手册下载
H3C SecCenter 安全威胁发现与运营管理平台
典型配置案例
资料版本:5W100-20200325
Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档H3C SecCenter安全威胁发现与运营管理平台的典型配置案例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以产品实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前,设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解H3C SecCenter安全威胁发现与运营管理平台的功能及特性。
H3C SecCenter CSAP-NTA流量探针主要用于客户网络流量分析。通过镜像流量方式收集网络中的流量,流量探针可以呈现流量全景情况、应用质量情况、用户行为分析等。
流量探针上报流量日志到平台后,本平台进行深度分析,并提供查询、多维度展示、智能分析等特性。支持情报类安全事件分析、资产及服务自动发现、异常流量模型发现安全风险。
本举例是在流量探针E6801版本上进行配置和验证的。
避免长期运行流量探针服务器第一个网卡接口,长期运行可能出现端口down现象,请使用除第一个网卡外的其他3个网卡接口。
流量探针不支持老版本升级到E6801版本,但可以重新安装部署E6801版本。
流量探针做为安全威胁发现与运营管理平台重要功能组件,必须完成基础功能、应用监控两个模块的授权,其他模块授权请根据实际情况决定是否申请。
流量探针License暂不支持通过H3C官网申请,开局和测试项目推荐使用临时序列号激活授权,再根据需求联系H3C技术人员申请永久授权。临时序列号可以使用使用90天。
初次使用流量探针,只能通过序列号方式授权。后续授权可以通过序列号或者导入许可文件方式授权。
提供流量探针系统信息时,请通过复制粘贴方式提供系统信息内容,方便授权申请。
登录流量探针后,可在“首页”页面查看流量探针系统信息。
设备的授权方法请参见流量探针设备配套资料。
该场景中,用户全网流量通过TAP交换机将全流量分别发送给流量探针、沙箱、防火墙、入侵防御系统等设备。
图1 安全威胁发现与运营管理平台典型组网
安全威胁发现与运营管理平台增强版和标准版对流量镜像要求相同。该场景下,镜像流量说明如下:
· 镜像内网和互联网双向流量,用于情报类安全事件分析及部分异常流量分析。
¡ 内网办公区和互联网双向流量。
¡ 数据中心区和互联网双向流量。
¡ 如综合安全管理区存在互联网流量,需要镜像双向流量。(可选)
· 镜像用户内网内部互访流量。用于内网异常流量分析,如内网主机或服务器知名端口未关闭等安全风险问题。
¡ 内网办公区和数据中心区双向流量。
¡ 内网办公区内部用户之间互访流量,通常在内网办公区网关设备上镜像。(可选)
¡ 数据中心区内部业务之间互访流量,通常在数据中心区网关设备上镜像。(可选)
推荐镜像全流量,流量缺失将导致网络安全分析不全面。
请确认是否存在内网DNS服务器,流量镜像必须包含内网中发起的DNS服务器请求流量。平台域名情报功能依赖DNS审计日志。
登录流量探针设备,在“系统设置 > 配置管理 > 时间设置”界面,手动设定系统时间,确保与安全威胁发现与运营管理平台时间保持一致,否则会导致平台日志分析功能异常。
(1) 在“业务设置 > 接口配置”界面,配置流量探针管理接口和采集接口。推荐配置ge7-1为管理接口,ge7-2和ge7-3配置为采集接口。
ge7-0接口长期运行可能出现接口down,导致业务不可用。
(2) 将接口ge7-1配置为管理接口,操作列编辑按钮,进入编辑接口页面,配置参数如下图所示。
基础设置:
· 启用:启用接口。
· 接口名称:ge7-1,接口名称不可修改。
· 接口类型:选择“管理接口”。
· 链路:缺省。管理接口的链路类型不可配置。
· 描述:物理接口描述信息。
· MAC地址:显示为物理接口的MAC地址。
IP类型:
· 地址描述:选择静态地址。
· 接口主地址:配置接口的IP地址和掩码,如配置接口管理IP地址:192.168.1.2/24。
