- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
Copyright © 2023 新华三技术有限公司及其许可者 版权所有,保留一切权利。
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
由于产品版本升级或其它原因,本手册内容有可能变更。H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
H3C 安全威胁发现与运营管理平台是以安全大数据为基础,对能引起网络态势发生变化的要素进行获取、理解、评估和呈现,并对未来发展趋势预测;从全局视角对安全威胁进行发现识别、理解分析、响应处置;通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,安全能力的落地实践。
为了满足多方面、多维度的安全检测需求,安全威胁发现与运营管理平台提供多业务感知引擎,提升对全网风险威胁的检测、判断、识别、预测和告警能力。根据业务场景,不同业务引擎间可模块化组合,协同完成威胁检测、异常发现、攻击溯源、态势呈现和联动响应等功能,同时将机器学习引入多业务感知引擎,可以对海量的安全信息进行自动分析与深度挖掘。
为了全面采集情报、网络、终端等信息,为风险分析提供支撑,安全威胁发现与运营管理平台一方面接入外部威胁情报,另一方面采用主动、被动技术对全网中各种网络设备、安全设备、漏扫设备、互联网爬虫、主机及业务应用系统的异构海量日志进行采集,通过日志范式化处理和日志分类,实现不同厂家日志与系统的快速适配。
基于机器学习和专家系统,对大范围样本数据进行安全分析,利用机器学习算法,建立用户行为、异常流量和威胁攻击等基线,训练出异常流量检测、威胁行为分析和流量趋势预测等模型,同时建立知识库不断优化调整模型,发现威胁并预判趋势。
为了还原攻击链条,完成取证分析,安全威胁发现与运营管理平台以威胁事件为入口,以安全威胁模型为基准,针对攻击全过程中攻击者留下的任意线索进行多维拓展,利用云端丰富的实时威胁情报和本地的网络行为、终端行为、文件信息,对安全事件进行回溯和调查,可视化绘制出完整的攻击链条,覆盖攻击的源头、手段、目标、范围等相关信息,并对被发现的未知威胁进行快速溯源和定性。
为了实现对外部威胁的主动防御,构建“云-网-端”协同的主动防御体系,通过知识库进行策略管理,根据实时场景自适应决策响应,快速生成应急响应预案,主动将安全策略推送给全网关键设备,现有安全硬件网关充当执行单元,通过云端检测与边界防御,实现安全事件的预警、响应和处置。
为了有效监控在网资产运行及风险状态,快速处置故障及风险事件,平台支持基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
为了从不同角色、实体维度进行风险呈现,为安全运营提供决策依据,平台支持针对不同角色差异化展示安全风险信息。平台以安全大数据为基础,通过可视化技术,从第三方监督专员、业务运营专员、信息安全专员和IT运维管理员等视角进行风险呈现,从资产/流量/业务/行为等维度形成可视化视图,同时提供丰富多样的数据可视化效果,包括3D图表、雷达图、拓扑图、热度图等样式,实现安全事件多维可视。
安全威胁发现与运营管理平台的关键在于采集大量分散的异构传感器提供的安全信息,将这些信息归一化处理,进行大数据关联分析,从而生成有效的安全事件,并以可视化方式呈现出来,使网络管理者能够迅速把握复杂、动态的安全态势。平台系统工作流程架构如下图所示。
数据采集包括主动采集、被动采集和日志导入三个部分,用于将数据源日志信息采集至平台。
· 主动日志采集:平台主动向数据库、日志服务器发起FTP、ODBC、JDBC等连接,主动获取日志或业务数据信息。
· 被动日志采集:平台接收各安全传感器和流量传感器通过Syslog、SNMP、NetStream、HTTP、HTTPS等协议上报的日志信息。
· 日志导入:平台支持接收文本格式日志信息导入。同时,数据采集对采集到的日志信息完成原始编解码处理。
数据处理流程包括数据预处理、分布式存储、分布式检索三个部分。
· 数据预处理:对编码后的原始日志信息进行适配解析和归一化处理,并完成上下文信息丰富(资产、终端、地理位置、区域等信息)。
· 分布式存储:丰富后的日志信息数据、原始流量抓包文件、大数据分析及计算结果信息归类存储,所存数据用于关联分析、AI机器智能学习、取证溯源和威胁信息可视化;考虑到处理性能和可靠性要求,数据进行分布式存储,并且支持按需扩展存储节点。
· 分布式检索:ClickHouse和ElasticSearch分布式检索引擎相结合,兼顾稳定性和检索效率,支撑平台海量日志存储与处理;大数据的快速检索引擎为高速网络流量的深度安全分析提供了技术支持,为高智能模型算法提供计算资源。
安全威胁发现与运营管理平台采用大数据存储架构和集群计算分析引擎构建大数据存储、计算平台。
· 事件关联分析
事件关联分析是指挖掘大量事件之间的关联和时序的关系,进行清洗、聚合。借助先进的关联分析引擎,抽取出真正重要的威胁事件。
平台系统引入威胁情报数据,通过安全日志、流量日志与情报的深度线索关联,实现对高级威胁或APT攻击的有效检测和跟踪,并可结合云端威胁情报中心的海量数据情报对各种告警中的IP、域名、文件MD5进行进一步分析和解释。
功能实现方面,平台内置了部分关联分析规则,同时支持用户自定义关联分析规则。用户可以定义基于逻辑表达式和统计条件的关联规则,所有日志字段都可参与关联,从而有效发现针对特定场景下的安全事件。
当多条日志匹配了某一关联规则,则认为它们之间存在对应的关联关系,系统将输出异常事件,同时将匹配用到的原始日志记录到异常事件中。
· 场景化分析
场景化分析针对关联分析后的安全事件,对危害程度高、业界关注度高的安全事件,通过一系列图、表等可视化界面,依据攻防等经验构造的数据展示形式进行专项场景化归类分析呈现。包括挖矿感染分析、勒索感染分析、C&C外联分析、恶意文件分析和热点事件分析。
· 流量和行为分析
平台可通过知识库的配置,将监测区域内地址分为服务器对应资产信息和个人终端对应用户信息。基于会话日志和审计日志对全网流量进行深度检测和分析。
一方面,对于资产而言,实现相关业务访问的精细化管理,建立网络流量的多维度流量基线,从而为后续的链路、带宽、和服务器扩容提供技术支撑;对用户而言,对其访问轨迹、互联网访问的内容和关注重点等进行分析,同时通过数据挖掘找到其兴趣爱好,对用户进行画像,从而为后续的信息推送等服务提供支撑。
另一方面,通过资产和用户的流量分布情况、访问关系、流量走向、协议端口等维度建立流量和行为基线,发现隐藏在流量中的攻击行为和失陷信息,即异常流量和异常行为。在实际应用中,此功能可有效监测出绕过传统安全产品防御的未知威胁攻击。
流量基线来源有两种:系统自学习和用户自定义。
○ 流量基线自学习,就是系统自动统计一段时间内(比如一个月)网络内访问信息和流量信息,以此访问和流量信息为基础(对于流量数据,还会自动设置合适的上下浮动范围),自动生成流量基线。
○ 用户自定义流量基线:用户手工配置访问和流量规则。
· 脆弱性分析
脆弱性分析是指,平台管理和分析漏洞检测和风险评估的漏洞数据,并对漏洞状态进行持续跟踪。提高漏洞检测、漏洞数据管理、漏洞运维各个环节的自动化程度,让用户能够掌握漏洞态势。提高漏洞管理和运维工作效率,降低工作难度和成本。帮助用户形成快速测试,快速分析、快速响应的能力,减少黑客利用的时间窗口。同时改进检测方法和策略,形成良性的循环。
· AI机器学习
利用人工智能技术构建“安全大脑”,对全网海量安全信息进行自动分析与深度挖掘,及时掌握安全状况和发展趋势,快速进行自适应联动响应,从而全面增强整体安全防护能力。
安全威胁发现与运营管理平台应用机器学习等技术构建安全大脑,基于样本数据的训练,利用LSTM(Long Short Term Memory)算法、CNN模型(卷积神经网络)等生成分类器模型,并在客户环境利用分类器模型进行DGA域名访问、DNS隐蔽隧道利用等方面的检测,从而发现僵尸主机或者APT攻击在命令控制阶段的异常行为,实现从被动监测到主动防御的跨越。
· Web监测分析
通过沙箱技术、威胁情报、漏洞扫描等技术提供主动的网站安全监控与检测功能。帮助客户全面掌握网站风险情况(漏洞、弱口令等)、实时监控网站安全状态(钓鱼、木马、暗链等)并及时发现网站篡改事件。
· 深度综合关联分析
安全威胁发现与运营管理平台对安全事件分析引擎、异常流量检测引擎、AI机器学习引擎、脆弱性检测引擎等进行有效整合,再次进行高精度深层次关联分析,通过主机IP、文件MD5和URL等建立异常的时序和关联关系,根据预定义的行为判定模式判定是否高级威胁,同时根据相关联的异常的严重程度、影响范围、可信度进行打分和评估,从而产生可信度高的威胁事件。
安全威胁发现与运营管理平台通过“Web+APP”方式进行威胁事件和风险状态的可视化呈现。
· Web页面方式为网络安全运维人员进行威胁事件排查和处置提供数据依据和解决方案。
· APP方式的大屏可视化,具备多维度图形化和3D立体图滚动展示界面,实时展现企业在全球范围内面临的威胁和攻击,预判全网安全走势。
· 浏览器推荐使用Chrome101及以上版本。
· PC的推荐显示分辨率为1600*900像素及以上。
在Chrome浏览器地址栏输入平台IP地址,即可进入登录界面。系统设有缺省的Web登录信息,用户可以直接使用缺省登录信息通过HTTPS服务登录设备的Web界面。
安全威胁发现与运维管理平台标准版IP地址缺省为192.168.0.3/16,可在“系统设置 > 系统配置 >全局配置 > 网络设置 > 平台网络配置”页面进行修改;安全威胁发现与运维管理平台增强版IP地址在平台安装过程中手动配置。
安全威胁发现与运营管理平台基于最小特权和权值分离的原则,将用户特权集进行划分,分为如下角色:
· 管理员:拥有系统所有权限。
· 业务管理员:拥有业务相关信息查看和处置权限。
· 系统管理员:拥有“综合概览”和“系统设置”下部分系统基础功能的管理权限。
· 审计管理员:拥有“系统设置”下部分日志功能的管理权限。(仅在E1146P03及以上版本支持该角色)
各角色的权限与软件版本有关,请以实际情况为准。
缺省的Web登录信息如下表。
|
用户名/密码 |
用户角色 |
用户权限 |
|
admin/secCsap@12345 |
管理员 |
拥有系统所有权限 |
|
buzAdmin/buzCsap@12345 |
业务管理员 |
拥有“综合概览”、“威胁中心”、“分析中心”、“处置中心”、“资产中心”、“报表中心”、“安全服务”和“系统设置”下部分业务相关功能的管理权限 |
|
sysAdmin/sysCsap@12345 |
系统管理员 |
拥有“综合概览”和“系统设置”下部分系统基础功能的管理权限 |
|
auditAdmin/auditCsap@12345 |
审计管理员 |
拥有“系统设置”下部分日志功能的管理权限 |
首次登录建议使用admin用户登录。首次登录设备后,可以单击Web页面右上角的用户名,选择系统设置,进入”系统配置 > 权限管理 > 用户管理”界面修改用户的密码,以提高安全性;还可以创建新的用户,方便对设备进行管理。
为保证设备的安全性,用户在Web上完成操作后应及时退出登录。单击Web页面右上角的用户名,选择退出登录,即可退出Web。
· 不同设备型号及软件版本的Web界面可能有差异,请以设备实际情况为准。
· 首次登录时浏览器可能会提示证书错误,选择继续前往即可。
· 用户登录Web后,能够看到的页面导航内容、能够执行的操作与该用户的用户角色有关。
配置向导用于指导用户快速配置系统基础功能。配置向导主要在以下两个场景中使用:
· 首次部署后:系统首次部署后,引导运维人员进行基础功能配置。
· 基础功能配置不完全:用户登录后,系统将自动检测当前是否已完成基础功能配置,未完成则弹出配置向导进行提示。
仅“管理员”角色的用户支持配置向导功能。
1. 首次登录系统后,用户可通过滑动开启页面左下方“显示配置向导”,也可通过单击页面右上角用户名后面的下拉三角符号进入配置向导页面。
2. 根据页面提示完成相关配置。
3. 如需后续登录时不再弹出本页面,请勾选页面下方“不再提示配置向导”。
· 网络配置
网络配置用于修改本系统的网络参数,包括DNS服务器IP地址、网络代理参数、系统IP地址、网关以及Web端口。
○ DNS服务器设置:情报在线升级功能需要配置DNS服务,用户可根据实际情况配置DNS服务器IP地址。
○ 网络代理设置:当系统不能访问公网时,可配置代理服务器,使系统能够通过代理访问公网。
○ 平台IP地址/网关设置:系统首次部署或网络变更时,可修改系统IP地址。修改系统IP地址后,采集器IP地址将自动更新为修改后的IP。此时,需要将被动采集日志源设备上配置的日志主机IP地址更新为修改后的IP,否则系统无法接收设备上报的日志。
仅安全威胁发现与运维管理平台标准版支持配置本参数。
○ Web端口设置:用于配置web服务使用的端口,默认端口为443。若修改后的端口为内部服务已使用端口,系统会提示端口已被占用。
有关网络配置的详细介绍请参见平台网络设置。
· 日志源配置
系统支持主动采集和被动采集两种方式采集日志。被动采集是指如防火墙、流量探针等具有日志外发功能的设备主动向系统发送日志,系统被动接收;主动采集是指数据库、FTP服务器等设备不能主动外发日志,系统需主动访问这些服务器获取日志。添加设备为日志源并关联采集器后,采集器会定时采集设备日志并上报给系统,以便系统分析网络态势。有关日志源配置的详细介绍请参见日志源配置。
· 区域配置
区域是本系统针对用户网络进行的逻辑划分,与内网IP段绑定,方便识别IP地址是否为内网IP及其地理位置;同时,系统通过分析区域中IP的安全状态,从而推断出区域的网络安全状况。有关区域配置的详细介绍请参见区域配置。
· 资产配置
资产是安全事件发生时的直接承受者或发起者,如防火墙、路由器、交换机、服务器、摄像头、固定IP地址的终端等均可配置为资产。配置资产及其所属区域后,系统可以统一监测资产安全状态。有关资产配置的详细介绍请参见资产配置。
· 终端配置
实际组网中存在动态分配IP地址的终端时,需要配置终端网段。终端网段与内网IP段绑定,终端网段中所有IP都会被标识为终端,并关联到相应区域。方便系统统一监测终端安全状态。有关终端配置的详细介绍请参见终端配置。
· 威胁情报配置
情报中包含了威胁的上下文信息,通过威胁情报可以识别渗透、数据盗取等网络安全事件,以及攻击者的动机、攻击过程及使用工具等。有关情报配置的详细介绍请参见威胁情报。
· 综合概览
从全局风险评估视角展示整网风险。
· 威胁中心
对网络中发生安全事件、存在的风险资产和风险终端、脆弱性风险进行统计与分析,便于管理员了解资产安全现状。
· 分析中心
提供全网流量分析、场景分析等功能,便于管理员直观掌握全网行为态势。同时,在用户进行调查取证分析时,支持日志智能检索。用户可通过输入关键字条件快速检索到相关的日志和流量元数据,并可以进一步查看日志和流量元数据的详细信息。
· 处置中心
提供对安全事件和脆弱性风险进行处置、内网主机上网行为通报溯源以及查看内置案例库和处置建议库等功能。
· 资产中心
用于管理区域、资产和终端信息。
· 报表中心
提供多种报表模板,方便管理员将整网安全状态分析结果生成报表,导出到本地分析。
· 安全服务
提供专家会诊和云端托管服务,帮助用户分析当前网络安全态势、协助用户快速发现与解决安全问题,同时提供常用分析工具的下载链接,方便管理员自行下载并使用工具。
· 系统设置
提供系统基础配置,包括权限管理、平台升级、数据源配置、关联规则、威胁情报等配置。
在云安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 租户资产威胁监测
实时监测云租户网络资产,及时响应威胁,保持云网络的健康状态。
· 云自动化安全运维
基于云计算和容器技术进行微服务的自动部署和动态管理,对关键对象状态进行实时监控,对重要资产进行风险分析,能够快速生成配置策略和任务工单,实现运维的响应和处置。同时支持工单的作业化管理,实现工单的自动触发、派发、跟踪、提醒和关闭。
· 云安全可视化
提供丰富多样的数据可视化效果,通过大屏展示3D图表、雷达图、拓扑图、热度图等,实现云安全事件多维可视。
· 定制化报表展示
指定周期自动生成报表以帮助云网络租户掌握安全情况。同时系统提供的报表模板可灵活编辑,用户可根据自身需要在预置的报表展示内容中进行选择、调整顺序,以形成自身需要的报表。
在电子政务网络监测平台场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 安全运维一体化
实现运维平台与监测平台资产、安全信息、管理信息同步,实现政务外网资源的统一纳管。
· 监管流程化
通过工单、短信邮件实现监测流程化,建立应急机制,建设运维知识库,保证IT服务的知识传承有序,常规问题可通过知识库解决,提升效率。
· 能力定制化
定制对外展示门户;定制智能分析报表,实现数据的汇总分析;定制处置流程,实现安全事件处置可管可控。
· 安全可视化
构建安全大脑,采集全网事件,掌握全局安全状态,保障安全事件从发现到闭环全流程可管可视。
· 监防协同化
在监测的基础上,实现自动化防护能力;与终端安全管理、脆弱性发现系统、安全防护设备形成联动,实现快速响应。
· 资产数据化
梳理资产,将信息系统的基础信息、组件构成、责任单位及人员等信息电子化、数据化。为实现多级单位分级防护流程,划分权责界面奠定基础。
在企业场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 平台融合
安全管理平台与网络运维平台相融合,快速发现并定位问题,提升管理效率。
· 区域管理
按照区域和管理范围划分不同区域,按区域进行监控和管理,提升整体安全性。
· 定制化展示
根据企业自身需要量身打造定制化大屏,页面风格同企业风格相匹配。
· 自动化报告
按时生成安全报告发送给相关人员,报告内容可读性强,可指导后续安全加固。
在视频安全场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 持续监测
○ 掌握视频专网安全态势
○ 提升视频安全监测能力
○ 直观体现视频安全工作成果
· 威胁发现
○ 快速发现视频专网安全隐患
○ 提升视频专项安全分析预警能力
○ 威胁情报加强对威胁的多维度信息补充
· 处置响应
○ 提供安全事件响应处置管理抓手
○ 缩短安全事件响应处置时间
○ 提升视频安全防护策略变更效率
· 资产风险分析
○ 量化视频资产风险评估
○ 掌握整体视频资产风险走势
○ 掌握全网视频资产脆弱性
在高校场景中,借助安全威胁发现与运营管理平台可实现如下能力:
· 统一安全防护
通过机器学习、关联分析、情报融合,涵盖攻击、漏洞、外联风险监控,通过自动化编排实现主动防御。
· 资产梳理及核查
以信息系统为核心,完善的信息系统备案审批流程,上线前的安全核查。
· 安全运维管理
分级分权管理,定义校级、院级、信息系统及管理员,细粒度角色控制。
· 事件闭环处置
信息系统各角色接收、处置工单,并对风险进行自动化验证,上报风险处置结果,形成风险闭环。
从全局风险评估视角展示整网风险,基于对网络中存在的安全事件及风险进行全面分析,掌握全网安全度。通过可视化大屏,从攻击、资产脆弱性等多维度展示全网安全风险,全面的了解网络安全现状。通过实时监控平台整体运行状态和资源消耗情况,以及平台核心服务与各服务器节点的运行状态,实时了解平台健康状况。
本章包含如下内容:
· 综合态势
○ 查看整体运行状态
○ 查看安全度评分
○ 查看系统时间
○ 首页展示设置
○ 威胁探测
○ 资产安全信息
○ 查看终端安全信息
○ 查看安全事件
○ 查看资产暴露面
○ 综合报告
· 大屏可视
○ 公共配置
○ 注意事项
○ 整网威胁态势
○ 查看异常外连态势
○ 查看资产态势
○ 查看脆弱性态势
○ 查看外网攻击态势
○ 查看横向威胁态势
○ 查看资产监控
在综合态势页面可以总览全网安全状态,方便管理员直观掌握全网安全度,对网络中存在的安全事件及风险进行全面分析。
在综合态势页面顶部可以查看威胁检测探针、终端安全管理系统以及漏洞扫描设备的接入情况,以及专家远程会诊的剩余服务次数。单击<
>按钮,可进入相应的详情页面。
该功能用于查看系统整体运行状况以及核心服务与节点的运行状态。
单击<
>按钮,可进入设备运行监控页面,查看具体的运行信息。有关设备运行监控的详细介绍,请参见“设备运行监控(安全威胁发现与运维管理平台标准版)”或“设备运行监控(安全威胁发现与运维管理平台增强版)”。
安全度评分由系统围绕整网资产/终端的安全状态进行综合分析并根据评分计算规则自动生成,可辅助用户评估全网安全状态。
不同评分对应的网络安全状态
· 91~100分:安全
· 81~90分:低危
· 61~80分:中危
· 60分以下:高危
评分规则
网络安全度总分为100分,扣分规则如下:
· 当系统检测到网络中存在1台失陷主机扣10分,失陷主机扣分上限为90分
· 当系统检测到网络中存在1台高危主机扣3分,高危主机扣分上限为39分
· 当系统检测到网络中存在1台低危主机扣1分,低危主机扣分上限为9分
其中,系统支持设置安全度最低分,当系统计算的安全度得分低于设置的安全度最低分时,则不再继续扣分,页面评分的显示结果为配置的安全度最低分。安全度最低分可到“系统设置 > 系统配置 > 个性化定制”页面进行配置。
提高评分方法
如果要提高安全度评分,则需要用户及时处理风险资产/风险终端列表中的相关资产/终端对应的安全事件。
具体操作步骤如下:
1. 单击“风险资产”或“风险终端”显示项下的取值,可进入“风险资产”或“风险终端”页面,用户可查看到相关的资产名称、终端名称、风险IP、终端IP等信息。
图-1 风险资产
2. 单击“待处理安全事件”显示项下的统计值,可进入事件台账页面。用户可根据风险IP或终端IP匹配源IP或目的IP,处理相应的安全事件。
图-2 事件台账
用户可在综合态势页面查看部署本平台的服务器的系统时间。
用户可根据实际需求,对综合态势页面的显示内容进行定制。同时支持调整各显示内容的展示顺序以及新增自定义关注对象。
1. 单击综合概览页面右上角<
>按钮,可进入首页显示设置页面。
2. 用户可以选择展示系统预置的关注对象,也可新增自定义的关注对象。
3. 单击<
>按钮,可调整各显示模块的顺序。
新增自定义关注对象
新增自定义关注对象的操作步骤如下:
4. 单击<新增关注对象>按钮,可配置关注对象的页面标签名称,并选择关键对象的类型,支持的类型包括资产/终端和事件名称。可以修改关注对象标题并添加关注的资产/终端或事件名称。
5. 单击<确认>按钮,保存新增自定义关注对象配置。
6. 单击<保存>按钮,保存首页显示设置的修改。
7. 在首页底部找到已新增的关注对象。
8. 单击右上角的<
>配置按钮,或者单击<配置模块显示内容>,可进入自定义关注对象配置页面。
9. 如果关注对象为资产/终端,则可通过单击<新增>按钮,手动输入资产名称或终端名称,添加关注的具体的资产或终端。也可通过单击<选择资产>按钮,选择添加关注的具体资产或终端;如果关注对象为事件名称,则可通过单击<新增>按钮,手动输入事件名称,添加相应的事件。
10. 单击<保存>按钮,完成配置。
威胁探测用于对风险资产、风险用户及IP情报、域名情报、MD5情报进行追踪定位,以便管理员快速了解并处理网络中存在的安全威胁。
用户可通过输入资产IP或资产名称,点击查询可进入该风险资产或资产画像页面;输入用户名称点击查询可进入该用户画像页面;输入情报IP、域名、URL或MD5值点击查询可进入IP情报、域名情报或MD5情报页面。
资产安全信息用于展示全网风险资产总数,并统计今日新增的风险资产数量,同时展示风险资产Top 5,管理员可查看这5个资产的资产名称、资产IP、所属区域、事件标签及安全状态。单击列表下指定的资产名称或资产IP,可进入该资产的画像页面,查看资产的详细信息。
终端安全信息用于展示全网风险终端总数,并统计今日新增的风险终端数量,同时展示风险终端Top 5,管理员可查看这5个终端的终端名称、终端IP、所属区域、事件标签及安全状态。单击列表下指定的终端名称或终端IP,可进入该终端的画像页面,查看终端的详细信息。
用户可通过综合态势页面查看全网已发生的安全事件总数,包括未处理、处理中和已处理事件数,以及今日新增和今日处理的事件数量。同时可查看安全事件Top 5、攻击者Top 5、安全事件区域分布Top 5以及攻击阶段分布图。点击攻击阶段图标,可查看该阶段未处理和处理中的安全事件详细信息。
资产暴露面用于展示资产暴露面(即资产开放的端口)的分布情况,包括资产内网暴露面分布Top 10和资产互联网暴露面分布Top 10。
本功能需要与资产扫描功能配合使用,用户需要先通过配置资产扫描任务,使用资产探针主动探测网络中的内部资产,并检测资产开放的端口和服务等信息。
展示生成的综合安全风险的日报、周报及月报。用户可单击某报告对应操作列的下载图标将报告下载至本地查阅。
该功能通过可视化大屏,从攻击、资产脆弱性等多维度展示全网安全风险,方便用户快速、全面的了解网络安全现状。
系统支持展示整网威胁态势、异常外连态势、资产态势、脆弱性态势、外网攻击态势和横向威胁态势。
1. 选择“综合概览 > 大屏可视”,进入大屏可视页面。
2. 单击各态势区域,系统将展示相应的态势大屏页面。
3. 单击左上角<设置>按钮,可设置大屏轮播参数、选择需要展示的态势大屏、以及各态势大屏页面的展示参数(包括大屏名称、地图区域和图标)。配置完成后,单击<确认>按钮,保存配置。
4. 单击左上角<轮播>按钮,系统将根据用户配置的轮播参数,轮流展示各态势大屏页面。
5. 单击页面右上角<驾驶舱>和<平铺>按钮,可以切换大屏页面的展示风格。
图-3 平铺风格
图-4 驾驶舱风格
· 可视化大屏对PC性能要求较高,建议在内存至少8GB的PC上观看大屏,否则可能会出现屏幕卡顿、页面加载失败等问题。
· 对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析、通报中心等特性,用户必须申请并安装License激活文件后才能使用。
该页面用于展示境外、境内以及国内指定区域的攻击事件统计分布情况,包括攻击次数、威胁事件名称分布等,方便用户了解整网的威胁状态和攻击趋势,及时调整相应的防护策略。
其中,区域态势页面中展示的统计数据与用户配置有关。用户可通过如下步骤指定需要统计的区域:
1. 选择“综合概览 > 大屏可视”,进入大屏可视页面。
2. 单击左上角<设置>按钮,选择整网威胁态势,在地图区域下拉框中,根据实际需求选择指定的区域。配置完成后,单击<确认>按钮,保存配置。
3. 配置完成后,用户可单击整网威胁态势区域,选择区域态势,页面中将展示所选地图区域的统计数据。
该页面用于展示资产和终端的异常外连事件的统计分布情况,包括外连事件总数、异常外连趋势、异常外连事件列表、外联资产排名等,方便用户了解资产和终端的异常外连情况,及时调整相应的防护策略。
该页面用于展示资产的统计分布情况,包括资产总数、风险资产统计和脆弱性资产统计、资产类型分布等,方便用户了解资产在各个维度下的分布情况以及风险概况和脆弱性风险等,及时对资产进行相应的防护。
该页面用于展示资产存在的脆弱性风险统计信息,包括脆弱性资产Top5、脆弱性资产趋势、漏洞列表Top10等,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
该页面用于展示内网资产和终端受到外部攻击的统计分布情况,包括总攻击次数、攻击类型排名Top5、攻击趋势和实时攻击列表等,同时支持按照攻击者所属的地理位置,分别展示国内和国外的攻击事件统计分布情况。方便用户了解整网攻击现状,及时调整相应的防护策略。
该页面用于展示内网攻击者与受害者之间的攻击关系,单击<资产&终端视角>,可从具体的资产/终端的维度查看对应的攻击关系;单击<区域视角>,可查看各个区域之间的攻击关系。有利于管理员直观地掌控攻击者与受害者之间的攻击关系,有针对性地调整相应的防护策略。
本功能仅在E1147P01及以上版本支持。
该页面使用3D立体图形展示资产在各个统计维度下的统计分布情况以及资产安全度分析,例如脆弱性资产分布、风险资产安全状态分布、开放服务端口分布等。方便用户了解资产的安全概况和脆弱性风险等。同时支持以统计图、表等形式展示各维度下的TOP排行信息,例如资产类型分布TOP5、风险资产TOP10和区域风险分析TOP5等,方便用户快速掌握资产风险概况,及时对资产进行相应的防护。
本功能仅在E1147P03及以上版本支持。
该页面用于展示通报相关的组织信息、通告事件统计信息,通告工单统计信息、反复感染事件信息及其涉及的组织信息。一级组织负责人登录后,通报态势统计数据来源于该一级组织的直接下级组织;二级组织负责人登录后,通报态势大屏统计数据来源于该二级组织的直接下级组织;三级组织负责人登录后,通报态势大屏统计数据来源于该三级组织直接上级组织的所有下级组织。
本功能仅在E1148P03及以上版本支持。
该功能用实时监控平台整体运行状态和资源消耗情况,包括平台CPU使用率、内存使用率、磁盘的系统区与数据区的使用率,还可以查看平台的核心服务与各服务器节点的运行状态。
选择“综合概览> 设备运行监控”,进入设备运行监控页面,即可查看系统整体运行状况以及核心服务与节点的运行状态。
说明:
· 平台整体运行状态
○ 整体运行状态:平台的整体运行状态由节点(即部署本平台的服务器)运行状态和核心服务状态共同决定,包括健康和故障:
§ 节点故障,整体运行状态显示故障。
§ 任意核心服务故障,整体运行状态显示为故障。
○ CPU使用率:服务器CPU当前使用百分比。
○ 内存使用率:服务器内存当前使用百分比。
○ 磁盘[系统区]使用率:服务器中所有系统盘当前使用百分比。
○ 磁盘[数据区]使用率:服务器中所有数据盘当前使用百分比。
· 核心服务监控
○ 名称:核心服务的名称。
○ 状态:服务的运行状态,包括健康和故障:
§ 对于在线服务,若该服务包含的任意进程异常退出,则该服务状态为故障。
§ 对于离线服务,若在调度周期内启动失败,则该服务状态为故障。
○ CPU使用率:服务包含的所有进程的CPU使用率总和。
○ 内存使用率:服务包含的所有进程的内存使用率总和。
· 节点监控
○ 名称:节点名称,即部署本平台的服务器名称。
○ 状态:服务器的运行情况,包括健康和故障,若服务器离线则显示故障。
○ CPU使用率:服务器CPU当前使用百分比。
○ 内存使用率:服务器内存当前使用百分比。
○ 磁盘[系统区]使用率:服务器系统盘当前使用百分比。
○ 磁盘[数据区]使用率:服务器数据盘当前使用百分比。
安全威胁发现与运营管理平台是由多个服务器组成的综合分析集群,通过设备运行监控,管理员可实时监控平台整体运行状态和资源消耗情况,包括平台CPU使用率、内存使用率、磁盘的系统区与数据区的使用率,还可以查看平台的核心服务与各服务器节点的运行状态。
选择“综合概览> 设备运行监控”,进入设备运行监控页面,即可查看系统整体运行状况以及核心服务与节点的运行状态。
说明:
· 平台整体运行状态
○ 整体运行状态:平台的整体运行状态由节点运行状态和核心服务状态共同决定,包括健康和故障:
§ 平台中除cyber2外的任意节点离线,整体运行状态显示故障。
§ 任意核心服务故障,整体运行状态显示为故障。
○ CPU使用率:集群CPU的总容量和当前使用百分比。
○ 内存使用率:集群内存总容量合和当前使用百分比。
○ 磁盘[系统区]使用率:集群中所有系统盘总容量和当前使用百分比。
○ 磁盘[数据区]使用率:集群中所有数据盘总容量和当前使用百分比。
· 核心服务监控
○ 名称:核心服务的名称。
○ 状态:服务的运行状态,包括健康和故障:
§ 对于在线服务,若该服务包含的任意进程异常退出,则该服务状态为故障。
§ 对于离线服务,若在调度周期内启动失败,则该服务状态为故障。
○ CPU使用率:服务包含的所有进程的CPU使用率总和。
○ 内存使用率:服务包含的所有进程的内存使用率总和。
· 节点监控
○ 名称:节点名称,组成安全威胁发现与运营管理平台的一台服务器为一个节点。
○ 状态:节点服务器的运行情况,包括健康和故障,若服务器离线则显示故障。
○ CPU使用率:节点服务器的CPU使用百分比。
○ 内存使用率:节点服务器的内存使用百分比。
○ 磁盘[系统区]使用率:节点服务器的系统盘使用百分比。
○ 磁盘[数据区]使用率:节点服务器的数据盘的使用百分比。
总览全局安全事件统计信息,多维度展示全网威胁分析结果,及时感知资产风险。还可对风险资产、风险终端和攻击者进行画像,并可展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
本章包含如下内容:
· 风险资产
○ 查看风险资产
○ 查看资产画像
○ 导出风险资产
· 风险终端
○ 查看风险终端
○ 查看终端画像
○ 导出风险终端
· 事件台账
○ 查看事件台账
○ 查看事件台账详情
○ 导出事件台账
○ 注意事项
· 攻击者台账
○ 查看攻击者台账
○ 查看攻击者画像
○ 导出攻击者台账
○ 注意事项
· 脆弱性台账
○ 脆弱性风险总览
○ 脆弱性风险
该功能用于对全网中存在风险的资产进行统计,展示风险资产的名称、IP地址、所属区域、安全状态、事件标签等信息,并支持将风险资产列表导出到Excel文件,下载到本地。主要功能包括查看资产画像以及导出风险资产。
选择“威胁中心 > 风险资产”,进入风险资产页面,可查看所有风险资产的信息,包括IP地址、安全状态、资产类型等基础信息、安全事件详细信息、风险概况以及脆弱性分析等。
单击某个资产对应操作列的<画像>按钮,进入资产画像页面,可查看资产详细信息。
资产画像主要内容如下:
· 基本信息
展示资产的基础信息(资产名称、资产类型、生产厂商等)、服务信息、软件信息、硬件信息以及指纹历史变化(以时间轴的方式展示了资产指纹的历史变化信息,包括资产基本信息的新增、删除与其变更前后的信息,端口新增与关闭信息,软件新增、移除以及其变更前后的信息)。其中,服务信息、软件信息、硬件信息和指纹历史变化仅在E1148P05及以上版本支持。
○ 基础信息指纹包括:资产名称、IP(仅记录管理IP)、MAC、资产价值、所属区域(仅记录资产列表页面对资产进行区域绑定/变更)、资产类型、生产厂商、操作系统(管理IP对应的操作系统)。
○ 软件信息指纹包括:软件名称、软件版本、软件分类、生产厂商。其中,软件名称+软件版本作为软件信息判断的唯一标识。
○ 端口指纹包括:端口、服务名称、协议。其中,端口号作为服务信息判断的唯一标识。
攻击阶段
展示安全事件所处的攻击阶段的分布情况。
· 取证溯源
在攻击阶段区域,单击右上角的<取证溯源>按钮,进入取证溯源页面。
通过安全事件时间顺序展示资产攻击或被攻击的历史情况,并使用不同颜色的空心圆标识事件的确信度,以便用户对资产发生的安全事件进行溯源取证。
· 事件趋势图
展示安全事件的发生趋势,且仅统计处理中和未处理事件。
· 风险分析
展示资产发生的安全事件以及风险概况,便于管理员快速了解资产安全状况。
○ 安全事件:展示资产的所有安全事件,并支持对安全事件进行处理、白名单、编码和处置等操作。详细操作步骤请参见事件台账
○ 攻击路径:系统将资产作为调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
○ 专家解读:通过专家分析引擎检测资产是否失陷。对于已失陷资产,本页面将展示失陷依据,包括失陷标签、标签描述及判断失陷的安全事件。每个失陷标签(除"完成多个攻击阶段"标签外)的关系图中最多展示50个节点与该资产之间的攻击关系。其中,系统仅对30天内的安全事件数据进行统计。
○ 攻击者:用于展示当资产作为被攻击者时,其攻击者的相关信息、当资产作为攻击者时,其攻击对象的相关信息,方便用户对资产的攻击信息进行分析。
○ ATT&CK:系统基于 ATT&CK模型,展示了攻击者的攻击生命周期以及各个攻击阶段使用的技术,用户可以通过单击指定的技术查看其详细信息。同时,系统将安全事件与ATT&CK模型进行匹配,方便用户查看各攻击阶段中安全事件与技术的命中情况,通过单击指定的技术,可查看安全事件详情并对安全事件进行处置、处理、白名单、编排等相应的操作。详细操作步骤请参见事件台账联机帮助。
○ 参考案例:资产涉及的所有安全事件相关的参考案例,单击详情按钮,可以查看详细的案例信息。
· 脆弱性分析
展示资产存在的脆弱性风险的统计数据,包括漏洞风险、配置风险和弱口令,以及各风险的详细信息。
· 安全病例
展示资产的安全事件的处理记录和工单记录。
· 网络访问关系(仅在E1147及以上版本支持本功能,且仅安全威胁发现与运维管理平台增强版支持本功能)
通过关系图以及统计列表的形式,展示资产与网络中其他实体之间(如资产、终端等)的互访关系,包括正常访问、异常访问。
从访问实体维度将访问关系分为"内网交互资产"、"内网交互终端"、"外网交互主机"、"虚拟节点"四类,单击选中某个实体类型标签后,互访关系图与统计列表将只展示资产与该类型实体的访问关系。
同时,支持按访问目的端口、应用、异常类型对互访关系进行查询,以及对网络访问关系的多级钻取。
· 流量监控(仅E1146P03及以上版本支持本功能,且仅安全威胁发现与运维管理平台增强版支持本功能)
从多维度统计并展示统计周期内,资产的访问流量和会话分布。其中,统计维度分别为:
○ 横向被访问:资产被其他内网主机访问的流量、会话分布。
○ 横向主动访问:资产主动访问其他内网主机的流量、会话分布。
○ 外联:资产访问外网主机的流量、会话分布。
○ 外到内访问:外网IP访问资产的流量、会话分布。
该功能用于将风险资产列表导出为Excel表格文件并下载至本地,最多只能导出时间最近的前两万条数据。
操作步骤如下:
1. 选择“威胁中心 > 风险资产”,进入风险资产页面。
2. 单击<导出>按钮,弹出导出提示窗口。
3. 单击<确定>按钮,关闭提示窗口。
4. 单击导航栏右上角的下载图标,弹出下载列表窗口。
5. 单击指定文件右侧的下载图标,即可将文件下载至本地。
该功能用于对全网中存在风险的终端进行统计,展示风险终端的名称、所属区域、安全状态、事件标签等信息,并支持将风险终端列表导出为Excel表格文件,下载到本地。主要功能包括查看终端画像和导出风险终端。
选择“威胁中心 > 风险终端”,进入风险终端页面,可查看所有风险终端信息,包括IP地址、安全状态等基础信息、安全事件详细信息以及风险概况等。
单击某个终端对应操作列的<画像>按钮,进入终端画像页面,可查看终端详细信息。
终端画像主要内容如下:
· 基本信息
展示终端的基本信息,包括IP地址、安全状态、所属区域和终端相关的事件标签。
· 攻击阶段
展示安全事件所处的攻击阶段的分布情况。
· 取证溯源
在攻击阶段区域,单击右上角的<取证溯源>按钮,进入取证溯源页面。
通过安全事件时间顺序展示终端攻击或被攻击的历史情况,并使用不同颜色的空心圆标识事件的确信度,以便用户对终端发生的安全事件进行溯源取证。
· 事件趋势图
展示安全事件的发生趋势,且仅统计处理中和未处理事件。
· 风险分析
展示终端发生的安全事件以及风险概况,便于管理员快速了解终端安全状况。
○ 安全事件:展示终端的所有安全事件,并支持对安全事件进行处理、白名单、编码和处置等操作。详细操作步骤请参见事件台账联机帮助。
○ 攻击路径:系统将终端作为调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
○ 专家解读:通过专家分析引擎检测终端是否失陷。对于已失陷终端,本页面将展示失陷依据,包括失陷标签、标签描述及判断失陷的安全事件。每个失陷标签(除"完成多个攻击阶段"标签外)的关系图中最多展示50个节点与该终端之间的攻击关系。其中,系统仅对30天内的安全事件数据进行统计。
○ 攻击者:用于展示当终端作为被攻击者时,其攻击者的相关信息、当终端作为攻击者时,其攻击对象的相关信息,方便用户对终端的攻击信息进行分析。
○ ATT&CK:系统基于 ATT&CK模型,展示了攻击者的攻击生命周期以及各个攻击阶段使用的技术,用户可以通过单击指定的技术查看其详细信息。同时,系统将安全事件与ATT&CK模型进行匹配,方便用户查看各攻击阶段中安全事件与技术的命中情况,通过单击指定的技术,可查看安全事件详情并对安全事件进行处置、处理、白名单、编排等相应的操作。详细操作步骤请参见事件台账联机帮助。
○ 参考案例:终端涉及的所有安全事件相关的参考案例,单击详情按钮,可以查看详细的案例信息。
· 安全病例
展示终端的安全事件的处理记录和工单记录。
· 网络访问关系(仅在E1147及以上版本支持本功能,且仅安全威胁发现与运维管理平台增强版支持本功能)
通过关系图以及统计列表的形式,展示终端与网络中其他实体之间(如资产、终端等)的互访关系,包括正常访问、异常访问。
从访问实体维度将访问关系分为"内网交互资产"、"内网交互终端"、"外网交互主机"、"虚拟节点"四类,单击选中某个实体类型标签后,互访关系图与统计列表将只展示终端与该类型实体的访问关系。
同时,支持按访问目的端口、应用、异常类型对互访关系进行查询,以及对网络访问关系的多级钻取。
· 流量监控(仅E1146P03及以上版本支持本功能,且仅安全威胁发现与运维管理平台增强版支持本功能)
从多维度统计并展示统计周期内,终端的访问流量和会话分布。其中,统计维度分别为:
○ 横向被访问:终端被其他内网主机访问的流量、会话分布。
○ 横向主动访问:终端主动访问其他内网主机的流量、会话分布。
○ 外联:终端访问外网主机的流量、会话分布。
○ 外到内访问:外网IP访问终端的流量、会话分布。
该功能用于将风险终端列表导出为Excel表格文件并下载至本地,最多只能导出时间最近的前两万条数据。
操作步骤如下:
1. 选择“威胁中心 > 风险终端”,进入风险终端页面。
2. 单击<导出>按钮弹出导出提示窗口。
3. 单击<确定>按钮关闭提示窗口。
4. 单击界面右上方的下载图标,弹出下载列表窗口。
5. 单击最新文件对应的下载图标,即可将风险终端表格文件下载至本地。
该功能用于统计和展示全网发生的安全事件。当网络中频繁发生安全事件时,安全事件列表中会出现大量信息,不利于运维人员进行安全分析。为了方便运维人员分析,平台支持配置多种查询条件,并根据查询结果在页面上方以图表形式展示安全事件的统计信息和趋势图,并在页面下方以表格形式详细展示安全事件的主要信息。其中,查询条件支持收藏,方便后续查询。
事件台账页面可以查看指定查询条件下的事件分析统计数据以及事件台账列表。
