- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecPath SSMS 服务器安全监测系统
典型配置举例
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C 服务器安全监测系统专注于服务器的安全防护,提供持续的安全监控、分析和快速响应能力,能够在公有云、私有云、混合云、物理机、虚拟机等多种业务环境下实现安全的统一策略管理和快速的入侵响应能力。
H3C服务器安全监测系统向企业的运维和安全人员提供了安全管理海量服务器的能力,使得用户在低花费、缺乏安全专业知识的前提下,也能极大地提高企业的安全防护能力。
安全是一个持续化的过程,H3C服务器安全监测系统具有快速、灵活、可扩展的特点,可以将现有的安全技术与持续运营的安全模型相结合,给用户提供一个持续化的动态安全解决方案。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
H3C服务器安全监测系统服务端与Agent只要网络可达即可建立连接通信,下面所有配置均使用该组网环境。本配置举例意在说明首次拿到服务器安全监测系统所需要做的基本配置。
图3-1 网路架构图
H3C服务器安全监测系统共分为三部分:Server服务器、Agent主机、代理服务器。Server服务器上承载有主机监控管理系统的绝大部分运行程序,负责对搜集来的数据进行统一的挖掘、分析、控制与呈现。Agent主机为被管理主机,其上安装有主机安全探针,负责对所属主机进行安全巡检以及实时地入侵监控。代理服务器可为承载有socket代理软件的CentOS主机,用以连接不同网域内Agent主机。
Linux和Windows系统暴力破解,支持实时检测暴力破解行为,同时支持自动封停,也可以手动进行加入白名单和永久封停操作。
分别在入侵检测->暴力破解->服务设置,开启VSFTPD、SSHD、SSH、WINRM、RDP防爆破设置,后三种在Windows的暴力破解下设置。
图4-1 Linux下暴力破解服务设置
图4-2 Windows下暴力破解服务设置
如需要封停非内网主机的暴力破解攻击,则需要在入侵检测->暴力破解->自动封停设置,设置为开启状态。
图4-3 自动封停设置
如有主机对Agent主机发起暴力破解攻击,则在暴力破解下会有告警日志产生。
图4-4 暴力破解日志
对登录事件进行实时监控,结合用户自定义监控规则,对在异常地点、异常时间、异常IP、异常登录行为的识别,发现异常登录行为并告警
在入侵检测->异常登录->正常登录规则设置->新建正常登录规则。
图4-5 新建规则界面
如有在正常登录规则之外的登录,则认为是异常登录,可在入侵检测->异常登录下查看异常登录记录。
图4-6 异常登录检测界面
提供内网告警的控制开关,可控制是否上报内网的反弹Shell记录。
可在入侵检测->反弹Shell->告警设置,开启内网告警设置。
图4-7 反弹Shell告警设置
在入侵检测->反弹Shell->白名单规则->新建白名单中,可设置连接进程、进程树、目标主机和目标端口,符合设置条件的攻击行为则不告警。
图4-8 新建白名单规则界面
用户动态配置,设置特定的蜜罐监听端口,发现恶意端口扫描行为。
在入侵检测->动态蜜罐->查看规则->新建规则下新建蜜罐规则。
图4-9 新建蜜罐规则界面
如有端口被恶意访问,可在入侵检测->动态蜜罐下查看蜜罐日志。
图4-10 动态蜜罐检测界面
自定义WEB目录监控及应用主机范围设置,自动化识别Web后门目录,实时监控文件变化,通过正则匹配、ssdeep匹配发现Web后门。
在入侵检测->web后门->自定义目录,配置需要监控的目录。
图4-11 自定义目录界面
在入侵检测->web后门->白名单规则->新建白名单规则,可基于文件md5值、文件目录和文件后缀,符合设置的条件的文件则不检测。
