务相关的附件。支持上传的文件格式为:rar,zip,docx,doc,pdf,上传文件大小不超过10M,文件数量不超过10个。
○ 资源保障
§ 技术支撑单位:单击技术支撑单位列表左上方的<添加>按钮,可选择技术支撑单位或单击<新增>按钮,新增技术支撑单位。
§ 安全专家:单击安全专家列表左上方的<添加>按钮,可选择安全专家或单击<新增>按钮,新增安全专家。
○ 涉及组织:应急任务涉及的组织。
○ 处置期限:应急任务的处置期限。
○ 通知方式:应急任务的通知方式。
二级组织需要处置一级组织下发的任务,并且同时可以下发任务到三级组织。
已下发页签
1. 选择“运营中心 > 应急指挥 > 应急处置”,进入已下发页签。
2. 检索应急处置:支持按处置编号、类型和响应等级等条件对应急处置任务进行检索。
3. 查看处置任务分析:单击<展开处置任务分析>按钮,可以查看应急处置分析详情,包括任务类型及任务状态的统计信息。单击<收起处置任务分析>按钮,可以折叠应急处置分析详情。
4. 新增应急任务:单击应急任务列表左上方的<新增>按钮,完成参数的配置,单击<确认>按钮,可以新增应急任务。
5. 查看应急任务详情:单击指定应急任务操作列下的<详情>按钮,可以查看该应急任务的详细信息。
6. 删除应急任务:单击指定应急任务操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该应急任务;也可以选择一个或多个应急任务,单击应急任务列表左上方的<删除>按钮,可以删除选中的应急任务信息。
7. 结束应急:选择一个或多个应急任务,单击应急任务列表左上方的<结束应急>按钮,可以结束选中的应急任务。
待处置页签
1. 选择“运营中心 > 应急指挥 > 应急处置”,选择进入待处置页签。
2. 检索待处置的应急任务:支持按创建时间和响应等级对待处置的应急任务进行检索。
3. 查看待处置的应急任务详情:单击指定待处置的应急任务操作列下的<详情>按钮,可以查看该待处置的应急任务的详细信息,在处置过程和结果区域可进行处置结果的反馈,单击确认后,任务处置完成。
三级组织只能处理应急处置任务。
1. 选择“运营中心 > 应急指挥 > 应急处置”,选择应急处置页面。
2. 检索待处置的应急任务:支持按创建时间和响应等级对待处置的应急任务进行检索。
3. 查看待处置的应急任务详情:单击指定待处置的应急任务操作列下的<详情>按钮,可以查看该待处置的应急任务的详细信息,在处置过程和结果区域可进行处置结果的反馈,单击确认后,任务处置完成。
重保管理主要用于创建和管理重保任务,方便用户开展护网实战,并支持对护网实战进行归档,以供后期追溯,支持从多个维度(已失陷资产、安全告警、脆弱性列表和攻击者)对重保任务进行持续监测,在重要敏感时期为用户提供全方位的安全保障服务,可以预警和预防信息安全告警,及时发现、处置和报告信息安全告警,提供信息安全技术支持和服务等。
该功能用于管理重保任务,包括查看、新增、删除、重启和结束重保任务,以及对重保任务进行护网投屏。
1. 选择“运营中心 > 重保管理 > 重保任务”,进入重保任务管理页面。通过单击右上角
按钮或
按钮,可选择将重保任务以列表或图标的形式展现。
2. 单击重保任务列表左上角的<+新增>按钮,进入新增重保任务页面。
3. 配置新增重保对象的相关参数:
○ 配置任务名称及保障时间,单击资源百宝箱下方的<上传附件>按钮,上传重保任务的相关资料。
○ 新增重保对象:单击重保对象下方的<新增>按钮,配置新增类型,可在下拉框中选择区域、资产或IP网段,找到系统中存在的风险资产。
§ 新增区域:下拉选择区域,单击<新增>按钮可以新增区域,配置相关参数后,单击操作列下的<保存>按钮,完成新增区域,点击<确认>按钮后,此新建区域将会添加至重保对象列表中。
§ 删除区域:勾选一个或多个区域,单击区域列表左上方的<删除>按钮,或单击指定区域列表操作列下的<删除>按钮,可以删除所选区域。
§ 选择资产:下拉选择资产,单击<选择资产>按钮,跳转至资产列表页面,可以勾选一个或多个资产点击<保存>按钮后,所选资产将会添加至资产列表中。点击<确认>按钮后,所选资产将会添加至重保对象列表中。有关资产列表的详细介绍,请参见资产列表。
§ 删除资产:勾选一个或多个资产,单击资产列表左上方的<删除>按钮,或单击指定资产列表操作列下<删除>按钮,可以删除所选资产。
§ 新增网段:下拉选择IP网段,单击<新增>按钮,配置相关参数后,单击操作列下的<保存>按钮,IP网段新增成功,点击<确认>按钮后,此新建IP网段将会添加至重保对象列表中。
§ 删除网段:勾选一个或多个IP网段,单击IP网段列表左上方的<删除>按钮,或单击指定IP网段列表操作列下<删除>按钮,可以删除所选IP网段。
4. 删除重保对象,选择一个或多个重保对象,单击重保对象上方的<删除>按钮,或单击指定重保对象操作列下的<删除>按钮,可以删除所选重保对象。
5. 完成重保任务的配置后,单击<确认>按钮,重保任务创建成功。
新增重保任务参数说明
○ 任务名称:重保任务的名称。
○ 保障时间:重保任务的保障开始与结束时间。
○ 资源百宝箱:重保任务相关的资料,单击<上传附件>按钮,可以选择上传相关附件。
○ 重保对象:重保任务的保障对象。
○ 对象类型:重保对象的类型,取值包括区域、资产和IP网段。当重保对象配置区域、IP网段时,仅统计符合的资产数据,不统计终端数据。
○ 设为标靶:可以滑动按钮选择是否将重保对象设为标靶。
○ 操作:
§ 删除:点击此按钮可以删除重保对象。
新增重保对象参数说明
○ 新增类型:新增的重保对象的类型,包括区域、资产和IP网段。
○ 名称:所选资产、区域的名称。
○ IP类型:新增类型为网段时,需要配置IP类型,取值包括IPv4和IPv6。
○ 网段类型:选择IP地址的网段类型,取值包括IP地址范围和子网。
§ IP地址范围/子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度。
○ 设为标靶:可以滑动按钮选择是否将重保对象作为进行攻击演练的目标。
○ 操作:
§ 保存:保存新增的重保对象。
§ 取消:删除未保存的新增的重保对象。
§ 删除:删除已保存的新增的重保对象。
1. 选择“运营中心 > 重保管理 > 重保任务”,进入重保任务管理页面。通过单击右上角
按钮或
按钮,可选择将重保任务以列表或图标的形式展现。
2. 刷新重保任务:单击重保任务左上方<立即刷新>按钮将会立即刷新重保任务列表,单击自动刷新的下拉按钮设置刷新参数,系统会按照所选配置自动刷新重保任务列表。
3. 检索重保任务:支持按任务名称以精确或模糊方式检索重保任务信息,选择模糊方式,将默认展现所有重保任务信息。
4. 编辑重保任务:单击重保任务列表操作列下或图标左下角的<编辑>按钮,将进入编辑重保任务界面,可以编辑修改重保任务。
5. 查看重保任务详情:单击重保任务列表操作列下或图标左下角的<详情>按钮,可以查看重保任务详情,系统主要从已失陷资产、安全告警、脆弱性明细和攻击者多个维度分别展示重保任务详情:
○ 已失陷资产:用于查看、管理重保任务的已失陷资产。
○ 安全告警:用于查看、管理重保任务的安全告警。
○ 脆弱性明细:用于查看、管理重保任务的脆弱性风险明细。
○ 攻击者:用于查看、管理重保任务的攻击者。
6. 删除重保任务:选择一个或多个已归档的重保任务,单击重保任务列表左上方的<删除>按钮,可以删除选中的重保任务。
7. 重保任务护网投屏:单击重保任务列表操作列下的<护网投屏>按钮或图标右下角的<更多>按钮选择“护网投屏”,可以对重保任务进行投屏。投屏页面将展示距离重保任务开始/结束的倒计时、主标语及弹幕信息,单击右上角退出大屏模式,可以退回至重保任务界面。
8. 启动重保:单击处在护网备战状态的重保任务操作列下的<立即开始>按钮或图标右下角的<更多>按钮,选择“立即开始”,可以启动重保任务,启动后重保任务任务状态变为护网备战。
9. 结束重保:单击处在护网实战状态的重保任务操作列下的<结束重保>按钮或图标右下角的<更多>按钮,选择“结束重保”,可以对重保任务进行归档,归档后重保任务任务状态变为护网归档。
10. 重启重保:单击处在护网归档状态的重保任务操作列下的<重新启动>按钮或图标右下角的<更多>按钮,选择“重新启动”,将会进入新增重保任务页面,可以重新启动重保任务。关于新增重保任务的详细介绍,请参见“重保任务>新增重保任务操作步骤”。
11. 资源百宝箱:单击重保任务资源百宝箱列下的<资源百宝箱>按钮或图标右下角的<更多>按钮,选择“资源百宝箱”,可以在已上传页面查看或删除已上传的资料,其中,上传资料时,可以在上传资料页面通过点击<上传>按钮或拖拽文件至指定区域进行上传。
参数说明
· 保障时间:重保任务保障的开始和结束时间。
· 任务状态:重保任务的状态,包括护网备战、护网实战和护网归档三种状态。
· 创建人:重保任务的创建人。
· 创建时间:重保任务的创建时间。
· 资源百宝箱:重保任务相关的资料。
· 操作:根据不同的重保任务状态,分别支持如下操作:
○ 对于护网备战中的重保任务(即任务状态为护网备战、尚未启动的重保任务)可进行如下操作:
§ 编辑:点击此按钮可以进入编辑重保任务界面。
§ 护网投屏:点击此按钮可以跳转至护网大屏页面。
§ 立即开始:点击此按钮可以立即启动重保任务,重保任务进入护网实战状态。
○ 对于护网实战中的重保任务(即任务状态为护网实战的重保任务)可进行如下操作:
§ 详情:点击此按钮可以查看重保任务的详细信息。
§ 护网投屏:点击此按钮可以跳转至护网大屏页面,页面将会展示距离重保任务结束的倒计时、主标语以及弹幕等信息。
§ 结束重保:点击此按钮可以对重保任务进行归档。
○ 对于已结束的重保任务(即任务状态为护网归档的重保任务)可进行如下操作:
· 下载记录:点击此按钮可以下载重保任务详情列表,列表内容含已失陷资产、安全告警、漏洞风险、配置风险、弱口令、全部攻击队、疑似攻击队、标靶告警和已处理攻击队这9个页签。
· 重新启动:点击此按钮可以重启重保任务。
· 删除:点击此按钮可以删除重保任务。
1. 选择“运营中心 > 重保管理 > 重保任务”,进入重保任务管理页面。
2. 单击重保任务左上方<倒计时配置>按钮,进入倒计时配置页面。
3. 设置图标:在图标设置区域,单击<上传文件>按钮,可以上传护网投屏所用的图标,选择默认大小、锁定长宽比或填充方式展现图标。
4. 设置背景:在背景设置区域,单击<上传背景图>按钮,可以上传护网投屏所用的背景图,可以单击已有背景图下方的<使用该背景>按钮选择使用该背景图。
5. 设置标语弹幕:在标语弹幕区域,完成护网投屏所用的标语弹幕相关参数的配置。
6. 单击<确认>,按钮完成倒计时的配置。若单击<恢复默认>按钮,则所有参数恢复为默认值。
注意事项
· 资源百宝箱只支持上传rar、zip、docx、doc、pdf格式的文件。
· 倒计时配置中设置的背景图片对处于护网归档状态的重保任务无效。
· 最多允许新增两个非归档状态的重保任务。
· 下载重保任务记录文件中,每个页签最多支持导出前一万条数据。
该功能用于展示重保中心的公告详情。
1. 选择“运营中心 > 重保管理 > 公告栏”,进入公告栏配置页面。
2. 检索公告栏:支持按照多种查询条件对公告栏信息进行检索。其中,公告名称支持精确和模糊查询。
3. 新增公告栏:单击公告栏列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,可以新增公告。
4. 查看公告栏:单击指定公告栏操作列下的<详情>按钮,可以查看该公告详情。
5. 编辑公告栏:单击指定公告栏操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,可以编辑修改该公告。
6. 删除公告栏:单击指定公告栏操作列下的<删除>按钮,在删除提示框中,单击<删除>按钮,可以删除该公告;也可以选择一个或多个公告栏,单击公告栏列表左上方的<删除>按钮,可以删除选中的公告栏信息。
考核管理是对个人或组织在特定时间段内综合表现进行评估和评价的过程。通过使用多种不同的指标从多个方面对个人或组织进行全面的评估。其目的是确定个人或组织在工作中的优点和不足,为进一步的发展和改进提供指导和建议,进而帮助提升工作效率、优化资源分配、识别培训需求和提高组织绩效等方面。
该功能用于管理考核报告,支持查看、检索、下载等操作。
1. 选择“运营中心 > 考核管理 > 我的考核”,进入我的考核页面。
2. 查询我的考核报告:支持按照考核名称、模板名称和创建时间检索我的考核报告信息。其中,考核名称和模板名称支持模糊查询。
3. 查看考核报告详情:单击我的考核列表操作列下的<详情>按钮,可查看考核报告详情。
4. 下载考核报告详情表:勾选多个我的考核,单击列表左上方的<下载>按钮,可打包下载考核报告详情表。或在考核报告详情页面,单击<下载>按钮,可下载指定的考核报告详情表。
5. 转他人处理:勾选多个我的考核报告,单击列表左上方的<转他人处理>按钮,填写接收人姓名,可将考核批量转交给他人处理。单击列表操作列下的<转他人处理>按钮,填写接收人姓名,可将所选考核报告转交给他人处理。
参数说明
○ 考核名称:考核的名称。
○ 模板名称:模板的名称。
○ 报告类型:报告的类型,包括个人或组织。
○ 考核描述:考核的描述信息。
○ 创建时间:考核的创建时间。
○ 考核时间范围:考核的时间范围。
○ 发布人:考核的发布人。
○ 发布组织:发布人的所属组织级别。
○ 状态:考核的状态,包括未签收、未反馈、已反馈和已完成。若考核尚未签收则为“未签收”状态,若考核已签收则为“未反馈”状态,完成自评后则为“已反馈”状态,考核下发人主评完成后则为“已完成”状态。
○ 操作:
§ 签收:单击此按钮,可以完成考核报告的签收。
§ 转他人处理:单击此按钮,可以将考核报告转交给他人处理。
§ 自评:单击此按钮,可以进行考核报告的自评。
注意事项
○ 签收后的考核报告无法进行“转他人处理”操作。
○ 如果考核报告是个人考核,转他人处理对象,只能是非考核发布人。转发给发布人处理会失败并且有提示;如果考核报告是组织考核,转他人处理对象,为当前被考核人所在组织的其他顺位负责人以及下级组织的第一负责人。
○ 自评页面,如果指标的赋值方式是“系统赋值”,自评分由系统按照计算方式统计分值;如果指标的赋值方式是“人工填报”,自评分按照参考分赋值。
○ 考核报告文件最大下载数量限制为100个。
该功能用于根据设定的考核模板,包含个人或者组织的运营指标,创建定时/周期考核任务,下发对应的考核模板到个人/组织。
1. 选择“运营中心 > 考核管理 > 待我审批”,进入待我审批页面。
2. 查询待我审批的考核任务:支持按照考核名称、模板名称和创建时间检索待我审批的考核任务信息。其中,考核名称和模板名称支持模糊查询。
3. 新增考核任务:单击列表左上方的<新增>按钮,进入新增考核任务页面,配置相关参数后单击<确认>按钮完成考核任务的新增。新增的考核任务会在任务管理页面展示。
考核任务会根据任务周期定期或定时下发考核子任务,下发的任务在待我审批列表中查看,每个待我审批任务,会针对考核对象,下发对应的考核报告,点击进入详情页面可查看所有的考核报告,对考核报告进行评分操作。
4. 任务管理:单击列表左上方的<任务管理>按钮,进入任务管理页面,可进行考核任务的启用、停用和删除操作。
○ 启用考核任务:勾选多个考核任务,单击列表左上方的<启用>按钮,可批量启用考核任务。单击列表操作列下的<启用>按钮,可启用选中的考核任务。
○ 停用考核任务:勾选多个考核任务,单击列表左上方的<停用>按钮,可批量停用考核任务。单击列表操作列下的<停用>按钮,可停用选中的考核任务。
○ 删除考核任务:勾选多个考核任务,单击列表左上方的<删除>按钮,可批量删除考核任务。单击列表操作列下的<删除>按钮,可删除选中的考核任务。
5. 查看待我审批的考核任务:单击列表操作列下的<查看>按钮,可查看考核任务的详情。
6. 查看待我审批的考核任务详情:单击列表操作列下的<详情>按钮,可查看考核任务的详细信息(考核人员数、考核平均分、主评最低分、主评最高分等信息),且可查看所有考核对象的考核报告及其状态,支持按考核对象检索综合考核评分详情。当考核任务状态为已反馈时,发布人可以对该报告进行主评分。
7. 删除待我审批的考核任务:勾选多个考核任务,单击列表左上方的<删除>按钮,可批量删除考核任务。单击列表操作列下的<删除>按钮,可删除选中的考核任务。
参数说明
○ 考核名称:考核的名称。
○ 模板名称:模板的名称。
○ 考核描述:考核的描述。
○ 创建时间:考核的创建时间。
○ 考核时间范围:考核的时间范围。
○ 发布组织:考核的发布组织。
○ 发布人:考核的发布人。
○ 任务名称:考核任务的名称。
○ 任务类型:考核任务的类型,包括个人和组织。
○ 考核对象:考核的对象。当考核对象无可选对象时,需在“系统设置 > 系统配置 > 组织管理“进行配置(同步人员或新增组织),具体的配置步骤请参见组织管理。
○ 任务描述:考核任务的描述。
○ 任务周期:考核任务的执行周期。
○ 执行时间:考核任务的执行时间。
○ 超过期限:考核任务的超期时间。待我审批任务创建后,创建时间为开始时间,超过期限为结束时间,组成考核时间范围。
○ 考评结果通知:可选择关闭或开启,如开启,考核下发人主评完成后根据选择的方式通知考核处理人。如果选择开启,则需选择考评结果的通知方式,包括系统消息、短信和电子邮件,考核人需配置手机号码和邮箱地址,且服务器需要配置邮箱以及短信服务器,需在“系统设置 > 全局配置 > 通知设置“进行配置,具体的配置步骤请参见通知设置。
注意事项
○ 删除待我审批任务,会同时删除该任务相关联的所有我的考核数据。在删除待我审批任务前,请务必确认是否需要相关联的考核数据并谨慎操作。
○ 考核对象最多为100个。当考核对象为组织时,由组织的第一负责人接受考核报告;当考核对象为个人时,只会下发给有“考核管理”权限的个人。
○ 若任务周期执行时间设置为每月31号,默认每月最后一天执行,即大月31号执行,小月30号执行,平月28/29号执行。如果设置29、30号,那么2月份将不会执行。
○ 定时执行时,若选择的执行时间小于等于当前时间,则直接创建待我审批任务。
○ 考核任务的上限为1024个。周期性的考核任务,最多只能同时启用30个。
○ 系统会定时清理一年前的待我审批任务和考核报告及已完成超过24小时的考核任务。
该功能用于创建、管理考核模板。包含自定义常规的运营指标及打分逻辑,并支持添加和引用自定义指标。
1. 选择“运营中心 > 考核管理 > 考核模板”,进入考核模板页面。
2. 查询考核模板:支持按照模板名称、创建时间检索考核模板。其中,模板名称支持模糊查询。
3. 新增考核模板:单击考核模板列表左上方的<新增>按钮,进入新增考核模板页面,配置相关参数后单击<确认>按钮完成考核模板的新增。
4. 查看考核模板:单击考核模板列表操作列下的<详情>按钮,可查看该考核模板的详情。
5. 编辑考核模板:单击考核模板列表操作列下的<编辑>按钮,可修改该考核模板的配置参数。
6. 复制考核模板:单击考核模板列表操作列下的<复制>按钮,可快速创建与之相似的考核模板。
7. 删除考核模板:勾选多个考核模板,单击考核模板列表左上方的<删除>按钮,可批量删除考核模板。单击考核模板列表操作列下的<删除>按钮,可删除选中的考核模板。
参数说明
○ 模板名称:考核模板的名称。
○ 描述:考核模板的描述,通过合理编写描述信息,便于快速理解和识别该模板。
○ 分类:考核模板的分类。
○ 创建人:考核模板的创建人。
