- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecPath SSMS 服务器安全监测系统
Web配置指导
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C SecPath SSMS服务器安全监测系统(下文简称服务器安全监测系统)专注于服务端主机的安全防护,提供持续的安全监控、分析和快速响应能力,能够在公有云、私有云、混合云、物理机、虚拟机等各种业务环境下实现安全的统一策略管理和快速的入侵响应能力。
服务器安全监测系统的产品可以很方便地和各种云平台及传统服务器结合,能够在全球范围内轻易部署。使用产品不需要购买硬件,不需要复杂的配置,学习成本低,但精确度极高。服务器安全监测系统的产品向企业的运维和安全人员提供了安全管理海量服务器的能力,使得用户在降低成本、缺乏安全专业知识的前提下,也能极大地提高企业的安全防护能力。
服务器安全监测系统采用的Adaptive Security架构是Gartner提出的面向未来十年的企业安全架构,能够在复杂和变化的环境下有效抵御高级攻击,是整个安全行业的发展方向。其创新之处在于:一方面将安全视角转移到防火墙之后的业务系统内部,强调基于业务、自内而外地构建安全体系,另一方面将安全从传统的安全事件防护变成一项持续安全响应和处理过程,从多个维度持续地保护了企业安全。
安全是一个持续化的过程,服务器安全监测系统有快速、灵活、可扩展的特点,可以将现有的安全技术与持续运营的安全模型相结合,给用户提供一个持续化的动态安全解决方案。服务器安全监测系统产品提供统一安全管理平台,统一的安全框架和灵活的社区交互能力,将安全的价值最大化。
服务器安全监测系统的安全产品体系有三大部分组成:
· 风险分析—— “清点+分析”
清点业务资产情况,分析系统内潜在的风险与合规性问题,生成清晰的分析报告,帮助修复问题。
· 管理加固——“可视化+加固”
可视化梳理业务角色,根据业务灵活配置安全模块并制定安全策略,快速构建防御体系。
· 入侵监控——“监测+响应”
采用基于行为模式的异常行为监测,第一时间发现入侵行为,并迅速做出响应。
H3C服务器安全监测系统分为3部分:共分为三部分:Server服务器、Agent主机、代理服务器。Server服务器上承载有主机监控管理系统的绝大部分运行程序,负责对搜集来的数据进行统一的挖掘、分析、控制与呈现。Agent主机为被管理主机,其上安装有H3C主机安全探针,负责对所属主机进行安全巡检以及实时地入侵监控。代理服务器为承载有socket代理软件的CentOS主机,用以连接不同网域内Agent主机。
登录http://管理平台IP:80(ServerIP指目标服务器的IP地址,例如:http://172.16.6.58)。
默认账户:[email protected]
默认密码:admin
登录http://ServerIP:81/(ServerIP指目标服务器的IP地址,例如:http://172.16.6.58:81)。
默认账户:[email protected]
默认密码:admin
用户管理后台使用说明详见《H3C SecPath SSMS 服务器安全监测系统 用户管理Web配置指导》
登录:http://ServerIP:6110/ (ServerIP指目标服务器的IP地址,例如:http://172.16.6.58:6110)
默认账户:admin
默认密码:admin
系统配置管理使用说明详见《H3C SecPath SSMS 服务器安全监测系统 系统管理Web配置指导》
· 1、系统配置管理界面E6401-E6403版本默认登录方式:https://ServerIP:82/,E6404版本变更为:http://ServerIP:6110/;
· 2、用户控制台与用户管理后台界面,x86版本默认登录用户名为[email protected],arm版本默认为[email protected]。
图2-1 Linux首页
图2-2 windows首页
资产清点(Asset Inventory),致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务 层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供10余类主机关键资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。
资产清点功能,有两种查询视图:概览视图、分级视图。
概览视图作为“资产清点”功能的首页,主要实现对资产信息的可视化,帮助用户更直观地了解资产总体情况,更有效得出对资产的理解或判断。
图3-1 概览视图-资产总览
图3-2 概览视图-资产详情
图3-3 概览视图-主机资源监控
概览视图内容,包含如下几部分:
· 主机统计:展示被托管主机的相关情况,包括:Agent运行状态、安装进展变化、及相关管理属性;
· 资产总览:总览主机中的几大重要资产(账号、端口、进程、软件应用、Web站点、数据库),体现为资产的总量统计、及特殊关注数量;
· 资产分布情况:展示上述具体资产的分布及统计情况,包括:基础资产、业务相关应用、Web资产等:
· 资源消耗情况:展示主机资源消耗情况,包括:系统负载、内存使用、磁盘使用;
分级视图
图3-4 分级视图-收起
共有12个功能模块,分别为:
· 主机资产:模块包含所有主机相关信息,包括基本信息、运维信息、代理信息、Bash插件安装信息等;
· 进程端口:模块包含主机中所有进程,及运行进程的端口相关信息;
· 系统账号:模块包含主机中所有账号,及用户组相关信息;
· 硬件配置:模块包含所有主机的硬件配置信息,及硬件消耗情况;
· 软件应用:模块包含主机中所有软件应用相关信息;
· Web服务:模块包含主机中所有Web服务相关信息;
· 数据库:模块包含主机中所有数据库相关信息;
· Web站点:模块包含主机中所有Web站点相关信息;
· Web应用:模块包含主机中所有Web应用相关信息;
· Web应用框架:模块包含主机中所有Web框架相关信息;
· 安装包和类库:模块包含主机中安装包和Jar包相关信息;
· 其它:模块包含了一些非核心的资产信息,包括:启动项、计划任务、环境变量、内核模块等;
通过点击模块及折叠按钮
,可展开查看具体资产统计信息;
图3-5 分级视图-模块展开
点击展开
按钮,可以将全部模块的内容展开。
图3-6 分级视图-全展开
点击模块统计数值,即可跳转到对应的”资产详情页面”,查看所有主机中该资产的详细信息。
图3-7 资产详细信息
如想仅查看某个主机的资产情况,可以点击”查找主机”
按钮,筛选出该主机后”查看”。
图3-8 查找主机
所有主机中的资产信息,每天自动更新一次,如果想获取最新信息,可以点击”更新数据”按钮,手动触发更新;对于功能中的统计数据,也可以手动触发”更新统计”。
图3-9 更新统计
在资产详细信息查询中,提供了两种视角(资产视角、主机视角),用户基于不同的统计查询需要,可相互切换。
图3-10 视图切换
同时在资产详情页面,用户可以对列表进行操作,得到想要的查询结果。
图3-11 列表操作
· 筛选/搜索区:根据不同需要,对列表内容进行筛选;
· 更新数据按钮:点击
,手动触发更新当前资产数据;
· 全部导出按钮:点击
