01-正文
本章节下载: 01-正文 (5.36 MB)
1.2.1 H3C SecCenter CSAP-WEB监测中心-分布式管理平台
1.2.2 H3C SecCenter CSAP-WEB监测中心-WEB检测引擎
3.1.7 分布式部署(H3C SecCenter CSAP-WMC-WebEngine)
H3C SecCenter CSAP-WEB监测中心产品是专门针对网站频发的安全事件精心研发的一款产品。该产品主要从网站的可用性、完整性、安全性三个方面,对网站进行全方位不间断监控,它的设计思路是帮助客户主动发现问题、及时处理和响应问题、并便于对大规模网站监控、从而减低客户人工成本等方面。
H3C SecCenter CSAP-WEB监测中心能够主动监控网站安全问题,监测网站脆弱性。并提供专业的修补意见,降低安全风险,防范于未然。并且提供网站监控平台7*24小时不间断监控,保持监控的持续性。突发攻击事件发生时,及时进项响应与处理,构建完善的网站安全体系。对于大范围的网站利用自动化的技术手段进行监控,减低人工成本。通过统一的指标进行全方位监控,为统一监管提供技术依据和关键指标。
H3C SecCenter CSAP-WEB监测中心-分布式管理平台是H3C SecCenter CSAP-WEB监测中心进行网站安全监测功能、站点配置和系统配置的平台,单台分布式管理平台具备150站点全功能规格的安全监测能力。
H3C SecCenter CSAP-WEB监测中心-WEB检测引擎是对H3C SecCenter CSAP-WEB监测中心软件规格和监测性能进行扩展的系统,WEB检测引擎通过分布式部署接入分布式管理平台,可以将WEB检测引擎所具备的软件规格和性能扩展到管理平台上,使得CSAP-WEB监测中心的站点监测数量以及监测性能得到提升。
设备已经设置了默认的Web登录信息,用户可以通过管理地址(初始默认地址https://192.168.0.1),直接使用默认信息登录Web界面(建议使用firefox浏览器)。默认Web登录信息请参见表1-1。
表1-1 H3C SecCenter CSAP-WEB监测中心-分布式管理平台默认Web登录信息表
登录信息项 |
默认配置 |
|
用户名 |
superman |
admin |
密码 |
superman |
admin |
表1-2 H3C SecCenter CSAP-WEB监测中心-WEB检测引擎默认Web登录信息表
登录信息项 |
默认配置 |
用户名 |
superman |
密码 |
superman |
H3C SecCenter CSAP-WEB监测中心-分布式管理平台缺省的用户角色有superman和admin。操作权限的区别是:
· superman具有系统管理员的操作权限,可配置系统的信息,定义二级普通用户,且具备概览二级普通用户和三级普通用户的站点详情以及监测任务的权限。
· admin是二级普通用户,具有的权限主要是对站点和任务的管理,还具有定义三级普通用户的权限,且具备概览三级普通用户的站点详情以及监测任务的权限。
H3C SecCenter CSAP-WEB监测中心-WEB检测引擎缺省的用户角色有superman,具备的操作权限为系统配置权限,具备分部署部署配置的配置项,不具备创建普通用户的权限。admin用户默认是禁用的,需要登录superman用户在用户管理中解禁才能登录。默认没有缺省的三级普通用户,三级普通用户由二级普通用户创建和定义,具有的权限主要是对由该用户自己所创建站点和任务的管理。
监视概要界面可以查看节点信息、系统资源使用率、风险总览、网站风险排行和安全问题汇总等信息。在主页面中选择“监视概要”,进入监视概要界面。风险总览显示了近期一段时间内每日安全事件的数量;网站风险排行依据网站评分进行排行,分数越低,对应的风险值越高;风险级别是显示所有网站总风险情况,分数越低,对应的风险值越低;安全问题汇总是显示了所有网站漏洞类型占比。
图2-1 监视概要
本章介绍H3C SecCenter CSAP-WEB监测中心提供的如下管理功能:
· 系统信息
· 网络配置
· 诊断工具
· 邮件服务器配置
· 短信网关配置
· 升级管理
· 分布式部署(型号为H3C SecCenter CSAP-WMC-WebEngine时,具备此配置项)
在主页面选择:系统管理 > 系统配置
系统信息用于展示当前软件系统版本、规则特征库版本、系统时间、系统资源使用率,以及syslog配置、系统时间配置等信息。syslog信息通过UDP报文发送,发送的信息为任务告警信息。
(1) 选择系统配置 > 系统信息 > 基本信息,可以查看系统基本信息;
(2) 选择系统配置 > 系统信息 > syslog配置信息,可以查看或修改syslog配置信息;
(3) 选择系统配置 > 系统信息 > 日期/时间,可以查看或修改系统时间配置信息。
图3-1 H3C SecCenter CSAP-WEB监测中心-分布式管理平台系统信息
图3-2 H3C SecCenter CSAP-WEB监测中心-WEB检测引擎系统信息
图3-3 syslog配置信息
图3-4 日期/时间
在主页面选择:系统管理 > 网络配置
该功能用于配置CSAP-WEB监测中心的网桥配置、路由配置、PORT配置、DNS配置。
(1) 选择系统配置 > 网络配置 > 网桥配置,进入网桥配置,默认有MngtVlan,IP地址为192.168.0.1(管理地址),点击IP管理,再点添加IP可在MngtVlan中新增IP地址。点击新增可添加网桥,点击IP管理可为新增网桥添加IP地址,每个网桥最多支持配置8个IP地址。点击删除可删除当前网桥。点击导出网路配置,可将当前网络配置导出备份,点击导入网络配置,可将之前导出备份的网络配置恢复。
图3-5 网桥配置
图3-6 IP管理
表3-1 网桥配置参数
参数 |
说明 |
网桥名称 |
网桥口的名称 |
IP/掩码 |
网桥的IP地址、掩码 |
状态 |
设置网桥接口的启用或禁用 |
操作 |
对网桥口做删除或编辑的操作 |
(2) 选择系统配置 > 网络配置 > 路由配置,进入路由配置界面,点击新增路由,添加相关路由配置。
添加缺省静态路由,保证平台到到被监测网站的可达性。
图3-7 路由配置
(3) 选择系统配置 > 网络配置 > PORT配置,进入接口配置界面,点击对应接口的编辑按钮,可配置当前接口所属网桥,以及物理状态是否开启。
图3-8 PORT配置
表3-2 PORT配置参数
参数 |
说明 |
接口名称 |
管理界面显示的接口名称,如port0 |
网桥名称 |
当前接口所处网桥 |
状态 |
设置接口的启用或禁用 |
端口状态 |
实际的物理接口的链路状态 |
发送速率 |
当前接口发送流量速率 |
发包速率 |
当前接口发包速率 |
接收速率 |
当前接口接收流量速率 |
收包速率 |
当前接口收包速率 |
操作 |
编辑当前接口所属网桥、启用或者禁用 |
