- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath A3000工控监测与审计系统
用户FAQ
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
在“数据管理>备份与恢复”中,下载的备份数据文件在解压时提示压缩包损坏?
自定义规则模板和自定义规则需要什么前提条件可以被平台回读到?
平台下发后审计的数据是增量覆盖还是全覆盖?不同情况(规则同名、策略同名、基线同ip、mac等)下的相关数据会怎样?
工控监测与审计用户FAQ
本文档介绍工控监测与审计产品的用户常见问题及解答。
请检查防火墙是否关闭或开启了放行策略。
检查服务器防火墙是否关闭或开启了放行策略。
除无法访问,检查防火墙是否开放10443端口;除端口10443外,系统用到的其它端口详见下表:
表1 端口表
|
协议 |
说明 |
|
|
80 |
TCP |
管理控制台访问端口 |
|
10443 |
TCP |
管理控制台访问端口(https使用此端口) |
|
16920 |
TCP |
Windows日志代理的注册端口 |
|
162 |
UDP |
用于接收SNMP Trap告警的端口 |
|
514 |
TCP、UDP |
用于接收syslog日志 |
|
9092 |
TCP、UDP |
接收节点上报、转发的数据 |
系统默认使用https访问。可接受直接输入https://IP:10443地址访问,由代理自动转换为使用https。
登录web页面点击“设备信息”,进入设备信息页面,查看系统当前的版本信息。
图1 “设备信息”界面
“运行状态”只能手动修改或在“新增策略”时进行设置(设置“是否启用”),运行关联分析不会更改“运行状态”。
在运行周期内,如果有匹配的数据将产生告警或事件,但不会修改“运行状态”。
下载的备份文件为加密文件,您不需要查看或解压。需要恢复数据,可参照WEB配置指导的14.5.6章节。
进入web端的“系统管理>状态监测”页面,找到“流量”项,便可查看。
图2 查看流量
新建策略或修改策略等操作后,策略会生成
标识,说明需要在“策略列表”页面执行“应用策略更新”才能生效。
图3 点击<应用策略更新>
(1) 查看外发方式是否为TCP;如果是,推荐使用UDP方式外发。
使用TCP进行syslog外发会存在粘包的现象,这是TCP协议传输数据的特性。建议您在创建外发目标时,外发方式选择UDP。如下图:
图4 新建外发目标时,外发方式选择UDP
(2) 如果已使用了TCP外发方式,接收到的数据会带“\n”换行标识符,您只需在接收端根据“\n”标识符拆包即可。
如下图为接收到的数据,找到“\n”换行标识符,在“\n”标识符后拆包即可。
图5 根据“\n”标识符拆包
输入的可信IP必须包含访问PC的地址,否则无法保存。如:
A设备的IP为10.10.10.1,需要使用A设备访问工控监测与审计平台,在设置可信IP时,必须包含A设备的IP地址,否则出现以下提示,无法保存。
图6 输入无效的可信IP时报错
可信IP的设置不影响当前已登录的IP,只在再次登录时根据可信IP的限制规则生效。
比如:设置的可信IP 为10.10.10.3~10.10.10.9,但此时某用户已登录了设备A:10.10.10.1,则当前状态下,设备A依旧可以正常访问工控监测与审计系统,但在退出后再次登录时,任意用户都无法访问。
联系公司专人负责远程支持解决。
重启设备或联系公司专人负责远程支持解决。
网络环境对邮件测试影响较大,建议等待30min后再测试邮件发送功能。
聚合告警以1分钟为周期进行定时聚合,聚合告警跳转至审计视图时,同时持续的告警数据还在聚合中,而审计视图页面的数据是实时从数据库查询的该类告警的总数,所以会出现在聚合告警页面显示的告警数据总数和跳转至审计视图页面显示的告警数据总数不一致的情况。
