• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath SSMS 服务器安全监测系统 用户管理Web配置指导(E6401 E6402 E6403)-5W103

手册下载

H3C SecPath SSMS 服务器安全监测系统

用户管理Web配置指导

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 首页··· 5

2 帐号管理··· 5

2.1 帐号信息·· 5

2.1.1 查询·· 5

2.1.2 重置·· 6

2.1.3 添加账号·· 6

2.2 基本信息·· 8

2.3 修改密码·· 8

2.4 强制改密·· 9

3 Agent 管理··· 9

3.1 升级管理·· 9

3.1.1   查询·· 10

3.1.2 刷新·· 10

3.1.3 发布更新·· 10

3.2 升级记录·· 12

3.3 Agent版本管理·· 12

3.3.2 上传 Agent 升级包·· 13

3.3.3 加载 Agent 升级配置·· 13

3.4 Agent管理·· 14

3.4.2 查询·· 14

3.4.3 刷新·· 14

3.4.4 重置·· 14

3.4.5 查看·· 14

3.5 Agent监控·· 3

3.5.1 查询·· 4

3.5.2 CPU 紧急明细·· 4

3.5.3 明细·· 5

3.5.4 agent crash 明细·· 6

3.6 Curl插件配置·· 7

4 系统配置··· 9

4.1 定时任务配置·· 9

4.1.1 重置·· 9

4.1.2 修改·· 9

4.2 规则同步流量配置·· 10

4.2.1 新增·· 10

4.2.2 重置·· 10

4.2.3 修改·· 10

5 通知配置··· 12

5.1 邮件服务·· 12

5.1.2 查询·· 12

5.1.3 重置·· 12

5.1.4 服务器设置·· 12

5.1.5 发送设置·· 13

5.1.6 删除·· 13

5.1.7 重发·· 13

5.1.8 查看内容·· 13

5.2 通知接收人管理·· 14

5.2.2 添加·· 14

5.2.3 java 通知事件绑定·· 14

5.2.4 通知事件视图·· 15

5.3 通知发送频率限制·· 16

5.3.2 查询·· 17

5.3.3 重置·· 17

5.3.4 添加·· 17

6 入侵配置··· 19

6.1 Web后门&风险-系统规则·· 19

6.1.1 系统规则详情·· 19

6.1.2 查询·· 21

6.1.3 重置·· 21

6.2 Web后门&风险-用户规则·· 21

6.3 操作审计规则·· 22

6.3.2 查询·· 22

6.3.3 重置·· 23

6.4 Bash 配置·· 23

6.4.2 选项·· 23

6.4.3 添加·· 24

6.4.4 刷新·· 24

6.4.5 重置·· 24

6.4.6 同步·· 24

6.4.7 Bash 安装信息·· 24

6.4.8 so 文件配置·· 24

6.5 Bash 安装·· 25

6.5.1 查看·· 25

7 资产配置··· 29

7.1 资产脚本执行周期·· 29

7.1.2 查询·· 29

7.1.3 刷新·· 29

7.1.4 重置·· 29

7.1.5 查看·· 30

7.2 资产收集速率配置·· 31

7.2.1 添加·· 31

7.2.2 重置·· 31

7.2.3 修改·· 32

7.3 自定义 web应用·· 32

7.3.2 查询·· 32

7.3.3 重置·· 33

7.3.4 详情·· 33

7.4 自定义软件应用·· 34

8 自定义基线··· 35

8.1 基线配置·· 35

8.1.2 规则管理·· 35

8.1.3 查询·· 38

8.1.4 重置·· 38

8.2 检查项配置·· 38

8.2.2 检查项管理·· 39

9 事件系统··· 41

9.1 日志上报配置·· 41

9.2 DNS插件管理·· 43

9.2.2 查看·· 43

10 账号使用说明··· 44

10.1 用户控制台使用说明·· 44

10.2 用户管理后台使用说明·· 45

10.3 系统配置管理使用说明·· 45


1 首页

用户管理后台首页。

图1-1 首页

2 帐号管理

2.1  帐号信息

帐号的详细信息,例如帐号 IDUUID、邮箱、手机等。

图2-1 账号信息

 