· 网关:配置管理IP地址网关IP。
· DNS列表:选配项,通常开局不需要配置DNS服务器。
管理方式:
· HTTPS:通过接口管理IP地址可以HTTPS方式登录流量探针。
· HTTP:通过接口管理IP地址可以HTTP方式登录流量探针。
· SSH:通过接口管理IP地址可以SSH方式登录流量探针。
· Telnet:通过接口管理IP地址可以Telnet方式登录流量探针。
· Ping:管理IP地址支持被外部IP地址ping功能。
高级配置:
· 协商模式:选择“自协商”。如果流量探针接入的交换机不支持端口自协商,可选择“强制”。
· MTU:使用缺省值1500。
(3) 将接口ge7-2配置为采集接口,单击操作列编辑按钮,进入编辑接口页面。配置参数如下图所示。
基础设置:
· 启用:启用接口。
· 接口名称:ge7-2,接口名称不可修改。
· 接口类型:选择“采集接口”。
· 链路:缺省。
· 描述:物理接口描述信息。
· MAC地址:显示为物理接口的MAC地址。
IP类型:
· 地址描述:选择静态地址。
· 接口主地址、网关、DNS列表:采集接口不需要配置接口地址。
管理方式:采集接口不需要配置管理方式。
高级配置:
· 协商模式:选择“自协商”。如果流量探针镜像流量接入的对端设备接口不支持端口自协商,可选择“强制”。
· MTU:使用缺省值1500。
(1) 应用模式配置场景模式为互联网模式。缺省情况下,场景模式为互联网模式。可在“业务设置 > 应用配置 > 应用模式”界面查看并确认。
(2) 在“业务设置 > 应用配置 > 审计策略”界面,单击<新建>按钮新增应用审计策略。
(3) 在新增应用审计策略页面,配置审计策略参数,配置完成后,单击<提交>按钮,完成策略配置。
· 源地址:推荐将用户内网所有IP地址段全部录入。如果对用户网络IP地址信息了解不全面,可以先配置成0.0.0.0/0(源IP地址可以是任意IP),以后再优化地址段信息,单击<添加>按钮。
· 目的地址:目的地址配置成0.0.0.0/0(目的IP地址可以是任意IP),单击<添加>按钮。
· 审计内容配置只开启DNS行为日志、网站日志日志记录功能。
(4) 配置完成后,单击<提交>按钮完成配置。新增审计策略状态默认为启用。
(1) 配置日志服务器。在“业务设置 > 数据接口 > 日志设置”界面,选择“日志服务器”页签,配置日志服务器参数。
· 启用日志服务器设置功能。
· 配置日志服务器IP地址,日志不加密。配置为安全威胁发现与运营管理平台的日志采集器IP地址。日志服务器端口号默认为514。
· 会话日志发送周期设置。TCP会话和UDP会话发送周期配置成45分钟。
(2) 配置日志过滤。在“业务设置 > 数据接口 > 日志设置”界面,“日志过滤”页签中配置日志过滤参数。
基础配置:
· 告警日志:流量告警日志、审计告警日志不发送。
高级配置:
· 流日志:仅发送TCP/UDP会话、报文统计日志。其余日志不发送。
· 审计日志:仅发送DNS日志、网站日志。其余日志不发送。
· 检测日志:配置不发送。
· 安全日志:全部不发送。
默认允许全部流量通过并分析,配置流量过滤策略可过滤不需要分析的流量。安全威胁发现与运营管理平台主要分析用户内网访问互联网的流量,需要过滤用户内网互访流量。
(1) 在“业务设置 > 流量过滤”界面,单击<添加>按钮,新增流量过滤策略。
(2) 在新增配置弹窗中,配置过滤策略参数,过滤用户内网互访流量。配置完成后,单击<提交保存>按钮。
· 启用:勾选启用策略。
· 名称:策略名称。
· 协议:选择“ANY”。
· 源IP:配置用户内网IP地址段信息。
· 源端口:配置0-65535。
· 目的IP:配置用户内网IP地址段信息。
· 目的端口:配置0-65535。
配置源IP和目的IP地址信息时,必须排除用户网络DNS服务器IP地址。否则,流量探针无法上报用户内网DNS请求流量,导致安全威胁发现与运营管理平台域名情报功能缺少重要的日志数据。
(1) 通过Web界面修改:在“系统设置 > 登录管理“界面,支持新增、编辑和删除管理员账户及修改管理员密码功能。
