H3C SecCenter 安全威胁发现与运营管理平台 用户FAQ-5W100

手册下载

H3C SecCenter 安全威胁发现与运营管理平台

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本:5W100-20200325

 

 

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


 

1 系统设置··· 1

权限管理·· 1

平台是否可以给用户分配管理权限·· 1

个性化定制·· 1

平台是否支持修改Logo以及公司名称?·· 1

2 日志管理··· 1

日志采集·· 1

平台支持接入多少日志源?·· 1

主机日志怎么接入平台?·· 1

添加日志源时,在厂商、设备类型、设备型号下拉列表中找不到对应的选项怎么处理?·· 1

第三方日志适配需要怎么做?·· 2

平台可以存储多少天日志?·· 2

平台是否支持IPV6日志分析·· 2

3 配置管理··· 2

区域管理·· 2

平台的区域如何划分?·· 2

用户管理·· 2

风险IP类型全部都是资产,没有用户·· 2

资产管理·· 2

资产价值如何划分?·· 2

风险IP全部都是风险用户,没有资产·· 2

情报配置·· 3

平台页面滚动提升情报过期怎么处理?·· 3

4 威胁处置··· 3

安全事件·· 3

安全事件中发现攻击源为用户的扫描设备怎么办?·· 3

安全事件详情中网络取证怎么没数据·· 3

响应联动·· 3

响应联动是否支持第三方设备?·· 3

删除响应联动策略是否会删除下发的安全策略?·· 3

威胁情报·· 3

威胁情报是否支持在线升级?·· 3

H3C官网上的威胁情报多久更新一次?·· 3

漏扫联动·· 3

漏扫联动功能是否支持第三方漏扫设备?·· 3

导入漏扫报告后,平台解析的报告内容为空或比实际扫描IP少,为什么?·· 4

5 流量分析··· 4

流量镜像·· 4

镜像互联网流量怎样选择最佳镜像源?·· 4

互联网流量分析·· 4

NS板卡和流量探针上报的互联网流量是否会被平台重复统计?·· 4

一台流量探针设备是否可以同时部署异常流量分析、互联网流量分析功能?是否需要镜像两份流量到探针的两个数据口?·· 4

6 用户行为分析··· 4

网络中存在Web访问,且设备开启了ACG策略及ACG日志发送,为什么互联网行为分析页面,缺少http统计信息?·· 4

 


H3C SecCenter安全威胁发现与运营管理平台

用户FAQ

本文档介绍H3C SecCenter 安全威胁发现与运营管理平台的用户常见问题及解答。

系统设置

权限管理

平台是否可以给用户分配管理权限

平台支持分权分域,用户可根据实际需求在“系统配置 > 权限管理 > 角色管理”界面创建角色,并为角色分配区域权限和菜单功能权限,然后创建用户并为其指定角色即可。

个性化定制

平台是否支持修改Logo以及公司名称?

支持,在“系统配置 > 权限管理 > 个性化定制”界面可更换Logo、公司名称等配置。

日志管理

日志采集

平台支持接入多少日志源?

平台最多支持接入512个被动采集日志源和128个主动采集日志源。

主机日志怎么接入平台?

Linux主机日志可以通过在主机上配置syslog服务将日志发送到平台。

另外,提供Agent数据采集方案,在LinuxWindows主机部署Agent采集代理后,Agent将收集主机日志发往平台进行储存和分析。

添加日志源时,在厂商、设备类型、设备型号下拉列表中找不到对应的选项怎么处理?

添加日志源时,在厂商、设备类型、设备型号下拉列表中找不到对应的选项表示平台暂不支持该设备的日志适配,可先将其厂商、设备类型、设备型号配置为其他,平台将支持收集、存储、查询该设备上报的日志,但不解析。如有需求可申请日志适配服务。

第三方日志适配需要怎么做?

购买日志适配服务,并提供原始日志和设备日志手册。适配过程中,配合H3C技术人员反馈适配结果。

平台可以存储多少天日志?

