H3C SecCenter CSAP-SA-V 虚拟综合日志审计平台 典型部署案例-5W100

手册下载

H3C SecCenter CSAP-SA-V 虚拟综合日志审计平台

典型部署案例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2019新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

本文档介绍H3C SecCenter CSAP-SA-V 虚拟综合日志审计平台(以下简称综合日志审计平台)的典型部署组网方案及常用配置说明,包括各类日志源接入配置、关联规则配置、邮件短信对接配置、告警规则配置等。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档举例接入的审计日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。

本文档假设您已了解虚拟综合日志审计平台的相关特性。

3 使用限制

·              综合日志审计平台当前最多支持接入512个被动采集日志源、128个主动采集日志源。

·              综合日志审计平台当前日志接入性能为4000/s,如实际接入日志量大于此规格,系统会随机丢弃部分日志,每秒只处理4000条左右。

·              综合日志审计平台默认配置34TB硬盘并组成Raid5阵列,实际可用存储容量8TB,不支持在使用过程中拓展存储容量。如需扩展磁盘空间请在系统启用前,联系H3C驻当地技术工程师重新部署平台,拓展存储空间。

4 组网部署

4.1  组网需求

4-1所示,综合日志审计平台通常旁挂部署在核心交换区,收集网络中各厂商各类网络设备(路由器、交换机、负载均衡等)、安全设备(防火墙、IPSIDSACGWAF等)、服务器(windowsLinuxUnix等)、各类应用(MySQLSQL ServerOracleWebLogicTomcat等)的日志进行存储、审计、分析和展示。

图4-1 综合日志审计平台接入组网

 

4.2  审计目标

综合日志审计平台支持对200多种类型的设备、系统、应用进行日志审计,用户可根据实际情况在Web界面选择配置不同的日志源设备。如需接入的设备在Web界面上没有适配的选项,可将其配置为其他类型,系统将会收集、存储但不解析该设备上报的日志数据,如需适配该设备类型,请联系H3C驻当地技术工程师。

说明

不同软件版本支持的适配设备类型不同,具体详见各版本说明书。

 

4.3  配置注意事项

对于组网中需要网络隔离的分支区域,可单独在区域入口部署综合日志审计平台,既可对该分支区域内审计目标进行日志审计,也可作为审计节点将日志转发至其他审计平台统一审计。

5 网络和安全设备日志接入配置举例

5.1  配置思路

为实现网络和安全设备日志接入综合日志审计平台,需完成如下配置:

·              在网络设备、安全设备等设备上配置系统日志的日志主机为综合日志审计平台

·              综合日志审计平台将网络设备、安全设备配置为被动日志源

5.2  配置注意事项

AAA认证、NS插卡、防火墙会话日志发送的syslog日志为二进制格式,接入这些日志时,在综合日志审计平台日志源配置中选择字符集为“bin”。

在综合日志审计平台将某个设备新增为日志源,但没有对应的设备型号选项时,可将其设备类型、生产厂商、设备型号配置为“其他”,那么,该设备日志会被系统收集存储,并在页面展示为系统类日志。如果该结果不满足客户审计需求,请联系H3C驻当地技术工程师申请定制化适配。

5.3  配置各类型设备日志接入

5.3.1  防火墙、IPS设备日志接入举例

(1)      配置组网中设备各接口的IP地址、路由、安全域及域间策略保证网络可达,具体配置过程略。

(2)      在防火墙、IPS设备上配置其日志主机为综合日志审计平台日志采集器。

选择“系统 > 日志设置 > 基本配置 > 系统日志”,单击<新建>按钮新建日志主机,配置如图所示。

图5-1 配置日志主机

 

(3)      在防火墙、IPS设备上配置入侵防御和防病毒检测

# 选择“对象 > 应用安全 > 入侵防御 > 配置文件”,单击<新建>按钮,进入新建入侵防御配置文件页面,新建名为csap的入侵防御配置文件,配置如下:

·              保护对象:全部。

·              攻击分类:漏洞。

·              对象:服务端、客户端。

·              缺省动作:丢弃、允许、重置、黑名单。

·              严重级别:严重、高、中。

·              动作:缺省。

·              他配置项保持默认情况即可。

 

# 选择“对象 > 应用安全 > 防病毒 > 配置文件”,单击<新建>按钮,进入新建防病毒配置文件页面,新建名为csap的防病毒配置文件,配置如下:

·              文件传输协议中,配置HTTPFTP协议动作为阻断。

·              邮件协议中,配置SMTPIMAPPOP3协议动作为告警。

·              文件共享协议中,配置NFSSMB协议动作为阻断。

·              其他的配置项保持默认情况即可。

 