○ 创建时间:考核模板的创建时间。
○ 更新人:更新考核模板的人。
○ 更新时间:考核模板的更新时间。
○ 指标选择:下拉选择个人或组织。
○ 新增指标:单击此按钮,配置相关参数,可以创建新的指标。
§ 上级指标:父指标,下拉选择上级指标,如运营类、资产类、处置类、风险类、审核类。
§ 指标名称:引用的指标的名称。
§ 指标内容:解释指标的具体含义。
§ 计算方式:指标考核时的计算逻辑。
§ 参考分数:指标考核时最大的赋值分数。
§ 排序:指标在同级指标中的显示的排序,同层次指标排序,数值越大排序越靠后。
§ 赋值方式:存在人工填报和系统自动两种方式。系统自动为系统自动打分,无需人工参与;人工填报是评分时需要人工打分。
○ 恢复默认:单击此按钮,将恢复为预定义的指标,
○ 树状视图/表格视图:指标支持以表格视图或树状视图展示,表格视图下支持编辑或删除指标操作。树状视图下支持新增、编辑、删除指标操作。
注意事项
○ 一个用户模板数量限制为100个。
○ 每个模板里的二级指标限制50个。
○ 删除考核模板会删除该考核模板关联的待我审批和我的考核所有数据,不可恢复。在删除考核模板前,请务必确认是否需要关联的待我审批和我的考核数据并谨慎操作。
等保管理是指在信息系统和网络安全中,根据国家或组织的相关标准和要求,对信息系统进行全面监控和管理,以保护系统的可用性、机密性和完整性,防止未经授权的访问、恶意攻击和数据泄露等安全威胁。等保管理涉及信息系统的定级备案、测评、建设与整改、监督检查等方面,旨在提高信息系统的安全性和稳定性,保护重要信息资产的安全。
该功能主要用于展示等保概览信息。
1. 选择“运营中心 > 等保管理 > 等保概览”,进入等保概览页面。
2. 支持按统计周期条件检索并查看等保概览信息,包括:
○ 信息系统的定级、备案、测评及监督检查的统计信息:展示了系统定级、系统备案、系统测评、定级已审批、定级未审批、备案已审批、备案未审批的数量及其今日新增数量、监督检查的数量及其待下发数量。
○ 测评组织名称分布统计:展示了各个测评组织的名称、已测评系统的数量及系统测评报告结果的分布情况。
○ 系统行业分布统计:展示了信息系统所属单位的行业分布情况。
○ 系统定级分布:展示了信息系统定级的分布情况、定级已审批和定级未审批的分布情况。
○ 系统整改统计:展示了信息系统整改完成和整改未完成的分布情况。
○ 系统发证统计:展示了信息系统的安全保护等级备案证明已发证和未发证的分布情况。
○ 系统测评统计:展示了不同保护等级的信息系统的分布情况及其测评报告结果的分布情况。
○ 检查任务趋势图:展示了信息系统的监督检查任务的分布情况。
该功能用于管理信息系统安全保护等级信息,包括查看、新增、编辑、删除和导出等功能。
1. 选择“运营中心 > 等保管理 > 定级管理”,进入定级管理页面。
2. 检索定级信息:支持按照组织名称、系统名称、系统编号、等保级别、定级状态和主管部门审批情况对系统定级信息进行检索。其中,组织名称、系统名称和系统编号支持精确和模糊查询。
3. 新增定级信息:单击系统定级信息列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增定级信息。
4. 查看定级信息:单击指定系统定级信息操作列下的<详情>按钮,即可查看该定级信息的详细内容。
5. 编辑定级信息:单击指定系统定级信息操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,即可编辑修改该定级信息。
6. 删除定级信息:单击指定系统定级信息操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该定级信息;也可以选择一个或多个定级信息,单击系统定级信息列表左上方的<删除>按钮,即可删除选中的定级信息。
7. 导出定级信息列表:单击指定系统定级信息列表左上方的<导出>按钮,即可导出定级信息列表。
· 组织名称:信息系统所属的组织名称。若无可选组织机构,请到系统设置-组织管理-组织机构中新增组织机构,并在资产中心-业务系统添加业务系统。
· 系统名称:信息系统的名称。同一系统不可重复添加,若无可选业务系统,请到资产中心-业务系统添加业务系统。
· 系统编号:系统编号由公安机关颁发,用于标识和区分不同信息系统。
· 系统定损定级:根据信息系统损害客体及损害程度的级别进而确定业务信息安全保护等级与系统服务安全保护等级。
· 等保级别:等保级别由业务信息安全保护等级/系统服务安全保护等级选择的最高级别决定。
· 定级日期:信息系统定级的时间。
· 主管部门名称:指对备案组织信息系统负领导责任的行政或业务主管组织或部门。
· 主管部门审批情况:主管部门是否对定级报告进行了审批。首先,信息系统所属机构对信息系统进行初步定级,然后将定级报告提交给主管部门进行审核,主管部门对定级报告进行详细审查,以确认定级结果的合理性和合法性。
· 专家审批情况:专家是否对定级报告进行了审批。信息系统所属机构将定级报告提交给第三方专家进行评审。专家将对定级报告进行专业评估,以确定信息系统的安全等级。
· 系统定级报告:单击<上传文件>按钮,选择对应的定级报告,即可完成系统定级报告的上传。
· 填报日期:信息系统定级信息的填报时间。
· 定级信息被等保管理其他模块引用时不可删除。
· 最多支持新增100000条定级信息。
· 新增定级信息之前,需要在资产中心-业务系统中配置对应的系统信息。
· 删除定级信息后所填写的内容会一并删除,并且不可恢复,请谨慎操作。
该功能用于管理信息系统的备案信息,包括查看、新增、编辑、删除和导出等功能。
1. 选择“运营中心 > 等保管理 > 备案管理”,进入备案管理页面。
2. 检索备案信息:支持按照备案编号、组织名称、等保级别和备案状态等查询条件对系统备案信息进行检索。其中,备案编号和组织名称支持精确和模糊查询。
3. 新增备案信息:单击系统备案信息列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增备案信息。
4. 查看备案信息:单击指定系统备案信息操作列下的<详情>按钮,即可查看该备案信息的详细内容。
5. 编辑备案信息:单击指定系统备案信息操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,即可编辑修改该备案信息。
6. 删除备案信息:单击指定系统备案信息操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该备案信息;也可以选择一个或多个备案信息,单击系统备案信息列表左上方的<删除>按钮,即可删除选中的备案信息。
7. 导出备案信息列表:单击指定系统备案信息列表左上方的<导出>按钮,即可导出备案信息列表。
信息系统信息-基本信息
○ 组织名称:信息系统所属的组织名称。若无可选组织机构,请到系统设置-组织管理-组织机构中新增组织机构,并在资产中心-业务系统添加业务系统。
○ 系统名称:信息系统的名称。同一系统不可重复添加,若无可选业务系统,请到资产中心-业务系统添加业务系统。
○ 系统编号:系统编号由公安机关颁发,用于标识和区分不同信息系统。
○ 备案编号:信息系统的备案编号。
○ 测评组织名称:测评信息系统的组织名称。
○ 系统是否分级:信息系统是否为分级系统。
○ 何时投入运行使用:指信息系统投入运行使用的时间。
○ 备案日期:信息系统备案的日期。
○ 受理组织:受理信息系统备案的组织名称。
○ 受理日期:信息系统备案受理的日期。
○ 备案状态:信息系统的备案状态。
○ 发证状态:信息系统的发证状态。
○ 备案证明:单击<上传文件>按钮,选择对应的备案证明,即可完成系统备案证明的上传。
信息系统信息-系统业务承载状态
○ 业务类型:信息系统业务所属类型。
○ 业务描述:信息系统的业务内容描述。
信息系统信息-系统服务情况
○ 服务范围:信息系统的服务范围。
○ 服务对象:信息系统的服务对象。
信息系统信息-系统网络平台
○ 覆盖范围:系统网络平台的服务范围。
○ 网络性质:系统网络平台的网络性质。
○ 系统互联情况:信息系统的互联情况。
信息系统信息-关键产品使用情况
配置信息系统所使用的关键产品信息,包括安全专用产品、网络产品、操作系统、数据库、服务器和其他产品的数量及使用国产品率。
信息系统信息-系统采用服务情况
配置信息系统所用的服务信息,包括等级测评、风险评估、灾难修复、应急响应、系统集成、安全咨询、安全培训和其他服务的采用情况及服务责任方所属类型。
附件信息
单击<上传文件>按钮,上传信息系统的系统拓扑结构及说明、系统安全组织机构及管理制度、系统安全保护设施设计实施方案或改建实施方案、系统使用的安全产品清单及认证及销售许可证明、系统等级测评报告、专家评审情况、上级主管部门审批意见、其他附件。
网站信息-基本信息
○ 网站中文名称:网站的中文名称。
○ IP地址:网站的IP地址。
○ 网址:网站的地址。
○ 国际联网备案号:由各地方互联网信息办公室或互联网信息服务管理机构颁发的备案号。
○ 工信部ICP备案号:中华人民共和国工业和信息化部颁发的互联网内容提供者备案号。
○ 网站负责组织所在地:网站的负责组织所在地。
网站信息-负责组织
○ 组织名称:网站的组织名称。
○ 负责人及职务:网站负责人名称及其职务。
○ 联系电话:网站的联系电话。
网站信息-运营组织
○ 组织名称:运营网站的组织名称。
○ 负责人及职务:网站的安全负责人名称及其职务。
○ 联系电话:网站运营组织的联系电话。
· 最多支持新增100000条备案信息。
· 新增备案信息的系统名称是从定级管理中获取的,故新增系统备案信息前,需要先在定级管理中配置对应系统信息。
该功能用于管理信息系统的建设整改信息,包括查看、新增、编辑和删除等功能。
1. 选择“运营中心 > 等保管理 > 建设整改管理”,进入建设整改管理页面。
2. 检索建设整改信息:支持按照项目名称、组织名称、负责人和系统名称等查询条件对建设整改信息进行检索。其中,项目名称、组织名称、负责人和系统名称支持精确和模糊查询。
3. 新增建设整改信息:单击建设整改信息列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增建设整改信息。
4. 查看建设整改信息:单击指定建设整改信息操作列下的<详情>按钮,即可查看该建设整改信息的详细内容。
5. 编辑建设整改信息:单击指定建设整改信息操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,即可编辑修改该建设整改信息。
6. 删除建设整改信息:单击指定建设整改信息操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该建设整改信息;也可以选择一个或多个建设整改信息,单击建设整改信息列表左上方的<删除>按钮,即可删除选中的建设整改信息。
建设整改信息-基本信息
○ 项目名称:建设整改的项目名称。
○ 业务描述:信息系统的业务。
○ 计划开始日期:信息系统整改建设的计划开始时间。
○ 计划结束日期:信息系统整改建设的计划结束时间。
○ 负责人:信息系统整改建设的负责人。
○ 整改进度:信息系统的整改进度。
建设整改信息-信息系统
○ 系统名称:整改建设的信息系统名称。
○ 组织名称:信息系统所属组织名称。
○ 系统编号:信息系统的编号。
○ 系统名称:整改建设的信息系统名称。
○ 等保级别:信息系统的等级保护级别。
○ 定级日期:信息系统的定级日期。
建设整改信息-参与人
○ 姓名:建设整改的参与人。
○ 所属组织:建设整改参与人所属的组织名称。
○ 邮箱:建设整改参与人的邮箱。
○ 联系电话:建设整改参与人的联系电话。
建设整改信息-建设整改方案
○ 现状分析:指对信息系统进行等级保护测评后,根据测评结果对系统的安全现状进行分析和评估。
○ 安全管理方面分析:是指对信息系统在安全管理方面进行综合评估和分析。
○ 安全技术方面分析:是指对信息系统在安全技术方面的综合评估和分析。
○ 整改方案:是指在进行等保测评后,针对测评中发现的安全风险、问题和不符合要求的情况,制定的一套具体的改进措施和方案。整改方案的目的是帮助组织解决存在的安全问题,并确保信息系统能够符合等保要求。单击<上传文件>按钮,可以上传整改方案。
○ 其他附件:信息系统建设整改方案的相关附件。单击<上传文件>按钮,可以上传其他附件。
建设整改信息-建设整改结果
○ 结果描述:建设整改的结果描述。
○ 结项方案:建设整改的结项方案。
○ 其他附件:信息系统建设整改结果的相关附件。单击<上传文件>按钮,可以上传其他附件。
项目计划:配置信息系统整改建设过程中不同计划类别的计划时间和计划描述:
○ 现状分析:信息系统现状的分析描述。
○ 整改方案:针对信息系统现状作出的整改方案。
○ 方案审批:针对整改方案进行审批。
○ 预算:整改的预算。
○ 整改实施:信息系统整改实施的过程。
○ 监理:整改信息系统的监理过程。
○ 整改结果:信息系统的整改结果。
○ 结果审批:信息系统的整改结果的审批。
· 最多支持新增100000条建设整改信息。
该功能用于管理信息系统的等保测评信息,包括查看、新增、编辑和删除等功能。
1. 选择“运营中心 > 等保管理 > 测评管理”,进入测评管理页面。
2. 检索测评信息:支持按照项目名称、组织名称、测评组织名称和系统名称等查询条件对测评信息进行检索。其中,项目名称、组织名称、测评组织名称和系统名称支持精确和模糊查询。
3. 新增测评信息:单击测评信息列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增测评信息。
4. 查看测评信息:单击指定测评信息操作列下的<详情>按钮,即可查看该测评信息的详细内容。
5. 编辑测评信息:单击指定测评信息操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,即可编辑修改该测评信息。
6. 删除测评信息:单击指定测评信息操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该测评信息;也可以选择一个或多个测评信息,单击测评信息列表左上方的<删除>按钮,即可删除选中的测评信息。
基本信息
○ 项目名称:测评的项目名称。
○ 测评组织名称:测评信息系统的组织名称。
○ 年度:信息系统测评的年度。
○ 开始日期:信息系统测评的开始日期。
○ 结束日期:信息系统测评的结束日期。。
○ 负责人:测评信息系统的负责人。
○ 测评描述:对信息系统的物理环境、网络环境、主机环境、应用安全及数据安全等方面进行评估和描述。
信息系统
○ 系统名称:测评的信息系统名称。
○ 组织名称:信息系统所属组织名称。
○ 系统编号:信息系统的编号。
○ 系统名称:测评的信息系统名称。
○ 等保级别:信息系统的等级保护级别。
○ 定级日期:信息系统的定级日期。
参与人
○ 姓名:测评信息系统的参与人。
○ 所属组织:测评信息系统参与人所属的组织名称。
○ 邮箱:测评参与人的邮箱。
○ 联系电话:测评参与人的联系电话。
测评方案
○ 方案描述:制定用于进行等保测评的详细方案和说明。该方案描述了测评的目标、范围、方法、流程、指标以及结果评定等内容,以确保测评的准确性和一致性。
○ 整改方案:是指在进行等保测评后,针对测评中发现的安全风险、问题和不符合要求的情况,制定的一套具体的改进措施和方案。整改方案的目的是帮助组织解决存在的安全问题,并确保信息系统能够符合等保要求。单击<上传文件>按钮,可以上传整改方案。
○ 测评模板:信息系统的测评模板。若没有模板数据,请前往"运营中心-等保管理-等保模板库"中添加模板并启用。
○ 系统资产:单击<跳转至业务系统页面>按钮,进入资产中心-业务系统页面。可查看业务系统的详细信息。
○ 资产管理IP:信息系统关联资产的管理IP。
○ 选择模板:测评选择的模板。
测评结果
○ 测评结论:测评的结论。
○ 测评得分:测评的得分。
○ 报告编号:测评报告的编号。
○ 结论描述:包括对系统符合等保要求程度的总体评价、存在的安全风险和问题、整改建议等内容。
○ 测评报告:单击<上传文件>按钮,可以上传信息系统的测评报告。
· 最多支持新增100000条测评信息。
· 新增编辑测评信息的系统名称是从定级管理中获取。各租户相互隔离,只能选择当前租户下已定级的系统。
该功能用于根据设定的等保模板,创建、发布对应的检查到下级组织。根据上级组织发布的检查,进行签收、填报。
1. 选择“运营中心 > 等保管理 > 监督检查”,进入监督检查“我发起的”的页面。
2. 检索监督检查信息:支持按照检查名称、检查模板、发布状态和创建时间对监督检查进行检索。其中,检查名称和检查模板支持精确和模糊查询。
3. 新增并发布监督检查信息:单击建设监督检查列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增监督检查信息,单击指定监督检查操作列下的<发布>按钮,即可发布对应的监督检查至下级组织。
4. 查看监督检查信息:单击状态为已发布的监督检查操作列下的<详情>按钮,即可查看该监督检查信息的详细内容。
5. 包括监督检查处置组织的处置状态、是否逾期等详细情况。支持按处置组织、处置时间处置状态检索监督检查的处置信息。
6. 单击处置列表的<详情>按钮。即可查看监督检查的填报情况,包括安全物理环境、安全运维管理、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员和安全建设管理各个指标项的完成情况,包括符合、不符合、基本符合和不适用。
7. 删除监督检查信息:单击指定监督检查信息操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该监督检查信息;也可以选择一个或多个监督检查信息,单击建设整改信息列表左上方的<删除>按钮,即可删除选中的监督检查信息。
8. 签收并填报监督检查信息:选择进入监督检查“我接收的”页面,点击列表操作列的<签收>按钮后,任务状态变为已签收。同时操作栏出现填报按钮,点击<填报>按钮,弹出监督检查填报页面,填写简单指标的任务说明及完成情况,点击确认后列表中监督检查状态变为已填报。
· 创建时间:监督检查的创建时间。
· 检查名称:监督检查的名称。
· 检查模板:监督检查的模板。引用已经预定义并启用的检查模版。
· 发布人:监督检查的发布人。
· 创建人:监督检查的创建人。
· 发布组织:监督检查的发布人所属组织。
· 发布状态:监督检查的发布状态。
· 检查说明:指在等保测评过程中,对信息系统安全性进行监督检查的详细说明。
· 涉及组织:监督检查涉及的所有下级组织的名称。
· 反馈期限:监督检查发布的下级组织填报的反馈时间范围。
· 通知方式:监督检查的通知方式,包括系统消息、短信和电子邮件。需要先在'系统设置-组织管理-人员管理'中给涉及组织的第一负责人配置电话和邮箱。
· 无组织用户没有监督检查的权限。
· 一级组织用户有“我发起的”页面展示,二级组织用户有“我发起的”和“我接收的”页面展示,三级组织用户有“我接收的”页面展示。
· 新增监督检查时涉及的组织最多100个。
· 已新增的监督检查任务,只有创建人和其所属组织的一级负责人有删除和发布权限。待接收的监督检查任务只有签收用户和其所属组织一级负责人有填报权限。
该功能用于自定义常规的内置指标及打分逻辑。支持添加和引用自定义指标。
1. 选择“运营中心 > 等保管理 > 等保模板库”,进入等保模板库页面。