(4) 选择系统配置 > 网络配置 > DNS配置,进入DNS配置界面,编辑主备DNS服务器地址。
图3-9 DNS配置
表3-3 DNS服务器说明
参数 |
说明 |
主DNS服务器 |
主用DNS服务器的IP地址,默认为8.8.8.8 |
备DNS服务器 |
备用DNS服务器的IP地址,默认为114.114.114.114 |
诊断工具包含一键诊断、PING命令、WGET命令以及故障信息收集。一键诊断功能能快速对PING、DNS、WGET进行检测。
在主页面选择:系统管理 > 系统配置 >诊断工具,进入诊断工具,进行相应的配置。
· 一键诊断
添加URL或者IP地址,点击一键诊断,平台将对该URL或者IP地址进行测试。
· PING命令
测试平台与远程主机之间的连通性。
· WGET命令
测试网站能否被平台正常访问。
· 故障信息收集
对发生故障的信息进行收集。
图3-10 一键诊断
图3-11 PING命令
图3-12 WGET命令
图3-13 故障信息收集
告警设置包括邮件告警与短信告警,本系统除了可以通过日志系统查看任务告警日志外,还可以通过设置电子邮件进行邮件通知,在配置完成并保存以后可以通过发送测试邮件,确定配置的是否正确。
在主页面选择:系统管理 > 系统配置 > 邮件服务器配置,进入邮件服务器配置界面,填入邮件服务器地址、邮件地址、密码、发送标题、接受者的邮件地址,提交即可。(告警不支持配置需要授权码进行第三方邮件登录的邮箱,如QQ、163邮箱等)
图3-14 邮件服务器配置
表3-4 邮件服务器
参数 |
说明 |
邮件服务器地址 |
此处需填用来发送报警邮件的SMTP服务器地址 |
邮件地址 |
用来发送报警邮件的邮件地址 |
密码 |
发送报警邮件的邮件地址的密码 |
发送标题 |
告警邮件的邮件标题 |
告警设置包括邮件告警与短信告警,本系统除了可以通过日志系统查看攻击日志以外,还可以通过设置短信网关通知,在配置完成并保存以后可以通过发送测试短信。确定配置是否正确。
在主页面选择:系统管理 > 系统配置 > 短信网关配置
(1) 选择系统配置>短信网关配置,短信网关配置是短信报警的前提,需要合作的短信平台提供短信告警服务(这里以美联软通为例);
(2) 添加短信网关接收短信的网址;
(3) 根据短信网关接收参数的方式,选择提交参数的方法;
(4) 根据短信网关接受的编码方式,选择提交内容的编码方式;
(5) 根据短信平台提供的API参数,填写相应的请求参数。
图3-15 短信网关配置
表3-5 默认短信内容参数说明
参数 |
说明 |
$MESSAGE |
为平台内置的告警内容模板,填写请求参数时,无需更改 |
$MOBILE |
为平台内用户的创建告警联系人的手机号码,填写请求参数时,无需更改 |
升级管理是对CSAP-WEB监测中心系统版本的管理,提供整个系统升级和规则库升级两种升级方式。
· 自动升级:系统规则库支持在线自动升级,默认为H3C提供的升级服务器地址,选择执行周期(每天、每周、每月),进行自动升级。
· 手动升级:手动升级支持规则库和固件升级。升级前需搭建FTP服务器,设置FTP用户名、密码、用户目录,并将离线的规则库升级包或者固件升级包存放到该用户目录,根据命令ftp://user:pass@ip:port/xxx.img进行升级。
· 本地升级:在管理PC本地下载规则库升级包或固件升级包,直接点击<导入>选择升级包等待上传,在上传过程中可以看到上传进度,上传完成后将自动完成升级的步骤。
图3-16 自动升级
图3-17 手动升级
图3-18 本地升级
在主页面选择:系统管理 > 系统配置
(1) 选择系统配置 > 分布式部署;
(2) 根据实际情况填写相关信息。
图3-19 分布式部署
表3-6 分布式部署参数说明
参数 |
说明 |
管理中心地址 |
填写需要接入的H3C SecCenter CSAP-WEB监测中心-分布式管理平台地址 |
管理端口 |
WEB检测引擎访问管理中心的管理端口,默认为80端口,若管理中心与分布式引擎之间通信需要做端口映射,则需要修改此处值为管理端口映射后的端口。 |
任务分发端口 |
分布式引擎访问管理中心的任务分发端口,默认为4730端口,若管理中心与分布式引擎之间通信需要做端口映射,则需要修改此处值为管理端口映射后的端口。 |
本地管理链接 |
管理中心访问该WEB检测引擎的http链接地址 |
引擎名称 |
管理中心在引擎管理查看该WEB检测引擎的名称,尽量不要跟其他引擎名称冲突 |
本章节介绍资源管理的相关内容。
线路管理中可以为多引擎模式提供多条线路,更好的分配资源。系统本身有默认线路,也可自己新增线路。线路的作用:可用性监控中,可以选择不同线路,将某个可用性监测引擎分配到某个线路,那么可用性任务就会调用该引擎来执行任务。
在主页面选择:系统管理 > 资源管理 > 线路管理
(1) 线路管理本身有一个默认线路,也可点击<新增>来增加线路;
(2) 为新增线路命名和增加描述。
图3-20 线路管理
图3-21 新增线路
引擎管理可以管理各个任务的检测引擎,将引擎分配给不同的用户组、不同的线路,合理调配资源的使用,WEB引擎接入后,也可以在此处查看并管理WEB引擎上的所有任务的检测引擎。
在主页面选择:系统管理 > 资源管理 > 引擎管理(superman)
(1) 点击编辑可对各个引擎进行管理;
(2) 为各个引擎分配线路、用户组;
(3) 将引擎注册的状态从OFF调为ON;
(4) 点击保存,对引擎管理相关配置进行保存。
图3-22 引擎管理
本章介绍用户管理的相关内容。
(1) 系统设置了两个缺省用户:superman系统管理员和admin二级普通用户。superman用户可以创建二级用户,admin为默认的二级用户,二级用户可以属于某一个用户组,默认的用户组为Blank,二级用户可以创建三级用户,默认无三级用户。admin可以创建三级普通用户,账户管理权限在admin。网络配置的操作在superman做,同时在superman上可以创建二级级用户;
(2) 用户可根据实际情况在superman和admin上做用户管理;
(3) 二级用户数与三级用户数总和,最大不允许超过30,包括二级普通用户预分配的可以创建三级用户个数。
(4) admin用户是默认关闭的,需要使用superman账户解锁该用户。
在主页面选择:系统管理 > 用户管理 > 用户管理
(1) 选择系统管理 > 用户管理 > 用户管理;
(2) 点击新增,添加新用户并配置新增用户信息如图3-24。
图3-23 用户管理
表3-7 用户管理参数说明
参数 |
说明 |
用户组 |
该用户所属的用户组,每个用户组可以选择自己的用户权限模板 |
站点数上限 |
该用户所能添加监控的站点数上限 |
账户类型 |
显示该账户是哪种类型的用户 |
到期时间 |
该账户的失效时间 |
状态 |
该账户的是否启用 |
详情 |
显示该账户的详细信息 |
操作 |
启用禁用、编辑或者删除该账户 |
三级用户数 |