# 创建源安全域Any到目的安全域Any的安全策略,并引用防病毒配置文件和防病毒配置文件。

选择“策略 > 安全策略 > 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。具体配置如下。

·              名称:AnytoAny

·              源安全域:Any

·              目的安全域:Any

·              动作:允许。

·              IP地址:any

·              目的IP地址:any

·              服务:any

·              用户:any

·              时间段:any

·              内容安全中引用入侵防御配置文件csap防病毒配置文件csap

·              记录日志:开启

·              开启策略匹配统计:开启

·              其他配置项保持缺省情况即可。

# 单击<确定>按钮,完成配置。

# 防病毒配置文件在被安全策略引用后,需要单击<提交>按钮,使入侵防御配置文件和防病毒配置文件生效。

 

 

(4)      在综合日志审计平台上将H3C防火墙、IPS设备添加为被动日志源。

选择“配置 > 日志采集器 > 日志源管理 > 被动采集”进入被动采集页面,单击<新增>按钮新增日志源,将H3C防火墙、IPS设备添加为被动日志源。

图5-2 新增日志源(以F5000系列防火墙为例)

 

图5-3 配置日志源的端口信息

 

说明: 注意

·          H3C防火墙设备或IPS设备配置威胁日志时选择“输出中文日志”,则在综合日志审计平台配置端口信息时,字符集需选择“gbk”;若不选择“输出中文日志”,字符集选择“utf8”。

·          H3C防火墙设备或IPS设备配置的日志主机端口号必须与综合日志审计平台配置端口信息时所配置的端口号一致,否则或导致日志接收失败。

·          配置日志类型为例外后,平台将不会采集该类日志,请谨慎选择。

 

5.3.2  ACG设备日志接入配置举例

(1)      ACG设备配置日志服务器为综合日志审计平台的日志采集器,配置如下图所示。

 

(2)      在综合日志审计平台上配置ACG设备为被动日志源

配置步骤参考“5.3.1  (4)在综合日志审计平台上将H3C防火墙、IPS设备添加为被动日志源。”,字符集选择“utf8”。

5.3.3  堡垒机设备日志接入配置举例

(1)      在堡垒机设备上配置syslog日志发送对象为综合日志审计平台的日志采集器,配置如下图所示。

 

(2)      在综合日志审计平台上将堡垒机配置为日志源。

配置步骤参考“5.3.1  (4)在综合日志审计平台上将H3C防火墙、IPS设备添加为被动日志源。”,字符集选择“utf8

5.3.4  WAF设备日志接入配置举例

(1)      WAF设备上配置

 

(2)      在综合日志审计平台上将WAF设备配置为日志源

配置步骤参考“5.3.1  (4)在综合日志审计平台上将H3C防火墙、IPS设备添加为被动日志源。”,字符集选择“utf8”。

5.3.5  交换机、路由器等网络设备日志接入配置举例

(1)      在交换机、路由器等网络设备上配置日志主机为综合日志审计平台日志采集器,配置命令如下:

<Sysname> system-view

[Sysname] info-center loghost source Vlan-interface1560

[Sysname] info-center loghost 10.10.0.41 facility local5

[Sysname] info-center enable

[Sysname] ntp-service enable

[Sysname] ntp-service unicast-server 10.203.1.16

(2)      在综合日志审计平台将交换机、路由器等网络设备配置为日志源

配置步骤参考“5.3.1  (4)在综合日志审计平台上将H3C防火墙、IPS设备添加为被动日志源。”,字符集选择“utf8”。

5.4  验证配置

日志源配置完成且正常发送日志后可在采集器监控汇总、首页、日志概览等页面查看日志信息,如防火墙上报的日志的展示结果如下。

·              在采集器监控汇总页面查看该防火墙上报日志的统计信息:

 

·              首页日志统计情况展示:

 

·              设备日志实时监控结果:

 

6 主机、应用日志接入配置举例

若要对组网中服务器(WindowslinuxUnix等)、各类应用(MySQLSQLServerOracleWebLogicTomcat等)日志进行审计,需先在对应服务器上安装日志采集代理软件Agent

6.1  Agent安装配置

6.1.1  Agent软件获取

从版本发布包中获取Agent软件,各版本Agent软件安装包如下:

·              1Windows版本Agent软件安装包

·              2Linux 32位版本Agent软件安装包

·              3Linux 64位版本Agent软件安装包

·              4Unix版本Agent软件安装包

6.1.2  安装注意事项

    Agent按照需使用对应操作系统的软件包。

    Agent安装完成后需先进行配置修改,再启动Agent,否则无法注册到平台。

6.1.3  Agent软件安装

1. 安装Windows版本Agent

(1)      双击Windows版本Agent安装程序进行安装。

 

(2)      用文本编辑工具打开安装目录下的conf\agent.conf文件,修改syslog服务器IP地址为综合日志审计平台日志采集器IP地址,如配置server_ addr = 186.64.100.77

图6-1 打开agent.conf文件

 

图6-2 配置syslog服务器IP

 

(3)      将配置项前方#号删除使配置生效。

图6-3 删除#号前

 

图6-4 删除#号后:

 

(4)      任务管理器中,选择右键启动"Log Agent"服务

 

2. 安装Linux版本Agent

(1)      解压logagent-1.0.0.tar.gz,进入解压目录,执行./install.sh进行安装

 