,可导出列表中的全部资产数据;
· 设置显示列按钮:点击
,通过勾选列名,控制列表中信息的显示/隐藏;
· 复选框按钮
:点击复选框,可选中该行数据,进行“导出”等操作;
分级视图中“托管主机”为主机资产的查询入口,点击可查看所有主机相关信息;
图3-12 主机资产
图3-13 主机详细信息
同时,提供了9种维度的统计,可分别看到不同类别的主机数量;
包括:托管主机、操作系统、业务组、agent代理、bash插件安装、主机标签、资产等级、负责人、机房位置。
查询主机中Agent的不同状态;
图3-14 托管主机
查询所有安装Agent主机的操作系统;
图3-15 操作系统
查询所有安装agent主机的业务组;
图3-16 业务组
查询所有代理主机的IP;
图3-17 agent代理
查询所有安装agent主机的bash插件安装状态;
图3-18 bash插件安装
筛选显示所有安装agent主机的主机标签;
图3-19 主机标签
查询所有安装agent主机的资产等级;
图3-20 资产等级
查询所有安装agent主机的负责人;
图3-21 负责人
查询所有安装agent主机的机房位置;
图3-22 机房位置
分级视图中“进程端口”模块提供了进程、端口相关信息的查询;
图3-23 进程端口
通过资产视图/主机视图两种方式,查看所有安装Agent主机的进程运行情况,进程详细信息,如下:
图3-24 运行进程-资产视角
图3-25 运行进程-资产视角详情
图3-26 运行进程-主机视角
图3-27 运行进程-主机视角详情
可以查看所有安装agent主机所开启端口的情况,点击进入详情后可以查看到端口号、绑定IP,协议和监听进程(PID)等。端口详细信息,如下:
图3-28 端口服务-资产视角
图3-29 端口服务-资产视角详情
图3-30 端口服务-主机视角
图3-31 端口服务-主机视角详情
筛选显示所有以root权限运行的进程
图3-32 运行进程
筛选显示所有安装agent的主机存在的僵尸进程。
图3-33 僵尸进程
筛选显示所有安装agent的主机存在的IO Waiting进程。
图3-34 IO Waiting进程
非包安装进程指的是通过包管理器来安装的应用对应进程。
图3-35 非包安装进程
在分类导航中,“系统账号”模块包含了所有账号、用户组的相关信息,提供9种维度的统计,可分别看到对应类别的账号数量,包括:全部系统账号、全部用户组、root账号、sudo账号、有可登录shell账号、启用账号、密码过期账号、密码锁定账号、账号公钥Key。
图3-36 系统账号
通过资产视图/主机视图两种方式,查看所有主机中的账号信息,如下:
图3-37 系统账号-资产视角
图3-38 系统账号-资产视角详情
图3-39 系统账号-主机视角
图3-40 系统账号-主机视角详情
图3-41 用户组-资产视角
图3-42 用户组-资产视角详情
图3-43 root账号
图3-44 sudo账号
图3-45 有可登录shell账号
图3-46 启用账号
图3-47 密码过期账号
图3-48 密码锁定账号
图3-49 账号公钥Key
在分类导航中,“主机硬件配置”为硬件信息的查询入口,点击可查看所有主机CPU、磁盘、内存等相关信息;
图3-50 硬件配置
图3-51 硬件详细信息
分类导航中提供7种维度的统计,可分别看到对应配置的主机数量;
包括:CPU、CPU核心、硬盘大小、硬盘使用率、内存大小、内存使用率、系统负载。
查询主机中Agent的不同状态;
图3-52 CPU
图3-53 CPU核心
图3-54 硬盘大小
图3-55 硬盘使用率
图3-56 内存大小
图3-57 内存使用率
图3-58 系统负载
说明:15分钟内系统负载/CPU核数,如果< 0.7则为“低”;如果0.7 < 值 < 1则为“正常”;如果 >1则为“高”
分级视图中,软件应用模块清点了所有安装Agent的主机上运行着的应用。
图3-59 软件应用
目前支持的应用类型,如下图:
图3-60 支持应用类型
可从两种视角,查看有哪些应用分布在主机中,以及某主机中有哪些应用。
图3-61 软件应用-资产视角
图3-62 软件应用-资产视角详情
图3-63 软件应用-主机视角
图3-64 软件应用-主机视角详情
在分类导航中,“Web服务”模块用于清点安装Agent主机中存在的Web服务器,及各类型服务器的版本分布情况。
图3-65 Web服务
支持清点的Web服务器类型,包括:
Apache、Nginx、Tomcat、Weblogic、JBoss、Wildfly、Jetty、WebSphere。
各资产展现的信息形式和内容相同。
显示所有安装agent的主机上的web服务。
图3-66 web服务-资产视角
图3-67 web服务-主机视角
图3-68 web服务-关联进程
图3-69 web服务-web服务详细信息
图3-70 Apache
图3-71 Apache-资产视角
图3-72 Nginx
图3-73 Nginx-资产视角
图3-74 Tomcat
图3-75 Tomcat-资产视角
图3-76 JBoss
图3-77 JBoss-资产视角
在分类导航中,“数据库”模块用于清点安装Agent主机中存在的数据库,及各类型数据库的版本分布情况。
图3-78 数据库
支持清点的数据库类型,包括:
MySQL、Redis、Oracle、MongoDB、Memcache、PostgreSQL、HBase。
其中Oracle 、HBase和Postgres资产的展现信息形式和内容一致。
查询所有安装agent主机中的数据库,及具体数据库详情。
图3-79 数据库-资产视角
图3-80 数据库-主机视角
图3-81 数据库-主机视角详情
图3-82 MySQL
图3-83 MySQL-资产视角
图3-84 Redis
图3-85 Redis-资产视角
图3-86 MongoDB
图3-87 MongoDB
图3-88 MemCache
图3-89 MemCache-资产视角
图3-90 PostgreSQL
图3-91 PostgreSQL-资产视角
在分类导航中,“Web站点”模块用于清点安装Agent主机中存在的站点详细信息。
图3-92 Web站点
支持清点的Web站点的,服务器类型包括:
Apache、Nginx、Tomcat、Weblogic、JBoss、Wildfly、Jetty、WebSphere。
图3-93 Web站点-资产视角
图3-94 Web站点-资产视角详情
已有的Web服务类型分类显示,可以筛选显示对应的Web服务。
图3-95 Web服务类型
筛选显示以root权限运行的站点
图3-96 root权限运行站点
筛选显示目录为777权限的站点
图3-97 目录为777权限站点
在分类导航中,“Web应用”模块用于清点安装Agent主机中存在的Web应用信息。
图3-98 Web应用
支持清点的Web应用,包括:
PHPMailer、wordpress、ThinkPHP、pan、BigTree、JPress、openwbs、jenkins、ZABBIX、Discuz!、ThinkCMF等。
对所有安装agent主机上的Web应用进行统计并显示
图3-99 Web应用-资产视角
图3-100 Web应用-资产视角详情
图3-101 Web应用-主机视角
图3-102 Web应用-主机视角详情
在分类导航中,“Web应用框架”模块用于清点安装Agent主机中存在的Web框架信息。