2.1.1  查询

可根据账号、COMID、账号ID及公司进行查询。

图2-2 账号查询

2.1.2  重置

对查询结果进行重置。

图2-3 重置

2.1.3  添加账号

对于多账号的客户而言,可以为每个账号分配特定的功能模板,即拥有对应的功能组合。一般用于云租户场景。

图2-4 添加账号

 

图2-5 添加账号信息

登录用户控制台界面,默认访问地址为http://管理平台IP:80,使用新建账号登录访问:

图2-6 新账号登录

 

 

2.2  基本信息

基本信息,即当前登录用户的基本信息,包含:账号、姓名、邮箱等等。

图2-7 基本信息

2.3  修改密码

即可修改当前账号的密码。

图2-8 修改密码

 

2.4  强制改密

初次登录时强制要求用户修改密码,以保障用户信息安全,该功能默认开启。

使用默认密码登录后,会弹出密码修改界面,修改密码需满足复杂度要求,且无法改回默认密码。

图2-9 强制改密

·     修改成功

密码修改成功后,关闭密码修改界面,弹出成功提示界面,点击确定可继续操作界面。

图2-10 修改成功

·     关闭强制改密

在配置文件/data/app/www/titan-web/conf/product/application.ini中,将application.update_default_password参数修改为false(默认为true,即可关闭强制改密功能。

3 Agent 管理

3.1  升级管理

列出所有帐号及其信息。

图3-1 Agent信息

 

3.1.1   查询

通过操作系统的类型对发布的Agent进行查询。

图3-2 查询

图3-3  

3.1.2  刷新

获得最新的Agent信息列表。

3.1.3  发布更新

Agent 端进行升级更新。可选择正式更新,也可进行灰度更新。

1. 按公司灰度发布

图3-4 公司灰度发布

2. 按主机灰度发布

图3-5 主机灰度发布

3. 正式发布

图3-6 正式发布

3.2  升级记录

升级记录的列表。

图3-7 升级记录

在此功能上,可进行升级检查的任务下发,以检查当前机器的在线离线情况,以及Agent的版本情况。

图3-8 升级检查

3.3  Agent版本管理

管理当前系统中存在的所有 Agent 版本。Agent 版本列表如下:

图3-9 Agent版本

点击查看详情,可查看该 Agent 的信息情况,以及插件详情。

图3-10 详情

3.3.2  上传 Agent 升级包

直接上传 Agent 升级包进行升级。

图3-11 上传Agent升级包

3.3.3  加载 Agent 升级配置

图3-12 加载Agent升级配置

3.4  Agent管理

列出各帐号的 Agent 信息。点击“查看”获得详细的 Agent 列表。

图3-13 Agent管理

3.4.2  查询

通过帐号、COMID 等查询条件对帐号进行查询。

图3-14 查询

3.4.3  刷新

获得最新的帐号信息列表。

3.4.4  重置

获得清除查询状态后的帐号信息列表。

3.4.5  查看

列出某一帐号的 Agent 相关信息。

图3-15 查看

1. 导出 csv

导出该公司的所有 Agent 信息列表。

图3-16 导出csv

图3-17 CSV

2. 查询 Agent 列表

单击“查看”,通过 Agent 版本、Agent IPAgent IDBash 版本等查询条件对 Agent 进行查询。在查询 时还可以选择在线状态(所有、在线、离线)、运行状态(所有、正常、降级、停用、卸 载)、平台(所有、linuxwin)、Bash 插件(所有、已安装、未安装)、业务组(所有 业务组)以进行分类查询。

图3-18 查询

3. 查看账号下 Agent 列表

图3-19 查看

可一个一个修改机器阈值,也可以选中一批相同的机器批量修改。

图3-20 修改机器阈值


4. 查看单台 Agent 信息

图3-21 单台Agent信息

可获取agent 日志、设置Agent 的运行级别,以及打卡动作。

图3-22 设置打卡动作

5. 批量更新 Agent 代理

由于 Agent 信息可能存在修改后没有及时更新,为获取到 Agent 最新的信息,需要手动更 Agent 相关信息,包括:

·     更新 Agent 代理:获取Agent最新的“代理”信息;

·     同步在线状态:获取Agent最新的“状态”信息,包括:在线(与服务端连通)、离线(与服务端断开);

图3-23 批量更新

6. 批量设置运行级别

图3-24 设置运行级别

7. 下载 Agent 日志

点击“Agent 日志”,即可获取一段时间内的 Agent 日志,已排查问题;