聚合的显示,是在列表显示每10分钟的计算周期(11:30-11:40、11:40-11:50)进行聚合计算并显示。聚合总列数求和≠列表左下总数。
告警聚合模式下会将同一类告警聚合到一起,告警页面的抓包功能是下载触发这一条告警的这一帧报文并生成pcap包,所以聚合模式下抓包打开的pcap文件中的源文件会存在其他同一类告警的报文,出现和列表显示不一致的情况。若需要准确的源目的信息的抓包,建议在列表模式下进行抓包。
基于被平台纳管和不被平台纳管两种方式解答:
不论是否被纳管,审计的回读功能实质是把当前下发应用于设备的策略、规则等等数据同步至审计的数据库中。
l 如果对审计设备的最后一次下发操作是由纳管平台发出,则在审计点回读后,审计数据库中的数据将与上次下发时安管平台中设备相关的数据保持一致。
l 如果对审计设备的最后一次下发操作是由审计发出,则在审计点回读后,审计数据库中的数据将与上次下发时审计平台中设备相关的数据保持一致。
最后一次下发时、下发方(平台或者审计)的启用状态为已启用并且与设备相关联的基线可以被平台回读到。
最后一次下发时、下发方(平台或者审计)的与设备相关联的策略可以被平台回读到。
最后一次下发时、下发方(平台或者审计)的与设备相关联的例外可以被平台回读到。
最后一次下发时、下发方(平台或者审计)的与设备相关联的策略所关联的自定义规则模板以及这些模板下的自定义规则可以被平台回读到。
最后一次下发时、下发方(平台或者审计)的所有自定义协议可以被平台回读到。
最后一次下发时、下发方(平台或者审计)的所有基线生成器可以被平台回读到。
平台下发后会自动触发审计回读。
平台下发后审计的数据只对与设备相关联的数据进行全覆盖。
对原先与设备不关联的同名规则、同名策略进行添加关联关系并覆盖数据,对原先与设备关联的同名规则、同名策略进行数据覆盖。
基线不分任何情况对设备相关联的数据进行全覆盖。
如果审计设备上中有与设备不关联的规则,在平台下发后这些规则将被保留,不会被删除。
工控监测与审计系统由流量采集模块和监测审计服务组件模块组成。
· 流量采集模块通过旁路部署在交换机侧,实时监听系统内数据;
· 监测审计服务组件模块由应用服务组件、WEB服务组件和前端页面组成。
¡ 应用服务组件对流量采集模块的审计和报警数据进行汇总分析,进而生成统计报表和拓扑数据,同时也进行各单元的策略下发。
¡ WEB服务组件对外提供审计、报警、拓扑、策略、协议、设备等数据的访问接口,便于前端页面的数据展示和操作。
¡ 前端页面从WEB服务组件获取各类数据进行展示,同时提供必要的操作入口方便用户对数据进行操作和修改。
监测审计服务组件对流量采集模块反馈的数据进行记录、分析、展现,并对工业控制系统网络拓扑进行可视化管理。监测审计服务组件支持白名单、黑名单策略推送机制,通过对实际现场数据流量进行机器学习、大数据分析,自动创建生成防护策略,生成的策略可以推送到流量采集模块,用于现场通信数据包的实时监测。
支持旁路部署方式,深度解析交换机镜像端口流量,识别工控网络异常通信。
系统预置了入侵检测规则库,规则库支持windows系统漏洞、Linux系统漏洞、Unix系统漏洞、web漏洞、工控系统漏洞、工控协议漏洞等规则分类。
系统也支持用户根据威胁特征自定义与其相匹配的规则,并可将自定义的规则应用到流量探针中使用,当检测到与规则相匹配的流量时,产生用户自定义的告警信息,并采取用户自定义的处置措施。
系统支持基于系统预置协议和用户自定义协议的自定义规则检测。
支持。
· 用户可以通过界面配置方便地进行协议扩展,扩展的协议可以被系统自动识别和深度解析。
· 自定义协议支持基线自学习,建立基线后能够自动识别白名单告警。
· 支持对自定义协议的关键事件、入侵事件的规则定义,并产生相应的黑名单告警。
· 对于复杂协议,支持通过脚本或者编码的方式扩展协议,扩展的协议可以被系统自动识别和深度解析。
支持