· 事件分析:查看影响主机的事件类型Top 10、事件趋势图和事件名称统计Top10。其中,事件名称分布Top10、事件趋势图与事件处理状态联动展示,例如,处理状态选择“未处理”,则事件名称分布图将只展示未处理事件中发生次数Top10的安全事件,事件趋势图也将只展示未处理事件的发生趋势。
· 事件台账列表:管理员可查看安全事件信息,并支持对安全事件进行处理、处置、编排、添加白名单和查看详情等操作。
1. 选择“威胁中心 > 事件台账”,进入事件台账页面。
2. 配置查询条件。平台支持按照源IP、目的IP、统计周期、场景等条件检索安全事件。
说明:对于“场景”条件,选择“今日新增”,页面将只展示今日发生的所有安全事件;选择“反复出现”则展示处理后再次发生的安全事件;选择“今日处理”则展示今日处理的安全事件。
3. 单击<查询>按钮,平台将根据配置的查询条件对日志进行检索。页面下方图表中将只展示符合查询条件的安全事件。
4. 单击事件列表右上角的<收藏>按钮,进入收藏搜索条件提示框,配置收藏标题后,单击<收藏>按钮,可以收藏本次配置的查询条件。
5. 当用户希望使用收藏的历史查询条件时,下次查询希望使用历史查询条件时,可以单击查询条件下方的<我的收藏>按钮,选择指定的标题后,平台将按照该查询条件对日志进行检索。
管理员可对安全事件进行处理、处置、编排、添加白名单和查看详情的操作。
· 处理:修改安全事件处理状态,支持批量处理和单个处理。安全事件处理状态缺省为“未处理”,若事件无需处理,管理员需手动修改其状态为“忽略”,若事件已线下处理过,则需手动修改其状态为“已处理”。平台分析资产、终端及网络安全状态时,不再将“已处理”和“忽略”的事件纳入统计数据。
除了支持手动修改事件处理状态外,平台内置了灰色事件分析引擎,内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的事件进行分析,将符合灰色事件条件的事件自动置为“忽略”状态;也会对被自动置为“忽略”状态的历史事件进行分析,在本次的分析中不符合灰色事件条件的历史事件,其状态将自动还原为“未处理”。
· 处置:创建处置工单,并将安全事件添加到工单中,通过邮件、短信、企业微信通知相关责任人处理安全事件(其中,企业微信方式仅在E1147P03及以上版本支持),并反馈处理结果。处理完成后,管理员需手动修改安全事件处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。
· 编排:向某个安全事件手动下发剧本,平台将会根据剧本动作调用相关的设备对安全事件进行响应闭环。有关剧本的详细介绍请参见剧本。
· 白名单:当确认某类安全事件为误报时,可将该事件添加为白名单,减少误报。有关白名单的详细介绍请参见白名单。
对安全事件执行操作的具体步骤
1. 选择一个安全事件,单击操作列<详情>按钮,进入事件台账详情页面,查看事件的详细信息。有关事件台账详情的详细介绍,请参见“查看事件台账详情”。
2. 选择一个安全事件,单击操作列的<处理>按钮,修改事件处理状态;选择多个事件,单击<批量处理>按钮,批量修改安全事件处理状态。处理完成后,单击处理状态列
按钮,可查看处理历史记录,方便管理员进行行为审计。
3. 选择一个安全事件,单击操作列<白名单>按钮,将事件添加到白名单。
4. 选择一个安全事件,单击操作列<编排>按钮,向某个安全事件手动下发剧本。下发完成后,单击剧本执行状态列的取值,可查看剧本简要信息,方便管理员调整相关配置。
5. 选择一个安全事件,单击操作列<处置>按钮,将事件添加到处置工单;选择多个事件,单击<批量处理>按钮,可将所选安全事件添加到一个处置工单进行跟踪处理。
该功能用于展示网络中已发生的安全事件详细信息。
在事件列表下,选择一个安全事件,单击操作列<详情>按钮,进入事件台账详情页面,查看事件的详细信息。
事件台账详情主要内容
· 基本信息
展示安全事件的基本信息,包括安全事件名称、等级、检测引擎、攻击阶段、处理状态等。同时,支持情报溯源和情报误报反馈功能以及展示事件的风险危害和处置建议。
需要注意,当检测引擎为“日志分析”或“云端情报”且情报IOC字段不为空时,页面才会展示<溯源>和<误报反馈>按钮。
○ 云端溯源:单击<情报溯源>按钮,选择“云端溯源”,页面自动跳转到云安全能力中心,并展示该情报的详细信息。
○ 本地溯源:单击<情报溯源>按钮,选择“本地溯源”,查看该情报的详细信息。
○ 误报反馈:单击<误报反馈>按钮,填写反馈人信息及误报证据。云安全能力中心管理员将接收并审核该信息,确认为误报后,管理员会手动更新情报启用状态为停用。
平台从云安全能力中心同步情报信息,并更新情报状态。停用的情报将不再匹配安全事件,并且,原来匹配的安全事件确信度降为“低可疑”。
· 网络信息
展示事件的源/目的的IP地址、端口和地理信息。
· 取证溯源
○ 网络取证:通过分析安全设备上报的IPS抓包,展示资产发生的安全事件过程,有利于管理员对该事件进行分析取证。
○ 主机取证:展示终端主机上的进程在一段时间段内的操作行为和网络访问行为信息,有利于管理员对该进程进行分析取证。
· 风险危害
展示该安全事件攻击原理和对用户网络的威胁详情。点击编辑按钮可修改风险危害内容,点击恢复按钮可恢复为系统预定义的风险危害。用户编辑后的风险危害可在处置建议库页面查看。
需要注意,对风险危害执行恢复默认操作后,处置建议库页面将删除相应的记录。
· 处置建议
展示针对该安全事件的预定义处置方案。点击编辑按钮可修改处置建议内容,点击恢复按钮可恢复为系统预定义的处置建议。用户编辑后的处置建议可在处置建议库页面查看。
需要注意,对处置建议执行恢复默认操作后,处置建议库页面将删除相应的记录。
· 原始日志
展示该事件数据来源的最近100条原始日志,包括日志产生时间、源和目的IP等,以便管理更好的了解事件发生时间线,分析网络安全状态。
· 安全事件
展示该事件数据来源的最近100条安全事件,包括最近发生时间、事件描述、源和目的IP等,以便管理更好的了解事件发生时间线,分析网络安全状态。此功能仅在E1148P05及以上版本支持
· 参考案例
展示该事件的参考处理方案。
单击指定案例名称右侧操作列下的<案例详情>按钮,可查看具体的参考案例内容。
1. 单击事件列表上方的<导出>按钮,在提示窗口中,单击<确定>按钮,可将安全事件列表以Excel表格文件形式导出。
2. 单击Web页面右上角的<
>按钮,进入下载列表页面,单击指定文件右侧的<下载>按钮,即可将文件下载到本地。
· 编排状态为“未执行”表示该事件未匹配任何案件,需要手动选择剧本并下发,“待执行”表示事件已匹配非自动执行剧本的案件,需要手动下发剧本,“已执行”表示事件已匹配自动执行剧本的案件,无需手动下发。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。剧本动作下发失败后,可在编排详情页面重新下发。
· 执行剧本动作的设备必须已经添加为资产,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 由灰色事件分析引擎处理的事件,处理人将标记为灰色事件分析引擎。
· 安全事件的源/目的归属地字段的显示内容按照优先级由高到低依次为城市、省份和国家。仅当高优先级内容无法获取时,才显示低优先级内容。即,如果同时获取到了城市和省份,则仅展示出城市。例如,系统获取到安全事件的源归属地是中国江苏省南京市,则源归属地字段仅显示为南京。
· 当配置源/目的归属地查询条件时,若条件配置为低优先级内容,则查询结果中事件的源/目的归属地字段会显示为符合该条件的高优先级内容。例如,查询条件配置了源归属地为江苏省,则查询结果中,所有事件的源归属地字段将显示为南京等城市。
· 在事件台账详情页面的基本信息页签下,只有检测引擎为“日志分析”或“云端情报”且情报IOC字段不为空时,页面才会展示<溯源>和<误报反馈>按钮。
· 在事件台账详情页面的基本信息页签下,对风险危害和处置建议执行恢复默认操作后,处置建议库页面将删除相应的记录。
· 如果事件来源没有日志,原始日志tab页不展示;如果事件来源不包含安全事件,安全事件tab页不展示。
该功能用于统计和展示基于攻击者角度分析的安全事件。当网络中频繁发生安全事件时,安全事件列表中会出现大量信息,不利于运维人员进行安全分析。为了方便运维人员分析,平台支持配置多种查询条件,并根据查询结果在页面上方以图表形式展示安全事件的统计信息,并在页面下方以表格形式详细展示安全事件的主要信息。
攻击者台账页面可以查看指定查询条件下的攻击者分析统计数据以及攻击者台账列表。
· 攻击者分析:查看攻击者总数、影响主机总数、攻击失败总数、攻击成功总数、尝试攻击总数、外部攻击、横向攻击、外连攻击、影响主机的攻击者分布Top 10、攻击者事件Top10。
· 攻击者台账列表:管理员可查看攻击者信息,并支持对安全事件进行处理、处置、添加白名单和查看攻击者画像等操作。
1. 选择“威胁中心 > 攻击者台账”,进入攻击者台账页面。
2. 配置查询条件。平台支持按攻击者IP、统计周期等条件检索安全事件。
3. 单击<查询>按钮,平台将根据配置的查询条件对日志进行检索。页面下方图表中将只展示符合查询条件的攻击者信息。
管理员可对安全事件进行处理、处置和添加白名单等操作:
· 处理:修改安全事件处理状态,支持批量处理和单个处理。安全事件处理状态缺省为“未处理”,若事件无需处理,管理员需手动修改其状态为“忽略”,若事件已线下处理过,则需手动修改其状态为“已处理”。平台分析资产、用户及网络安全状态时,不再将“已处理”和“忽略”的事件纳入统计数据。
· 除了支持手动修改事件处理状态外,平台内置了灰色事件分析引擎,内含泊松分析模型、C段分析模型、基于用户处置知识的判定模型三种分析模型。可对最近30天"未处理"状态的事件进行分析,将符合灰色事件条件的事件自动置为“忽略”状态;也会对被自动置为“忽略”状态的历史事件进行分析,在本次的分析中不符合灰色事件条件的历史事件,其状态将自动还原为“未处理”。
· 处置:创建处置工单,并将安全事件添加到工单中,通过邮件或短信通知相关责任人处理安全事件,并反馈处理结果。处理完成后,管理员需手动修改安全事件处理状态。支持批量处置和单个处置。有关处置工单的详细介绍请参见处置工单。
· 白名单:当确认某类安全事件为误报时,可将该事件添加为白名单,减少误报。有关白名单的详细介绍请参见白名单。
该功能用于展示网络中攻击者的详细信息。
选择一个安全事件,单击操作列画像图标进入攻击者画像页面,查看详细信息。
攻击者画像主要内容
· 基本信息
展示攻击事件的基本信息和威胁能力分析。
○ 基本信息:包括攻击者IP、真实IP、疑似攻击组织、安全事件数和IP区域信息。
§ 攻击内网区域Top10:展示攻击内网区域Top 10的统计数据。
§ 攻击内网端口Top 10:展示攻击内网端口Top 10的统计数据。
○ 威胁能力分析:展示攻击者在攻击过程中使用的攻击技术的相关信息。以便管理员更好的了解攻击者的攻击手法,及时调整相关防护策略。
· 攻击内网目标
展示攻击目标的相关信息,包括目标IP、端口、区域等。便于管理员依据上述信息调整相应的防护策略。
· 安全事件
展示攻击者触发的安全事件。
· 近期活动日历
展示攻击者最近一段事件内的活跃情况,便于管理员依此进行分析,并制定相应的防护策略。
1. 单击事件列表上方的<导出>按钮,在提示窗口中,单击<确认>按钮,可将安全事件列表以Excel表格文件形式导出。
2. 单击Web页面右上角的<
>按钮,进入下载列表页面,单击指定文件右侧的<下载>按钮,即可将文件下载到本地。
· 安全事件的源/目的归属地字段的显示内容按照优先级由高到低依次为城市、省份和国家。仅当高优先级内容无法获取时,才显示低优先级内容。即,如果同时获取到了城市和省份,则仅展示出城市。例如,系统获取到安全事件的源归属地是中国江苏省南京市,则源归属地字段仅显示为南京。
· 当配置源/目的归属地查询条件时,若条件配置为低优先级内容,则查询结果中事件的源/目的归属地字段会显示为符合该条件的高优先级内容。例如,查询条件配置了源归属地为江苏省,则查询结果中,所有事件的源归属地字段将显示为南京等城市。
该功能用于展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
该功能用于展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
选择“威胁中心 > 脆弱性台账”,进入脆弱性台账页面,选择左侧导航中的“总览”,可查看脆弱性风险的统计信息,包括脆弱性风险资产数量、脆弱性风险数量、处理状态分布、验证状态分布等。
该功能用于展示网络中存在漏洞、弱口令、配置风险等风险的资产信息及其风险详情。
平台从漏洞维度(包括漏洞、弱口令、配置风险)综合分析每种漏洞对单个资产和对整网的影响,并计算出处理优先级得分,从而提醒管理员优先处理影响更大的漏洞。若漏洞只影响了一个资产则按资产维度计算处理优先级得分,否则按整网维度计算处理优先级得分:
· 整网维度处理优先级:是指一个漏洞影响网络中多个资产,平台将根据这些资产的资产价值、资产安全度、资产开放端口、漏洞等级,以及该漏洞是否被利用成功导致资产受攻击等因素进行综合计算,得出处理优先级得分,分值越小,处理优先级越高。以便管理员评估漏洞对整个网络的影响。
· 资产维度处理优先级:是指一个资产上存在多个漏洞,平台将根据这些漏洞的漏洞等级、资产开放端口,以及漏洞是否被利用成功导致资产受攻击等因素进行综合计算,得出处理优先级得分,分值越大,处理优先级越高。以便管理员评估漏洞对资产的影响。
选择“威胁中心 > 脆弱性台账”,进入脆弱性台账页面,选择左侧导航中的“脆弱性风险事件”,可查看脆弱性风险事件的具体信息,包括漏洞风险、配置风险、弱口令等。
· 漏洞风险
展示资产存在的漏洞风险的具体信息,并支持对这些风险进行批量处理。
· 配置风险
展示资产存在的配置风险的具体信息,并支持对这些风险进行批量处理。
· 弱口令
展示资产存在的弱口令信息,并支持对这些风险进行批量处理。缺省情况下,页面以密文方式展示扫描出来的弱口令账号和密码,开启“显示账号密码”功能并验证当前管理员登录密码后,可查看弱口令账号和密码明文。
· 设置整网维度处理优先级阈值
单击页面右上角处理优先级配置按钮,设置整网维度处理优先级阈值。优先级得分小于等于高处理优先级阈值的漏洞将被划分到高处理优先级漏洞,得分大于低处理优先级阈值的漏洞将被划分到低处理优先级漏洞,得分在高、低处理优先级阈值之间的则为中处理优先级漏洞。
该功能用于展示网络中存在漏洞风险、配置风险和弱口令的资产相关信息,并支持对这些风险进行处理、处置、验证和编排(仅在E1148P01及以上版本支持本功能)。
1. 脆弱性告警列表页面包括漏洞风险、配置风险和弱口令的列表信息。有关脆弱性风险事件的详细介绍,请参见脆弱性风险事件。
2. 单击威胁中心 > 脆弱性告警列表,进入脆弱性告警列表页面,可以选择查看漏洞风险、配置风险或弱口令的相关信息。
支持按照多种条件检索漏洞风险、配置风险和弱口令的信息。
单击漏洞风险或配置风险或弱口令列表操作列下的<处理>按钮,进入脆弱性风险处理界面,可以修改该脆弱性风险告警的处理状态。
单击漏洞风险或配置风险或弱口令列表操作列下的<处置>按钮,进入脆弱性风险工单处置页面,可以创建处置工单,并将该脆弱性风险告警添加到工单中,通过邮件或短信通知相关责任人处理,并反馈处理结果。有关工单处置的详细介绍,请参见处置工单。
单击漏洞风险或配置风险或弱口令列表操作列下的<验证>按钮,进入脆弱性风险验证界面,验证方式可选择漏扫联动或人工验证,可根据人工验证结果选择验证状态。其中,验证状态取值包括待验证、未修复和已修复。
单击漏洞风险或配置风险或弱口令列表操作列下的<编排>按钮,进入编排处置页面,可以进行剧本的配置。有关剧本的详细介绍,请参见剧本管理。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量处理>按钮,可以对选中的脆弱性告警列表信息的状态进行批量处理。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量处置>按钮,可以对选中的脆弱性告警列表信息批量进行工单处置。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<批量验证>按钮,可以对选中的脆弱性告警列表信息进行批量验证。
选择一个或多个漏洞风险/配置风险/弱口令,单击脆弱性告警列表左上方的<导出>按钮,可以导出选中的脆弱性告警列表信息。
· 显示弱口令账号及密码:选择“脆弱性明细 > 弱口令”,进入弱口令页面,单击<隐藏账号密码>按钮,输入管理员密码,验证成功后会显示弱口令的账号及密码。
· 隐藏弱口令账号及密码:选择“脆弱性明细 > 弱口令”,进入弱口令页面,单击<显示账号密码>按钮,弱口令的账号及密码将会被隐藏。
导出脆弱性告警列表时,最多只能导出脆弱性风险发生时间最近的前十万条数据。
总览全局安全事件统计信息,多维度展示全网威胁分析结果,及时感知资产风险。还可对风险资产、风险终端和攻击者进行画像,并可展示资产存在的脆弱性风险统计信息,有利于管理员直观地掌控系统脆弱性状态,提前对整网安全趋势做预断。
本章包含如下内容:
· 日志中心
· 场景化分析
· 调查分析
· 流量分析
· 行为分析
该功能用于展示系统采集到的日志的分析结果,分别从日志类型和设备类型两个维度呈现。不同类别的日志展示的关键字段不同,用户可根据实际需求通过点击<列设置>按钮选择配置不同日志类型的显示列。当选择展示某一类型的日志时,系统将展示该日志类型对应配置的显示列;当选择展示两个及以上类型的日志时,系统将默认展示通用字段。
日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他类”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。
用户可配置多种过滤条件筛选出关心的日志。平台支持基础查询、高级查询和全文检索多种方式。
· 基础查询:通过选择指定日志字段,输入字段值的方式检索日志。其中,当配置多个查询字段时,系统将按照如下逻辑进行处理:
○ 如果配置多个相同字段,当运算符号为“=”时,则按照“or”(逻辑或)进行查询,即满足任意一个字段即可;如果运算符号为“!=”,则按照“and”(逻辑与)进行查询,即必须同时满足所有字段;当运算符号既有“=”又有“!=”时,则按照“and”(逻辑与)进行查询。
○ 如果配置多个不同字段,则按照“and”(逻辑与)进行查询。
· 高级查询:通过在输入框中输入SQL语句进行精细查询。当用户所需的查询条件不符合基础查询方式的查询逻辑时,可通过高级查询方式配置相应的查询条件。
· 全文检索:通过在输入框中输入任意字段值,对原始日志进行快速模糊查询。
日志查询功能在E1147P01及以上版本区分为基础查询、高级查询和全文检索。页面实际展示内容与版本有关,请以实际情况为准。
操作步骤
1. 选择“分析中心 > 日志中心”进入日志检索页面,选择要查询的日志类型。
2. 选择<基础查询>页签,单击<过滤条件>按钮,在自定义项或字段结果统计页签下,配置相应的过滤条件。
3. 在自定义项页签下,用户可选择需要过滤的字段、运算符号,并手动输入具体的值,点击<确认>按钮完成操作。
例如,查看源IP为10.5.0.110的所有日志,查询方法如下图所示。
4. 在字段结果统计页签下,用户可单击需要过滤的字段,系统将根据当前日志查询结果展示出该字段的所有取值,单击指定取值右侧操作列下的添加按钮,系统会将该取值作为新的过滤条件,对日志进行筛选。
例如,搜索动作类型为允许的日志时,查询方法如下图所示。
注意事项
· 字段值支持精确查询,也支持输入通配符进行模糊搜索。系统支持如下两种通配符:
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.1,182.9.0.2……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.1,182.9.0.2……182.9.0.255。
· 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段,只支持精确查找。
· 最多仅支持新增10个过滤条件进行检索。
操作步骤
1. 选择“分析中心 > 日志中心”进入日志检索页面,选择要查询的日志类型。
2. 选择<高级查询>页签,在输入框中输入SQL查询语句,单击<查询>按钮,完成操作。
例如,查看产生日志设备IP为10.135.178.128且源端口为4613或者51859的所有日志,查询方法如下图所示。
注意事项
· 日志产生时间、开始时间、结束时间、采集器接收日志时间、agent日志采集时间等字段需要输入unix时间戳进行搜索。
操作步骤
1. 选择“分析中心 > 日志中心”进入日志检索页面,选择要查询的日志类型。
2. 选择<全文检索>页签,在输入框中输入任意字段值,单击<查询>按钮,完成操作。
例如,查看匹配1.1.1.1的所有日志,查询方法如下图所示。
该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的十万条日志。
1. 选择“分析中心 > 日志中心”,按照需求查询需要的日志,单击<导出>按钮,系统会将满足查询条件的日志导出到excel表格中。
2. 点击页面右上角
按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。
该功能用于将各种编码格式的字符串转换为可阅读的内容。例如,访问URL、攻击载荷、报文首行等字段中可能会出现HEX编码的字符串,通过解码助手可转换为utf-8格式,方便阅读。
1. 选择“分析中心 > 日志中心”进入日志检索页面。
2. 复制需要解码的内容,单击<解码小助手>按钮,在弹出的解码助手页面左侧输入框中粘贴复制的内容,并选择编码格式;然后在右侧目标内容中选择合适的编码格式,单击<解码>按钮即可解码源内容。
系统解析后展示的日志类型如下:
· 安全日志
安全日志记录了用户网络中曾经发生的各种攻击事件信息,如攻击源、攻击目的、攻击事件等。安全日志包括漏洞利用日志、扫描侦查日志、恶意文件日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 网络审计日志
网络审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。网络审计日志包括IM日志、邮件日志、社区访问日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 数据库审计日志
数据库审计日志记录了网络中的数据库活动及用户访问数据库行为信息。方便管理员根据数据库活动情况制定管理策略,加强内外部数据库网络行为记录,提高数据资产安全。数据库审计日志包括规则审计日志、告警审计日志、行为审计日志等子类型日志。
· SSL VPN日志
SSL VPN日志记录了远程用户通过SSL VPN访问内网资源时的登录、登出及资源访问情况。 SSL VPN日志包括登录日志、认证日志、资源访问日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· DLP审计日志
DLP审计日志包括网络DLP审计日志和终端DLP审计日志,其中网络DLP主要审计内网用户向外部发送的邮件是否违反管理员预设的审计规则, 终端DLP审计内网的终端上的是否文件拷贝、USB插入等行为。以便管理员进行信息安全管理。
· Citrix审计日志
Citrix审计日志记录了用户的行为信息,可用于审计用户的违规行为。
· 安全检查审计日志
安全检查审计日志记录了通过各类设备或软件系统记录用户的行为信息,可用于审计用户的违规行为。
· 应用审计日志
应用审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。
· 运维审计日志
运维审计日志即堡垒机审计日志,记录了用户访问其他资产时的相关信息。
· 网络流量日志
网络流量日志记录了每条数据流产生的流量信息以及流向,管理员可通过流量日志信息为每条流制定合理、精确的管理策略。
· 接入授权日志
接入授权日志记录了通过接入授权设备接入网络的用户接入情况。管理员可通过该日志跟踪网络中用户接入授权情况。
· 安全策略日志
报文与安全策略成功匹配后就会输出安全策略日志,安全策略日志有利于管理员对于用户行为进行审计或者进行网络故障排查。
· 网元操作日志
网元操作日志包括登录、配置、认证及其他操作行为,通过查看操作日志信息可以跟踪管理员对设备的操作,有利于对管理员操作设备的行为进行审计以及进行设备故障排查。
· 数据库日志
数据库日志记录了数据库的各类运行信息,数据库日志包括性能监控日志、SQL运行日志、慢查询日志、数据库登录日志、用户信息变更日志、定时任务日志、错误日志、连接数信息日志、运行时长日志、其他日志。 通过这些日志信息,管理员可监控数据库运行状态。
· 终端系统日志
终端系统日志记录了终端主机上发生过的行为信息,如性能监控、用户登录登出、文件操作、进程操作等,方便管理员管理终端主机。
· 中间件日志
中间件日志记录了主机中间件的各类信息,中间件日志包括中间件访问日志、中间件启动日志、中间件运行异常错误日志、运行日志。 通过这些日志信息,管理员可监控监控中间件运行状态。
· 网元系统日志
网元系统日志页面记录了设备在运行过程中产生的相关日志信息,通过查看系统日志信息可以跟踪设备的运行过程、分析网络状况以及定位问题发生的原因,为进行故障诊断和维护提供依据。
· 终端审计日志
终端审计日志记录了终端主机发生过的网络访问行为信息,方便管理员管理终端主机。
· 终端杀毒日志
终端杀毒日志记录了终端主机上杀毒软件监控到的病毒信息,方便管理员了解终端主机感染病毒情况。
· 应用软件日志
应用软件日志记录了SVN服务器的错误日志、访问日志等信息,方便管理员对SVN服务器的访问行为进行审计以及故障排查。
· 其他
日志成功上报后,不支持解析的设备上报的日志或解析异常的日志将在“其他类”日志中展示。
该功能用于分析和展示网络中发生的各类事件,例如挖矿、勒索感染、C&C外联等。方便用户了解网络安全现状,并根据分析结果调整相应的防护策略。
该功能用于分析和展示网络中发生的挖矿事件,仅统计处理中和未处理事件。展示的内容主要包括如下:
· 挖矿阶段分布图
展示指定统计周期内,各个挖矿阶段的主机个数。单击统计值,将展示相关的主机列表。
· 挖矿矿池分布图
展示指定统计周期内,主机访问的矿池分布情况。单击统计值,将展示相关的主机列表。
· 挖矿币种分布图
展示指定统计周期内,主机挖矿的币种分布情况。单击统计值,将展示相关的主机列表。
· 挖矿主机列表
展示指定统计周期内,主机挖矿的币种分布情况。单击统计值,将展示相关的主机列表。
具体操作步骤如下:
1. 选择“分析中心 > 场景化分析 > 挖矿风险分析”,进入挖矿风险分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能用于分析和展示网络中发生的勒索病毒感染事件,仅统计处理中和未处理事件。展示的内容主要包括如下:
· 存在勒索的风险资产和终端
展示网络中感染勒索病毒的资产、终端总数。
· 访问关系图
展示统计周期内,网络中勒索类事件所涉及的内网主机与外网主机、恶意域名之间的访问关系。当访问关系较多或只需查看某个主机的访问关系时,在“源”或“目的”查询框中输入查询条件,然后单击<查询>,页面将只展示该主机的访问关系,便于查看。
具体操作步骤如下:
1. 选择“分析中心 > 场景化分析 > 勒索感染分析”进入勒索感染分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
注意事项
勒索感染主机访问关系图中,最多只展示10个源节点的访问关系,当源节点访问的目的节点超过100个时,超过的部分访问关系不展示。
C&C外联事件是指内网主机与外网C&C服务器建立连接关系后,外网C&C服务器可以控制内网主机进行攻击活动,如窃取机密文件,操控内网主机攻击其他资产等。C&C外联分析功能从多个维度统计并展示用户网络中发生的C&C外联事件,以便管理员快速定位异常主机,排除风险。展示的内容主要包括如下:
· 存在C&C主机通信的风险资产和终端
展示内网存在C&C域名通信的资产、终端总数。
· C&C外联安全事件发生次数趋势图
通过折线图展示统计周期内,C&C外联安全事件发生次数趋势。
· 风险危害及处置建议
展示C&C外联事件对网络安全产生的威胁及建议处理方案。
· C&C主机
展示统计周期内,内网主机访问过的C&C主机及其所属地区。支持按C&C主机IP地址和域名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击内部影响主机数列的数字将展示受影响的内网主机信息;点击操作列详情按钮可进入该C&C主机的安全事件明细页面,查看该统计周期内与该C&C主机相关的安全事件详情。
· 源主机
展示统计周期内,内网资产和用户访问过的C&C主机及连接C&C主机次数。支持按资产名称和用户名称检索C&C外联事件分析数据,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击C&C主机列的数字将展示该主机连接过的C&C主机的IOC情报信息;点击操作列详情按钮可进入该主机的安全事件明细页面,查看该统计周期内与该主机相关的安全事件详情。
具体操作步骤如下:
1. 选择“分析中心 > 场景化分析> C&C外联分析”进入C&C外联分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
攻击者通过传播恶意文件来感染内网主机,从而控制内网主机来进行攻击活动,如盗取敏感数据。 恶意文件分析功能用于统计并展示网络中存在的恶意文件及被感染主机信息,以便管理员快速定位异常主机,排除风险。展示的内容主要包括如下:
· 存在恶意文件个数
展示统计周期内,网络中存在的恶意文件总数。
· 发现次数最多恶意文件Top5
展示发现次数最多前5个恶意文件信息。点击感染主机数列的数字将展示被感染主机信息。
· 风险危害及处置建议
展示恶意文件攻击事件对网络安全产生的威胁及建议处理方案。
· 感染主机详情
通过列表展示统计周期内,感染恶意文件的主机信息。支持按资产名称和用户名称检索感染主机,同时提供导出功能,用户可将分析数据导出到excel表格,下载到本地进行预览。
点击恶意文件数列的数字将展示恶意文件信息;点击感染内网主机数列的数字将展示被感染的内网主机IP; 点击操作列详情按钮可进入该主机的安全事件明细页面,查看该统计周期内与该主机相关的安全事件详情。
具体操作步骤如下:
1. 选择“分析中心 > 场景化分析 > 恶意文件分析”进入恶意文件分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能用于分析和展示威胁情报命中情况。展示的内容主要包括如下:
· 威胁情报命中总览
展示指定统计周期内,IP情报、域名情报、URL情报、MD5情报的命中次数。
· 威胁类型Top10分析
展示指定统计周期内,IP类、域名类、URL类、MD5类中命中次数Top10的威胁类型及其命中次数,选择不同页签可查看对应IP类、域名类、URL类或MD5类中命中次数Top10的情报。
· 活跃威胁情报Top20
从确信度、影响资产数、影响终端数、命中次数等方面对情报进行综合分析,并展示指定统计周期内,排名前20的情报。同时,支持将情报加入白名单,加入白名单后,情报不再生效,原来匹配成功的数据(如安全事件、风险资产等)也不再展示。
· 威胁情报命中查询
通过情报IOC查询情报的命中情况。
具体操作步骤如下:
1. 选择“分析中心 > 场景化分析 > 威胁情报分析”进入威胁情报分析页面。
2. 选择统计周期,默认展示最近30天的统计数据。
该功能用于对配置的调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
1. 选择“分析中心 > 调查分析”,进入调查分析页面。
2. 单击<新增>按钮,进入新增调查任务页面。配置相关参数后,单击<下发>按钮,完成新增调查任务的操作。
说明:
○ 调查周期:指定调查分析的时间范围,系统将对在此时间范围内发生的安全事件进行调查。
○ 调查对象类型:调查分析的对象的类型,包括资产、终端、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报。
○ 调查对象:根据不同的调查对象类型指定具体的调查分析对象。
单击指定调查分析任务右侧的<详情>按钮,可进入调查任务详情页面,查看该任务分析出的攻击链路和回溯链路。
· 当调查对象在调查周期内未产生安全事件时,调查分析结果将显示为暂无数据。
· 调查分析过程中,若相邻节点间发生如下安全事件,则相邻节点间展示的源IP为最近一次安全事件中的源IP地址。安全事件包括:外网拒绝服务攻击、内网弱口令登录、主机配置风险和外网扫描侦测。
· 调查分析过程中,若相邻节点间发生如下安全事件,则相邻节点间展示的目的IP为最近一次安全事件中的目的IP地址。安全事件包括:内网漏洞利用攻击、内网暴力破解、内网畸形报文攻击、内网扫描攻击、内网访问风险主机和内网扫描侦测。
该功能基于对网络中发生的各类事件的流量进行分析。
该功能用于分析并展示网络中发生的异常流量事件,将分析结果通过多种方式直观展示,便于终端快速定位网络中的异常流量,排除风险。
1. 选择“分析中心 > 流量分析 > 异常流量分析”进入异常网流量分析页面。
2. 单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近24小时的统计数据。
· 异常流量事件统计
展示统计周期内,网络中各等级的异常流量事件的发生情况。
· 异常流量类型分布
展示统计周期内,网络中发生次数最多的前5类异常流量事件的发生情况。
· 异常流量危险等级分布
展示统计周期内,网络中各等级的异常流量威胁的发生情况。
· 异常流量所涉及资源分布
展示统计周期内,受异常流量事件影响的资源情况,包括终端和资产。
· 异常流量事件排名
展示统计周期内,发生异常流量事件次数最多的前10个资产或终端及发生次数,可选择查看资产或终端的排名情况。
· 近期异常流量事件
展示最近发生的的异常流量事件信息,默认只展示10条事件。
· 异常流量事件发生趋势
展示统计周期内,资产及终端发生异常流量事件的时间趋势。
异常流量事件统计功能仅在E1147P03及以上版本支持。
该页面用于展示统计对象(如内网用户、用户组、区域等)访问互联网的流量统计信息,帮助管理员直观掌握内网访问互联网的概况。通过柱状图和折线图分别展示不同维度下,统计对象访问互联网的总流量,其中,仅支持展示总流量排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问互联网的流量情况,包括上/下行流量、总流量及总流量占比,并支持查看指定统计对象的网络流量日志。
本功能仅在安全威胁发现与运维管理平台增强版中支持。
1. 选择“分析中心 > 流量分析 > 互联网流量分析”进入互联网流量分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮可以查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到日志中心页面,查看指定统计对象的网络流量日志。
当统计周期超过6小时时,实际查询结果的展示存在短暂的延时(5分钟左右),请耐心等待。
该页面用于展示内网或互联网对象访问内网资产、用户、区域的流量统计信息,帮助管理员直观掌握内网资产、用户、区域的流量概况。通过柱状图和折线图分别展示不同维度下,统计对象访问内网的总流量,其中,仅支持展示总流量排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问内网的流量情况,包括上/下行流量、总流量及总流量占比,并支持查看指定统计对象的网络流量日志。
本功能仅在安全威胁发现与运维管理平台增强版中支持。
1. 选择“分析中心 > 流量分析 > 内网流量分析”进入内网流量分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮,可查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到日志中心页面,查看指定统计对象的网络流量日志。
本章包含如下内容:
· 互联网行为分析
· 内网行为分析
· 用户行为审计
该功能用于展示统计对象(如用户、用户组、区域等)访问互联网上各种应用的的行为信息,帮助管理员直观掌握内网访问互联网的概况。通过柱状图和折线图分别展示不同维度下,统计对象访问互联网应用的总次数,其中仅支持展示总次数排行Top5、Top10和Top15的统计对象的访问情况;通过列表展示每个统计对象访问互联网应用的情况,包括访问次数及占比等,并支持查看指定统计对象的网络审计日志。
注意事项
本功能仅在安全威胁发现与运维管理平台增强版中支持。
操作步骤
1. 选择“分析中心 > 行为分析 > 互联网行为分析”进入互联网行为分析页面。
2. 设置统计条件,如统计周期、统计对象等。配置完成后,单击<查询>按钮,可查看相应的统计信息。
3. 单击柱状图中统计值或单击统计列表下指定统计对象操作列下的<详情>按钮,可跳转到日志中心界面,查看指定统计对象的网络审计日志。
该功能用于对SSL VPN用户和终端准入用户的登录情况及资源访问行为进行分析统计,并通过图表展示区域在线总次数、用户登录分布等相关统计结果。
注意事项
· 本功能仅在安全威胁发现与运维管理平台增强版中支持。
· 平台通过解析SSL VPN日志来获取SSL VPN用户的登录和资产访问情况。上报SSL VPN日志的日志源IP地址必须在某个区域网段内,或将该日志源添加为资产,否则将会导致用户类型选择“SSL VPN用户”时,页面无可展示数据。
操作步骤
1. 选择“分析中心 > 行为分析 > 内网行为分析”进入内网行为分析页面。
2. 单击用户类型下拉框,选择“SSL VPN用户”可查看SSL VPN用户的登录和资产访问情况;选择“终端接入用户”可查看终端准入用户的登录和资产访问情况。
3. 单击统计周期下拉框可选择查看指定时间段内的统计数据,默认展示最近30天的统计数据。
主要功能
· 区域在线总次数
展示以中国地图为模型的各省市用户在线情况,该功能不受统计周期限制。
· 所有用户在线总次数趋势
展示所有用户登录总次数的统计趋势,该统计值包含了国内在线总次数和国外在线总次数。
· 用户登录地分布
展示用户登录次数最多的前10个地区排名。
· 用户登录时段分布
展示用户登录上线时间在00:00~04:00、04:00~08:00、08:00~12:00、12:00~16:00、16:00~20:00、20:00~00:00各时段的登录次数分布情况。
· 登录时长分布
展示登录时长在4小时内、4到8小时和大于8小时,三个阶段登录次数分布情况。
· 访问阻断最多的用户Top10
展示SSL VPN用户访问资产被阻断次数最多的前10个用户。
· 访问资产最多的用户Top10
展示访问资产次数最多的前10个SSL VPN用户。
· 被访问最多的资产Top10
展示被SSL VPN用户访问次数最多的前10个资产。
· 认证失败最多的用户Top10
展示终端准入用户登录认证失败次数最多的前10个用户。
· 登录终端类型分布
展示终端准入用户登录使用的种终端类型的分布情况。
该功能用于展示统计周期内用户的上网行为记录,以便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。
注意事项
本功能仅在安全威胁发现与运维管理平台增强版中支持。
该功能用于设置用户上网行为分析场景,系统预定义了企业、校园两个场景。不同的场景对用户上网行为的关注点不同,如企业场景关注怠工等行为,校园场景更关注校园贷、学生沉迷上网、学生沉迷游戏等行为
选择场景后,系统提取用户的上网特征行为并为其打上标签,以便管理员快速了解用户的行为倾向。企业和校园场景支持的标签如下:
· 公共标签:
○ 赌博:标识关注赌博信息的用户
○ 毒品:标识关注毒品信息的用户
○ 低俗:标识关注低俗色情信息的用户
○ 下载狂:标识有大量下载行为的用户
○ 重度游戏迷:标识重度游戏成瘾的用户
○ 中度游戏迷:标识中度游戏成瘾的用户
○ 视频控:标识经常看视频的用户
○ 炒股:标识关注股票信息的用户
· 企业场景特有标签:
○ 怠工:标识企业内部上班期间浏览与工作无关信息的用户
· 校园场景特有标签:
○ 校园贷:标识校园内关注校园贷的用户
○ 校园暴力:标识校园内关注暴力的用户
○ 重度网瘾:标识重度上网成瘾的用户
○ 中度网瘾:标识中度上网成瘾的用户
○ 夜猫子:标识经常熬夜的用户
操作步骤
· 选择“分析中心 > 行为分析 > 用户行为审计 > 场景配置”进入场景配置页面。
· 选中场景前面的单选按钮可启用对应的场景。启用一个场景时,默认关闭之前启用的场景。
查看用户行为详情
该功能用于查看用户的行为详情,包括访问应用的Top排行情况、访问应用的趋势和访问应用的时段分布情况。
注意事项
本功能仅在E114703及以上版本支持,且仅在安全威胁发现与运维管理平台增强版中支持本功能。
1. 选择“分析中心 > 行为分析 > 用户行为审计”,进入用户行为审计页面。
2. 选择指定用户操作列下的<详情>按钮,可查看该用户的行为详情。
○ 用户基本信息
展示用户的基本信息,包括用户名称、用户IP、所属用户组及所属区域。
○ 用户标签
展示系统根据用户的上网行为,为其标识的上网行为标签。
○ 统计条件
管理员可通过配置统计维度和选择指定的应用,查看用户对指定应用的访问情况。统计维度包括流量和次数,系统可分别从访问次数和访问的流量大小对用户访问的Top10应用进行统计。同时,管理员可以选择对指定的应用进行统计,系统将展示指定应用的统计排行情况。
○ 应用访问Top10
系统将根据管理员配置的统计条件,展示用户访问次数或流量排行Top10的应用。
○ Top10应用访问趋势
系统将根据管理员配置的统计条件,展示访问次数或者流量排行Top10的应用类型及其访问趋势。
○ Top10应用访问时段分布
系统将根据管理员配置的统计条件,展示访问次数或者流量排行Top10的应用及其访问时间段的分布情况。
处置中心用于提供对安全事件和脆弱性风险进行处置、内网主机上网行为通报溯源以及查看内置案例库和处置建议库等功能。
本章包含如下内容:
· 处置工单
· 响应编排