(2)      编辑/usr/local/logagent/conf/agent.conf文件,执行命令如下图所示。

 

(3)      修改agent.conf文件中server_addr,并将配置项前方#号删除使配置生效。

图6-5 修改server_addr并删除#号操作结果

 

(4)      执行/etc/init.d/log-service start | stop | restart | status管理服务

 

3. 安装Unix版本Agent

安装方法请参见“2. 安装Linux版本Agent”。

6.1.4  Agent软件升级

Agent暂不支持在线推送升级,需手动卸载老版本后重新安装新版本,Agent安装请参见“6.1  Agent安装配置”。

·              Window版本agent卸载:进入agent安装目录,双击unist.exe卸载当前版本

 

·              Linux/Unix版本agent卸载:进入agent安装目录,执行uninstall.sh脚本卸载当前版本

6.2  综合日志审计平台端配置举例

根据6.1.2节安装agent并修改配置,启动agent后,agent会自动注册到综合日志审计平台,在“配置 > 日志采集器 > Agent管理”页面可以看到注册的agent

图6-6 Agent管理页面

 

Agent注册成功后默认会采集主机日志及中间件日志,如需要采集数据库日志,需要进行相应的配置,配置步骤如下:

(1)      Agent管理页面,点击配置图标按钮,进入配置Agent管理页面。

图6-7 Agent管理页面

 

图6-8 配置Agent管理

 

(2)      在数据库页签,点击<添加>按钮,进入数据库配置页面,如6-9所示。填写配置项参数后,点击<保存>,即可采集该数据库相关日志。

图6-9 数据库配置

 

6.2.2  验证配置

Agent配置完成并正常采集日志后,可以在Agent监控汇总、首页、设备类型等页面查看日志上报信息,展示结果如下:

·              Agent管理页面,点击统计信息图标按钮,进入监控汇总页面查看该Agent上报的日志统计信息。

图6-10 Agent管理页面

 

图6-11 监控汇总

 

·              首页展示Agent上报的日志统计信息,如下图所示。

 

·              在“日志 > 设备类型”页面,可选择展示Agent采集日志的实时监控结果,如下图所示。

图6-12 日志-设备类型

 

7 关联规则配置举例

关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全事件,并在事件明细页面进行展示。系统支持预定义关联规则及自定义关联规则。

1.1  配置注意事项

·              一个关联规则下可添加多个子规则,子规则之间的匹配顺序用户可自定义。

·              建议不要配置过长的时间窗。否则会影响匹配性能。

·              关联规则停用后,不会影响停用前匹配的数据展示。

1.2  预定义关联规则

登录综合日志审计平台,选择“事件 > 关联规则”进入关联规则页面,系统提供了10条预定义的关联规则,如下图所示。

图7-1 关联规则

 

1.3  自定义关联规则

在关联规则页面,点击<新增>按钮可根据需求新增自定义关联规则。如下图所示,新增一条用户认证关联规则,则相关用户认证失败就会生成一条关联事件。

图7-2 新增自定义关联规则

 

图7-3 新增自定义关联规则的匹配子规则

 

1.4  验证配置

关联规则配置完成后,构造符合关联规则匹配条件的日志,在事件明细页面可查看匹配结果。

·              在“事件 > 事件明细”页面查看是否有对应安全事件产生:

 

·              在“事件 > 关联规则”页面查看对应关联规则命中次数是否发生变化:

 

8 告警规则及短信邮件接入配置举例

1.5  配置注意事项

·         邮件或短信方式通知责任人必须在“配置 > 全局设置”页面完成邮件服务器和短信业务中心的相关配置,否则无法正常发送告警通知。

·         指定的邮件方式告警收件人必须配置了邮箱地址;指定的短信方式告警收件人必须配置了手机号。

1.6  短信配置

选择“配置 > 系统管理 > 全局设置 > 短信业务中心”进入短信业务中心页面配置短信平台。

当前短信平台支持两种:嘉讯短信平台、亿美短信平台,用户根据使用情况进行选择。

配置短信平台相关信息后,进行<提交修改>,再点击<新增号码>进行管理员手机号配置即可。

图8-1 短信业务中心-嘉讯短信平台

 

图8-2 短信业务中心-亿美短信平台

 

1.7  邮件配置

选择“配置 > 系统管理 > 全局设 > 邮件服务器”进入在邮件服务器页面,填写邮件服务器的相关配置,新增邮箱即可。

图8-3 邮件服务器配置

 

在新增邮箱时,可进行连接测试,判断邮箱是否可用,如下图所示。

 

1.8  告警策略配置

选择“配置 > 告警管理 > 告警策略”进入告警策略页面,点击<新增>新增告警策略,配置如下图所示。

图8-4 新增告警策略

 

1.9  验证配置

告警策略配置完成后,在“配置 > 告警管理 > 告警记录”页面可查看到告警记录信息,若配置了短信通知或邮件通知,可收到短信或邮件提醒。

图8-5 告警记录

 

图8-6 通知邮箱收到的邮件提醒

 

联系我们