图3-25 Agent日志

8. 禁用 Audit

点击“禁用 audit”,即可关闭这台机器上的 audit

图3-26 禁用audit

3.5  Agent监控

此功能监控一段时间内,Agent 的运行及资源占用情况,包括:在线状态、CPU 占用情况、内存占用情况、文件句柄数量、audit 事件范围、inotifify 事件范围、主机负载情况;

图3-27 Agent监控

3.5.1  查询

分别按主机、公司、主机 crash rate 进行查询。

图3-28 查询

3.5.2  CPU 紧急明细

列出使用率超过80%CPU 的信息。

图3-29 CPU明细

1. 查询

通过查询条件公司对使用率超过80%CPU 进行查询。

图3-30 查询

2. 刷新

获得最新的CPU 使用率超过80%的明细列表。

3.5.3  明细

列出Agent 的信息。

图3-31 Agent信息

1. 查询

通过时间、公司、Agent IDAgent 版本等查询条件对agent 进行查询。

图3-32 查询

2. 刷新

获得最新的agent 明细列表。

3.5.4  agent crash 明细

列出agent crash 的信息。

图3-33 agent crash明细

 

1. 查询

通过公司、版本、时间范围等查询条件对agent crash 进行查询。

图3-34 查询

2. 3.5.4.2 刷新

获得最新的agent crash 明细列表。

3.6  Curl插件配置

对于某些Unix 系统中安装Agent,需要下载Curl 程序,可在此配置Curl 程序的下载地址。

图3-35 Curl插件配置


 

4 系统配置

4.1  定时任务配置

列出所有Job 定时任务及其信息。

图4-1 定时任务配置

4.1.1  重置

重置Job 定时任务信息列表。

4.1.2  修改

修改Job 定时任务的Job 类型、Cron 表达式、启用情况。

图4-2 修改

4.2  规则同步流量配置

列出各用户的信息。

图4-3 用户信息

4.2.1  新增

选择用户,填写批次下发数量以及批次间隔时间。

图4-4 新增用户

4.2.2  重置

重置用户信息列表。

4.2.3  修改

修改用户信息。

图4-5 修改


 

5 通知配置

5.1  邮件服务

图5-1 邮件

5.1.2  查询

通过标题、收件人等查询条件对发送邮件进行查询。

图5-2 查询

5.1.3  重置

获得清除查询状态后的发送邮件信息列表。

5.1.4  服务器设置

对发送通知邮件的服务器进行设置。填写邮件服务器域名或者IP、服务器的用户名和密 码、通知邮件的发件人邮箱和名称。

图5-3 服务器设置

5.1.5  发送设置

对发送间隔、每个间隔发送总量进行配置。

图5-4 发送设置

5.1.6  删除

删除邮件

5.1.7  重发

重新发送邮件

5.1.8  查看内容

查看邮件详细内容

图5-5 查看内容

5.2  通知接收人管理

列出所有业务通知接收人及其信息。先添加业务通知接收人,再进行java 通知事件绑定。

图5-6 通知接收人管理

5.2.2  添加

添加业务通知接收人,填写信息如运营组名称、邮件收件人、短信收件人等。

图5-7 添加

5.2.3  java 通知事件绑定

列出某一业务通知接收人所绑定的java 通知事件。

图5-8 java通知事件

1. 添加

选择java 通知事件ID 进行添加。

图5-9 添加

2. 移除

点击“移除”,移除java 通知事件。

5.2.4  通知事件视图

列出所有java 通知事件及其信息。

图5-10 通知事件视图

1. 添加

添加java 通知事件,选择java 通知事件ID 和运营组。

图5-11 添加

2. 移除

移除java 通知事件。

5.3  通知发送频率限制

列出业务通知及其信息。

图5-12 通知发送频率

5.3.2  查询

通过查询条件用户UUID 对业务通知进行查询。

图5-13 查询

5.3.3  重置

获得清除查询状态后的业务通知信息列表。

5.3.4  添加

添加业务通知。选择用户,选择通知类型(邮件、短信),填写发送上限。

图5-14 添加


 