(2) 通过命令行方式修改账户密码。如,修改管理员admin的密码为admin@123,通过SSH登录流量探针后台,命令行操作如下。
设备配置变更后,为避免重启后配置丢失,将当前配置保存到下次启动配置文件。配置变更后,在任意页面,单击右上角<保存配置>,将配置变更保存到系统配置文件。
在安全威胁发现与运营管理平台上将流量探针配置为日志源。
登录到平台后,选择“配置管理 > 数据来源 > 日志源管理 > 被动采集”进入被动采集页面,单击<新增>按钮进入新增日志源页面,填写相关参数,配置完成后单击<确认>按钮完成操作。
· 名称:自定义流量探针设备名称,便于识别日志源。
· IP:流量探针管理IP地址。
· 设备类型:选择的“流量探针”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“H3C-NTA”。
· 采集器名称:选择安全威胁发现与运营管理平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与流量探针的服务器端口值一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
H3C SecCenter CSAP-ATD高级威胁检测产品(沙箱)主要用于恶意代码事件检测,支持HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议中还原出指定格式文件,检测文件是否为恶意文件,本举例主要配置恶意代码事件检测。
· 本举例是在沙箱E6701版本上进行配置和验证的。
· 病毒库版本为KAV_3.0.0.2019072501。沙箱使用过程中,确保病毒库版本持续更新。
· 威胁情报知识库、流量检测知识库、静态检测知识库、事件分析知识库版本不做要求。
沙箱病毒库文件命名规则说明:如沙箱病毒库文件为KAV_3.0.0.2019072501-KAV_3.0.0.2019071501.bin,其中,3.0.0.2019072501字段为病毒库文件当前版本号,3.0.0.2019071501字段为老病毒库版本号。通过病毒库文件名称可以查看版本升级过渡关联。
E6701版本的沙箱配置流量口时,所有流量口接口状态均为up。如配置接口eth0和eth1为流量口,必须要同时给eth0和eth1接口插上网线,且接口状态为up。若只有1个接口up,将导致沙箱流量分析任务进程不启动,无法进行流量分析,恶意程序分析功能不可用。
设备的授权请参见沙箱设备配套资料。
沙箱病毒库文件获取及升级方法请参见沙箱设备配套资料。
沙箱病毒库文件命名规则说明:
· 全量病毒库文件,包含全量病毒库文件,如KAV_3.0.0.2019072501.bin。
· 增量病毒库文件,专用于存在关联的老版本病毒库文件升级,通过病毒库文件名称可以看出版本升级关联关系。如KAV_3.0.0.2019072501-KAV_3.0.0.2019071501.bin,其中,3.0.0.2019072501字段为病毒库文件当前版本号,3.0.0.2019071501字段为老病毒库版本号。表示沙箱病毒库版本从KAV_3.0.0.2019071501升级到KAV_3.0.0.2019072501。
· 如果存在增量病毒库文件最新版本,请使用最新版本增量病毒库文件;若没有对应增量病毒库文件,请使用最新版本全量病毒库文件升级病毒库。
该场景中,需要将特定协议流量镜像到沙箱。通过TAP交换机将全流量分别发送给流量探针、沙箱、防火墙/入侵防御系统等设备时,仅文件传输类协议(HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议)流量需要镜像到沙箱。
图2 安全威胁发现与运营管理平台典型组网
安全威胁发现与运营管理平台增强版和标准版对流量镜像要求相同。该场景下,镜像流量说明如下:
· 镜像内网和互联网双向流量中,文件传输类协议(HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议)流量。
¡ 数据中心区和互联网双向流量。
¡ 内网办公区和互联网双向流量。