2. 检索等保模板:支持按照模板名称、创建时间、启用状态、创建人和创建组织对等保模板进行检索。其中,模板名称、创建人和创建组织支持精确和模糊查询。
3. 新增等保模板:单击等保模板列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,即可新增等保模板。新增等保模板页面,支持查看指标库、新增指标、编辑或删除指标项。
4. 复制等保模板:单击等保模板操作列下的<复制>按钮,完成参数的配置后单击<确认>按钮,即可快速创建与指定模板相似的等保模板。
5. 查看指标库:支持以树状视图或表格视图展示指标库。
6. 新增指标:单击<新增指标>按钮或树状视图指定指标的<+>按钮,进入新增指标页面,完成参数的配置后单击<确认>按钮,即可新增指标。
7. 编辑指标项:单击<编辑>按钮或图标,进入编辑指标页面,可编辑修改指标的权重及排序。
8. 删除指标项:单击<删除>按钮或图标,可删除指定指标项。
9. 查看等保模板:单击等保模板操作列下的<详情>按钮,即可查看该等保模板的详细内容。
10. 删除等保模板:单击指定等保模板操作列下的<删除>按钮,在删除提示框中,单击<确认>按钮,可以删除该等保模板;也可以选择一个或多个等保模板,单击等保模板列表左上方的<删除>按钮,即可删除选中的等保模板。
· 模板名称:等保模板的名称。
· 描述:等保模板的描述。
· 指标库的选择:下拉选择指标库。单击指定指标库右方的<恢复默认>按钮,可以将该指标库恢复为默认的排序和权重。
· 恢复默认:单击<恢复默认>按钮,可以将该指标库恢复为默认的排序和权重。
· 上级指标:父指标,指定指标项所属的安全类或层面、安全控制点。
· 指标名称:指定指标项的名称。
· 指标内容:描述指标项的具体内容。
· 预期结果:描述指标项的测评预期结果。
· 风险提示:描述根据该指标可能会出现的情况的风险等级。
· 整改建议:描述不符合该指标项的单位及个人的整改建议。
· 说明:指标项的简单说明。
· 指标类型:新增指标的类型,包括指标项和层级指标两种类型。
· 权重:显示该其他模块引用模版时指标计算的权重。
· 排序:显示该指标在同级指标中的显示的排序。同层级指标排序,数值越大排序越靠后。
· 等保类型SAG:S为业务信息安全对应的等级、A为系统服务保障对应的等级、G为通用安全保护的等级。
· 只有在用户已加入组织的情况下才能新增等保模版。
· 同一租户下模版列表视角相同。
· 同一组织的模板数量限制为100个,每个模板里的简单指标限制为500个。
· 新增的模板默认为停用状态,只有状态为启用的指标才可被引用。
· 启用的模版不可编辑删除,被其他模块引用的模板不可停用。
· 已新增的等保模版,只有创建人和创建人所属组织的一级负责人具有删除和修改权限。如创建人其所属组织变动,只有原组织的一级负责人具有删除和修改权限。
攻防演练包括档案管理和演练管理。主要用于管理攻防演练的档案、演练任务信息。
档案管理包括人员管理、团队管理、靶标管理和评分规则管理。主要用于管理攻防演练中的人员、团队、靶标和评分规则等信息。
· 人员管理
· 团队管理
· 靶标管理
· 评分规则管理
主要用于管理攻防演练中的人员信息。
操作步骤
1. 选择“运营中心 > 攻防演练 > 档案管理”,进入人员管理页面。
2. 查询人员信息:支持按照用户名和角色检索人员信息。其中,用户名支持模糊查询。
3. 新增用户:单击人员列表左上方的<新增>按钮,进入新增用户页面,配置相关参数后单击<确认>按钮完成用户的新增。
4. 编辑用户:单击人员列表操作列下的<编辑>按钮,可修改该人员的配置参数。
5. 删除用户:单击人员列表操作列下的<删除>按钮,可删除指定用户。选择多个用户,单击人员列表左上方的<删除>按钮,可删除多个用户。
6. 同步系统数据:单击人员列表左上方的<同步系统数据>按钮,进入同步平台用户页面,勾选需要同步的账号,单击<确认>按钮,可从系统设置 > 系统配置 > 权限管理 > 用户管理中同步管理员账号和攻防演练角色账号。
7. 封号:单击人员列表操作列下的<封号>按钮,可将指定用户账号封号使其锁定无法登录。选择多个用户,单击人员列表左上方的<封号>按钮,可将多个用户账号封号使其锁定无法登录。
8. 解封:单击人员列表操作列下的<解封>按钮,可将指定用户账号解封。选择多个用户,单击人员列表左上方的<解封>按钮,可将多个用户账号解封。
9. 导入:下拉人员列表左上方的<导入>按钮,首先选择下载人员导入模板,完成表格的填写后,选择导入进入导入Excel文件页面,点击上传或拖拽文件到指定区域可完成人员的导入。选择操作结果可查看最近一次的导入结果详情。
10. 导出:勾选指定用户或查询指定用户,单击人员列表左上方的<导出>按钮,可将指定用户信息导出。
参数说明
○ 用户名:用户的名称。
○ 用户全称:用户的全称。
○ 密码:设置用户登录的密码。
○ 角色:下拉选择用户角色,包括管理员、攻击方、防守方、裁判和观众。
○ 手机号码:用户的手机号码。
○ 所属团队:用户所属的团队。
○ 登录状态:用户账号的登录状态,包括正常和锁定状态。
○ 创建时间:用户账号的创建时间。
注意事项
○ 添加攻防演练角色账号时,管理员的登录状态默认为正常且不可更改,其他角色的登录状态默认锁定但支持更改。
○ 直接在系统设置 > 系统配置 > 权限管理 > 用户管理页面中添加攻防演练账号和管理员账号,不会在人员管理页面中显示。需要在人员管理中同步系统数据。
○ 人员管理中新增的账户也会同步至权限管理,如果删除,则权限管理的也会同步删除。在权限管理新增的人员需要同步才会在人员管理呈现,如果在人员管理中删除同步过来的人员,则权限管理的该人员不会被删除。
○ 人员管理中的用户账号数量受限于用户管理规格,用户管理规格为500个。
主要用于管理攻防演练中的团队信息(包括攻击方和防守方团队),为攻防演练提供前置资源。
操作步骤
1. 选择“运营中心 > 攻防演练 > 档案管理”,选择进入团队管理页面。
2. 新增团队:单击页面左上方的<新增>按钮,进入新增团队页面,配置相关参数后单击<确认>按钮完成团队的新增。
3. 编辑团队:单击团队卡片右下方的<编辑>按钮,可修改该团队的配置参数。
4. 删除团队:单击团队卡片右下方的<删除>按钮,可删除指定团队。选择多个团队,单击页面左上方的<删除>按钮,可删除多个团队。
参数说明
· 团队名称:团队的名称。
· 团队logo:单击<点击上传图片>按钮,选择上传团队logo图片。
· 团队角色:团队的角色,包括攻击方和防守方。
· 出口路由/出口IP:试验场景的拓扑结构中,每个队伍有统一的路由出口时可配置其出口的设备和IP信息,适用于内打内CTF、内打外护网的场景。
· 团队成员:通过快速搜索添加团队成员。
· 设置队长:设置团队的队长。
· 队长联系方式:队长的联系方式。
· 地理位置:团队所属的地理位置。
· 行业类型:团队所属的行业类型。
注意事项
· 新增团队时,设置的团队成员是从人员管理中查询并添加,而不是从系统设置 > 系统配置 > 权限管理 > 用户管理中查询。
· 团队成员数量限制为10人,且一个成员只能加入一个团队,不能加入多个团队。
· 攻击团队被演练任务引用后不可删除;防守团队被靶标引用后不可删除。
主要用于管理攻防演练中的靶标信息。
操作步骤
1. 选择“运营中心 > 攻防演练 > 档案管理”,选择进入靶标管理页面。
2. 新增靶标:单击靶标列表左上方的<新增>按钮,进入新增靶标页面,配置相关参数后单击<确认>按钮完成靶标的新增。
3. 编辑靶标:单击靶标列表操作列下的<编辑>按钮,可修改该靶标的配置参数。
4. 删除团队:单击靶标列表操作列下的<删除>按钮,可删除指定靶标。选择多个靶标,单击团队列表左上方的<删除>按钮,可删除多个靶标。
5. 登录:单击靶标列表操作列下的<登录>按钮,可登录指定的靶标。
参数说明
· 防守组织:下拉选择防守组织。
· 系统名称:系统的名称。
· IP地址:系统的IP地址。
· 端口:系统的端口。
· URL:系统的URL地址。
注意事项
· 每个靶标配置一个团队,且每个团队只能加入一个靶标,不能加入多个靶标。
主要用于管理攻防演练中的评分规则信息,为裁判提供打分依据。
操作步骤
1. 选择“运营中心 > 攻防演练 > 档案管理”,选择进入评分规则管理页面。
2. 新增评分规则:单击评分规则列表左上方的<新增>按钮,进入新增评分规则页面,配置相关参数后单击<保存>按钮完成评分规则的新增。
3. 查看评分规则详情:单击评分规则列表操作列下的<详情>按钮,进入评分规则详情页面,可查看评分规则的详细信息。
4. 编辑评分规则:单击评分规则列表操作列下的<编辑>按钮,可修改该评分规则的配置参数。
5. 删除评分规则:单击评分规则列表操作列下的<删除>按钮,可删除指定评分规则。选择多个评分规则,单击评分规则列表左上方的<删除>按钮,可删除多个评分规则。
6. 启用评分规则:单击评分规则列表状态列下的
按钮,可启用指定评分规则。
7. 停用评分规则:单击评分规则列表状态列下的按钮,可停用指定评分规则。
参数说明
· 规则名称:规则的名称。
· 评分模板:评分的模板,“2022HW评分标准模板”内置为默认模版,用户可以在默认模版上增删改,形成自己的评分规则。
· 防守蓝方评分规则/攻击红方评分规则:选择防守蓝方评分规则/攻击红方评分规则可分别设置防守蓝方评分规则和攻击红方评分规则。
· 评分说明:评分规则的说明信息。
· 评分规则:单击评分规则右后方的<表格视图>按钮或<树状视图>按钮可将评分规则以表格或树状的形式展示。单击评分规则右方的<恢复默认>按钮,评分规则将恢复为默认规则,自定义新增的规则项将被删除。
○
新增规则项:表格视图下单击评分规则右后方的<新增规则项>按钮,或树状视图下单击指定评分规则右后方的按钮,可新增评分规则的规则项。
§ 上级指标:下拉选择规则项的上级指标。
§ 指标名称:指标的名称。
§ 赋值规则:赋值的规则。
§ 备注:规则项的备注信息。
§ 指标类型:指标的类型,包括层级指标和简单指标。
§ 排序:显示该指标在同级指标中的显示的排序。同层次指标排序,数值越大排序越靠后。
○
编辑规则项:表格视图下单击评分规则操作列下的<编辑>按钮,或树状视图下单击指定评分规则右后方的按钮,可修改已有规则项的配置信息。
○
删除规则项:表格视图下单击评分规则操作列下的<删除>按钮,或树状视图下单击指定评分规则右后方的按钮,可删除已有的规则项。
注意事项
· 启用状态的评分规则不可编辑、不可删除。
· 评分规则开启后,支持攻防演练任务的引用。当规则被演练任务引用时,不可停用。
· 评分规则数量限制为500个。
主要用于管理考演练任务,包括新增、编辑、删除演练任务等。
操作步骤
1. 选择“运营中心 > 攻防演练 > 演练管理”,进入演练管理页面。
2. 查看演练任务:单击页面右上方的<全部演练>或<演练前>或<演练中>或<演练后>按钮,可查看全部演练任务或不同演练状态的演练任务。
3. 新增演练任务:单击演练任务左上方的<新增>按钮,进入新增任务页面,配置相关参数后单击<确认>按钮完成演练任务的新增。
4. 编辑演练任务:单击演练任务右下方的<编辑>按钮,可修改该演练任务的配置参数。
5. 删除演练任务:单击演练任务右下方的<删除>按钮,可删除指定演练任务。选择多个演练任务,单击演练任务左上方的<删除>按钮,可删除多个演练任务。
不同状态的演练任务支持的操作
演练任务的状态包括演练前、演练中和演练后,不同状态的演练任务所支持的操作不同:
○ 演练前任务:单击演练任务右下方的<演练前设置>按钮,进入演练前设置界面。页面提供演练前的靶标配置、团队信息、演练评分规则,页面左上方展示了距离演习开始的剩余时间。单击右上方的<立即开始>按钮,演练任务状态变成演练中,登录状态下,演练任务下的所有攻防角色用户全都置为正常状态。
§ 配置靶标信息:选择进入靶标信息页签,单击靶标操作列下的<攻防配置>按钮,可修改该靶标的攻击组织。单击靶标操作列下的<登录>按钮,跳转至页面,输入靶标里配置的登录地址。单击靶标操作列下的<移除>按钮或靶标左上方的<移除>按钮,可移除指定靶标。关于靶标更详细的介绍请参见靶标管理。
§ 查看团队信息:选择进入团队信息页签,可查看演练任务的防守方和攻击方信息。关于团队更详细的介绍请参见团队管理。
§ 查看演练评分规则:选择进入演练评分规则页签,可分别查看防守蓝方评分规则和攻击红方评分规则。关于评分规则更详细的介绍请参见评分规则管理。
○ 演练中任务:单击演练任务右下方的<演练中管理>按钮,进入演练中管理界面。页面提供演练过程展示,包括靶标状态监控、团队得分排行、攻击得分、防守得分统计、公告信息,页面左上方展示了距离演习结束的剩余时间。单击右上方的<暂停演练>按钮,演练任务下的所有攻防角色用户全都置为锁定状态,且禁止攻防角色用户登录。单击右上方的<恢复演练>按钮,演练任务下的所有攻防角色用户全都置为正常状态。单击右上方的<结束演练>按钮,演练状态变成演练后,演练任务下的所有攻防角色用户全都置为锁定状态。单击右上方的<可视化投屏>按钮,可分别进入攻击大屏或防守大屏查看攻击态势或防守态势的详情,包括演习周期、演习倒计时、隐患情况、突破情况、告警趋势、攻击列表和团队排行等信息。
§ 靶标统计:单击靶标操作列下的<下载报告>按钮,可下载指定团队的报告。
§ 团队排行统计:选择攻击组织或防守组织页签并下拉选择指定的攻击团队或防守团队查看对应信息,单击<导出所有报告>按钮,可导出所有攻击团队或所有防守团队演练的报告;单击<导出排行信息>按钮,可导出所有攻击团队或所有防守团队演练得分的排行信息。单击指定攻击团队或防守团队报告次数右侧的<下载报告>按钮,可以下载指定攻击团队或防守团队的报告。单击<演练队伍视角仅显示自己团队>按钮开启时,攻击方或防守方账户页面的团队统计排行仅显示自己团队,单击<演练队伍视角仅显示自己团队>按钮关闭时,攻击方或防守方账户页面的团队统计排行将显示自己团队及其他攻击方团队 、自己团队及其他防守方团队。
§ 攻击得分统计:展示了各个攻击团队的得分情况。支持按最终状态、靶标状态等条件检索攻击得分的信息。
§ 防守得分统计:展示了各个防守团队的得分情况。支持按最终状态、靶标状态等条件检索防守得分的信息。
§ 公告消息:单击右上方的<新增>按钮,进入新增公告页面,配置相关参数后单击<确认>按钮完成公告的新增。单击公告操作列下的<下载附件>按钮,可下载公告附件。单击公告操作列下或公告操作列左上方的<撤回>按钮,可撤回指定公告。
○ 演练后归档:单击演练任务右下方的<演练后归档>按钮,进入演练后归档界面。页面提供演练后靶标、成绩管理和统计,攻防演练对抗数值评估。单击右上方的<可视化投屏>按钮,可分别进入攻击大屏或防守大屏查看攻击态势或防守态势的详情,包括演习周期、演习倒计时、隐患情况、突破情况、告警趋势、攻击列表和团队排行等信息。
§ 靶标统计:单击靶标操作列下的<下载报告>按钮,可下载指定团队的报告。
§ 团队排行统计:选择攻击组织或防守组织页签并下拉选择指定的攻击团队或防守团队查看对应信息,单击<导出所有报告>按钮,可导出所有攻击团队或所有防守团队演练的报告;单击<导出排行信息>按钮,可导出所有攻击团队或所有防守团队演练的排行信息。单击指定攻击团队或防守团队报告次数右侧的<下载报告>按钮,可以下载指定攻击团队或防守团队的报告。单击<演练队伍视角仅显示自己团队>按钮开启时,攻击方或防守方账户页面的团队统计排行仅显示自己团队,单击<演练队伍视角仅显示自己团队>按钮关闭时,攻击方或防守方账户页面的团队统计排行将显示自己团队及其他攻击方团队 、自己团队及其他防守方团队。
§ 个人排行统计:展示了各个攻击团队成员或防守团队成员的得分排行情况。选择攻击组织或防守组织页签,单击<导出所有报告>按钮,可导出所有攻击团队成员或所有防守团队成员演练的报告;单击<导出排行信息>按钮,可导出所有攻击团队成员或所有防守团队成员演练得分的排行信息。单击指定攻击团队或防守团队报告次数右侧的<下载报告>按钮,可以下载指定攻击团队或防守团队的报告。
§ 攻防演练对抗数值评估:展示了综合攻防因素和业务因素对对抗演练作出的评价及过程分值,从进攻实力、防守实力、漏洞风险、技术影响、企业影响及业务实力的精细评价得出进攻能力分值、防守能量分支、业务风险分值及企业风险分值。
§ 公告消息:展示了攻防演练中的公告信息,单击公告操作列下的<下载附件>按钮,可下载公告附件。
不同角色支持的操作
○ 攻击方、防守方:仅支持演练中任务的部分操作,包括:
○ 总览:支持查看报告的情况(已提交报告总数、审核报告总数及待审核报告总数)、靶标信息、团队排行信息(界面是否展示其他团队的排行信息与管理员是否勾选<演练队伍视角仅显示自己团队>按钮有关)。
○ 报告提交:支持单击任务报告模板右侧的下载按钮,可下载任务报告模板。配置相关参数后点击或者拖拽文件到灰色区域上传附件,单击<报告提交>按钮即完成报告的提交。报告提交按钮下发可以看到之前已提交的报告信息,支持报告下载和删除操作。
○ 公告消息:展示了攻防演练中的公告信息,单击公告操作列下的<下载附件>按钮,可下载公告附件。
○ 任务详情:展示了演练任务的详细信息,包括演练任务名称、演练类型、演练开始与结束时间、演练地点等。
○ 裁判
§ 报告评审:支持查看报告评审情况(接收报告总数、审核报告总数及待审核报告总数)、攻击组织及防守组织的报告。单击启用<只看未审核>按钮,可查看未审核的报告信息。单击<评分>按钮,进入报告评分页面,页面左侧滑动查看报告,右侧根据评分规则在页面右上方输入得分与评语后单击<确认>按钮即可完成报告的审核,单击<靶标状态修改>按钮,下拉选择靶标状态并单击<确认>按钮即可修改靶标状态。单击<下载报告>按钮,可以下载指定报告。单击按钮选择退回即可退回指定报告,选择审核记录进入成绩审核记录页面,可以查看之前的评审记录。
§ 违规处置:配置相关参数后点击或者拖拽文件到灰色区域上传附件,单击<报告提交>按钮即完成违规处置报告的提交。
§ 公告消息:展示了演练任务的详细信息,包括演练任务名称、演练类型、演练开始与结束时间、演练地点。
○ 观众
§ 支持查看防守组织数量、攻击组织数量、裁判人员数、演练任务的详细信息(演练任务名称、演练类型、演练开始与结束时间、演练地点)。
§ 公告消息:展示了攻防演练中的公告信息,单击公告操作列下的<下载附件>按钮,可下载公告附件。
新增任务参数说明
○ 任务名称:演练任务的名称。
○ 演练时间:演练任务开始与结束的时间。
○ 演练地点:开展演练任务的地点。
○ 演练类型:演练任务的类型,包括对抗演练、渗透演练、护网演练和综合演练。
○ 评分规则:引用的评分规则。
○ 防守组织初始分数:防守组织的初始分数值。
○ 靶标配置:配置演练任务的靶标。
§ 选择靶标:单击<选择靶标>按钮设置演练任务的靶标。
§ 攻击组织:下拉通过快速搜索设置攻击组织。
§ 移除:单击靶标列表操作列下的<移除>按钮,可移除指定的靶标。选择多个靶标,单击靶标列表左上方的<移除>按钮,可移除多个靶标。
○ 裁判配置:配置演练任务的裁判。
§ 选择裁判:单击<选择裁判>按钮设置演练任务的裁判。
§ 移除:单击裁判列表操作列下的<移除>按钮,可移除指定的裁判。选择多个裁判,单击裁判列表左上方的<移除>按钮,可移除多个裁判。
○ 观众配置:配置演练任务的观众。
§ 选择观众:单击<选择观众>按钮设置演练任务的观众。
§ 移除:单击观众列表操作列下的<移除>按钮,可移除指定的观众。选择多个观众,单击观众列表左上方的<移除>按钮,可移除多个观众。
新增公告参数说明
○ 公告名称:公告的名称。
○ 发送对象:公告发送的对象,包括防守方、攻击方、裁判和观众。选择相应角色后支持选择某个角色下的一个或多个团队、裁判或观众。