该二级用户所能新建的三级用户数上限 |
不允许添加门户网站 |
开启后,该账户将不能添加门户站点 |
登录超时时间 |
登录后无操作等待超时时间 |
在主页面选择:系统管理 > 用户管理 > 用户信息中心
(1) 个人信息配置提供修改个人密码和登记信息功能;
(2) 查看当前用户的信息,可以修改用户的电话和邮箱信息。
图3-25 修改密码
图3-26 用户信息中心
在主页面选择:系统管理 > 用户管理 > 用户阻断列表
当账号被锁定时,该功能可以为被锁定账号解除锁定。
(1) 选择系统管理 > 用户管理 > 用户阻断列表;
(2) 点击被阻断用户 > 点击解除锁定。
图3-27 用户阻断列表
表3-8 用户阻断列表参数说明
参数 |
说明 |
登录名称 |
登录失败而被锁定的用户名 |
用户来源地址 |
用户登录使用的源IP地址 |
阻断时间 |
用户登录失败被锁定的时间 |
操作 |
解除该用户被锁定无法登录的状态 |
在主页面选择:系统管理 > 用户管理 > 用户组管理
(1) 选择系统管理 > 用户管理 > 用户组管理;
(2) 点击编辑可以调整当前用户组的名称、权限模板,点击删除可以删除当前用户组;
(3) 点击新增可以添加新的用户组。
图3-28 用户组管理
在主页面选择:系统管理 > 用户管理 > 用户权限管理
用户权限模板为用户创建开发功能模板,自定义开发功能。
用户权限模板应用于用户组,每个用户组里的管理员所具有的功能权限,由所属的用户组选择的用户权限模板控制。
(1) 选择系统管理 > 用户管理 > 用户权限模板;
(2) 点击新增,添加模板名称并选择需要例外的功能,该用户组的管理员将不能使用例外的功能。
图3-29 用户权限模板
图3-30 新增用户权限模板
在主页面选择:系统管理 > 许可证管理,进入许可证管理页面
(1) 获取授权申请码,通过该申请码和授权信封的授权码,在华三在线授权申请系统进行授权申请;
(2) 导入许可证。
图3-31 许可证管理
图3-32 获取授权申请码
图3-33 导入许可证
站点添加时,可以根据站点实际类型,对站点进行类型定义。
在主页面选择:系统管理 > 系统规则管理 > 站点类别管理
(1) 站点类别管理添加:用户可以点击右上角的新增直接添加用户自己认为的站点类别;
(2) 批量删除:选中要删除的站点类别,点击右边删除即可。
图3-34 站点类别管理
图3-35 站点类别删除
内容监测任务中敏感词监控、页面变更监控中使用到敏感词库进行敏感信息检查。
在主页面选择:系统管理 > 系统规则管理 > 敏感词管理
(1) 单个敏感词添加:用户可以点击右上角的新增直接添加用户自己认为的敏感词;
(2) 批量敏感词添加:用户也可点击导入,再点击下载模板,按照模板格式添加敏感词并上传即可;
(3) 删除敏感词:选中要删除的敏感词,点击右上角批量删除即可。
图3-36 敏感词管理
图3-37 新增敏感词
信任域名在内容监控中监测到恶意链接时,会自动过滤信任域名的链接。在添加站点时,若该用户不允许添加门户网站,则无法添加信任域名库中的门户站点。
在主页面选择:系统管理 > 系统规则管理 > 信任域名库管理
(1) 新增信任域名:点击右上角的新增,按照格式填写域名;
(2) 用户可根据需求添加信任域名,信任域名将会被监控平台视为安全域名,从而降低报警冗余;
(3) 删除信任域名:选中要删除的信任域名,点击右上角批量删除即可。
图3-38 信任域名库管理
图3-39 删除信任域名
图3-40 新增信任域名
在主页面选择:系统管理 > 系统规则管理 > 扫描规则库管理
用户可以从扫描规则库里查看CSAP-WEB监测中心对WEB漏洞插件的分类及详细说明。
图3-41 WEB扫描规则
在主页面选择:系统管理 > 系统规则管理 > 系统规则库管理
用户可以从系统规则库里查看CSAP-WEB监测中心对系统漏洞插件的分类及详细说明。
图3-42 系统规则库
在主页面选择:系统管理 > 系统规则管理 > 弱口令规则管理
(1) 弱口令规则库管理中,用户可根据需求添加常用的用户名,监控平台内置海量弱口令字典,扫描时引擎将对常用用户名和弱口令字典进行排列组合,查找网站中存在的弱口令;
(2) 上传弱口令字典:用户根据需求点击<上传字典>按钮,按照格式上传字典文件。
图3-43 弱口令规则管理
图3-44 上传字典文件
在主页面选择:系统管理 > 系统规则管理 > 暗链关键词管理
暗链关键词管理中,用户可根据需求新增暗链关键词和删除选定的关键词,或者批量删除暗链关键词。
图3-45 暗链关键词库管理
图3-46 新增暗链关键词
图3-47 删除暗链关键词
通用验证是一个可以对一些网站漏洞进行验证的页面工具,通过自定义发包参数,判断HTTP返回数据来确认漏洞是否存在。
在主页面选择:系统管理 > 验证工具 > 通用验证
(1) 能够进行一些常用的验证操作,正确填写参数后点击<验证>,即可验证。
图3-48 通用验证
(2) 一般来说,扫描出网站漏洞后在网站详情查询中,可以查看漏洞详情
图3-49 网站详情查询
(3) 漏洞详情页面中点击通用验证
图3-50 漏洞详情
(4) 此时会跳转到通用验证页面,显示如下
图3-51 通用验证页面
在主页面选择:系统管理 > 验证工具 > SQL注入验证
(1) 能够进行一些SQL注入验证操作,正确填写参数后点击<验证>,即可验证
图3-52 SQL注入验证
(2) 一般来说,扫描出网站漏洞后在网站详情查询中,可以查看漏洞详情
图3-53 网站详情查询
(3) 漏洞详情页面中点击SQL注入验证
图3-54 漏洞详情
(4) 此时会跳转到通用验证页面,显示如下
图3-55 SQL注入验证页面
网站详情查询可以查询平台上全部用户已添加的站点的详细任务数据。
图4-1 网站详情查询
站点监控查询可以查询平台上全部用户已添加的站点的可用性监控任务数据、内容监控任务数据、网马任务检测数据、网站钓鱼检测任务数据。
图4-2 站点监控查询
站点漏洞查询可以查询平台上全部用户已添加的站点的WEB漏洞检测任务数据、系统漏洞检测任务数据。
图4-3 站点漏洞查询
用户可以看到H3C推送的全国网站篡改攻击事件。
在主页面选择:系统分析 > 信息查询 >灾情统计查询
图4-4 灾情统计查询
图4-5 详情
该信息需要联网获得H3C推送后才会显示,并且需要配置DNS为8.8.8.8或者114.114.114.114。
记录所有登录用户的登录信息和操作行为。
在主页面选择:统计分析 > 日志中心 > 审计日志
superman账号登录,选择统计分析 > 日志中心 > 审计日志。可以支持一键导出,以及页面刷新。
图4-6 审计日志
表4-1 审计日志操作参数说明
参数 |
说明 |
行为 |
记录操作动作,比如登录、删除、编辑等 |
时间 |
记录用户行为操作的时间点 |
用户 |
记录发生该操作行为的用户 |
访问IP |
记录发生该操作行为的用户访问监测中心使用的IP |
地址位置 |
访问IP所属的地理位置 |