· 通报溯源
· 安全知识库
该功能用于管理处置工单。针对网络中发生的安全事件或存在的脆弱性风险,管理员可以通过创建处置工单来通知相关责任人进行处置并反馈处置结果。从而实现对网络风险进行闭环管理。
1. 选择“处置中心 > 处置工单”,进入处置工单页面。
2. 单击<新增>按钮,新增处置工单。
3. 根据实际情况选择“安全事件”页签或“脆弱性风险”页签,然后在相应的页签下,单击<添加>按钮,进入添加安全事件或脆弱性风险页面。
4. 根据实际情况配置查询条件后,单击<查询>按钮,在查询结果中选择所需的安全事件或脆弱性风险。
5. 单击<选择>按钮,返回新增处置工单窗口。单击<下一步>按钮,进入工单基本信息配置页面。
6. 输入工单名称、整改期限及工单优先级。
7. 在工单责任人下拉列表中选择处置责任人,并勾选通知方式。
8. 输入处置建议。
9. 在通知附件配置项后,单击<文件上传>按钮,将通知文件附件上传至系统中。
10. 单击<下发>按钮,下发工单。
11. 处置责任人收到处置工单后,单击按钮签收任务工单,并在解决工单中的风险事件后,单击按钮上报处置结论及处置报告。
1. 选择“处置中心 > 处置工单”,进入处置工单页面。
2. 对于超过整改期限的工单,管理员可以单击<催单>按钮催单,系统将会以短信、企业微信或者邮件的方式知会责任人。(其中,企业微信方式仅在E1147P03及以上版本支持)
1. 选择“处置中心 > 处置工单”,进入处置工单页面。
2. 收到处置结论及处置报告后,管理员可以对其进行审核。审核通过则关闭工单,审核不通过可退回责任人重新处置。
1. 选择“处置中心 > 处置工单”,进入处置工单页面。
2. 若已创建的工单无需处理,管理员可单击<撤回>按钮对其执行撤回操作。
· 选择邮件、短信方式、或企业微信通知责任人时,必须先在“系统设置 > 全局配置”页面完成邮件服务器和短信业务中心的相关配置,并且已正确配置指定责任人的邮箱、企业微信或联系电话,否则责任人无法成功接收处置工单通知信息。(其中,企业微信方式仅在E1147P03及以上版本支持)
· 责任人处置脆弱性风险时,对于验证后无法修复的漏洞,可以单击<移动>按钮将其移动到遗留风险列表。
· 处置工单被驳回时,工单状态会回退到“待签收”状态。
· 撤回工单后,安全事件和脆弱性风险的处理状态将被修改为未处理。
· 工单下发后,若工单中的安全事件被添加到白名单,则工单中不再显示该安全事件。
· 工单下发后,若脆弱性资产被删除,则工单详情中不再显示脆弱性风险。
响应编排通过案件和剧本,将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的、有效的工作流,实现对安全事件和脆弱性风险的自动化响应,提高安全运维团队的整体运维效率。
· 案件:用于对相同类型的安全事件或脆弱性风险进行流程化、持续化的调查分析与响应处置。安全事件或脆弱性风险成功匹配案件后,系统将按照案件中引用的剧本对安全事件或脆弱性风险自动执行一系列的响应动作。
· 剧本:定义了针对安全事件或脆弱性风险的一系列响应动作。管理员按照安全工程师的工作流程对这些动作进行编排后,当网络中发生安全事件或存在脆弱性风险触发案件时,系统将自动下发剧本中的响应动作。
通过响应编排功能,系统将根据案件自动下发剧本动作到目标设备,可有效防止发生安全风险,从而保障用户业务持续、安全、稳定的运行。
本章包含如下内容:
· 案件管理
· 剧本管理
该功能用于管理案件。系统针对常见的安全事件提供了不同的预定义案件,可有效防止此类事件再次发生,用户也可以根据实际需求为安全事件和脆弱性风险事件自定义案件。
同时,系统提供案件复制功能,当需要将某个案件应用到其他区域时,可复制已有案件,修改案件名称和区域信息,从而提高配置效率。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 单击<新增>按钮新增案件。
3. 配置案件参数。
○ 案件名称:案件的唯一标识。
○ 是否启用:是否启用案件,只有启用状态的案件能触发剧本动作下发。
○ 案件类型:触发案件执行的风险类型,包括安全事件和脆弱性风险。
○ 选择“安全事件”需要配置以下参数:
§ 攻击名称:该类攻击对应的安全事件将触发案件执行。仅自定义案件支持配置该参数。
§ 规则名称:该关联规则对应的安全事件将触发案件执行。
§ 事件类型:仅匹配选中类型的安全事件(可多选)。仅部分预定义案件支持配置该参数,请以界面实际情况为准。
§ 攻击阶段:该攻击阶段的安全事件将触发案件执行。(可多选)
§ 失陷确信度:该失陷确信度的安全事件将触发案件执行。(可多选)
§ 事件等级:该严重等级的安全事件将触发案件执行。(可多选)
○ 选择“脆弱性风险”需要配置以下参数:
§ 脆弱性类型:触发案件执行的脆弱性风险类型,包括漏洞、配置风险和弱口令。
§ 漏洞名称:脆弱性类型选择“漏洞”时,该漏洞名称对应的事件将触发案件执行。
§ 漏洞等级:脆弱性类型选择“漏洞”时,该漏洞等级对应的事件将触发案件执行。(可多选)
§ 风险名称:脆弱性类型选择“配置风险”时,该风险名称对应的事件将触发案件执行。
§ 风险等级:脆弱性类型选择“配置风险”时,该风险等级对应的事件将触发案件执行。
§ 弱口令类型:脆弱性类型选择“弱口令”时,该弱口令类型对应的事件将触发案件执行。
○ 剧本名称:定义了对成功匹配以上条件的安全事件或脆弱性风险下发的动作。
○ 剧本执行:选择剧本的执行方式,“自动执行”表示匹配案件成功后,系统自动下发相应的剧本动作,“手动执行”表示匹配案件成功后不自动下发动作,用户可根据需要在安全事件界面或事件详情界面手动下发剧本动作。
○ 生效区域:选择剧本的生效区域范围。
4. 单击<确认>按钮完成增加案件操作。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 单击操作列<编辑>按钮,修改案件配置参数。
3. 单击<确认>按钮完成编辑案件操作。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 选择案件,单击<启用>、<停用>按钮改变案件的启用状态。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 选择案件,单击<复制>复制案件配置参数,提高配置效率。
1. 选择“处置中心 > 响应编排”进入案件管理页面。
2. 单击命中次数列的数字可查看命中该案件的安全事件或脆弱性风险详情及剧本执行结果。
· 案件名称保存后不能再修改。
· 修改预定义案件后,可单击<恢复默认设置>按钮恢复到出厂配置。
该功能用于管理响应编排剧本。系统为预定义案件提供了默认剧本,用户也可以根据实际需求自定义剧本。
平台根据不同的设备类型提供了一系列的响应动作,当安全事件或脆弱性风险触发执行对应的响应编排案件时,平台会根据指定的动作调用相关的设备进行响应闭环。
1. 选择“处置中心 > 响应编排 > 剧本管理”进入剧本管理页面。
2. 单击<新增>按钮新增剧本。
3. 剧本中如需添加重定向动作,则需要单击<重定向配置>按钮,配置重定向相关参数。当用户主机中毒后,使用浏览器访问网络资源时,浏览器会自动跳转到断网公告页面。该页面会引导用户下载并安装杀毒软件,对用户主机进行全盘扫描以及病毒查杀。具体参数如下:
○ 是否启用:选择是否开启重定向功能。
○ 杀毒软件服务器IP:为断网公告页面提供下载杀毒软件功能的服务器IP地址。
○ 杀毒软件下载链接:断网公告页面中杀毒软件的下载链接。
○ 备注信息:断网公告页面中显示的备注信息。
需要注意:
○ 配置本功能前,需要先修改平台的Web端口。有关Web端口的详细介绍,请参见平台网络设置联机帮助。
○ 重定向动作及相关配置仅在E1147P01及以上版本支持。
4. 在左侧动作列表中可以选择动作并拖动至剧本区域,并完成连线,点击动作区块可以在右侧配置动作参数。
· 剧本名称:剧本的唯一标识。
· 剧本描述:剧本的描述信息,合理的描述信息有助于管理员快速了解该剧本。
· 动作列表:针对不同的安全事件或脆弱性风险选择合适的动作。
· 系统服务
○ 告警通知
§ 邮箱告警:通过邮件方式发送告警信息到指定用户。收件人必须已配置邮件地址。
§ 短信告警:通过短信方式发送告警信息到指定用户。收件人必须已配置联系方式。
§ 企业微信:通过企业微信方式发送告警信息到指定用户。收件人必须已配置企业微信。(企业微信方式仅在E1147P03及以上版本支持)。
○ 处置工单
§ 通知责任人:平台自动创建处置工单,并通过指定的通知方式通知相关责任人处理事件。
§ 通知方式:选择指定的通知方式通知相关责任人处理事件,取值包括系统通知、邮件、短信和企业微信。选择邮件、短信和企业微信方式时,所选责任人必须已配置邮箱、手机号或企业微信(其中,企业微信方式仅在E1147P03及以上版本支持)。
· 联动封锁
○ 黑名单
§ 设备类型:执行黑名单的设备类型。选择"NGFW防火墙/IPS入侵防御系统"表示向H3C防火墙和入侵防御系统设备下发黑名单,此时设备必须先开启全局黑名单过滤功能,具体配置方法请参见目标设备配套的资料;选择"交换机/路由器"表示向H3C交换机或路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用;选择“AD-WAN控制器”表示向AD-WAN控制器下发Flowspec策略;选择“AD-Campus控制器”表示向AD-Campus控制器下发策略;选择其他厂商的防火墙设备时,表示向设备下发黑名单,此时设备必须先开启黑名单过滤相关功能,具体配置方法请参见目标设备配套的资料。(AD-WAN控制器仅在E1147P01及以上版本支持,其他厂商的防火墙设备仅在E1147P03及以上版本支持,AD-Campus控制器仅在E1148P03及以上版本支持)。
§ 选择设备:执行策略的设备名称。
§ 阻断对象:包括关注点IP、对端IP和X-Forwarded-For IP,即将匹配的安全事件的源/目的IP、目的/源IP或真实源IP地址加入黑名单。其中,X-Forwarded-For IP仅在E1147P02及以上版本支持,且支持情况与设备类型有关,请以实际情况为准。。
§ 阻断方向:包括“发起方向”、“响应方向”和“双向”。“发起方向”表示丢弃源地址为阻断对象的报文;“响应方向”表示丢弃目的地址为阻断对象的报文;“双向”表示该阻断对象不能收发报文。
§ 老化时间:黑名单老化时间。黑名单达到老化时间后将被自动删除,若不配置老化时间,则表示黑名单永不老化。
§ ACL编号:指定ACL编号。
§ 纳管设备:选择AD-WAN控制器/AD-Campus控制器下发策略的目标设备。
○ 访问控制
§ 设备类型:执行访问控制策略的设备类型。选择“NGFW防火墙/IPS入侵防御系统”表示向H3C防火墙和入侵防御系统设备下发安全策略(策略名称以“SIS_devBlock”开头);选择“交换机/路由器”表示向H3C交换机或路由器设备下发ACL策略,并在全局QoS策略中引用ACL策略,从而实现访问控制。若设备已配置全局QoS策略,则直接在全局QoS策略中引用ACL策略;若设备未配置全局QoS策略,则先创建全局QoS策略再引用。选择“园区网络控制器”表示通过网络控制器向网络设备下发安全策略(策略名称以“SIS_devBlock”开头)。选择“AD-Campus控制器”表示向AD-Campus控制器下发策略。
§ 选择设备:执行策略的设备名称。
§ ACL编号:指定ACL编号。
§ 园区网络控制器IP:指定园区网络控制器的IP地址。
§ 纳管设备:选择AD-Campus控制器下发策略的目标设备。
○ 网站阻断
§ 设备类型:执行网站阻断策略的设备类型。仅支持H3C WAF(Web应用防火墙)设备。
§ 检测方向:包括“源”和“目的”。“源”表示阻断安全事件中的源主机发起的访问;“目的”表示阻断安全事件中源主机被其他主机访问的流量。
§ URL:WAF的访问地址,格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址,确保平台与设备之间网络互通。
§ 用户名:WAF的登录用户名。
§ 密码:WAF的登录密码。
○ 重定向(重定向动作及相关配置仅在E1147P01及以上版本支持)
配置本动作前,需要先在剧本管理页面配置重定向相关参数。
§ 设备类型:执行重定向的设备类型。仅支持路由器和交换机。
§ 选择设备:执行策略的设备名称。
§ 阻断对象:包括关注点IP和对端IP,即将匹配的安全事件的源IP或目的IP加入设备的重定向列表。
§ ACL编号:指定ACL编号。
· 用户控制
○ 无线接入
§ 设备类型:执行用户黑名单的设备类型。仅支持H3C AC无线控制器。
§ 选择设备:执行策略的设备名称。
§ 地址类型:选择将安全事件中的源IP地址或终端MAC地址加入用户黑名单,禁止该IP或MAC对应的用户接入网络。
§ 老化时间:用户黑名单老化时间。用户黑名单达到老化时间后策略将被自动删除。
○ 上网阻断
§ 设备类型:执行上网阻断策略的设备类型。仅支持H3C ACG应用控制网关设备。
§ 阻断对象:将匹配的安全事件的源IP加入黑名单,禁止其访问互联网。
§ 老化时间:上网阻断策略老化时间。上网阻断策略达到老化时间后将失效。
§ URL:ACG应用控制网关的访问地址,格式为“https://{IP地址}”或“http://{IP地址}”。请填写有效地址,确保平台与设备之间网络互通。
§ 用户名:ACG应用控制网关的登录用户名。
§ 密码:ACG应用控制网关的登录密码。
○ 用户下线
§ 设备类型:执行用户下线策略的设备类型。仅支持H3C iMC EIA终端智能接入。
§ 下线对象:将匹配的安全事件的源IP强制下线。
§ URL:iMC EIA终端智能接入的URL,该服务器必须开启强制用户下线功能。
§ 用户名:iMC EIA终端智能接入的管理员用户。
§ 密码:iMC EIA终端智能接入的管理员用户密码。
· 终端防护
相关说明:
○ 全网主机扫描
§ 设备类型:执行全网主机扫描策略的设备类型。仅支持H3C EDR管理中心,包括终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
○ EDR告警提醒
§ 设备类型:执行EDR告警提醒策略的设备类型。仅支持H3C EDR管理中心-终端安全管理系统(ESM)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:告警提醒策略老化时间。告警提醒策略达到老化时间后将失效,若不配置老化时间,则告警提醒策略永不老化。
○ EDR病毒隔离
§ 设备类型:执行EDR病毒隔离策略的设备类型。仅支持H3C EDR管理中心,包括终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ 老化时间:病毒隔离策略老化时间。病毒隔离策略达到老化时间后将失效,若不配置老化时间,则病毒查杀策略永不老化。
○ EDR病毒查杀
§ 设备类型:执行EDR病毒查杀策略的设备类型。仅支持H3C EDR管理中心,包括终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ 老化时间:病毒查杀策略老化时间。病毒查杀策略达到老化时间后将失效,若不配置老化时间,则病毒隔离策略永不老化。
○ EDR进程查杀
§ 设备类型:执行EDR进程查杀策略的设备类型。仅支持H3C EDR管理中心-终端安全管理系统(ESM)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:进程查杀策略老化时间。进程查杀策略达到老化时间后将失效,若不配置老化时间,则进程查杀策略永不老化。
○ EDR主机封堵
§ 设备类型:执行EDR主机封堵策略的设备类型。仅支持H3C EDR管理中心-终端安全管理系统(ESM)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM)。
§ 老化时间:主机封堵策略老化时间。主机封堵策略达到老化时间后将失效,若不配置老化时间,则主机封堵策略永不老化。
○ EDR主机扫描(EDR主机扫描动作及相关配置仅在E1147P03及以上版本支持)
§ 设备类型:执行EDR主机扫描策略的设备类型。仅支持H3C EDR管理中心,包括终端安全管理系统(ESM)和终端安全管理系统(ESM-G)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM-G)。
§ 扫描对象:执行扫描任务的目标对象,仅支持对关注点IP进行扫描。
§ 扫描类型:包含快速扫描和全盘扫描。快速扫描:扫描进程以及系统关键目录(如系统盘中的windows目录) 扫描速度快,用时少,可以基本确定当前系统的安全性。全盘扫描:扫描进程以及主机的所有分区,扫描用时较长,可以更好的保证主机的系统安全。
§ 自动处置威胁:当扫描出病毒文件时,是否自动对文件进行处置。
§ 处置手段:自动处理威胁时采用的处理手段,仅支持对扫描出的病毒文件进行隔离。
○ EDR网络隔离(EDR网络隔离动作及相关配置仅在E1147P04及以上版本支持)
§ 设备类型:执行EDR网络隔离策略的设备类型。仅支持H3C EDR管理中心-终端安全管理系统(ESM-G)。
§ EDR管理中心:选择EDR管理中心设备。有关管理中心的配置请参见终端安全管理系统(ESM-G)。
§ 隔离对象:执行EDR网络隔离策略的目标对象,仅支持对关注点IP进行隔离。
· 删除:删除选中的动作。
5. 单击<确认>按钮完成增加剧本操作。
1. 选择“处置中心 > 响应编排 > 剧本管理”进入剧本管理页面。
2. 单击操作列<编辑>按钮修改剧本配置参数。
· 重定向动作仅在E1147P01及以上版本支持。
· 黑名单动作中,AD-WAN控制器设备仅在E1147P02及以上版本支持关联。
· 启用了重定向功能后,系统会自动下发重定向的相关配置。当用户修改了平台IP地址后,所有阻断对象都将无法被重定向。管理员需要重新进入重定向配置页面,单击<确认>按钮,使系统更新相关配置。更新配置后,新下发动作参数的阻断对象可以正常被重定向,但是历史阻断对象仍无法正常重定向,此时管理员可通过重新执行剧本,恢复历史阻断对象的重定向功能。(仅安全威胁发现与运维管理平台标准版存在此限制。)
· 修改重定向动作ACL编号后,历史下发的ACL策略将不再生效。
· 编辑预定义剧本时,若预定义剧本动作中包含“选择设备”、“EDR管理中心”等选项,必须为其配置有效参数才能保存成功。
· 预定义剧本无法被删除。
· 删除剧本时,若剧本已被案件引用,则需先解除引用关系。
· 若执行剧本动作的目标设备被删除,该剧本动作将会下发失败。
· 执行剧本动作的设备必须已经添加为资产,且资产管理协议配置为SSH或SOAP,同时配置时,优先使用SOAP。
· 自定义租户下的用户无终端安全管理系统配置权限,不能添加终端防护类动作。
· 剧本动作执行后将会生成执行记录,无论动作参数是否更新,重新执行该动作都将按上一次执行时的参数下发。如需下发最新动作参数,请在编排详情页面选择重新执行剧本。
· 终端安全管理系统(ESM-G)仅在E1147P03及以上版本支持。
通报溯源功能通过新建溯源任务来获取满足条件的NAT日志,从中提取目的IP地址、目的端口、NAT转换源IP地址、NAT转换源端口等关键信息, 并结合安全事件对内网主机的上网行为进行溯源,通报存在风险行为的主机及存在相似行为的主机信息,包括风险主机IP、风险主机类型、安全状态、溯源记录等。
本章包含如下内容:
· 新增溯源任务列表
· 溯源配置
该功能用于新增溯源任务。
1. 选择“处置中心 > 通报溯源 > 溯源任务列表”进入溯源任务列表页面。
2. 单击<新增>按钮新增溯源任务,配置任务参数后,单击<确认>按钮下发任务。
○ 任务名称:溯源任务的唯一标识。
○ 溯源时间:配置溯源时间后,系统将获取该时刻前后1分钟内产生的满足以下条件的日志,用于溯源分析。
○ 溯源类型:选择溯源对象,包括IP溯源和域名溯源。当溯源类型为IP溯源时,系统会从指定的数据来源中获取NAT日志,用于溯源分析; 当溯源类型为域名溯源时,系统会从指定的数据来源中获取DNS访问日志,用于溯源分析。有关数据来源的详细介绍,请参见溯源配置。
○ NAT转换源IP:NAT转换后的源IP地址。配置后,系统将获取NAT转换后的源IP地址为该IP的日志,用于溯源分析。
○ NAT转换源端口:NAT转换源后的端口。配置后,系统将获取NAT转换后的源端口为该端口的日志,用于溯源分析。
○ 目的IP:配置目的IP后,系统将获取目的IP为该IP的日志,用于溯源分析。
○ 目的端口:配置目的端口后,系统将获取目的端口为该端口的日志,用于溯源分析。
○ 域名地址:配置域名后,系统将获取域名为该域名的日志,用于溯源分析。其中,域名不需要包含协议类型,例如“http://”或“https://”。
3. 任务执行成功后,单击操作列的<详情>按钮,查看分析详情及原始日志。
注意事项
· 配置溯源任务前必须先进行溯源配置,用于提供日志数据来源。有关溯源配置的详细介绍,请参见溯源配置。
· 当数据来源是IT大数据时,溯源类型仅支持配置为IP溯源。
· 下发溯源任务后,若配置了白名单功能或处理了安全事件,可能导致溯源记录统计值与实际展示的安全事件不一致,此时,可重新下发溯源任务,更新统计数据。
该功能用于配置日志来源,为溯源任务提供分析数据。
1. 选择“处置中心 > 通报溯源 > 溯源配置”进入溯源配置页面。
2. 配置日志来源相关参数后,单击<确认>按钮完成操作。
○ 溯源类型:选择从大数据平台或本地获取日志数据。
○ URL地址:选择从大数据平台获取日志时,需要配置该平台的访问地址。地址以“http://”或“https://”开头,必须配置有效的URL地址,确保本平台与第三方系统之间网络互通,否则会导致溯源任务执行失败。
该功能用于展示常见安全事件的风险危害分析、处置建议及处理案例,为管理员处理网络中发生的安全事件提供合理的处置建议和参考案例。
本章包含如下内容:
· 内置案例库
· 处置建议库
展示安全事件的处理案例,为管理员处理安全事件提供参考方案。
1. 选择“处置中心 > 安全知识库 > 内置案例库”进入内置案例库页面。
2. 支持按案例名称、案例分类检索安全事件处理案例,输入查询条件后点击<查询>即可查看相应的案例;点击<重置>按钮重置查询条件,默认展示所有案例。
3. 选择一条案例,点击<详情>按钮可查看该案例的详细信息。
参数说明
· 案例名称:安全事件处理案例名称。
· 案例描述:安全事件处理案例的描述信息。
· 案例分类:该案例适用的安全事件类型。
该页面用于展示用户在安全事件详情页面编辑后的风险危害和处置建议。有关风险危害和处置建议的介绍请参见事件台账。
1. 选择“处置中心 > 安全知识库 > 处置建议库”进入处置建议库页面。
2. 支持按规则名称、事件描述检索处置建议,输入查询条件后点击<查询>即可查看相应的处置建议;点击<重置>按钮重置查询条件,默认展示所有处置建议。
3. 选择一条处置建议,点击<删除>按钮可删除该条建议,删除后,安全事件详情页面将展示该事件的预定义风险危害和处置建议。
参数说明
· 规则名称:生成安全事件的关联规则名称或UEBA规则名称。
· 事件描述:安全事件的描述信息。
· 风险危害:安全事件的风险危害。
· 处置建议:安全事件的处理方法。
资产中心用于管理区域、资产和终端信息。
本章包含如下内容:
· 资产总览
· 资产列表
· 资产配置
· 业务系统
· 区域配置
· 终端配置
· 漏扫配置
该功能用于展示资产在各个维度下的统计信息,包括风险资产总数、资产总数、不同类型资产的统计值、以及不同维度下资产的分布情况等,方便管理员了解当前资产状态以及安全风险情况,从而对资产进行更精细的监控和管理。
该功能用于展示和管理用户网络中的资产,并实时监控资产运行信息。资产是本系统管理的最小网络元素,是网络安全事件发生时的直接承受者或发起者。当资产上发生安全事件时,安全设备(如防火墙、沙箱等)会将安全事件记录成日志,上报至本系统进行分析。 网络中的防火墙、路由器、交换机、服务器、摄像头等设备均可以作为资产。录入资产信息后, 管理员可以统一进行管理,并可以根据不同的部门或者设备类型分组,进行更精细的监控和管理。
资产列表页面各参数解释如下(各参数的支持情况与软件版本有关,请以实际情况为准):
· 资产名称:资产名称,单击操作列的<画像>按钮,可查看该资产的详细信息。
· 资产IP:资产的IP地址,单击资产IP可查看该资产的IP地址列表。
· 
:点击将在新的窗口打开选中资产的Web登录界面。必须将设备管理口的IP地址配置为管理IP,且设备支持并已开启Web网管服务时才能进入Web网管页面。
· 资产MAC:资产的MAC地址。
· 序列号:资产的序列号,例如SN码。
· 资产型号:资产所属的具体型号。
· 资产描述:资产的描述信息,便于快速了解资产。
· 安全状态:资产的安全情况。
· 资产价值:资产在网络中的位置或保存的数据不同而具有不同的重要性,通过资产价值来标识资产的重要性,重要性越大资产价值越高。
· 所属区域:资产所属区域。
· 资产类型:资产所属的类型。
· 开放端口:资产开放的端口和服务信息。
· 资产责任人:负责维护该资产的账户名称。
· 生产厂商:资产的生产厂商。
· 操作系统:资产管理IP对应的操作系统。
· EDR状态:从终端安全管理系统同步的第三方设备资产的客户端状态。
· 添加方式:资产的添加方式(系统自动识别)。
· 操作:
○ 编辑:点击可修改选中资产的配置信息。
○ 删除:点击可删除选中资产。
○ 详情:点击查看选中资产的配置详情。
○ 快速扫描:点击可对指定的资产快速下发一个漏扫任务,有关快速扫描配置参数的详细介绍,请参见漏扫任务联机帮助。(仅E1147及以上版本支持)
○ 画像:点击查看选中资产的画像。
· 新增/编辑资产
· 导入/导出资产
· 资产一键整理
· 删除资产
· 最多只能配置10万个资产,资产数量达到规格上限后,任何方式都不能再添加资产。
· 仅一级类型为“网络设备”和“安全设备”的资产支持通过图标进入其Web登录界面。
该功能用于增加一个新的资产或者修改已有资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击页面中的<新增>按钮可新增资产;单击<编辑>按钮可修改选中资产的配置信息。
3. 在配置页面填写资产信息,配置完成后,单击<确认>按钮完成操作(各参数的支持情况与软件版本有关,请以实际情况为准)。
○ 资产名称:资产的唯一标识。建议填写设备实际名称。
○ 资产类型:资产类型报文括一级类型和二级类型,一级类型和二级类型具有关系,选则一级类型后系统将自动关联对应的二级资产类型。
○ 生产厂商:资产的生产厂商。
○ 资产价值:资产在网络中的位置或保存的数据不同而具有不同的重要性,通过资产价值来标识资产的重要性,重要性越大资产价值越高。缺省为未知。
○ 经纬度:资产的经纬度信息。经纬度之间用,(英文逗号)隔开经度在前,纬度在后, 形如“经度,纬度”。取值范围说明:东经:0~180;西经:-180~0;北纬:0~90;南纬:-90~0;支持精确度为小数点后6位。
○ 业务系统:选择资产所属的业务系统。
○ 所属区域:选择资产所在的区域。
○ 地理位置:资产所在的地理位置。
○ 组织机构:资产所属的组织机构。若无可选组织机构,请到系统设置-组织管理-组织机构中新增组织机构。
○ 资产标签:为资产打上标签信息,最多支持5个标签,每个标签最多10个字。
○ 等保级别:资产的等保级别。等保一级对应自主保护,二级对应指导保护,三级对应监督保护,四级对应强制保护,五级对应专控保护。
○ 关键信息基础设施:标记资产是否为关键信息基础设施。
○ 责任人:选择负责维护该资产的资产责任人。
○ 资产描述:通过合理编写描述信息,便于管理员快速理解和识别该资产。
○ 资产IP:配置资产的IP地址信息,一个资产必须且仅能配置一个管理IP,最多可配置30个IP信息。单击<新增>按钮,进入新增资产IP页面,配置相关参数。完成配置后,单击<确认>按钮。
§ IP类型:可选择配置IPv4或IPv6类型。
§ IP地址:资产的IP地址。
§ 域名:资产提供的访问域名,格式为www.abc.com;一个IP地址最多只能添加1个域名信息。
§ 端口:资产的访问端口,一个IP地址最多可添加10个端口号,多个端口号之间使用英文逗号“,”隔开。
§ 管理IP:表示用户配置的IP地址是否为资产的管理IP,默认用户新增的第一条资产IP即为管理IP。
§ 操作系统:资产IP对应的操作系统。
§ 省份:资产所在的省份。
§ 城市:资产所在的城市。
§ 运营商:资产所属的运营商。
○ 硬件信息
§ 设备序列号:硬件的序列号,例如SN码。
§ 设备型号:硬件设备所属的具体型号。
§ 国产化:标记硬件设备为国产或非国产。
§ CPU核数:CPU核数。
§ CPU型号:CPU型号,如:Intel Core i5。
§ 硬盘型号:硬盘型号。
§ 硬盘容量:硬盘的存储容量,单位:GB。
§ 内存型号:内存型号。
§ 内存容量:内存容量,单位:GB。
§ 所属机房:硬件设备所在的机房。
§ 连接互联网:硬件设备是否与互联网连接。
§ 虚拟设备:是否为虚拟设备。
§ 所属云平台:硬件设备所属的云平台名称。
§ 采购时间:硬件设备的采购日期。
§ 操作系统:硬件设备上安装的操作系统。
§ 备注信息:硬件设备的备注信息。
○ 登录信息:登录硬件设备所需要的信息
§ 登录IP地址:连接设备的IP地址。
§ 登录协议:连接设备使用的协议。
§ 登录端口:连接设备使用的端口。
§ 登录账号:登录设备使用的账号。
§ 登录密码:登录设备使用的密码。
○ 软件信息:资产中安装的软件信息
§ 软件名称:资产中安装的软件的名称。
§ 软件版本:软件版本号。
§ 软件分类:软件的分类。
§ 生产厂商:软件生产厂商的名称。
§ 关键信息基础设施:是否为关键信息基础设施。
§ 国产化:标记软件为国产或非国产。
§ 标准化命名方法:软件名称的命名方式,如:驼峰命名法、下划线命名法、语义化命名法等。
§ 连接互联网:软件是否与互联网连接。
§ 备注信息:软件的备注信息。
○ 服务信息:资产开放的端口与对应服务的服务名称。单击<新增>按钮,进入新增资产开放端口页面,配置相关参数,完成配置后,单击<确认>按钮。
§ 端口:服务的访问端口。
§ 服务名称:资产开放的服务名称。
§ 操作系统:资产的操作系统。
§ 协议:端口的访问协议。
§ URL:资产提供的访问URL。
§ 该URL是否有效:URL的有效性,取值包括是和否。
§ 网站Title:网站的Title。
§ 非有效业务页面:是否为“非有效业务页面”,取值包括是和否。
§ 是否公共端口:是否连接到互联网或与其他网络设备进行通信。
§ 备注信息:服务的备注信息。
○ 资产管理协议:配置系统采用命令行方式登录资产时所采用的协议类型及其相关参数。
§ SNMP参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SNMP协议是否能够成功连接到所选资产。其他参数解释请参见模板参数管理。
§ NETCONF over SSH参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SSH协议是否能够成功连接到所选资产。其他参数解释请参见模板参数管理。
§ NETCONF over SOAP参数:可通过手工编辑或从已有模板中选择。单击<测试连接>按钮,可以测试SOAP协议是否能够成功连接到所选资产。其他参数解释请参见模板参数管理。
○ 资产开放端口:资产开放的端口与对应服务的服务名称。单击<新增>按钮,进入新增资产开放端口页面,配置相关参数,完成配置后,单击<确认>按钮。其中,参数的支持情况与软件版本有关,请以实际情况为准。
§ 端口:服务的访问端口,系统自动识别,不能编辑。
§ 服务名称:资产开放的服务名称,系统自动识别,不能编辑。
§ 操作系统:资产的操作系统。
§ 协议:端口的访问协议。
§ URL:资产提供的访问URL。
§ 该URL是否有效:URL的有效性,取值包括是和否。
§ 网站Title:网站的Title。
§ 非有效业务页面:是否为“非有效业务页面”,取值包括是和否。
· 编辑添加方式为“流量发现”、“主动探测”或“漏扫发现”的资产时(无论是否修改配置信息)并单击<确认>按钮后,其发现方式将自动变为“手动添加”。
· 当手动新增的资产的IP信息与已有的“流量发现”、“主动探测”或“漏扫发现”的资产的资产IP信息相同时,若选择覆盖原有资产,那么,原有资产的发现方式将变为“手动添加”。
· 添加“漏洞扫描系统”类型的资产成功后,系统将自动生成一个名为漏扫设备+资产IP(如“漏扫设备192.168.0.1”)的白名单,该白名单不能手动删除或修改,只能停用或启用。有关白名单的详细介绍请参见“配置中心 > 白名单配置”。
· 删除“漏洞扫描系统”类型的资产后,该资产对应的白名单也将被自动删除。有关白名单的详细介绍请参见“系统设置 > 白名单配置”。
· 一键编辑时,只能编辑当前租户下的数据,不能编辑其他租户的数据。
· 资产开放端口输入限制最大为512个。
该功能用于导入及导出资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<导入>按钮选择“资产导入”,在弹出的“导入资产”页面,点击下载“资产批量导入模板”,按模板要求填写相应的资产信息后保存。
3. 选择保存的导入模板,点击上传或拖拽文件即可批量导入资产。
4. 单击<导入>按钮选择“操作结果”可查看导入结果,导入失败时将展示失败原因。
5. 单击<导出>按钮将导出满足查询条件的所有资产信息;若查询条件为空,则导出系统中的所有资产信息。
该功能用于更新资产所属区域信息,并对已删除的资产在平台中残留的分析数据进行清理,清理规则如下:
· 更新资产所属区域:系统将资产IP与区域IP范围进行匹配,若资产IP在某个区域IP范围内,则更新资产所属区域为该区域。其中,对于“主动探测”、“流量发现”和“漏扫发现”发现的资产,若未匹配到任何区域将被删除;第三方同步的资产若未匹配到任何区域,其所属区域保持不变;云管平台同步的资产和手动添加的资产不进行资产整理。
· 清除已删除资产的残留数据:对于已被删除的资产,系统将清除其相关的风险资产分析数据、脆弱性风险分析数据、流量分析数据、场景化分析数据以及溯源分析数据。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<一键整理>的下拉三角按钮后再单击<资产一键整理>按钮可一键整理资产。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 单击<一键整理>的下拉三角按钮后再单击<操作结果>按钮可查看最近整理时间和最近整理结果的具体情况。
该功能用于删除资产信息。
1. 选择“资产中心 > 资产列表”,选择“全部”页签,进入资产列表页面。
2. 批量删除:选中多条资产信息,单击页面中的<删除>按钮,选择批量删除,可批量删除资产;单击操作列的<删除>按钮可删除选中的资产。
3. 一键删除:单击页面中的<删除>按钮,选择一键删除,可一键删除所有满足查询条件的资产,若无查询条件则删除所有资产。
注意事项
· 删除资产的同时,与资产相关的分析数据将被同步删除且不可恢复,请谨慎操作。
· 删除“漏洞扫描系统”类型的资产后,该资产对应的白名单也将被自动删除。有关白名单的详细介绍请参见“系统设置 > 白名单配置”。
· 一键删除时,只能删除当前租户下的数据,不能删除其他租户的数据。
主要用于展示所有资产中涉及的软件信息,主要包括:软件名称、软件分类、软件版本、资产名称、资产IP、组织机构等信息。仅在E1148P05及以上版本支持本功能。
1. 选择“资产中心 > 资产列表”,选择进入软件页面。
2. 检索软件:支持按软件名称、软件分类、软件版本、资产名称、资产IP、组织机构和创建时间检索软件。其中,软件名称、软件版本、资产名称和资产IP支持模糊查询。
单击软件列表操作列下的<详情>按钮,进入软件详情页面,可以查看软件的详细信息。
选中多个软件,单击软件列表左上方的<删除>按钮,可批量删除所选软件。单击软件列表操作列下的<删除>按钮,可删除指定的软件。
· 软件名称:软件名称。
· 软件分类:软件类型名称。
· 软件版本:软件版本号
· 资产名称:软件所在资产的名称。
· 资产IP:软件所在资产的IP。
· 组织机构:软件所在资产所属的组织机构名称。
· 创建时间:软件信息的创建时间。
· 操作:
○ 详情:点击可查看选中的软件的详细信息。
○ 删除:点击可删除选中的软件信息。
主要用于展示所有资产中涉及的服务端口信息,主要包括:端口、服务名称、协议、资产名称、资产IP、组织机构等信息。仅在E1148P05及以上版本支持本功能。
1. 选择“资产中心 > 资产列表”,选择进入服务页面。
2. 支持按服务名称、资产名称、资产IP、端口、协议、组织机构和创建时间检索服务。其中,服务名称、资产名称和资产IP支持模糊查询。
单击服务列表操作列下的<详情>按钮,进入服务详情页面,可以查看服务的详细信息。
选中多个服务,单击服务列表左上方的<删除>按钮,可批量删除所选服务。单击服务列表操作列下的<删除>按钮,可删除指定的服务。
· 端口:端口号。
· 服务名称:端口上提供的服务名称。
· 协议:服务对应的协议。
· 资产名称:服务所在资产的名称。
· 资产IP:服务所在资产的IP。
· 组织机构:服务所在资产所属的组织机构名称。
· 创建时间:服务信息的创建时间。
· 操作:
○ 详情:点击可查看选中的服务的详细信息。
○ 删除:点击可删除选中的服务信息。
该功能用于自动发现和管理用户网络中的资产,并实时监控资产运行信息。资产是本系统管理的最小网络元素,是网络安全事件发生时的直接承受者或发起者。当资产上发生安全事件时,安全设备(如防火墙、沙箱等)会将安全事件记录成日志,上报至本系统进行分析。网络中的防火墙、路由器、交换机、服务器、摄像头等设备均可以作为资产。录入资产信息后,管理员可以统一进行管理,并可以根据不同的部门或者设备类型分组,进行更精细的监控和管理。
本章包含如下内容:
· 探针管理
· 资产发现
· 资产属性管理
· 资产参数
注意事项
· 最多只能配置10万个资产,资产数量达到规格上限后,任何方式都不能再添加资产。
· 仅一级类型为“网络设备”和“安全设备”的资产支持通过
图标进入其Web登录界面。
主要用于管理资产探针,包括查看、新增、删除资产探针等功能。仅在E1148P05及以上版本支持本功能。
1. 选择“资产中心 > 资产配置 > 探针管理”,进入资产探针管理页面。
2. 单击探针列表左上方的<新增>按钮可新增网络空间资产探测探针。
单击探针列表操作列下的<编辑>按钮可修改选中探针的配置信息。
单击探针列表操作列下的<在线状态检测>按钮可对探针进行在线状态检测,并更新探针的在线状态信息。
选中多条网络空间资产探测探针信息,单击探针列表左上方的<删除>按钮,可批量删除资产探针;单击探针列表操作列下的<删除>按钮可删除选中的资产探针。
· 探针名称:资产探针的名称。
· 探针IP:资产探针的IP。
· 探针类型:资产探针的类型,包括:内网资产探测,网络空间资产探测。
· 账号:网络空间资产探测探针的认证账号。
· 密码:网络空间资产探测探针认证账号的密码。
· 内网资产探测探针仅支持查看详情信息,不可编辑与删除。
· 网络空间资产探测探针最多可以创建5个。
· 系统将为每个资产探针自动生成一个名为资产探针+IP(如“资产探针192.168.0.1”)的白名单,该白名单不能手动删除或修改,只能停用或启用。有关白名单的详细介绍请参见“系统设置 > 白名单”。
该功能用于配置发现资产功能。通过该功能,系统可自动识别区域中可管理的资产并根据资产入库审核策略将其添加到资产列表中,系统提供“主动探测资产”和“流量发现资产”两种资产自动发现方式。
通过配置主动探测任务,资产探针将主动探测网络中的内部资产,并检测资产的操作系统、厂商、主机名、MAC地址、开放的端口和服务等信息,根据资产入库审核策略将其添加到资产列表或待审核列表中。通过该方式添加的资产,其添加方式为“主动探测”。
1. 选择“资产中心 > 资产配置 > 资产发现”,选择主动发现资产,界面中将展示探测任务列表和当前正在执行的探测任务详情。
2. 单击探测任务列表左上方的<+新建任务>按钮,配置探针扫描的IP地址范围。
3. 用户可根据实际情况,选择指定的资产探针,在“继承网段区域”中,选择指定的区域并移动至“已选择区域”后,“IP范围”区域中将添加所选区域中的所有网段。也可在“IP范围”区域,单击<新增>按钮,进入新增IP范围页面,选择区域,配置开始地址和结束地址,并单击<确认>按钮完成扫描网段的配置。
4. 如果用户选择的资产探针是网络空间资产探测探针,则要求选择扫描端口范围以及设置扫描带宽。
5. 单击探测任务列表左上方的“设置扫描时段”按钮,可以对当前租户的所有主动探测任务的探测时段进行设置。
6. 配置完成后后台任务调度任务会自动选择合适的“待探测”任务,进行资产探测。
资产探针列表参数说明
· 租户名称:资产探针所属租户。
· 探针名称:已成功注册的资产探针名称。
· 区域名称:探测发现的资产归属的区域名称。
· IP范围:探测任务的探测IP范围。
· 下发时间:探测任务的创建时间。
· 探测状态:探测任务的状态。分别有待探测、探测中、暂停、暂停中、删除中、探测完成以及异常七种状态。
· 开始时间:探测任务的开始时间。
· 结束时间:探测任务的结束时间。
· 耗时:探测任务执行完成所用时长,暂停时长不统计在内。
· 扫描结果:探测任务的扫描结果信息,发现存活IP数量与发现的端口数量。
· 操作:
○ 暂停:用于暂停探测中的任务。
○ 重新启用:用于启动探测完成的任务以及暂停的任务。
○ 删除:用于删除探测任务。
开启流量发现功能后,系统将自动监测所有区域内的网络流量,并基于采集到的流量日志和安全日志中的数据进行分析,包括源IP、目的IP、源端口、目的端口、协议、设备类型、应用类型等,来确定设备的身份,自动识别出可管理的资产,并将其添加到资产列表。通过该方式添加的资产,其添加方式为“流量发现”。例如,用户使用SSH协议登录了区域A内的某个设备,系统检测到该流量数据后,会将设备识别为资产,并自动将其添加到资产列表中。
1. 选择“资产中心 > 资产配置 > 资产发现”,进入资产配置页面,选择流量发现资产。
2. 打开“流量发现资产”划钮(系统默认已开启),该划钮作为总开关,控制所有区域是否启用流量发现资产功能。
