手册下载
H3C SecCenter 安全威胁发现与运营管理平台 用户FAQ-5W103-整本手册.pdf (342.14 KB)
H3C SecCenter 安全威胁发现与运营管理平台
用户FAQ
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
预定义角色中有租户管理员,为什么新增用户时不可以选择租户管理员?
License Server存在2个威胁情报更新升级授权函,分别为一年升级授权和三年升级授权,申请授权时未指定有效期,如何确定?
License Server存在2个威胁情报更新升级授权函,分别为一年升级授权和三年升级授权,是否能够在激活一年的前提下扩容激活?
平台已从License Server获取授权,能否断开与server之间的连接?
本地授权如果同时导入1年升级 授权和三年升级 授权,实际有效期为多少?
添加日志源时,在厂商、设备类型、设备型号下拉列表中找不到对应的选项怎么处理?
接入被动日志源后,采集器统计信息中有日志 ,日志中心无法查询到日志?
自定义的区域网段与平台预定义的默认区域重叠了,但是不想使用默认区域名称怎么办?
组件异常时,有删除资产操作,组件恢复后,点击1次一键整理,没有效果?
MD5情报离线升级时,H3C官网有两种“病毒特征库版本(V7)”,应该选择哪一种?
事件台账中发现攻击源为客户网络中的扫描设备,产生了误报怎么办?
响应编排剧本配置告警通知、处置工单动作时,修改用户邮箱及手机号,重新执行剧本时,邮箱账号及手机号为什么没有更新?
进入资产/终端画像下风险分析-安全事件有数据,但是网络访问关系没有数据
资产画像下安全病例只有安全事件处理处置记录,没有脆弱性数据的处理记录
资产画像下脆弱性分析,对漏洞进行验证,选择漏扫联动时下发后持续加载是什么原因
创建只包含脆弱性数据的工单,在处置时为什么脆弱性风险数据为空?
设置告警通知邮箱收件人中同时包含错误和正确邮箱,为什么不会打印发送失败的原因?
导入漏扫报告后,平台解析的报告内容为空或比实际扫描IP少,为什么?
对目标主机进行漏扫,该主机网络不可达时下发任务能扫描出结果吗?
漏洞文件导入或者是添加漏扫目标且漏扫完成后,为什么无扫描主机数和漏洞数?
漏扫任务中添加的漏扫目标或漏洞导入的IP在区域网段内,并且主机在线,网络互通,但是扫描完成或者是漏洞导入后无数据,为什么?
一台流量探针设备是否可以同时部署异常流量分析、互联网流量分析功能?是否需要镜像两份流量到探针的两个数据口?
行为分析页面,选择统计周期分别为24h和7天时展示数据为何存在差异?
恶意文件分析中,恶意文件下感染主机数提示“列表最多展示20000条数据”,但影响资产超过20000后只展示了10000的数据?
勒索感染分析为什么勒索事件下钻查看总数1万以上,查看分页最多只能查看到1万数据?
恶意文件分析页面,当恶意文件总数超过10000以后,为什么顶栏存在恶意文件数只记录10000?
挖矿感染分析页面,当挖矿矿池分布或挖矿币种分布计数达到15万以上时,点击筛选挖矿主机列表,为什么列表展示数据没有币种计数那么多?