日志内容 |
记录具体的行为内容 |
图4-7 网站监控分析
图4-8 域名检测分析
可以查询所有任务分发给不同引擎的日志。
在主页面选择: 统计分析 > 日志中心 > 任务调度日志
superman账号登录,选择统计分析 > 日志中心 > 任务调度日志。可以选择输入taskid、siteid、状态值进行查询。
图4-9 任务调度查询
表4-2 任务调度日志参数说明
参数 |
说明 |
任务调度ID |
任务调度的ID号 |
任务ID |
任务的ID号 |
站点ID |
站点的ID号 |
类型 |
属于哪种任务类型的检测,如:HTTP、DNS等 |
更新时间 |
上次检测的时间 |
状态 |
1表示已提交,3表示正在执行,4表示任务已执行完毕 |
线路 |
-1表示随机线路,1表示默认线路,资源管理中可以进行线路管理,引擎通过线路的概念,被任务调用 |
引擎 |
平台执行该任务时分配的引擎ID |
用户 |
执行这次任务的用户 |
操作 |
是否删除这条日志 |
可以查看所有的任务执行的具体情况。
主页面选择:统计分析 > 日志中心 > 任务执行日志
superman账号登录,选择统计分析 > 日志中心 > 任务执行日志。可以选择输入taskid、siteid、jobid进行查询。
图4-10 任务执行查询
表4-3 任务执行日志参数说明
参数 |
说明 |
任务执行ID |
任务执行的ID号 |
任务调度ID |
任务调度的ID号 |
任务ID |
任务的ID号 |
站点ID |
站点的ID号 |
类型 |
属于哪种任务类型的检测,如:WebScan |
任务配置文件 |
该任务下发时对应的任务配置文件 |
创建时间 |
该任务创建的时间点 |
监视概要功能就是统一的显示云监控区域的概略结构。H3C SecCenter CSAP-WEB监测中心能够主动监控网站安全问题,监测网站脆弱性。并提供专业的修补意见,降低安全风险,防患于未然。并且提供网站监控平台7*24小时不间断监控,保证监控的持续性。突发攻击事件发生时,及时进项响应与处理,构建完善的网站安全体系。对于大范围的网站利用自动化的手段进项监控,减低人工成本。通过统一的指标进行全方位监控,为统一监管提供技术依据和关键指标。菜单选项下包含网站评分、监控事件排名、每日监控事件、网站实时概况、攻击详情模块。
监视概要 > 网站评分
主要功能:完成对用户所添加站点目标监控实时的风险分析,可以查看全球威胁区域和国内威胁区域,并且动态展示攻击源地点,预警程度的高低采用不同的颜色进行展示。
监视概要 > 监控事件排名
主要功能:针对添加多个网站进行监控时,对于每个网站的可用性,内容安全,漏洞信息,进行排名并以折线图切换,柱形图切换显示,也可以直接左击保存图片。
(1) 内容安全:通过折线图和柱形图两种方式展示监控事件的内容安全等级,默认为折线图,用户可自行选择展示方式并保存图片。
(2) WEB漏洞信息:通过折线图和柱形图两种方式展示监控事件的漏洞信息量,默认为折线图,用户可自行选择展示方式并保存图片。
监视概要 > 每日监控事件
主要功能:每日监控事件种类主要分为两大类:监控统计和漏洞统计,图表类型主要分为数据视图,折线图切换,柱形图切换,堆积,平铺。横坐标显示日期,纵坐标显示事件数量。同时还可以点击保存为图片直接保存当前图表。
(1) 监控统计:图表以不同颜色分别显示http监控,DNS监控,PING监控,页面变更监控,恶意链接监控,敏感词监控以及总监控事件的数量。默认为折线图展示,用户可自行切换展示方式并保存图片。
(2) 漏洞统计:以不同颜色显示监控出的高危、中危、低危WEB漏洞和告警漏洞以及漏洞总计的情况,默认为柱形图展示,用户可自行切换展示方式并保存图片。
监视概要 > 网站实时概况
主要功能:滚动显示该监控平台所添加的所有站点发送的实时事件,并显示每个站点的网站评分。
图5-1 监视概要
本章介绍任务中心的相关内容。
批量录入功能主要用于快速配置监控预警任务,例如批量导入监控目标站点,并配置可用性监控、内容监控、漏洞扫描、弱口令检查等。通过该功能可以一键式快速配置监控站点,所有任务项为默认开启。
在主页面选择:任务中心 > 快速通道 > 批量导入
(1) 在网站地址处输入域名(例如:http://www.demo.com/),按需求勾选任务项,点击<提交>按钮完成任务添加;
(2) 如果需要批量添加,点击右侧<下载模板>按钮,下载SiteTemplet.xls文件,按照表中格式填写站点信息,保存后点击“浏览”按钮上传,便完成批量站点的导入操作;
(3) 完成“快速配置”后,如需修改站点基本参数,WEB登录:任务中心>站点管理>站点管理。修改相应的参数,点击保存。
图6-1 批量录入手动输入
图6-2 批量导入
图6-3 批量录入使用站点列表
表6-1 录入参数说明
配置信息 |
说明 |
监控目标方式 |
选择监控目标的方式,包括手动输入、批量导入、使用站点列表 |
目标地址 |
需监控预警的的目标地址,例如: URL地址:http://www.example.com/ URL地址:http://192.168.0.1/ 多个URL以英文分号“;”或回车分隔 |
网站类别 |
选择监控网站的类别,可自定义 |
任务名称 |
输入任务名称 |
监控服务 |
选择对监控站点的监控服务,选中后,将会创建对应的监控任务,包括HTTP监控、DNS监控、PING监控及内容监控 |
检测服务 |
选择对监控站点的检测服务,选中后,将会创建对应的检测任务,包括WEB漏洞检测任务、系统漏洞检测任务、钓鱼检测任务、网站木马检测任务 |
选择报警组 |
选择报警组,默认为报警的默认模板,可自定义 |
可用性监控 |
可用性监控相关检测内容的默认模板,包括: 设置检测周期,如每N分钟执行一次等 HTTP监控模板及其线路的选择 DNS监控模板及其线路的选择 PING监控模板及其线路的选择 |
内容监控 |
内容监控的默认模板,包括: 1.设置检测周期,如每N分钟执行一次等 2.内容监控模板 |
漏洞扫描 |
WEB扫描模板 |
弱口令检查 |
弱口令检查模板 |
站点是监控的对象,添加任务前,需要添加站点,站点的URL地址为必填选项。
在主页面选择:任务中心 > 站点管理 > 站点管理
(1) 点击新增 > 填写站点名称(如未填写,系统将自动补充为网站的标题) > 填写网站的URL地址 > 选择网站类别和所属地区 > 填写域名范围(此项为控制爬虫爬取范围,默认为所填URL的完整域名) > 点击保存。
图6-4 站点管理
(2) 点击任务左侧展开符号可以查看该任务站点目前的监控状态信息,状态已启用表示该任务正在执行,展开任务后,可以查看每个站点对应的监测情况,其中任务状态表示该站点任务的执行情况,执行结束则表示该次任务已执行完毕,若为周期任务,则会等待下次周期的来临。点击右侧的详情可以查看该站点的历史的详细监测信息。
图6-5 站点基本选项
图6-6 认证配置
图6-7 代理服务器
图6-8 站点白名单