3. 如果需要单独开启或关闭指定区域的流量发现资产功能,可以在指定区域右侧的操作列下,开启或者关闭划钮。
该功能用于在资产生命周期中主机资产入库审核开启后,针对“主动探测”、“流量发现”、“漏扫发现”三种形式发现的资产,如果匹配中资产入库审核策略,则将对应资产添加到待审核列表。可对待审核资产进行检索、查看、入库、忽略操作。仅在E1148P01及以上版本支持本功能。
1. 选择“资产中心 > 资产配置 > 资产发现”,进入资产配置页面,选择待审核资产,界面中将展示待审核资产列表。
2. 检索待审核资产:支持按资产IP、开放端口和发现方式检索待审核资产,其中,开放端口仅支持精确查询,查询时必须输入完整准确的开放端口号,如80。
3. 一键入库待审核资产:单击待审核资产列表左上方的下拉按钮<入库>,单击<一键入库>按钮,可以一键入库所有满足查询条件的待审核资产,若无查询条件则入库所有待审核资产。
4. 批量入库待审核资产:选中多个待审核资产,单击待审核资产列表左上方的下拉按钮<入库>,单击<批量入库>按钮,可以对选中的待审核资产进行批量入库操作。
5. 查看入库操作结果:单击待审核资产列表左上方的下拉按钮<入库>,单击<操作结果>按钮,可以查看最近入库的待审核资产的具体情况。
6. 一键忽略待审核资产:单击待审核资产列表左上方的下拉按钮<忽略>,单击<一键忽略>按钮,可以一键忽略所有满足查询条件的待审核资产,若无查询条件则忽略所有待审核资产。
7. 批量忽略待审核资产:选中多个待审核资产,单击待审核资产列表左上方的下拉按钮<忽略>,单击<批量忽略>按钮,可以批量忽略所有选中的待审核资产。
8. 查看忽略操作结果:单击待审核资产列表左上方的下拉按钮<忽略>,单击<操作结果>按钮,可以查看最近忽略的待审核资产的具体情况。
待审核资产参数说明
○ 租户名称:资产所属租户的名称。
○ 资产名称:待审核资产的名称。
○ 资产IP:待审核资产的IP地址,单击资产IP可查看该资产的IP地址列表。
○ 所属区域:资产所属区域。
○ 开放端口:资产开放的端口。
○ 服务:服务信息。
○ 生产厂商:资产的生产厂商。
○ 发现方式:资产的发现方式(主动探测、流量发现、漏扫发现)。
○ 操作:
§ 入库:点击可将所选资产入库,入库成功后将在资产列表中显示。
§ 忽略:点击可忽略所选资产。
§ 详情:点击可查看选中资产的配置详情。
注意事项
最多只能有10万个待审核资产,待审核资产数量达到规格上限后,任何方式都不能再添加待审核资产。
该功能包括责任人管理、机房管理、云平台管理、网络信息。其中,机房管理、云平台管理和网络信息功能仅在E1148P05及以上版本支持。
该功能用于管理责任人信息,包括新增、批量导入、导出及删除责任人信息。
新增资产责任人
a. 选择“资产中心 > 资产配置> 资产属性管理”,选择进入责任人管理页面。
b. 单击页面中的<新增>按钮进入新增资产责任人页面。
c. 配置新增资产参数。
§ 责任人名称:资产责任人的姓名。
§ 所属部门:资产责任人所属部门名称。
§ 地址:资产责任人的通讯地址。
§ 联系方式:资产责任人的联系电话。
§ 邮箱:资产责任人的邮箱地址。
d. 单击<确认>按钮完成新增资产责任人。
删除资产责任人
a. 选择“资产中心 > 资产配置> 资产属性管理”,选择进入责任人管理页面。
b. 选中多条责任人信息,单击页面中的<删除>按钮可批量删除责任人;单击操作列的<删除>按钮可删除选中的责任人。
导入/导出资产责任人
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入责任人管理页面。
b. 单击<导入>按钮选择“导入”,下载资产责任人导入模板后,按模板要求填写相应的资产责任人信息后保存配置;点击上传或将保存的导入模板文件拖拽到导入页面中,即可批量导入。
c. 单击<导入>按钮选择“操作结果”可查看导入结果,包括导入成功和导入失败,导入失败时将展示失败原因。
d. 单击<导出>按钮即可导出系统中所有的资产责任人信息。
该功能用于管理机房信息,包括新增、编辑及删除机房信息。仅在E1148P05及以上版本支持本功能。
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入机房管理页面。
b. 支持按机房名称、机房位置和组织机构检索机房信息。其中,机房名称和机房位置支持模糊查询。
c. 单击机房列表左上方的<新增>按钮,配置相关参数可新增机房信息;单击机房列表操作列下的<详情>按钮可查看选中机房的配置信息;单击机房列表操作列下的<编辑>按钮可修改选中机房的配置信息。
d. 选中多条机房信息,单击机房列表左上方的<删除>按钮可批量删除机房。单击机房列表操作列下<删除>按钮可删除选中的机房信息。
参数说明
○ 租户名称:机房所属租户的名称。
○ 机房名称:机房的名称。
○ 机房位置:机房的详细地理位置。
○ 组织机构:机房所属的组织机构。
○ 经纬度:机房的经纬度位置信息。
○ 运行单位名称:机房所属的运营单位名称。
○ 责任人:机房管理责任人。
○ 关键信息基础设施:机房是否为关键信息基础设施。
○ 备注信息:机房的备注信息。
该功能用于管理云平台信息,包括新增、编辑及删除云平台信息。仅在E1148P05及以上版本支持本功能。
a. 选择“资产中心 > 资产配置>资产属性管理”,选择进入云平台属性页面。
b. 支持按云平台名称、组织机构和责任人检索云平台信息。其中,云平台名称和责任人支持模糊查询。
c. 单击云平台列表左上方的<新增>按钮,配置相关参数可新增云平台信息;单击云平台列表操作列下的<详情>按钮可查看选中云平台的配置信息;单击云平台列表操作列下的<编辑>按钮可修改选中云平台的配置信息。
d. 选中多条云平台信息,单击云平台列表左上方的<删除>按钮可批量删除云平台信息。单击云平台列表操作列下的<删除>按钮可删除选中的云平台信息。
参数说明
○ 租户名称:云平台所属租户的名称。
○ 云平台名称:云平台的名称。
○ 云平台类型:云平台的类型,包括:公有云、政务云。
○ 组织机构:云平台所属的组织机构。
○ 运行单位名称:云平台所属的运营单位名称。
○ 责任人:云平台管理责任人。
○ 关键信息基础设施:云平台是否为关键信息基础设施。
○ 是否在境内:云平台是否在境内。
○ 备注信息:云平台的备注信息。
该功能用于管理运营商为各组织机构的资产联网运行提供的网络和端口服务的详细信息,通过网络信息,可以分析所属组织机构和相关网络资产的网络连通性、重要性、网络利用率等情况。仅在E1148P05及以上版本支持本功能。
a. 选择“资产中心 > 资产配置 > 资产属性管理”,选择进入网络信息管理页面。
b. 支持按网络名称和组织机构检索网络信息。其中,网络名称支持模糊查询。
c. 单击网络列表左上方的<新增>按钮可新增网络信息;单击网络列表操作列下的<详情>按钮可查看选中网络信息的配置信息;单击网络列表操作列下的<编辑>按钮可修改选中网络信息的配置信息。
d. 选中多条网络信息信息,单击网络列表左上方的<删除>按钮可批量删除网络信息。单击网络列表操作列下的<删除>按钮可删除选中的网络信息信息。
参数说明
○ 网络名称:网络的名称。
○ 网络运营商:网络的运营商信息,包括:移动、联通、电信、其他。
○ 组织机构:网络所属的组织机构。
○ 物理接入位置:组织机构网络接入的地理位置,地理位置采用行政编码表精确到区县,之后加上详细文字描述:编码 +“|”+ 详细地址文字描述。
○ 责任人:组织机构的网络管理责任人。
○ 接入机房:组织机构的网络的接入机房。
○ 关键信息基础设施:该网络是否为关键信息基础设施。
○ 接入IP地理范围:组织机构的联网IP范围。
○ 备注信息:网络的备注信息。
该功能主要包括资产生命周期、资产运维管理相关模板、资产信息增强的相关参数的设置与管理。其中,资产生命周期功能仅在E1148P01及以上版本支持,资产配置中的高级配置于E1148P04版本更名为资产生命周期,资产信息增强功能仅在E1148P04及以上版本支持。
该功能用于对自动发现的资产(流量发现、主动发现、漏扫发现),设置入库审核策略;对资产设置资产状态(在线、离线)识别策略。资产生命周期功能仅在E1148P01及以上版本支持,资产配置中的高级配置于E1148P04版本更名为资产生命周期。
a. 选择“资产中心 > 资产配置 > 资产参数”,进入资产生命周期页面。
b. 在主机资产入库下选择是否要开启入库审核。
§ 开启入库审核:单击<开启>按钮,可以开启入库审核,此时需要配置审核区域(流量发现、主动发现、漏扫发现的资产,如果属于配置的审核区域则自动进入待审核资产列表)。
§ 关闭入库审核:单击<关闭>按钮,可以关闭入库审核(当入库审核为关闭状态时,审核区域无法进行选择配置)。
c. 在主机资产状态下选择是否开启离线资产识别。
§ 开启离线资产识别:单击<开启>按钮,可以开启离线资产识别,此时需要配置离线规则,超过规定时间(以小时为单位)没有检测到资产的流量,资产状态将变为离线。
§ 关闭离线资产识别:单击<关闭>按钮,可以关闭离线资产识别(当离线资产识别为关闭状态时,离线规则无法进行配置)。
d. 点击<保存配置>按钮,将对填入的配置进行保存。
e. 点击<重置配置>按钮,将对填入的配置重置为初始默认值。
注意事项
○ 仅当入库审核为开启状态时,才需进行审核区域的配置。
○ 仅当离线资产识别为开启状态时,才需进行离线规则的配置。
开启资产信息增强功能后,平台将根据SNMP协议获取资产设备上的地址解析列表数据,在资产列表页面关联展示资产IP地址与资产MAC地址对应关系,便于快速识别定位威胁主机。添加获取信息的资产时,推荐选择防火墙、交换机、路由器类型的资产,更全面获取信息。仅在E1148P04及以上版本支持本功能。
a. 选择“资产中心 > 资产配置>资产参数”,选择进入资产信息增强页面。
b. 开启/关闭资产信息增强功能:系统默认关闭资产信息增强功能,可通过单击按钮来选择开启或关闭资产信息增强功能。
c. 当开启资产信息增强功能时,可进行如下功能的配置:
§ 设置数据采集周期:单击数据采集周期设置下拉框,选择数据采集周期,系统默认周期为8小时。
§ 刷新资产列表:单击<立即刷新>按钮,刷新资产列表。
§ 新增需同步信息的资产:单击<选择资产>按钮,进入"选择资产"页面,勾选一个或多个资产,单击<保存>按钮,资产新增成功。
§ 编辑资产:单击资产列表的操作列下的<编辑>按钮,进入"编辑资产"页面,修改资产的配置参数后,单击<确认>按钮,可以编辑修改资产的配置信息。编辑资产的详细介绍,请参见新增/编辑资产
§ 删除资产:勾选一个或多个资产,单击资产列表左上方<删除>按钮可以批量删除资产,或单击资产列表下操作列的<删除>按钮,可以删除指定资产。
该功能用于配置系统以命令行方式登录设备时使用的协议类型及其参数。为了减少用户重复配置,将协议参数以参数模板的方式进行管理。当用户设置的参数与参数模板相同时,只需从已定义的模板中选择需要的模板即可。
SNMP模板
该功能用于新增、修改或删除SNMP模板。
a. 选择“资产中心 > 资产配置 > 资产参数”,选择进入模板参数管理页面。
b. 选择SNMP模板,单击<新增>按钮进入新增SNMP模板页面。
c. 配置SNMP模板参数。
§ 模板名称:SNMP模板的唯一标识,不允许重复。
§ SNMP版本:包括:
|
SNMPv1 |
SNMP的v1版本。 |
|
SNMPv2c |
SNMP的v2c版本。 |
|
SNMPv3 无认证 无加密 |
SNMPv3无认证无加密。 |
|
SNMPv3 无加密 MD5认证 |
SNMPv3无加密,采用MD5认证。 |
|
SNMPv3 无加密 SHA认证 |
SNMPv3无加密,采用SHA认证。 |
|
SNMPv3 DES加密 MD5认证 |
SNMPv3有加密,加密算法为DES,采用MD5认证。 |
|
SNMPv3 DES加密 SHA认证 |
SNMPv3有加密,加密算法为DES,采用SHA认证。 |
|
SNMPv3 AES128加密 MD5认证 |
SNMPv3有加密,加密算法为AES128,采用MD5认证。 |
|
SNMPv3 AES128加密 SHA认证 |
SNMPv3有加密,加密算法为AES128,采用SHA认证。 |
§ 只读团体名/读写团体名:具有只读权限的团体字只能对设备信息进行查询,具有读写权限的团体可以对设备进行查询和配置。
§ 端口号:SNMP协议使用的端口号。
§ 超时时间:表示系统在与设备通信时等待其响应的最长时间。
§ 重试次数:表示系统在与设备通信发生故障时的最大重试次数。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增SNMP模板。
该功能用于新增、修改或删除NETCONF over SSH模板。
a. 选择“资产中心 > 资产配置 > 资产参数”,选择进入模板参数管理页面。
b. 选择NETCONF over SSH模板,单击<新增>按钮进入新增NETCONF over SSH模板模板页面。
c. 配置NETCONF over SSH模板参数。
§ 模板名称:SSH模板的唯一标识,不允许重复。
§ 用户名:通过SSH方式登录设备时使用的用户名。
§ 密码:通过SSH方式登录设备时使用的密码。
§ 超时时间:表示系统在与设备通信时等待其响应的最长时间,单位为秒,取值范围为1~60,缺省为10。
§ 重试次数:表示系统在与设备通信发生故障时的最大重试次数,取值范围1~20,缺省为3。
§ 端口:通过SSH方式登录设备时使用的端口号,,取值范围为1~65535,缺省为830。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增NETCONF over SSH模板。
该功能用于新增、修改或删除NETCONF over SOAP模板。
a. 选择“资产中心 > 资产配置 > 资产参数”,选择进入模板参数管理页面。
b. 选择NETCONF over SOAP模板,单击<新增>按钮进入新增NETCONF over SOAP模板模板页面。
c. 配置NETCONF over SOAP模板参数。
§ 模板名称:NETCONF over SOAP模板的唯一标识,不允许重复。
§ 访问URL协议:选择开启基于HTTPS或HTTP的NETCONF over SOAP功能。
§ 端口:SOAP协议使用的端口号。访问URL协议选择HTTPS时默认端口为832(此端口号从E1147P02开始改为832),选择HTTP时默认端口为80。
§ 用户名:通过SOAP方式登录设备时使用的用户名。
§ 密码:通过SOAP方式登录设备时使用的密码。
§ 模板描述:参数模板的描述信息。
d. 单击<确认>按钮完成新增NETCONF over SOAP模板。
主要用于配置、管理业务系统和业务数据。
本章包含如下内容:
· 业务系统
· 业务数据
业务系统功能仅在E1148P05及以上版本支持。
业务系统描述了各类业务信息系统的详细信息,主要包括重要党政机关网站、安全防护系统、 OA 系统、信息管理系统(政务微信、公众号)、电子邮件系统、社会化生产生活系统(供水 供电、卫生医疗、民政等信息化系统)、私有云 平台等信息。通过业务信息系统信息,结合组织机构、机房等,可以分析得到关键信息基础设施、重要网站、系统等重要性、地理分布、行业分布、服务对象重要程度、用户规模大小等,从而进行重点防护,保障系统顺利运行。
1. 选择“资产中心 > 业务系统”,进入业务系统页面。
2. 支持按照系统名称、系统类型、组织机构、关键信息基础设施、ICP备案状态和行业分类检索业务系统信息,其中,系统名称支持模糊查询。
单击业务系统列表操作列下的<详情>按钮,可以查看选中的业务系统的详细信息。
单击业务系统列表左上方的<新增>按钮,完成相关参数的配置,单击<确认>按钮,完成业务系统的新增操作。
单击业务系统列表操作列下的<编辑>按钮,可以修改选中的业务系统信息。
单击业务系统列表操作列下的<选择资产>按钮可以为业务系统关联具体的资产信息。
选中多条业务系统信息,单击业务系统列表左上方的<删除>按钮,可批量删除业务系统;单击业务系统列表操作列下的<删除>按钮可删除选中的业务系统信息。
业务数据描述了各级单位上报的业务信息系统生产、使用、存储的业务数据的详细信息。业务数据安全是网络安全态势的重要组成和网络防护的重要目标,通过业务数据,关联业务信息系统、软硬件等,可以分析数据的敏感程度、敏感数据类型、重要性、数据规模大小等信息,在面临风险和遭受网络安全事件时,分析数据泄露规模、泄露内容、影响范围、危害的大小等,并采取合适的防护措施,减少损失和危害,保证数据安全。
1. 选择“资产中心 > 业务系统”,选择进入业务数据页面。
2. 支持按数据名称、业务系统和组织机构检索业务数据信息,其中,数据名称支持模糊查询。
单击业务数据列表操作列下的<详情>按钮,可以查看选中的业务数据的详细信息。
单击业务数据列表左上方的<新增>按钮,完成相关参数的配置,单击<确认>按钮,完成业务数据的新增操作。
单击业务数据列表操作列下的<编辑>按钮可修改选中业务数据的配置信息。
选中多条业务数据信息,单击业务数据列表左上方的<删除>按钮,可批量删除业务数据;单击业务数据列表操作列下的<删除>按钮可删除选中的业务数据信息。
· 数据名称:业务数据的名称。
· 数据类型:业务数据的数据类型,业务数据、办公数据、个人信息数据等。
· 组织机构:业务数据所属的组织机构。
· 业务系统:业务数据所属的业务系统。
· 数据形态:业务数据的数据形态,电子文档、数据库、其他。
· 数据总量:业务数据的数据总量,单位:MB。
· 数据总条目:业务数据的数据总条目。
· 数据增量:业务数据的平均每日增量,单位:MB。
· 数据重要度:业务数据的重要度。
· 责任人:业务数据的负责人。
· 备注信息:业务数据的备注信息。
· 操作:
○ 编辑:点击可修改选中业务数据的配置信息。
○ 删除:点击可删除选中业务数据。
○ 详情:点击查看选中业务数据的配置详情。
区域是本系统针对用户网络进行的逻辑划分,与内网IP段绑定,方便识别IP地址是否为内网IP及其地理位置;同时,系统通过分析区域中IP的安全状态,从而推断出区域的网络安全状况。
该页面相关参数解释如下:
· 
:点击可参看当前区域拥有的子区域信息。
· 区域名称:父区域或子区域名称。
· IP范围:区域的IP地址范围。
· 描述:区域描述信息。
· 地址位置:区域所属的地理位置。
· 创建人:创建区域的用户名称。
· 操作:支持编辑区域、添加子区域和删除区域。
本章包含如下内容:
· 新增区域
· 删除区域
· 导入/导出区域
区域管理只显示当前用户所属租户下的所有区域信息。
该功能用于新增区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 单击页面中的<新增>按钮进入新增区域页面。
3. 在新增区域页面填写区域信息。其中,参数的支持情况与软件版本有关,请以实际情况为准。
○ 区域名称:区域的唯一标识。
○ 区域地理位置:区域所在的省市。
○ 组织机构:区域所属的组织机构。
○ 区域描述:区域的描述信息,合理的描述信息有助于管理员快速了解区域。
○ IP范围:当前区域包含的IP地址范围。单击<新增>按钮可为当前区域添加IP范围。
§ IP地址类型:可选择配置IPv4或IPv6网段。
§ 区域网段:选择区域IP范围的配置方式,包括IP地址范围和子网。
§ 开始地址:区域IP范围的起始IPv4或IPv6地址,区域网段选择IP地址范围需要配置该参数。
§ 结束地址:区域IP范围的结束IPv4或IPv6地址,结束IP必须大于或等于起始IP。区域网段选择IP地址范围需要配置该参数。
§ IP地址:区域子网,区域网段选择子网需要配置该参数。
§ 掩码长度(或前缀长度):区域子网的掩码长度(或前缀长度),区域网段选择子网需要配置该参数。
4. 配置完成后,单击<确认>按钮完成操作。
注意事项
· 区域名称保存后不能再修改。
· 一个父区域下最多可嵌套4层子区域,但可配置多个同一层级的子区域。
· 单击
按钮可查看当前区域拥有的子区域信息。
该功能用于为区域创建子区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 单击操作列<添加子区域>按钮为选中区域创建子区域。参数解释请参见新增区域。
编辑区域管理用于删除选中区域。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 选中多条区域信息,单击<删除>按钮即可批量删除区域;单击操作列的<删除>按钮即可删除选中的区域或子区域。
注意事项
删除父区域后,该区域下的所有子区域也会被同步删除。
该功能用于批量导入或导出区域信息。
1. 选择“资产中心 > 区域配置”进入区域配置页面。
2. 按IP范围导入
a. 单击<导入>按钮选择“IP范围导入”,单击“IP范围模板”。按模板要求填写相应的区域信息及其IP信息后保存配置。
b. 选择保存的模板,点击上传即可批量为区域配置IP范围。
3. 按区域导入
a. 单击<导入>按钮选择“区域导入”,单击“区域模板”。按模板要求填写相应的区域信息及其IP信息后保存配置。
b. 选择保存的模板,点击上传即可批量导入区域。
4. 单击<导入>按钮选择“导入结果”可查看导入结果,导入失败时将展示失败原因。
5. 单击<导出>按钮将导出满足查询条件的区域信息;若查询条件为空,则导出所有区域信息。
注意事项
· 一个父区域下最多可嵌套4层子区域,但可配置多个同一层级的子区域
· 区域导入模板中包含子区域时,其父区域必须已存在,否则导入不成功。
· 批量导入IP范围时,区域名必须已存在,否则导入不成功。
该功能用于管理终端网段信息。配置终端网段并关联区域后,该网段内所有IP都会被标识为终端并关联到指定区域。
本章包含如下内容:
· 新增终端网段
· 导入终端网段
· 导出终端网段
· 删除终端网段
· 一键整理终端网段
· 注意事项
1. 选择“资产中心 > 终端配置”,进入终端网段配置页面。
2. 确认待添加的终端网段是否为动态分配IP地址,系统默认使用固定IP地址的终端为资产,动态分配IP地址的终端为终端。在添加终端网段之前,请先确认待添加的终端网段为动态分配IP地址。
3. 单击页面中的<新增>按钮可新增一个终端网段。
4. 配置参数后。
· 区域名称:指定区域后,网段内所有IP都会被标识为终端,并且都属于该区域。
· 继承区域IP段:勾选继承区域IP段后,系统自动将区域IP段添加到IP范围列表,管理员可根据需要编辑IP范围,提高配置效率。
· IP范围(IP范围内的IP都会被标识为终端,单击<新增>按钮配置IP范围):
○ IP类型:终端网段的地址类型,包括IPv4和IPv6两种。
○ 网段类型:选择终端网段的配置形式,包括:
§ 子网:选择网段后需要输入子网IP地址和子网掩码长度。
§ IP地址范围:指定范围IP地址。需要输入范围起始IP地址和范围结束IP地址,并且结束IP地址必须大于起始IP地址。
○ 排除地址:终端网段中排除的IP地址,即该IP地址不属于终端网段。
5. 单击<确认>按钮,完成新增终端网段操作配置。
1. 选择“资产中心 > 终端配置”,进入终端网段配置页面。
2. 单击<导入>按钮,选择终端网段批量导入,进入导入终端网段页面。
3. 单击“终端网段批量导入模板下载”,按模板要求填写终端网段信息并保存后,单击上传或将保存的模板文件拖拽到页面中。
4. 单击<确认>按钮,完成操作。
1. 选择“资产中心 > 终端配置”,进入终端网段配置页面。
2. 单击<导出>按钮,将导出满足查询条件的所有终端网段信息;若查询条件为空,则导出系统中的所有终端网段信息。
1. 选择“资产中心 > 终端配置”,进入终端网段配置页面。
2. 选中多条终端网段信息,单击页面中的<删除>按钮可批量删除终端网段;单击操作列的<删除>按钮可删除选中的终端网段。
1. 选择“资产中心 > 终端配置”,进入终端网段配置页面。
2. 对于已被删除的终端,单击<一键整理>按钮可一键清除其残留数据,包括风险终端分析数据、脆弱性风险分析数据、流量分析数据、场景化分析数据以及溯源分析数据。
· 设置终端网段时必须指定区域,否则添加失败。
· 一次最多支持导入1024条终端网段数据。
本章包含如下内容:
· 漏扫任务
· 漏扫设备管理
· 漏扫设备组管理
· 漏扫报告导入
该功能用于创建和下发漏扫任务。漏扫任务依据漏扫策略和漏扫参数对扫描目标进行扫描,并收集、适配和保存扫描结果。有关漏扫策略和漏扫参数的说明请参见漏扫设备配套的相关配置手册。
1. 选择“资产中心> 漏扫配置 > 漏扫任务 > 任务列表”进入任务列表页面。
2. 单击<新增>按钮进入新增漏扫任务页面。
3. 配置任务参数。
○ 任务名称:漏扫任务的唯一标识。
○ 漏扫设备:执行任务的漏扫设备或设备组。
○ 扫描类型:扫描任务类型。
○ 扫描周期:任务的执行周期与时间。
○ 漏扫策略:不同扫描类型提供不同的漏扫策略,请根据实际情况选择。
○ 扫描目标:待扫描的IP、IP范围、URL等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。
○ 关联资产:扫描目标URL关联的资产IP地址。支持手工录入、从模板导入和从资产导入三种方式导入关联资产。扫描类型选择“web”时需要配置关联资产。
4. 单击<确认>按钮,完成操作。
5. 任务下发成功后,单击任务列表中操作列的<详情>按钮,查看任务详情。
6. 单击任务列表中操作列的<下载>按钮,下载漏扫任务报表。
7. 勾选多个漏扫任务,单击列表左上方的<删除>按钮,可批量删除漏扫任务。单击任务列表中操作列的<删除>按钮,可删除指定的漏扫任务。
注意事项
○ 不同型号漏扫设备需要配置的任务参数不同,请以界面实际情况为准。
○ 当漏扫任务的扫描类型为弱口令破解且漏扫设备或漏扫设备组设备型号为SysScan-AE/ME/SE/VE/Cloud/AK、设备版本为H3C i-Ware Software, Version 3.1, ESS 6202P04时,不支持下载漏扫任务报表。
该功能用于管理漏扫设备。
1. 选择“资产中心> 漏扫配置 > 漏扫设备管理 ”,进入漏扫设备管理页面。
2. 单击<新增>按钮,进入新增漏扫设备页面。
3. 配置相关参数。
○ 设备名称:漏扫设备的唯一标识。
○ 设备厂商:漏扫设备的生产厂商。
○ 设备型号:漏扫设备型号。此参数的支持情况与设备厂商有关,请以设备实际情况为准。
○ 设备版本:漏扫设备版本。
○ 设备IP:漏扫设备IPv4地址。
○ 设备端口:漏扫设备的端口号。
○ 所属设备组:漏扫设备所属漏扫设备组。
○ 账户:漏扫设备的登录账号。此参数的支持情况与设备型号有关,请以设备实际情况为准。
○ 密码:漏扫设备的登录密码。此参数的支持情况与设备型号有关,请以设备实际情况为准。
4. 单击<确认>按钮,完成操作。
该功能用于管理漏扫设备组。将漏扫设备分组后有利于统一管理和任务下发。
1. 选择“资产中心> 漏扫配置 > 漏扫设备管理”,进入漏扫设备组区域。
2. 单击<新增漏扫设备组 > 按钮,进入新增漏扫设备组页面。
3. 配置相关参数。
○ 设备组名称:漏扫设备组的唯一标识。
○ 设备厂商:该设备组中漏扫设备的生产厂商。
○ 设备列表:加入该设备组的漏扫设备。
4. 单击<确认>按钮,完成操作。
该功能用于导入离线漏扫报告文件,并对漏扫文件中的信息进行解析、适配、存储和展示。系统支持导入不同厂商漏扫设备生成的多种格式的漏扫报告文件。
1. 选择“资产中心> 漏扫配置 > 漏扫报告导入”,进入漏扫报告导入页面。
2. 单击<导入>按钮,选择“漏扫报告导入”,弹出漏扫报告导入弹窗。
3. 配置漏扫报告文件的相关参数。
○ 设备厂商:生成该报告的漏扫设备的生产厂商。
○ 设备型号:生成该报告的漏扫设备型号。
○ 文件格式:漏扫报告文件格式。
○ 扫描类型:漏扫报告文件的解析模板。
○ 漏扫报告导入:选择上传漏扫文件。
4. 单击<确认>完成操作。导入结果可在“操作结果”中查看。
5. 导入漏扫报告成功后,单击操作列的<详情>按钮查看该报告中的漏洞信息详情及影响资产信息;单击<下载>按钮下载漏扫报告文件;单击<删除>按钮删除已导入的漏扫报告,删除报告文件不影响已解析入库的数据。
注意事项
· 导入漏扫文件中的HostIP不在已配置区域网段中,文件能成功导入,但查看详情时页面无统计数据。
· 导入漏扫文件中的HostIP被解析为资产时,如果资产数量已达到规格上限10万个,文件能成功导入,但查看详情时页面无统计数据。
· 导入漏扫文件中的HostIP在配置的用户网段中,文件能成功导入,但查看详情时页面无统计数据。
提供基于风险、流量、行业等多种报表模板,提供多层次、多角度、多种格式、满足不同管理角色需求的详细的分析报表,方便管理员将整网安全状态分析结果生成报表,导出到本地分析。同时,支持客户指定的周期自动生成报表以帮助用户周期回顾安全情况。
本章包含如下内容:
· 报表文件
○ 查看报表
○ 下载报表
○ 删除报表
○ 新增报表导出任务
○ 注意事项
· 报表模板
○ 查看报表模板
○ 下发报表导出任务
○ 注意事项
该功能用于展示生成的报表文件文件信息,并提供报表文件检索、下载、删除功能。同时,可在此页面新增报表导出任务,任务完成后,生成的报表文件将展示在本页面中。
1. 选择“报表中心 > 报表文件”进入报表文件页面,在“全部”页签下即可查看所有报表文件信息。在“日报”、“周报”、“月报”和“立即执行”页签下,可查看各自类型任务下生成的报表文件。
2. 支持按生成报表文件的任务名称、报表模板等条件筛选报表文件。输入查询条件,点击<查询>按钮即可查看相应的报表文件,点击<重置>按钮重置查询条件,刷新报表文件列表。
选中多个报表文件,单击页面上方的<下载>按钮即可批量下载报表文件,或单击操作列的<下载>按钮即可下载选中的报表文件。
选中多个报表文件,单击页面上方的<删除>按钮即可批量删除报表文件,或单击操作列的<删除>按钮即可删除选中的报表文件。
1. 在“全部”、“日报”、“周报”、“月报”和“立即执行”各个页签下,均可通过单击<新增>按钮,进入新增报表页面。
2. 选择所需的报表模板并配置相应的报表导出参数。有关报表导出任务的详细介绍,请参见报表模板。
3. 报表导出配置完成后,平台将下发报表导出任务。可单击<查看任务>按钮,查看任务执行结果。
4. 任务执行成功后,可到各页签下查看导出的报表文件。选择指定的报表,单击操作列<下载>按钮即可下载报表文件到本地。
· 报表文件格式由报表导出任务指定,包括.docx、.xlsx及.zip。
· 报表文件名称格式为“生成该报表文件的报表模板名称-任务类型-任务创建人-报表任务创建时间”,如“综合安全风险报告-周报-admin-20201208094824”。
平台提供了多种类型的报表模板,用户可以根据实际需求,选择相应的模板,下发报表导出任务。任务下发成功后,系统会生成报表文件,用户可到“报表中心 > 报表文件”页面查看生成的报表文件。
选择“报表中心 > 报表模板”,进入报表模板页面,查看各模板功能。
· 综合安全风险报告:以资产+终端为分析维度,展示网络安全态势和详情,包括安全度评分、风险资产/终端统计及举证详情、安全事件统计、横向威胁信息、外部威胁信息、脆弱性统计情况和风险处置建议信息。
· 安全监测分析报告:以安全事件为分析维度,展示网络安全态势和详情,包括风险资产/终端TOP5、安全事件详情及处置建议等。
· 安全事件报告:从UEBA规则和关联规则维度,统计各个规则匹配的安全事件信息,并展示安全事件影响的主机数,同时,还可查看各类安全事件的风险危害和处置建议。
· 脆弱性统计分析报告:从区域和事件维度,统计分析系统中存在的脆弱性风险信息。
· 威胁统计分析报告:以摘要的形式展示系统存在的攻击数、风险资产/终端的数量及详情信息/终端TOP、威胁事件详情分析等。
· 恶意域名事件报告:统计内网访问的恶意域名信息。
· 恶意主机事件报告:统计内网恶意主机和外网攻击信息。
· 终端EDR统计分析报告:通过全网资产识别发现,统计资产类型及分布,同时结合终端EDR的安装情况,分析各区域存活资产数和终端EDR客户端安装率。
1. 用户可根据实际需求,选择相应的报表模板,单击<报表导出>按钮,进入新增报表页面。(下面以安全监测分析报告模板为例,介绍报表导出任务的下发过程,不同类型的报表模板需要配置的参数不同,请以实际情况为准。)
说明:
○ 任务类型:表示任务的执行周期,可选择日报、周报、月报及立即执行,不同的任务类型需要配置的参数如下:
§ 选择日报,系统将会在每天23:59:59执行任务,并统计每天00:00:00~23:59:59之间的数据,生成报表文件。
§ 选择周报,系统将会在每周日的23:59:59执行任务,并统计周一00:00:00到周日23:59:59之间的数据,生成报表文件。
§ 选择月报,系统将会在每月最后一天23:59:59执行任务,并统计每月1号00:00:00到每月最后一天23:59:59之间的数据,生成报表文件。
§ 选择立即执行,需要指定统计周期,配置完成后系统将立即执行任务并按统计周期统计安全事件信息,生成报表文件。
○ 全网安全风险:用于配置报表中全网安全风险分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的新增风险主机、关键资产等的分析结果。(仅综合安全风险报告支持配置本参数)
○ 安全事件分析:用于配置报表中安全事件分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的安全事件的分析结果。(仅综合安全风险报告支持配置本参数)
○ 资产威胁分析:用于配置报表中资产威胁分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的风险资产和已处置资产的分析结果。(仅综合安全风险报告支持配置本参数)
○ 终端威胁分析:用于配置报表中终端威胁分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的风险终端和已处置终端的分析结果。(仅综合安全风险报告支持配置本参数)
○ 脆弱性分析:用于配置报表中脆弱性分析结果的展示范围。例如,配置为Top 10时,报表中仅展示排行Top 10的漏洞、配置风险和弱口令的分析结果。(仅综合安全风险报告支持配置本参数)
○ 邮件通知:生成报表后可通过邮件知会相关管理员。指定的收件人必须配置了正确的邮箱地址,关于邮箱配置请参见用户管理。
2. 配置导出参数后,系统将下发一个导出任务。
1. 用户可通过单击<查看任务>按钮,查看任务执行结果。
2. 任务执行成功后,可到“报表中心 > 报表文件”页面查看、下载、删除报表文件。
1. 对于综合安全风险报告,平台支持配置中文标题、英文标题和统计内容。用户可单击综合安全风险报告区域下的<自定义配置>按钮,进入模板配置页面,配置自定义模板参数。
说明:
○ 中文标题:指定报表文件中首页展示的中文标题。
○ 英文标题:指定报表文件中首页展示的英文标题。
○ 统计内容:选择报表文件中包含的统计内容。
2. 单击<确认>按钮,完成参数配置。
· 不同的报表模板可配置的导出参数不同,请以界面实际情况为准。
· 当选择的报表模板本身为zip或xlsx格式时,不能再在“输出格式”指定报表格式。生成的报表文件将按照模板格式输出。
· 缺省情况下,周期性任务创建成功后,其任务状态为“运行中”,单击<停用>或<启用>按钮可改变任务运行状态。停用状态下的任务将不再运行,直到再次启用。
· 仅周期性任务支持通过<停用>和<启用>按钮改变任务运行状态。
· 若配置邮件通知责任人,则必须在“系统配置 > 全局配置”页面完成邮件服务器相关配置,否则邮件发送失败。
· 生成的报表文件名称格式为“生成该报表文件的报表模板名称-任务类型-任务创建人-报表任务创建时间”,如“综合安全风险报告-周报-admin-20201208094824”。
在某些大型组网环境中,不同组织或部门之间存在相互监管的关系,上级组织需要向所有下级组织通报安全事件或派发任务,下级组织则需处理上级组织派发的任务,并反馈任务处置情况,同时向上级组织上报本组织发生的安全事件及处理措施。为满足该需求,系统提供了通报处置功能,不同组织的管理人员可在通报总览页面查看通报事件、通报工单、信息报送和预警通告的汇总信息以及部分详细统计数据。
本章包含如下内容:
· 通报总览
· 通报事件
· 通报工单
· 信息报送
· 预警通告
· 对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析、通报中心等特性,用户必须申请并安装License激活文件后才能使用。
· 通报中心功能仅在E1148P03及以上版本支持。
一级组织相关负责人通过通报总览页面可查看下属的二级组织的相关统计数据;二级组织负责人通过通报总览页面,可以从统计组织的视角查看本组织下级组织统计数据和本组织在同级组织中的排名;三级组织负责人通过通报总览页面,可以从统计组织视角,查看本组织在同级组织中的排名。
1. 选择“通报中心 > 通报总览”,进入通报总览页面。
2. 选择关心的通报场景并配置统计周期,可查看符合条件的统计信息。
· 通报事件:用于展示上级组织向下级组织通报的通报事件统计信息。
· 通报工单:用于展示上级组织向下级组织下发的通报工单的统计信息。
· 通报组织总数:用于展示已通报组织和未通报组织的数量。
· 通报次数排行:用于展示所有通报组织的通报次数排名情况及其通报工单数的分布情况。
· 工单趋势:用于展示不同时间发生的通报工单数。
· 待签收工单Top10:用于展示待签收工单数量排行前10的下级组织及其对应的工单数量。
· 待处置工单Top10:用于展示待处置工单数量排行前10的下级组织及其对应的工单数量。
· 滞留工单时长分布:用于分别展示待签收和待处置的工单滞留时长的分布情况。
· 通报事件等级:用于展示不同等级的通报事件的分布情况。
· 通报事件类型Top5:用于展示不同类型的通报事件排行前5的分布情况。
· 反复感染事件详情:用于展示反复感染事件的详细信息。单击右侧的<导出事件详情>按钮,可以导出反复感染事件详情。
主要用于管理和查看通报事件。对于上级组织管理人员,可通过“手动新增”和“自动同步安全事件、脆弱性事件”两种方式添加通报事件,并在添加通报事件后,将其关联到通报工单中,下发给下级组织处理。对于下级组织管理人员,可在本页面查看接收到的通报事件。
1. 选择“通报中心 > 通报事件”,进入通报事件页面。
2. 对于上级组织的管理人员,可在本页面单击<新增>按钮,进入新增通报事件页面,录入待通报事件信息。
3. 单击<确认>按钮,完成配置。
· 事件名称:通报事件的名称。
· 事件类型:通报事件所属的类型。
· 事件子类型:通报事件所属的子类型。
· 事件来源:通报事件的来源,例如漏洞风险、弱口令等。单击<+>按钮,可以新增事件来源。
· 事件等级:通报事件的严重级别。
· 所属组织:表示发生通报事件的组织。
· 主机类型:主机的类型(终端/资产)
· 主机名称:通报事件中的主机的名称。
· 主机IP:通报事件中的主机的IP地址。
· 源IP:通报事件中的源IP地址。
· 目的IP:通报事件中的目的IP地址。
1. 选择“通报中心 > 通报事件”,进入通报事件页面。
2. 对于一级组织的管理人员,可在本页面单击<同步配置>按钮,进入同步配置页面。
3. 勾选开启自动同步安全事件、脆弱性事件。
4. 配置需要同步的安全事件和脆弱性事件的筛选条件,包括安全事件确信度、漏洞风险等级、弱口令和配置风险等级。
5. 单击<导入>按钮,导入监控的资产信息。
6. 单击<确认>按钮,完成配置。当系统检测到符合上述条件的安全事件和脆弱性事件后,会自动同步到本页面。
仅一级组织管理人员支持通过同步安全事件、脆弱性事件的方式添加通报事件。
上级组织添加了通报事件后,可将事件通过工单的形式下发给下级组织进行处理。下级组织处理完毕后,由上级组织对工单进行审核及归档,完成事件处置流程的闭环。
· 对于上级组织用户,可通过本页面查看所有已下发的工单的信息、关联的事件和所有组织的处理流程。并可对工单进行审核与驳回。
· 对于下级组织用户,可通过本页面查看本组织接收到的所有工单的信息以及工单处理流程,并可对工单进行签收和处置。
1. 对于上级组织用户,可以选择“通报中心 > 通报工单”进入通报工单页面。
2. 单击<新增>按钮,进入新增通报工单页面。
3. 在事件选择页面,单击<添加>按钮,选择需要下发的通报事件,单击<下一步>按钮。
4. 在工单基本信息页面,填写工单基本信息、处置建议并配置工单通知方式以及说明信息等。
5. 单击<下发>按钮,将工单下发至责任组织。
· 工单名称:工单的名称,用于唯一标识工单。
· 整改期限:责任组织处理该工单的期限。
· 工单优先级:用于标识工单处理的优先级,取值包括高、中、低。
· 责任组织:表示需要对工单进行处置的组织。
· 邮件通知:表示使用邮件通知责任组织处置该工单。
· 短信通知:表示使用短信通知责任组织处置该工单。
· 处置建议:上级组织对下级组织处置工单时的操作指导和建议。
· 通知附件:工单中附加的文件。
1. 对于下级组织用户,可以选择“通报中心 > 通报工单”进入通报工单页面。
2. 单击指定工单右侧的<处置>按钮,进入处置工单页面。
3. 在处理流程区域,可以查看工单的处理历史流程。
4. 在工单处置区域,勾选工单处置承诺说明。
5. 勾选单击<签收>按钮,完成工单的签收,签收时可选择是否将工单再次下发到次级组织。
6. 用户根据工单内容对通报事件进行处置后,可进入通报工单页面,单击指定工单右侧的<处置>按钮,再次进入处置工单页面。在处置流程区域,单击<处置>按钮完成工单的处置。
1. 对于上级组织用户,当下级组织处置完工单后,可以对工单进行审核或驳回。选择“通报中心 > 通报工单”,进入通报工单页面。
2. 单击指定工单右侧的<处置>按钮,进入处置工单页面。
3. 单击<审核>按钮,表示对工单处置结果认可,系统将归档此工单。
4. 单击<驳回>按钮,表示对工单处置结果不认可,需要将工单打回给下级组织,重新进行处理。
主要用于下级组织向上级组织上报信息。对于上级组织用户,可在本页面查看所有下级组织上报的信息,其中一级组织可以将信息转为通报事件;对于下级组织的用户,可查看本组织新增的信息,并将信息上报给其上一级组织。
1. 对于下级组织用户,可以选择“通报中心 > 信息报送”,进入信息报送页面。
2. 单击<新增>按钮,进入新增报送信息页面。录入需要上报的事件信息。
3. 单击<确认>按钮,完成配置。
4. 选择需要上报的信息,单击右侧的<上报>按钮,可将信息上报给其上一级组织。