图3-103 Web应用框架
支持清点的Web框架类型,包括:
Struts、struts2、spring、hibernate、webwork、quartz、velocity、tapestry、turbine、freemarker、flexive、stripes、vaadin、vertx、wicket、zkoss、jackson、fastjson等。
对所有安装agent的住进上的Web应用框架进行统计并显示。
图3-104 Web应用框架-资产视角
图3-105 Web应用框架-资产视角详情
图3-106 Web应用框架-主机视角
图3-107 Web应用框架-主机视角详情
统计Java语言编写的Web框架有哪些,及存在的数量情况,点击可查看详情。
图3-108 Java语言框架
分级视图中“安装包和类库”模块,提供了系统安装包、Jar包、项目Jar包、Npm包、Python包相关信息的查询;
图3-109 安装包和类库
通过资产视图/主机视图两种方式,查看所有安装Agent主机中安装包的情况,安装包详细信息,如下:
图3-110 安装包-资产视角
图3-111 安装包-资产视角详情
图3-112 安装包-主机视角
图3-113 安装包-主机视角详情
通过资产视图/主机视图两种方式,查看所有安装Agent主机中Jar包的情况,包详细信息,如下:
图3-114 Jar包-资产视角
图3-115 Jar包-资产视角详情
图3-116 Jar包-主机视角
图3-117 Jar包-主机视角详情
分级视图中“其他”模块,提供了启动项、计划任务、环境变量和内核模块相关信息的查询;
图3-118 其他资产
包括系统启动项、Xinetd网络托管服务二类。
图3-119 系统启动项-资产视角
图3-120 系统启动项-资产视角详情
包括Crontab计划任务、At计划任务、Batch计划任务三类
Crontab计划任务:查询所有安装agent主机的crontab中具有周期性的计划任务列表。
图3-121 Crontab计划任务
图3-122 Crontab计划任务-详情
环境变量分为用户变量和系统变量二类。
图3-123 用户变量-资产视角
图3-124 用户变量-资产视角详情
图3-125 系统变量-资产视角
图3-126 系统变量-资产视角详情
图3-127 内核模块-资产视角
图3-128 内核模块-资产视角详情
图3-129 内核模块-主机视角
图3-130 内核模块-主机视角详情
通用功能描述:
图3-131 以安全补丁界面为例
· 视图转按钮:包括资产视图、主机视图。点击
按钮,可切换至“主机视图”;
· 条件筛选框
· 状态统计图按钮:点击
按钮,收起/展开统计图区域;
· 检查/导出按钮
立即检查:对单独项目进行扫描;导出:导出单项检查结果
· 更多设置按钮:点击
按钮,显示全部;
· 排序按钮:鼠标移入列名,点击按钮对数据进行排序,点击
按升序排列,
按降序排列;
· 设置显示列按钮:点击
,可设置显示列,控制列表中的数据显示/隐藏。
以图表形式从总体上预览系统风险项,直观感受到系统现存问题。每项都可以点击进入查看详情。风险总览展示的始终是所有的主机风险结果,主要由以下7个模块组成;
· 风险概况:按照系统总体风险情况进行评估打分。
· 风险趋势:反映过去一段时间风险评分的变化趋势。
· 风险分布:反映不同类别的风险项的统计情况。
· 应用的风险项统计:反映不同“应用”的风险项的统计情况,这里的“应用”为泛指,可能是软件应用,如Redis,MySQL等等;软件包或依赖库的名称,如glibc,OpenSSL;补丁名称与系统相关的对象,如kernel,Linux,bash等等。
· 易受攻击主机列表:查看最易遭受攻击的主机
· 危急风险项:展示风险最大,最应该被修复的风险项。最应该被修复的衡量标准为危险程度最高(危急),且影响的主机的资产等级高。
· 业务组的风险项统计:反映不同业务组的主机的风险项统计情况。
图3-132 风险概览
“安全补丁”指对于软件系统在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序。安全补丁是由软件的原来作者制作的,可以访问网站下载补丁。
各种应用的漏洞已经成为大规模网络与信息安全事件和重大信息泄露事件的主要原因之一,针对计算机漏洞带来的危害,安装相应的补丁是最有效、也是最经济的防范措施。但打补丁是比较被动的方式,对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程,甚至补丁本身就有可能成为新的漏洞。
基于以上问题,安全补丁模块主要是为了解决补丁管理的混乱,而建立一个的一个自动化补丁管理库,拟实现帮助运维人员检测需要打的补丁、自动化打补丁、进行补丁管理。有补丁视图/主机视图两种查看模式。
表3-1 补丁分类说明
|
影响对象 |
应用:安全补丁所影响应用 内核:指补丁对应的漏洞影响的对象为kernel的 其他:除应用与系统类别外,其他的均归为其他类别。如影响对象为lib的补丁属于其他类别。 |
|
危险程度 |
危急:由运营人员定义,是指那些已经验证存在的,明确有危害必须修复的风险项 高危:CVSS评分为7.0-10分的风险项 中危:CVSS评分为4.0-6.9分的风险项 低危:CVSS评分为0-3.9分的风险项 |
|
CVSS 评分维度 |
攻击途径:远程/本地 攻击复杂度:高/中/低 认证:需要/不需要 机密性影响:不受影响/部分/完全 完整性影响:不受影响/部分/完全 可用性:不受影响/部分/完全 |
图3-133 补丁检测逻辑
图3-134 补丁视图
· 筛选框:可以根据修复影响、业务影响、应用、危险程度来筛选显示;其中“存在EXP、远程利用、内核风险、本地提权、业务组、CVE编号”需要点击“更多”来进行筛选。
· 立即检查:开始对全部在线主机进行安全补丁扫描。
· 检查业务影响:该操作占用资源较大,建议在业务不繁忙时进行。在补丁视图下,点击“影响主机”业务影响列如果为深色,则表明该漏洞对此业务有影响;如果为灰色则表明没有影响。
图3-135 业务影响
· 全部导出:导出csv格式的补丁视图补丁扫描报表。包括“危险程度、补丁名、远程利用、存在EXP、内核风险、本地提权、修复建议、用户修复建议、修复命令、修复应用、修复影响、补丁描述、漏洞利用参考、CVSS评分、CVSS详情、最后更新时间、参考信息、影响应用、主机IP、主机名、资产等级、业务组、操作系统、内网IP、外网IP、负责人、验证信息、发现时间、主机状态、主机名、主机标签、负责人、负责人邮箱、备注、资产编号、机房位置、是否有业务影响”
图3-136 主机视图
· 筛选框:可以根据业务组、主机状态、业务影响、主机IP、主机名来筛选显示
· 立即扫描:开始对全部在线主机进行安全补丁扫描。
· 检查业务影响:该操作占用资源较大,建议在业务不繁忙时进行。在主机视图下,单击对应主机,可以查看到影响当前主机的业务影响
图3-137 业务影响
· 全部导出:导出csv格式的主机视图补丁报表。包括“主机IP、主机名、资产等级、业务组、操作系统、内网IP、外网IP、负责人、危险程度、补丁名、远程利用、存在Exp、内核风险、本地提权、修复建议、用户修复建议、修复命令、修复影响、影响应用、是否有业务影响、补丁描述、验证信息、漏洞利用参考、CVSS评分、CVSS详情、参考信息、主机状态、发现时间、主机标签、负责人邮箱、备注、资产编号、机房位置、最新更新时间”
