登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台 用户FAQ(E1501)-5W100

手册下载

H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台 用户FAQ(E1501)-5W100-整本手册.pdf  (283.61 KB)

  • 发布时间:2024/7/15 20:20:30
  • 浏览量:
  • 下载量:

H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台

用户FAQ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

 

1 系统设置类FAQ· 1

产品是否支持直接断电?· 1

登录系统后,找不到“系统配置”菜单项?· 1

平台是否可以通过后台修改IP地址?·· 1

平台是否可以给用户分配管理权限?·· 1

平台是否支持修改Logo以及公司名称?·· 1

登录系统时显示远程IP禁止登录?·· 2

系统顶栏中下载框中记录内容是什么意思?·· 2

流量过滤和白名单有什么区别?·· 2

2 License授权类FAQ· 2

威胁情报无法导入?·· 2

本地授权如果同时导入1年升级 授权和三年升级 授权,实际有效期为多少?·· 2

3 日志管理类FAQ· 2

平台可以存储日志多少长时间?·· 2

接入被动日志源后,采集器统计信息中有日志 ,日志中心无法查询到日志?·· 2

平台是否支持IPv6日志分析·· 2

4 配置管理类FAQ· 3

区域管理·· 3

平台的区域如何划分?·· 3

自定义的区域网段与平台预定义的默认区域重叠了,但是不想使用默认区域名称怎么办?·· 3

资产管理·· 3

资产价值如何划分?·· 3

资产探针开启后,为什么没有主动探测资产?·· 3

组件异常时,有删除资产操作,组件恢复后,点击1次一键整理,没有效果?·· 3

情报配置·· 3

正确配置了DNS服务器地址,为什么没有在线升级情报?·· 3

MD5情报离线升级时,H3C官网有两种病毒特征库版本(V7)”,应该选择哪一种?·· 4

白名单配置·· 4

白名单配置后为什么告警没有过滤?·· 4

配置白名单后,是否过滤已发生的安全告警?·· 4

5 威胁处置类FAQ· 4

安全告警·· 4

安全告警详情中网络取证为什么没数据?·· 4

安全告警详情下原始日志为什么只有100条?·· 4

为什么有安全日志上报,但是在安全告警页面没有安全告警?·· 4

为什么存在安全告警,但是异常流量中没有数据?·· 4

流量回溯分析·· 4

只按照源IP地址为条件下载报文,在线分析出来的报文源IP和目的IP符合该IP的都有?·· 4

下载的报文是空的或与展示的数据包大小对不上?·· 5

元数据日志·· 5

当搜索httpURI时,无法搜索出数据,这是为什么?·· 5

响应编排·· 5

响应编排是否支持第三方厂商设备?·· 5

删除响应联动策略是否会删除下发的安全策略?·· 5

威胁情报·· 5

威胁情报是否支持在线升级?·· 5

H3C官网上的威胁情报多久更新一次?·· 5

风险资产·· 6

进入资产画像下风险分析-安全告警有数据,但是网络访问关系没有数据·· 6

资产画像下安全病例只有安全告警处理处置记录,没有脆弱性数据的处理记录·· 6

处置工单·· 6

创建只包含脆弱性数据的工单,在处置时为什么脆弱性风险数据为空?·· 6

设置告警通知邮箱收件人中同时包含错误和正确邮箱,为什么不会打印发送失败的原因?·· 6

6 流量分析类FAQ· 6

日志中心存在流量日志,流量分析界面没有生成流量数据?·· 6

行为分析页面,选择统计周期分别为24h7天时展示数据为何存在差异?·· 6

7 场景化分析类FAQ· 6

恶意文件分析中,恶意文件下感染主机数提示“列表最多展示20000条数据”,但影响资产超过20000后只展示了10000的数据?·· 6

勒索感染分析为什么勒索告警下钻查看总数1万以上,查看分页最多只能查看到1万数据?·· 6

恶意文件分析页面,当恶意文件总数超过10000以后,为什么顶栏存在恶意文件数只记录10000·· 7

挖矿感染分析页面,当挖矿矿池分布或挖矿币种分布计数达到15万以上时,点击筛选挖矿主机列表,为什么列表展示数据没有币种计数那么多?·· 7

TLS加密流量分析页面为什么会出现上面6个统计图有统计数据,下面列表中却没有数据?·· 7

为什么查看有些会话详情的时候经常能看到有的服务端信息无数据,或者证书信息无数据?·· 7

 