图6-9 网络连接
图6-10 扫描高级选项
表6-2 新增站点
参数 |
说明 |
站点名称 |
监控站点的名称(添加站点时若不填写此项,系统将自动填充为网站标题) |
监控地址 |
监控站点的URL地址 |
创建时间 |
该站点的创建时间 |
网站类别 |
站点的性质类别 |
地区 |
站点的地理位置 |
所属用户 |
该站点所属于的用户,二级用户可以查看到三级用户创建的站点 |
操作 |
编辑或者删除站点 |
认证类型 |
WEB漏洞扫描需要登录扫描时,采用的登录认证方式 |
用户名、密码 |
此两项为选择Basic认证时,需要填写的网站登录用户名和密码 |
URL |
Form认证和Cookie认证需要登录或者扫描的URL地址 |
POST |
Form认证时需要提交的数据 |
Cookies |
Cookies认证,填写网站登录后所获取的Cookies信息 |
代理类型 |
选择代理类型为HTTP或者SOCKS代理 |
代理地址 |
代理服务器的地址 |
代理端口 |
代理服务器的代理端口 |
用户名、密码 |
代理的用户名和密码 |
网络重试次数 |
监控扫描站点时,出行网络超时后重试的次数 |
网络超时时间 |
系统判断监控扫描站点时,网络超时的时间 |
请求头信息 |
执行内容监控和WEB扫描时,用到的HTTP 的USER-AGENT请求头信息 |
扫描根目录 |
WEB扫描或者内容监控时,扫描的起始目录位置 |
例外扫描链接 |
将对匹配的链接不执行扫描任务 |
通过指定的请求方式向服务器索要HTTP响应。
在主页面选择:任务中心 > 任务管理 > HTTP监控(admin等)
(1) 点击新增 > 添加任务名称 > 进行站点选择;
(2) 选择检测点 > 选择检测周期 > 选择检测模板 > 选择报警组模板 > 选择报警条件。
图6-11 HTTP监控
图6-12 新增HTTP监控
表6-3 新增HTTP监控
参数 |
说明 |
名称 |
HTTP监控的站点名称 |
监控对象 |
监控对象网站的名称 |
模板类型 |
使用的是HTTP监控模板,可以选择种类 |
监控周期 |
监控的周期可以自定义设置 |
检测点 |
使用的引擎线路,一般为默认线路,任务检测引擎通过线路,被任务调用 |
更新周期 |
显示的上一次检测的时间 |
状态 |
选择为启用和禁用;启用后,该任务按周期执行;禁用后,该任务将不执行 |
操作 |
可以编辑,把网站具体监控的参数可以详细的更改和自定义 |
告警条件 |
输入网站响应超时时间 输入网站响应超时次数 |
监控引擎通过DNS服务器对监控域名进行寻址、解析,回报反应速度,监控域名解析的流畅度。
在主页面选择:任务中心 > 任务管理 > DNS监控(admin等)
(1) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检测点;
(2) 选择检测周期 > 选择检测模板 > 选择报警组模板 > 选择报警条件。
图6-13 DNS监控
图6-14 新增DNS监控
表6-4 新增DNS监控
参数 |
说明 |
名称 |
DNS监控的站点名称 |
监控对象 |
监控对象网站的名称 |
模板类型 |
使用的是DNS监控模板,可以选择种类 |
监控周期 |
监控的周期可以自定义设置 |
检测点 |
使用的引擎线路,一般为默认线路,任务检测引擎通过线路,被任务调用。 |
更新周期 |
显示的上一次检测的时间 |
状态 |
选择为启用和禁用;启用后,该任务按周期执行;禁用后,该任务将不执行 |
操作 |
可以编辑,把网站具体监控的参数可以详细的更改和自定义 |
报警条件 |
输入网站响应超时时间 输入网站响应超时次数 |
通过PING发送ICMP报文,对指定的服务器进行ICMP PING检测,获得可用性监控以及响应时间、丢包率等。
在主页面选择:任务中心 > 任务管理 > PING监控(admin等)
(1) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检测点;
(2) 选择检测周期 > 选择检测模板 > 选择报警组模板 > 选择报警条件。
图6-15 PING监控
图6-16 新增PING监控
表6-5 PING监控
参数 |
说明 |
名称 |
PING监控的站点名称 |
监控对象 |
监控对象网站的名称 |
模板类型 |
使用的是PING监控模板,可以选择种类 |
监控周期 |
监控的周期可以自定义设置 |
检测点 |
使用的线路,一般为默认线路 |
更新周期 |
显示的上一次检测的时间 |
状态 |
选择为启用和禁用;启用后,该任务按周期执行;禁用后,该任务将不执行 |
操作 |
可以编辑,可以把网站具体监控的参数作详细的更改和自定义 |
报警条件 |
1.输入网站响应超时时间 2.输入网站响应超时次数 |
主要功能是检测监控网站内容是否发生网页变更,是否被恶意插入恶意链接,文字是否含有敏感信息。
在主页面选择:任务中心 > 任务管理 > 内容监控(admin等)
(1) 选择任务管理 > 内容监控;
(2) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检测深度 > 选择检测周期 > 选择扫描线程 > 选择扫描最大页面数 > 选择监控模板 > 选择报警组。
图6-17 内容监控
图6-18 新增内容监控
表6-6 新增内容监控参数
参数 |
说明 |
名称 |
该内容监控任务的名称 |
监控对象 |
该内容监控任务监控的站点 |
模板类型 |
该内容监控任务所选择的内容监控模板 |
检测周期 |
该内容监控任务执行的周期 |
更新时间 |
显示该任务上一次执行完成的时间 |
扫描进度 |
显示该内容监控任务已经执行完成的扫描任务的网站数量的进度 |
状态 |
显示该任务是否启用 |
操作 |
编辑该任务或者删除该任务 |
扫描深度 |
该内容监控任务执行时,扫描的最大深度,默认深度为2 |
扫描线程 |
该内容监控任务执行时,最大的线程数,默认为50 |
扫描最大页面数 |
该内容监控任务执行时,每一个检测站点检测的最大页面数,默认为500 |
报警组 |
该内容监控任务每次完成后,接收告警提示的报警组 |
主要功能是对网站进行漏洞扫描,匹配漏洞规则库,并显示漏洞的数量和名称。
在主页面选择:任务中心 > 任务管理 > WEB漏洞扫描(admin等)
(1) 选择任务管理 > WEB漏洞扫描;
(2) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检测周期 > 选择扫描深度 > 选择扫描线程 > 选择扫描最大页面数 > 选择监控模板 > 选择报警组。
图6-19 WEB漏洞扫描
表6-7 WEB漏洞扫描参数说明
参数 |
说明 |
名称 |
WEB漏洞扫描任务的名称 |
监控对象 |
该WEB漏洞扫描任务扫描的站点 |
模板类型 |
该WEB漏洞扫描任务所选择的WEB漏洞扫描模板 |