信息上报后,不能编辑或删除。
1. 对于下级组织的用户,可以选择“通报中心 > 信息报送”,进入信息报送页面。
2. 对于一级组织的用户,选择指定的报送信息,单击右侧的<通报>按钮,选择责任组织,可将信息转为通报事件。
主要用于上级组织向下级组织发布通告信息,例如事件、漏洞、预警等。
对于上级组织用户,可在本页面新增、编辑、查看和发布通告信息以及查看下级组织反馈的意见;对于下级组织用户,可在本页面查看接收到的通告信息,并可反馈意见。
1. 选择“通报中心 > 预警通告”,进入预警通告页面。
2. 对于上级组织用户,可在本页面单击<新增>按钮,进入新增通告页面。
3. 录入通告信息以及上传附件。
4. 单击<确认>按钮,完成通告信息的配置。
5. 单击指定通告信息右侧的<发布>按钮,可将预警通告发布给指定的下级组织并配置指定的反馈期限。
对于上级组织用户,可单击指定通告信息右侧的<查看反馈>按钮,查看下级组织的签收反馈信息与处置反馈信息。
对于下级组织,可单击指定通告信息右侧的<签收>按钮,对通告内容进行反馈。
下级组织对上级组织下发的通告信息进行签收后,并且反馈存在通告内容中所述的情况,则通告信息可进一步进行处置。单击<处置>按钮,可针对通告内容进行处置动作,并反馈处置结果。
对于下级组织,单击<详情>按钮,可以查看通告详情、签收反馈及处置反馈。
安全专家服务提供专家会诊和云端托管服务,帮助用户分析当前网络安全态势、协助用户快速发现与解决安全问题,同时提供常用分析工具的下载链接,方便管理员自行下载并使用工具。
本章包含如下内容:
· 远程专家会诊服务
· 云端托管
· 响应工具
用户可以通过远程专家会诊服务功能向安全运营中心发起协助请求,安全运营中心收到请求后,会指派安全专家进行远程专家会诊服务处理,并提供安全分析会诊报告,帮助用户分析当前网络安全态势。
1. 选择“安全服务>专家会诊”,进入远程专家会诊服务页面。系统缺省配置了安全运营中心的地址为secaas.h3c.com,服务端口为16443。
2. 在用户权益区域,用户可以查看拥有的远程巡检和应急响应次数,仅当剩余次数不为0时,才能创建远程专家会诊任务。用户可单击<升级购买>按钮,按需购买服务。
3. 单击<新增>按钮,新增远程专家会诊任务,并配置如下参数,方便专家与其进行沟通交流。
○ 任务类型:远程专家会诊任务的类型,包括应急和巡检。应急是指有突发事件时,需要应急响应;巡检是指常规的系统巡检。
○ 任务描述:远程专家会诊任务的描述信息。
○ 联系人姓名:请求协助的客户姓名。
○ 联系电话:请求协助的客户联系电话。
○ 邮箱地址:请求协助的客户的邮箱地址。
○ 公司组织:请求协助的客户的公司组织。
○ 勾选授权说明:远程专家会诊期间,专家需要获取系统的登录权限和操作权限,客户需要在阅读说明后,勾选说明前的复选框,同意授权。
4. 单击<确认>按钮,完成新增远程专家会诊任务。
5. 安全运营中心收到任务后,将指派安全专家进行远程会诊。安全专家通过安全运营中心远程访问本系统,对系统数据进行会诊分析后,提交分析报告并结束任务。
6. 客户可在本页面查看远程专家会诊任务进度,下载会诊分析报告。任务结束后,用户可单击操作列中的<评价>按钮,对任务进行服务评价。
· 只有当前任务处于待分配或待确认状态下才支持取消。
· 只有当前任务已结束、已取消或连接异常时才能添加新的任务。
· 当安全威胁发现与运营管理平台和安全运营中心的系统时间不一致时,可能会出现任务开始时间超前或滞后的情况,请确保两个系统的时间一致。
· 远程专家会诊任务完成后,安全运营中心会向用户发送结束任务的请求,如果用户在3天内未进行确认,会诊任务将自动结束。
· 当任务状态显示为“连接异常”时(可能由于平台与安全运营中心网络连接异常等问题导致),用户需要重新创建远程专家会诊任务。
威胁检测与响应服务MDR基础版可依托于青丘安全运营中心和安全专家团队,为客户提供5*8小时的“托管式”安全服务,可实现风险及时告警、专家快速响应、定期安全巡检、过程全程可视。威胁检测与响应服务MDR高级版可在基础版基础上提供7*24小时全程服务。
1. 选择“安全服务>云端托管”,进入威胁检测与响应服务MDR页面。
2. 在用户权益区域,用户可查看威胁检测与响应服务MDR服务的剩余时间和总服务时长。
3. 在MDR连接区域,可查看设备SN码以及设备与安全运营中心的连接状态。在安全运营中心绑定设备SN后,单击“连接登录”,进入MDR连接页面,可配置联系人信息,单击<连接>按钮,可连接到安全运营中心。
· 联系人姓名:联系人的姓名。
· 联系方式:联系人的联系电话。
· 邮箱:联系人的邮箱。
· 勾选服务授权:云端威胁检测与响应服务MDR服务期间,云端管理人员需要获取系统的登录权限和操作权限。用户需要在阅读说明后,勾选说明前的复选框,同意授权。
4. 在数据上报区域,单击<上报规则配置>,进入上报规则配置页面。在此页面中,可以选择监控的资产以及安全事件确信度,系统会将符合条件的安全事件上报给安全运营中心。单击<确认>按钮,完成配置。
5. 安全运营中心管理人员完成运维任务后,会生成安全报告和巡检报告,用户可到报告列表中进行下载。
响应工具主要提供报文分析和进程服务管理等常用分析工具的下载链接。
1. 选择 “安全服务>响应工具”,进入响应工具页面。
2. 单击所需工具下方的<下载应用>按钮,可将工具安装文件下载到本地。
重保中心主要用于创建和管理重保任务,方便用户开展护网实战,并支持对护网实战进行归档,以供后期追溯,支持从多个维度(已失陷资产、安全事件、脆弱性列表和攻击者)对重保任务进行持续监测,在重要敏感时期为用户提供全方位的安全保障服务,可以预警和预防信息安全事件,及时发现、处置和报告信息安全事件,提供信息安全技术支持和服务等。
本章包含如下内容:
· 重保任务
· 公告栏
重保中心功能仅在E1148P01及以上版本支持。
用于管理重保任务,包括查看、新增、删除、重启和结束重保任务,以及对重保任务进行护网投屏。
1. 单击Web页面右上角导航栏的
按钮,选择“重保中心 > 重保任务”,进入重保任务管理页面。通过单击右上角
按钮或
按钮,可选择将重保任务以列表或图标的形式展现。
2. 单击重保任务列表左上角的<+新增>按钮,进入新增重保任务页面。
3. 配置新增重保对象的相关参数:
· 配置任务名称及保障时间,单击资源百宝箱下方的<上传附件>按钮,上传重保任务的相关资料。
· 新增重保对象:单击重保对象下方的<新增>按钮,配置新增类型,可在下拉框中选择区域、资产或IP网段,找到系统中存在的风险资产。
○ 新增区域:下拉选择区域,单击<新增>按钮可以新增区域,配置相关参数后,单击操作列下的<保存>按钮,完成新增区域,点击<确认>按钮后,此新建区域将会添加至重保对象列表中。
○ 删除区域:勾选一个或多个区域,单击区域列表左上方的<删除>按钮,或单击指定区域列表操作列下的<删除>按钮,可以删除所选区域。
○ 选择资产:下拉选择资产,单击<选择资产>按钮,跳转至资产列表页面,可以勾选一个或多个资产点击<保存>按钮后,所选资产将会添加至资产列表中。点击<确认>按钮后,所选资产将会添加至重保对象列表中。有关资产列表的详细介绍,请参见资产列表。
○ 删除资产:勾选一个或多个资产,单击资产列表左上方的<删除>按钮,或单击指定资产列表操作列下<删除>按钮,可以删除所选资产。
○ 新增网段:下拉选择IP网段,单击<新增>按钮,配置相关参数后,单击操作列下的<保存>按钮,IP网段新增成功,点击<确认>按钮后,此新建IP网段将会添加至重保对象列表中。
○ 删除网段:勾选一个或多个IP网段,单击IP网段列表左上方的<删除>按钮,或单击指定IP网段列表操作列下<删除>按钮,可以删除所选IP网段。
4. 删除重保对象,选择一个或多个重保对象,单击重保对象上方的<删除>按钮,或单击指定重保对象操作列下的<删除>按钮,可以删除所选重保对象。
5. 完成重保任务的配置后,单击<确认>按钮,重保任务创建成功。
· 任务名称:重保任务的名称。
· 保障时间:重保任务的保障开始与结束时间。
· 资源百宝箱:重保任务相关的资料,单击<上传附件>按钮,可以选择上传相关附件。
· 重保对象:重保任务的保障对象。
· 对象类型:重保对象的类型,取值包括区域、资产和IP网段。当重保对象配置区域、IP网段时,仅统计符合的资产数据,不统计终端数据。
· 设为标靶:可以滑动按钮选择是否将重保对象设为标靶。
· 操作:
○ 删除:点击此按钮可以删除重保对象。
· 新增类型:新增的重保对象的类型,包括区域、资产和IP网段。
· 名称:所选资产、区域的名称。
· IP类型:新增类型为网段时,需要配置IP类型,取值包括IPv4和IPv6。
· 网段类型:选择IP地址的网段类型,取值包括IP地址范围和子网。
○ IP地址范围/子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度。
· 设为标靶:可以滑动按钮选择是否将重保对象作为进行攻击演练的目标。
· 操作:
○ 保存:保存新增的重保对象。
○ 取消:删除未保存的新增的重保对象。
○ 删除:删除已保存的新增的重保对象。
单击Web页面右上角导航栏的
按钮,选择“重保中心 > 重保任务”,进入重保任务管理页面。通过单击右上角
按钮或
按钮,可选择将重保任务以列表或图标的形式展现。单击重保任务列表操作列下或图标左下角的<详情>按钮,可查看重保任务详情,系统主要从已失陷资产、安全事件、脆弱性明细和攻击者多个维度分别展示重保任务详情。
用于查看、管理重保任务的已失陷资产(即安全状态为已失陷的风险资产列表)。关于风险资产的详细介绍,请参见风险资产。
用于查看、管理重保任务的安全事件。有关安全事件的详细介绍,请参见事件台账。
该功能主要用于查看、管理重保任务的脆弱性风险明细。脆弱性明细页面包括漏洞风险、配置风险和攻击者。有关脆弱性明细的详细介绍,请参见脆弱性台账。
用于查看、管理重保任务的攻击者。攻击者页面包括全部攻击队、疑似攻击队、靶标告警和已处理攻击队。有关攻击者的详细介绍,请参见攻击者台账。
· 全部攻击队:展示对应重保对象的所有攻击者的列表信息。
· 疑似攻击队:展示“自定义攻击队”中的IP所对应的攻击者的列表信息。
· 靶标告警:展示设为靶标的重保对象所对应的攻击者的列表信息。
· 已处理攻击队:展示安全事件处理状态为已处理的攻击者列表信息。
· 保障时间:重保任务保障的开始和结束时间。
· 任务状态:重保任务的状态,包括护网备战、护网实战和护网归档三种状态。
· 创建人:重保任务的创建人。
· 创建时间:重保任务的创建时间。
· 资源百宝箱:重保任务相关的资料。
· 操作:根据不同的重保任务状态,分别支持如下操作:
○ 对于护网备战中的重保任务(即任务状态为护网备战、尚未启动的重保任务)可进行如下操作:
§ 编辑:点击此按钮可以进入编辑重保任务界面。
§ 护网投屏:点击此按钮可以跳转至护网大屏页面。
§ 立即开始:点击此按钮可以立即启动重保任务,重保任务进入护网实战状态。
○ 对于护网实战中的重保任务(即任务状态为护网实战的重保任务)可进行如下操作:
§ 详情:点击此按钮可以查看重保任务的详细信息。
§ 护网投屏:点击此按钮可以跳转至护网大屏页面,页面将会展示距离重保任务结束的倒计时、主标语以及弹幕等信息。
§ 结束重保:点击此按钮可以对重保任务进行归档。
○ 对于已结束的重保任务(即任务状态为护网归档的重保任务)可进行如下操作:
§ 下载记录:点击此按钮可以下载重保任务详情列表,列表内容含已失陷资产、安全事件、漏洞风险、配置风险、弱口令、全部攻击队、疑似攻击队、标靶告警和已处理攻击队这9个页签。
§ 重新启动:点击此按钮可以重启重保任务。
§ 删除:点击此按钮可以删除重保任务。
支持按任务名称以精确或模糊方式检索重保任务信息,选择模糊方式,将默认展现所有重保任务信息。
单击重保任务列表操作列下或图标左下角的<编辑>按钮,将进入编辑重保任务界面,可以编辑修改重保任务。
单击处在护网备战状态的重保任务操作列下的<立即开始>按钮或图标右下角的<更多>按钮,选择“立即开始”,可以启动重保任务,启动后重保任务任务状态变为护网实战。
单击处在护网实战状态的重保任务操作列下的<结束重保>按钮或图标右下角的<更多>按钮,选择“结束重保”,可以对重保任务进行归档,归档后重保任务任务状态变为护网归档。
单击处在护网归档状态的重保任务操作列下的<重新启动>按钮或图标右下角的<更多>按钮,选择“重新启动”,将会进入新增重保任务页面,可以重新启动重保任务。关于新增重保任务的详细介绍,请参见“新增重保任务”。
选择一个或多个已归档的重保任务,单击重保任务列表左上方的<删除>按钮,可以删除选中的重保任务。
单击重保任务列表操作列下的<护网投屏>按钮或图标右下角的<更多>按钮选择“护网投屏”,可以对重保任务进行投屏。投屏页面将展示距离重保任务开始/结束的倒计时、主标语及弹幕信息,单击右上角退出大屏模式,可以退回至重保任务界面。
单击重保任务资源百宝箱列下的<资源百宝箱>按钮或图标右下角的<更多>按钮,选择“资源百宝箱”,可以在已上传页面查看或删除已上传的资料,其中,上传资料时,可以在上传资料页面通过点击<上传>按钮或拖拽文件至指定区域进行上传。
1. 单击Web页面右上角导航栏的
按钮,选择“重保中心 > 重保任务”。
2. 单击重保任务左上方<倒计时配置>按钮,进入倒计时配置页面。
3. 设置图标:在图标设置区域,单击<上传文件>按钮,可以上传护网投屏所用的图标,选择默认大小、锁定长宽比或填充方式展现图标。
4. 设置背景:在背景设置区域,单击<上传背景图>按钮,可以上传护网投屏所用的背景图,可以单击已有背景图下方的<使用该背景>按钮选择使用该背景图。
5. 设置标语弹幕:在标语弹幕区域,完成护网投屏所用的标语弹幕相关参数的配置。
6. 单击<确认>,按钮完成倒计时的配置。若单击<恢复默认>按钮,则所有参数恢复为默认值。
· 资源百宝箱只支持上传rar、zip、docx、doc、pdf格式的文件。
· 倒计时配置中设置的背景图片对处于护网归档状态的重保任务无效。
· 最多允许新增两个非归档状态的重保任务。
· 下载重保任务记录文件中,每个页签最多支持导出前一万条数据。
该功能用于展示重保中心的公告详情。
1. 单击Web页面右上方导航栏的
按钮,进入重保中心页面。
2. 选择“重保中心 > 公告栏”,进入公告栏配置页面。
3. 检索公告栏:支持按照多种查询条件对公告栏信息进行检索。其中,公告名称支持精确和模糊查询。
单击公告栏列表左上方的<新增>按钮,完成参数的配置后单击<确认>按钮,可以新增公告。
单击指定公告栏操作列下的<详情>按钮,可以查看该公告详情。
单击指定公告栏操作列下的<编辑>按钮,完成参数的配置后单击<确认>按钮,可以编辑修改该公告。
单击指定公告栏操作列下的<删除>按钮,在删除提示框中,单击<删除>按钮,可以删除该公告;也可以选择一个或多个公告栏,单击公告栏列表左上方的<删除>按钮,可以删除选中的公告栏信息。
提供系统基础配置,包括权限管理、平台升级、数据源配置、关联规则、威胁情报等配置。
本章包含如下内容:
· 全局配置
· 租户管理
· 权限管理
· 个性化定制
· 操作日志
· 平台升级
· 特征库升级
· 授权信息
· 级联配置
· 采集器管理
· 日志源管理
· Agent管理
· 日志导入
· 数据转发
· 数据共享
· 适配规则管理
· 威胁情报
· 白名单
· 关联规则
· UEBA配置
· 弱口令规则
· 告警通知
· 外部设备管理
· 网络诊断
· 报文捕获
该功能主要用于配置系统全局参数,包括网络设置、通知设置、系统设置等。
本章包含如下内容:
· 时间管理
· 平台网络设置
· 系统登录白名单
· 融合平台管理
· 短信业务中心
· 邮件服务器
· 企业微信
· 数据清理
· 告警规则
· 日志备份与恢复
· 系统参数
该功能用于修改部署本平台的所有服务器的系统时间。当服务器系统时间与浏览器(管理PC)、日志源或漏扫联动设备的系统时间不一致时,可能会导致日志分析、查询不准确及漏扫数据时间不一致等问题,用户可通过该页面修改服务器时间。
系统提供以下两种方式修改系统时间:
· 手动设置:手动设置服务器系统时间。
· NTP时间同步:NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致。开启NTP时间同步后,部署本平台的服务器将作为客户端,从NTP服务器获得时间同步。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 支持将“系统时间”、“本地时间”或通过时间控件配置的时间设置为部署本平台的所有服务器的系统时间。其中,“系统时间”表示当前服务器的系统时间,<本地时间>表示管理PC的系统时间。单击对应按钮后,再单击<确认>按钮完成操作。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 勾选“开启NTP时间同步”并配置NTP服务器的IP地址或域名后,单击<确认>按钮完成操作。
· 修改服务器系统时间后平台部分服务将会自动重启,部分业务可能会出现暂时中断现象,请谨慎操作。
· 修改服务器系统时间,对于本地授权,会影响威胁情报更新升级授权的实际有效时长;对于License Server授权,不影响实际有效时长,但是会改变生效时间段。
该功能用于修改本系统的网络参数。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>平台网络设置”,进入平台网络设置页面。
2. 可以配置如下网络参数:
○ DNS服务器设置:配置DNS服务器IP地址。系统向DNS服务器查询域名和IP地址之间的映射关系,实现通过域名访问目标网址。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。
○ 网络代理设置:配置是否启用代理服务器。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。若代理服务器开启了接入认证功能,则必须配置验证用户,并且该用户具有访问外网的权限。
○ 平台IP地址/网关设置:配置系统IP地址及网关。系统首次部署或网络变更时,可在本页面修改系统IP地址及网关。修改完成后系统自动重启,重启后请使用修改后的IP地址访问系统。(仅安全威胁发现与运维管理平台标准版支持配置本功能)
○ Web端口设置:系统缺省使用443端口提供Web服务,管理员也可根据实际需求,修改Web服务端口。修改端口后,需要重新登录系统,并且需要在系统IP地址后加上配置的端口号,如https://10.10.10.1:444。
需要注意,如果系统已启用重定向功能,则Web端口无法修改为443。有关重定向功能的详细介绍,请参见剧本管理联机帮助。(仅安全威胁发现与运维管理平台标准版支持重定向功能,重定向动作及相关配置仅在E1147P01及以上版本支持。)
3. 配置相关参数后,单击<确认>按钮完成操作。
该功能用于限制登录本系统的IP地址,配置白名单后,只有在白名单中的IP地址可以登录本系统,未配置白名单则所有用户均可登录。
参数说明
· 类型:白名单IP地址类型,包括单IP和IP地址范围。
· IP:白名单中的IP地址,可以是单个IP或IP地址段。
· 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
· 创建时间:创建该条白名单的时间
· 更新时间:最近一次修改该条白名单信息的时间。
· 系统登录白名单只支持精确查询,查询时必须输入完整准确的IP地址,如192.168.0.1。
该功能用于新增一条白名单或修改已有白名单配置信息。
1. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
2. 单击<新增>按钮即可新增一条白名单,单击<编辑>按钮即可修改选中的白名单信息。
○ 类型:包括单个IP和IP地址范围。
○ IP:需要加入白名单的IP地址,根据所选类型输入单个IP地址或IP地址范围。输入IP地址段范围,结束IP必须大于起始IP。
○ 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
3. 单击<确认>按钮完成操作。
该功能用于删除白名单信息。若删除的白名单中包含当前已登录的IP地址,该IP地址不会被强制下线,但是登出后不能再登录系统。
1. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
2. 选中多条白名单,单击<删除>按钮即可批量删除白名单,或某条白名单后的<删除>按钮即可删除该条白名单。
该功能用于展示与本平台融合的第三方平台信息,包括安全业务管理平台、U-Center统一运维平台和安全知识大脑深度威胁检测平台。
该功能用于将安全业务管理平台注册到本平台,注册成功后,可在本平台查看安全业务管理平台的相关页面。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>融合平台管理”,进入融合平台管理页面。
2. 在安全业务管理平台区域,单击<注册详情>查看安全业务管理平台信息。有关注册操作的详细介绍请参见安全业务管理平台配套资料。
3. 如需撤销注册信息,可单击<注销注册>按钮,执行撤销注册操作。撤销注册后,本平台将不再展示安全业务管理平台相关的菜单页面。
该功能用于将本平台注册到U-Center统一运维平台,注册成功后,可在U-Center统一运维平台查看本平台相关页面。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>融合平台管理”,进入融合平台管理页面。
2. 在U-Center统一运维平台区域下,单击<注册与恢复>按钮,进入U-Center注册与恢复页面。
3. 配置相关参数后,单击<注册>按钮,完成操作。
4. 注册成功后,如需撤销注册信息,可单击<恢复>按钮,执行撤销注册操作。
参数说明
· 地址:U-Center统一运维平台的IP地址。
· 平台地址:本平台Web服务的IP地址。
注意事项
· 注册和恢复过程中会重启本平台,请谨慎操作。
· 注册成功后,通过浏览器访问本平台时,需要在IP地址后加上csap,如https://10.10.10.1/csap;恢复后访问地址不需要加csap。
该功能用于展示安全知识大脑深度威胁检测平台注册到本平台后的相关注册信息,并提供注销注册功能。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>融合平台管理”,进入融合平台管理页面。
2. 在安全知识大脑深度威胁检测平台区域,单击<注册详情>查看安全知识大脑深度威胁检测平台信息。有关注册操作的详细介绍请参见安全知识大脑深度威胁检测平台配套资料。
3. 如需撤销注册信息,可单击<注销注册>按钮,执行撤销注册操作。撤销注册后,本平台将不再展示安全知识大脑深度威胁检测平台相关的菜单页面。
该功能用于管理短信网关配置信息。配置短信网关后,系统可将信息发送到指定手机。不同的短信网关配置参数不同,请根据实际情况进行配置。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>短信业务中心”,进入短信业务中心页面。
2. 编辑短信平台信息,单击<确认>按钮完成操作。
○ 短信服务接口地址:选择指定的短信平台,配置后,告警信息或处置任务信息将由该平台发出。
○ 数据库名称:调用短信平台的指定数据库的名称。
○ 数据库名称:调用短信平台的指定数据库的地址。
○ 用户名:调用短信平台所需的用户名。
○ 密码:调用短信平台所需的用户密码。
○ 测试短信配置:测试平台短信发送功能的可用性。单击后需要填写短信接收号码,填写后,单击发送测试短信按钮,短信平台将向指定的手机号码发送测试短信。
○ 短信接收号码:短信接收人的手机号码。用于测试短信平台的可用性,测试收件人是否能够收到该平台信息。
注意事项
· 不同短信服务平台需要配置的参数不同,请以实际情况为准。
· 若其他功能页面(如告警策略、剧本管理等)已将短信账号添加为接收用户,更新或删除短信账号后,平台仍继续向原账号发送短信。如需更新接收用户或停止发送短信,请在对应页面中更新或移除原账号。
该功能用于配置邮件服务器,通过配置邮件服务器,系统可将信息发送到指定邮箱。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>邮件服务器”,进入邮件服务器配置页面。
2. 编辑邮件服务器信息,单击<确认>按钮完成操作。
○ 协议:电子邮件传输协议,其中,Exchange协议的邮件服务仅支持Exchange Server 2016版本。请根据邮件服务器实际情况选择。
○ 开启SSL:选择是否加密传输邮件,协议选择SMTP时才需要配置该参数。
○ 邮件服务器地址:邮件服务器的IPv4地址或URL。
○ 端口号:邮箱服务器端口号。
○ 邮箱账号:邮箱服务器上已注册的邮箱账号,作为发件人发送告警邮件或处置任务邮件。
○ 邮箱密码:邮箱账号对应的密码。
○ 测试邮箱配置:测试邮件服务器是否可用。单击后弹出邮箱接收地址输入框,配置地址后,单击发送测试邮件按钮,邮件服务器将向指定的地址发送测试邮件。
○ 邮箱接收地址:用于测试邮件服务器可用性的收件人邮箱,测试收件人是否能够收到该邮件服务器的邮件。
注意事项
若其他功能页面(如告警策略、剧本管理等)已将邮箱账号添加为接收用户,更新或删除邮箱账号后,平台仍继续向原账号发送邮件。如需更新接收用户或停止发送邮件,请在对应页面中更新或移除原账号。
该功能用于配置企业微信,通过配置企业微信,系统可通过企业微信发送信息。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>企业微信”,进入企业微信配置页面。
2. 编辑企业微信信息,单击<确认>按钮完成操作。
○ 企业ID:企业微信中当前企业的ID。
○ 应用ID:企业微信的应用ID,可在企业微信管理端的“应用与小程序> 应用”中获取。
○ 应用密钥:企业微信的应用密钥,可在企业微信管理端的“应用与小程序> 应用”中获取。
○ 测试企业微信:测试企业微信是否可用。
(企业微信功能仅在E1147P03及以上版本支持。)
数据清理功能可自动周期性检查并清理系统中的原始日志,当日志存储容量或存储时间达到阈值条件时会触发删除告警,系统将删除存储时间最早的原始日志,直到原始日志的存储空间或存储天数降到清理阈值以下。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>数据清理”,进入日志存储空间设置页面。
2. 设置日志的优先级:在日志接收设置区域,可滑动开启“优先级配置”功能,配置各日志类型的日志采集优先级。单击<设置优先级>按钮,进入设置日志优先级页面。可通过拖动图标,调整不同日志类型的优先级,排名越靠前,优先级越高。单击<保存>按钮,完成配置。系统将按照优先级由高到低的顺序对不同类型的日志进行采集。
3. 编辑日志的存储空间清除阈值:在日志存储空间设置区域,可编辑存储空间清除阈值(百分比),日志存储量占系统总容量的百分比达到空间阈值后,系统将清理存储时间最早的日志,直到日志存储百分比小于空间阈值。空间阈值配置范围为50%~90%,缺省为90%。
4. 设置各日志类型的数据最大保存天数:在日志存储时间设置区域,可设置各日志类型的数据最大保存天数。不同日志类型系统设置不同的初始最大保存天数,日志存储时间达到设置的保存天数后将删除存储时间最早的原始日志。不同的日志类型保存时长不同,请根据页面提示设置。选择某一类日志后面的<编辑>按钮修改日志的保存时间,单击<确认>按钮完成操作。
· 日志优先级:系统将按照优先级由高到低的顺序对不同类型的日志进行采集。当采集的日志量达到阈值上限时,可能存在某个较低优先级类型的日志整体无法采集的风险,请用户根据实际需求,谨慎配置该功能。
· 设置日志的优先级的功能仅在E1146P04及以上版本支持。
该功能用于监控平台运行状态,如内存使用率、采集器状态等,当监控项满足告警规则时,系统将生成告警提示信息,方便管理员第一时间了解并处理异常。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>告警规则”,进入告警规则配置页面。
2. 单击<编辑>按钮即可修改告警规则。
○ 规则名称:告警规则名称,即监控对象。
○ 告警阈值(%):系统CPU、内存、磁盘(数据)、磁盘(系统)的使用率达到设置的阈值时触发告警。
○ 告警级别:根据告警严重程度,可以选择严重、警告、通知。
○ 告警描述:监控对象异常情况描述。
○ 通知方式:支持通过弹框、邮件、短信三种方式向管理员发送告警信息。
○ 通知责任人:选择向指定的管理员发送告警信息。通知方式选择邮件或短信时,需要配置该参数。
3. 配置完成后,单击<确认>完成操作。
注意事项
○ 通知方式选择邮件和短信方式时,必须先为管理员用户配置正确的邮箱和联系电话。有关用户配置的详细介绍请参见用户管理。
○ 不配置任何通知方式时,不展示告警信息,但可以在系统日志页面查看异常日志记录。
该功能用于备份与恢复平台产生的大量日志数据,为用户提供更加灵活的方式管理日志数据。
该功能用于周期性检查并备份系统中的原始日志。配置正确的FTP服务器连接参数并启用备份功能后,系统将于每日凌晨2:00打包前一天的日志数据并将其转储至目标FTP服务器上。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
2. 选择“日志备份”页签,设置相关FTP连接参数后,单击<启用备份>按钮,系统将测试该FTP服务器是否可用,可用则启用备份功能,否则提示启用失败。
○ FTP服务器:将系统中的日志转储到该FTP服务器的对应目录下。
○ 开始时间:设置日志备份功能启用日期,该日期必须晚于当前日期。
○ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
○ 密码:FTP的登录密码,用于校验FTP连接可用性。
3. 启用备份功能成功后,可单击<停用>按钮停用数据备份。
注意事项
不支持将日志备份到Windows版本FTP服务器。
该功能用于从目标FTP服务器上恢复系统日志数据。配置日志恢复任务后,系统将从FTP服务器中选择指定时间区间的日志备份文件进行恢复,恢复的日志数据保存在本系统数据库中。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
2. 选择“日志恢复”页签,设置相关FTP连接参数和所要恢复的日志备份的时间区间,点击<开始恢复>按钮,系统将测试该FTP服务器是否可访问,成功访问则执行恢复任务,恢复记录将在页面下方展示。
○ FTP服务器:用于存放备份日志文件的FTP服务器路径。
○ 恢复时间段:在该时间段内的备份的日志文件将被恢复到本系统。
○ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
○ 密码:FTP的登录密码,用于校验FTP连接可用性。
注意事项
不支持从Windows版本FTP服务器恢复日志。
该功能用于设置用户登录本系统的相关参数。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>系统参数”,进入系统参数设置页面。
2. 编辑登录相关参数,单击<确认>按钮完成操作。
○ 用户闲置超时时长:若用户在超时时间内没有操作Web界面,系统将会强制断开该用户的Web连接,使该用户下线。缺省超时时长为1800秒。
○ 允许登录失败次数:允许连续登录失败次数,缺省允许3次。
○ 登录失败锁定时长:达到允许连续登录失败次数后,需要等待锁定时间后才能重新登录。缺省锁定时长为600秒。
○ 相同用户同时登录:选择是否允许同一个用户通过不同的客户端同时登录本系统。
该功能用于管理组织机构和人员信息。
本章包含如下内容:
· 人员管理
· 组织机构
组织管理功能仅在E1148P03及以上版本支持。
该功能用于管理人员信息。
1. 选择“系统设置 > 组织管理 > 人员管理”,进入人员管理页面。
2. 支持按照用户名检索人员信息,用户名支持模糊查询。
单击列表左上方的<同步>按钮,进入同步平台用户页面,支持按照用户名和同步状态检索平台用户。勾选需要同步的用户,单击<确认>按钮,完成平台用户的同步操作。
单击操作列下的<编辑>按钮,可以修改选中的用户信息。
选中多个用户,单击列表左上方的<删除>按钮可以批量删除用户,单击操作列下的<删除>按钮可以删除对应的用户。
· 用户名:用户的名称。
· 用户全称:用户的全称。
· 用户角色:用户的角色。
· 创建时间:用户的创建时间。
· 电话:用户的电话。
· 邮箱:用户的邮箱。
用户关联了组织后,不能被删除。如需删除,则需要先解除关联关系。
该功能用于管理组织机构信息。
1. 选择“系统设置 > 组织管理 > 组织机构”,进入组织机构页面。
2. 支持按照组织名称、组织类型和行业分类检索组织信息,其中组织名称支持模糊查询。
单击列表左上方的<新增>按钮,完成组织信息配置并为其分配负责人,单击<确认>按钮,完成组织的新增操作。
单击操作列下的<编辑>按钮,可以修改选中的组织信息。
选中多个组织,单击列表左上方的<删除>按钮可以批量删除组织,单击操作列下的<删除>按钮可以删除对应的组织。
单击列表左上方的<导入>按钮选择下载组织导入模板,在下载的组织导入模板填写组织信息,单击列表左上方的<导入>按钮选择组织导入,通过点击上传或拖拽文件至导入区域方式上传文件,单击<确认>按钮。
单击列表左上方的<导入>按钮选择操作结果,可以查看最近一次导入组织的操作时间和操作结果信息。
单击列表左上方的<导出>按钮,可以导出满足查询条件的组织列表,若无查询条件,则导出所有组织的列表。
基础信息
○ 组织名称:组织机构的名称。
○ 组织类型:组织机构所属类型。
○ 行业分类:组织机构所属行业。
○ 地理位置:组织机构的地理位置。
○ 行政区划编码:组织机构所属地理位置的行政区划编码。
○ 经纬度:组织机构所属地理位置的经度和纬度。经纬度之间用,(英文逗号)隔开(经度在前,纬度在后), 形如“经度,纬度”,经纬度的取值范围为东经:0~180;西经:-180~0;北纬:0~90;南纬:-90~0;支持精确度为小数点后6位。
○ 行政主管部门:组织机构所属的行政主管部门名称。
○ 组织级别:组织的级别,不同的组织级别需要配置不同的参数:
§ 当为一级组织时,需要进行组织负责人的配置:指定一级负责人(必填)、二级负责人、三级负责人、四级负责人、五级负责人和网络安全联系人。
§ 当为二级组织时,需要进行监管组织、是否跨平台的参数配置,并指定下级平台或组织负责人。
§ 当为三级组织时,需要进行监管组织的参数配置,并指定组织负责人。
○ 组织负责人:组织机构的组织负责人。
§ 一级负责人/下级平台:当是否跨平台为是时,显示为级联下级平台的平台名称;当是否跨平台为否时,显示为组织机构所配置的一级负责人。
§ 二级负责人:组织机构所配置的二级负责人。
§ 三级负责人:组织机构所配置的三级负责人。
§ 四级负责人:组织机构所配置的四级负责人。
§ 五级负责人:组织机构所配置的五级负责人。
§ 网络安全联络人:新增组织机构时,若组织负责人配置了网络安全联络人则显示为配置的负责人;若未配置网络安全联络人,则显示为组织负责人的最后一级负责人。
○ 人员同步:单击<人员同步>按钮,可以将平台用户同步为组织机构的管理人员。
○ 监管组织:组织的上级组织,一级组织无需配置监管组织,二级组织的监管组织为一级组织,三级组织的监管组织为二级组织。
○ 是否跨平台:组织机构为一级和三级组织时,是否跨平台默认为否;若组织机构为二级组织时可选择是否跨平台,当是否跨平台为否时, 组织机构负责人为本平台人员管理中已同步的用户,当是否跨平台为是时,需选择级联设置中与下级平台级联成功的下级平台。
○ 统一社会信用代码:组织机构的统一社会信用代码。
○ 组织机构官方网址:组织机构的官方网址。
○ 组织机构邮编:组织机构的邮编。
○ 组织机构所属级别:组织机构的所属级别。
○ 组织机构描述:组织机构的主要业务、服务对象、服务范围等描述。
应急人信息
○ 应急人:组织机构所设置的应急人的名字。
○ 应急人电话:组织机构所设置的应急人的联系电话。
○ 应急人邮箱:组织机构所设置的应急人的联系邮箱。
○ 应急人地址:组织机构所设置的应急人的联系地址。
○ 应急人职务:组织机构所设置的应急人的职务名称。
○ 网安分管领导:组织机构所属的网安分管领导的名字。
○ 网安分管领导电话:组织机构所属的网安分管领导的联系电话。
○ 网安分管领导邮箱:组织机构所属的网安分管领导的联系邮箱。
○ 网安分管领导职务:组织机构所属的网安分管领导的职务名称。
组织外网IP
○ 单击<新增>按钮,配置相关参数完成组织外网IP的新增操作。
○ 选中多个组织外网IP,单击组织外网IP列表左上方的<删除>按钮,可以批量删除组织外网IP。单击组织外网IP列表操作列下的<删除>按钮,可以删除指定的组织外网IP。
注意事项
○ 当前登录用户只能修改所属组织的组织名称,admin用户登录可修改默认租户下的全部组织名称。
○ 仅默认租户组织关联的负责人登录才能使用通报相关功能。
该功能用于管理租户信息,通过多租户机制实现租户间的数据隔离。系统的租户分为默认租户和自定义租户:
· 默认租户:系统提供一个默认租户,该租户不能被编辑或删除。默认租户下的用户可以查看的统计数据如下:
○ 默认租户下,具备预定义角色的用户,可查看全网数据。
○ 默认租户下,不具备预定义角色的用户,只能查看默认租户下的数据。
· 自定义租户:用户根据需求配置的租户。自定义租户下的用户根据角色赋予的菜单权限,只能查看本租户的数据。
本章包含如下内容:
· 新增租户
· 删除租户
· 注意事项
1. 选择“系统设置 > 系统配置> 租户管理”,进入租户管理页面。
2. 单击<新增>按钮新增租户,单击<编辑>按钮修改选中的租户信息。
○ 租户名称:租户的唯一标识。
○ 租户描述:租户的描述信息,合理的描述信息有利于管理员快速了解和识别租户。
3. 单击<确认>按钮完成新增一个租户。
1. 选择“系统设置 > 系统配置> 租户管理”,进入租户管理页面。
2. 选中多个租户,单击<删除>按钮批量删除租户,单击操作列的<删除>按钮删除一个租户。
升级到支持租户功能的版本后,系统原有的配置(采集器、日志源等)默认属于默认租户,新增租户后,必须为其分配采集器,否则该租户无法添加日志源。
该功能用于管理用户及角色信息。
本章包含如下内容:
· 用户管理
· 角色管理
该功能用于管理用户信息,包括新增、修改、删除用户及查询用户信息。
本系统中的用户分为预定义用户和自定义用户,预定义用户不能删除,但可以修改其密码、电话、邮箱及登录状态。预定义用户如下:
· admin:登录账号/密码为admin/secCsap@12345,角色为管理员,所属租户为默认租户。
· sysAdmin:登录账号/密码为sysAdmin/sysCsap@12345,角色为系统管理员,所属租户为默认租户。
· buzAdmin:登录账号/密码为buzAdmin/buzCsap@12345,角色为业务管理员,所属租户为默认租户。
· auditAdmin:登录账号/密码为auditAdmin/auditCsap@12345,角色为审计管理员,所属租户为默认租户。(仅在E1146P03及以上版本支持该用户)
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 单击<新增>按钮,输入用户信息后,单击<确认>完成操作。
○ 所属租户:用户所属租户。
○ 用户名:登录用户名称。
○ 用户全称:用户全称可与用户名相同。
○ 密码:登录密码。
○ 确认密码:再次输入密码。
○ 电话:用户联系电话号码,用于接收系统信息。
○ 邮箱:用户邮箱地址,用于接收系统邮件。
○ 企业微信:用户企业微信,用于接收系统通知。(企业微信方式仅在E1147P03及以上版本支持)
○ 用户角色:选择用户所属角色,为用户指定角色即可赋予用户该角色所拥有的权限。
○ 登录状态:默认为正常,状态为锁定时不可登录。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 选中要编辑的用户,单击<编辑>按钮,修改用户信息后,单击<确认>完成操作
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. 选中多条用户信息,单击<删除>按钮批量删除用户,单击操作列的<删除>按钮删除一个用户。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. admin用户可以单击操作列的<修改密码>按钮修改自己的登录密码。其中,admin用户除了可以修改自己的密码外,还可以在不知道其他用户旧密码的情况下重置其登录密码。
1. 选择 “系统设置 > 系统配置> 权限管理 > 用户管理”进入用户管理页面。
2. admin用户可以单击<密码策略>按钮,根据需要开启密码长度、复杂度检查及密码过期提醒功能。配置完参数后,单击<确认>按钮,完成配置。
○ 开启密码长度校验:开启密码长度校验后,当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。
○ 开启密码组合检查:设置用户密码的组成元素的组合类型,包括大写字母、小写字母、数字和特殊字符。例如,同时选中四种类型,则设置的密码中必须同时包含大写字母、小写字母、数字和特殊字符。开启密码组合检查后,当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
○ 开启密码过期提醒:设置密码有效期及过期提醒时间。在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。密码过期后,登录时必须按页面提示修改密码才能登录。
修改密码与密码策略功能仅admin用户可以进行配置。
该功能用于管理角色及其菜单权限,包括新增、修改、删除角色,并为角色分配权限。
本系统中的角色分为预定义角色和自定义角色,预定义角色不能编辑或删除,自定义角色由用户根据需求新增并赋予权限。系统预定义角色如下:
· 管理员:拥有系统全部权限,包括新增、删除和修改租户、用户及角色配置。
· 系统管理员:拥有“综合概览”、“系统设置”下部分系统基础功能的管理权限。
· 业务管理员:拥有“综合概览”、“威胁中心”、“分析中心”、“处置中心”、“资产中心”、“报表中心”、“安全服务”和“系统设置”下部分业务相关功能的管理权限。
