手册下载
H3C SecPath SSMS-Cloud服务器安全监测系统
典型配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录
登录管理率先应用先进的AI技术算法,通过采集用户的日常登录日志,自动分析用户正常的主机登录习惯。当发生异常登录行为时能快速识别并封禁攻击源IP。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用于H3C服务器安全监测系统SSMS-Cloud 的H3C i-Ware Software, Version 3.1, ESS 6901版本及以上。
图1-1 组网图
(1) 添加白名单:为一个或多个服务器配置白名单IP,配置成功后,不再检测此IP在对应服务器上的暴力破解登录行为。如添加IP:192.168.1.2到所有服务器的白名单,点击确认按钮,添加成功后,再次确认即可。如下图所示:
图1-2 添加白名单
(2) 非白名单登录记录:开启后如果登录使用的IP不在白名单里面,并且没有匹配暴力破解、异地登录、异常账号、异常时间的登录记录就会被记录到非白名单登录的记录里面,建议开启。
(3) 是否加白全部内网IP:开启后,所有服务器将不再检测内网IP在对应服务器上的暴力破解登录行为,请视情况开启。
(1) 进入 “登录管理 > 登录管理设置>常用登录区域”,可以进行常用登录区域配置。
(2) 添加常用登录区域:选择添加常用的登录您服务器的区域,添加成功后,所有服务器将不再对常用登录区域的登录行为进行异地登录检测。如添加中国地区:北京,为常用登录区域,点击确认按钮,即可生效。如下图所示:
图1-3 添加常用登录区域
(1) 进入 “登录管理 > 登录管理设置>常用登录账号”,可以进行常用登录账号配置。
(2) 添加常用登录账号:选择添加常用的登录您服务器的账号,添加成功后,所有服务器将不再对常用登录账号的登录行为进行异常账号登录检测。如添加Windows:admin,为常用登录账号,点击确认按钮,即可生效。如下图所示:
图1-4 添加常用登录账号
(1) 进入 “登录管理 > 登录管理设置>常用登录时间”,可以进行常用登录时间配置。
(2) 添加常用登录时间:选择添加常用的登录您服务器的时间,添加成功后,所有服务器将不再对常用登录时间内的登录行为进行异常时间登录检测。如添加9点-17点,为常用登录时间,点击确认按钮,即可生效。如下图所示:
图1-5 添加常用登录时间
(1) 非白名单内的主机10.12.204.30远程连接应用了白名单策略的服务器,连接失败;在服务器安全监测系统中,访问“登录管理”->“异常登录列表”,查看被测服务器的异常登录记录
图1-6 非白名单IP验证
(1) 使用非北京的主机远程登录应用了常用登录区域策略的服务器,登录失败;在服务器安全监测系统中,访问“登录管理”->“异常登录列表”,查看被测服务器的异常登录记录
图1-7 常用登录区域验证
(1) 使用非admin账户的主机远程登录应用了常用登录账号策略的服务器,登录失败;在服务器安全监测系统中,访问“登录管理”->“异常登录列表”,查看被测服务器的异常登录记录
图1-8 常用登录账号验证
(1) 9点-17点之外的时间,主机远程登录应用了常用登录时间策略的服务器,登录失败;在服务器安全监测系统中,访问“登录管理”->“异常登录列表”,查看被测服务器的异常登录记录
图1-9 常用登录时间验证
异常登录记录匹配优先级:异地 > 异常账号 > 异常时间
异常检测可以对服务器上异常行为进行检测,目前支持4类异常行为检测,包括反弹shell、文件异常、进程提权、文件提权。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用于H3C服务器安全监测系统SSMS-Cloud 的H3C i-Ware Software, Version 3.1, ESS 6901版本及以上。
图2-1 组网图
(1) 进入 “异常检测>异常检测设置>基础设置”,点击<编辑>按钮进行基础设置:
(2) 文件监控目录:添加您需要监控的Linux或windows系统目录。如添加linux系统目录: /root/ 。
(3) 文件监控扩展名:添加您需要监控的文件扩展名,如添加扩展名.txt 。
(4) 点击确定按钮,即可设置生效,如下图所示:
图2-2 异常检测设置
(1) 被监控的Linux主机上,在root目录下创建txt类型文件或修改txt文件内容
(2) 进入 “异常检测 > 异常检测”,验证查看文件异常触发次数,点击具体次数,可以查看更多此事件详情。如下图所示:
图2-3 异常检测
蜜罐支持创建轻量级的蜜罐实例,用于监控和诱捕各种攻击行为。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用于H3C服务器安全监测系统SSMS-Cloud 的H3C i-Ware Software, Version 3.1, ESS 6901版本及以上。