补丁视图和主机视图下均有
符号,点进该符号
即可进入修复历史页面。
图3-138 修复历史
· 选定统计时间:点击右上角的时间按钮,可查看过去1天、过去7天、过去30天内的修复历史统计情况
· 修复情况分析:点击统计面板TAB“修复情况分析”可查看选定时间内的修复情况分析
图3-139 修复情况分析
· 筛选框:可以根据业务组、修复时间、发现时间、危险程度、补丁名称、主机IP、资产等级、应用、修复耗时、远程利用、存在EXP、内核风险、本地提权、主机名、CVE编号来筛选显示。其中修复时间默认筛选近三个月,危险程度、应用、修复耗时、远程利用、补丁名称默认显示;存在EXP、内核风险、本地提权、发现时间、业务组、主机IP、主机名、CVE编号默认隐藏
· 全部导出:导出csv格式的修复历史报表。包括“危险程度、补丁名称、远程利用、存在EXP、内核风险、本地提权、主机IP、内网IP、外网IP、主机名、资产等级、业务组、操作系统、标签、备注、负责人、发现时间、修复时间、修复耗时、主机状态、负责人邮箱”
补丁视图和主机视图下均有
符号,点进该符号
即可进入白名单规则设置页面。
图3-140 白名单规则
新建规则:
· 条件列表包括:补丁名称中包含,补丁修复的应用,修复影响(未知影响、无需重启、服务重启、系统重启),补丁危害程度(危急、高危、中危、低危),补丁特征(本地漏洞、远程利用);各个复选框之间为且的关系;
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP);
· 描述:新建时自动生成,也可手动更改;
图3-141 新建白名单规则
编辑规则:编辑已有规则。
删除规则:删除已有规则。
查看受影响对象:点击查看详情跳转到“规则受影响对象”界面。
该功能通过创建作业,使用执行作业的方式通过版本比对或poc去验证存在的漏洞,如果该漏洞已经有成熟、无危害可验证poc或者应用版本在有漏洞的版本范围内,就会在漏洞检测页面显示出来。
图3-142 漏洞检测
· 漏洞通知:显示漏洞检测能力,可以查看系统中拥有漏洞检测能力
· 筛选框:可以根据业务组、危险程度、应用、漏洞名称、漏洞类型、存在EXP、远程利用、内核风险、本地提权、修复影响、检测方式进行筛选。
· 作业管理:点击“作业管理”,跳转到作业管理界面
· 全部导出:导出csv格式的漏洞检测报表,可选择导出统计报表或详情报表。
· 统计报表包括:危险程度、漏洞名称、漏洞类型、远程利用、存在EXP、内核风险、本地提权、漏洞描述、修复建议、修复影响、影响应用、利用条件、受影响应用版本、漏洞利用链接、参考链接、CVSS评分、CVSS详情、影响主机数
· 详情报表包括:主机状态、主机IP、主机名、业务组、资产等级、内网IP、外网IP、操作系统、主机标签、负责人、负责人邮箱、备注、危险程度、漏洞名称、漏洞类型、远程利用、存在EXP、内核风险、本地提权、漏洞描述、修复建议、修复影响、验证信息、影响应用、利用条件、受影响应用版本、漏洞利用链接、参考链接、CVSS评分、CVSS详情、资产编号、机房位置、最新更新时间
图3-143 主机视图
筛选框:业务组、危险程度、应用、漏洞名称、漏洞类型。
漏洞视图和主机视图下均有“作业管理”按钮,点进该符号即可进入作业管理页面。
图3-144 作业管理
· 自定义作业筛选项:可根据创建时间、作业名称、执行范围进行筛选。
图3-145 全局作业
· 全局作业筛选项:可根据创建时间、作业名称进行筛选。
· 新建作业:点击新建作业,跳转到新建作业页面。
· 执行:点击执行,可执行该作业。
· 查看结果:点击查看结果,跳转到该作业的作业执行结果界面。
· 作业详情:点击作业详情,跳转到编辑作业页面,所有项均可查看但不可编辑。
· 自定义作业-编辑:点击“…-编辑”,可编辑自定义作业,跳转到编辑作业页面。
图3-146 编辑作业
· 自定义作业-删除:点击“…-删除”,可删除自定义作业。
在自定义作业或全局作业中,点击操作列的“作业详情”,跳转到作业执行结果界面。
图3-147 漏洞视图
· 筛选项:业务组、危险程度、应用、存在EXP、远程利用、内核风险、本地提权、修复影响、漏洞类型。其中内核风险、本地提权、修复影响、漏洞类型、检测方式是默认隐藏的。
· 导出:导出该作业检测出的漏洞,可导出统计视图和详情视图,字段与漏洞视图导出相同。
图3-148 主机视图
· 筛选项:业务组、主机状态、主机IP、主机名称。
· 导出:导出该作业检测主机的漏洞,可导出统计视图和详情视图,字段与主机视图导出相同。
在自定义作业或全局作业中,点击操作列的“新建作业”,跳转到新建作业界面。
作业基本信息
· 输入信息包括:作业名、定时执行表达式、备注
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP)
· 是否启用:启用禁用作业
图3-149 新建作业
检测项信息
· 添加检测项:点击“添加检测项”,弹出检测项弹窗,选择检测项。不同检测项可选择不同的检测方式(版本比对、POC验证)。
· 创建并执行:创建并执行该作业,回到作业管理页面
· 创建:创建该作业,回到作业管理页面
· 取消:取消创建作业,回到作业管理页面
图3-150 检测项信息
漏洞视图和主机视图下均有“更多”按钮,点进“白名单规则”即可进入白名单规则页面。
图3-151 白名单规则
新建白名单规则
· 条件列表包括:漏洞名称中包含,漏洞特征(本地漏洞、远程利用)
· 各个复选框之间为且的关系
· 规则范围:全部主机、自定义范围(选择业务组、指定主机IP)
· 描述:新建时自动生成,也可手动更改
图3-152 新建白名单规则
编辑规则:编辑已有规则。
删除规则:删除已有规则。
查看受影响对象:点击查看详情跳转到“规则受影响对象”界面
图3-153 查看受影响对象
弱密码检查用于检查系统中所有弱密码问题,其包括操作系统,应用,Web站点等,该功能以一个统一的方式配置,检查,展示用户所有的弱密码问题。检查应用存在的弱密码,目前支持的应用类型有:MySQL,PPTP,VNC,SSH,OpenVPN,rsync,Redis,vsftpd,Tomcat,ProFTPD,influDB、Jenkins、OpenLDAP、SVN
· 被动检查:用户的密码可以通过一定的方式获得,直接验证账户密码是否为弱密码;验证方式存在以下几种:
· 明文密码检查:密码为明文或可解密为明文,匹配弱密码字典是否为弱密码;
· 哈希密码匹配:密码为哈希计算后保存,在获得哈希类型后,对弱密码字典进行哈希计算,匹配是否为弱密码;
· 主动检查:无法直接获取密码,使用用户的登录接口主动尝试密码,通常为在线爆破,进行弱密码检查;
图3-154 弱密码列表
单击右侧
按钮可以看到修复历史、白名单规则、简单密码词典、组合密码词典4个选项。
图3-155 修复历史
· 选定统计时间:点击右上角的时间按钮,可查看过去7天、过去30天、过去3个月内的修复历史统计情况
· 修复情况分析:点击统计面板TAB“修复情况分析”可查看选定时间内的修复情况分析
图3-156 修复情况分析
单击首页右侧
按钮进入白名单规则页面。
图3-157 白名单规则
图3-158 新建白名单规则
表3-2 白名单规则说明
|
规则 |
说明 |
|
条件列表 |