不同日志类型的默认存储时间不同,用户也可以在“系统配置 > 全局配置 > 数据清理设置”页面修改存储时间。

平台是否支持IPV6日志分析

支持,但发送IPV6日志的日志源IP地址必须为IPv4地址,暂不支持配置IPv6地址。

配置管理

区域管理

平台的区域如何划分?

区域是为了方便管理,对用客户网络进行逻辑划分,并标记用户网络中每个IP的区域位置,以及区分IP地址是否为用户内网地址。

配置区域时,必须配置完整、精确、准确的地址信息,否则将导致大数据分析错误。

例如,某城域网分三个DC,每个DC均有各办事机构(用户)接入,总部提供服务器供三个DC的接入用户访问。该场景下,平台的区域及子区域划分方法如下:

此城域网配置为父区域,三个DC配置为子区域,子区域下根据实际情况配置用户网段和资产。

用户管理

风险IP类型全部都是资产,没有用户

请确认是否配置了用户网段,以及用户网段内IP是否受到攻击。

资产管理

资产价值如何划分?

平台中添加资产时,需要评估资产价值、重要程度,建议数据中心等承载关键业务系统的设备配置为关键、安全设备以及网络核心设备配置为高。

风险IP全部都是风险用户,没有资产

请确认区域内IP是否和用户网段重叠,若存在重叠,则重叠IP优先作为用户。

情报配置

平台页面滚动提升情报过期怎么处理?

H3C官网下载最新的情报,在“配置管理 > 情报配置”界面导入最新情报进行升级。

威胁处置

安全事件

安全事件中发现攻击源为用户的扫描设备怎么办?

发现安全事件中存在横向渗透攻击,经查证发现攻击源为用户网络中的漏扫设备,此时,可在“配置管理 > 白名单配置”界面配置白名单策略,并将漏扫设备IP地址配置为过滤条件。

安全事件详情中网络取证怎么没数据

网络取证功能需配合H3C安全设备,并进行相关配置后才能解析,有关网络取证功能的配置请参见平台典型部署案例。

响应联动

响应联动是否支持第三方设备?

不支持,目前仅支持H3C防火墙和入侵防御系统设备。

删除响应联动策略是否会删除下发的安全策略?

不会,删除响应联动策略不会删除已下发到设备的安全策略,如需删除请在安全事件界面,单击操作列的按钮进入联动策略页面,点击<回滚>按钮撤销配置,或在目标设备上找到并删除对应的策略。

威胁情报

威胁情报是否支持在线升级?

支持,但需确保平台可以访问H3C官网。

H3C官网上的威胁情报多久更新一次?

正常情况下一周更新一次。

漏扫联动

漏扫联动功能是否支持第三方漏扫设备?

不支持,目前仅支持H3C漏扫设备,但支持导入第三方漏扫报告。

导入漏扫报告后,平台解析的报告内容为空或比实际扫描IP少,为什么?

本平台仅分析内网资产存在的漏洞情况,对于非内网资产的扫描IP(外网IP和内网用户IP)均不分析。

流量分析

流量镜像

镜像互联网流量怎样选择最佳镜像源?

做互联网流量分析时,建议用流量探针作为镜像源,并镜像双向流量。

互联网流量分析

NS板卡和流量探针上报的互联网流量是否会被平台重复统计?

平台上没有流量去重功能。不建议使用NS插卡上报互联网流量。若必须使用,请配置ACL策略确保各区域镜像的流量不重复。

一台流量探针设备是否可以同时部署异常流量分析、互联网流量分析功能?是否需要镜像两份流量到探针的两个数据口?

不需要,互联网流量分析及异常流量分析是平台功能,流量探针上报日志到平台后,由平台进行数据分析和展示。

用户行为分析   

网络中存在Web访问,且设备开启了ACG策略及ACG日志发送,为什么互联网行为分析页面,缺少http统计信息?

设备需要启用URL策略,并发送URL日志,平台根据URL日志的解析结果,填充HTTP统计信息。

联系我们