○ 内容:公告的具体内容。
○ 附件:单击<上传文件>按钮可选择上传公告的附件。
注意事项
○ 靶标如果不选择攻击队,则该靶标演练开始时,可以被所有攻击队攻击。
○ 直接在系统设置 > 系统配置 > 权限管理 > 用户管理页面中添加攻防演练账号和管理员账号,不会在人员管理页面中显示。需要在人员管理中同步系统数据。
○ 人员管理中用户账号数量限制为500个。
○ 各个角色账号只能查看与自己相关的演练任务。
安全专家服务提供专家会诊和云端托管服务等功能,帮助用户分析当前网络安全态势、协助用户快速发现与解决安全问题,同时提供常用分析工具的下载链接,方便管理员自行下载并使用工具。
用户可以通过远程专家会诊功能向安全运营中心发起协助请求,安全运营中心收到请求后,会指派安全专家进行远程会诊,并提供安全分析会诊报告,帮助用户分析当前网络安全态势。
1. 选择“运营中心 > 安全服务 > 专家会诊”,进入远程专家会诊服务页面。系统缺省配置了安全运营中心的地址为secaas.h3c.com,服务端口为16443。
2. 在用户权益区域,用户可以查看拥有的远程巡检和应急响应次数,仅当剩余次数不为0时,才能创建远程专家会诊任务。用户可单击<升级购买>按钮,按需购买服务。
3. 单击<新增>按钮,新增远程专家会诊任务,并配置如下参数,方便专家与其进行沟通交流。
○ 任务类型:远程专家会诊任务的类型,包括应急和巡检。应急是指有突发事件时,需要应急响应;巡检是指常规的系统巡检。
○ 任务描述:远程专家会诊任务的描述信息。
○ 联系人姓名:请求协助的客户姓名。
○ 联系电话:请求协助的客户联系电话。
○ 邮箱地址:请求协助的客户的邮箱地址。
○ 公司组织:请求协助的客户的公司组织。
○ 勾选授权说明:远程专家会诊期间,专家需要获取系统的登录权限和操作权限,客户需要在阅读说明后,勾选说明前的复选框,同意授权。
4. 单击<确认>按钮,完成新增远程专家会诊任务。
5. 安全运营中心收到任务后,将指派安全专家进行远程会诊。安全专家通过安全运营中心远程访问本系统,对系统数据进行会诊分析后,提交分析报告并结束任务。
6. 客户可在本页面查看远程专家会诊任务进度,下载会诊分析报告。任务结束后,用户可单击操作列中的<评价>按钮,对任务进行服务评价。
· 只有当前任务处于待分配或待确认状态下才支持取消。
· 只有当前任务已结束、已取消或连接异常时才能添加新的任务。
· 当安全威胁发现与运营管理平台和安全运营中心的系统时间不一致时,可能会出现任务开始时间超前或滞后的情况,请确保两个系统的时间一致。
· 远程专家会诊任务完成后,安全运营中心会向用户发送结束任务的请求,如果用户在3天内未进行确认,会诊任务将自动结束。
· 当任务状态显示为“连接异常”时(可能由于平台与安全运营中心网络连接异常等问题导致),用户需要重新创建远程专家会诊任务。
威胁检测与响应服务MDR基础版可依托于青丘安全运营中心和安全专家团队,为客户提供5*8小时的“托管式”安全服务,可实现风险及时告警、专家快速响应、定期安全巡检、过程全程可视。威胁检测与响应服务MDR高级版可在基础版基础上提供7*24小时全程服务。
1. 选择“运营中心 > 安全服务 > 云端托管”,进入威胁检测与响应服务MDR页面。
2. 在用户权益区域,用户可查看威胁检测与响应服务MDR服务的剩余时间和总服务时长。
3. 在MDR连接区域,可查看设备SN码以及设备与安全运营中心的连接状态。在安全运营中心绑定设备SN后,单击“连接登录”,进入MDR连接页面,可配置联系人信息,单击<连接>按钮,可连接到安全运营中心。
○ 联系人姓名:联系人的姓名。
○ 联系方式:联系人的联系电话。
○ 邮箱:联系人的邮箱。
○ 勾选服务授权:云端威胁检测与响应服务MDR服务期间,云端管理人员需要获取系统的登录权限和操作权限。用户需要在阅读说明后,勾选说明前的复选框,同意授权。
4. 在数据上报区域,单击<上报规则配置>,进入上报规则配置页面。在此页面中,可以选择监控的资产以及安全告警确信度,系统会将符合条件的安全告警上报给安全运营中心。单击<确认>按钮,完成配置。
5. 安全运营中心管理人员完成运维任务后,会生成安全报告和巡检报告,用户可到报告列表中进行下载。
响应工具主要提供报文分析和进程服务管理等常用分析工具的下载链接。
1. 选择 “运营中心 > 安全服务 > 响应工具”,进入响应工具页面。
2. 单击所需工具下方的<下载应用>按钮,可将工具安装文件下载到本地。
主要用于管理值班信息,包括配置值班日历、值班人和班次时间等。
1. 选择“运营中心 > 安全服务 > 值班管理”,进入值班管理页面。
2. 左侧为日历表, 默认显示当天时间,有值班记录的日期将以浅绿色填充显示。选择其他日期时,当天将以深绿色边框标示,同时选中的日期将以浅绿色边框标示以作区分。单击<上个月>按钮可跳转至上个月的值班日历;单击<今天>按钮可跳转至今天的值班日历;单击<下个月>按钮可跳转至下个月的值班日历。
3. 查看或新增值班班次:单击指定日期,可在日历表右侧查看当天的值班班次信息。在页面上方配置相关参数,并单击<添加>按钮,可完成值班班次的新增。
4. 删除值班班次:单击指定日期,在日历表右侧,选择值班班次,单击<删除>按钮,完成指定的值班班次的删除。
· 班次:值班的班次。
· 班次时间:班次的开始时间、结束时间。
· 值班人:下拉选择值班人。
· 手机号:值班人的手机号码。
可视化管理通过设计多样的组件,汇总和计算关键数据,并结合丰富的样式定制,使得用户能够通过仪表盘功能轻松创建和自定义大屏展示,有效地将复杂数据转化为直观、易理解的视觉表现。
可视化组件功能允许用户将数据信息转化为各种类型的图表,如饼图、条形图、柱状图,并支持自定义样式和数据源,以满足不同的展示需求。
1. 选择“运营中心 > 可视化管理 > 可视化组件”,进入可视化组件页面。
2. 单击<新增>按钮,新增可视化组件,并配置如下参数:
○ 数据来源:可视化组件所展示数据的信息来源。
○ 统计维度:设置按某个维度来统计数据。
○ 统计函数:统计支持计数和求不同个数两种方式。计数是统计某个字段的总数;求不同个数是统计某个指标不同的数量。
○ 过滤条件:过滤统计数据的范围条件,过滤条件包含过滤项、过滤函数、过滤值。不同的过滤条件或条件组之间可以设置关系为“OR或”关系或“AND且”关系。并支持通过拖动条件调整顺序设置过滤优先级。
○ 可视化组件类型:组件的展示类型,包含饼图、条形图、柱状图三种类型。其中饼图还可设置不同的展示类型。
○ 组件样式:设置组件的背景、标题等展示效果样式。
3. 单击<保存>按钮,完成新增可视化组件。
· 编辑可视化组件不会自动同步更新到引用它的自定义大屏中,需要手动编辑自定义大屏替换更新后的可视化组件。
仪表盘功能使用户能通过拖拽操作轻松自定义大屏布局,并支持将其发布至大屏列表,以便快速访问和共享。
1. 选择 “运营中心 > 可视化管理 > 仪表盘”,进入仪表盘页面。
2. 单击<新增>按钮,新增仪表盘。
3. 输入仪表盘名称和仪表盘说明。
4. 拖拽左侧的可视化组件到右侧画布,并进行布局。
5. 在右下方设置仪表盘样式。
6. 单击<保存>按钮,完成新增仪表盘。
7. 在新增的仪表盘对应的操作列单击<发布>按钮,可将仪表盘发布到态势分析用于大屏展示。
提供系统基础配置,包括权限管理、平台升级、数据源配置、关联规则、威胁情报等配置。
本章包含如下内容:
· 全局配置
· 租户管理
· 权限管理
· 个性化定制
· 平台日志
· 平台升级
· 特征库升级
· 授权信息
· 平台扩容
· 组织管理
· 级联配置
· 采集器管理
· 日志源管理
· Agent管理
· 日志导入
· 数据转发
· 数据共享
· 漏扫配置
· 弱口令规则
· 数据分析高级配置
· 规则特征库
· 漏洞特征库
· 系统告警管理
· 网络诊断
· 报文捕获
该功能主要用于配置系统全局参数,包括网络设置、通知设置、系统设置等。
本章包含如下内容:
· 时间管理
· 平台网络设置
· 系统登录白名单
· 短信业务中心
· 邮件服务器
· 企业微信
· 数据清理
· 告警规则
· 日志备份与恢复
· 系统参数
· 系统数据备份
该功能用于修改部署本平台的所有服务器的系统时间。当服务器系统时间与浏览器(管理PC)、日志源或漏扫联动设备的系统时间不一致时,可能会导致日志分析、查询不准确及漏扫数据时间不一致等问题,用户可通过该页面修改服务器时间。
系统提供以下两种方式修改系统时间:
· 手动设置:手动设置服务器系统时间。
· NTP时间同步:NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致。开启NTP时间同步后,部署本平台的服务器将作为客户端,从NTP服务器获得时间同步。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 支持将“系统时间”、“本地时间”或通过时间控件配置的时间设置为部署本平台的所有服务器的系统时间。其中,“系统时间”表示当前服务器的系统时间,<本地时间>表示管理PC的系统时间。单击对应按钮后,再单击<确认>按钮完成操作。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 勾选“开启NTP时间同步”并配置NTP服务器的IP地址或域名后,单击<确认>按钮完成操作。
· 修改服务器系统时间后平台部分服务将会自动重启,部分业务可能会出现暂时中断现象,请谨慎操作。
· 修改服务器系统时间,对于本地授权,会影响威胁情报更新升级授权的实际有效时长;对于License Server授权,不影响实际有效时长,但是会改变生效时间段。
该功能用于修改本系统的网络参数。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>平台网络设置”,进入平台网络设置页面。
2. 可以配置如下网络参数:
○ DNS服务器设置:配置DNS服务器IP地址。系统向DNS服务器查询域名和IP地址之间的映射关系,实现通过域名访问目标网址。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。
○ 网络代理设置:配置是否启用代理服务器。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。若代理服务器开启了接入认证功能,则必须配置验证用户,并且该用户具有访问外网的权限。
○ 平台IP地址/网关设置:配置系统IP地址及网关。系统首次部署或网络变更时,可在本页面修改系统IP地址及网关。修改完成后系统自动重启,重启后请使用修改后的IP地址访问系统。
○ Web端口设置:系统缺省使用443端口提供Web服务,管理员也可根据实际需求,修改Web服务端口。修改端口后,需要重新登录系统,并且需要在系统IP地址后加上配置的端口号,如https://10.10.10.1:444。
○ 网卡设置:主要用于管理平台的网卡信息。当系统是单节点单网卡时,若需要平台扩容,建议用户插入新的网卡,并在该页面配置新网卡的内网通信IP和掩码长度等相关参数。
需要注意,参数框置灰不可编辑,展示的是外网通信网卡的信息。插入新的网卡后,页面可以选择新插入的网卡,编辑其网卡IP和掩码长度并配置勾选是否内部通信IP地址,但外部通信IP地址默认不可编辑。如果切换了内部通信IP地址,修改完成后系统将自动重启。当系统是单节点多网卡(内外网通信IP都已经真实使用)或者是集群版时,页面仅展示内外网通信网卡信息,不支持配置。
3. 配置相关参数后,单击<确认>按钮完成操作。
该功能用于限制登录本系统的IP地址,配置白名单后,只有在白名单中的IP地址可以登录本系统,未配置白名单则所有用户均可登录。
参数说明
· 类型:白名单IP地址类型,包括单IP和IP地址范围。
· IP:白名单中的IP地址,可以是单个IP或IP地址段。
· 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
· 创建时间:创建该条白名单的时间
· 更新时间:最近一次修改该条白名单信息的时间。
· 系统登录白名单只支持精确查询,查询时必须输入完整准确的IP地址,如192.168.0.1。
该功能用于新增一条白名单或修改已有白名单配置信息。
1. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
2. 单击<新增>按钮即可新增一条白名单,单击<编辑>按钮即可修改选中的白名单信息。
○ 类型:包括单个IP和IP地址范围。
○ IP:需要加入白名单的IP地址,根据所选类型输入单个IP地址或IP地址范围。输入IP地址段范围,结束IP必须大于起始IP。
○ 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
3. 单击<确认>按钮完成操作。
该功能用于删除白名单信息。若删除的白名单中包含当前已登录的IP地址,该IP地址不会被强制下线,但是登出后不能再登录系统。
1. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
2. 选中多条白名单,单击<删除>按钮即可批量删除白名单,或某条白名单后的<删除>按钮即可删除该条白名单。
该功能用于管理短信网关配置信息。配置短信网关后,系统可将信息发送到指定手机。不同的短信网关配置参数不同,请根据实际情况进行配置。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>短信业务中心”,进入短信业务中心页面。
2. 编辑短信平台信息,单击<确认>按钮完成操作。
○ 短信服务接口地址:选择指定的短信平台,配置后,告警信息或处置任务信息将由该平台发出。
○ 数据库名称:调用短信平台的指定数据库的名称。
○ 数据库名称:调用短信平台的指定数据库的地址。
○ 用户名:调用短信平台所需的用户名。
○ 密码:调用短信平台所需的用户密码。
○ 测试短信配置:测试平台短信发送功能的可用性。单击后需要填写短信接收号码,填写后,单击发送测试短信按钮,短信平台将向指定的手机号码发送测试短信。
○ 短信接收号码:短信接收人的手机号码。用于测试短信平台的可用性,测试收件人是否能够收到该平台信息。
注意事项
· 不同短信服务平台需要配置的参数不同,请以实际情况为准。
· 若其他功能页面(如告警策略、剧本管理等)已将短信账号添加为接收用户,更新或删除短信账号后,平台仍继续向原账号发送短信。如需更新接收用户或停止发送短信,请在对应页面中更新或移除原账号。
该功能用于配置邮件服务器,通过配置邮件服务器,系统可将信息发送到指定邮箱。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>邮件服务器”,进入邮件服务器配置页面。
2. 编辑邮件服务器信息,单击<确认>按钮完成操作。
○ 协议:电子邮件传输协议,其中,Exchange协议的邮件服务仅支持Exchange Server 2016版本。请根据邮件服务器实际情况选择。
○ 开启SSL:选择是否加密传输邮件,协议选择SMTP时才需要配置该参数。
○ 邮件服务器地址:邮件服务器的IPv4地址或URL。
○ 端口号:邮箱服务器端口号。
○ 邮箱账号:邮箱服务器上已注册的邮箱账号,作为发件人发送告警邮件或处置任务邮件。
○ 邮箱密码:邮箱账号对应的密码。
○ 测试邮箱配置:测试邮件服务器是否可用。单击后弹出邮箱接收地址输入框,配置地址后,单击发送测试邮件按钮,邮件服务器将向指定的地址发送测试邮件。
○ 邮箱接收地址:用于测试邮件服务器可用性的收件人邮箱,测试收件人是否能够收到该邮件服务器的邮件。
注意事项
若其他功能页面(如告警策略、剧本管理等)已将邮箱账号添加为接收用户,更新或删除邮箱账号后,平台仍继续向原账号发送邮件。如需更新接收用户或停止发送邮件,请在对应页面中更新或移除原账号。
该功能用于配置企业微信,通过配置企业微信,系统可通过企业微信发送信息。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>企业微信”,进入企业微信配置页面。
2. 编辑企业微信信息,单击<确认>按钮完成操作。
○ 企业ID:企业微信中当前企业的ID。
○ 应用ID:企业微信的应用ID,可在企业微信管理端的“应用与小程序> 应用”中获取。
○ 应用密钥:企业微信的应用密钥,可在企业微信管理端的“应用与小程序> 应用”中获取。
○ 测试企业微信:测试企业微信是否可用。
该功能用于配置本平台使用Radius服务器进行用户认证的相关参数。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>RADIUS认证服务器配置”,进入RADIUS认证服务器配置页面。
2. 编辑RADIUS认证服务器参数,单击<确认>按钮完成操作。
3. 单击<测试>按钮,可以测试平台与服务器是否可以正常连通。
· 认证方式:RADIUS认证服务器使用的认证方式,包括口令身份验证协议(PAP)和质询握手身份验证协议(CHAP)。请根据RADIUS认证服务器的实际情况进行选择。
· RADIUS服务器地址:RADIUS服务器的地址,支持IPv4地址和IPv6地址。
· RADIUS认证服务器配置地址:RADIUS认证服务器配置的IPv4地址或URL。
· 认证端口:RADIUS服务器负责认证的端口。
· 计费端口:RADIUS服务器负责计费的端口。
· 共享密钥:RADIUS客户端与RADIUS服务器之间消息交互所使用的共享秘钥。
数据清理功能可自动周期性检查并清理系统中的原始日志,当日志存储容量或存储时间达到阈值条件时会触发删除告警,系统将删除存储时间最早的原始日志,直到原始日志的存储空间或存储天数降到清理阈值以下。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>数据清理”,进入日志存储空间设置页面。
2. 设置日志的优先级:在日志接收设置区域,可滑动开启“优先级配置”功能,配置各日志类型的日志采集优先级。单击<设置优先级>按钮,进入设置日志优先级页面。可通过拖动图标,调整不同日志类型的优先级,排名越靠前,优先级越高。单击<保存>按钮,完成配置。系统将按照优先级由高到低的顺序对不同类型的日志进行采集。
3. 编辑日志的存储空间清除阈值:在日志存储空间设置区域,可编辑存储空间清除阈值(百分比),日志存储量占系统总容量的百分比达到空间阈值后,系统将清理存储时间最早的日志,直到日志存储百分比小于空间阈值。空间阈值配置范围为50%~90%,缺省为90%。
4. 设置各日志类型的数据最大保存天数:在日志存储时间设置区域,可设置各日志类型的数据最大保存天数。不同日志类型系统设置不同的初始最大保存天数,日志存储时间达到设置的保存天数后将删除存储时间最早的原始日志。不同的日志类型保存时长不同,请根据页面提示设置。选择某一类日志后面的<编辑>按钮修改日志的保存时间,单击<确认>按钮完成操作。
· 日志优先级:系统将按照优先级由高到低的顺序对不同类型的日志进行采集。当采集的日志量达到阈值上限时,可能存在某个较低优先级类型的日志整体无法采集的风险,请用户根据实际需求,谨慎配置该功能。
该功能用于监控平台运行状态,如CPU使用率、内存使用率等,当监控项满足告警规则时,系统将生成告警提示信息,方便管理员第一时间了解并处理异常。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>告警规则”,进入告警规则配置页面。