· 应用包含:用户自定义,输入弱密码的应用名称 · 应用账号中包含:用户自定义,输入弱密码应用的账号。 · 账号状态:禁用和启用2个可选项。 · 弱密码类型:空口令、系统默认弱密码、密码与用户名相同、常见弱密码4个可选项。 |
|
规则范围 |
让用户设置一些IP范围,将针对在设置的IP范围内的主机进行白名单规则过滤,设置范围有以下几种方式: · 全部主机 · 自定义范围(业务组主机,单独IP主机) |
图3-159 编辑白名单规则
图3-160 删除白名单规则
单击右侧
按钮选择简单密码词典选项。简单密码字典用户检查用户的密码设置为该密码字典中的任意密码,则判定为弱密码。
· 编辑字典: 用户手动一一录入弱密码,每行一个弱密码,编辑框中提供了行号提示弱密码数量;
· 导入字典: 用户可导入弱密码字典,仅支持txt格式,需以换行分隔,每行均将识别为一个弱密码;仅识别前3000行,其后将完全忽略;每次导入将完全覆盖原密码设置;
· 导出字典 :用户可将当前存储的所有简单弱密码直接导出为txt格式,在自行编辑后,再导入系统;
图3-161 简单密码字典
组合密码指组合密码特征进行弱密码检测的字典。本功能当前仅支持:
· 前缀+连接符+后缀的组合密码;
· 密码三部分将自动增加任意部分为空的检测;
· 前缀将自动增加用户名的检测;
· 前缀最多可添加8个,连接符9个,后缀19个,均使用换行符隔开;
例如,检测某账号: admin;
动态密码字典: 前缀为abc;连接符为@;后缀为123
则将检查如下弱密码: admin@123;admin@;admin123;admin;abc@123;abc123;abc@;@123;abc;@;123;
图3-162 组合密码字典
检查应用的安全配置,目前支持的应用有:influxDB、Jenkins、Struts2、ProFTPD、Crontab、Jboss、Tomcat、CVS、ElasticSearch、VNC、SVN、redis、apache、apache2、mysql、ssh、rsync、nginx、mongoDB、Squid、openVPN、Bind、vsftp、NFS、NTP、Memcache
图3-163 应用风险
检查系统安全配置,有风险项视图/主机视图两种查看方式。可以导出所有/部分检查结果。
图3-164 系统风险
检查系统账号所存在的风险项,通常通过修改配置文件完成修改。有风险项视图/主机视图两种查看方式,可以导出所有/部分检查结果。
图3-165 账号风险
· 新建白名单规则
图3-166 新建白名单规则
表3-3 白名单规则说明
|
规则 |
说明 |
|
条件列表 |
· 风险名中包含:用户自定义输入要加入白名单的风险名称 · 风险的危害程度:有危急、高危、中危、低危4个可选项,用户可根据实际情况选择 |
|
规则范围 |
让用户设置一些IP范围,将针对在设置的IP范围内的主机进行白名单规则过滤,设置范围有以下几种方式: · 全部主机 · 自定义范围(业务组主机,单独IP主机) |
· 编辑白名单规则
图3-167 编辑白名单规则
· 删除白名单规则
图3-168 删除白名单规则
通用功能描述,以暴力破解页面为例:
图3-169 通用功能
· 条件筛选框
· 设置显示列按钮:点击
,可设置显示列,控制列表中的数据显示/隐藏;
展示入侵检测功能总体的数据概览信息,支持各项操作来展示不同的统计视图信息。
图3-170 入侵总览
具体操作:
· 筛选:右上角提供两个维度的数据筛选,业务组和时间区间;
· 业务组:可勾选Linux下的业务组,根据选择的业务组信息筛选统计信息重新生成各视图;
· 时间区间:提供三个时间区间进行选择:24小时、7天和30天,选择后根据选择的时间区间筛选统计信息重新生成各视图;
· 入侵事件分布模块:可点选图例开启/关闭功能在环形图中是否显示;
· 实时监控模块:点击“查看更多”按钮,跳转至消息中心,默认选择入侵检测tab,可查看所有入侵的通知消息事件;
· 查找主机:点击右上角“查找主机”按钮,弹出窗口展示当前全部主机的信息,点击各主机的“查看”按钮将新开Web选项卡并进入该主机的单台主机详情页中。
暴力破解用于阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持vsftpd或者sshd两个服务的检查。
图3-171 暴力破解
· 手动解封按钮
· 手动封停按钮
· 加入白名单按钮
用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。该规则的适用范围为这条记录的主机IP。
图3-172 暴力破解封停条件说明
进入服务设置列表,可以根据需要选择vsftpd或者sshd两个服务的开启关闭状态。
图3-173 服务设置
选择“查看白名单”进入白名单规则列表。暴力破解白名单是为了将某些登录认定为正常登录行为而非上报为暴力破解,防止一些不必要的上报和封停。
· 新建白名单规则
图3-174 新建白名单规则
表3-4 白名单规则设置说明
|
规则 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 攻击来源:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 攻击时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间; · 攻击使用账号(被攻击资产的账号):用户手动填写一个或者多个账号。 |
|
规则范围 |
· 全部主机:指的是所以装有Agent的主机; · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑白名单
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,对后续上报的事件进行生效。
遍历数据的限制条件同新建白名单。
图3-175 编辑白名单
· 删除白名单
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-176 删除白名单
开启该功能后,攻击主机会被自动封停,需要手动解封。
图3-177 自动响应设置
图3-178 暴力破解响应设置
暴力破解的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出暴力破解数据用于特定的统计处理,对近期的检测数据进行存档等。
选择的方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出。
图3-179 导出
异常登录用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间的登录信息。
图3-180 异常登录
单击“新建正常登录规则”按钮,进入到新建正常登录规则页面。
图3-181 正常登录规则
· 新建正常登录规则
图3-182 新建正常登录规则
表3-5 正常登录规则说明
|
规则类型 |
说明 |
|
规则的条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 登录IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 登录时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间; · 登录区域:设置一些登录区域为正常登录区域,对于非中国地区只到国家层面,对于中国地区可以设置国家级、省级和市级。例子:中国、中国湖北、中国湖北武汉、美国、俄罗斯。 · 登录账号:Agent主机的账号,用户手动填写一个或者多个账号 |