¡ 如综合安全管理区存在互联网流量,需要镜像双向流量。(可选)
· 镜像客户内网内部互访流量,文件传输类协议(HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议)流量。
¡ 内网办公区和数据中心区双向流量。
¡ 内网办公区内部用户之间互访流量,通常在内网办公区网关设备上镜像。(可选)
¡ 数据中心区内部业务之间互访流量,通常在数据中心区网关设备上镜像。(可选)
推荐镜像全流量,流量缺失将导致客户网络安全分析不全面。
沙箱支持HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议中还原出指定格式文件,检测文件是否为恶意文件,暂不用于其他功能分析。
镜像流量时,建议仅镜像文件传输类协议(HTTP、FTP、POP3、SMTP、IMAP、SMB、CIFS、Webmail协议)的流量到沙箱设备,减轻沙箱分析压力。如果镜像流量较少,不超过沙箱性能情况下,可以不进行镜像流量的过滤。
沙箱上,除了系统时间、网络配置和日志服务器需要配置外,其他功能使用缺省配置即可。
确保与安全威胁发现与运营管理平台时间保持一致,否则会导致平台日志分析功能异常。
登录沙箱后,在“首页 > 配置 > 系统配置”界面,时间配置区域配置系统时间,配置完成后,单击<保存>按钮保存配置。
· 时区:东8区。缺省情况下,时区为东8区。
· 日期、系统时间:根据当前时间配置。
在“首页 > 配置 > 系统配置”界面,网络配置区域配置网络,配置完成后,单击<保存>按钮保存配置。
· IP协议:根据镜像流量类型配置。缺省情况下为IPv4。
· 管理口:选择网卡接口做管理口。
· IP地址、子网掩码、默认网关、DNS服务器地址:配置管理IP地址信息,根据实际情况配置。当前版本不需要配置DNS服务器。
· 流量口:选择网卡接口用于接收镜像流量,支持多选。建议不要使用已配置成管理口的接口配置成流量口。
· 流量采集范围:使用缺省配置。
· 最大流量:流量分析最大性能值,不支持修改,由服务器硬件配置和沙箱主版本包决定。
在“首页 > 策略 > 日志外发配置”界面,配置日志服务器。配置参数如下。
· 日志外发功能:开启
· 外发协议类型:UDP。
· 日志传输格式:使用“|”。不能使用JSON或WEIF日志传输格式外发日志给安全威胁发现与运营管理平台日志服务器。
· 外发日志类型:选中“恶意代码事件”,其他事件不需要勾选。
· IP地址:配置日志服务器IP地址和上报日志端口号(缺省端口号是514)。配置为安全威胁发现与运营管理平台日志采集IP地址。
在安全威胁发现与运营管理平台上将沙箱配置为日志源。
登录到平台后,选择“配置管理 > 数据来源 > 日志源管理 > 被动采集”进入被动采集页面,单击<新增>按钮进入新增日志源页面,填写相关参数,配置完成后单击<确认>按钮完成操作。
· 名称:自定义沙箱设备名称,便于识别日志源。
· IP:沙箱管理IP地址。
· 设备类型:选择“沙箱”。
· 厂商名称:选择“H3C”。
· 设备型号:根据实际情况选择设备型号。
· 采集器名称:选择安全威胁发现与运营管理平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与沙箱的日志服务器端口号配置一致。
· 字符集:选择“utf8”。
· 例外:使用缺省值,不需要配置。
本举例介绍本平台对接H3C防火墙/入侵防御系统的典型应用方案。
实际部署时,请结合实际情况,灵活调整防火墙/入侵防御系统配置。
参考本举例调整设备配置前,请先评估调整配置对设备和现网的影响,确认对现网业务无影响后再进行配置。
其他厂商安全设备参考H3C安全设备调整方案。
在安全威胁发现与运营管理平台D1137版上配置本举例存在如下问题:如果防火墙或入侵防御系统设备上存在ip vpn-instance 0配置,将导致平台响应联动策略下发黑名单表项功能不可用。
建议防火墙/入侵防御系统使用H3C官网最新软件版本。安全威胁发现与运营管理平台不同功能模块对H3C安全设备防火墙/入侵防御系统版本要求如下表:
表1 安全威胁发现与运营管理平台不同功能模块对H3C安全设备版本要求