H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台用户FAQ

本文档介绍H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台(以下简称NDR)的用户常见问题及解答。

系统设置类FAQ

产品是否支持直接断电?

不支持,异常断电可能导致硬盘、系统文件等损坏,建议配置UPS电源保护。

登录系统后,找不到“系统配置”菜单项?

 “系统配置”位置:系统右上角登录用户下拉选项可选择“系统设置”,即可见“系统配置”菜单项

 

平台是否可以通过后台修改IP地址?

不允许,后台修改IP,会造成系统无法登录。

平台是否可以给用户分配管理权限?

平台支持分权分域,用户可根据实际需求在“系统设置 > 系统配置 > 权限管理 > 角色管理”界面创建角色,并为角色分配区域权限和菜单功能权限,然后创建用户并为其指定角色即可。

平台是否支持修改Logo以及公司名称?

支持,在“系统设置 > 系统配置 >个性化定制”界面可更换Logo、公司名称。

登录系统时显示远程IP禁止登录?

管理员在“系统设置 > 系统配置 > 全局配置 > 系统登录白名单”页面配置了登录白名单,若登录IP不在白名单中,则无法登录。

系统顶栏中下载框中记录内容是什么意思?

系统中原始数据、分析数据导出都会记录在下载框中,如风险资产导出、安全告警导出、原始日志导出等。记录内容按角色进行数据隔离,每个角色最多保存100个文件的导出记录。

流量过滤和白名单有什么区别?

白名单是不进行安全分析,会进行其他数据的采集。流量过滤的策略既做安全分析,也会进行其他数据的采集(如:识别资产,记录会话日志,存储报文)

License授权类FAQ

威胁情报无法导入?

威胁情报模块,需要激活威胁情报更新升级授权函且在有效期内,才支持威胁情报升级。

本地授权如果同时导入1年升级 授权和三年升级 授权,实际有效期为多少?

实际有效期为四年升级授权。

日志管理类FAQ

平台可以存储日志多少长时间?

不同类型日志的默认存储时间不同,用户可以在“系统设置 > 系统配置 > 全局配置 > 数据清理设置”页面修改存储时间。

接入被动日志源后,采集器统计信息中有日志 ,日志中心无法查询到日志?

日志源日志发送时间与NDR平台时间相差超过24h时会被丢弃,请调整两者时间保持一致。

平台是否支持IPv6日志分析

支持,但发送IPv6日志的日志源IP地址必须为IPv4地址,暂不支持配置IPv6地址。

配置管理类FAQ

区域管理

平台的区域如何划分?

区域是为了方便管理,对用客户网络进行逻辑划分,并标记用户网络中每个IP的区域位置,以及区分IP地址是否为用户内网地址。

配置区域时,必须配置完整、精确、准确的地址信息,否则将导致大数据分析错误。

例如,某省级机构有3个下属子机构,分别位于不同的地市,各子机构有自己的网络与接入用户,该场景下,平台的区域及子区域划分方法如下:

省级机构配置为父区域,地理位置选择实际位置,三个下属子机构配置为3个不同的子区域,子区域下根据实际情况配置用户网段和资产。

自定义的区域网段与平台预定义的默认区域重叠了,但是不想使用默认区域名称怎么办?

可正常自定义区域并添加该网段,数据处理时,优先使用自定义区域进行匹配。

资产管理

资产价值如何划分?

平台添加资产时,需要根据资产所处网络位置、承载业务等信息评估资产价值、重要程度,建议将数据中心等承载关键业务系统的设备价值配置为关键,安全设备、网络核心设备等配置为高。

资产探针开启后,为什么没有主动探测资产?