图3-1 组网图
(1) 进入 “蜜罐>蜜罐”,点击<创建蜜罐实例>按钮进行蜜罐创建:
(2) 查询服务器:通过查询服务器,可以查询到您需要创建蜜罐的服务器,如服务器:linux-test。
(3) 绑定IP:选择服务器linux-test的1个IP:10.12.204.29来绑定蜜罐。
(4) 监听端口:输入需要监听的端口,并选择对应的服务类型。如端口:3306,服务类型:MySQL
(5) 点击确认按钮,即可创建蜜罐实例成功。如下图所示:
图3-2 蜜罐设置
(1) 使用数据库连接工具,访问服务器linux-test上的MySQL服务(3306端口),验证此行为将被记录蜜罐异常访问。
图3-3 蜜罐
恶意进程(病毒查杀)功能是服务器安全监测系统常用的功能,恶意进程能够进行病毒查杀,总览各类病毒的数量。可以对扫描结果进行清理或加白,对隔离区源文件进行还原或删除操作。能够强力查杀:勒索病毒、蠕虫软件、后门软件、木马软件、挖矿进程、植入式病毒、漏洞利用型、游戏病毒、风险软件、启发式病毒、脚本病毒、宏病毒等,让病毒无处可躲。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用于H3C服务器安全监测系统SSMS-Cloud 的H3C i-Ware Software, Version 3.1, ESS 6901版本及以上。
图4-1 组网图
(1) 进入 “恶意进程>恶意进程查杀设置>高级设置”,点击<编辑>按钮进行高级设置:
(2) 进行压缩文件设置,勾选恶意进程查杀扫描型文件与实时防护监控压缩文件,如:设置处理压缩包大小50M,设置处理压缩包层数10层,并勾选所有支持的压缩文件类型;
(3) 点击确定按钮,即可设置生效。
(1) 进入 “恶意进程>恶意进程查杀设置>高级设置”,点击<编辑>按钮进行高级设置:
(2) 进行目录加白配置,如设置加白目录:/root/
(3) 点击确定按钮,即可设置生效。
(1) 进入 “恶意进程>恶意进程查杀设置>高级设置”,点击<编辑>按钮进行高级设置:
(2) 进行扩展名加白,如设置加白扩展名:.txt
(3) 点击确定按钮,即可设置生效。
图4-2 恶意进程查杀高级设置
(1) 进入 “恶意进程>恶意进程查杀设置>黑白名单设置”,在“恶意进程”->“恶意进程查杀设置”->“黑白名单设置”中,添加一个正常文件的md5到黑名单中;添加一个恶意进程文件的MD5到白名单中。
图4-3 恶意进程查杀黑白名单设置
(1) 放置10层以内,大小不超过50M的恶意检测样本压缩文件到被测服务器
(2) 在“恶意进程”->“恶意进程查杀”中,选择被测服务器,点击“自定义扫描”;扫描恶意检测样本所在的目录;有如下扫描结果
图4-4 恶意进程-压缩文件验证
(1) 放置恶意进程样本到被侧服务器的/root目录中;
(2) 在“恶意进程”->“恶意进程查杀”中,选择被服务器,点击“自定义扫描”;扫描恶意检测样本所在的加白目录;无法扫描到恶意进程样本
(1) 放置.txt后缀的恶意进程样本到被侧服务器中;
(2) 在“恶意进程”->“恶意进程查杀”中,选择被服务器,点击“自定义扫描”;扫描恶意检测样本所在的加白目录;无法扫描到恶意进程样本
(1) 在“恶意进程”->“恶意进程查杀”中,选择被测服务器,点击“自定义扫描”;扫描被测样本所在的目录;
(2) 黑名单内的样本被扫描出来;白名单内的恶意进程样本未被扫描出来
图4-5 恶意进程查杀黑白名单
开启实时防护,将会对几个特定目录进行实时防护,如:/home、/root、/bin、/sbin、\windows\system、\windows\system32等。
基线检查可以检查服务器上系统配置、Web服务配置、数据库配置及账号密码配置存在的风险情况,并针对检查出的风险项,给出修复建议。可以手动立即下发检查任务或自定义配置定时扫描任务。系统自带默认检查规则,用户也可根据服务器类型,自定义配置检查规则,精准检查,灵活可控。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
适用于H3C服务器安全监测系统SSMS-Cloud 的H3C i-Ware Software, Version 3.1, ESS 6901版本及以上。
图5-1 组网图
(1) 在“基线检查”->“自定义检查模板”中,点击“自定义弱指令”,填写自定义的弱指令。
图5-2 自定义弱指令
(2) 选择“ssh”中的“ssh弱密码检测”。
图5-3 SSH弱密码检测
(3) 在“基线检查”->“基线检查”中,点击 “立即检查”,选择“自定义检查模板”,使用自定义的模板进行扫描。
(1) 存在弱指令的服务器被检测出来
图5-4 存在弱指令的服务器被检测出来
(2) 点击风险描述中的“存在弱密码”可查看详情
图5-5 详细信息