· 审计管理员:拥有“系统设置”下部分日志功能的管理权限。(仅在E1146P03及以上版本支持该角色)
· 租户管理员:拥有“系统设置> 系统配置 > 权限管理”页面的配置权限,“综合概览”、“分析中心”查看权限,以及“处置中心”、“资产中心”、“报表中心”、“安全服务”下部分管理权限。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 单击<新增>按钮,输入角色名称和描述,点击<确认>完成操作。
○ 角色名称:角色的唯一标识。
○ 角色描述:角色的描述信息,合理的描述信息有助于管理员快速了解该角色。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选择一个角色,单击操作列的<编辑>按钮修改角色描述信息后,单击<确认>完成操作。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选中要编辑的角色,点击<权限设置>按钮进入角色权限页面,勾选相应的区域权限和菜单权限后,单击<确认>完成权限分配。
1. 选择“系统设置 > 系统配置> 权限管理 > 角色管理”页签进入角色管理页面。
2. 选中一个或多个角色,单击<删除>按钮批量删除角色,单击操作列的<删除>按钮删除一个角色。
个性化定制功能用于自定义系统名称和系统Logo等信息。
1. 选择“系统设置 >系统配置 > 个性化定制”,进入个性化定制页面。
2. 修改相关参数后,单击<确认>按钮完成操作。
○ 公司名称:设置登录页面CopyRight处的公司名称,默认为新华三技术有限公司。
○ 系统名称:设置展示在登录界面和导航树上方的系统名称,默认为安全威胁发现与运营管理平台。
○ 首页定制:选择登录后展示的页面,默认展示“综合态势”页面。
○ 安全度最低分:安全度是系统根据全网综合安全状态实时计算出的评分,可辅助用户评估全网安全状态。设置安全度最低分后,当实际安全度低于该值时,页面展示为设置最低分。有关安全度评分规则的详细介绍请参见综合态势。
○ Logo定制:设置系统名称前面的Logo图片,支持png、jpg、jpeg格式,推荐图片像素为400*100。选择通用则登录页面及导航树上方用同一张图片,选择定制可分别设置登录页面及导航树上方的Logo图片。
该页面下支持展示操作日志和系统日志。
· 操作日志:用于记录用户登录系统后所执行的动作,如登录系统、退出系统、访问页面,可查询和导出操作日志。
· 系统日志:用于记录系统中硬件、软件和系统问题,如日志采集器离线、内存利用率超过90%等,可查询和导出系统日志。
本功能仅在E1146P02及以上版本支持。
1. 选择 “系统设置 > 系统配置 > 操作日志”,选择操作日志页签,进入操作日志页面。
2. 支持按照操作人、IP地址等查询条件检索操作日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为xlsx。
相关说明:
· 操作来源:下发操作的来源,包括本系统和安全运营中心。其中,当用户将本系统交由安全运营中心托管时,安全运营中心可以通过反向连接登录到本系统并下发操作,此时的操作来源即为安全运营中心。
1. 选择“系统设置 > 系统配置 > 操作日志”,选择系统日志页签,进入系统日志页面。
2. 支持按模块名称、级别、统计周期等查询条件检索系统日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为.xlsx。
本功能用于在线升级系统软件版本。版本文件请官网下载获取。
1. 选择“系统设置 > 系统配置 > 平台升级”,进入平台升级页面。
2. 单击<环境校验>按钮,系统将会检查基础服务组件是否正常。校验通过可继续升级,否则请联系技术人员处理异常。
3. 环境校验通过后,单击<开始升级>按钮,选择正确的版本文件上传到系统。
4. 上传成功后,系统开始升级,升级过程中不允许刷新页面。升级完成后将展示各组件升级结果。
注意事项
在升级过程中会弹出采集器离线的告警信息,此时直接关闭弹窗即可。升级成功后采集器会自动恢复在线状态。
该功能用于对系统提供的威胁情报库进行版本升级。随着网络攻击不断的变化和发展,需要及时升级系统中的特征库,升级文件可在官方网站下载获取。
威胁情报库包括IP情报、域名情报、URL情报、MD5情报四类情报库。威胁情报配合关联规则、UEBA规则等功能,帮助系统识别渗透、数据盗取等网络安全事件及异常流量。有关情报的详细介绍,请参见“系统设置>威胁情报”。
1. 选择“系统设置 > 系统配置 > 特征库升级”,进入特征库升级页面。
2. 威胁情报支持通过连接官网在线升级。其中,在线升级包括定期在线升级和立即在线升级。打开“在线同步”开关后,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库;单击<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
3. 同时,管理员可以使用本地保存的各个特征库文件手动离线升级系统上的特征库版本。单击<导入>按钮,选择最新版本特征库文件上传到系统进行离线升级。当特征库在线升级失败或者系统无法访问官网时,可以通过离线升级的方式进行特征库升级。
4. 单击<升级记录>按钮,查看历史升级记录。
· E1147P02及以上版本仅支持升级威胁情报库,不再支持升级案例库和安全检测特征识别库。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令,查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
对于基于License的功能,例如基础平台、威胁情报更新升级、关联分析、通报中心等特性,用户必须申请并安装License激活文件后才能使用。系统提供以下两种方式获取License授权:
· 本地授权:在本系统上安装License激活文件来获取授权。
· 通过License Server授权:用户需要先在License Server(授权服务器)上安装激活文件来获得License授权,系统作为License Client,向License Server申请授权。License Server(授权服务器)是一款授权管理软件,具有集中管理授权、集中分发授权等功能。关于License Server的安装和配置请参见产品的安装手册。
两种授权方式可以互相切换,切换方法如下:
· License Server授权切换为本地授权:进入系统登录界面,单击“产品注册”选择“本地授权”,导入License激活文件且激活成功后,授权方式自动切换为本地授权,并释放原有的License Server授权。登录系统后,可在“系统设置 > 系统配置 > 授权信息”页面查看本地授权信息。
· 本地授权切换为License Server授权:进入系统登录界面,单击“产品注册”选择“License Server授权”,配置连接参数连接授权服务器,并成功申请授权后,授权方式自动切换为License Server授权,并释放原有的本地授权。登录系统后,可在“系统设置 > 系统配置 > 授权信息”页面查看License Server授权信息。
本章包含如下内容:
· 本地授权
· 注意事项
1. 进入系统登录界面,单击“产品注册”,选择“本地授权”。
2. 进入本地授权页面后,在“主机信息文件下载”区域,单击<下载主机信息>按钮,下载主机信息文件。
3. 在“前往官网申请注册信息”区域,单击<前往官网>按钮,可跳转到H3C官网License激活申请页面。使用主机信息文件、授权序列号申请License激活文件。
4. 有关License激活文件申请的详细介绍,可在“前往官网申请注册信息”区域,将鼠标悬浮到<操作指南>上方,扫描悬浮框中的二维码查看《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》,或者通过单击二维码下方的“License使用指南”链接跳转到官网手册页面查看该手册。
5. 申请成功后,在“License 文件授权注册”区域,单击<选择本地License文件>按钮,即可导入授权激活文件,完成上述操作后即可登录系统。
6. 选择“系统配置 > 授权信息”进入授权信息页面,可查看已申请的授权信息。
7. 用户也可以在授权信息页面,单击<导入本地授权>,进入本地授权注册页面,下载主机信息文件或导入激活文件。
8. 鼠标悬浮到<操作指南>上方,可通过扫描悬浮框中二维码查看《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》,或者通过单击二维码下方的“License使用指南”链接跳转到官网手册页面查看该手册。
9. 鼠标悬浮到<许可信息>上方,可查看授权码(申请基础平台授权时平台分配的授权码)以及SN码(硬件设备的设备码),如需复制上述信息,可单击显示信息后的<复制>按钮。
○ 授权名称:特性授权函名称。
○ 授权类型:特性的授权类型。
○ 是否授权:特性是否已被授权使用。
○ 有效期:特性有效使用时间。
“前往官网”、“操作指南”、“许可信息”功能仅在E1147P01及以上版本支持。
1. 进入系统登录界面,单击“产品注册”选择“License Server授权”,配置连接参数连接授权服务器,并成功申请授权后,登录系统。
2. 选择“系统设置 > 系统配置 > 授权信息”,进入授权信息页面,可查看已申请的授权信息。用户还可以根据需要申请新的授权或释放已有授权。
○ 授权名称:特性授权函名称。
○ 授权类型:特性的授权类型。
○ 是否授权:特性是否已被授权使用。
○ 有效期:特性有效使用时间。
○ 已申请授权数:已申请的特性授权数。
○ 可申请授权数:还可以申请的特性授权数。
· 修改服务器系统时间,对于本地授权,会影响威胁情报更新升级授权的实际有效时长;对于License Server授权,不影响实际有效时长,但是会改变生效时间段。
· 对于License Server授权方式,必须先在登录界面,“产品注册”处配置License Server连接参数,并连接Server成功,才能正常使用。
对于License Server授权方式,释放“基础平台软件授权函”时,会断开与License Server的连接,并释放所有授权,退出到登录页面
在某些大型组网环境中,不同平台之间存在数据共享的关系,下级平台与上级平台连接成功后可以将数据共享给上级平台,上级平台能够查看任意下级平台的相关数据,如安全事件、脆弱性风险等。上下级平台之间均可以通过管理连接状态或同步状态来传输或者终止传输数据。
本章包含如下内容:
· 查看当前平台配置
· 配置上级平台
· 配置下级平台
○ 查看下级平台信息
○ 删除级联平台
级联配置(查看当前平台配置、配置上级平台、配置下级平台)功能仅在E1147P03及以上版本支持。
1. 选择“系统设置 > 级联设置”,单击<当前平台配置>按钮,进入当前平台配置页面。
2. 配置当前平台的名称、责任人信息以及与下级平台的级联口令。
3. 单击<确认>按钮,完成操作。
相关说明:
○ 级联口令:当前平台与下级平台的级联密码。
1. 选择“系统设置 > 级联设置”,单击<上级平台配置>按钮,进入上级平台配置页面。
2. 配置上级平台的参数、与上级平台同步的内容以及级联状态。
○ 上级平台IP:与当前平台级联的上级平台的IP地址。
○ 级联状态:显示当前平台与上级平台的级联状态。
○ 级联口令:当前平台与上级平台的级联密码。
○ 同步内容:配置当前平台与上级平台需要同步的内容。
§ 安全事件:选择安全事件的确信度,系统会将符合的安全事件同步到上级平台。
§ 漏洞风险:选择漏洞风险的等级,系统会将符合的漏洞风险同步到上级平台。
§ 配置风险:选择配置风险的等级,系统会将符合的配置风险同步到上级平台。
§ 弱口令:选择开启或关闭弱口令同步功能。开启本功能后,系统会将符合的弱口令风险同步到上级平台。
○ 级联开关:用于开启或关闭当前平台与上一级平台的级联功能。
○ 数据同步:用于开启或关闭当前平台与上一级平台的数据内容同步功能。
3. 单击<确认>按钮,完成操作。
本功能用于查看当前平台的所有下级平台的信息、取消或恢复与下级平台的级联以及删除下级平台的同步数据。
1. 选择“系统设置 > 级联设置”,可查看当前平台的所有下级平台信息。
1. 选择“系统设置 > 级联设置”,进入“级联设置”页面。
2. 单击操作列的<取消级联>按钮或<级联>按钮,可以取消或恢复与下级平台的级联。
该功能用于查看下级平台的同步数据,包括安全事件、漏洞风险、配置风险和弱口令信息。
系统支持导出同步数据以及根据用户关心的查询条件对同步数据进行检索。
1. 单击面板右上角的
按钮,选择指定的下级平台,单击<前往平台>按钮。
2. 进入下级平台页面,查看下级平台同步的安全事件、漏洞风险、配置风险和弱口令信息。
· 在弱口令界面中,当滑动选择“显示账号密码”时,系统会弹出验证窗口,对当前登录的管理员账号密码进行验证。
· 仅当当前平台与下级平台存在“已连接”的级联状态时,面板右上方才会出现
按钮。
1. 选择“系统设置 > 级联设置”,进入“级联设置”页面。
2. 单击操作列的<删除>按钮,可以删除所选下级平台同步的安全事件和脆弱性明细(包括漏洞风险、配置风险及弱口令)数据。
该功能用于管理采集器信息。采集器的数量及注册由License控制,用户不能新增或删除采集器,但可通过是否关联日志源来控制采集器是否执行采集任务。
采集器采集日志数据有主动采集和被动采集两种采集方式:
· 被动采集:采集器被动接收有具有日志外发功能的设备上报的日志信息,如H3C的防火墙可通过信息中心功能将日志数据发送到采集器,采集器被动被动接收日志。
· 主动采集:采集器可主动从数据库、共享文件等日志仓库中获取日志进行分析。
本章包含如下内容:
· 编辑采集器
· 监控汇总
· 采集器名称:采集器的名称。
· 采集器状态:采集器的状态信息,包在线和离线,处于离线状态的日志采集器不能执行采集任务。
· 采集器IP:采集器的IP地址。
· 注册时间:采集器注册到本系统的时间。
· 更新时间:采集器状态更新时间,当采集器状态变为离线的时间可根据采集器状态更新时间定为采集器发生异常的时间。
· 采集方式:采集器的采集方式,包括主动采集和被动采集。
· 描述:采集器描述信息。
· 统计信息:提供统计按钮,点击进入监控汇总页面查看该采集器采集情况汇总。
· 操作:提供编辑按钮,点击可修改相应采集器的配置信息。
该功能用于修改采集器配置。
1. 选择“系统设置 > 数据源配置 > 采集器状态”,进入采集器状态页面。
2. 选择需要修改的采集器,点击<编辑>按钮进入编辑采集器页面修改配置信息。
○ 采集器名称:采集器的名称。缺省情况下,采集器名称为“采集器所在服务器IP地址:采集方式”,如“186.64.6.105:active”。
○ 采集器描述:采集器的描述信息,通过合理编写描述信息,便于管理员快速理解和识别该采集器的作用。
○ 所属租户:采集器所属租户,缺省属于默认租户。
3. 点击<确认>按钮完成操作。点击<取消>按钮可取消修改。
该功能用于显示选中采集器的日志采集情况,包括所有关联日志源上报日志的总数目以及时间趋势图,并支持按时间以及设备IP进行筛选查询。
1. 选择“系统设置 > 数据源配置 > 采集器状态”,进入采集器状态页面。
2. 点击指定采集器右侧“统计信息”列下的<统计>按钮,进入监控汇总页面,可查看选中采集器的采集信息。 缺省情况下展示所有关联日志源最近1天的日志上报情况,用户可根据查询条件进行筛选:
○ 查询:输入设备IP地址或选择统计周期,点击<查询>按钮将按条件可筛选统计信息。
○ 重置:点击<重置>按钮可重置查询条件,设备IP默认为空,统计周期默认为“最近1天”。
· 日志源:日志源名称。
· 日志源IP:端口:日志源IP地址和端口号。
· 平均速率:日志源上报日志的平均速率。
· 总数目:日志源在统计周期内上报日志的数目。
按设备IP进行查询时,如果日志源已被删除或取消关联关系,则显示该日志源上传的历史数据,若无历史数据则显示"暂无数据"。
该功能用于管理接入系统的日志源信息,包括对日志源进行查看、新增、删除、修改等功能。将日志源与采集器关联后,日志源便可通过采集器将日志上报给系统以便系统进行分析和监控网络状态。系统支持以下两种日志源:
· 主动采集日志源:与主动采集类型的采集器关联的日志源称为主动采集日志源,如数据库、共享文件服务器等。
· 被动采集日志源:与被动采集类型的采集器关联的日志源称为被动采集日志源,如H3C的防火墙、IPS设备等。
本章包含如下内容:
· 主动采集
○ 新增数据库日志源
○ 修改数据库日志源
· 被动采集
该功能用于管理主动采集日志源,包括主动日志源的增加、删除、修改及查询操作。主动采集日志源包括数据库日志源和共享文件日志源。
配置主动采集日志源后,采集器将定期访问日主动采集志源获取日志数据。
该功能用于添加数据库日志源。日志数据存储在各种关系型数据库中,采集器必须先连接上数据库才能成功添加数据库日志源并读取日志数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“数据库日志源”。
3. 填写数据库日志源的相关信息后,单击<确认>按钮完成操作。
○ 名称:数据库日志源的名称。
○ 数据库名称:存放日志信息的数据库的名称。
○ 数据库类型:数据库的类型。
○ 数据库IP:数据库的IP地址。
○ 端口号:数据库的端口号。
○ 用户名:采集器登录数据库使用的用户名。
○ 密码:采集器登录数据库使用的密码。
○ 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与该日志源关联的采集器IP地址。
○ 描述:数据库日志源的描述信息。
○ 数据库日志源表信息:先配置第一条表项的参数,完成配置后,单击保存按钮。如需添加多条表项,再点击<新增>按钮,配置需要上报的日志信息,以便采集器可以根据这些信息获取日志数据。
○ 表名:采集器从该表格中读取日志数据。
○ 主键名:存放日志的表格的主键名称,用于标记上一次读取地址,避免重复读取。
○ 设备类型:生成日志的设备的设备类型。
○ 编码方式:日志的编码方式,可通过下拉菜单选择编码方式。
○ 厂商:生成日志的设备的生产厂商。
○ 设备型号:生成日志的设备的设备型号。
○ 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于修改数据库日志源的配置信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 选择需要修改的日志源,单击<编辑>按钮,进入编辑日志源页面,页面参数说明请参见新增数据库日志源。
3. 填写数据库日志源的相关信息后,单击<确认>按钮完成操作。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于增加数共享文件日志源。日志数据存储在FTP服务器中,采集器必须先连接上服务器才能成功添加共享文件日志源并读取日志文件数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 单击<新增>按钮,进入主动采集日志源信息页面,选择新增“共享文件日志源”。
3. 填写共享文件日志源的相关信息后,单击<确认>按钮完成操作。
○ 名称:共享文件日志源的名称。
○ 上报协议:该日志源上报日志的协议类型。
○ FTP地址:存放日志文件的FTP服务器的IP地址。
○ FTP端口:FTP服务器的端口号。
○ 用户名,采集器登录FTP服务器使用的用户名。
○ 密码:采集器登录FTP服务器使用的密码。
○ 采集器名称:与该日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与该日志源关联的采集器IP地址。
○ 写入类型:可选择文件和文件夹,文件表示获取文件路径的日志文件;文件夹表示获取文件路径下所有文件夹中的日志文件。
○ 文件路径:日志文件的存放路径,采集器根据此路径获取目标日志文件。写入类型选择“文件”时,文件路径必须填写目标日志文件的绝对路径。
○ 文件编码:日志文件中日志的编码方式。
○ 设备类型:生成该日志文件的设备的类型。
○ 厂商:生成该日志文件的设备的生产厂商。
○ 设备型号:生成该日志文件的设备的型号。
○ 描述:文件共享日志源的描述信息,通过编写合理的描述信息,有助于管理员快速理解和识别该日志源。
○ 选择日志类型:当选择某类日志时,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 写入类型选择文件夹时,建议该路径下只存放厂商、设备类型、设备型号均相同的日志文件,否则会导致日志解析结果不准确。
该功能用于增加共享文件日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 选择需要修改的日志源,单击<编辑>按钮进入编辑日志源页面, 页面参数说明请参见新增共享文件日志源。
3. 填写日志源的相关信息后,单击<确认>按钮完成操作。
· 处于离线状态的采集器不能进行关联。
· 如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 写入类型选择文件夹时,建议该路径下只存放厂商、设备类型、设备型号均相同的日志文件,否则会导致日志解析结果不准确。
该功能用于批量导入主动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 单击<导入>按钮,选择数据库日志源导入或共享文件日志源导入,进入相应的导入页面后,单击“XXX日志源模板下载”,下载数据库日志源或共享文件日志源导入模板。
3. 下载对应的模板后,按模板要求填写日志源信息并保存。
4. 点击上传或拖拽模板文件到页面中,单击<确认>按钮,完成导入操作。
5. 再次单击<导入>按钮,选择操作结果,可以查看导入的操作结果。
该功能用于导出主动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 选择需要导出的数据库日志源或共享文件日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
此功能用于用户查看已添加日志源信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集页面。
2. 输入日志源名称、选择日志源采集类型或启用状态,点击<查询>按钮筛选日志源信息,默认显示所有日志源信息。
3. 点击<重置>按钮可重置查询条件,默认查询条件为空。
该功能用于删除主动日志源,删除后采集器不再采集该日志源的日志数据。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 主动采集”进入主动采集日志源页面。
2. 选择需要删除的日志源,点击操作列的<删除>按钮即可删除该日志源;选中一条或多条日志源,单击的<删除>按钮可批量删除日志源。
该功能用于管理被动采集日志源,包括日志源的增加、删除、修改及查询操作。配置被动采集日志源后,日志源设备将定期主动上报日志数据到采集器。
该功能用于用户新增被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<新增>按钮进入新增日志源页面。
3. 填写被动采集日志源相关信息,配置完成后单击<确认>按钮完成操作。
○ 名称:日志源名称。
○ IP:日志源的IPv4地址。
○ 设备类型:日志源设备类型。
○ 厂商:日志源设备的生产厂商。
○ 设备型号:日志源设备型号。
○ 采集器名称:与日志源关联的采集器名称,选择采集器后,日志源将上报日志信息给该采集器。
○ 采集器IP:与日志源关联的采集器的IP地址。
○ 新增端口信息:先在第一条空白的端口信息表项中配置日志源上报的日志的相关信息,完成配置后单击操作列下的保存按钮。如需添加多条端口信息,需要在完成第一条表项配置后,单击新增按钮,继续添加。
§ 上报协议:该日志源上报日志的协议类型。
§ 上报端口:采集器使用该端口接收日志源上报的日志数据。
§ 编码:日志的编码方式。
§ 日志类型:选择指定类型后,采集器将采集该类日志数据。不同类型的设备默认选择的日志类型不同,请以设备实际情况为准。
· 对于同一日志源通过多种协议上报的日志数据,采集器必须使用不同端口接收。
· 添加被动采集日志源时,如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志为二进制格式(如Netstream、AAA服务上报的日志)时,对应的字符集必须选择bin,否则会导致解析失败。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
· 系统当前仅支持解析SNMPv2c协议的trap日志。
· 当SNMP协议产生的日志中含有中文时,中文将以十六进制的格式进行展示。
该功能用于修改被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<编辑>按钮进入编辑日志源页面,页面参数说明请参见新增被动采集日志源。
3. 修改日志源相关信息。配置完成后单击<确认>按钮完成操作。
· 对于同一日志源通过多种服务上报的日志数据,采集器必须使用不同端口接收。
· 添加被动采集日志源时,如设备类型、厂商、设备型号下拉菜单中均无选项,则表示系统暂不支持适配该日志源,可联系H3C技术人员进行定制化适配。
· 处于离线状态的采集器不能进行关联。
· 当日志源上报的日志类型为二进制格式(如Netstream、AAA服务上报的日志)时,对应的字符集必须选择bin,否则解析失败。
· 设备型号、类型、厂商均指产生日志的设备的信息,配置错误会导致日志解析结果不准确。
该功能用于批量导入被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 单击<导入>按钮选择“被动日志源导入”,进入导入被动日志源页面后,单击<被动日志源导入模板下载>,然后按模板要求填写日志源信息并保存。
3. 单击上传或拖拽模板文件到页面中,单击<确认>按钮,完成导入操作。
4. 再次单击<导入>按钮,选择“操作结果”,查看导入操作结果。
该功能用于导出被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择需要导出的日志源,单击<导出>按钮,完成导出操作。导出文件为Excel格式。
该功能用于查看已添加的日志源信息。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 可通过输入日志源IP地址、选择设备类型、厂商、设备型号等条件筛选日志源信息,默认显示所有日志源信息。
3. 点击<重置>按钮可重置查询条件,默认查询条件为空。
该功能用于删除被动采集日志源。
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择需要删除的日志源,点击操作列的<删除>按钮即可删除该日志源;选中一条或多条日志源,单击的<删除>按钮可批量删除日志源。
该功能用于对流经威胁检测探针设备的报文进行捕获。方便管理员对报文进行分析。(本功能仅在E1147P03及以上版本支持。)
1. 选择“系统设置> 数据源配置 > 日志源管理 > 被动采集”进入被动采集页面。
2. 选择一个威胁检测探针类型的日志源,单击操作列下<特征报文捕获>按钮,进入特征报文捕获配置页面。配置相关参数。
3. 完成参数配置后,单击<下发>按钮,平台会将特征报文捕获配置下发到威胁检测探针设备。
○ 上报抓包文件周期:威胁检测探针设备上送抓包文件到本平台的间隔时间。
○ 上报抓包文件最大值:每个捕获文件的大小上限。
○ PCAP包缓存报文数:每个捕获文件中可以缓存的报文个数。
○ 开启上报抓包文件功能:用于选择开启或关闭威胁检测探针设备上的抓包文件功能。
○ Netconf over SSH 参数:单击滑块,配置NETCONF over SSH参数。
§ 录入方式:选择Netconf over SSH 参数的配置方式,支持手动配置以及模板导入。
§ 用户名:通过SSH方式登录设备时使用的用户名。
§ 密码:通过SSH方式登录设备时使用的密码。
§ 端口:通过SSH方式登录设备时使用的端口号。
§ 超时时间:表示平台在与设备通信时等待其响应的最长时间,单位为秒。
§ 重试次数:表示平台在与设备通信发生故障时的最大重试次数。
○ Netconf over SOAP 参数:单击滑块,配置NETCONF over SOAP参数。
§ 录入方式:选择Netconf over SOAP参数的配置方式,支持手动配置以及模板导入。
§ 访问URL协议:选择开启基于HTTPS或HTTP的NETCONF over SOAP功能。
§ 端口:SOAP协议使用的端口号。访问URL协议选择HTTPS时默认端口为832,选择HTTP时默认端口为80。
§ 访问路径:由访问URL协议、主机名或IP地址、端口号以及根路径后构成的完整SOAP/HTTP访问路径,通过该路径访问vManager的SOAP/HTTP接口。
§ 用户名:通过SOAP方式登录设备时使用的用户名。
§ 密码:通过SOAP方式登录设备时使用的密码。
Agent日志采集代理,用于采集不能主动外发日志的主机、服务、中间件等产生的日志信息。 例如,一些基于Windows、Linux系统的主机或部署在主机上的数据库、中间件等服务不支持以syslog方式发送系统日志,此时, 可以通过在主机上安装Agent采集代理,Agent将采集这些主机、数据库、中间件产生的日志(包括操作系统运行状态日志,如CPU利用率、磁盘利用率等),并以syslog方式发给日志采集器,采集器再上报到本平台进行分析和展示。
注意事项
· 仅默认租户下具有Agent管理菜单权限的用户可以下载Agent。
· Agent首次安装成功后属于默认租户,请联系管理员为其重新分配所属租户。
· 仅Agent 1.0.17及以后版本支持自动升级功能。如需使用Agent自动升级功能,请先手动卸载老版本Agent,然后在“Agent下载”页面下载并安装最新版本Agent。
本章包含如下内容:
· 查询Agent
· 启用日志采集功能
· 停用日志采集功能
· 开启自动升级功能
· 关闭自动升级功能
· 删除Agent
· 查看采集情况
· 删除采集对象
· 数据库
· 关键文件
· 关键注册表
· 自定义文件
· Agent下载
该功能用于管理Agent采集代理,包括查看Agent日志采集信息统计、修改Agent信息及启用状态、配置Agent关联的采集对象信息及删除Agent。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,进入Agent管理页面,可执行如下操作:
2. 支持按Agent名称、部署主机IP、Agent状态等信息检索Agent信息,输入查询条件后单击<查询>按钮可查看满足条件的Agent信息,单击<重置>按钮可重置查询条件。
参数说明
· Agent名称:Agent注册成功后平台给该Agent分配的名称,格式为“安装该Agent代理的主机IP地址_编号”,例如“1.1.1.1_0”。
· 部署主机IP:部署安装Agent代理软件的主机IP地址。
· 部署主机系统:部署安装Agent代理软件的主机操作系统类型。
· Agent状态:标识Agent是否在线。
· 采集器IP:Agent关联的采集器IP地址,Agent采集到的日志将发送给该采集器。
· 注册时间:Agent首次注册到平台的时间。
· 软件版本:Agent当前软件版本号。
· 采集状态:标识Agent是否启用。只有处于启用状态的Agent才能采集日志。
· 自动升级:标识Agent自动升级功能是否启用。只有处于启用状态的Agent才能自动升级。
· 升级状态:Agent版本升级结果。
1. 单击统计按钮可进入监控汇总页面查看指定统计周期内,该Agent所采集到的日志统计信息。
1. 选择一个或多个采集状态为“停用”的Agent,单击<启用采集>按钮批量启用Agent日志采集功能。
1. 选择一个或多个采集状态为“启用”的Agent,单击<停用采集>按钮批量停用Agent采集功能,停用采集后,Agent将不再采集和上报日志。
1. 选择一个或多个自动升级状态为“停用”的Agent,单击<启用自动升级>按钮批量开启Agent版本自动升级功能。
1. 选择一个或多个自动升级状态为“启用”的Agent,单击<停用自动升级>按钮批量关闭Agent版本自动升级功能。
1. 对于未升级或升级失败的Agent,单击<手动升级>按钮立即升级Agent的软件版本。
1. 单击操作列编辑按钮,可以修改当前Agent的名称及所属租户。
1. 单击操作列配置按钮进入配置Agent管理页面,可新增或修改Agent关联的采集对象的配置信息。
1. 选择一个或多个Agent,单击<删除>按钮批量删除Agent;单击操作列<删除>按钮删除一个Agent。
该页面用于展示选中Agent代理的日志采集情况,包括该Agent关联的所有采集对象上报的日志条数以及日志上报趋势。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击统计按钮即可进入监控汇总页面查看采集情况。
3. 支持按类型(如tomcat)、统计周期筛选采集数据,点击<重置>按钮可重置查询条件。
· 类型:采集对象的类型,如mysql、tomcat等。
· 总数目:显示各个采集对象在统计周期内上报日志的条数。
该功能用于管理Agent关联的采集对象的配置信息。Agent可采集目标主机上关键注册表、关键文件的操作日志、自定义文件中的日志信息,以及部署在主机上的数据库(MySQL、Oracle等)的运行日志。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击配置按钮进入配置Agent管理页面。
3. 新增或修改采集对象:选择对应页签,单击新增按钮可新增一个对应的采集对象并关联到当前Agent,单击编辑按钮可修改当前Agent关联的采集对象的配置信息。
注意事项
只有“在线”状态的Agent可以新增或修改采集对象配置信息。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent管理”页签,单击进入Agent管理页面。
2. 选择需要查看的Agent,点击配置按钮进入配置Agent管理页面。
3. 选择对应页签,点击删除按钮可删除对应的对象的配置信息。
该功能用于管理Agent关联的数据库配置信息。配置数据库相关参数后,Agent将定时采集该数据库的日志信息。一个Agent可关联多种类型的数据库,但每种类型数据库仅支持关联一个。
1. 在Agent管理页面,选择数据库页签。
2. 单击<添加>按钮新增一个数据库配置,配置相关参数后点击<确认>按钮完成操作。
○ 数据库类型:需要采集日志的数据类型。
○ 端口号:数据库的端口号。
○ 用户名:Agent连接数据库使用的用户名。
○ 密码:Agent连接数据库使用的密码。
○ 数据库名:需要采集日志的数据库的名称,MongoDB、DB2、Oracle类型的数据需要配置该参数。
○ 数据库权限:Agent连接数据库使用的账号权限,只有Oracle类型的数据需要配置该参数。
○ 慢查询时间:指定慢查询日志的时间,SQLServer、MongoDB、DB2、Oracle类型的数据需要配置该参数。
○ 模板:日志采集的模版,该参数仅用于维护人员调试使用。
○ 认证协议:Agent连接数据库时的验证协议,只有MongoDB类型的数据需要配置该参数。
○ 登录触发器:选择是否采集用户登录日志,SQLServer、Oracle类型的数据需要配置该参数。
该功能用于管理Agent关联的关键文件路径信息。配置关键文件路径后,Agent将定时采集该路径下的文件操作日志。一个Agent最多可配置50个关键文件路径。
1. 在Agent管理页面,选择关键文件页签。
2. 单击<添加>按钮新增一个关键文件配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:目标日志文件路径,可填写到文件夹或具体到文件名,例如,/home、/home/file.txt,采集范围包括该路径下所有文件和子目录的文件。对于linux版本agent采集代理,该路径下包含的子目录数不能超过500个,否则无法保存配置。
该功能用于管理Agent关联的关键注册表路径信息,配置关键注册表路径后,Agent将定时采集该路径下的注册表操作日志。一个Agent最多可配置50个关键注册表路径。
1. 在Agent管理页面,选择关键注册表页签。
2. 单击<添加>按钮新增一个关键注册表配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:关键注册表路径,支持填写到具体注册表项,如:HKEY_CURRENT_CONFIG\Software。采集范围包括该路径下所有文件和子目录。
该功能用于管理Agent关联的自定义文件路径信息。配置自定义文件的存放路径后,Agent将定时采集该文件中新增的日志信息。一个Agent最多可配置50个自定义文件路径。
1. 在Agent管理页面,选择自定义文件页签。
2. 单击<添加>按钮新增一个自定义文件配置,配置相关参数后点击<确认>按钮完成操作。
○ 文件路径:自定义日志文件存放路径,可填写到文件夹或具体到文件名,例如/home/*、/home/file.txt。采集范围为该路径下所有文件(不包括子目录)中的日志信息。 如需采集某个文件夹下所有文件中的日志,路径必须以*结尾,如/home/*,若只配置文件夹路径,未以*结尾,Agent将不进行日志采集。
○ 读取方式:支持追加读取和从头读取,追加读取表示只采集该文件中新增信息;从头读取表示采集该文件中所有信息(已采集的信息不会重复采集)。
该功能用于下载最新版本Agent采集代理软件,并支持在线预览Agent安装指导。
1. 选择“系统设置 > 数据源配置 > Agent管理 > Agent下载”页签,单击进入Agent下载页面,可执行如下操作:
2. 在线预览/下载帮助文档:提供Agent采集代理软件安装指导在线预览和下载功能,用于指导用户安装Agent软件。
3. 下载Agent:点击对应版本即可下载相应版本Agent采集代理软件。
该功能用于导入离线日志,可导入本地.log或.txt格式的日志文件到系统进行分析。当不能通过主动或被动日志源上传日志时,可将日志文件存储到本地再上传到本系统。仅支持处理日志文件中日志产生时间与当前平台系统时间相差24小时以内的日志,超过24小时的日志会被系统忽略不会进行解析。
本章包含如下内容:
· 导入日志文件
· 删除日志导入记录
该功能用于导入本地日志文件,系统支持导入.log或.txt格式的日志文件,导入的日志文件大小必须大于0KB,否则导入失败。
1. 选择“系统设置 > 数据源配置 > 日志导入”进入日志导入页面。
2. 单击<新增>按钮进入新增导入任务页面。
3. 配置相关参数后,单击<确认>按钮完成操作。
○ 日志源名称:导入日志的日志源名称。
○ 设备类型:生成该日志文件的设备的类型。
○ 厂商:生成该日志文件的设备的生产厂商。
○ 设备型号:生成该日志文件的设备的型号。
○ 文件编码:该日志文件中日志的编码方式。
○ 上报协议:上传该日志文件的协议类型。
○ 日志文件:选择需要上传的日志文件。一次只能上传一个日志文件。
该功能用于删除日志导入记录。
1. 选择“系统设置 > 数据源配置 > 日志导入”进入日志导入页面。
2. 选中多条日志导入记录,单击<删除>按钮即可批量删除导入记录;单击操作列的<删除>按钮即可删除选中的导入记录。
该操作仅会删除导入记录,不会影响日志文件上传到采集器。
该功能用于将本平台收集的原始日志、安全事件、平台系统日志和操作日志等数据转发到其他日志分析平台或日志接收系统。
本章包含如下内容:
· 新增转发任务
· 删除转发任务
该功能用于新增数据转发任务。
1. 选择“系统设置 > 数据源配置 > 数据转发”进入数据转发页面。
2. 点击<新增>按钮可新增日志转发任务。其中,转发任务中支持配置的参数与软件版本有关,请以实际情况为准。
3. 根据实际需求,配置转发基础参数,如任务名称、目的IP等。
4. 选择转发内容,系统支持转发原始日志、安全事件、平台系统日志和平台操作日志。选择指定日志后,可单击<配置转发字段>按钮,进入配置转发字段页面,定制该日志转发的具体字段。
5. 在配置转发字段页面,可通过配置过滤条件,对日志进行筛选。在“转发字段”区域,可以通过单击具体转发字段右侧的<X>按钮,将其移动到“待选字段”区域,系统将不会转发该字段。
6. 点击<确认>按钮完成操作。
相关说明:
○ 目的IP:接收本平台转发的日志数据的目的IPv4地址。
○ 目的端口:接收本平台转发的日志数据的目的端口。
○ 日志协议:平台转发日志使用的日志协议。(不需要配置)
○ 传输协议:平台转发日志使用的传输协议。(不需要配置)
该功能用于删除日志转发任务。删除指定任务后,平台将不再按该任务中配置的参数转发日志。
1. 选择“系统设置 > 数据源配置 > 数据转发”进入数据转发页面。
2. 选中多个任务,点击<删除>按钮可批量删多个数据转发任务;选择一个任务,点击操作列<删除>按钮,可删除对应的转发任务。
该功能用于对第三方资产进行监控和管理。通过数据共享任务,系统可从第三方平台批量同步资产信息,同步信息如下:
· 资产:资产基本信息,包括资产名称、资产IP、资产类型、生产厂商。
· 区域:资产所属区域信息。
· 漏洞:资产存在的漏洞信息。
· 弱口令:资产存在的弱口令信息。
· 合规检查:资产存在的基线合规检查信息,合规检查数据来源及介绍请参见H3C服务器安全监测系统和终端安全管理系统配套资料。
· 配置风险:资产存在的配置风险信息。
数据共享配置步骤如下:
1. 选择“配置中心 > 数据源配置 > 数据共享”进入数据共享页面。
2. 单击<新增>按钮,进入新增数据共享任务页面,配置相关参数。
3. 单击<测试连接>按钮,可测试第三方平台是否可用,提高系统可靠性。
4. 单击<确认>按钮,完成数据共享任务的配置。
5. 选中多条任务,单击<删除>按钮可批量删除任务;单击指定任务右侧操作列下的<删除>按钮,可删除选中的任务。
6. 单击指定任务右侧操作列下的<编辑>按钮,可修改选中任务的配置信息。