检测周期 |
该WEB漏洞扫描任务执行的周期 |
更新时间 |
显示该任务上一次执行完成的时间 |
扫描进度 |
显示该WEB漏洞扫描任务已经执行完成的扫描任务的网站数量的进度 |
状态 |
显示该任务是否启用 |
操作 |
编辑该任务或者删除该任务 |
扫描深度 |
该WEB漏洞扫描任务执行WEB扫描时,扫描的最大深度,默认深度为3 |
扫描线程 |
该WEB漏洞扫描任务执行WEB扫描时,最大的线程数,默认为10 |
扫描最大页面数 |
该WEB漏洞扫描任务执行WEB扫描时,每一个检测站点检测的最大页面数,默认为2000 |
最大相似链接数 |
扫描过程中检测相似页面数的最大值 |
报警组 |
该WEB漏洞扫描任务每次完成后,接收告警提示的报警组 |
图6-20 新增WEB漏洞扫描
WebShell是网站的后门工具,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或php后门,得到一个命令执行环境,以达到控制网站服务器的目的。基本配置步骤如下:
在主页面选择:任务中心 > 任务管理 > WebShell检测(admin等)
(1) 选择任务管理 > WebShell检测;
(2) 根据网站服务器的底层操作系统,选择相应类型的WebShell插件下载至服务器并按照手册运行即可。
图6-21 客户端下载
通过静态检测或者动态检测的方式,检测网站网页是否被挂马,并发出告警信息。
基本配置步骤如下:
在主页面选择:任务中心 > 任务管理 > 网站木马检查(admin等)
(1) 选择任务管理 > 网站木马检查;
(2) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检查方式 > 选择检测深度 > 选择检测周期 > 选择报警组。
图6-22 木马检测
图6-23 新增木马检测
表6-8 网站木马检查参数说明
参数 |
说明 |
名称 |
该网站木马检查任务的名称 |
监控对象 |
该网站木马检查任务检查的站点 |
检测周期 |
该网站木马检查任务执行的周期 |
更新时间 |
显示该网站木马检查任务上一次执行完成的时间 |
扫描进度 |
显示该网站木马检查已经执行完成的检测任务的网站数量的进度 |
状态 |
显示该任务是否启用 |
操作 |
编辑该任务或者删除该任务 |
报警组 |
该网站木马检查任务每次完成后,接收告警提示的报警组 |
检查方式沙箱 |
该网站木马检查任务执行时,在沙箱内模拟各种浏览器访问该检测站点来检测网站木马 |
检查方式静态 |
该网站木马检查任务执行时,通过匹配静态网马特征库来检测网站木马 |
检测网站是否遭受到了钓鱼攻击,并且给出报警信息。
基本配置步骤如下:
在主页面选择:任务中心 > 任务管理 > 网站钓鱼检测(admin等)
(1) 点击新增 > 添加任务名称 > 进行站点选择 > 选择检测点;
(2) 选择检测周期 > 页面相似度选择 > 引擎选择 > 选择报警组。
图6-24 钓鱼检测
图6-25 新增钓鱼检测
表6-9 新增钓鱼检测配置参数
参数 |
说明 |
名称 |
网站钓鱼检测的任务名称 |
监控对象 |
网站钓鱼检测站点名称 |
监控周期 |
监控的周期可以自定义设置 |
检测点 |
使用的线路,一般为默认线路 |
更新时间 |
显示的上一次检测的时间 |
状态 |
选择为启用和禁用;启用后,该任务按周期执行;禁用后,该任务将不执行 |
扫描进度 |
网站钓鱼检测的扫描进度 |
操作 |
可以编辑,任务的参数可以更改和自定义 |
页面相似度 |
选择页面相似度25%、50%、75%、100% |
引擎选择 |
选择搜索引擎为百度引擎、Google引擎 |
告警组选择 |
选择告警组模板(短信、邮件) |
弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被人破解,从而使用户的计算机面临风险,所以要检测。
在主页面选择:任务中心 > 任务管理 > 弱口令检查
(1) 点击新增 > 添加任务名称 > 进行站点选择;
(2) 选择弱口令检查模板 > 选择报警组 > 检测周期。
图6-26 弱口令检查
图6-27 新增口令检查
表6-10 新增弱口令检测配置说明
参数 |
说明 |
名称 |
弱口令检查的任务名称 |
站点选择 |
选择弱口令检查的站点 |
检测周期 |
监控的周期可以自定义设置 |
弱口令检测模板 |
选择弱口令检查的模板 |
告警组选择 |
选择告警组模板(短信、邮件) |
对网站进行系统漏洞扫描,检测是否有系统漏洞。
在主页面选择:任务中心 > 任务管理 > 系统漏洞扫描(admin等)
点击新增 > 添加任务名称 > 进行站点选择
(1) 选择报警组 > 检测周期。
图6-28 系统漏洞扫描
图6-29 新增系统漏洞扫描
表6-11 新增系统漏洞扫描配置说明
参数 |
说明 |
名称 |
系统漏洞扫描的任务名称 |
站点选择 |
选择弱口令检查的站点 |
检测周期 |
监控的周期可以自定义设置 |
告警组选择 |
选择告警组模板(短信、邮件) |
针对网站的检测,包含了模板名称、模板类型、监控的描述以及操作。针对不同任务,可以创建不同的模板。
在主页面选择:任务中心 > 策略管理 > 网站监控配置
(1) 选择策略管理 > 网站监控配置;
(2) 点击新增 > 添加相应的监控模板 > 添加监控模板名称 > 选择监控方式。
图6-30 网站监控配置
图6-31 新增监控模板
表6-12 HTTP监控模板参数说明
参数 |
说明 |
模板名称 |
该HTTP监控模板的名称 |
HTTP请求方式GET |
启用该模板的HTTP监控任务,采用GET的方式发送HTTP请求 |
HTTP请求方式HEAD |
启用该模板的HTTP监控任务,采用HEAD的方式发送HTTP请求 |
匹配方式 |
匹配:匹配上相应内容,HTTP监控正常 不匹配:不匹配相应内容,HTTP监控正常 不关心:不考虑返回内容是否有相应内容 |
相应内容 |
期望HTTP请求后返回的内容 |
表6-13 DNS监控模板参数说明
参数 |
说明 |
模板名称 |
该DNS监控模板的名称 |
DNS类型A |
启用该模板的DNS监控任务,DNS查询类型为A记录,即IPV4 |
DNS类型AAAA |
启用该模板的DNS监控任务,DNS查询类型为AAAA记录,即IPV6 |
指定DNS服务器 |
启用该模板的DNS监控任务,将发送DNS请求至指定DNS服务器,不填写将使用系统配置的DNS服务器 |
表6-14 ping监控模板参数说明
参数 |
说明 |
模板名称 |
该PING监控模板的名称 |
发包大小 |
该ICMP报文携带的数据大小,默认为32字节 |
发包数量 |
发送ICMP回显请求报文的数量,默认为4 |
表6-15 内容监控模板参数说明
参数 |
说明 |
暗链检测 |
开启后,内容监控任务将对检测网页进行暗链检测 |
新链检测 |