2. 单击<编辑>按钮即可修改告警规则。
○ 规则名称:告警规则名称,即监控对象。
○ 告警阈值(%):系统CPU、内存、磁盘(数据)、磁盘(系统)的使用率达到设置的阈值时触发告警。
○ 告警级别:根据告警严重程度,可以选择严重、警告、通知。
○ 告警描述:监控对象异常情况描述。
○ 通知方式:支持通过短信和邮件两种方式向管理员发送告警信息。
○ 通知责任人:选择向指定的管理员发送告警信息。通知方式选择邮件或短信时,需要配置该参数。
3. 配置完成后,单击<确认>完成操作。
注意事项
○ 选择通知方式时,必须先为管理员用户配置正确的邮箱和联系电话。有关用户配置的详细介绍请参见用户管理。
○ 不配置任何通知方式时,不展示告警信息,但可以在系统日志页面查看异常日志记录。
该功能用于备份与恢复平台产生的大量日志数据,为用户提供更加灵活的方式管理日志数据。
该功能用于周期性检查并备份系统中的原始日志。配置正确的FTP服务器连接参数并启用备份功能后,系统将于每日凌晨2:00打包前一天的日志数据并将其转储至目标FTP服务器上。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
2. 选择“日志备份”页签,设置相关FTP连接参数后,单击<启用备份>按钮,系统将测试该FTP服务器是否可用,可用则启用备份功能,否则提示启用失败。
○ FTP服务器:将系统中的日志转储到该FTP服务器的对应目录下。
○ 开始时间:设置日志备份功能启用日期,该日期必须晚于当前日期。
○ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
○ 密码:FTP的登录密码,用于校验FTP连接可用性。
3. 启用备份功能成功后,可单击<停用>按钮停用数据备份。
注意事项
不支持将日志备份到Windows版本FTP服务器。
该功能用于从目标FTP服务器上恢复系统日志数据。配置日志恢复任务后,系统将从FTP服务器中选择指定时间区间的日志备份文件进行恢复,恢复的日志数据保存在本系统数据库中。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
2. 选择“日志恢复”页签,设置相关FTP连接参数和所要恢复的日志备份的时间区间,点击<开始恢复>按钮,系统将测试该FTP服务器是否可访问,成功访问则执行恢复任务,恢复记录将在页面下方展示。
○ FTP服务器:用于存放备份日志文件的FTP服务器路径。
○ 恢复时间段:在该时间段内的备份的日志文件将被恢复到本系统。
○ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
○ 密码:FTP的登录密码,用于校验FTP连接可用性。
注意事项
不支持从Windows版本FTP服务器恢复日志。
该功能用于设置用户登录本系统的相关参数。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>系统参数”,进入系统参数设置页面。
2. 编辑登录相关参数,单击<确认>按钮完成操作。
○ 用户闲置超时时长:若用户在超时时间内没有操作Web界面,系统将会强制断开该用户的Web连接,使该用户下线。缺省超时时长为1800秒。
○ 允许登录失败次数:允许连续登录失败次数,缺省允许3次。
○ 登录失败锁定时长:达到允许连续登录失败次数后,需要等待锁定时间后才能重新登录。缺省锁定时长为600秒。
○ 相同用户同时登录:选择是否允许同一个用户通过不同的客户端同时登录本系统。
该功能用于系统数据备份,默认备份内容包含区域内容。数据恢复时会比对原有的基础数据,需要新增的数据会以最新的数据包为准。
1. 选择“系统设置 > 系统配置 > 全局配置 > 系统设置 > 系统数据备份”,进入系统数据备份设置页面。
2. 单击<开始备份>按钮或<数据恢复>按钮,即可进行数据备份或数据恢复操作。
3. 单击<恢复历史>按钮,即可查看恢复历史信息。
该功能用于管理租户信息,通过多租户机制实现租户间的数据隔离。系统的租户分为默认租户和自定义租户:
· 默认租户:系统提供一个默认租户,该租户不能被编辑或删除。默认租户下的用户可以查看的统计数据如下:
○ 默认租户下,具备预定义角色的用户,可查看全网数据。
○ 默认租户下,不具备预定义角色的用户,只能查看默认租户下的数据。
· 自定义租户:用户根据需求配置的租户。自定义租户下的用户根据角色赋予的菜单权限,只能查看本租户的数据。
本章包含如下内容:
· 新增租户
· 删除租户
1. 选择“系统设置 > 系统配置> 租户管理”,进入租户管理页面。
2. 单击<新增>按钮新增租户,单击<编辑>按钮修改选中的租户信息。
○ 租户名称:租户的唯一标识。
○ 租户描述:租户的描述信息,合理的描述信息有利于管理员快速了解和识别租户。
3. 单击<确认>按钮完成新增一个租户。
1. 选择“系统设置 > 系统配置> 租户管理”,进入租户管理页面。
2. 选中多个租户,单击<删除>按钮批量删除租户,单击操作列的<删除>按钮删除一个租户。
升级到支持租户功能的版本后,系统原有的配置(采集器、日志源等)默认属于默认租户,新增租户后,必须为其分配采集器,否则该租户无法添加日志源。
该功能用于管理用户及角色信息。
该功能用于管理用户信息,包括新增、修改、删除用户及查询用户信息。
本系统中的用户分为预定义用户和自定义用户,预定义用户不能删除,但可以修改其密码、电话、邮箱及登录状态。预定义用户如下:
· admin:登录账号/密码为admin/secCsap@12345,角色为管理员,所属租户为默认租户。
· sysAdmin:登录账号/密码为sysAdmin/sysCsap@12345,角色为系统管理员,所属租户为默认租户。
· buzAdmin:登录账号/密码为buzAdmin/buzCsap@12345,角色为业务管理员,所属租户为默认租户。
· auditAdmin:登录账号/密码为auditAdmin/auditCsap@12345,角色为审计管理员,所属租户为默认租户。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 单击<新增>按钮,输入用户信息后,单击<确认>完成操作。
○ 所属租户:用户所属租户。
○ 用户名:登录用户名称。
○ 用户全称:用户全称可与用户名相同。
○ 密码:登录密码。
○ 确认密码:再次输入密码。
○ 电话:用户联系电话号码,用于接收系统信息。
○ 邮箱:用户邮箱地址,用于接收系统邮件。
○ 企业微信:用户企业微信,用于接收系统通知。
○ 用户角色:选择用户所属角色,为用户指定角色即可赋予用户该角色所拥有的权限。
○ 登录状态:默认为正常,状态为锁定时不可登录。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 选中要编辑的用户,单击<编辑>按钮,修改用户信息后,单击<确认>完成操作
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 选中多条用户信息,单击<删除>按钮批量删除用户,单击操作列的<删除>按钮删除一个用户。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. admin用户可以单击操作列的<修改密码>按钮修改自己的登录密码。其中,admin用户除了可以修改自己的密码外,还可以在不知道其他用户旧密码的情况下重置其登录密码。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. admin用户可以单击<密码策略>按钮,根据需要开启密码长度、复杂度检查及密码过期提醒功能。配置完参数后,单击<确认>按钮,完成配置。
○ 开启密码长度校验:开启密码长度校验后,当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。
○ 开启密码组合检查:设置用户密码的组成元素的组合类型,包括大写字母、小写字母、数字和特殊字符。例如,同时选中四种类型,则设置的密码中必须同时包含大写字母、小写字母、数字和特殊字符。开启密码组合检查后,当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
修改密码与密码策略功能仅admin用户可以进行配置。
该功能用于管理角色及其菜单权限,包括新增、修改、删除角色,并为角色分配权限。
本系统中的角色分为预定义角色和自定义角色,预定义角色不能编辑或删除,自定义角色由用户根据需求新增并赋予权限。系统预定义角色如下:
· 管理员:拥有系统全部权限,包括新增、删除和修改租户、用户及角色配置。
· 系统管理员:拥有“综合概览”、“系统设置”下部分系统基础功能的管理权限。
· 业务管理员:拥有“综合概览”、“威胁中心”、“分析中心”、“调度中心”、“资产中心”、“报表中心”、“安全服务”和“系统设置”下部分业务相关功能的管理权限。
· 审计管理员:拥有“系统设置”下部分日志功能的管理权限。
· 租户管理员:拥有“系统设置> 系统配置 > 权限管理”页面的配置权限,“综合概览”、“分析中心”查看权限,以及“调度中心”、“资产中心”、“报表中心”、“安全服务”下部分管理权限。
· 租户攻击方:以租户攻击方视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 租户防守方:以租户防守方视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 租户裁判:以租户裁判视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 租户观众:以租户观众视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 攻击方:以攻击方视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 防守方:以防守方视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 裁判:以裁判视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
· 观众:以防守方视角查看攻防演练功能菜单。关于角色支持的操作请参见演练管理。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 单击<新增>按钮,输入角色名称和描述,点击<确认>完成操作。
○ 角色名称:角色的唯一标识。
○ 角色描述:角色的描述信息,合理的描述信息有助于管理员快速了解该角色。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选择一个角色,单击操作列的<编辑>按钮修改角色描述信息后,单击<确认>完成操作。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选中要编辑的角色,点击<权限设置>按钮进入角色权限页面,勾选相应的区域权限和菜单权限后,单击<确认>完成权限分配。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选中一个或多个角色,单击<删除>按钮批量删除角色,单击操作列的<删除>按钮删除一个角色。
个性化定制功能用于自定义系统名称和系统Logo等信息。
1. 选择“系统设置 >系统配置 > 个性化定制”,进入个性化定制页面。
2. 修改相关参数后,单击<确认>按钮完成操作。
○ 公司名称:设置登录页面CopyRight处的公司名称,默认为新华三技术有限公司。
○ 系统名称:设置展示在登录界面和导航树上方的系统名称,默认为安全威胁发现与运营管理平台。
○ 首页定制:选择登录后展示的页面,默认展示“综合分析”页面。
○ 安全度最低分:安全度是系统根据全网综合安全状态实时计算出的评分,可辅助用户评估全网安全状态。设置安全度最低分后,当实际安全度低于该值时,页面展示为设置最低分。有关安全度评分规则的详细介绍请参见综合分析。
○ Logo定制:设置系统名称前面的Logo图片,支持png、jpg、jpeg格式,推荐图片像素为400*100。选择通用则登录页面及导航树上方用同一张图片,选择定制可分别设置登录页面及导航树上方的Logo图片。
该页面下支持展示操作日志和系统日志。
· 操作日志:用于记录用户登录系统后所执行的动作,如登录系统、退出系统、访问页面,可查询和导出操作日志。
· 系统日志:用于记录系统中硬件、软件和系统问题,如日志采集器离线、内存利用率超过90%等,可查询和导出系统日志。
1. 选择 “系统设置 > 系统配置 > 平台日志”,选择操作日志页签,进入操作日志页面。
2. 支持按照操作人、IP地址等查询条件检索操作日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为xlsx。
相关说明:
· 操作来源:下发操作的来源,包括本系统和安全运营中心。其中,当用户将本系统交由安全运营中心托管时,安全运营中心可以通过反向连接登录到本系统并下发操作,此时的操作来源即为安全运营中心。
1. 选择“系统设置 > 系统配置 > 平台日志”,选择系统日志页签,进入系统日志页面。
2. 支持按模块名称、级别、统计周期等查询条件检索系统日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为.xlsx。
本功能用于在线升级系统软件版本。版本文件请官网下载获取。
1. 选择“系统设置 > 系统配置 > 平台升级”,进入平台升级页面。
2. 单击<环境校验>按钮,系统将会检查基础服务组件是否正常。校验通过可继续升级,否则请联系技术人员处理异常。
3. 环境校验通过后,单击<开始升级>按钮,选择正确的版本文件上传到系统。
4. 上传成功后,系统开始升级,升级过程中不允许刷新页面。升级完成后将展示各组件升级结果。
注意事项
在升级过程中会弹出采集器离线的告警信息,此时直接关闭弹窗即可。升级成功后采集器会自动恢复在线状态。
该功能用于对系统提供的威胁信誉、规则特征库等特征库进行版本升级。随着网络攻击不断的变化和发展,需要及时升级系统中的特征库,升级文件可在官方网站下载获取。目前,系统提供以下几种特征库:
○ 威胁情报库:包括IP信誉特征库、域名信誉特征库、URL信誉特征库和MD5情报库。这些特征库可配合关联规则、UEBA规则等功能,帮助系统识别渗透、数据盗取等网络安全告警及异常流量。有关威胁情报的详细介绍,请参见威胁情报。
○ 规则特征库:用来对经过平台的应用层流量进行攻击检测和防御的资源库。
○ 防病毒特征库:用来对经过设备的报文进行病毒检测的资源库。
○ 应用识别特征库:用来对经过设备的应用层流量进行字符串特征识别的资源库。
○ URL特征库:用于存储和识别URL的特征信息的资源库。
○ Web应用防护特征库:用来对经过设备的应用层流量进行Web攻击检测和防御的资源库。
1. 选择“系统设置 > 系统配置 > 特征库升级 ”,进入特征库升级页面。
2. 威胁情报库、规则特征库、防病毒特征库、应用识别特征库、URL特征库和Web应用防护特征库支持通过连接官网进行在线升级以及通过导入本地保存的特征库文件进行离线升级。
○ 打开“在线同步”开关,系统将定时自动获取H3C官网上最新的特征库来升级本地特征库。
○ 单击<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的特征库来升级本地特征库。
○ 单击<导入>按钮,管理员可以使用本地保存的最新版本特征库文件上传到系统进行离线升级。当特征库在线升级失败或者系统无法访问官网时,可以通过此方式进行特征库升级。
3. 规则特征库、防病毒特征库、应用识别特征库、URL特征库、Web应用防护特征库支持配置威胁检测探针,单击<威胁检测探针>按钮进入配置威胁检测探针页面,单击<新增>按钮。即可选择威胁检测探针。
4. 单击<升级记录>按钮,查看历史升级记录。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令,查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析等特性,用户必须申请并安装License激活文件后才能使用。系统提供以下两种方式获取License授权:
· 本地授权:在本系统上安装License激活文件来获取授权。
· 通过License Server授权:用户需要先在License Server(授权服务器)上安装激活文件来获得License授权,系统作为License Client,向License Server申请授权。License Server(授权服务器)是一款授权管理软件,具有集中管理授权、集中分发授权等功能。关于License Server的安装和配置请参见产品的安装手册。
两种授权方式可以互相切换,切换方法如下:
· License Server授权切换为本地授权:进入系统登录界面,单击“产品注册”选择“本地授权”,导入License激活文件且激活成功后,授权方式自动切换为本地授权,并释放原有的License Server授权。登录系统后,可在“系统设置 > 系统配置 > 授权信息”页面查看本地授权信息。
· 本地授权切换为License Server授权:进入系统登录界面,单击“产品注册”选择“License Server授权”,配置连接参数连接授权服务器,并成功申请授权后,授权方式自动切换为License Server授权,并释放原有的本地授权。登录系统后,可在“系统设置 > 系统配置 > 授权信息”页面查看License Server授权信息。
1. 进入系统登录界面,单击“产品注册”,选择“本地授权”。
2. 进入本地授权页面后,在“主机信息文件下载”区域,单击<下载主机信息>按钮,下载主机信息文件。
3. 在“前往官网申请注册信息”区域,单击<前往官网>按钮,可跳转到H3C官网License激活申请页面。使用主机信息文件、授权序列号申请License激活文件。
4. 有关License激活文件申请的详细介绍,可在“前往官网申请注册信息”区域,将鼠标悬浮到<操作指南>上方,扫描悬浮框中的二维码查看《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》,或者通过单击二维码下方的“License使用指南”链接跳转到官网手册页面查看该手册。
5. 申请成功后,在“License 文件授权注册”区域,单击<选择本地License文件>按钮,即可导入授权激活文件,完成上述操作后即可登录系统。
6. 选择“系统配置 > 授权信息”进入授权信息页面,可查看已申请的授权信息。
7. 用户也可以在授权信息页面,单击<导入本地授权>,进入本地授权注册页面,下载主机信息文件或导入激活文件。
8. 鼠标悬浮到<操作指南>上方,可通过扫描悬浮框中二维码查看《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》,或者通过单击二维码下方的“License使用指南”链接跳转到官网手册页面查看该手册。
9. 鼠标悬浮到<许可信息>上方,可查看授权码(申请基础平台授权时平台分配的授权码)以及SN码(硬件设备的设备码),如需复制上述信息,可单击显示信息后的<复制>按钮。