H3C SecCenter安全威胁发现与运营管理平台
用户FAQ
本文档介绍H3C SecCenter 安全威胁发现与运营管理平台的用户常见问题及解答。
不支持,异常断电可能导致硬盘、系统文件等损坏,建议配置UPS电源保护。
E1143版本后,功能菜单栏进行了调整优化。“系统配置”位置:系统右上角登录用户下拉选项可选择“系统配置”

不允许,后台修改IP,会造成系统无法登录。
平台支持分权分域,用户可根据实际需求在“系统配置 > 权限管理 > 角色管理”界面创建角色,并为角色分配区域权限和菜单功能权限,然后创建用户并为其指定角色即可。
预定义角色租户管理员通常在多租户场景下使用,当新增用户所属租户为默认租户时,不能将其角色配置为租户管理员。
支持,在“系统配置 >个性化定制”界面可更换Logo、公司名称。
管理员在“系统设置 > 全局配置 > 系统登录白名单”页面配置了登录白名单,若登录IP不在白名单中,则无法登录。
系统中原始数据、分析数据导出都会记录在下载框中,如风险资产、风险用户导出、安全事件导出、原始日志导出等。记录内容按角色进行数据隔离,每个角色最多保存100个文件的导出记录。

威胁情报模块,需要激活威胁情报更新升级授权函且在有效期内,才支持威胁情报升级。
不支持同时生效,切换授权方式时,平台原方式获取到的授权会被清空,需要重新授权。
默认激活威胁情报三年更新升级授权函。
不支持在已经激活1个授权情况下扩容激活。
不可以,需要保持与server之间的正常通信,否则断开连接30天后,系统授权失效,无法登录。
实际有效期为四年升级授权。
平台E1142P04版本之前最多可支持接入512个被动采集日志源和128个主动采集日志源,E1142P04版本之后最多可支持接入1024个被动采集日志源和128个主动采集日志源。
Linux主机日志可以通过以下两种方式接入平台:
· 在Linux主机上配置syslog服务将日志发送到平台进行储存和分析。
· 在Linux或Windows主机上部署Agent采集代理后,Agent将收集主机日志发往平台进行储存和分析。
添加日志源时,在厂商、设备类型、设备型号下拉列表中找不到对应的选项,表示平台暂不支持该设备的日志适配,可先将其厂商、设备类型、设备型号配置为其他,平台将支持收集、存储、查询该设备上报的日志,但不解析。如有需求可申请日志适配服务。
请参考典型配置指导书《 H3C SecCenter 安全威胁发现与运营管理平台 被动采集日志源配置指导书》。
购买日志适配服务,并提供原始日志和设备日志手册。适配过程中,配合H3C技术人员反馈适配结果。
不同类型日志的默认存储时间不同,用户可以在“系统配置 > 全局配置 > 系统设置>数据清理”页面修改存储时间。
日志源日志发送时间与态势感知平台系统时间相差超过24h时会被丢弃,请调整两者时间保持一致。
支持,但发送IPv6日志的日志源IP地址必须为IPv4地址,暂不支持配置IPv6地址。
区域是为了方便管理,对用客户网络进行逻辑划分,并标记用户网络中每个IP的区域位置,以及区分IP地址是否为用户内网地址。
配置区域时,必须配置完整、精确、准确的地址信息,否则将导致大数据分析错误。
例如,某省级机构有3个下属子机构,分别位于不同的地市,各子机构有自己的网络与接入用户,该场景下,平台的区域及子区域划分方法如下:
省级机构配置为父区域,地理位置选择实际位置,三个下属子机构配置为3个不同的子区域,子区域下根据实际情况配置用户网段和资产。
可正常自定义区域并添加该网段,数据处理时,优先使用自定义区域进行匹配。
请【资产中心-终端配置】下确认是否配置了终端网段,以及终端网段内IP是否确实受到攻击。
平台添加资产时,需要根据资产所处网络位置、承载业务等信息评估资产价值、重要程度,建议将数据中心等承载关键业务系统的设备价值配置为关键,安全设备、网络核心设备等配置为高。
请确认区域内IP是否和终端网段重叠,若存在重叠,则重叠IP优先作为终端。
请通过资产中心>资产配置>资产发现>主动发现资产,点击“新建任务”按钮,创建探测任务,选择探针设备及探测区域及IP段信息,点击“设置扫描时间段”设置扫描时段。
当组件异常时,有删除资产操作,组件恢复后,需要点击两次一键整理才能清除完已删除资产的数据。
在H3C官网下载最新的情报,在“系统配置> 特征库升级”界面导入最新情报进行升级。
平台在每天凌晨6点进行情报在线升级,当天配置DNS服务器后,第二天才能查看升级结果。如果未升级或升级失败请检查如下几项配置:
· 已导入威胁情报更新升级授权函
· 确保正确配置DNS服务器地址后,平台并可以正常访问官网
