- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台
故障处理手册
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
3.1.1 创建资产时,提示“资产名称:test,ip信息:(172.64.0.1) 已存在。”
6.1 服务器异常断电后,平台系统登录失败, HDM显示进入紧急模式(emergency mode)。
本文档介绍H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台(以下简称NDR)常见故障的诊断及处理措施。
系统正常运行时,建议您在完成重要功能的配置后,及时保存并备份当前配置,以免设备出现故障后配置丢失。建议您定期将配置文件备份至远程服务器上,以便故障发生后能够迅速恢复配置。
在进行故障诊断和处理时,请注意以下事项:
· 当出现故障时,请尽可能全面、详细地记录现场信息(包括但不限于以下内容),收集信息越全面、越详细,越有利于故障的快速定位。
¡ 记录您所使用的系统版本。
¡ 记录具体的故障现象、故障时间、配置信息。
¡ 记录完整的网络拓扑,包括组网图、端口连接关系、故障位置。
¡ 记录现场采取的故障处理措施及实施后的现象效果。
· 故障处理过程中,如需更换程序文件或安装补丁,请参考软件对应的版本说明书,确保兼容性。
· 诊断和处理故障人员必须详细了解软件运行机制,并能熟练操作软件及其所依赖的程序和系统。
当故障无法自行解决时,请准备好设备运行信息、故障现象等材料,发送给H3C技术支持人员进行故障定位分析。
用户支持邮箱:[email protected]
技术支持热线电话:400-810-0504(手机、固话均可拨打)
通过浏览器访问平台地址时,界面显示为服务器的HDM登录页面。
(1) 通过HDM口登录服务器管理页面,点击“网络-专用网口-配置”,查看IPv4地址是否与平台地址冲突。若冲突,请修改地址。
(2) 点击“网络-共享网口-配置”,查看IPv4地址是否与平台地址冲突,若冲突,修改IPv4地址,或去勾选“IPv4配置”项。使用专用网口进行服务器管理。
创建资产时,提示“资产名称:test,ip信息:(172.64.0.1) 已存在。”
(1) 检查资产信息配置是否存在错误,例如管理IP或名称与组内已有成员是否重复。如果是资产管理IP、名称重复等错误,请根据提示修改相应配置信息。
(2) 如果根据页面提示信息排查后仍无法解决您的问题,请联系H3C技术支持工程师。
按照资产模板要求导入资产信息时,提示导入失败。
(1) 在下载的资产模板中,按照模板列表信息填写完整资产信息,其红色“*”为必填项。排查填入模板的信息是否符合“说明”sheet页面的要求。
不同版本资产导入的条件不一样,请以实际情况为准。
(2) 若满足要求,请在资产列表界面,单击<导入>按钮选择“操作结果”查看失败原因,并按提示信息更改资产导入模板中的信息。
(3) 重新检查并修改资产导入模板的资产信息,确认信息无误后再次导入。
(4) 如果按上述操作执行完成后问题仍无法排除,请联系H3C技术支持工程师。
采集器未收到日志,在“系统设置> 数据源配置 > 采集器状态”界面,单击“统计信息”列的统计进入监控汇总界面,查看页面无数据,如下图所示。
(1) 在“系统设置 > 数据源配置 > 采集器状态”页面查看采集器状态。
(2) 若采集器为离线状态,登录cyber主机,重启对应采集器
cd /data/csap-log-collector/collector/bin
./collector.sh restart
¡ 执行如下命令重启主动采集器
cd /data/csap-log-collector/active_collector/bin
./activeCollector.sh restart
(3) 如重启后仍为离线状态,请联系H3C技术支持工程师。
(1) 在“系统设置 > 数据源配置 > 采集器状态”页面,点击采集器对应下拉按钮查看是否添加了日志源。若未配置日志源,请在“日志源管理”页面<新增>按钮添加日志源并关联采集器。
(2) 正确添加日志源后,执行如下命令查看采集器日志,
cat /data/csap-log-collector/collector/logs/info.log