7. 单击指定任务右侧操作列下的<同步>按钮,可触发第三方平台同步数据到本平台。
相关说明:
· 数据来源:资产信息同步来源,选择数据来源后,系统将从该第三方平台获取资产信息。
· 接口URL :系统通过该接口URL访问第三方平台。
· 用户名:系统登录第三方平台使用的用户名。
· 密码:系统登录第三方平台使用的密码。
· 同步数据:需要获取的资产信息,不同的第三方平台可同步的资产信息不同,请以界面实际情况为准。
· 区域:数据共享任务同步的资产所属的区域。
· 执行时间:
○ 立即同步:配置完成后系统将立即执行任务。
○ 每天:需要指定任务执行时间,例如,指定任务执行时间为20:30:00,系统将会在每天20:30:00执行任务。
· 数据共享功能仅在E1147P02及以上版本支持。
· 从iMC EPS 鹰视系统同步资产和区域时,若同步区域失败,则同步的资产放置在数据共享任务配置的区域中。
· 从iMC EIA 终端智能接入和终端安全管理系统同步资产时,系统根据资产IP自动匹配所属区域,若匹配失败,则同步的资产放置在数据共享任务配置的区域中。
日志适配规则可对采集到的日志进行归类,并从中提取重要字段信息,解析成本平台能够识别的格式。通过适配规则管理模块,用户可灵活管理平台日志适配规则的版本。
1. 选择“系统设置 > 数据源配置 > 适配规则管理”进入适配规则管理页面。
2. 在当前版本信息区域,单击<导入文件>按钮,选择日志适配规则文件(格式为.dat)上传到本平台即可升级日志适配规则。
3. 升级成功后,可在“历史操作记录”页面查看操作记录。
仅默认租户下的管理员角色的用户拥有版本升级权限。
威胁情报是包含了上下文信息的关于威胁的知识。通过威胁情报可以识别渗透、数据盗取等网络安全事件,以及攻击者的动机、攻击过程及所用设施等。 威胁情报通过与关联规则联动可快速检测出可疑流量,以便管理员提前判断是否需要在网络中增强相关安全防护能力。
本章包含如下内容:
· IP情报
· 域名情报
· URL情报
· MD5情报
· 云端配置
该功能用于展示IP情报信息。系统支持预定义和自定义IP情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义IP情报信息,同时支持启用或停用预定义情报。
· 查询情报:输入IP地址后单击按钮即可查看相应的IP情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
用户可对自定义情报执行以下操作:
· 新增情报:选择“自定义IP情报”页签,单击<新增>按钮进入新增自定义IP情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:选择“自定义IP情报”页签,输入IP后单击按钮即可查看相应的IP情报信息。
· 启用情报:选择“自定义IP情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择“自定义IP情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:选择“自定义IP情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义IP情报库页面,单击“自定义IP情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
· 删除情报:选择“自定义IP情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
新增自定义情报参数说明:
· IP地址:用于对网络流量进行过滤。
· 情报类型:该IP地址对应的攻击分类。
· 方向:该IP地址被标识为特定攻击时的匹配方向,包括源、目的及双向。
· 可靠性:该自定义IP情报的准确度,值越大准确度越高。
· 端口:用于对网络流量的目的端口进行过滤。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示域名情报信息。系统支持预定义和自定义域名情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义域名情报信息,同时支持启用或停用预定义情报。
· 查询情报:输入域名后单击按钮即可查看相应的域名情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:选择“自定义域名情报”页签,单击<新增>按钮进入新增自定义域名情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:选择“自定义域名情报”页签,输入域名后单击按钮即可查看相应的域名情报信息。
· 启用情报:选择“自定义域名情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择“自定义域名情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:选择“自定义域名情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义域名情报库页面,单击“自定义域名情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
· 删除情报:选择“自定义域名情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
新增自定义情报参数说明:
· 域名:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该域名对应的攻击分类。
· 可靠性:该自定义域名情报的准确度,值越大准确度越高。
· 匹配方式:系统对域名匹配的方式,包括精确匹配和模糊匹配。选择精确匹配时,网络流量的域名必须与域名情报完全一致才认为匹配成功;选择模糊匹配时,只需要网络流量的根域名与域名情报一致即认为匹配成功。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示URL情报信息。系统支持预定义和自定义URL情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义URL情报信息,同时支持启用或停用预定义情报。
· 查询情报:输入URL后单击按钮即可查看相应的URL情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:选择“自定义URL情报”页签,单击<新增>按钮进入新增自定义URL情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:输入URL后单击<查询>按钮即可查看相应的URL情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:单击<导入>按钮,选择“导入”,进入导入自定义URL情报库页面,单击“自定义URL情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
· 删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
新增自定义情报参数说明:
· URL:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该URL对应的攻击分类。
· 可靠性:该自定义URL情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
该功能用于展示MD5情报信息。系统支持预定义和自定义MD5情报。其中,预定义情报由系统获取H3C官网上最新的情报库生成,自定义情报通过用户手动添加或导入的方式生成。
该功能用于查询预定义MD5情报信息,同时支持启用或停用预定义情报。
· 查询情报:输入MD5值后单击按钮即可查看相应的MD5情报信息。
· 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
· 新增情报:选择“自定义MD5情报”页签,单击<新增>按钮进入新增自定义MD5情报页面,配置相关参数后单击<确认>按钮完操作。
· 查询情报:选择“自定义MD5情报”页签,输入MD5后单击按钮即可查看相应的MD5情报信息。
· 启用情报:选择“自定义MD5情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
· 停用情报:选择“自定义MD5情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
· 批量导入情报:选择“自定义MD5情报”页签,选择“导入”,进入导入自定义MD5情报页面,单击“自定义MD5情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
· 删除情报:选择“自定义MD5情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
新增自定义情报参数说明:
· MD5值:恶意文件MD5值,格式为32位16进制字符串。
· 家族名称:MD5值对应的病毒家族名称。
· 危害等级:该MD5值对应的危害等级,值越大危害越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· MD5情报仅支持精确查询,不支持模糊查询。
该功能用于配置本平台与云端平台(即云端情报中心)对接,对接成功后,平台可定期从云端平台获取情报信息,丰富平台情报库。 同时,支持情报溯源和情报误报反馈功能,详细介绍请参见安全事件详情。
用户必须购买并安装威胁情报更新升级License后,平台才能从云端平台同步情报信息,有关License的详细介绍,请参见《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》。
1. 选择“系统设置 > 威胁情报> 云端配置”,进入云端配置页面。
2. 打开同步状态开关。缺省情况下,同步状态开关已打开,无需修改。
注意事项
· 本平台与云端平台之间必须网络互通,否则无法使用本功能。
· 关闭同步状态开关后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
· 威胁情报更新升级License过期后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
当用户通过查看安全事件发现存在误报的情况时,可配置白名单功能,将某类安全事件加入白名单,系统将不展示该类事件,降低误报率。配置白名单后,系统将对关联规则或UEBA规则输出的安全事件进行白名单匹配, 匹配上白名单的事件不会在安全事件页面展示,未匹配白名单的事件则进行分析和丰富,并在安全事件页面展示。 有关关联规则和UEBA规则的介绍请参见“配置中心 > 关联规则”和“配置中心 > UEBA规则”。
白名单启用规则如下:
· 启用白名单后,对采集器上报的事件先进行关联规则或UEBA规则匹配,再进行白名单匹配,若匹配白名单成功系统将不展示事件;停用或删除该白名单后,系统将重新展示该事件。
· 启用白名单后,已经展示事件也会做白名单匹配,若匹配成功则不再展示该事件,但不会从系统中删除该事件数据;停用或删除该白名单后,该事件将会重新展示。
本章包含如下内容:
· 新增/编辑白名单
· 删除白名单
该功能用于新增或修改白名单信息。建议通过安全事件的白名单图标新增白名单,各参数字段将自动关联,不需要手动配置。 用户可根据实际情况选择安全事件进行过滤。
1. 选择“系统设置 > 白名单”进入白名单配置页面。
2. 单击<新增>按钮可新增一条白名单;单击<编辑>按钮可修改选中白名单的配置信息。
3. 进入新增或编辑白名单配置页面,配置相关参数后单击<确认>按钮完操作(各参数的支持情况与软件版本有关,请以实际情况为准)。
相关说明:
○ 事件等级:安全事件的威胁等级(可多选),匹配该等级的事件将不在安全事件页面进行展示。
○ 确信度:安全事件的可信程度(可多选),匹配该确信度的事件将不在安全事件页面进行展示。
○ 规则名称:可选择关联规则和和UEBA规则(可多选),配置规则名称后,命中该关联规则或UEBA规则的事件将不在安全事件页面进行展示。
○ 情报IOC:通过情报类型的关联规则输出的安全事件,将用情报中的域名、IP地址或MD5值作为该安全事件的情报IOC。对于匹配该情报IOC的事件将不在安全事件页面进行展示。
○ 访问域名:安全事件的访问域名,例如www.example.com。最多支持输入10个域名,域名之间使用“|”分隔。
○ 访问URL:安全事件的访问URL,例如www.example.com/index。最多支持输入10个URL,URL之间使用“|”分隔。
○ 源端口:安全事件的源端口,支持配置为端口或端口范围(例如20-3000)。
○ 目的端口:安全事件的目的端口,支持配置为端口或端口范围(例如20-3000)。
○ 源IP:安全事件的源IP地址,匹配该源IP的事件将不在安全事件页面进行展示。
§ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
§ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
§ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
○ 目的IP:安全事件的目的IP地址,匹配该目的IP的事件将不在安全事件页面进行展示。
§ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
§ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
§ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
○ 启用状态:选择是否启用该白名单。
4. 对于已配置的白名单可通过<启用>和<停用>按钮改变其运行状态。
注意事项
· 添加“漏洞扫描系统”类型的资产成功后,系统将自动生成一个名为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单,避免系统将漏扫设备的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产进行关联删除。
· 资产探针注册成功后,系统将自动生成一个名为资产探针+IP(如“资产探针192.168.0.1”)的白名单,避免系统将探针的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产探针进行关联删除。
· 当规则名称中包含如下规则时,源IP参数将失效:外网拒绝服务攻击、内网弱口令登录、主机配置风险、外网扫描侦测、外网暴力破解、外网扫描探测攻击、外网协议暴力破解、外网应用暴力破解、外网拒绝服务。
· 当规则名称中包含如下规则时,目的IP参数将失效:内网漏洞利用攻击、内网暴力破解、内网畸形报文攻击、内网扫描攻击、内网访问风险主机、内网扫描侦测、恶意主机外联、恶意域名事件、恶意URL事件、恶意DGA域名通信、恶意DNS隧道通信、内网协议暴力破解、内网应用暴力破解、对外协议暴力破解、内网拒绝服务。
其中,恶意DGA域名通信、恶意DNS隧道通信规则仅安全威胁发现与运维管理平台增强版支持。
· 当规则名称中包含如下规则时,情报IOC参数将失效:恶意DGA域名通信、恶意DNS隧道通信、内网口令爆破、内网DOS攻击、内网渗透、内网探测、内网端口扫描、内网Web漏洞爆破、内网Web扫描、对外暴力破解、对外拒绝服务攻击、对外端口扫描、对外Web漏洞爆破、对外Web扫描和知识大脑推理攻击。
其中,恶意DGA域名通信、恶意DNS隧道通信规则仅安全威胁发现与运维管理平台增强版支持。
该功能用于删除白名单信息。
1. 选择“系统设置 > 白名单”进入白名单配置页面。
2. 选择一条或多条白名单,单击页面上方<删除>按钮批量删除白名单;单击指定白名单操作列下的<删除>按钮可删除选中白名单。
注意事项
· 名称为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产后,系统将自动删除该白名单。有关资产的详细介绍请参见“资产中心 > 资产配置”。
· 名称为资产探针+IP(如“资产探针192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产探针后,系统将自动删除该白名单。有关资产探针的详细介绍请参见“资产中心 > 资产探针”。
· 若白名单中“规则名称”字段引用的关联规则和UEBA规则均被删除,那么,该白名单也将被同步删除。
该功能主要用于配置、管理资源池。资源池包括静态资源池和动态资源池。
本章包含如下内容:
· 静态资源池
· 动态资源池
资源池管理功能仅在E1148P05及以上版本支持。
该功能用于管理静态资源池。静态资源池是一系列内置函数集合,内置函数可以对一个或多个字段值进行处理,得到一个输出值。静态资源可以用于动态资源和关联规则,通过引用函数,对输入字段进行灵活处理,满足筛选。
预定义静态资源包括:
· 在IP范围内:判断IP是否在配置的IP范围内。用于处理IP相关字段,如:源IP,目的IP,产生日志设备IP,NAT转换源IP,NAT转换目的IP,认证服务设备IP,接入用户IP,登录IP,终端IP。在IP范围内结果返回True,否则结果返回False。
· 在时间范围内:判断时间是否在配置的星期、时分秒时间范围内。用于处理时间相关字段,如:日志产生时间,开始时间,结束时间,首次发生时间,最近发生时间,接入时间,病毒处理时间。在时间范围内结果返回True,否则结果返回False。
· 属于恶意IP:判断IP是否属于配置的恶意IP情报分类。支持处理字段:源IP,目的IP。IP在IP情报中,且情报分类在配置的IP情报分类中,结果返回True,否则结果返回False。
· 属于恶意URL:判断URL是否属于配置的恶意URL情报分类。支持处理字段:访问URL。URL在URL情报中,且情报分类在配置的URL情报分类中,结果返回True,否则结果返回False。
· 属于恶意域名:判断域名是否属于配置的恶意域名情报分类。支持处理字段:网站域名,访问域名。域名在域名情报中,且情报分类在配置的域名情报分类中,结果返回True,否则结果返回False。
· 属于恶意MD5:判断MD5是否属于MD5情报。支持处理字段:文件MD5,MD5。MD5在MD5情报中,结果返回True,否则结果返回False。
· 提取主域名:提取域名的主域名,例如:s1.abc.com,主域名为abc.com。
· 计数:计算每个分组结果集的行数。
· 求不同个数:计算每个分组结果集中,统计字段的不同值个数。
· 统计条件求不同个数:计算每个分组结果集中,统计字段相同值个数符合配置条件的不同值个数。
· 求和:计算每个分组结果集中,统计字段累加求和。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 求平均:计算每个分组结果集中,统计字段的平均值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 最大值:计算每个分组结果集中,统计字段的最大值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
· 最小值:计算每个分组结果集中,统计字段的最小值。支持处理字段:上行字节数,下行字节数,上行报文数,下行报文数。
1. 选择“系统设置 > 规则配置 > 资源池管理”,进入静态资源池页面。
2. 支持按名称、分类检索静态资源,输入查询条件,单击<查询>按钮页面将展示满足查询条件的静态资源信息; 单击<重置>按钮可重置查询条件。默认展示所有静态资源。
单击静态资源列表操作列下的<详情>按钮,可查看静态资源的详细信息。
单击静态资源列表操作列下的<编辑>按钮,可修改静态资源的参数配置。
部分预定义静态资源可配置参数,通过复制可自定义静态资源,配置相关参数。单击静态资源列表操作列下的<复制>按钮,可快速创建与此静态资源相似的静态资源。
○ 在IP范围内:可配置网段范围,可选IP类型:IPv4、IPv6,可选网段类型:IP地址范围、子网。最多可配置10条。
○ 在时间范围内:可配置星期与时分秒。
○ 属于恶意IP:可多选配置IP情报的情报类型。
○ 属于恶意URL:可多选配置URL情报的情报类型。
○ 属于恶意域名:可多选配置域名情报的情报类型。
○ 统计条件求不同个数:可配置字段相同值统计次数条件。
单击静态资源列表操作列下的<删除>按钮,可删除对应的静态资源。或勾选多个自定义静态资源,单击左上角的<删除>按钮,可批量删除静态资源。
· 名称:静态资源的名称。
· 描述内容:静态资源的描述信息,合理的描述信息有利于管理员快速了解该资源。
· 分类:静态资源的分类。
· 函数名:静态资源的函数名。
· 支持输入字段:静态资源支持输入的字段。
· 返回类型:函数在执行完成后返回的值的数据类型。。
· 资源类型:静态资源的类型,包括自定义和预定义。
· 仅自定义类型的静态资源支持编辑和删除操作,预定义类型的静态资源不支持编辑和删除操作。
· 编辑自定义静态资源时,若该资源已经被动态资源池或者关联规则引用。编辑后,变更会立即影响引用该资源的动态资源或关联规则的数据匹配逻辑。
该功能用于管理动态资源池。动态资源池是自定义的统计数据集合,对数据来源包括日志和安全事件进行处理,输出统计结果。统计结果支持导出,以及可被关联规则引用。
1. 选择“系统设置 > 规则配置 > 资源池管理”,选择进入动态资源池页面。
2. 支持按名称、引用静态资源和启用状态检索动态资源,输入查询条件,单击<查询>按钮页面将展示满足查询条件的动态资源信息; 单击<重置>按钮可重置查询条件。默认展示所有动态资源。
单击动态资源列表操作列下的<详情>按钮,可查看动态资源的详细信息。
单击动态资源列表操作列左上方的<新增>按钮,进入新增动态资源页面,配置相关参数完成动态资源的新增操作。
单击动态资源列表操作列下的<编辑>按钮,可修改动态资源的参数配置。
单击动态资源列表启用状态列下的
按钮,可启用对应的动态资源。或勾选多个动态资源,单击动态资源列表左上角的<启用>按钮,可批量启用动态资源。
单击动态资源列表启用状态列下的
按钮,可停用对应的动态资源。或勾选多个动态资源,单击动态资源列表左上角的<停用>按钮,可批量停用动态资源。
单击动态资源列表操作列下的<清空数据>按钮,可清空已有动态资源结果列表数据。
单击动态资源列表操作列下的<导出数据>按钮,导出动态资源结果列表数据为excel表格(最多只能导出发生时间最近的前十万条数据),可通过导航栏右上角“下载列表”中查看导出进度、下载文件。
单击动态资源列表操作列下的<删除>按钮,删除已有动态资源结果列表数据。或勾选多个动态资源,单击动态资源列表左上角的<删除>按钮,可批量删除已有动态资源结果列表数据。
· 名称:动态资源的名称。
· 描述内容:动态资源的描述信息,合理的描述信息有利于管理员快速了解该资源。
· 数据源:动态资源的数据来源。
· 数据周期:动态资源的数据周期。
· 输出字段:动态资源数据的输出字段。
· 最近更新时间:动态资源最近更新的时间。
· 启用状态:动态资源的启用状态。
· 匹配条件
○ 设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,通过选择OR、AND和设置条件组来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
○ 设置匹配条件:指定匹配条件的关键字段实际值与设定值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、“IN”。其中,选择“IN” 可选择多个匹配字段。可选择静态资源对字段实际值先进行处理,也可不选静态资源。
○
添加匹配条件:点击<添加条件>按钮可以增加一个匹配条件, 点击
按钮可以删除一个匹配条件。
○ 添加匹配条件组:点击<添加条件组>按钮可以增加一个匹配条件组,里面包含一个或多个匹配条件,可添加或删除匹配条件,当一个匹配条件组中的所有匹配条件都删除后,匹配条件组即被删除。
· 统计模型
○ 统计模型间的逻辑关系:统计模型之间逻辑关系固定为与。
○ 设置统计模型:符合匹配条件的数据按输出字段分组后,每个组内的统计字段按统计函数计算,统计结果值根据判断条件进行判断。判断条件包括:“=”、“!=”、“>”、“<”、“>=”、“<=”。
○
添加统计指标:点击<+>按钮可以增加一个统计指标,点击
按钮可以删除一个统计指标。
关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全事件,并在“威胁中心>事件台账”页面进行展示。以便用户可实时监控整网安全情况,用户也可以根据事件的描述、关注点等字段进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:
· 自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。
· 预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。系统预定义关联规则如下:
○ 外网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 内网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及 X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 外网投递恶意程序
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机投递恶意文件来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 外网拒绝服务攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机发起FLOOD攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名相同的日志聚合成一条,生成一个安全事件。
○ 外网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 外网扫描探测攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击源向内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 多设备暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次请求登录失败的日志进行解析聚合,并将用户登录IP相同的日志聚合成一条,生成一个安全事件。
○ 外网暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次发起暴力破解的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 单设备多次登录失败
该关联规则用于对一段时间内,系统对接收到的攻击者在外网通过单台设备向内网主机多次(50次以上)请求登录失败的日志进行解析聚合,并将产生日志设备IP相同的日志聚合成一条,生成一个安全事件。
○ 单主机暴力破解成功
此规则为嵌套规则,单主机暴力破解成功规则里嵌套单主机被单一源暴力破解成功规则。其中,单主机被单一源暴力破解成功规则是将一段时间内,系统接收到的攻击者(一个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全事件; 单主机暴力破解成功规则是将一段时间内,系统接收到的攻击者(多个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全事件。 当“单主机被单一源暴力破解成功规则”有符合匹配规则的安全事件生成时,不输出“单主机暴力破解成功”规则生成的安全事件; 当“单主机被单一源暴力破解成功规则”没有符合匹配规则的安全事件生成时,输出“单主机暴力破解成功”规则生成的安全事件。
○ 恶意网站访问
该关联规则用于对一段时间内,系统对接收到的用户或者主机在内网访问恶意网站的日志进行解析聚合,并将攻击子分类、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 源主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全事件。
○ 目的主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全事件。
○ 内网暴力破解
该关联规则用于对一段时间内,系统对接收到的内网主机发起暴力破解来进行权限获取的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 内网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 内网扫描攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 恶意主机外联
该规则用于对流量探针、终端主机上报的内网主机访问特定外网主机(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等IP库里的外网主机IP)的日志进行解析聚合,并将源IP、目的IP相同的日志聚合成一条,生成一个安全事件。
○ 恶意域名事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网域名(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等域名库里的外网域名)的日志进行解析聚合,并将源IP、访问域名相同的日志聚合成一条,并根据攻击子分类生成对应的安全事件。
○ 内部发起恶意通信
该关联规则用于对一段时间内,系统对接收到的攻击者在内网主机发起恶意通信请求的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值同的日志聚合成一条,并根据攻击子分类生成对应的安全事件。
○ 外部发起恶意通信尝试
该关联规则用于对一段时间内,系统对接收到的攻击者在外网尝试向内网主机发起恶意通信的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 恶意URL事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网URL(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等URL库里的外网URL)的日志进行解析聚合,并将源IP、访问URL相同的日志聚合成一条,生成一个安全事件。
○ 内网访问风险主机
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 目的主机存在风险
该关联规则用于对一段时间内,系统对接收到的攻击者在外网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 恶意通信成功
该关联规则用于对一段时间内,系统对接收到的攻击者向内网主机发起恶意通信日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全事件。
○ 主机配置风险
该关联规则用于对一段时间内,系统对接收到的内网主机存在配置风险的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 源主机疑似感染恶意程序
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值的日志聚合成一条,生成一个安全事件。
○ 终端MD5情报
该规则用于对终端上报的内网主机存在操作恶意文件(即文件MD5值在系统威胁情报中恶意文件库里的文件)行为的日志进行解析聚合,并将终端MAC地址、文件MD5值相同的日志聚合成一条,生成一个安全事件。
○ 内网弱口令登录
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 外网弱口令登录
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 外网风险访问
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机开放端口来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ 内网暴破成功
该关联规则用于对一段时间内,系统对接收到的内网主机向内网主机发起暴力破解并成功获取权限的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
○ Web安全风险
该关联规则用于对一段时间内,系统对接收到的外网访问内网主机产生的Web安全的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全事件。
本章包含如下内容:
· 复制关联规则
· 查询关联规则
· 启用关联规则
· 停用关联规则
· 历史数据回溯
该功能用于新增自定义关联规则。主要包括规则信息、子规则集和关联模型三个部分。
1. 选择“系统设置 > 规则配置 > 关联规则”,进入关联规则页面。
2. 单击<新增>按钮进入新增关联规则页面。
3. 配置规则信息相关参数后,单击<下一步>按钮。
○ 规则名称:规则的名称。
○ 规则描述:规则的描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 时间窗:规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位为分钟,必须是正整数。时间窗长度可输入1-60分钟。当数据来源选择安全事件、脆弱性/漏洞、脆弱性/弱口令、脆弱性/配置风险时,时间窗的值必须为5的倍数。
○ 溯源描述:规则生成安全事件后在溯源分析中的描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击源%向%攻击目的%发起暴力破解尝试,共登录%攻击次数%次。
○ 风险危害:该规则生成的安全事件的风险危害,例如,"危害:主机很可能已被黑客控制,正与黑客主机通信。原理:内部主机失陷后会直接或者通过隧道等方式外联黑客主机,甚至被当成肉鸡攻击互联网其他主机,通过本地主机是否发起恶意通信进行检测。"
○ 处置建议:该规则生成的安全事件的处置建议,例如,"如果主机是普通PC或服务器无相关代理服务,则建议使用杀毒工具进行全盘查杀。"
○ 事件名称:该规则生成的安全事件的名称,长度为1~20个字符,可文字描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击类型%攻击。
○ 事件描述:该规则生成的安全事件的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:发现%攻击目的%遭受%攻击类型%攻击,攻击名称为%攻击名称%。
○ 威胁等级:该规则生成的安全事件的威胁等级,可选择低危、中危、高危、严重和默认。其中选择默认时,将展示日志本身的威胁等级。
○ 关注点:该规则生成的安全事件的关注点,可选择关注源或目的。通过关注点字段用户可以关注资产的安全状态。
○ 攻击阶段:该规则生成安全事件时,该事件所属攻击链环节,攻击阶段总共分为扫描侦查、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏。
○ 确信度:该规则生成的安全事件的可信程度,包括已失陷、高可疑、低可疑。
4. 配置子规则集。子规则集用于匹配原始日志、安全事件、脆弱性数据的子规则,其中,一个规则中不能只包含脆弱性数据子规则,至少要包含一个原始日志或安全事件的子规则。点击<添加子规则>按钮,用于新增一个子规则,配置相关参数后单击<保存>按钮完成操作;点击<删除>按钮可删除已配置的子规则。
○ 数据来源:该规则只对此类型的原始日志、安全事件、脆弱性数据进行匹配。
○ 子规则名称:子规则的唯一标识,不能重复,不能包含字符“{}!_|<>/\%&'",;:*=?#”。
○ 子规则描述:子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 匹配条件
§ 设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,通过选择OR、AND和设置条件组来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
§ 设置匹配条件:指定匹配条件的关键字段实际值与设定值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、IN”、“inList”、“notInList”。其中,选择“IN” 可选择多个匹配字段;选择“inList”、“notInList”,可以匹配动态资源结果。可选择静态资源对字段实际值先进行处理,也可不选静态资源。
§ 添加匹配条件:点击<添加条件>按钮可以增加一个匹配条件,点击
按钮可以删除一个匹配条件。
§ 添加匹配条件组:点击<添加条件组>按钮可以增加一个匹配条件组,里面包含一个或多个匹配条件,可添加或删除匹配条件,当一个匹配条件组中的所有匹配条件都删除后,匹配条件组即被删除。
○ 统计模型
§ 统计模型间的逻辑关系:统计模型之间逻辑关系固定为与。
§ 设置统计模型:符合匹配条件的数据按输出字段分组后,每个组内的统计字段按统计函数计算,统计结果值根据判断条件进行判断。判断条件包括:“=”、“!=”、“>”、“<”、“>=”、“<=”。
§ 添加统计指标:点击<+>按钮可以增加一个统计指标,点击按钮可以删除一个统计指标。
§ 继承策略:指定聚合日志输出和上报事件的时间依据。若选择“最早时间”,则选择产生时间最早的数据为聚合日志或上报事件; 若选择“最晚时间”,则选择产生时间最晚的数据为聚合日志或上报事件。
5. 配置关联模型
一个关联规则下可添加多个子规则,多个子规则之间的匹配顺序可以选择全部匹配、任一匹配、顺序匹配、Follow By(仅适用子规则数为两个时)、Not Follow By(仅适用子规则数为两个时)。只有配置了多个子规则时才可配置关联模型。
· 全部匹配:每个子规则均要配置关联条件,符合所有关联条件的。
· 任一匹配:每个子规则单独生成事件,不需要关联。
· 顺序匹配:每个子规则都需要生成事件,只返回第一个子规则生成的事件。
· Follow By:配置在左边的子规则事件,发生在满足关联条件的右边的子规则事件之前,生成事件。
· Not Follow By:配置在左边的子规则事件,发生在满足关联条件的右边的子规则事件之后,或只发生左边的子规则事件,没发生对应的右边的子规则事件,生成事件。
6. 所有参数配置完成后,单击<确认>按钮,完成新增规则操作。
7. 对于已配置的规则可通过启用和停用按钮改变规则的状态。
例如,用户需要自定义一条关联规则,用于根据流量日志来分析内网主机之间频繁访问的情况。该规则中要求一个内网IP至少访问其他内网IP 500次,且访问次数不少于50次的内网IP数至少为10个。自定义关联规则的操作步骤如下:
1. 选择“系统设置 > 规则配置 > 资源池管理”,进入静态资源池页面,复制“统计条件求不同个数”,名称为"自定义统计条件求不同个数",设置字段相同值统计次数:>= 50;。
2. 选择“系统设置 > 规则配置>关联规则”,进入关联规则页面,单击<新增>按钮,进入新增关联规则页面,配置如下参数。
规则信息
· 规则名称:内网主机频繁访问
· 时间窗:1分钟
· 溯源描述:【%规则名称%】 %源IP% 发起频繁访问
· 风险危害:频繁访问
· 处置建议:关注主机安全
· 事件名称:内网主机频繁访问
· 事件描述:内网主机频繁访问
· 威胁等级:默认
· 关注点:源
· 攻击阶段:其他
· 确信度:低可疑
子规则集
· 数据来源:日志/网络流量日志
· 子规则名称:内网主机频繁访问
· 配置匹配条件:设置匹配条件间的逻辑关系为”AND“
○ 第1个匹配条件:后三个输入框中分别选择日志子分类、IN、会话结束,会话开始&结束
○ 第2个匹配条件:后三个输入框中分别选择源内外网标识、IN、内网
○ 第3个匹配条件:后三个输入框中分别选择目的内外网标识、IN、内网
· 配置统计模型
○ 分组字段选择:源IP
○ 设置统计指标1
§ 统计函数:计数
§ 统计字段:源IP
§ 判断条件:>=
§ 值:500
○ 设置统计指标2
§ 统计函数:自定义统计条件求不同个数
§ 统计字段:目的IP
§ 判断条件:>=
§ 值:10
○ 继承策略:最晚时间
3. 单击<确认>按钮,完成子规则配置。
4. 单击<保存>按钮,完成自定义关联规则配置。
· 通过特定字段前后加占位符%方式表示安全事件信息时,特定字段将被替换为该字段的实际取值。
○ 事件名称、事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。
○ 事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型、事件名称、事件描述、规则名称、攻击次数。
其中攻击源、攻击目的若已配置资产名或用户名,则展示资产名或用户名,否则展示为IP地址。
· 建议不要配置过长的时间窗,否则会影响匹配性能。
· 嵌套规则:同一个时间窗口内,只要嵌套子规则有生成事件,则嵌套父规不会生成事件。建议嵌套子规则的匹配条件,是嵌套父规则匹配条件的一个特殊子集。
· 关联规则停用后,不会影响停用前匹配的数据展示。
该功能用于复制已有的关联规则以快速新增关联规则。仅在E1148P05及以上版本支持本功能。
1. 选择“系统设置 > 规则配置 > 关联规则”,进入关联规则页面。