图4-12 自定义白名单规则界面
如有web后门文件,可在入侵检测->web后门下查看web后门日志。
图4-13 Web后门日志
Web命令执行中,用户可以自己创建和管理监控规则,通过匹配进程名和进程命令行,有效发现黑客执行命令的行为痕迹,并进行实时告警。
在入侵检测->Web命令执行->监控规则->自定义规则->新建规则。
图4-14 新建自定义规则界面
监控管理是用来设置账号管理主机是否开启该功能,支持批量开启和批量关闭的功能。新安装的主机会默认开启监控。
图4-15 监控管理界面
在入侵检测->Web命令执行->白名单规则->新建白名单规则中,可基于进程名和进程命令行,符合设置的条件的命令行为则不告警。
图4-16 新建白名单规则界面
病毒查杀(Anti Virus)提供企业可靠有效的杀毒能力,帮助满足信息安全技术网络安全等级保护基本要求中的各项要求,并能帮助安全人员快速分析病毒信息,实时发现病毒的运行行为并进行告警和事件上报,具备主动阻断机制可抵御病毒,提供用户各项处理能力。
提供对上报告警的病毒事件的查看、分析和处理能力。
图4-17 病毒查杀-告警列表
具体操作:
· 查看病毒详情:提供对病毒详细信息的查看,包含病毒引擎分析后的检测说明、病毒文件的静态信息以及病毒进程的进程相关信息;
图4-18 告警列表-病毒详情
· 下载病毒文件:提供对病毒的下载,用户可对想进一步分析的病毒进行下载,病毒文件已上传服务端,故主机上无论是否仍存在该病毒,都可以进行下载,下载的文件为病毒的真实文件,请注意在安全的环境下进行下载;
· 处理病毒:对病毒提供各项处理能力,包含:
¡ 支持对病毒进行进程阻断、文件隔离和文件删除(删除文件需要文件隔离后,处理中心可删除),其中隔离和删除成功后的病毒认为已修复,已修复事件将移出告警列表,可在告警列表的修复历史功能中进行查看;
¡ 确认为非病毒时可将该事件加入受信任区,加入受信任区后,相同的病毒在该主机上将不再进行告警,可在受信区中查看该事件记录;
¡ 修复后可将病毒事件标记为已修复,标记为已修复的事件同样将移出告警列表,可在告警列表的修复历史功能中进行查看,其操作人为当时手动操作的账号名。
图4-19 告警列表-处理病毒
· 重新检测病毒:点击重新检测,将对主机上运行的病毒进程进行全部扫描,并同时验证主机上已被修复的病毒事件。重新检测可选择主机的范围,可选择三种范围:全部主机、业务组和自定义主机;
图4-20 告警列表-重新检测自定义范围
· 导出病毒信息:支持对病毒信息进行导出,点击界面的“全部导出”按钮和勾选记录后点击“导出”操作都可导出当前已选范围的数据;
查看所有已被记录为修复的病毒事件,修复历史同样支持导出和查看详情。
图4-21 告警列表-修复历史
查看所有已被受信任的病毒事件,受信任的事件支持删除。
图4-22 告警列表-受信区
可管理自动处理的设置和病毒引擎的设置。
可设置全局的自动处理配置,也可针对某些主机进行特殊的设置,特殊设置后的主机配置结果将展示在列表中。
图4-23 设置管理-自动处理设置
具体操作:
· 全局设置:用于控制全部主机的自动处理,该配置为长期生效的状态,对全部主机持续生效,包含新安装的主机。如果单独设置了某主机上的自动处理操作,则以单独设置的处理为准。
图4-24 设置管理-全局设置
· 批量设置:用于批量下发主机上的特殊设置,该配置下发为一次生效的机制,设置的对象为下发时刻的主机范围,不持续生效。设置后的结果会展示在列表中,支持对全部主机、业务组和主机三种类型的范围进行下发。
图4-25 设置管理-批量设置
· 设置:用于修改主机上的特殊设置。
图4-26 设置管理-设置
可设置各病毒引擎的开关状态,方便用户管理杀毒引擎。目前支持小红伞病毒引擎、ClamAV病毒引擎、T-Sec-反病毒引擎和自有引擎。
图4-27 设置管理-杀毒引擎设置