平台功能模块 |
平台版本 |
安全设备版本要求 |
支持日志解析 |
D1136及以上版本 |
D032版本及以上版本 |
攻击日志中攻击名称显示中文 |
D1136及以上版本 |
D032SP14版本及以上版本 |
响应联动 |
D1137及以上版本 |
D032P16或D032P21版本及以上版本。针对目的IP黑名单功能,安全设备必须使用D045SP及以上版本 |
安全取证证据功能 |
D1136及以上版本 |
D032P21版本及以上版本 |
防火墙/入侵防御系统需要有IPS和AV License授权,缺少License授权将影响安全威胁发现与运营管理平台安全事件分析。如果缺少IPS或AV License授权,可申请临时License授权。
必须使用H3C官网发布最新IPS和AV特征库。有关特征库升级的介绍请参见设备配套资料。
防火墙/入侵防御系统的管理IP与安全威胁发现与运营管理平台对外通信IP地址网络互通。
根据防火墙/入侵防御系统设备上报日志方式,确认对应UDP端口号可用,如Syslog方式上报日志默认使用UDP协议的514端口号。
防火墙/入侵防御系统系统时间必须配置成GMT+08:00北京时间。
执行display clock命令查看当前系统时间是否为GMT+08:00北京时间。
如系统时间不是GMT+08:00北京时间,可以通过命令行配置系统时间。
(1) 进入系统视图。
system-view
(2) 通过命令行配置系统时间。关闭NTP/PTP协议获取时间。
clock protocol none
(3) 配置系统所在的时区。缺省情况下,系统所在的时区为零时区,即设备采用UTC时间。
clock timezone Beijing add 08:00:00
(4) 返回用户视图。
quit
(5) 配置系统时间。如当前北京时间为2020年2月14日15:16:00,配置命令如下:
clock datetime 15:16:00 2020/2/14
以安全策略为例进行介绍,域间策略的配置请参考安全策略。
修改安全策略开启IPS策略和防病毒策略的default策略
开启IPS策略或防病毒策略前请先评估是否对现网业务及设备自身(如性能、报文转发速率等)有影响。
在“策略 > 安全策略 > 安全策略”界面,编辑安全策略规则,内容安全区域中的IPS策略选择default,防病毒策略选择default。安全策略配置变更之后,需要立即加速才能生效。内容安全配置变更之后,需要提交才能生效。
安全威胁发现与运营管理平台的安全分析不依赖安全策略日志,为减轻平台日志采集压力,建议关闭安全策略日志功能。
关闭安全策略日志记录功能后,设备本地不再记录安全策略日志,也不会上报安全策略日志到日志服务器。实际配置时,请确认可以关闭该功能后再关闭。
在“策略 > 安全策略 > 安全策略”界面,编辑安全策略规则,选择关闭记录日志功能。安全策略配置变更之后,需要立即加速才能生效。内容安全配置变更之后,需要提交才能生效。
对已发生的安全事件,安全威胁发现与运营管理平台支持通过手动和自动下发响应联动策略到安全设备,以防此类事件再次发生,阻断攻击:
· 通过NETCONF网络管理协议对安全设备进行策略配置。
· 联动策略支持下发黑名单策略和安全策略到安全设备。
· 响应联动功能仅支持H3C FW和IPS设备,暂不支持其他第三方设备。
· 仅支持IPv4联动策略配置,不支持IPv6策略。
NETCONF会话公共属性配置使用设备缺省配置即可,有关说明请参见设备配套资料。
配置平台和安全设备建立NETCONF建立会话,推荐使用封装成SOAP报文后通过HTTPS协议传输。
若同时配置SOAP和SSH会话,优先采用建立SOAP会话,当删除SOAP会话配置后,使用SSH建立会话。
配置NETCONF over SOAP over HTTPS功能后,用户可以通过安全威胁发现与运营管理平台给安全设备下发NETCONF指令来实现对设备的访问。配置步骤如下:
(1) 进入系统视图。
system-view
(2) 开启NETCONF over SOAP功能。推荐使用HTTPS协议传输。缺省情况下,NETCONF over SOAP处于关闭状态。