|
规则的适用范围 |
规则范围是指以上条件的适用范围。 规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机:指的是所以装有Agent的主机; · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果 |
· 编辑正常登录规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-183 编辑规则
· 删除正常登录规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除。
图3-184 删除规则
提供内网异常登录告警开关,可控制是否上报内网异常登录记录。提供外网异常登录告警开关,可控制是否上报外网异常登录记录。
图3-185 告警设置
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-186 手动导出
· 全部导出。
图3-187 全部导出
反弹Shell用于监控主机中所有利用Shell进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。反弹Shell的目标如下:
· 通过实时监控发现反弹Shell行为,对用户进行事件告警,并能让其查看结果;
· 提供反弹Shell事件的详细信息,方便用户进行分析判断是否为反弹Shell事件;
· 提供对反弹Shell监控和上报的规则操作,方便用户对判断后的反弹Shell事件进行处理。
图3-188 反弹Shell
单击“白名单规则”按钮,进入到白名单规则页面。
· 新建白名单规则
单击“新建白名单”按钮进入到新建白名单规则页面。
图3-189 新建白名单规则
表3-6 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 连接进程:下拉框选择单个连接进程,连接进程的选项和上报的反弹Shell进程联动,即仅上报后才能选择该进程作为白名单条件。 · 进程树:填写进程树信息,多个进程树节点以英文逗号隔开 ,满足该进程树进行反弹的行为不会上报。 · 目标主机&端口:连向的目标主机IP和端口号,IP可添加IP、CIDR和IP段,端口号可添加多个端口。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机. · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-190 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-191 删除规则
提供内网反弹shell告警开关,可控制对连向的目标IP为内网IP的反弹shell行为是否上报告警。
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击 “全部导出”,全部导出一次最多导出5千条日志。
当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。包含如下功能点:
· 提权事件记录:实时记录主机中存在的提权行为事件,在列表中查看并筛选/搜索相关信息;
· 白名单管理:对待定的主机和进程的提权行为,设置规则屏蔽;
· 导出功能。
图3-192 本地提权
单击白名单规则按钮,即可进入到“白名单规则”页面。
图3-193 白名单规则
· 新建白名单规则
单击右侧“新建规则”按钮,进入到白名单规则设置页面。
图3-194 新建白名单规则
表3-7 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 提权进程:以逗号隔开输入一个或者多个进程名字。 · 带s权限的进程:是否是带s权限的进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机. · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被修改规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
遍历数据的限制条件同新建本地提权白名单规则。
图3-195 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
白名单规则被删除后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被删除规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。
遍历数据的限制条件同新建本地提权白名单规则。
图3-196 删除规则
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-197 手动导出
· 全部导出:单击“全部导出” 按钮。
图3-198 全部导出
后门检测功能用于检查硬件,操作系统,应用软件是否被黑客替换或篡改,如发现该类问题,均为极为严重的问题。
图3-199 后门检测
· 筛选框:可以通过业务组,危险程度,告警类型,受感染主机和发现时间进行筛选;
· 详情按钮可以查看到对应后门的检测说明(包含问题原因和修复方法)和静态信息(即文件基本详情,包含被篡改文件的文件名、文件校验码、创建时间、修改时间和文件权限等信息);
· 点击加入白名单按钮,手动将该条报警加入白名单,不再提示。
单独对系统后门进行扫描。点击“重新检测”后,选择扫描范围,可选择全部主机、业务组、单台/多台主机。
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-200 手动导出
· 全部导出:单击选择“全部导出”。
图3-201 全部导出
点击右上角“白名单规则”,可以查看到所有手动添加到白名单的记录。
图3-202 白名单记录
点击删除按钮可删除白名单记录。
选择“修复历史”选项,可以查看到所有曾经存在过,但是现在已经不存在的系统后门的记录。
图3-203 修复记录
Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。
提供实时检测和立即检查2种方式来发现后门,并支持多种检测引擎。实时检测机制会实时检测Web目录是否有新的Web后门文件。立即检测由用户主动触发扫描,检测是否存在Web后门文件。
图3-204 Web后门
· 开始扫描按钮:即用户主动对指定主机进行扫描。
· 点击更多按钮,有实时监控设置、隔离删除列表、NFS挂载目录监控和深度扫描4个选项。
点击更多,进入实时监控设置列表,可以根据需要选择主机是否开启实时监控。
图3-205 实时监控设置
单击更多,选择“修复历史”,进入到修复历史记录页面。可以查看到所有曾经存在过,但是现在已经验证为修复的Web后门的记录。点击详情图标按钮可查看记录详情。
图3-206 修复历史
单击“白名单规则”,进入到白名单规则页面。