请通过资产探针“配置”前往资产探针配置页面,进行扫描配置:设置扫描时间段及区域IP地址段。

组件异常时,有删除资产操作,组件恢复后,点击1次一键整理,没有效果?

当组件异常时,有删除资产操作,组件恢复后,需要点击两次一键整理才能清除完已删除资产的数据。

情报配置

正确配置了DNS服务器地址,为什么没有在线升级情报?

平台在每天凌晨6点进行情报在线升级,当天配置DNS服务器后,第二天才能查看升级结果。如果未升级或升级失败请检查如下几项配置:

·              已导入威胁情报更新升级授权函

·              确保正确配置DNS服务器地址后,平台并可以正常访问官网

·              在线升级开关处于开启状态

MD5情报离线升级时,H3C官网有两种“病毒特征库版本(V7)”,应该选择哪一种?

选择名称带“8G以下硬件内存”的文件。

白名单配置

白名单配置后为什么告警没有过滤?

白名单配置后,后台处理数据需要至少1分钟,等待约1分钟后,安全告警数据才会刷新。

配置白名单后,是否过滤已发生的安全告警?

过滤,安全告警加入白名单后,安全告警相关统计数据将过滤匹配白名单的告警。

威胁处置类FAQ

安全告警

安全告警详情中网络取证为什么没数据?

网络取证功能需配合H3C安全设备,并进行相关配置后才能解析,有关网络取证功能的配置请参见平台对外测试手册。

安全告警详情下原始日志为什么只有100条?

告警详情下钻原始日志最多只展示100条数据。

为什么有安全日志上报,但是在安全告警页面没有安全告警?

安全日志需要匹配到关联规则的匹配条件才能生成安全告警,请确认安全日志是否满足相应的关联规则条件。安全告警页面只展示关注点为已配置的资产或用户的安全告警,请确认所有内网IP是否均已配置为资产。

为什么存在安全告警,但是异常流量中没有数据?

安全告警与异常流量 分析属于两种不同的安全分析维护,异常流量告警会产生安全告警,但是安全告警不一定为异常流量 ,因为两者不存在完全对应关系

流量回溯分析

只按照源IP地址为条件下载报文,在线分析出来的报文源IP和目的IP符合该IP的都有?

目前产品的实现的原则是尽可能把符合条件的整条会话的报文都展示出来。

如果只过滤源IP地址的报文,可能不符合分析的场景,我们更倾向于知道以这个IP为源的会话涉及到的相关报文;

但是假如我们要求过滤出以这个IP地址作为源的会话相关的报文(就是建立会话时,会话的源IP地址,跟这个会话相关的报文本身就是包括双向的),这个大概是无法实现,所以为了把我们想要的报文都过滤出来,条件就会更宽泛,将我们需要的报文包括在里面,所以就会粗暴地将以之为源和目的的报文全部过滤出来。

所有涉及到MACIP、端口的源和目的的都是这样的结果。

下载的报文是空的或与展示的数据包大小对不上?

页面上展示的是会话从开始到结束所有数据包的统计,而下载功能下载的报文,只是在选取时间内的报文,如果选取的时间范围内该会话没有传输报文或传输了部分报文,那么下载下来的报文就是空的或是非全部报文,从而与展示的数据包大小对不上

如果想要下载该会话统计上所有的报文,可通过查看该会话的起止时间,选取时间范围包含整条会话的时间,就可以把该会话统计上所有的报文下载下来了。

当然原因可能不止这一种,可能是“全包存储”功能未开启,也可能选取时间太久远,报文被“磁盘管理”自动清理掉了。

元数据日志

当搜索httpURI时,无法搜索出数据,这是为什么?

需要在特殊符号前面加上转义符号\,否则语法是不合法的,其它高级语法参见如下网站:https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-query-string-query.html#query-string-syntax

响应编排

响应编排是否支持第三方厂商设备?