○ 授权名称:特性授权函名称。
○ 授权类型:特性的授权类型。
○ 是否授权:特性是否已被授权使用。
○ 有效期:特性有效使用时间。
1. 进入系统登录界面,单击“产品注册”选择“License Server授权”,配置连接参数连接授权服务器,并成功申请授权后,登录系统。
2. 选择“系统设置 > 系统配置 > 授权信息”,进入授权信息页面,可查看已申请的授权信息。用户还可以根据需要申请新的授权或释放已有授权。
○ 授权名称:特性授权函名称。
○ 授权类型:特性的授权类型。
○ 是否授权:特性是否已被授权使用。
○ 有效期:特性有效使用时间。
○ 已申请授权数:已申请的特性授权数。
○ 可申请授权数:还可以申请的特性授权数。
· 修改服务器系统时间,对于本地授权,会影响威胁情报更新升级授权的实际有效时长;对于License Server授权,不影响实际有效时长,但是会改变生效时间段。
· 对于License Server授权方式,必须先在登录界面,“产品注册”处配置License Server连接参数,并连接Server成功,才能正常使用。
对于License Server授权方式,释放“基础平台软件授权函”时,会断开与License Server的连接,并释放所有授权,退出到登录页面。
平台安装包按照能力分为业务包、平台包、采集适配包。购买平台扩容授权后,可通过扩容节点选择安装平台包、采集适配包的方式,提升平台的数据存储、数据分析和数据采集能力。根据负载情况,扩容的节点可灵活选择安装平台包和采集适配包。
平台节点扩容需要先进行License授权验证,License验证请前往系统设置 > 系统配置 > 授权信息页面。授权后扩容节点可选择安装平台包和采集适配包,每扩容1个节点消耗1个节点授权。
1. 选择“系统设置 > 系统配置 > 平台扩容”,进入平台扩容页面。该页面展示了当前可用扩容的授权个数和平台当前所有的节点信息等内容。
2. 导入扩容授权:平台节点扩容需要先进行License授权验证,若平台无节点扩容License,需要在系统设置 > 系统配置 > 授权信息页面,单击<导入本地授权>按钮。手动导入本地授权,进行节点扩容的授权。导入可用授权后,授权信息页面将展示授权信息。
3. 节点扩容配置-节点配置:单击<节点扩容>按钮,进入节点扩容配置页面,输入待扩容的主机IP和主机密码信息,同时支持额外配置SSH端口。输入完成后,单击<搜索>按钮,可以检测配置的主机是否可用。勾选主机后,单击<时间同步>按钮,进行节点时间同步。待同步完成后,单击<下一步>按钮。
4. 节点扩容配置-主机安装:选择主机需要安装的软件包和外部通信IP地址,必须要选择一个软件包。当软件包勾选采集适配包时外部通信IP地址为必选。单击<取消>按钮将退出节点扩容配置页面。
5. 节点扩容配置-上传部署包:单击<上传部署包>按钮选择相同版本的版本包进行上传,上传完成后,进行解压,待解压完成后开始扩容,在主机信息列表上方可看到各节点的扩容进度和总体扩容进度,扩容结束会弹窗提示节点扩容结果。单击<扩容记录>按钮,可跳转至历史扩容记录列表查看历史扩容记录。
· 主机名称:主机的名称。
· 内部通信IP地址:内网通信IP地址。
· 外部通信IP地址:外网通信IP地址。
· 业务包:业务包的部署情况。
· 平台包:平台包的部署情况。
· 采集适配包:采集适配包的部署情况。
· 若长时间息屏不操作,建议用户刷新页面查看扩容进度。
该功能用于管理组织机构和人员信息。
本章包含如下内容:
· 人员管理
· 组织机构
该功能用于管理人员信息。
1. 选择“系统设置 > 组织管理 > 人员管理”,进入人员管理页面。
2. 支持按照用户名检索人员信息,用户名支持模糊查询。
单击列表左上方的<同步>按钮,进入同步平台用户页面,支持按照用户名和同步状态检索平台用户。勾选需要同步的用户,单击<确认>按钮,完成平台用户的同步操作。
单击操作列下的<编辑>按钮,可以修改选中的用户信息。
选中多个用户,单击列表左上方的<删除>按钮可以批量删除用户,单击操作列下的<删除>按钮可以删除对应的用户。
· 用户名:用户的名称。
· 用户全称:用户的全称。
· 用户角色:用户的角色。
· 创建时间:用户的创建时间。
· 电话:用户的电话。
· 邮箱:用户的邮箱。
用户关联了组织后,不能被删除。如需删除,则需要先解除关联关系。
该功能用于管理组织机构信息。
1. 选择“系统设置 > 组织管理 > 组织机构”,进入组织机构页面。
2. 支持按照组织名称、组织类型和行业分类检索组织信息,其中组织名称支持模糊查询。
单击列表左上方的<新增>按钮,完成组织信息配置并为其分配负责人,单击<确认>按钮,完成组织的新增操作。
单击操作列下的<编辑>按钮,可以修改选中的组织信息。
选中多个组织,单击列表左上方的<删除>按钮可以批量删除组织,单击操作列下的<删除>按钮可以删除对应的组织。
单击列表左上方的<导入>按钮选择下载组织导入模板,在下载的组织导入模板填写组织信息,单击列表左上方的<导入>按钮选择组织导入,通过点击上传或拖拽文件至导入区域方式上传文件,单击<确认>按钮。
单击列表左上方的<导入>按钮选择操作结果,可以查看最近一次导入组织的操作时间和操作结果信息。
单击列表左上方的<导出>按钮,可以导出满足查询条件的组织列表,若无查询条件,则导出所有组织的列表。
基础信息
○ 组织名称:组织机构的名称。
○ 组织类型:组织机构所属类型。
○ 行业分类:组织机构所属行业。
○ 地理位置:组织机构的地理位置。
○ 行政区划编码:组织机构所属地理位置的行政区划编码。
○ 经纬度:组织机构所属地理位置的经度和纬度。经纬度之间用,(英文逗号)隔开(经度在前,纬度在后), 形如“经度,纬度”,经纬度的取值范围为东经:0~180;西经:-180~0;北纬:0~90;南纬:-90~0;支持精确度为小数点后6位。
○ 行政主管部门:组织机构所属的行政主管部门名称。
○ 组织级别:组织的级别,不同的组织级别需要配置不同的参数:
§ 当为一级组织时,需要进行组织负责人的配置:指定一级负责人(必填)、二级负责人、三级负责人、四级负责人、五级负责人和网络安全联系人。
§ 当为二级组织时,需要进行监管组织、是否跨平台的参数配置,并指定下级平台或组织负责人。
§ 当为三级组织时,需要进行监管组织的参数配置,并指定组织负责人。
○ 组织负责人:组织机构的组织负责人。
§ 一级负责人/下级平台:当是否跨平台为是时,显示为级联下级平台的平台名称;当是否跨平台为否时,显示为组织机构所配置的一级负责人。
§ 二级负责人:组织机构所配置的二级负责人。
§ 三级负责人:组织机构所配置的三级负责人。
§ 四级负责人:组织机构所配置的四级负责人。
§ 五级负责人:组织机构所配置的五级负责人。
§ 网络安全联络人:新增组织机构时,若组织负责人配置了网络安全联络人则显示为配置的负责人;若未配置网络安全联络人,则显示为组织负责人的最后一级负责人。
○ 人员同步:单击<人员同步>按钮,可以将平台用户同步为组织机构的管理人员。
○ 监管组织:组织的上级组织,一级组织无需配置监管组织,二级组织的监管组织为一级组织,三级组织的监管组织为二级组织。
○ 是否跨平台:组织机构为一级和三级组织时,是否跨平台默认为否;若组织机构为二级组织时可选择是否跨平台,当是否跨平台为否时, 组织机构负责人为本平台人员管理中已同步的用户,当是否跨平台为是时,需选择级联设置中与下级平台级联成功的下级平台。
○ 统一社会信用代码:组织机构的统一社会信用代码。
○ 组织机构官方网址:组织机构的官方网址。
○ 组织机构邮编:组织机构的邮编。
○ 组织机构所属级别:组织机构的所属级别。
○ 组织机构描述:组织机构的主要业务、服务对象、服务范围等描述。
应急人信息
○ 应急人:组织机构所设置的应急人的名字。
○ 应急人电话:组织机构所设置的应急人的联系电话。
○ 应急人邮箱:组织机构所设置的应急人的联系邮箱。
○ 应急人地址:组织机构所设置的应急人的联系地址。
○ 应急人职务:组织机构所设置的应急人的职务名称。
○ 网安分管领导:组织机构所属的网安分管领导的名字。
○ 网安分管领导电话:组织机构所属的网安分管领导的联系电话。
○ 网安分管领导邮箱:组织机构所属的网安分管领导的联系邮箱。
○ 网安分管领导职务:组织机构所属的网安分管领导的职务名称。
组织外网IP
○ 单击<新增>按钮,配置相关参数完成组织外网IP的新增操作。
○ 选中多个组织外网IP,单击组织外网IP列表左上方的<删除>按钮,可以批量删除组织外网IP。单击组织外网IP列表操作列下的<删除>按钮,可以删除指定的组织外网IP。
注意事项
○ 当前登录用户只能修改所属组织的组织名称,admin用户登录可修改默认租户下的全部组织名称。
○ 仅默认租户组织关联的负责人登录才能使用通报相关功能。
在某些大型组网环境中,不同平台之间存在数据共享的关系,下级平台与上级平台连接成功后可以将数据共享给上级平台,上级平台能够查看任意下级平台的相关数据,如安全告警、脆弱性风险等。上下级平台之间均可以通过管理连接状态或同步状态来传输或者终止传输数据。
本章包含如下内容:
· 查看当前平台配置
· 配置上级平台
· 配置下级平台
○ 查看下级平台信息
○ 删除级联平台
1. 选择“系统设置 > 级联设置”,单击<当前平台配置>按钮,进入当前平台配置页面。
2. 配置当前平台的名称、责任人信息以及与下级平台的级联口令。
3. 单击<确认>按钮,完成操作。
相关说明:
○ 级联口令:当前平台与下级平台的级联密码。
1. 选择“系统设置 > 级联设置”,单击<上级平台配置>按钮,进入上级平台配置页面。
2. 配置上级平台的参数、与上级平台同步的内容以及级联状态。
○ 上级平台IP:与当前平台级联的上级平台的IP地址。
○ 级联状态:显示当前平台与上级平台的级联状态。
○ 级联口令:当前平台与上级平台的级联密码。
○ 同步内容:配置当前平台与上级平台需要同步的内容。
§ 安全告警:选择安全告警的确信度,系统会将符合的安全告警同步到上级平台。
§ 漏洞风险:选择漏洞风险的等级,系统会将符合的漏洞风险同步到上级平台。
§ 配置风险:选择配置风险的等级,系统会将符合的配置风险同步到上级平台。
§ 弱口令:选择开启或关闭弱口令同步功能。开启本功能后,系统会将符合的弱口令风险同步到上级平台。
○ 级联开关:用于开启或关闭当前平台与上一级平台的级联功能。
○ 数据同步:用于开启或关闭当前平台与上一级平台的数据内容同步功能。
3. 单击<确认>按钮,完成操作。
本功能用于查看当前平台的所有下级平台的信息、取消或恢复与下级平台的级联以及删除下级平台的同步数据。
1. 选择“系统设置 > 级联设置”,可查看当前平台的所有下级平台信息。
1. 选择“系统设置 > 级联设置”,进入“级联设置”页面。
2. 单击操作列的<取消级联>按钮或<级联>按钮,可以取消或恢复与下级平台的级联。
该功能用于查看下级平台的同步数据,包括安全告警、漏洞风险、配置风险和弱口令信息。
系统支持导出同步数据以及根据用户关心的查询条件对同步数据进行检索。
1. 单击面板右上角的
按钮,选择指定的下级平台,单击<前往平台>按钮。
2. 进入下级平台页面,查看下级平台同步的安全告警、漏洞风险、配置风险和弱口令信息。
· 在弱口令界面中,当滑动选择“显示账号密码”时,系统会弹出验证窗口,对当前登录的管理员账号密码进行验证。
· 仅当当前平台与下级平台存在“已连接”的级联状态时,面板右上方才会出现
按钮。
1. 选择“系统设置 > 级联设置”,进入“级联设置”页面。
2. 单击操作列的<删除>按钮,可以删除所选下级平台同步的安全告警和脆弱性明细(包括漏洞风险、配置风险及弱口令)数据。
该功能用于管理采集器信息。采集器的数量及注册由License控制,用户不能新增或删除采集器,但可通过是否关联日志源来控制采集器是否执行采集任务。
采集器采集日志数据有主动采集和被动采集两种采集方式:
· 被动采集:采集器被动接收有具有日志外发功能的设备上报的日志信息,如H3C的防火墙可通过信息中心功能将日志数据发送到采集器,采集器被动被动接收日志。
· 主动采集:采集器可主动从数据库、共享文件等日志仓库中获取日志进行分析。
本章包含如下内容:
· 编辑采集器
· 监控汇总
· 采集器名称:采集器的名称。
· 采集器状态:采集器的状态信息,包在线和离线,处于离线状态的日志采集器不能执行采集任务。
· 采集器IP:采集器的IP地址。
· 注册时间:采集器注册到本系统的时间。
· 更新时间:采集器状态更新时间,当采集器状态变为离线的时间可根据采集器状态更新时间定为采集器发生异常的时间。
· 采集方式:采集器的采集方式,包括主动采集和被动采集。
· 描述:采集器描述信息。
· 统计信息:提供统计按钮,点击进入监控汇总页面查看该采集器采集情况汇总。
· 操作:提供编辑按钮,点击可修改相应采集器的配置信息。
该功能用于修改采集器配置。
1. 选择“系统设置 > 数据源配置 > 采集器状态”,进入采集器状态页面。
2. 选择需要修改的采集器,点击<编辑>按钮进入编辑采集器页面修改配置信息。
○ 采集器名称:采集器的名称。缺省情况下,采集器名称为“采集器所在服务器IP地址:采集方式”,如“186.64.6.105:active”。
○ 采集器描述:采集器的描述信息,通过合理编写描述信息,便于管理员快速理解和识别该采集器的作用。
○ 所属租户:采集器所属租户,缺省属于默认租户。
3. 点击<确认>按钮完成操作。点击<取消>按钮可取消修改。
该功能用于显示选中采集器的日志采集情况,包括所有关联日志源上报日志的总数目以及时间趋势图,并支持按时间以及设备IP进行筛选查询。
1. 选择“系统设置 > 数据源配置 > 采集器状态”,进入采集器状态页面。
2. 点击指定采集器右侧“统计信息”列下的<统计>按钮,进入监控汇总页面,可查看选中采集器的采集信息。 缺省情况下展示所有关联日志源最近1天的日志上报情况,用户可根据查询条件进行筛选:
○ 查询:输入设备IP地址或选择统计周期,点击<查询>按钮将按条件可筛选统计信息。
○ 重置:点击<重置>按钮可重置查询条件,设备IP默认为空,统计周期默认为“最近1天”。
· 日志源:日志源名称。
· 日志源IP:端口:日志源IP地址和端口号。
· 平均速率:日志源上报日志的平均速率。
· 总数目:日志源在统计周期内上报日志的数目。
按设备IP进行查询时,如果日志源已被删除或取消关联关系,则显示该日志源上传的历史数据,若无历史数据则显示"暂无数据"。
该功能用于管理接入系统的日志源信息,包括对日志源进行查看、新增、删除、修改等功能。将日志源与采集器关联后,日志源便可通过采集器将日志上报给系统以便系统进行分析和监控网络状态。系统支持以下两种日志源:
· 主动采集日志源:与主动采集类型的采集器关联的日志源称为主动采集日志源,如数据库、共享文件服务器等。
· 被动采集日志源:与被动采集类型的采集器关联的日志源称为被动采集日志源,如H3C的防火墙、IPS设备等。
本章包含如下内容:
· 主动采集
○ 新增数据库日志源
○ 修改数据库日志源
· 被动采集
该功能用于管理主动采集日志源,包括主动日志源的增加、删除、修改及查询操作。主动采集日志源包括数据库日志源和共享文件日志源。
配置主动采集日志源后,采集器将定期访问日主动采集志源获取日志数据。
该功能用于添加数据库日志源。日志数据存储在各种关系型数据库中,采集器必须先连接上数据库才能成功添加数据库日志源并读取日志数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“数据库日志源”。
3. 填写数据库日志源的相关信息后,单击<确认>按钮完成操作。
○ 名称:数据库日志源的名称。
○ 数据库名称:存放日志信息的数据库的名称。
○ 数据库类型:数据库的类型。
○ 数据库IP:数据库的IP地址。
○ 端口号:数据库的端口号。
○ 用户名:采集器登录数据库使用的用户名。
○ 密码:采集器登录数据库使用的密码。
○ 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与该日志源关联的采集器IP地址。
○ 描述:数据库日志源的描述信息。
○ 数据库日志源表信息:先配置第一条表项的参数,完成配置后,单击保存按钮。如需添加多条表项,再点击<新增>按钮,配置需要上报的日志信息,以便采集器可以根据这些信息获取日志数据。
○ 表名:采集器从该表格中读取日志数据。
○ 主键名:存放日志的表格的主键名称,用于标记上一次读取地址,避免重复读取。
○ 设备类型:生成日志的设备的设备类型。
○ 编码方式:日志的编码方式,可通过下拉菜单选择编码方式。
○ 厂商:生成日志的设备的生产厂商。
○ 设备型号:生成日志的设备的设备型号。
○ 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于修改数据库日志源的配置信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 选择需要修改的日志源,单击<编辑>按钮,进入编辑日志源页面,页面参数说明请参见新增数据库日志源。
3. 填写数据库日志源的相关信息后,单击<确认>按钮完成操作。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于增加数共享文件日志源。日志数据存储在FTP服务器中,采集器必须先连接上服务器才能成功添加共享文件日志源并读取日志文件数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“共享文件日志源”。
3. 填写共享文件日志源的相关信息后,单击<确认>按钮完成操作。
○ 名称:共享文件日志源的名称。
○ 上报协议:该日志源上报日志的协议类型。
○ FTP地址:存放日志文件的FTP服务器的IP地址。
○ FTP端口:FTP服务器的端口号。
○ 用户名,采集器登录FTP服务器使用的用户名。
○ 密码:采集器登录FTP服务器使用的密码。
○ 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与该日志源关联的采集器IP地址。
○ 写入类型:可选择文件和文件夹,文件表示获取文件路径的日志文件;文件夹表示获取文件路径下所有文件夹中的日志文件。
○ 文件路径:日志文件的存放路径,采集器根据此路径获取目标日志文件。写入类型选择“文件”时,文件路径必须填写目标日志文件的绝对路径。
○ 文件编码:日志文件中日志的编码方式。
○ 设备类型:生成该日志文件的设备的类型。
○ 厂商:生成该日志文件的设备的生产厂商。
○ 设备型号:生成该日志文件的设备的型号。
○ 描述:文件共享日志源的描述信息,通过编写合理的描述信息,有助于管理员快速理解和识别该日志源。
○ 选择日志类型:当选择某类日志时,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 写入类型选择文件夹时,建议该路径下只存放厂商、设备类型、设备型号均相同的日志文件,否则会导致日志解析结果不准确。
该功能用于增加共享文件日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 选择需要修改的日志源,单击<编辑>按钮进入编辑日志源页面, 页面参数说明请参见新增共享文件日志源。
3. 填写日志源的相关信息后,单击<确认>按钮完成操作。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 写入类型选择文件夹时,建议该路径下只存放厂商、设备类型、设备型号均相同的日志文件,否则会导致日志解析结果不准确。