图3-207 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图3-208 新建白名单规则
表3-8 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。 · 文件MD5。设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入。 · 自定义文件。条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成。 ¡ 文件目录。设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入。 ¡ 文件名。设置某些符合条件的文件名,该文件即视为正常文件,条件内容为文件名的正则表达式,由用户手动输入。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择单台、多台主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-209 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-210 删除规则
单击 “自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。
图3-211 自定义目录
· 新建自定义目录
单击“新建自定义目录”按钮进入到新建自定义目录页面。
监控目录可输入多个监控路径,以英文逗号隔开;
忽略目录可输入监控目录下需要忽略的子目录,可输入多个,以英文逗号隔开;
应用范围从主机列表中选择,也可选择多台主机。
图3-212 新建自定义目录
如果应用范围内存在主机已设置自定义目录,将提示新设置的目录将覆盖主机之前的目录。
图3-213 覆盖目录提示
· 编辑自定义目录
点击编辑按钮可编辑该条自定义目录的监控目录,应用范围不可编辑。
图3-214 编辑目录
点击确定提示编辑后的目录将覆盖主机之前的目录,点击确定完成编辑。
图3-215 覆盖目录提示
· 删除自定义目录
点击删除按钮可删除该条自定义目录记录。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-216 删除目录
单击更多,选择“NFS挂载目录监控”,进入到监控列表页面。列表中会显示挂载了目录的主机。
图3-217 NFS挂载目录监控列表
· 开启NFS挂载目录监控
点击“批量配置”,进入配置页面。选择主机范围,开启NFS挂载目录检测开关后,将会在所选主机上对NFS挂载目录进行实时检测。
图3-218 批量配置
单击更多,选择“隔离删除列表”,进入到隔离删除列表页面。任务列表中会显示隔离、删除的修复记录。
图3-219 隔离删除列表
单击更多,选择“深度扫描”,将对监控目录下的大文件(2M以上文件)进行扫描。
图3-220 深度扫描
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击全部导出选择“全部导出”。
可疑操作记录执行的shell命令,您可以对操作进行筛选,也可以自定义规则发现可疑操作。该功能需要替换服务器安全监测系统的bash。
图3-221 可疑操作
单击“查看详情”按钮,可以查看该条命令执行的日志详情
图3-222 查看详情
单击“审核”按钮,会出现“审核通过”和“审核不通过”两个选项,方便审计人员标记操作。选择后标记将会显示在事件列表中。
审计规则包含用户自定义规则和系统规则两部分,系统规则为系统内置的审计规则,可选择是否开启使用,自定义规则由用户自行创建,并可进行编辑和删除等操作,具体如下:
· 开启/关闭规则
用户可以通过“是否启用”字段下的滑块按钮控制规则是否启用。
图3-223 是否启用
· 新建审计规则
用户可以自行配置审计规则,判定可疑操作。
图3-224 新建审计规则
表3-9 审计规则说明
|
规则 |
说明 |
|
规则条件 |
审计规则条件内容由以下三个条件组成。 · 规则名。规则的名称。 · 正则表达式。用来匹配命令使用的正则表达式,仅支持填写一个。 · 危险程度。用于标识规则的危险程度,有高危、中危、低危三个选项。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择多台主机。 |
· 编辑审计规则
点击编辑按钮可编辑已建立的审计规则。
图3-225 编辑规则
· 删除审计规则
点击删除按钮可删除已建立的审计规则。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-226 删除规则
当用户使用堡垒机登录时,配置环境变量名称,即可看到真实登录IP而非堡垒机IP。
图3-227 环境变量配置
环境配置条件说明如下:
· 登录IP:堡垒机的IP;
· 登录主机名:堡垒机的主机名;
· 登录用户:堡垒机用于登录的用户名称。
单击白名单规则按钮,即可进入到“白名单规则”页面。
图3-228 白名单规则
· 新建白名单规则
单击右侧“新建白名单规则”按钮,进入到白名单规则设置页面。
图3-229 新建白名单规则
表3-10 白名单规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入。 |
|
规则内容 |
规则的具体内容: · 关键字匹配:按命令内容的关键字匹配。 · 正则匹配:按输入的正则表达式内容匹配。 · 登录用户:登录用户名,可输入多个。 · 执行命令用户:执行命令的用户名,可输入多个。 · 主机范围:全部主机、业务组(可选单个、多个业务组)、自定义主机(从主机列表中选择单个、多个主机)。 |
|
描述 |
规则的描述说明。 |
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击 “全部导出”,全部导出一次最多导出10万条日志
3.3.9 Web命令执行
Web RCE是黑客写入Web后门后,通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息,帮助用户准确分析黑客的入侵路径和目的,功能同时也支持用户自定义规则进行检测,可帮助适应客户多样化的业务流程,精准覆盖各类RCE攻击的监控场景。
图3-230 Web命令执行
具体操作:
· 查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情;
图3-231 查看详情
· 加入白名单:点击列表内事件记录的 “加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
选择“监控规则”,进入到监控规则页面。监控规则分为两类,一类为自定义规则,由用户自己创建和管理,一类为系统规则,为系统内置的规则,用户可选择对系统规则是否启用。
图3-232 监控规则-自定义规则
图3-233 监控规则-系统规则
· 同步规则:对规则的修改完成后,需要将更新后的规则内容重新下发同步后才能成功检测(脚本内容类型规则无需下发同步),若存在修改未同步,则界面会显示对应的提示告知用户,点击提示中的“同步规则”同样可以完成同步的下发。
图3-234 同步规则提示
· 新建监控规则