开启后,内容监控任务将对检测网页是否添加有新的链接进行检测 |
桥页检测 |
开启后,内容监控任务将对检测网页是否有进行恶意跳转的链接进行检测 |
过滤信任域名 |
开启后,在进行恶意链接检测时,将过滤处于信任域名库里的域名 |
过滤正常隐藏链接 |
开启后,在进行暗链检测时,将过滤正常的隐藏链接 |
过滤IP地址站点 |
开启后,在进行暗链检测时,将过滤IP地址形式的域名 |
过滤gov域名 |
开启后,在进行暗链检测时,将过滤gov域名 |
启用暗链关键词检测 |
开启后,在进行暗链检测时,将进行暗链关键词匹配 |
百度hack、谷歌hack |
开启后,在进行敏感词检查时,将借助百度和谷歌搜索引擎进行协助查找 |
敏感词库检测 |
开启后,在进行敏感词检查时,将借助本地词库进行检查 |
敏感词类别 |
开启敏感词库检测功能后,将从选中的词库中进行敏感词检查 |
检测敏感度 |
开启页面变更检测后,将根据敏感度判断网页是否发生页面变更 |
启用关键词检查 |
开启后,页面变更检测将进行敏感词匹配,发生页面变更的同时,匹配到了敏感词,才会进行页面变更告警 |
文本检测 |
开启后,将检测网页的文本内容是否发生变更 |
标题检测 |
开启后,将检测网页的标题是否发生变更 |
图片检测 |
开启后,将检测网页里边的图片是否发生变更 |
在主页面选择:任务中心 > 策略管理 > 域名检测配置
(1) 针对域名的检测,包含了模板名称、模板类型、监控的描述以及操作。针对不同的扫描任务,可以创建不同的模板。
图6-32 域名检测配置
图6-33 新增模板
图6-34 新增漏洞扫描模板
图6-35 新增弱口令模板
表6-16 WEB漏洞扫描模板参数说明
参数 |
说明 |
模板名称 |
该WEB漏洞扫描模板的名称 |
扫描策略选择 |
WEB漏洞扫描时,只企业选择后的扫描策略 |
爬虫类型广度优先 |
扫描爬虫将采用广度优先爬取策略,在完成当前层次的搜索后,才进行下一层次的搜索 |
爬虫类型深度优先 |
扫描爬虫将采用深度优先爬取策略,从一条链接开始,直到处理完一条路线之后再处理下一条路线 |
表6-17 弱口令检查模板参数说明
参数 |
说明 |
模板名称 |
该弱口令检查模板的名称 |
服务类型 |
对要扫描的服务类型进行定义 |
(1) 默认自带两个用户,superman用户,账号密码皆是superman。admin用户,账号和密码皆是admin;
(2) superman用户可以创建二级用户,admin为默认的二级用户,二级用户可以属于某一个用户组,默认的用户组为Blank,二级用户可以创建三级用户,默认无三级用户;
(3) admin可以创建三级用户user,账户管理权限在admin。网络配置的操作在superman做,同时在superman上可以创建二级用户;
(4) 用户可根据实际情况在superman和admin上做用户管理。
在主页面选择:系统管理 > 用户管理 > 用户管理
(5) 选择系统管理 > 用户管理 > 用户管理;
(6) 点击新增,添加新用户并配置新增用户信息。
图7-1 用户管理
图7-2 新增用户
表7-1 用户管理参数说明
参数 |
说明 |
用户组 |
该用户所属的用户组,每个用户组可以选择自己的用户权限模板 |
站点数上限 |
该用户所能添加监控的站点数上限 |
账户类型 |
显示该账户是哪种类型的用户 |
到期时间 |
该账户的失效时间 |
登录超时时间 |
登录后无操作等待超时时间 |
状态 |
该账户的是否启用 |
详情 |
显示该账户的详细信息 |
操作 |
显示该账户的详细信息 |
三级用户数 |
该二级用户所能新建的三级用户数上限 |
不允许添加门户网站 |
开启后,该账户将不能添加门户站点 |
在主页面选择:系统管理 > 用户管理 > 用户信息中心
(1) 个人信息配置为修改个人密码和登记信息功能;
(2) 查看当前用户的信息,可以修改用户的电话和邮箱信息。
图7-3 修改密码
图7-4 用户信息中心信息修改
在主页面选择:系统管理 > 用户管理 > 用户阻断列表
当账号连续输错5次密码被锁定时,该功能解除被锁定账号。
(1) 选择系统管理 > 用户管理 > 用户阻断列表;
(2) 点击被阻断用户 > 点击解除锁定。
图7-5 用户阻断列表
表7-2 用户阻断列表参数说明
表7-3 参数 |
表7-4 说明 |
登录名称 |
登录失败而被锁定的用户名 |
用户来源地址 |
用户登录使用的源IP地址 |
阻断时间 |
用户登录失败被锁定的时间 |
操作 |
解除该用户被锁定无法登录的状态 |
在主页面选择:系统管理 > 用户管理 > 用户权限管理
用户权限模板为用户创建开发功能模板,自定义开发功能。
用户权限模板应用于用户组,每个用户组里的管理员所具有的功能权限,由所属的用户组选择的用户权限模板控制。
选择系统管理 > 用户管理 > 用户权限模板。
(1) 点击新增 > 添加模板名称 > 选择需要例外的功能,该用户组的管理员将不能使用例外的功能。
图7-6 用户权限模板
图7-7 新增用户权限模板
在主页面选择:系统管理 > 告警配置 > 告警组管理。以默认模板为例,添加新增接收人。
(1) 点击新增 > 按钮进入详情页面,根据提示输入和选择对应信息;
(2) 姓名:告警联系人姓名;
(3) 电话:告警联系人电话(请填写手机号码,用于短信报警);
(4) E-mail:告警联系人E-mail(请保证邮箱畅通);
(5) 点击<提交>按钮完整告警联系人信息配置,告警联系人管理列表查看已添加的告警联;
(6) 系人并且可进行编辑和删除操作。
图7-8 告警接收人管理
图7-9 新增告警接收人
(1) 告警接收人管理
WEB登录:系统管理 > 告警接收人管理,新增接收人。
图7-10 告警组管理
图7-11 新增告警组
表7-5 告警组配置参数
参数 |
说明 |
报警组名称 |
可自定义告警组名称 |
描述 |
可对模板做简单描述 |
邮件报警 |
可选择开启或关闭 |
短信报警 |
可选择开启或关闭 |
告警类型 |
可选择对哪些任务结果告警 |
短信接收时段 |
可自行调节短信接收时段 |
关联报警接收人 |
可关联多个报警接收人,向多人发送告警短信和邮件 |
在主页面选择:系统管理 > 系统规则管理 > 站点类别管理
(1) 站点类别管理添加:用户可以点击右上角的新增直接添加用户自己认为的站点类别;
(2) 批量删除敏感词:选中要删除的站点类别,点击右边删除即可。
图7-12 站点类别管理
图7-13 删除站点类别管理
在主页面选择:系统管理 > 系统规则管理 > 敏感词管理
(1) 单个敏感词添加:用户可以点击右上角的新增直接添加用户自己认为的敏感词;
(2) 批量敏感词添加:用户也可点击导入,再点击下载模板,按照模板格式添加敏感词并上传即可;
(3) 删除敏感词:选中要删除的敏感词,点击右上角批量删除即可。
图7-14 敏感词管理
图7-15 新增敏感词