netconf soap { http | https } enable
(3) 配置NETCONF over SOAP关联ACL,只有ACL允许通过的客户端可以与设备建立NETCONF over SOAP会话。缺省情况下,未配置NETCONF over SOAP关联ACL。
netconf soap { http | https } [ ipv6 ] acl { acl-number | name acl-name }
建立NETCONF over SSH会话前,确保安全威胁发现与运营管理平台能够通过SSH登录到设备。
(1) 进入系统视图。
system-view
(2) 开启NETCONF over SSH。缺省情况下,NETCONF over SSH处于关闭状态。
netconf ssh server enable
(3) 配置NETCONF over SSH的监听端口。缺省情况下,NETCONF over SSH的监听端口为830。
netconf ssh server port port-number
(4) 配置NETCONF over SSH关联的IPv4 ACL。缺省情况下,未配置NETCONF over SSH关联的IPv4 ACL。请根据实际情况确认是否需要配置关联IPv4 ACL。
netconf ssh acl { ipv4-acl-number | name ipv4-acl-name }
建立NETCONF会话后,安全威胁发现与运营管理平台先与设备进行能力集交互,完成能力集的交互后,设备才能处理平台发送的其他请求。推荐在安全设备上配置1个用户账号用于平台与安全设备信息交互,用户名为h3c_csap,密码为H3C_csap,并开启对应的本地用户可以使用的服务类型。
避免多个用户同时配置设备,否则,可能会导致配置错误。
(1) 进入系统视图。
system-view
(2) 添加设备管理类本地用户h3c_csap,并进入设备管理类本地用户视图。
local-user admin h3c_csap
(3) 设置本地用户的密码H3C_csap。
password simple H3C_csap
(4) 开启对应的本地用户可以使用的服务类型。按实际情况进行配置,如NETCONF over SOAP over HTTPS方式建立会话,则开启HTTPS服务类型;如NETCONF over SOAP over HTTP方式建立会话,开启HTTP服务类型;如NETCONF over SSH方式建立会话,开启SSH服务类型。
service-type ssh http https
(5) 设置本地用户或用户组的授权属性。
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
建立NETCONF会话,安全设备需要开启对应的服务。
(1) 进入系统视图。
system-view
(2) 如NETCONF over SOAP over HTTPS方式建立会话,则开启HTTPS服务类型。
ip https enable
(3) 如NETCONF over SOAP over HTTP方式建立会话,采用HTTP方式封装协议则开启HTTP服务类型。
ip http enable
(4) 如NETCONF over SSH方式建立会话,开启SSH服务类型。
ssh server enable
安全设备开启黑名单过滤功能后,响应联动下发黑名单策略才会生效。
(1) 进入系统视图。
system-view
(2) 开启黑名单过滤功能。请选择其中一项开启功能。不同款型和版本存在差异,请根据实际情况配置。
a. 开启全局黑名单过滤功能。缺省情况下,全局黑名单功能处于关闭状态。响应联动黑名单表项将在全局应用生效。
blacklist global enable
b. 开启安全域上的黑名单过滤功能。缺省情况下,安全域上的黑名单功能处于关闭状态。响应联动黑名单表项将在安全域内应用生效。
security-zone name zone-name
blacklist enable