该功能用于批量导入主动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 单击<导入>按钮,选择数据库日志源导入或共享文件日志源导入,进入相应的导入页面后,单击“XXX日志源模板下载”,下载数据库日志源或共享文件日志源导入模板。
3. 下载对应的模板后,按模板要求填写日志源信息并保存。
4. 点击上传或拖拽模板文件到页面中,单击<确认>按钮,完成导入操作。
5. 再次单击<导入>按钮,选择操作结果,可以查看导入的操作结果。
该功能用于导出主动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 选择需要导出的数据库日志源或共享文件日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
此功能用于用户查看已添加日志源信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 输入日志源名称、选择日志源采集类型或启用状态,点击<查询>按钮筛选日志源信息,默认显示所有日志源信息。
3. 点击<重置>按钮可重置查询条件,默认查询条件为空。
该功能用于删除主动日志源,删除后采集器不再采集该日志源的日志数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 选择需要删除的日志源,点击操作列的<删除>按钮即可删除该日志源;选中一条或多条日志源,单击的<删除>按钮可批量删除日志源。
该功能用于管理被动采集日志源,包括日志源的增加、删除、修改及查询操作。配置被动采集日志源后,日志源设备将定期主动上报日志数据到采集器。
该功能用于用户新增被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<新增>按钮进入新增日志源页面。
3. 填写被动采集日志源相关信息,配置完成后单击<确认>按钮完成操作。
○ 名称:日志源名称。
○ IP:日志源的IPv4地址。
○ 设备类型:日志源设备类型。
○ 厂商:日志源设备的生产厂商。
○ 设备型号:日志源设备型号。
○ 采集器名称:与日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与日志源关联的采集器的IP地址。
○ 新增端口信息:先在第一条空白的端口信息表项中配置日志源上报的日志的相关信息,完成配置后单击操作列下的保存按钮。如需添加多条端口信息,需要在完成第一条表项配置后,单击新增按钮,继续添加。
§ 上报协议:该日志源上报日志的协议类型。
§ 上报端口:采集器使用该端口接收日志源上报的日志数据。
§ 编码:日志的编码方式。
§ 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 对于同一日志源通过多种协议上报的日志数据,采集器必须使用不同端口接收。
· 添加被动采集日志源时,如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志为二进制格式(如Netstream、AAA服务上报的日志)时,对应的字符集必须选择bin,否则会导致解析失败。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 系统当前仅支持解析SNMPv2c协议的trap日志。
· 当SNMP协议产生的日志中含有中文时,中文将以十六进制的格式进行展示。
该功能用于修改被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<编辑>按钮进入编辑日志源页面,页面参数说明请参见新增被动采集日志源。
3. 修改日志源相关信息。配置完成后单击<确认>按钮完成操作。
· 对于同一日志源通过多种服务上报的日志数据,采集器必须使用不同端口接收。
· 添加被动采集日志源时,如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志类型为二进制格式(如Netstream、AAA服务上报的日志)时,对应的字符集必须选择bin,否则解析失败。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于批量导入被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<导入>按钮选择“被动日志源导入”,进入导入被动日志源页面后,单击<被动日志源导入模板下载>,然后按模板要求填写日志源信息并保存。
3. 单击上传或拖拽模板文件到页面中,单击<确认>按钮,完成导入操作。
4. 再次单击<导入>按钮,选择“操作结果”,查看导入操作结果。
该功能用于导出被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择需要导出的日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
该功能用于查看已添加的日志源信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 可通过输入日志源IP地址、选择设备类型、厂商、设备型号等条件筛选日志源信息,默认显示所有日志源信息。
3. 点击<重置>按钮可重置查询条件,默认查询条件为空。
该功能用于删除被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择需要删除的日志源,点击操作列的<删除>按钮即可删除该日志源;选中一条或多条日志源,单击的<删除>按钮可批量删除日志源。
该功能用于对流经威胁检测探针设备的报文进行捕获。方便管理员对报文进行分析。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择一个威胁检测探针类型的日志源,单击操作列下<特征报文捕获>按钮,进入特征报文捕获配置页面。配置相关参数。
3. 完成参数配置后,单击<下发>按钮,平台会将特征报文捕获配置下发到威胁检测探针设备。
○ 上报抓包文件周期:威胁检测探针设备上送抓包文件到本平台的间隔时间。
○ 上报抓包文件最大值:每个捕获文件的大小上限。
○ PCAP包缓存报文数:每个捕获文件中可以缓存的报文个数。
○ 开启上报抓包文件功能:用于选择开启或关闭威胁检测探针设备上的抓包文件功能。
○ Netconf over SSH 参数:单击滑块,配置NETCONF over SSH参数。
§ 录入方式:选择Netconf over SSH 参数的配置方式,支持手动配置以及模板导入。
§ 用户名:通过SSH方式登录设备时使用的用户名。
§ 密码:通过SSH方式登录设备时使用的密码。
§ 端口:通过SSH方式登录设备时使用的端口号。
§ 超时时间:表示平台在与设备通信时等待其响应的最长时间,单位为秒。
§ 重试次数:表示平台在与设备通信发生故障时的最大重试次数。
○ Netconf over SOAP 参数:单击滑块,配置NETCONF over SOAP参数。
§ 录入方式:选择Netconf over SOAP参数的配置方式,支持手动配置以及模板导入。
§ 访问URL协议:选择开启基于HTTPS或HTTP的NETCONF over SOAP功能。
§ 端口:SOAP协议使用的端口号。访问URL协议选择HTTPS时默认端口为832,选择HTTP时默认端口为80。
§ 访问路径:由访问URL协议、主机名或IP地址、端口号以及根路径后构成的完整SOAP/HTTP访问路径,通过该路径访问vManager的SOAP/HTTP接口。
§ 用户名:通过SOAP方式登录设备时使用的用户名。
§ 密码:通过SOAP方式登录设备时使用的密码。
Agent日志采集代理,用于采集不能主动外发日志的主机、服务、中间件等产生的日志信息。 例如,一些基于Windows、Linux系统的主机或部署在主机上的数据库、中间件等服务不支持以syslog方式发送系统日志,此时, 可以通过在主机上安装Agent采集代理,Agent将采集这些主机、数据库、中间件产生的日志(包括操作系统运行状态日志,如CPU利用率、磁盘利用率等),并以syslog方式发给日志采集器,采集器再上报到本平台进行分析和展示。
注意事项
· 仅默认租户下具有Agent管理菜单权限的用户可以下载Agent。
· Agent首次安装成功后属于默认租户,请联系管理员为其重新分配所属租户。
· 仅Agent 1.0.17及以后版本支持自动升级功能。如需使用Agent自动升级功能,请先手动卸载老版本Agent,然后在“Agent下载”页面下载并安装最新版本Agent。
本章包含如下内容:
· 查询Agent
· 启用日志采集功能
· 停用日志采集功能
· 开启自动升级功能
· 关闭自动升级功能
· 删除Agent
· 查看采集情况
· 删除采集对象
· 数据库
· 关键文件
· 关键注册表
· 自定义文件
· Agent下载
该功能用于管理Agent采集代理,包括查看Agent日志采集信息统计、修改Agent信息及启用状态、配置Agent关联的采集对象信息及删除Agent。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,进入Agent管理页面,可执行如下操作:
2. 支持按Agent名称、部署主机IP、Agent状态等信息检索Agent信息,输入查询条件后单击<查询>按钮可查看满足条件的Agent信息,单击<重置>按钮可重置查询条件。
参数说明
· Agent名称:Agent注册成功后平台给该Agent分配的名称,格式为“安装该Agent代理的主机IP地址_编号”,例如“1.1.1.1_0”。
· 部署主机IP:部署安装Agent代理软件的主机IP地址。
· 部署主机系统:部署安装Agent代理软件的主机操作系统类型。
· Agent状态:标识Agent是否在线。
· 采集器IP:Agent关联的采集器IP地址,Agent采集到的日志将发送给该采集器。
· 注册时间:Agent首次注册到平台的时间。
· 软件版本:Agent当前软件版本号。
· 采集状态:标识Agent是否启用。只有处于启用状态的Agent才能采集日志。
· 自动升级:标识Agent自动升级功能是否启用。只有处于启用状态的Agent才能自动升级。
· 升级状态:Agent版本升级结果。
1. 单击统计按钮可进入监控汇总页面查看指定统计周期内,该Agent所采集到的日志统计信息。
1. 选择一个或多个采集状态为“停用”的Agent,单击<启用采集>按钮批量启用Agent日志采集功能。
1. 选择一个或多个采集状态为“启用”的Agent,单击<停用采集>按钮批量停用Agent采集功能,停用采集后,Agent将不再采集和上报日志。
1. 选择一个或多个自动升级状态为“停用”的Agent,单击<启用自动升级>按钮批量开启Agent版本自动升级功能。
1. 选择一个或多个自动升级状态为“启用”的Agent,单击<停用自动升级>按钮批量关闭Agent版本自动升级功能。
1. 对于未升级或升级失败的Agent,单击<手动升级>按钮立即升级Agent的软件版本。
1. 单击操作列编辑按钮,可以修改当前Agent的名称及所属租户。
1. 单击操作列配置按钮进入配置Agent管理页面,可新增或修改Agent关联的采集对象的配置信息。
1. 选择一个或多个Agent,单击<删除>按钮批量删除Agent;单击操作列<删除>按钮删除一个Agent。
该页面用于展示选中Agent代理的日志采集情况,包括该Agent关联的所有采集对象上报的日志条数以及日志上报趋势。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击统计按钮即可进入监控汇总页面查看采集情况。
3. 支持按类型(如tomcat)、统计周期筛选采集数据,点击<重置>按钮可重置查询条件。
· 类型:采集对象的类型,如mysql、tomcat等。
· 总数目:显示各个采集对象在统计周期内上报日志的条数。
该功能用于管理Agent关联的采集对象的配置信息。Agent可采集目标主机上关键注册表、关键文件的操作日志、自定义文件中的日志信息,以及部署在主机上的数据库(MySQL、Oracle等)的运行日志。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击配置按钮进入配置Agent管理页面。
3. 新增或修改采集对象:选择对应页签,单击新增按钮可新增一个对应的采集对象并关联到当前Agent,单击编辑按钮可修改当前Agent关联的采集对象的配置信息。
注意事项
只有“在线”状态的Agent可以新增或修改采集对象配置信息。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击配置按钮进入配置Agent管理页面。
3. 选择对应页签,点击删除按钮可删除对应的对象的配置信息。
该功能用于管理Agent关联的数据库配置信息。配置数据库相关参数后,Agent将定时采集该数据库的日志信息。一个Agent可关联多种类型的数据库,但每种类型数据库仅支持关联一个。
1. 在Agent管理页面,选择数据库页签。
2. 单击<添加>按钮新增一个数据库配置,配置相关参数后点击<确认>按钮完成操作。
○ 数据库类型:需要采集日志的数据类型。
○ 端口号:数据库的端口号。
○ 用户名:Agent连接数据库使用的用户名。
○ 密码:Agent连接数据库使用的密码。
○ 数据库名:需要采集日志的数据库的名称,MongoDB、DB2、Oracle类型的数据需要配置该参数。
○ 数据库权限:Agent连接数据库使用的账号权限,只有Oracle类型的数据需要配置该参数。
○ 慢查询时间:指定慢查询日志的时间,SQLServer、MongoDB、DB2、Oracle类型的数据需要配置该参数。
○ 模板:日志采集的模版,该参数仅用于维护人员调试使用。
○ 认证协议:Agent连接数据库时的验证协议,只有MongoDB类型的数据需要配置该参数。
○ 登录触发器:选择是否采集用户登录日志,SQLServer、Oracle类型的数据需要配置该参数。
该功能用于管理Agent关联的关键文件路径信息。配置关键文件路径后,Agent将定时采集该路径下的文件操作日志。一个Agent最多可配置50个关键文件路径。
1. 在Agent管理页面,选择关键文件页签。
2. 单击<添加>按钮新增一个关键文件配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:目标日志文件路径,可填写到文件夹或具体到文件名,例如,/home、/home/file.txt,采集范围包括该路径下所有文件和子目录的文件。对于linux版本agent采集代理,该路径下包含的子目录数不能超过500个,否则无法保存配置。
该功能用于管理Agent关联的关键注册表路径信息,配置关键注册表路径后,Agent将定时采集该路径下的注册表操作日志。一个Agent最多可配置50个关键注册表路径。
1. 在Agent管理页面,选择关键注册表页签。
2. 单击<添加>按钮新增一个关键注册表配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:关键注册表路径,支持填写到具体注册表项,如:HKEY_CURRENT_CONFIG\Software。采集范围包括该路径下所有文件和子目录。
该功能用于管理Agent关联的自定义文件路径信息。配置自定义文件的存放路径后,Agent将定时采集该文件中新增的日志信息。一个Agent最多可配置50个自定义文件路径。
1. 在Agent管理页面,选择自定义文件页签。
2. 单击<添加>按钮新增一个自定义文件配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:自定义日志文件存放路径,可填写到文件夹或具体到文件名,例如/home/*、/home/file.txt。采集范围为该路径下所有文件(不包括子目录)中的日志信息。 如需采集某个文件夹下所有文件中的日志,路径必须以*结尾,如/home/*,若只配置文件夹路径,未以*结尾,Agent将不进行日志采集。
○ 读取方式:支持追加读取和从头读取,追加读取表示只采集该文件中新增信息;从头读取表示采集该文件中所有信息(已采集的信息不会重复采集)。
该功能用于下载最新版本Agent采集代理软件,并支持在线预览Agent安装指导。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent下载”页签,单击进入Agent下载页面,可执行如下操作:
2. 在线预览/下载帮助文档:提供Agent采集代理软件安装指导在线预览和下载功能,用于指导用户安装Agent软件。
3. 下载Agent:点击对应版本即可下载相应版本Agent采集代理软件。
该功能用于导入离线日志,可导入本地.log或.txt格式的日志文件到系统进行分析。当不能通过主动或被动日志源上传日志时,可将日志文件存储到本地再上传到本系统。仅支持处理日志文件中日志产生时间与当前平台系统时间相差24小时以内的日志,超过24小时的日志会被系统忽略不会进行解析。
本章包含如下内容:
· 导入日志文件
· 删除日志导入记录
该功能用于导入本地日志文件,系统支持导入.log或.txt格式的日志文件,导入的日志文件大小必须大于0KB,否则导入失败。
1. 选择“系统设置 > 数据源配置 > 日志导入”进入日志导入页面。
2. 单击<新增>按钮进入新增导入任务页面。
3. 配置相关参数后,单击<确认>按钮完成操作。
○ 日志源名称:导入日志的日志源名称。
○ 设备类型:生成该日志文件的设备的类型。
○ 厂商:生成该日志文件的设备的生产厂商。
○ 设备型号:生成该日志文件的设备的型号。
○ 文件编码:该日志文件中日志的编码方式。
○ 上报协议:上传该日志文件的协议类型。
○ 日志文件:选择需要上传的日志文件。一次只能上传一个日志文件。
该功能用于删除日志导入记录。
1. 选择“系统设置 > 数据源配置 > 日志导入”进入日志导入页面。
2. 选中多条日志导入记录,单击<删除>按钮即可批量删除导入记录;单击操作列的<删除>按钮即可删除选中的导入记录。
该操作仅会删除导入记录,不会影响日志文件上传到采集器。
该功能用于将本平台收集的原始日志、安全告警、平台系统日志和操作日志等数据转发到其他日志分析平台或日志接收系统。
本章包含如下内容:
· 新增转发任务
· 删除转发任务
该功能用于新增数据转发任务。
1. 选择“系统设置 > 数据源配置 > 数据转发”进入数据转发页面。
2. 点击<新增>按钮可新增日志转发任务。
3. 根据实际需求,配置转发基础参数,如任务名称、目的IP等。
4. 选择转发内容,系统支持转发原始日志、安全告警、平台系统日志和平台操作日志。选择指定日志后,可单击<配置转发字段>按钮,进入配置转发字段页面,定制该日志转发的具体字段。
5. 在配置转发字段页面,可通过配置过滤条件,对日志进行筛选。在“转发字段”区域,可以通过单击具体转发字段右侧的<X>按钮,将其移动到“待选字段”区域,系统将不会转发该字段。
6. 点击<确认>按钮完成操作。
相关说明:
○ 租户名称:租户的名称。
○ 任务名称:转发任务的名称。
○ 目的IP:接收本平台转发的日志数据的目的IPv4地址。
○ 目的端口:接收本平台转发的日志数据的目的端口。