6 入侵配置

6.1  Web后门&风险-系统规则

列出系统规则的帐号 IDUUID、帐号、公司名称。

图6-1 系统规则

6.1.1  系统规则详情

列出所有系统规则中的Webshell Weakfile 文件。

图6-2 详情

1. 查询

通过查询条件名称对系统规则文件进行分类查询,可选择全部、Webshell 以及Weakfile

2. 重置

获得清除查询状态后的规则文件信息列表。

3. 同步规则

将相关规则同步到Agent 端。

4. 选项

(1)  禁用

对某一条规则进行禁用。

(2) 文件内容正则

列出某一条规则文件的正则及其信息。 以描述为查询条件进行查询。可进行重置、禁用。

图6-3 文件内容正则

6.1.2  查询

通过帐号、UUID、帐号 ID、公司等查询条件对系统规则进行查询。

图6-4 查询

6.1.3  重置

获得清除查询状态后的系统规则信息列表。

6.2  Web后门&风险-用户规则

列出用户规则的帐号IDUUID、帐号、公司名称。点击“详情”可获得某一帐号所有用 户规则的列表。相关操作与系统规则类似,不再详细说明。

图6-5 用户规则

6.3  操作审计规则

列出所有可以被审计的操作。选择“禁用”表示不被审计,选择“启用”表示被审计。

图6-6 审计规则

6.3.2  查询

通过查询条件名称对操作审计进行查询。

6.3.3  重置

获得清除查询状态后的操作审计列表。

6.4  Bash 配置

列出bash 相关信息。

图6-7 bash配置

6.4.2  选项

1. 修改

修改bash 安装配置信息。

图6-8 修改

2. 删除

删除bash

6.4.3  添加

添加bash

图6-9 添加

6.4.4  刷新

获得最新的bash 信息列表。

6.4.5  重置

获得清除查询状态后的bash 信息列表。

6.4.6  同步

将相关Bash 安装配置同步到Agent 端。

6.4.7  Bash 安装信息

查看Bash安装信息。

图6-10 Bash安装信息

6.4.8  so 文件配置

so文件进行配置。

图6-11 so文件配置

6.5  Bash 安装

列出bash安装信息。

图6-12 安装信息

6.5.1  查看

点击查看进入操作界面

图6-13 查看

1. 安装插件

点击每列最后一列操作栏,即可安装操作审计事件插件。根据shell 类型选择相应插件。

图6-14 安装插件

2. 卸载插件

图6-15 卸载插件

3. 批量操作

选择左侧部分主机,点击下部“批量安装”或“批量卸载”

图6-16 批量操作

4. 全部操作

点击顶部操作栏,可对所有主机进行安装或卸载。

图6-17 全部操作


 