c. 开启接口上的黑名单过滤功能。缺省情况下,接口上的黑名单功能处于关闭状态。响应联动黑名单表项将在接口上应用生效。
interface interface-type interface-number
blacklist enable
响应联动功能支持对安全设备下发安全策略,设备开启安全策略功能后,联动策略下发的安全策略才能生效。
对于采用域间策略功能的安全设备,响应联动策略只支持下发黑名单。
安全设备上可将域间策略转化成安全策略,详见安全设备配套资料。
在平台上将安全设备配置为资产。
· 录入资产名称、资产描述、资产类型、区域信息等信息。其中,资产类型必须配置成入侵防御或者防火墙,否则,响应联动功能配置无法选择安全设备进行策略下发。
· 录入资产厂商信息:H3C。
· 录入安全设备的管理IP地址,该IP地址必须与安全威胁发现与运营管理平台网络互通,平台通过与此IP地址与设备建立NETCONF会话。
(1) NETCONF over SOAP over HTTPS
· 访问URL协议:选择HTTPS。
· 端口号:默认端口号为832。
· 访问路径:/soap/netconf。
· 用户名、密码:NETCONF管理账户,与设备侧保持一致,如用户名h3c_csap,密码H3C_csap。
(2) NETCONF over SSH
· 认证模式:NETCONF管理账户h3c_csap的认证模式为密码。
· 用户名、密码:NETCONF管理账户h3c_csap的用户名和密码信息。
· 超时时间:平台与安全设备之间建立SSH会话超时时间,默认为10秒。
· 重试次数:平台与安全设备之间建立SSH会话重连次数,默认为3次。
· SSH端口:默认端口号为830,根据安全设备NETCONF会话配置端口号进行配置。
平台支持用户通过手动方式对某个安全事件下发联动策略,即下发黑名单或安全策略到安全设备,阻断后续攻击。
(1) 在“威胁处置 > 安全事件”界面,单击按钮,弹出响应联动策略配置对话框。
(2) 在响应联动页面,仅勾选“黑名单”,配置相关参数后单击<确认>完成操作。
· IP来源:配置黑名单IP地址。选择该安全事件中的源IP或者目的IP。
· 联动方向:指定下发源IPv4或者目的IPv4黑名单表项。
· 老化时间:黑名单表项老化时间。根据安全设备支持的黑名单老化时间参数取值范围进行配置。否则,黑名单策略下发失败。不配置老化时间表示永不老化黑名单表项。
· 执行目标配置。
¡ 设备类型:只支持H3C FW/IPS设备(设备已被录入为资产)。
¡ 选择设备:选择响应联动的安全设备。安全设备录入资产时,资产类型必须配置为入侵防御或者防火墙,否则,响应联动功能配置无法选择安全设备进行策略下发。
(3) 黑名单策略下发后,待图标从状态变成,单击按钮可查看下发结果。
(4) 在安全设备上可通过命令行或Web查看下发的黑名单。
· 通过执行命令行display current-configuration | in blacklist查看黑名单表项配置信息。
· 在Web界面“策略 > 安全防范 > 黑名单”界面查看黑名单表项配置。
不同型号和版本设备的Web界面可能不一致,请以设备实际情况为准。
(5) 黑名单下发后,支持通过回滚方式撤销黑名单表项配置。单击按钮进入联动策略页面,单击<回滚>按钮撤销配置。
(6) 联动策略回滚成功后,页面图标将从状态变成。
(7) 回滚成功后可在安全设备上验证黑名单配置。
(1) 在响应联动页面,仅勾选“访问控制”,配置相关参数后单击<确认>完成操作。
· 设备类型:只支持H3C FW/IPS设备(设备已被录入为资产)。
· 选择设备:选择响应联动的安全设备。安全设备录入资产时,资产类型必须配置为入侵防御或者防火墙,否则,响应联动功能配置无法选择安全设备进行策略下发。
(2) 黑名单策略下发后,待图标从状态变成,单击按钮可查看下发结果。
(3) 在安全设备可通过命令行或Web上查看下发的安全策略,以Web为例。
不同型号和版本设备的Web界面可能不一致,请以设备实际情况为准。
(4) 安全策略下发后,支持通过回滚方式撤销安全策略配置。单击按钮进入联动策略页面,单击<回滚>按钮撤销配置。
(5) 联动策略成功回滚后,页面图标将从状态变成。