可查看和管理已经处理成功的病毒文件,并支持查看每一次对病毒文件的处理操作记录。
· 已隔离:查看已隔离成功的病毒文件,可对隔离的文件进行还原和彻底删除;
图4-28 处理中心-已隔离
· 已删除:查看已删除成功的病毒文件,被删除的文件不可还原;
图4-29 处理中心-已删除
· 已阻断:查看已阻断成功的病毒文件,阻断后的文件还可以进一步隔离或删除;
图4-30 处理中心-已阻断
可查看所有的处理操作记录,方便用户追溯和确认处理的操作是否正常或者合规。
图4-31 处理中心-处理记录
用户根据实际情况创建基线检查作业并添加相应的基线检查规则。
图4-32 新建检查界面
图4-33 添加基线规则界面
目前,Linux合规基线支持对MySQL和WebLogic添加授权。
图4-34 凭证管理界面
图4-35 添加授权界面
在合规基线->查看白名单->新建白名单规则中,可基于检查项设置白名单。
图4-36 新建白名单规则界面
安装bash审计插件,可以实时监控用户主机上所有的命令操作,从而可以对这些操作进行审计。
在用户管理后台(http://ServerIP:81)->入侵配置->Bash安装->查看->全部主机安装审计插件。
图4-37 安装bash审计插件界面
在安全管理平台(http://ServerIP:80)->通用功能->服务工具->Agent管理,可查看已安装bash插件的Agent。
图4-38 查看Agent安装bash审计插件
通过此快速任务可以禁止本机和指定IP之间的通信。
图4-39 IP封禁配置界面-1
图4-40 IP封禁配置界面-2
图4-41 IP封禁配置界面-3
通过此快速任务可以解除被封禁的IP,从而本机可以与指定IP通信。
图4-42 IP解封配置界面-1
图4-43 IP解封配置界面-2
图4-44 IP解封配置界面-3
通过此快速任务您可以禁止其它主机访问本机的特定端口。
图4-45 端口阻断配置界面-1
图4-46 端口阻断配置界面-2
图4-47 端口阻断配置界面-3
通过此快速任务您可以解除被封禁的端口,从而允许其它主机访问本机的指定端口。
图4-48 解除端口阻断配置界面-1
图4-49 解除端口阻断配置界面-2
图4-50 解除端口阻断配置界面-3
通过此快速任务您可以查看设置过的IP和端口阻断规则。
图4-51 设置获取配置界面-1
图4-52 设置获取配置界面-2
图4-53 设置获取配置界面-3
用户可以自定义监控规则,可以查看系统规则的内容,并对其进行启用禁用设置,若有需要,用户可自定义设置审计规则,在入侵检测->可疑操作->审计规则配置->新建审计规则,通过配置正则表达式的方式建立规则。
图4-54 自定义审计规则配置界面
如果Agent上的shell命令行下执行的命令能够匹配设置的正则表达式,则可在安全日志->审计日志下查看审计结果。
图4-55 审计规则检测界面
以某一台主机为扫描发起点,基于ARP,PING,NMAP等多种方式扫描网段内实际存在的主机。
在通用功能->主机发现->扫描任务->新建扫描,创建主机发现规则。
图4-56 新建扫描界面
执行完成主机发现规则之后,可在通用功能->主机发现下查看扫描结果。
图4-57 扫描结果界面
在【Agent管理】下【升级管理】界面,根据需求选择【正式发布】、【公司灰度发布】或【主机灰度发布】,升级Agent。灰度发布可按照主机灰度分批更新主机,更新无异常后,再进行正式发布。
Linux 主机灰度发布,如下图所示:
图4-58 linux发布界面-1
图4-59 linux发布界面-2
Windows主机灰度发布,如下图所示:
图4-60 windows发布界面-1
图4-61 windows发布界面-2
灰度更新正常后,可发布正式更新。
Linux正式发布,如下图所示:
图4-62 发布界面
Windows正式发布,如下图所示:
图4-63 发布界面
支持
售前咨询
售后咨询
人工在线咨询