用户可根据自己需求添加信任域名,信任域名将会被监控平台视为安全域名,从而降低报警冗余。
在主页面选择:系统管理 > 系统规则管理 > 信任域名库管理
(1) 用户新增信任域名:点击右上角的新增,按照格式填写域名即可;
(2) 可根据自己需求添加信任域名,信任域名将会被监控平台视为安全域名,从而降低报警冗余;
(3) 删除信任域名:选中要删除的信任域名,点击右上角批量删除即可;
(4) 新增信任域名:选新增,进行具体信息的填写,提交即可。
图7-16 信任域名库管理
图7-17 删除信任域名
图7-18 新增信任域名
在主页面选择:系统管理 > 系统规则管理 > 扫描规则库管理
(1) 用户可以从扫描规则库里查看CSAP-WEB监测中心对WEB漏洞插件的分类及详细说明。
图7-19 扫描规则
在主页面选择:系统管理 > 系统规则管理 > 系统规则库管理
用户可以从系统规则库里查看CSAP-WEB监测中心对系统漏洞插件的分类及详细说明。
图7-20 系统规则库
在主页面选择:系统管理 > 系统规则管理 > 弱口令规则管理,进入弱口令规则管理。
(1) 弱口令规则库管理中,用户可根据自身需求添加常用的用户名,监控平台内置海量弱口令字典,扫描时引擎将对常用用户名和弱口令字典进行排列组合,查找网站中存在的弱口令;
(2) 上传弱口令字典:用户根据自己的需求点击上传字典,按照格式上传字典文件。
图7-21 弱口令规则管理
图7-22 新建.dic的字典文件
图7-23 编辑将要上传的字典文件
图7-24 上传字典文件
在主页面选择:系统管理 > 系统规则管理 > 暗链关键词管理
(1) 用户可根据自身需求新增暗链关键词,用户根据自己的需求新增暗链关键词,以及删除具体选定的关键词,或者批量删除暗链关键词。
图7-25 暗链关键词库管理
图7-26 新增暗链关键词
admin与superman用户验证工具功能一致,具体可参见superman账户通用验证。
在主页面选择:系统管理 > 验证工具 > 通用验证
图7-27 通用验证
在主页面选择:系统管理 > 验证工具 > SQL注入验证
图7-28 SQL注入验证
网站详情查询可以查询平台上全部用户已添加的站点的详细任务数据。
图8-1 网站详细查询
站点监控查询可以查询平台上全部用户已添加的站点的可用性监控任务数据、内容监控任务数据、网马任务检测数据、网站钓鱼检测任务数据。
图8-2 站点监控查询
站点漏洞查询可以查询平台上全部用户已添加的站点的WEB漏洞检测任务数据、系统漏洞检测任务数据。
图8-3 站点漏洞查询
用户可以看到H3C推送的全国网站篡改攻击事件。
在主页面选择:系统分析 > 信息查询 >灾情统计查询
图8-4 灾情统计查询
图8-5 详情
该信息需要联网获得H3C推送后才会显示,并且需要配置DNS为8.8.8.8或者114.114.114.114。
在主页面选择:系统分析 > 统计分析 > 报表管理 > 创建报表,进入创建报表。
选择需要创建报表的站点,选择需要加入报表的监控数据,生成所需要的报表。创建报表有四种报表格式(html/word/pdf/excel),根据自己的需求可以导出不同格式。其中
· 详细报表是网站扫描的详细情况;
· 统计报表是扫描结果的一个个数统计;
· 监测报告导出类型:选择自己需要的报表类型。
· 站点选择:选择自己需要导出报表的网站。其中右边方框里的网站表示要导出报表的站点。
· 可用性监控:可根据自己需求选择要导出的可用性监控类型。
· 内容监控:可根据自己需求选择要导出的内容监控类型。
· 检测类型:可根据自己需求选择要导出的检测类型。
· 报表名称:根据自己需求可以修改。
自定义日期:可根据自己需求导出报表时选择需要导出数据的时间段。
(1) 点击统计分析 > 报表管理 > 创建报表;
(2) 选择导出类型 > 选择站点 > 是否快速导出(开启后将不导出图片) > 选择可用性监控 > 选择内容监控类型 > 选择检测类型 > 选择导出报表的格式 > 填写报表名称。
图8-6 创建报表
在主页面选择:系统分析 > 统计分析 > 报表管理 > 报表列表
管理所有已创建的报表,可以导出或者删除以创建的报表。用户可以看到自己导出报表的列表,点击导出报表,可再次导出报表。
(1) 点击统计分析 > 报表管理 > 报表列表;
(2) 点击导出报表 > 保存报表 > 点击删除报表 > 删除该报表。
图8-7 报表列表
在主页面选择:系统分析 > 统计分析 > 报表管理 > 自动发送报表
选择需要自动发送报表的站点,每天或者每周定时发送关心的监控数据。自动发送报表到指定的邮箱。分为每日报表和每周报表;选择启用每日报表或者每周报表。
发送时间:可以选择要发送报表的时间点。
接收人邮箱:填写接收报表的邮箱。
站点选择:选择要发送报表的站点,其中右边框里显示要发送报表的站点。
关注监控类型:选择发送报表时要关注的类型。
(1) 点击统计分析 > 报表管理 > 自动发送列表;
(2) 点击启用 > 选择每日或者每周的发送时间 > 添加需要发送的目的邮箱 > 选择需要自动发送的站点 > 选择关注的监控类型 > 提交保存。
图8-8 自动发送报表
图8-9 新增日报、周报
告警历史查询页面选择任务类别,选择时间范围,点击“查询”按钮完成查询。查询内容显示以表格方式在下方列表中。
在主页面选择: 统计分析 > 日志中心 > 告警历史查询
(1) 查看监控扫描任务结束后,系统对出现异常的站点所发出的告警信息;
(2) admin账号登录,选择统计分析 > 日志中心 > 告警历史查询。可以选择监控类别以及日期范围进行查询。
图8-10 告警历史查询
网站监控分析页面选择监测类型(HTTP,DNS,PING,页面变更,恶意链接,敏感词),选择
监测任务、时间范围和监测点,点击<查询>按钮完成查询。
在主页面选择:统计分析 > 日志中心 > 网站监控分析
(1) admin账号登录,选择统计分析 > 日志中心 > 网站监控分析。可以选择监控任务,监控类别以及日期范围进行查询。
图8-11 网站监控分析
表8-1 网站监控分析操作说明
参数 |
说明 |
监测类型 |
HTTP、DNS、PING、页面变更、恶意链接、敏感词 |
监测任务 |
检测任务的名称 |
时间范围 |
选择一段时间进行查询 |
检测点 |
选择一条线路进行查询,如:默认线路 |
域名检测分析页面选择检测任务和最近扫描次数,点击<查询>按钮完成查询。
在主页面选择:统计分析 > 日志中心 > 域名检测分析
(1) admin账号登录,选择统计分析 > 日志中心 > 域名检测分析。可以选择检测类型、检测任务、次数进行查询。
图8-12 域名检测分析
表8-2 域名检测分析操作说明
表8-3 参数 |
表8-4 说明 |
检测类型 |
Web漏洞扫描、系统漏洞扫描、网马检测、钓鱼检测、弱口令检查 |
检测任务 |
检测任务的站点名称 |
最近 |
默认为10次 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!