若日志显示添加的日志源编码且端口已被监听说明日志源添加成功。如下图所示。
添加日志源或重启采集器均会产生日志源添加日志。
(1) 排查设备侧配置问题。在平台上将设备添加为日志源后,还需再将设备的日志主机配置为平台的采集,检查设备日志主机是否配置为正确采集器、是否发送了日志。
(2) 排查平台路由问题。确保平台与设备之间网络互通。
通过命令行登录平台cyber主机,使用tcpdump(默认安装)抓包检查网卡是否能接收到UDP报文,如果设备收不到UDP报文,则应该为网络问题。抓包命令如下,指定要抓取报文类型、目的IP地址(日志源IP地址)和目的端口。
(3) 如以上操作均无法解决,请执行如下命令重启采集器。重启后,大约两分钟后查看是否有采集到日志。若仍不能排除问题,请联系H3C技术支持工程师。
¡ 执行如下命令重启被动采集器
cd /data/csap-log-collector/collector/bin
./collector.sh restart
¡ 执行如下命令重启主动采集器
cd /data/csap-log-collector/active_collector/bin
./activeCollector.sh restart
采集器收到日志,在“系统设置 > 数据源配置 > 采集器状态”界面,单击“统计信息”列的统计进入监控汇总界面,查看页面有日志采集信息。但是“溯源中心-全文检索”无日志。
当日志时间与态势感知系统时间相差24h以上,系统会自动丢弃日志。因此需要确认日志源设备侧系统时间是否与态势感知系统一致。
(1) 登录态势感知系统,“系统设置-系统配置-全局配置-时间管理”查看系统时间。
(2) 登录日志源设备,查看系统时间,如FW设备为例: “维护-系统设置-日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常。
(3) 修改对应时间,保证日志一致。
添加日志源后,该日志源上报的日志都归类到网元系统日志或其他日志,同时可能存在解析乱码现象。
(1) 确定日志源设备类型、编码格式等配置是否正确,以H3C 威胁检测探针设备配置为例,其配置如下图所示。
(2) 若日志源配置正确,请记录归类错误详情,如,攻击日志归类到其他。
(3) 请查看日志适配表,确定日志源设备是否与平台适配过。对于第三方厂商设备,目前不能及时跟进设备版本迭代,若其日志字段调整需重新适配。
(4) 未适配过的设备,需要按第三方日志适配流程进行适配:
a. 购买日志适配服务
b. 提供第三方设备日志手册
c. 将第三方日志设备接入本平台,设备类型选择其他,适配过程中,配合H3C技术人员反馈适配结果。
日志解析错误,例如,日志类型分类错误,暴力破解类日志解析为漏洞利用类,或字段映射错误。
请联系H3C技术支持工程师,并提供原始日志及解析错误详细描述。
平台已采集到攻击日志生成但未生成安全告警。
(1) 确认日志是否满足关联规则匹配条件,如下图(以外网漏洞利用攻击为例),查看攻击日志是否符合匹配条件。
(2) 查看上报该攻击日志的日志源的系统时间与平台时间是否一致,若时间不一致将导致日志解析错误,从而导致安全告警匹配功能异常。
通过响应编排下发联动策略到目标设备失败。
(1) 平台当前支持下发响应联动策略的设备厂商及类型如下,请确认目标设备是否支持下发响应联动
¡ H3C:防火墙、IPS入侵防御系统、交换机、路由器、应用驱动广域网系统、应用驱动园区网系统、Web应用防火墙、AC无线控制器、ACG应用控制网关、iMC EIA终端智能接入、终端安全管理系统ESM、终端安全管理系统ESM-G
¡ 华为:USG防火墙
¡ 天融信:NGFW防火墙
¡ 深信服:AF防火墙
¡ 海康威视:防火墙
¡ 山石:防火墙、IPS入侵防御系统
(2) 查看目标设备系统版本,对照平台版本说明书,确认设备版本是否正确。
异常断电重启后,态势感知无法登录,通过服务器远程控制台查看系统后台提示进入紧急模式,如下图
先执行journalctl命令,查看系统日志信息,进入最后查看最新日志信息; 
(1) 执行xfs_repair /dev/dm-0 –L –v
(2) 修复完成后exit退出即可。
(3) 若平台依然存在问题,则可能异常断电导致系统文件损坏,请联系H3C技术支持工程师尝试修复或重装。
支持