2. 单击关联规则操作列下的<复制>按钮进入复制关联规则页面,配置相关参数后单击<确认>按钮,完成复制操作。具体的配置及参数说明请参见新增自定义关联规则。
该功能用于查看已配置的关联规则。
1. 选择“系统设置 > 规则配置 > 关联规则”进入关联规则页面。
2. 支持按规则名称、启用状态、事件名称、引用静态资源和引用动态资源检索关联规则,输入查询条件,单击<查询>按钮页面将展示满足查询条件的关联规则信息; 单击<重置>按钮可重置查询条件。默认展示所有关联规则。
○ 规则名称:关联规则的唯一标识。
○ 类型:关联规则的类型,包括自定义和预定义。
○ 事件名称:该关联规则生成的安全事件的名称。
○ 事件描述:该关联规则生成的安全事件的描述信息,合理的描述信息有利于管理员快速了解该事件。
○ 威胁等级:该关联规则生成的安全事件的严重等级。
○ 命中次数:日志成功匹配该关联规则生成的安全事件数,点击次数可查看命中该规则的安全事件信息。
○ 引用静态资源:关联规则引用的静态资源。
○ 引用动态资源:关联规则引用的动态资源。
○ 启用状态:关联规则的使用状态,包括启用和停用。
该功能用于删除自定义关联规则。
1. 选择“系统设置 > 规则配置 > 关联规则”进入关联规则页面。
2. 选中多条规则,单击<删除>按钮可批量删除规则; 单击操作列的<删除>按钮可删除选中的规则。
注意事项
删除规则时,若白名单中“规则名称”字段引用的关联规则均被删除,那么,该白名单也将被同步删除。
该功能用于启用关联规则。
1. 选择“系统设置 > 规则配置 > 关联规则”进入关联规则页面。
2. 选中多条状态为“停用”规则,单击页面中的<启用>按钮可批量启用规则。
注意事项
批量启用关联规则时,一次最多只能启用单页面能展示的所有关联规则。
该功能用于停用关联规则。
1. 选择“系统设置 > 规则配置 > 关联规则”进入关联规则页面。
2. 选中一条或多条状态为“启用”的规则,单击页面中的<停用>按钮可批量停用规则。
注意事项
批量停用关联规则时,一次最多只能停用单页面能展示的所有关联规则。
该功能用于根据自定义规则、配置回溯时间查询并生成回溯事件。仅在E1148P05及以上版本支持本功能。
1. 选择“系统设置 > 规则配置 > 关联规则”,进入关联规则页面。
2. 单击自定义关联规则操作列下的<回溯>按钮进入历史数据回溯页面,配置回溯时间,单击<开始回溯>按钮,根据该规则的配置与回溯时间范围,查询原始日志、安全事件、脆弱性数据,进行条件匹配、分组统计判定,生成回溯事件。回溯事件列表展示上次回溯成功的回溯事件,匹配白名单的回溯事件会展示在列表中,点击<同步至事件台账>,该事件推送至事件台账,在事件台账中可查看。
3. 单击<查看关联规则>按钮可以查看关联规则的详细信息。
· 如果开启了白名单,同步至事件台账时若匹配白名单,事件台账中不会显示,可在白名单列表中查看。
· 回溯时间范围内,子规则的基础匹配条件,查询原始日志数据量超过100万,或查询安全事件数据量超过100万,可能严重影响关联分析性能,不支持继续进行回溯分析,需要通过缩小回溯时间范围减少回溯查询数据量,降低回溯分析对关联分析的影响。
该功能提供多个预定义异常流量检测规则,并支持对规则的关键检测参数进行配置和设置规则的启用状态。 通过这些规则,系统可以及时发现网络中的异常流量事件并在安全事件页面展示,以便管理员尽早对全网安全威胁进行处理。
本章包含如下内容:
· 查询UEBA规则
· 设置规则启用状态
· 设置规则参数
1. 选择“系统设置 > 规则配置 > UEBA配置”进入UEBA规则页面。
2. 支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。单击<重置>按钮可重置查询条件。
1. 选择“系统设置 > 规则配置 > UEBA配置”进入UEBA规则页面。
2. 支持单个或批量设置规则启用状态。选择一个或多个停用的规则,单击<启用>按钮可批量启用规则, 被启用的规则将在下个检测周期执行检测任务;选择一个或多个启用的规则,单击<停用>按钮可批量停用规则,被停用的规则将不再在下个检测周期中执行检测任务。
1. 选择“系统设置 > 规则配置 > UEBA配置”进入UEBA规则页面。
2. 选择要编辑的规则,点击操作列的<配置>按钮即可设置该规则的核心参数,有关各规则可配置参数的说明请参见各规则介绍。
注意事项
以下规则缺省处于停用状态,用户可根据实际需求手动启用:
· 内网访问速率异常_域名请求速率异常
· 内网访问速率异常_相同域名请求速率异常
· 内网访问速率异常_网站访问速率异常
· 内网违规访问_违规访问
· 内网隐蔽隧道_域名型DNS隧道(仅安全威胁发现与运维管理平台增强版中缺省处于停用状态)
· 外网隐蔽隧道_IP型DNS隧道
· 外网隐蔽隧道_域名型DNS隧道(仅安全威胁发现与运维管理平台增强版中缺省处于停用状态)
· 访问互联网速率异常_域名请求速率异常
· 访问互联网速率异常_相同域名请求速率异常
· 违规访问外网_翻墙行为
· 违规访问外网_违规外联成功
· 外网拒绝服务_DNS拒绝服务
· 网站违规搭建_网站违规搭建
· Domain-Flux僵尸网络域名C&C通信
· Fast-Flux僵尸网络域名C&C通信
· 高危端口挖矿通信_挖矿通信
· 应用端口异常_MSSQL端口异常
· 应用端口异常_MySQL端口异常
· 应用端口异常_RDP端口异常
· 应用端口异常_SMTP端口异常
· 应用端口异常_SSH端口异常
· 应用端口异常_Telnet端口异常
· 访问应用时间异常_访问应用时间异常
· 访问应用被阻断_访问应用被阻断
· 频繁访问应用_频繁访问应用
· 内网端口暴力破解_端口暴力破解尝试
· 外网端口暴力破解_端口暴力破解尝试
· 对外端口暴力破解_端口暴力破解尝试
通过AI算法模型对内网主机建立未注册域名访问基线和未注册域名访问占比基线,从而检测内网主机是否存在Domain-Flux僵尸网络域名C&C通信。
· 域名白名单:系统对加入白名单列表中的域名不进行检测,可以减少误报。
注意事项
仅安全威胁发现与运维管理平台增强版支持该规则。
通过AI算法模型对内网主机访问的域名进行检测分析,判定所访问的域名是否为Fast_Flux域名,从而检测内网主机是否存在Fast-Flux僵尸网络域名C&C通信。
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
该规则用于检测是否存在内网主机对其他内网主机发起FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Redis暴力破解攻击。
参数说明
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Telnet暴力破解攻击。
参数说明
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源内网主机访问相同的URL次数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在内网主机对其他内网主机的高危端口发起端口探测攻击。
· 主机数阈值:内网主机访问的其他内网主机数阈值。
· 高危端口列表:内网主机上存在的高危端口号,多个端口号之间以英文逗号分隔。
该规则用于检测是否存在内网主机对内网其他主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起DNS拒绝服务攻击。
参数说明
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起HTTP拒绝服务攻击。
参数说明
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在内网主机对内网其他主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测是否存在内网主机对互联网发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测内网主机是否存在RDP横向扩散尝试行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在RDP横向扩散成功行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均大于设置的阈值。
参数说明
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在SSH横向扩散尝试行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网主机是否存在SSH横向扩散成功行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:内网用户访问不同域名数阈值。
该规则用于检测内网用户请求相同域名速率异常行为。
参数说明
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测内网用户访问网站速率异常行为。
· 访问总次数阈值:内网源端访问相同域名总次数阈值。
· 访问次数变化率阈值:源内网IP访问相同域名访问次数变化率阈值。
该规则用于检测内网主机是否存在违规访问行为,即主机对没有访问权限的IP及端口发起访问,且交互流量大于指定阈值。单击<新增>按钮添加违规访问策略。
· 策略名称:违规访问策略的唯一标识。
· 目的IP范围:禁止访问的目的IP,支持IP地址范围和子网两种输入形式。
· 目的IP排除项:禁止访问的目的IP中的排除地址,仅支持以单个IP形式输入。
· 目的端口列表:禁止访问目的IP上的端口,以端口范围形式进行配置,且结束端口必须大于或等于起始端口。
· 源IP范围:禁止访问目的IP的源IP范围,支持IP地址范围和子网两种输入形式。若配置的源IP访问了目的IP/端口,且上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 源IP排除项:源IP范围中的排除IP,即不对该源IP地址进行违规访问限制。仅支持以单个IP形式输入。
· 上行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 下行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测互联网对内网主机发起的FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测互联网对内网主机发起的MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测互联网对内网主机发起的RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测互联网对内网主机发起的Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测互联网对内网主机发起的SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测互联网对内网主机发起的VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测互联网对内网主机发起的Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源外网主机访问相同URL次数阈值。
该规则用于检测互联网对内网主机发起的FTP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的FTP访问次数阈值。
该规则用于检测互联网对内网主机发起的RDP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的RDP访问次数阈值。
该规则用于检测互联网对内网主机发起的SMB风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SMB访问次数阈值。
该规则用于检测互联网对内网主机发起的SSH风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测互联网对内网主机发起的Telnet风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的Telnet访问次数阈值。
该规则用于检测是否存在互联网对内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在互联网IP对内网主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
该规则用于检测是否存在互联网IP对内网主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
该规则用于检测互联网对内网Elasticsearch数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MongoDB数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MySQL数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Oracle数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Redis数据库发起的风险访问。
参数说明
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网SQL Server数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测内网主机是否存在ICMP隐蔽隧道通信。
· 访问次数阈值:ICMP会话日志数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 请求包载荷阈值:DNS请求包载荷的下限阈值。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测内网主机是否存在SSH隐蔽隧道通信。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测是否存在内网主机对互联网发起FTP暴力破解攻击。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对互联网发起MySQL暴力破解攻击。
· 请求包载荷阈值下限:MySQL会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:MySQL会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的MySQL会话数阈值。
该规则用于检测是否存在内网主机对互联网发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
该规则用于检测是否存在内网主机对互联网发起Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
该规则用于检测是否存在内网主机对互联网发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
该规则用于检测是否存在内网主机对互联网发起SSH暴力破解攻击。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对互联网发起Telnet暴力破解攻击。
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数超过该阈值,则认为存在Telnet暴力破解攻击。
该规则用于检测是否存在内网主机对互联网发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
该规则用于检测内网主机与互联网通信过程中是否存在MSSQL端口异常,若通信过程中存在非知名MSSQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在MySQL端口异常,若通信过程中存在非知名MySQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在RDP端口异常,若通信过程中存在非知名RDP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
参数说明
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SMTP端口异常,若通信过程中存在非知名SMTP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SSH端口异常,若通信过程中存在非知名SSH端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在Telnet端口异常,若通信过程中存在非知名Telnet端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
通过AI算法模型对域名进行检测分析,判定访问的域名是否为恶意DGA域名。
注意事项
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
通过AI算法模型对访问的域名以及相应流量信息进行检测分析,判定此次DNS访问是否为恶意隧道通信。
注意事项
· 暂不支持参数配置。
· 仅安全威胁发现与运维管理平台增强版支持该规则。
该规则用于检测内网主机是否存在网站违规搭建的行为,必须先配置域名白名单,规则才能生效。
· 域名白名单:系统对加入白名单列表中的域名不进行检测,可以减少误报。
该规则用于检测检测周期内,内网主机向其他大量内网IP发起蠕虫传播的行为。当源内网主机访问的内网不同主机数或访问具有相同C段特征的不同内网主机数超过设置的阈值时,则表示该主机可能感染蠕虫病毒。
· 主机数阈值:源内网主机访问内网不同主机数阈值。
· C段特征主机数阈值:访问目的IP为具有相同C段特征的不同内网主机数的阈值。
该规则用于检测检测周期内,是否存在内网主机向大量外网IP发起蠕虫传播。
· 主机数阈值:源内网主机访问外网不同主机数阈值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:源端访问不同域名数阈值。
该规则用于检测内网用户请求相同域名的请求速率异常行为。
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测内网主机翻墙访问国外IP行为,且交互流量大于设置的阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
该规则用于检测内网主机是否存在违规访问外网行为,且交互流量大于阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 源IP范围:禁止访问互联网的内网IP地址范围。
该规则用于检测是否存在内网主机与互联网进行挖矿通信。
· 访问次数阈值:内网主机与同一个挖矿通信端口的会话日志数阈值。
· 高危端口列表:挖矿通信端口号列表,多个端口号之间以英文逗号分隔。
该规则用于检测用户是否在异常时间访问应用的行为。系统基于SDP VPN日志,来检测用户是否有在偏离历史常用访问时间之外访问某应用的行为。例如,某用户前20天(历史数据天数阈值)中至少有10天(异常判定天数阈值)访问了某应用,且10天中至少有5天(常用访问时间天数阈值)都在10点-11点之间访问该应用。此时,10点-11点则认为是该用户的常用访问时间,其他时间则为异常访问时间。那么,如果用户在小于等于2天(异常访问时间天数阈值)的范围内于异常用访问时间访问了该应用,则认为用户存在访问应用时间异常的行为,系统将生成事件。如果用户在2天以上都在异常访问时间访问该应用,则认为用户可能访问习惯发生改变,系统不会上报事件。
参数说明
· 历史数据天数阈值:检测异常行为的历史数据天数。
· 异常判定天数阈值:用户访问某应用的天数下限。
· 常用访问时间天数阈值:用户在常用访问时间访问应用的天数下限。
· 异常访问时间天数阈值:用户在异常访问时间访问应用的天数上限。
系统基于SDP VPN日志,检测用户是否在短时间内访问应用被频繁阻断。例如,某用户在5分钟内访问某应用被阻断至少50次(次数阈值),系统则生成事件。
参数说明
· 次数阈值:用户访问某个应用被阻断的次数下限。
系统基于SDP VPN日志,检测用户短时间内是否频繁访问某个应用。例如,某用户在5分钟内成功访问某应用至少300次(次数阈值),系统则生成事件。
参数说明
次数阈值:用户成功访问某个应用的次数下限。
参数说明
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
注意事项
本规则仅在E1146P02及以上版本支持。
参数说明
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
注意事项
本规则仅在E1146P02及以上版本支持。
参数说明
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
注意事项
本规则仅在E1146P02及以上版本支持。
弱口令规则用于检测用户访问网页时是否使用了安全性较低的口令,例如仅包含简单数字和字母等,容易被攻击者猜测到或被破解工具破解的口令。
平台纳管的资产(探针设备)自身预置了预定义弱口令规则,但是在某些对安全性要求较高的场景下,预定义规则可能无法满足用户需求。此时,用户可在本平台手工创建自定义的弱口令规则,扩充资产的弱口令规则,提升资产的弱口令检测能力。
当用户在本平台对弱口令规则进行新增、编辑或者删除操作后,平台会将所有弱口令规则下发给纳管的资产,由资产使用弱口令规则对接收到的报文进行弱口令检测。如果检测成功,资产将向本平台上报相应的日志,用户可到日志中心进行查看。
· 本功能仅在E1147P02及以上版本支持。
· 平台不支持下发满足正则表达式([A-Za-z0-9]{1,6}|[0-9]{7,8}|[A-Za-z]{7,8})的弱口令内容,该类内容为平台纳管的探针设备系统预定义弱口令内容。
· 平台最多支持下发1024条弱口令内容(所有弱口令规则包含的总弱口令数量)。
· 平台仅支持将弱口令配置下发给威胁检测探针类型的资产。配置本功能前,请确保资产列表中已正确添加了H3C厂商的威胁检测探针类型的资产,且资产管理协议配置为SSH或SOAP,同时配置上述两种协议时,优先使用SOAP。
1. 选择“系统设置> 规则配置> 弱口令配置”,进入弱口令配置页面,
2. 单击<新增>按钮,进入新增弱口令规则页面,配置如下参数:
○ 规则名称:弱口令规则的名称。
○ 弱口令字段定义:用于定义规则检测的字段。
§ 账号字段:登录页面的后台代码中用于表示“账户名称”的字符串。例如,某登录页面中,账户名称使用“用户名”来表示,对应到后台代码中,该字段使用“name”来表示。则此场景下,此参数需要配置为“name”。
§ 密码字段:登录页面的后台代码中用于表示“账户密码”的字符串。例如,某登录页面中,账户密码字段使用“密码”来表示,对应到后台代码中,该字段使用“password”来表示。则此场景下,此参数需要配置为“password”。
○ 弱口令内容定义:用于定义哪些内容会被认为是弱口令。
弱口令内容:容易被攻击者猜测或被破解工具破解的口令内容,支持配置正则表达式。可直接在输入框中输入具体内容,也可导入弱口令内容文件。
其中,导入文件时,需要单击右侧的<导入>按钮,在“导入弱口令内容”页面中,将弱口令内容模板下载到本地,并根据模板中的提示添加相关内容后,单击<上传>按钮,将文件上传到平台(仅支持导入txt格式文件)。
○ 高级配置:用于配置弱口令检测的附加条件,在符合上述“弱口令内容”之外,还需要满足如下条件才认为是弱口令。本功能仅针对通过HTTP协议登录Web访问页面的场景。
§ WEB登录成功:开启本功能后,规则会针对登录成功的报文进行弱口令匹配。
响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
响应状态码:响应报文的响应状态码。
响应内容:响应报文中的具体内容。
§ WEB登录失败:开启本功能后,规则会针对登录失败的报文进行弱口令匹配。
响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
响应状态码:响应报文的响应状态码。
响应内容:响应报文中的具体内容。
3. 配置上述参数后,单击<确认>按钮,完成操作。平台会将新增的弱口令规则下发给纳管的资产。
4. 在规则名称输入框中,输入需要查询的规则名称,单击<查询>按钮,可以检索相应的规则。单击<重置>按钮,可重置查询条件。
规则参数说明:
○ 租户名称:规则所属的租户。
○ 规则名称:弱口令规则的名称。
○ 账号字段:规则中定义的账号字段。
○ 密码字段:规则中定义的密码字段。
○ 弱口令数量:规则中包含的弱口令内容数量。
数据分析高级配置功能用于配置部分安全事件数据高级分析场景,通过设置场景的开关,控制安全事件数据高级分析场景的启用与停用。
灰色事件引擎:用于设置灰色事件引擎的启用与停用。灰色事件引擎通过机器学习(泊松分析、C段分布)、事件处置自学习经验知识等手段,识别并处理误报事件,提高安全事件准确性,精确判定风险,减轻安全运维人员运维压力。
仅在E1148P01及以上版本支持本功能。
1. 选择“系统设置 > 规则配置 > 数据分析高级配置”,进入数据分析高级配置页面。
2. 单击<停用>按钮或<启用>按钮,在弹框提示页面单击<是>按钮,可以选择启用或停用指定数据高级分析场景。
复杂攻击规则集合了具有复杂特征或行为的攻击规则,其中这些攻击可能包括多个步骤或多个阶段,并且可能使用多种攻击技术或手段。匹配“复杂攻击规则”的安全事件将会输出一个安全事件,并在“威胁中心>事件台账”页面进行展示,以便用户可实时监控整网安全情况。
仅在E1148P05及以上版本支持本功能。
1. 选择“系统设置 > 规则配置 > 复杂攻击规则”,进入复杂攻击规则页面。
2. 支持按照规则名称、事件名称检索复杂攻击规则。
3. 单击规则列表操作列下的<详情>按钮,可以查看规则信息及可视化视图。单击步骤列表操作列下的<详情>按钮,可以查看基础攻击行为的详细信息。
· 规则名称:规则的名称。
· 事件名称:该规则生成的安全事件的名称。
· 威胁等级:该规则生成的安全事件的威胁等级。
· 命中次数:该规则生成的安全事件数。
该功能用于针对全网中的资产制定告警策略,当告警策略中监控的资产产生安全事件后会立即触发告警策略,产生相应的告警信息并通知相关责任人。
本章包含如下内容:
· 告警策略
· 告警记录
该功能用于新增和配置告警的触发策略,在告警策略中指定监控的资产并配置告警方式通知给相关责任人。
1. 选择“系统设置 > 告警管理 > 告警策略”进入告警策略页面。
2. 单击<新增>按钮,进入新增告警策略页面。配置基本信息。
○ 策略名称:告警策略的唯一标识,不能重复。
○ 描述:告警的描述,便于管理员快速识别该策略。
○ 告警类型:即告警策略监控的对象,仅支持“资产”。
3. 单击<下一步>按钮,配置触发条件。选择监控的资产,支持选择某个区域的所有资产或选择某些指定资产。
○ 监控的资产:指定区域内的资产或指定资产发生安全事件,并且在告警周期内,资产安全状态上升为指定状态时,触发告警。
○ 告警周期:告警策略执行周期。若告警周期内满足告警触发条件,系统将发送告警通知。
○ 资产安全状态:告警周期内,受监控资产的安全状态上升为指定状态时,触发告警。
4. 单击<下一步>按钮,配置告警方式。指定告警周期及触发告警的资产安全状态,请至少选择一种告警方式:
○ 邮件:开启后,触发告警时,系统将向指定收件人发送告警邮件。
§ 邮件标题:通过邮件方式发送告警时邮件的标题。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置邮件地址。
§ 模板预览:展示告警信息内容。
○ 短信:开启后,触发告警时,系统将向指定收件人发送告警信息。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置联系方式。
§ 模板预览:展示告警信息内容。
○ Trap:开启后,触发告警时,系统将向U-Center统一运维平台发送Trap告警信息。
§ 模板预览:展示告警信息内容。
○ APP:开启后,触发告警时,用户可使用指定的账号登录H3C云智手机App,首页告警栏目将会新增一条告警信息。
§ 收件人:接收告警信息的用户(可多选)。必须使用指定的收件人账号登录H3C云智手机App,才能看到该策略生成的告警信息。
§ 模板预览:展示告警信息内容。
5. 单击<确认>按钮,新增告警策略完成,新增的告警策略缺省处于启用状态,可通过<启用>和<停用>按钮改变任务启用状态。
该功能用于配置单个告警策略在指定时间段内发送告警通知的最大数量,避免系统频繁大量的发送告警通知。
1. 在告警策略页面上方,单击<告警设置>按钮,进入告警设置页面。
2. 开启告警控制设置,配置时间范围及最大告警通知数量。
3. 单击<确认>按钮完成设置。
· 选择邮件或短信告警方式时,必须先在“系统设置> 系统配置 > 全局配置> 通知设置”页面完成邮件服务器和短信业务中心的相关配置,并且收件人已经正确配置了邮箱或联系方式,否则无法正常发送告警通知。
· 选择Trap告警方式时,必须先在“系统设置> 系统配置 > 全局配置 >融合平台管理”页面完成U-Center注册的相关配置,并确保注册成功,否则无法正常发送告警通知。
· 选择APP告警方式时,请确保手机已安装H3C云智应用程序,并且设置手机网络,确保H3C云智应用程序与平台之间网络互通,否则平台无法正常发送告警通知。
· 在一个告警周期内,每个告警策略产生的告警信息中最多支持展示100个安全状态提升的风险资产的告警信息,超出规格的风险资产的告警信息不再展示。
该功能用于记录已触发的告警,在该页面可查看告警的发送时间、告警方式、收件人等信息。
1. 选择“系统设置>告警管理> 告警记录”,进入告警记录页面。
2. 在告警记录页面可查看已触发告警的相关信息,单击操作列的<删除>按钮可删对应的记录。
该功能用于管理需要与平台进行联动的设备,当前支持联动的设备如下:
· 终端安全管理系统:当平台执行响应编排剧本中的终端防护动作时,需要与终端安全管理系统进行联动,由该系统执行终端威胁检测等操作。平台支持联动的终端安全管理系统包括H3C SecCenterCSAP-ESM和H3C SecCenterCSAP-ESM-G。其中,H3C SecCenterCSAP-ESM支持执行所有终端防护动作,H3C SecCenterCSAP-ESM-G仅支持执行全网主机扫描、EDR病毒隔离、EDR病毒查杀和EDR主机扫描。
· 网站安全监测:当用户需要通过本平台直接跳转到网站安全检测平台时,需要配置与网站安全监测平台的联动参数。
· 应用驱动广域网系统:当平台执行响应编排剧本中“联动封锁-黑名单”动作时,可以选择向AD-WAN控制器下发Flowspec策略。
· 应用驱动园区网系统:当平台执行响应编排剧本中“联动封锁-黑名单/访问控制”动作时,可以选择向AD-Campus控制器下发策略。应用驱动园区网系统仅在E1148P01及以上版本支持关联。
· 其他厂商防火墙:当平台执行响应编排剧本中的“联动封锁-黑名单”动作时,可以选择向其他厂商的防火墙设备下发黑名单。
终端安全管理系统具备恶意代码防护、桌面管理、终端威胁检测与响应(EDR)功能,能够统一管理、监测、分析终端安全状态,并提供终端安全保障功能,完成终端安全威胁处理闭环。平台与终端安全管理系统联动后,可以同步并展示终端主机数据,以及对终端主机进行策略联动处置。有关终端安全管理系统的详细介绍请参见终端安全管理系统配套资料。
1. 选择 “系统设置>外部设备管理”,单击终端安全管理系统(ESM)区域,进入应用详情页面。可以查看终端安全管理系统的信息。
2. 单击<新增实例>按钮,配置需要联动的终端安全管理系统参数。配置完参数后,单击<联通测试>按钮,测试平台与终端安全管理系统是否成功连接。
○ 实例名称:与本系统联动的终端安全管理系统的名称。
○ URL地址:终端安全管理系统的URL,配置后可通过URL访问该系统。
○ 账号:终端安全管理系统的登录账号。
○ 密码:终端安全管理系统的登录密码。
3. 单击<确认>按钮,保存上述参数。
4. 编辑:单击操作列的<编辑>按钮,可以修改终端安全管理系统的联动参数。
5. 删除:单击操作列的<删除>按钮,可以删除指定的联动设备配置实例。
当实例相关配置无误,点击<打开设备>按钮页面跳转失败时,请检查对应实例设备是否正常运行。
1. 选择 “系统设置>外部设备管理”,单击终端安全管理系统(ESM-G)区域,进入应用详情页面。可以查看终端安全管理系统(ESM-G)的信息。
2. 单击<新增实例>按钮,配置需要联动的终端安全管理系统(ESM-G)参数。配置完参数后,单击<联通测试>按钮,测试平台与终端安全管理系统(ESM-G)是否成功连接。
○ 实例名称:与本系统联动的终端安全管理系统(ESM-G)的名称。
○ URL地址:终端安全管理系统(ESM-G)的URL,配置后可通过URL访问该系统。
○ 账号:终端安全管理系统(ESM-G)的登录账号。
○ 密码:终端安全管理系统(ESM-G)的登录密码。
○ 打开设备:单击操作列的<打开设备>按钮,可以跳转到终端安全管理系统(ESM-G)的Web登录页面。
3. 单击<确认>按钮,保存上述参数。
4. 编辑:单击操作列的<编辑>按钮,可以修改终端安全管理系统(ESM-G)的联动参数。
5. 删除:单击操作列的<删除>按钮,可以删除指定的联动设备配置实例。
· 当实例相关配置无误,点击<打开设备>按钮页面跳转失败时,请检查对应实例设备是否正常运行。
· 终端安全管理系统(ESM-G)仅在E1147P03及以上版本支持关联。
H3C SeerEngine-WAN是新华三应用驱动广域网AD-WAN承载网解决方案的核心组件,提供面向广域网流量调优能力,全局视角下结合带宽、时延、抖动、丢包、时间段、链路亲和属性、优选、排除等多种选路策略,实现业务转发路径优化及将相关配置下发到设备。针对Native IP公网业务和VPN业务,可以基于五元组/DSCP/VPN进行精细化的流分类,自动化引流入SR隧道,集中算路调整SR隧道路径,实现全网TE资源优化,使网络带宽资源利用率最大化,同时兼顾不同业务的SLA差异化管理,优先保障高优先级业务需求。并且,实时感知网络状态变化,设备秒毫米故障逃生,秒级路径重优化,确保广域网时刻提供高品质、高可靠的网络服务。有关应用驱动广域网系统的详细介绍请参见其配套资料。
1. 选择 “系统设置>外部设备管理”,单击应用驱动广域网系统区域,进入应用详情页面。可以查看应用驱动广域网系统的信息。
2. 单击<新增实例>按钮,配置需要联动的应用驱动广域网系统参数。 配置完参数后,单击<联通测试>按钮,测试本平台与应用驱动广域网系统是否成功连接。
3. 单击<确认>按钮,保存上述参数。
相关说明:
· URL地址:应用驱动广域网系统的URL,配置后可与本平台联动。
应用驱动广域网系统仅在E1147P01及以上版本支持关联。
H3C SeerEngine-Campus是新华三开发的园区网络智能控制系统,基于统一数字底盘进行部署运维,实现网络与业务的完美结合。SeerEngine-Campus支持基于VXLAN和VLAN的不同规模的园区网络,支持Aggregation透传设备、Access环网、BRAS做准出网关等多种灵活组网方式,提供包括园区网络的自动化上线、业务端到端自动化部署、接入用户名址绑定、有线无线一体化管理、光电一体化管理、多园区管理、安全纳管、融合分析组件的智能化管理运维等一系列功能,是园区网络部署、管理和运维的有力助手。有关应用驱动园区网系统的详细介绍请参见其配套资料。
1. 选择 “系统设置 > 外部设备管理”,单击应用驱动园区网系统区域,进入应用详情页面。可以查看应用驱动园区网系统的信息。
2. 单击<新增实例>按钮,配置需要联动的应用驱动园区网系统参数。
3. 单击<确认>按钮,保存上述参数。
· 实例名称:与本平台联动的应用驱动园区网系统的名称。
· IP地址:应用驱动园区网系统的IP地址,配置后可与本平台联动。
· 编辑:单击操作列的<编辑>按钮,可以修改应用驱动园区网系统的联动参数。
· 删除:单击操作列的<删除>按钮,可以删除指定的联动设备配置实例。
应用驱动园区网系统仅在E1148P03及以上版本支持关联。
网站安全监测平台是一款针对互联网网站、应用安全问题发现的自助式云平台,主要由可用性监测、合规性监测和安全性检测三部分组成,平台提供了安全监测、检测、预警与报告四大功能。通过应用此平台,可以轻松掌握网站安全状况。有关网站安全监测平台的详细介绍请参见其配套资料。
1. 选择 “系统设置>外部设备管理”,单击H3C网站安全监测区域,进入应用详情页面。可以查看网站安全监测平台的信息。
2. 单击<新增实例>按钮,配置需要联动的网站安全监测平台参数。 配置完参数后,单击<联通测试>按钮,测试系统与网站安全监测平台是否成功连接。
3. 单击<确认>按钮,保存上述参数。
相关说明:
· URL地址:网站安全监测平台的URL,配置后可通过URL访问该平台。
· 账号:网站安全监测平台的登录账号。
· 密码:网站安全监测平台的登录密码。
· 当实例相关配置无误,点击<打开设备>按钮页面跳转失败时,请检查对应实例设备是否正常运行。
· 网站安全监测仅在E1147P02及以上版本支持关联。
天融信下一代防火墙系统,融入了AI驱动一体化智能检测引擎,并集WAF、僵木蠕、ADS、HTTPS流量检测、高级威胁防护、异常行为分析、DLP等多个安全模块于一身,联动云管端多个网元,最终为用户提供融入AI单点防御、多元智慧协同、云端检测赋能的智能、主动、安全“零”死角的综合防护方案。有关天融信防火墙的详细介绍请参见其配套资料。
1. 选择 “系统设置>外部设备管理”,单击天融信防火墙区域,进入应用详情页面。可以查看天融信防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的天融信防火墙参数。
○ 实例名称:与本系统联动的天融信防火墙的名称。
○ URL地址:天融信防火墙的URL,
○ 账号:天融信防火墙的登录账号。
○ 密码:天融信防火墙的登录密码。
3. 单击<确认>按钮,保存上述参数。
4. 编辑:单击操作列的<编辑>按钮,可以修改天融信防火墙的联动参数。
5. 删除:单击操作列的<删除>按钮,可以删除指定的联动设备配置实例。
天融信防火墙仅在E1147P03及以上版本支持关联。
深信服下一代防火墙AF专注网络边界安全效果,通过应用丰富的安全创新防御技术和简单易用的产品设计理念,不仅增强网络边界的安全检测与防控能力,而且实现网络安全风险可视化展示与快速处理,让组织网络边界安全建设更有效、更简单。有关深信服防火墙的详细介绍请参见其配套资料。
1. 选择 “系统设置>外部设备管理”,单击深信服防火墙区域,进入应用详情页面。可以查看深信服防火墙的信息。
2. 单击<新增实例>按钮,配置需要联动的深信服防火墙参数。
○ 实例名称:与本系统联动的深信服防火墙的名称。
○ URL地址:深信服防火墙的URL,
○ 账号:深信服防火墙的登录账号。
○ 密码:深信服防火墙的登录密码。
3. 单击<确认>按钮,保存上述参数。
4. 编辑:单击操作列的<编辑>按钮,可以修改深信服防火墙的联动参数。
5. 删除:单击操作列的<删除>按钮,可以删除指定的联动设备配置实例。
深信服防火墙仅在E1147P03及以上版本支持关联。
该功能用于检查网络连接是否可用,支持通过Ping、Telnet和Traceroute三种方式进行检查,方便用户分析和判断网络故障。
· 通过使用Ping功能,用户可以检查指定地址是否可达,测试链路是否通畅。
· 通过使用Telnet功能,用户可以查看指定地址的某个端口是否开放。
· 通过使用Traceroute功能,用户可以查看IP报文从源端到达目的端所经过的三层设备,从而检查网络连接是否可用。
网络诊断具体配置步骤如下:
1. 选择“系统设置 > 诊断中心 > 网络诊断”,进入网络诊断页面。
2. 在诊断条件区域,选择诊断方式,配置相应的参数后,单击<开始诊断>按钮。
3. 完成操作后,在诊断结果区域查看诊断结果。
相关说明:
· 目的IP地址或主机名:输入诊断的目标IP地址或者主机名。其中当IP类型为IPv6时,Ping、Telnet和Traceroute方式IPv6类型均不支持诊断主机名。
本功能仅在E1147P01及以上版本支持。
该功能用于捕获采集器服务器上接收和发送的双向报文,并将捕获到的报文生成Wireshark(一种网络封包分析软件)可识别的.PCAP后缀文件,完成捕获后,用户可在界面下载指定的捕获文件,对出入采集器服务器的流量进行分析和诊断。
报文捕获具体配置步骤如下:
1. 选择“系统设置 > 诊断中心 > 报文捕获”,进入报文捕获页面。
2. 在捕获参数设置区域,配置相应的参数后,单击<开始捕获>按钮。
3. 完成操作后,在捕获文件区域下载捕获文件。
相关说明(各参数的支持情况与软件版本有关,请以实际情况为准):
· 接口:采集器服务器的网卡。
· 协议:仅对指定协议的报文进行捕获。
· 时长:捕获动作的持续时间,达到配置的时长后,系统将停止捕获。
· 最大文件大小:每个捕获文件的大小上限,系统在指定时长内会持续进行报文捕获,捕获的报文每达到指定的文件大小时,均会生成一个捕获文件。
· 源主机:仅对报文发送源为指定IP地址或主机名的报文进行捕获。
· 源端口:仅对报文源端口为指定端口号的报文进行捕获。
· 目的主机:仅对报文发送目的为指定IP地址或主机名的报文进行捕获。
· 目的端口:仅对报文目的端口为指定端口号的报文进行捕获。
· 报文捕获功能支持文件存储容量最大为10GB,且仅保留最近一次报文捕获生成的文件,请用户及时下载。
· 报文捕获命令基于Cyber5服务器执行。
· 本功能仅在E1147P01及以上版本支持。
支持