7 资产配置

7.1  资产脚本执行周期

列出包含kb 脚本的各帐号信息。点击“查看”可获得详细的kb 脚本情况。

图7-1 kb脚本情况

7.1.2  查询

通过帐号、COMID 等查询条件对包含kb 脚本的帐号进行查询。

图7-2 查询

7.1.3  刷新

获得最新的帐号信息列表。

7.1.4  重置

获得清除查询状态后的帐号信息列表。

7.1.5  查看

获得某一帐号的详细的kb 脚本信息。

图7-3 查看

1. 查询

通过查询kb_id kb 脚本进行查询。

图7-4 查询

2. 刷新

获得最新的kb 脚本信息。

3. 重置

获得清除查询状态后的kb 脚本信息列表。

4. 添加单个 kb 运行周期

填写 KB_ID 以及 KB 执行周期。

图7-5 添加kb运行周期

5. 设置默认运行周期

设置 kb 脚本默认运行周期。

图7-6 设置默认运行周期

6. 同步规则

将相关规则同步到 Agent 端。

7.2  资产收集速率配置

列出所有可配置的账号

图7-7 资产收集速率配置

7.2.1  添加

选择用户,填写速率。

图7-8 添加

7.2.2  重置

获得清除查询状态后的kb 脚本信息列表。

7.2.3  修改

修改速率。

图7-9 修改

7.3  自定义 web应用

列出包含自定义 Web 应用规则的各帐号。点击“详情”可查看某一帐号所有自定义 Web

应用规则的列表。

图7-10 自定义web应用

7.3.2  查询

通过帐号、COMID、帐号 ID、公司等查询条件对帐号进行查询。

图7-11 查询

7.3.3  重置

获得清除查询状态后的帐号信息列表。

7.3.4  详情

列出自定义Web 应用规则及其信息。

图7-12 详情

1. 查询

通过查询条件名称对自定义Web 应用规则进行查询。

2. 添加

添加自定义Web 应用规则,填写名称、描述。

图7-13 添加

3. 重置

获得清除查询状态后的自定义Web 应用规则信息列表。

4. 同步

将自定义Web 应用规则同步到Agent 端。

7.4  自定义软件应用

列出各帐号的自定义软件应用规则。点击“详情”可查看某一帐号所有自定义软件应用规则的列表。相关操作与自定义Web 应用规则类似,不再详细说明。

图7-14 自定义软件应用


 

8 自定义基线

8.1  基线配置

列出包含基线规则的各帐号。点击“详情”,可对基线规则进行管理。

图8-1 基线配置

8.1.2  规则管理

列出基线规则及其信息。

图8-2 规则管理

1. 查询

选择系统类型(LinuxWindows)、基线类型(系统基线、应用基线)来展示基线规则。通过查询条件名称对基线规则进行查询。

2. 添加

添加基线规则,填写名称、描述,选择适用平台,在应用列表中添加应用。

图8-3 添加

3. 重置

获得清除查询状态后的基线规则信息列表。系统内置基线

列出系统内置基线的信息。

图8-4 系统内置基线信息

可点击“复制为用户规则”。注意:复制会增加用户基线检查项,需要同步才能生效。同步操作在基线检查项中进行。

8.1.3  查询

通过帐号、UUID、帐号 ID、公司等查询条件对包含基线规则的帐号进行查询。

图8-5 查询

8.1.4  重置

获得清除查询状态后的帐号信息列表。

8.2  检查项配置

列出包含基线检查项的各帐号。点击“详情”,可对基线检查项进行管理。

图8-6 检查项

8.2.2  检查项管理

列出基线检查项及其信息。

图8-7 管理

1. 查询

选择系统类型(LinuxWindows)、基线类型(系统基线、应用基线)来展示基线检查 项。

通过名称、类型、检查方法、标签等查询条件对基线检查项进行查询。

2. 添加

添加基线检查项,填写标题、标签、参数、内容、描述、引用信息、模板、修复方法等, 选择类型、危险等级、前置条件不满足、检查脚本等。

图8-8 添加

3. 重置

获得清除查询状态后的系统规则信息列表。

4. 同步检查项

在复制为用户规则后,复制会增加用户基线检查项,需要同步才能生效。


 

9 事件系统

9.1  日志上报配置

该功能用于配置日志的上报的过滤信息,包含两类日志:

·     进程启动日志

·     网络连接日志

图9-1 日志上报

点击修改,进程启动日志,允许配置过滤的进程名与是否启用过滤;

图9-2 修改进程启动日志

点击修改,网络连接日志,允许配置过滤的进程名,端口,是否启用过滤;

图9-3 修改网络连接日志

9.2  DNS插件管理

图9-4 DNS插件管理

9.2.2  查看

查看账户下 DNS 情况

图9-5 查看

1. 安装&卸载DNS 插件

安装和卸载插件,既可单个安装&卸载,也可以批量安装&卸载,也可以一键“全部主机安装&卸载DNS 插件”。

图9-6 安装&卸载

 

10 账号使用说明

10.1  用户控制台使用说明

登录http://管理平台IP:80ServerIP指目标服务器的IP地址,例如:http://172.16.6.58)。

默认账户:admin@h3c.ssms

默认密码:admin

用户管理后台使用说明详见《H3C SecPath SSMS 服务器安全监测系统 Web配置指导》

10.2  用户管理后台使用说明

登录http://ServerIP:81/ServerIP指目标服务器的IP地址,例如:http://172.16.6.58:81)。

默认账户:admin@h3c.ssms

默认密码:admin

用户管理后台使用说明详见《H3C SecPath SSMS 服务器安全监测系统 用户管理Web配置指导》

10.3  系统配置管理使用说明

登录:https://ServerIP:82/ ServerIP指目标服务器的IP地址,例如:https://172.16.6.58:82

默认账户:admin

默认密码:admin

系统配置管理使用说明详见《H3C SecPath SSMS 服务器安全监测系统 系统管理Web配置指导》

新华三官网
联系我们