○ 日志协议:平台转发日志使用的日志协议。(不需要配置)
○ 传输协议:平台转发日志使用的传输协议。(不需要配置)
该功能用于删除日志转发任务。删除指定任务后,平台将不再按该任务中配置的参数转发日志。
1. 选择“系统设置 > 数据源配置 > 数据转发”进入数据转发页面。
2. 选中多个任务,点击<删除>按钮可批量删多个数据转发任务;选择一个任务,点击操作列<删除>按钮,可删除对应的转发任务。
该功能用于对第三方资产进行监控和管理。通过数据共享任务,系统可从第三方平台批量同步资产信息,同步信息如下:
· 资产:资产基本信息,包括资产名称、资产IP、资产类型、生产厂商。
· 区域:资产所属区域信息。
· 漏洞:资产存在的漏洞信息。
· 弱口令:资产存在的弱口令信息。
· 配置风险:资产存在的配置风险信息。
数据共享配置步骤如下:
1. 选择“配置中心 > 数据源配置 > 数据共享”进入数据共享页面。
2. 单击<新增>按钮,进入新增数据共享任务页面,配置相关参数。
3. 单击<测试连接>按钮,可测试第三方平台是否可用,提高系统可靠性。
4. 单击<确认>按钮,完成数据共享任务的配置。
5. 选中多条任务,单击<删除>按钮可批量删除任务;单击指定任务右侧操作列下的<删除>按钮,可删除选中的任务。
6. 单击指定任务右侧操作列下的<编辑>按钮,可修改选中任务的配置信息。
7. 单击指定任务右侧操作列下的<同步>按钮,可触发第三方平台同步数据到本平台。
相关说明:
· 数据来源:资产信息同步来源,选择数据来源后,系统将从该第三方平台获取资产信息。
· 接口URL :系统通过该接口URL访问第三方平台。
· 用户名:系统登录第三方平台使用的用户名。
· 密码:系统登录第三方平台使用的密码。
· 同步数据:需要获取的资产信息,不同的第三方平台可同步的资产信息不同,请以界面实际情况为准。
· 区域:数据共享任务同步的资产所属的区域。
· 执行时间:
○ 立即同步:配置完成后系统将立即执行任务。
○ 每天:需要指定任务执行时间,例如,指定任务执行时间为20:30:00,系统将会在每天20:30:00执行任务。
· 从iMC EPS 鹰视系统同步资产和区域时,若同步区域失败,则同步的资产放置在数据共享任务配置的区域中。
· 从iMC EIA 终端智能接入和终端安全管理系统同步资产时,系统根据资产IP自动匹配所属区域,若匹配失败,则同步的资产放置在数据共享任务配置的区域中。
本章包含如下内容:
· 漏扫任务
· 漏扫设备管理
· 漏扫设备组管理
· 漏扫报告导入
该功能用于创建和下发漏扫任务。漏扫任务依据漏扫策略和漏扫参数对扫描目标进行扫描,并收集、适配和保存扫描结果。有关漏扫策略和漏扫参数的说明请参见漏扫设备配套的相关配置手册。
1. 选择“系统设置 > 漏扫配置 > 漏扫任务 > 任务列表”进入任务列表页面。
2. 单击<新增>按钮进入新增漏扫任务页面。
3. 配置任务参数。
○ 任务名称:漏扫任务的唯一标识。
○ 漏扫设备:执行任务的漏扫设备或设备组。
○ 扫描类型:扫描任务类型。
○ 扫描周期:任务的执行周期与时间。
○ 漏扫策略:不同扫描类型提供不同的漏扫策略,请根据实际情况选择。
○ 扫描目标:待扫描的IP、IP范围、URL等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。
○ 关联资产:扫描目标URL关联的资产IP地址。支持手工录入、从模板导入和从资产导入三种方式导入关联资产。扫描类型选择“web”时需要配置关联资产。
4. 单击<确认>按钮,完成操作。
5. 任务下发成功后,单击任务列表中操作列的<详情>按钮,查看任务详情。
6. 单击任务列表中操作列的<下载>按钮,下载漏扫任务报表。
7. 勾选多个漏扫任务,单击列表左上方的<删除>按钮,可批量删除漏扫任务。单击任务列表中操作列的<删除>按钮,可删除指定的漏扫任务。
注意事项
○ 不同型号漏扫设备需要配置的任务参数不同,请以界面实际情况为准。
○ 当漏扫任务的扫描类型为弱口令破解且漏扫设备或漏扫设备组设备型号为SysScan-AE/ME/SE/VE/Cloud/AK、设备版本为H3C i-Ware Software, Version 3.1, ESS 6202P04时,不支持下载漏扫任务报表。
该功能用于管理漏扫设备。
1. 选择“系统设置 > 漏扫配置 > 漏扫设备管理 ”,进入漏扫设备管理页面。
2. 单击<新增>按钮,进入新增漏扫设备页面。
3. 配置相关参数。
○ 设备名称:漏扫设备的唯一标识。
○ 设备厂商:漏扫设备的生产厂商。
○ 设备型号:漏扫设备型号。此参数的支持情况与设备厂商有关,请以设备实际情况为准。
○ 设备版本:漏扫设备版本。
○ 设备IP:漏扫设备IPv4地址。
○ 设备端口:漏扫设备的端口号。
○ 所属设备组:漏扫设备所属漏扫设备组。
○ 账户:漏扫设备的登录账号。此参数的支持情况与设备型号有关,请以设备实际情况为准。
○ 密码:漏扫设备的登录密码。此参数的支持情况与设备型号有关,请以设备实际情况为准。
4. 单击<确认>按钮,完成操作。
该功能用于管理漏扫设备组。将漏扫设备分组后有利于统一管理和任务下发。
1. 选择“系统设置 > 漏扫配置 > 漏扫设备管理”,进入漏扫设备组区域。
2. 单击<新增漏扫设备组> 按钮,进入新增漏扫设备组页面。
3. 配置相关参数。
○ 设备组名称:漏扫设备组的唯一标识。
○ 设备厂商:该设备组中漏扫设备的生产厂商。
○ 设备列表:加入该设备组的漏扫设备。
4. 单击<确认>按钮,完成操作。
该功能用于导入离线漏扫报告文件,并对漏扫文件中的信息进行解析、适配、存储和展示。系统支持导入不同厂商漏扫设备生成的多种格式的漏扫报告文件。
1. 选择“系统设置 > 漏扫配置 > 漏扫报告导入”,进入漏扫报告导入页面。
2. 单击<导入>按钮,选择“漏扫报告导入”,弹出漏扫报告导入弹窗。
3. 配置漏扫报告文件的相关参数。
○ 设备厂商:生成该报告的漏扫设备的生产厂商。
○ 设备型号:生成该报告的漏扫设备型号。
○ 文件格式:漏扫报告文件格式。
○ 扫描类型:漏扫报告文件的解析模板。
○ 漏扫报告导入:选择上传漏扫文件。
4. 单击<确认>完成操作。导入结果可在“操作结果”中查看。
5. 导入漏扫报告成功后,单击操作列的<详情>按钮查看该报告中的漏洞信息详情及影响资产信息;单击<下载>按钮下载漏扫报告文件;单击<删除>按钮删除已导入的漏扫报告,删除报告文件不影响已解析入库的数据。
注意事项
· 导入漏扫文件中的HostIP不在已配置区域网段中,文件能成功导入,但查看详情时页面无统计数据。
· 导入漏扫文件中的HostIP被解析为资产时,如果资产数量已达到规格上限15万个,文件能成功导入,但查看详情时页面无统计数据。
· 导入漏扫文件中的HostIP在配置的用户网段中,文件能成功导入,但查看详情时页面无统计数据。
弱口令规则用于检测用户访问网页时是否使用了安全性较低的口令,例如仅包含简单数字和字母等,容易被攻击者猜测到或被破解工具破解的口令。
平台纳管的资产(探针设备)自身预置了预定义弱口令规则,但是在某些对安全性要求较高的场景下,预定义规则可能无法满足用户需求。此时,用户可在本平台手工创建自定义的弱口令规则,扩充资产的弱口令规则,提升资产的弱口令检测能力。
当用户在本平台对弱口令规则进行新增、编辑或者删除操作后,平台会将所有弱口令规则下发给纳管的资产,由资产使用弱口令规则对接收到的报文进行弱口令检测。如果检测成功,资产将向本平台上报相应的日志,用户可到日志中心进行查看。
· 平台不支持下发满足正则表达式([A-Za-z0-9]{1,6}|[0-9]{7,8}|[A-Za-z]{7,8})的弱口令内容,该类内容为平台纳管的探针设备系统预定义弱口令内容。
· 平台最多支持下发1024条弱口令内容(所有弱口令规则包含的总弱口令数量)。
· 平台仅支持将弱口令配置下发给威胁检测探针类型的资产。配置本功能前,请确保资产列表中已正确添加了H3C厂商的威胁检测探针类型的资产,且资产管理协议配置为SSH或SOAP,同时配置上述两种协议时,优先使用SOAP。
1. 选择“系统设置> 规则配置> 弱口令配置”,进入弱口令配置页面,
2. 单击<新增>按钮,进入新增弱口令规则页面,配置如下参数:
○ 规则名称:弱口令规则的名称。
○ 弱口令字段定义:用于定义规则检测的字段。
§ 账号字段:登录页面的后台代码中用于表示“账户名称”的字符串。例如,某登录页面中,账户名称使用“用户名”来表示,对应到后台代码中,该字段使用“name”来表示。则此场景下,此参数需要配置为“name”。
§ 密码字段:登录页面的后台代码中用于表示“账户密码”的字符串。例如,某登录页面中,账户密码字段使用“密码”来表示,对应到后台代码中,该字段使用“password”来表示。则此场景下,此参数需要配置为“password”。
○ 弱口令内容定义:用于定义哪些内容会被认为是弱口令。
弱口令内容:容易被攻击者猜测或被破解工具破解的口令内容,支持配置正则表达式。可直接在输入框中输入具体内容,也可导入弱口令内容文件。
其中,导入文件时,需要单击右侧的<导入>按钮,在“导入弱口令内容”页面中,将弱口令内容模板下载到本地,并根据模板中的提示添加相关内容后,单击<上传>按钮,将文件上传到平台(仅支持导入txt格式文件)。
○ 高级配置:用于配置弱口令检测的附加条件,在符合上述“弱口令内容”之外,还需要满足如下条件才认为是弱口令。本功能仅针对通过HTTP协议登录Web访问页面的场景。
§ WEB登录成功:开启本功能后,规则会针对登录成功的报文进行弱口令匹配。
响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
响应状态码:响应报文的响应状态码。
响应内容:响应报文中的具体内容。
§ WEB登录失败:开启本功能后,规则会针对登录失败的报文进行弱口令匹配。
响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
响应状态码:响应报文的响应状态码。
响应内容:响应报文中的具体内容。
3. 配置上述参数后,单击<确认>按钮,完成操作。平台会将新增的弱口令规则下发给纳管的资产。
4. 在规则名称输入框中,输入需要查询的规则名称,单击<查询>按钮,可以检索相应的规则。单击<重置>按钮,可重置查询条件。
规则参数说明:
○ 租户名称:规则所属的租户。
○ 规则名称:弱口令规则的名称。
○ 账号字段:规则中定义的账号字段。
○ 密码字段:规则中定义的密码字段。
○ 弱口令数量:规则中包含的弱口令内容数量。
数据分析高级配置功能用于配置部分安全告警数据高级分析场景,通过设置场景的开关,控制安全告警数据高级分析场景的启用与停用。
灰色事件引擎:用于设置灰色事件引擎的启用与停用。灰色事件引擎通过机器学习(泊松分析、C段分布)、事件处置自学习经验知识等手段,识别并处理误报事件,提高安全告警准确性,精确判定风险,减轻安全运维人员运维压力。
1. 选择“系统设置 > 规则配置 > 数据分析高级配置”,进入数据分析高级配置页面。
2. 单击<停用>按钮或<启用>按钮,在弹框提示页面单击<是>按钮,可以选择启用或停用指定数据高级分析场景。
该功能用于查看入侵防御特征库信息,可对特征执行启用和禁用以及查看特征详情等操作。管理员可通过选择规则分类以及配置特征ID等过滤条件筛选出所需的特征。
1. 选择“系统设置> 规则配置> 规则特征库”,进入规则特征库页面,
2. 在左侧规则特征库类型下拉列表中,选择指定的规则类型。
3. 配置特征ID、特征名称等过滤条件,单击<查询>按钮。特征列表中将展示筛选后的结果。
4. 选择指定的特征,单击<启用>或<停用>按钮,可以启用或禁用特征。
5. 选择指定的特征,单击操作列下的<详情>按钮,可以查看特征的详情信息。
6. 单击<一键启用>按钮,可以启用所有已停用的规则特征库数据。
7. 单击<操作结果>按钮,可以查看最近一次启用或停用的操作结果,包括威胁检测探针及具体的操作结果信息。
该功能用于查看漏洞特征库信息,并支持批量导入漏洞以及查看漏洞详情。漏洞特征库用于为脆弱性风险分析提供数据支持,对于符合漏洞的资产,可能认为其具有脆弱性风险,
· 选择“系统设置> 规则配置> 漏洞特征库”,进入漏洞特征库页面,
· 配置漏洞名称等过滤条件,单击<查询>按钮。漏洞列表下将展示筛选后的结果。
· 单击<导入>按钮,选择导入,可进入导入漏洞页面。
· 单击“漏洞导入模板”链接,下载漏洞模板。根据模板中的说明信息填写相关数据,完成编辑后保存到本地。
示例:
○ 漏洞名称:(MS12-015)微软 Visio Viewer 2010 VSD 文件格式内存破坏(CVE-2012-0019)漏洞
○ 漏洞描述:Microsoft Visio Viewer是微软发布的一款非常流行的应用软件。如果用户打开特制的 Visio 文件,这些漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与登录用户相同的用户权限。
○ 解决方案:微软已经发布了安全公告和相应的安全补丁:http://www.microsoft.com/technet/security/bulletin/MS12-015.mspx?pf=true
○ 漏洞目标:OfficeSoftware/MicrosoftOffice
○ 漏洞类型:Vulnerability/MemoryCorruption
○ 参考:CVE-2012-0019
○ 严重级别:高危
○ 漏洞披露时间:2022/3/3
○ 可利用性:完全地
· 再次返回“导入漏洞”页面,单击上传文件区域,或者直接将本地保存的漏洞模板拖入到上传区域中,单击<确认>按钮,将漏洞模板导入到平台。
· 在漏洞列表页面,单击<导入>按钮,选择操作结果,可以查看导入操作结果。
该功能用于针对全网中的资产制定告警策略,当告警策略中监控的资产产生安全告警后会立即触发告警策略,产生相应的告警信息并通知相关责任人。
本章包含如下内容:
· 告警策略
· 告警记录
该功能用于新增和配置告警的触发策略,在告警策略中指定监控的资产并配置告警方式通知给相关责任人。
1. 选择“系统设置 > 系统告警管理 > 告警策略”进入告警策略页面。
2. 单击<新增>按钮,进入新增告警策略页面。配置基本信息。
○ 策略名称:告警策略的唯一标识,不能重复。
○ 描述:告警的描述,便于管理员快速识别该策略。
○ 告警类型:即告警策略监控的对象,仅支持“资产”。
3. 单击<下一步>按钮,配置触发条件。选择监控的资产,支持选择某个区域的所有资产或选择某些指定资产。
○ 监控的资产:指定区域内的资产或指定资产发生安全告警,并且在告警周期内,资产安全状态上升为指定状态时,触发告警。
○ 告警周期:告警策略执行周期。若告警周期内满足告警触发条件,系统将发送告警通知。
○ 资产安全状态:告警周期内,受监控资产的安全状态上升为指定状态时,触发告警。
4. 单击<下一步>按钮,配置告警方式。指定告警周期及触发告警的资产安全状态,请至少选择一种告警方式:
○ 邮件:开启后,触发告警时,系统将向指定收件人发送告警邮件。
§ 邮件标题:通过邮件方式发送告警时邮件的标题。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置邮件地址。
§ 模板预览:展示告警信息内容。
○ 短信:开启后,触发告警时,系统将向指定收件人发送告警信息。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置联系方式。
§ 模板预览:展示告警信息内容。
○ APP:开启后,触发告警时,用户可使用指定的账号登录H3C云智手机App,首页告警栏目将会新增一条告警信息。
§ 收件人:接收告警信息的用户(可多选)。必须使用指定的收件人账号登录H3C云智手机App,才能看到该策略生成的告警信息。
§ 模板预览:展示告警信息内容。
5. 单击<确认>按钮,新增告警策略完成,新增的告警策略缺省处于启用状态,可通过<启用>和<停用>按钮改变任务启用状态。
该功能用于配置单个告警策略在指定时间段内发送告警通知的最大数量,避免系统频繁大量的发送告警通知。
1. 在告警策略页面上方,单击<告警设置>按钮,进入告警设置页面。
2. 开启告警控制设置,配置时间范围及最大告警通知数量。
3. 单击<确认>按钮完成设置。
· 选择邮件或短信告警方式时,必须先在“系统设置> 系统配置 > 全局配置> 通知设置”页面完成邮件服务器和短信业务中心的相关配置,并且收件人已经正确配置了邮箱或联系方式,否则无法正常发送告警通知。
· 选择APP告警方式时,请确保手机已安装H3C云智应用程序,并且设置手机网络,确保H3C云智应用程序与平台之间网络互通,否则平台无法正常发送告警通知。
· 在一个告警周期内,每个告警策略产生的告警信息中最多支持展示100个安全状态提升的风险资产的告警信息,超出规格的风险资产的告警信息不再展示。
该功能用于记录已触发的告警,在该页面可查看告警的发送时间、告警方式、收件人等信息。
1. 选择“系统设置 > 系统告警管理> 告警记录”,进入告警记录页面。
2. 在告警记录页面可查看已触发告警的相关信息,单击操作列的<删除>按钮可删对应的记录。
该功能用于检查网络连接是否可用,支持通过Ping、Telnet和Traceroute三种方式进行检查,方便用户分析和判断网络故障。
· 通过使用Ping功能,用户可以检查指定地址是否可达,测试链路是否通畅。
· 通过使用Telnet功能,用户可以查看指定地址的某个端口是否开放。
· 通过使用Traceroute功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。
网络诊断具体配置步骤如下:
1. 选择“系统设置 > 诊断中心 > 网络诊断”,进入网络诊断页面。
2. 在诊断条件区域,选择诊断方式,配置相应的参数后,单击<开始诊断>按钮。
3. 完成操作后,在诊断结果区域查看诊断结果。
相关说明:
· 目的IP地址或主机名:输入诊断的目标IP地址或者主机名。其中当IP类型为IPv6时,Ping、Telnet和Traceroute方式IPv6类型均不支持诊断主机名。
该功能用于捕获采集器服务器上接收和发送的双向报文,并将捕获到的报文生成Wireshark(一种网络封包分析软件)可识别的.PCAP后缀文件,完成捕获后,用户可在界面下载指定的捕获文件,对出入采集器服务器的流量进行分析和诊断。
报文捕获具体配置步骤如下:
1. 选择“系统设置 > 诊断中心 > 报文捕获”,进入报文捕获页面。
2. 在捕获参数设置区域,配置相应的参数后,单击<开始捕获>按钮。
3. 完成操作后,在捕获文件区域下载捕获文件。
相关说明:
· 接口:采集器服务器的网卡。
· 协议:仅对指定协议的报文进行捕获。
· 时长:捕获动作的持续时间,达到配置的时长后,系统将停止捕获。
· 最大文件大小:每个捕获文件的大小上限,系统在指定时长内会持续进行报文捕获,捕获的报文每达到指定的文件大小时,均会生成一个捕获文件。
· 源主机:仅对报文发送源为指定IP地址或主机名的报文进行捕获。
· 源端口:仅对报文源端口为指定端口号的报文进行捕获。
· 目的主机:仅对报文发送目的为指定IP地址或主机名的报文进行捕获。
· 目的端口:仅对报文目的端口为指定端口号的报文进行捕获。
· 报文捕获功能支持文件存储容量最大为10GB,且仅保留最近一次报文捕获生成的文件,请用户及时下载。
· 报文捕获命令基于Cyber5服务器执行。
支持