(6) 回滚成功后可在安全设备上验证安全策略。
配置响应联动策略后,系统将根据响应联动策略自动下发对应的策略到安全设备。
(1) 在“威胁处置 > 响应联动”界面,单击<新增>按钮新增响应联动策略,配置相关参数单击<确认>按钮完成操作。
· 策略名称、策略描述:新增响应联动策略名称和描述信息。
· 关联规则:根据关联规则所分析得出的安全事件触发联动策略下发。
· 是否生效:是否开启响应联动策略,缺省情况下,响应联动策略配置立即生效。
· 动作配置(至少选择一项配置):
¡ 黑名单:下发黑名单到安全设备
¡ 访问控制:下发安全策略到安全设备
(2) 在“威胁处置 > 响应联动”界面可以查看所响应联动策略。
(3) 配置响应联动策略后,当关联规则匹配到安全事件后将触发响应联动策略,平台根据策略自动下发黑名单或安全策略到安全设备。
(4) 如需关闭响应联动策略,可在“威胁处置 > 响应联动”界面,单击按钮进入编辑响应联动策略对话框,将“是否生效”改成“否”,单击<保存>按钮。
取证功能将安全设备IPS功能模块检测到的攻击日志和攻击报文相关联,处理安全事件时,用户可以在平台上查看报文字段和下载攻击报文抓包文件,确认攻击的真实性。
取证证据功能依赖于安全设备开启IPS取证抓包功能并将抓包文件上传到本平台。有关安全设备配置抓包功能的详细介绍请参见安全设备配套资料。
安全设备IPS功能模块检测到的攻击,攻击动作为Permit,并且该IPS规则ID开启抓包功能,平台安全事件详情页才可能查看到网络取证信息。
安全设备配置上传捕获报文的URL地址时:
· 对于安全威胁发现与运营管理平台增强版,上传URL为“tftp://Cyber4的对外通信IP地址”。
· 对于安全威胁发现与运营管理平台标准版,上传URL“tftp://安全威胁发现与运营管理平台WEB登录IP地址”。
(1) 在“威胁处置 > 安全事件”界面,单击按钮,进入安全事件详情。
(2) 安全事件详情页面取证证据中网络取证标签页可以查看到攻击抓包信息,单击<下载PCAP包>可以下载抓包文件到本地。
本节介绍平台通过syslog方式采集H3C防火墙/入侵防御系统的系统日志、IPS、AV模块日志。
选择“系统 > 日志设置 > 基本配置”菜单,进入“系统日志”页面进行如下配置:
· 选中“是否将系统日志输出到日志缓冲区”。
· 日志缓冲区上限使用缺省配置1024条。
· 新建日志主机。
¡ 日志主机:安全威胁发现与运营管理平台日志采集IP地址。
¡ 端口号:缺省情况下,端口号为514。建议使用缺省配置。
¡ VRF:缺省情况下为公网,使用缺省配置。
在“系统 > 日志设置 > 威胁日志”界面,配置入侵防御日志和防病毒日志。
· 入侵防御日志。
¡ 选中“输出系统日志”。
¡ 选中“输出中文日志”。若输出中文日志,安全威胁发现与运营管理平台对应日志字符集配置为gbk,若未选择输出中文日志,安全威胁发现与运营管理平台对应日志字符集配置为utf8。推荐配置输出中文日志。
· 防病毒日志。
¡ 选中“输出系统日志”。
设备配置变更后,为避免重启后配置丢失,将当前配置保存到下次启动配置文件。
· 通过Web界面保存配置文件
在“系统 > 维护 > 系统设置 > 配置文件”界面,单击<保存当前配置>按钮,保存系统配置文件。
· 命令行保存配置文件
在用户视图下执行save命令保存系统配置。
在安全威胁发现与运营管理平台上将安全设备配置为日志源,如下图所示。
· 名称:自定义设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“IPS”或“FW”。
· 厂商名称:选择“H3C”。
· 设备型号:请根据实际情况选择。
· 采集器名称:选择安全威胁发现与运营管理平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:选择“gbk”。若输出中文日志,安全威胁发现与运营管理平台对应日志字符集配置为gbk,若未选择输出中文日志,安全威胁发现与运营管理平台对应日志字符集配置为“utf8”。推荐入侵防御日志输出中文日志,方便用户查看攻击名称。
· 例外:使用缺省值,不需要配置。