支持,当前支持华为USG防火墙、天融信NGFW防火墙、深信服AF防火墙、山石防火墙、山石入侵防御系统、海康威视防火墙

删除响应联动策略是否会删除下发的安全策略?

不会,删除响应联动策略不会删除已下发到设备的安全策略,如需删除已下发的安全策略请在安全告警界面,单击操作列的<编排>按钮进入对应告警的执行记录页面,点击<撤销执行>按钮撤销配置,或在目标设备上找到对应的策略并删除。

威胁情报

威胁情报是否支持在线升级?

支持,但需确保平台可以访问H3C官网。

H3C官网上的威胁情报多久更新一次?

正常情况下一周更新一次。

风险资产

进入资产画像下风险分析-安全告警有数据,但是网络访问关系没有数据

网络访问关系目前默认设计统计最近24小时的数据,风险分析下默认180天;需要配置网络访问关系的统计周期查询

资产画像下安全病例只有安全告警处理处置记录,没有脆弱性数据的处理记录

资产画像下安全病例只统计安全告警处理处置记录,脆弱性数据的处理处置记录不统计

处置工单

创建只包含脆弱性数据的工单,在处置时为什么脆弱性风险数据为空?

当删除脆弱性资产时,会将资产关联的脆弱性数据也删除,因此工单中的脆弱性数据也被清空。

设置告警通知邮箱收件人中同时包含错误和正确邮箱,为什么不会打印发送失败的原因?

收件人同时包含正确和错误邮箱时,系统无法判断最终发送结果是否成功。因此在配置多个收件人且存在错误收件人的情况下,只会发送告警通知给正确的邮箱收件人,不打印错误收件人信息及告警通知发送失败的原因。

流量分析类FAQ

日志中心存在流量日志,流量分析界面没有生成流量数据?

日志源发送日志时间与NDR平台时间存在差异时,可能导致流量数据未生成,请调整两者时间保持一致。

行为分析页面,选择统计周期分别为24h7天时展示数据为何存在差异?

日志源发送日志时间与NDR平台时间存在差异时,会导致两个时间段统计数据存在差异,请调整两者时间保持一致。

场景化分析类FAQ

恶意文件分析中,恶意文件下感染主机数提示“列表最多展示20000条数据”,但影响资产超过20000后只展示了10000的数据?

感染主机数最多展示20000数据是指最多展示资产主机10000条数据。

勒索感染分析为什么勒索告警下钻查看总数1万以上,查看分页最多只能查看到1万数据?

勒索告警下钻是通过调用Elasticsearch的接口查看告警明细,Elasticsearch接口查询返回数据最多返回10000条,所以页面最多查看10000条告警明细。

恶意文件分析页面,当恶意文件总数超过10000以后,为什么顶栏存在恶意文件数只记录10000

恶意文件分析顶栏存在列表最多展示20000条数据,其中,MD5值为空最多展示10000条,MD5值不为空最多展示10000

挖矿感染分析页面,当挖矿矿池分布或挖矿币种分布计数达到15万以上时,点击筛选挖矿主机列表,为什么列表展示数据没有币种计数那么多?

矿池与币种分布根据实际数据进行统计分析 ,不进行数据限制。挖矿主机列表限制了主机数,只统计最近发生的主机,统计最近发生的统计最近发生的10万资产主机。

TLS加密流量分析页面为什么会出现上面6个统计图有统计数据,下面列表中却没有数据?

上面6个统计图表统计的数据与列表中数据源不一致,因此在加密会话占比很小时,有概率会出现统计中有数据,列表无数据的情况

为什么查看有些会话详情的时候经常能看到有的服务端信息无数据,或者证书信息无数据?

上述情况是由于流量中会话交互信息不全,没有服务端的报文过来,或者交互中未使用证书;由于流量是旁路进来的,所以还会存在很多报文乱序重传的情况

加密流量分析支持哪些版本?

目前加密流量分析,支持SSLv3 TLS1.1TLS1.2TLS1.3版本

新华三官网
联系我们