· 在线升级开关处于开启状态
选择名称带“8G以下硬件内存”的文件。
白名单配置后,后台处理数据需要至少1分钟,等待约1分钟后,安全事件数据才会刷新。
过滤,安全事件加入白名单后,安全事件相关统计数据将过滤匹配白名单的事件。
发现事件台账中存在横向渗透攻击事件,经查证发现攻击源为用户网络中的漏扫设备,此时,可在“系统设置 > 白名单”界面配置白名单策略,并将漏扫设备IP地址配置为过滤条件。
网络取证功能需配合H3C安全设备,并进行相关配置后才能解析,有关网络取证功能的配置请参见平台对外测试手册。
事件详情下钻原始日志最多只展示100条数据。
安全日志需要匹配到关联规则的匹配条件才能生成安全事件,请确认安全日志是否满足相应的关联规则条件。安全事件页面只展示关注点为已配置的资产或用户的安全事件,请确认所有内网IP是否均已配置为资产或终端。
安全事件与异常流量 分析属于两种不同的安全分析维度,异常流量事件会产生安全事件,但是安全事件不一定为异常流量 ,因为两者不存在完全对应关系 。
支持,当前支持华为USG防火墙、天融信NGFW防火墙、深信服AF防火墙
不会,删除响应联动策略不会删除已下发到设备的安全策略,如需删除已下发的安全策略请在事件台账界面,单击操作列的<编排>按钮进入联动策略页面,点击<撤销执行>按钮撤销配置,或在目标设备上找到对应的策略并删除。
修改邮箱及手机号后,还需要在剧本管理页面更新配置的邮箱及手机号参数,重新执行编排时,才会以最新参数下发。
支持,但需确保平台可以访问H3C官网。
正常情况下一周更新一次。
网络访问关系目前默认设计统计最近24小时的数据,风险分析下默认180天;需要配置网络访问关系的统计周期查询
资产画像下安全病例只统计安全事件处理处置记录,脆弱性数据的处理处置记录不统计
添加满规格的漏扫设备或者设备组时,会遍历所有相同类型的设备,直到找到可用的设备后下发,因此下发的时间较长
当删除脆弱性资产时,会将资产关联的脆弱性数据也删除,因此工单中的脆弱性数据也被清空。
收件人同时包含正确和错误邮箱时,系统无法判断最终发送结果是否成功。因此在配置多个收件人且存在错误收件人的情况下,只会发送告警通知给正确的邮箱收件人,不打印错误收件人信息及告警通知发送失败的原因。
支持,目前仅支持联动H3C和绿盟漏扫设备,支持导入其他第三方厂商漏扫报告。
平台仅分析内网资产存在的漏洞情况,对于非内网资产的扫描IP(外网IP和内网用户IP)均不分析。
任务可下发成功,但无漏扫结果。
平台仅分析内网资产存在的漏洞情况。若导入的漏扫文件中的主机IP或者是添加的漏扫目标可能不是区域内资产,或者该IP被加入到了用户网段IP内,此时无扫描主机数和漏洞数。
1) 两条任务在两个漏扫设备上执行,漏扫设备差异性导致漏洞结果不一致。
2) 同一台漏扫设备的两次扫描结果存在差异,导致态势感知获取的结果不一致。
3) 可登录对应漏扫设备查看详细的漏扫报告是否存在差异。
可能有三种原因:
· 漏扫无结果返回可能是目标设备本身无漏洞,可在漏扫设备平台进一步确认。
· 漏扫设备能扫描的IP数已经达到限制,导致无法扫描出结果。
· 漏扫任务正常,但平台当前资产数量已经达到10万限制,无法再进行新的资产添加及分析,导致漏扫详情界面无数据。
进行互联网流量分析时,建议用流量探针作为镜像源,并镜像双向流量。
平台上没有流量去重功能。不建议使用NS板卡上报互联网流量。若必须使用,请配置ACL策略确保各区域镜像的流量不重复。
不需要,互联网流量分析及异常流量分析是平台功能,流量探针上报日志到平台后,由平台进行数据分析和展示。
日志源发送日志时间与态势感知系统时间存在差异时,可能导致流量数据未生成,请调整两者时间保持一致。
日志源发送日志时间与态势感知系统时间存在差异时,会导致两个时间段统计数据存在差异,请调整两者时间保持一致。
感染主机数最多展示20000数据是指最多展示资产主机10000和最多展示终端主机10000条数据。
勒索事件下钻是通过调用Elasticsearch的接口查看事件明细,Elasticsearch接口查询返回数据最多返回10000条,所以页面最多查看10000条事件明细。
恶意文件分析顶栏存在列表最多展示20000条数据,其中,MD5值为空最多展示10000条,MD5值不为空最多展示10000条
矿池与币种分布根据实际数据进行统计分析 ,不进行数据限制。挖矿主机列表限制了主机数,只统计最近发生的主机,其中态势感知集群版,统计最近发生的10万资产主机和5万终端主机,标准版统计最近发生的统计最近发生的10万资产主机和2万终端主机。