单击“新建监控规则”按钮进入到新建监控规则页面。
图3-235 新建监控规则
表3-11 白名单规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入 |
|
规则内容 |
监控规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 监控规则有两种设置方式:逐级匹配和跨级匹配。 · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 · 跨级匹配:点击“添加进程信息后”选择添加终点进程操作。按照进程树匹配起点父进程和终点子进程,进程只要存在片段满足首尾进程的条件,即可命中规则。 |
|
规则说明 |
对规则进行说明,由用户自定义输入,说明将展示在告警的详情中 |
· 编辑规则
对于已经保存的自定义规则,用户可以选择对其进行修改。
图3-236 编辑规则
· 删除规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-237 删除规则
2. 监控管理
监控管理是用来设置账号管理主机是否开启该功能,支持批量开启和批量关闭的功能。新安装的主机会默认开启监控。
图3-238 监控管理
图3-239 监控管理-批量设置
3. 白名单规则
选择“白名单规则”,进入到白名单规则页面。
图3-240 白名单规则
· 查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图3-241 查看受影响记录
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图3-242 新建白名单规则
表3-12 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 白名单规则仅有逐级匹配方式: · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机; · 选择业务组。可以选择业务组; · 选择主机:可从列表中选择主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-243 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图3-244 删除规则
4. 导出
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
· 手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图3-245 勾选导出
· 全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图3-246 全部导出
安全响应功能进行了重新包装,区别于原本的日志,新版安全响应功能提出“隔离箱”、“封停箱”的概念,以响应结果的维度向用户呈现数据。除此以外,还对入侵的6大功能(暴力破解、异常登录、本地提权、反弹shell、web后门、后门检测)提供了灵活可配的自动响应功能。
图3-247 自动响应设置
记录暴力破解和异常登录功能中的封停操作;
图3-248 网络封停
记录后门检测和Web后门功能中的隔离操作;并可对已隔离文件进一步进行删除、还原、还原并加白操作。
图3-249 文件隔离
记录反弹Shell和本地提权功能中的进程阻断操作。
图3-250 进程阻断
在自动响应设置页面,点击 “后门检测响应设置”按钮,设置自动响应条件。
图3-251 后门检测响应设置
表3-13 后门检测响应设置说明
|
内容 |
说明 |
|
设置状态 |
自动响应开关。 |
|
响应条件 |
具体内容: · 适用时段:全天、开始时间(HH:MM)~结束时间(HH:MM)。 · 隔离类型:高危、中危、低危。符合危险等级的报警将被自动响应处理。 · 使用范围:全部主机、业务组(可选单个、多个业务组)、自定义主机(从主机列表中选择单个、多个主机)。 |
暴力破解、异常登录、Web后门、本地提权、反弹Shell响应设置方法与后门检测响应设置相同。
网络蜜罐在诱导主机中,安放多个蜜罐端口,供黑客扫描攻击,以提供各类黑客行为的线索。
图3-252 网络蜜罐
· 新建规则
单击“蜜罐管理”—“批量开启端口”进入到新建规则页面,按照如下操作完成规则创建
(1) 选择需要执行操作的蜜罐端口,可添加多个端口;
(2) 选择应用规则的主机范围,在这些主机上对选择的端口执行操作;
(3) 可选择不应用主机的范围,如果想让规则不在某些主机上应用,则可在不包含范围中添加这些主机,这些主机只能在规则应用主机的范围子集中选择。
图3-253 新建规则
· 启用/关闭规则
单击启用/关闭按钮,即可开启/关闭蜜罐主机端口开关。
图3-254 启用关闭规则
· 编辑蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行编辑,规则状态仅当为开启时才可编辑规则。
图3-255 编辑规则
编辑规则可编辑蜜罐端口、存在冲突端口。点击“保持并同步”后主机将重新同步编辑后的端口。
图3-256 编辑端口
· 删除蜜罐规则
对于已经建立的蜜罐监听规则,用户可以选择对其进行删除,规则状态仅当为关闭时才可删除规则。
图3-257 删除规则
单击 “白名单规则” 按钮,进入到白名单规则页面。
图3-258 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮,进入到白名单规则设置页面。
图3-259 新建白名单规则
表3-14 白名单规则介绍
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 源IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入; · 扫描端口:以逗号隔开输入一个或者多个端口; · 扫描时间:添加一个或者多个扫描时间段。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机。 · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-260 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图3-261 删除规则
文件蜜罐为新上线功能,支持用户在业务主机上自定义路径下部署蜜罐文件,引诱黑客攻击,达到使黑客暴露、保护业务文件的目的。支持对文件蜜罐的下发、回收、监控、加白等功能。
图3-262 文件蜜罐
图3-263 蜜罐管理
· 新建监控规则
单击“蜜罐管理”—“新建监控规则”进入到新建规则页面,按照如下操作完成规则创建。
(1) 创建需要监控的蜜罐文件,输入文件绝对路径,可添加多个文件;
(2) 输入蜜罐文件大小,1~1000KB;
(3) 选择应用规则的主机范围,在这些主机上创建、监控蜜罐文件;
图3-264 新建规则
表3-15 新建监控规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入。 |
|
规则内容 |
规则的具体内容: · 文件路径:输入文件绝对路径,可输入多个。输入的文件将作为蜜罐文件进行实时监控,一旦有访问蜜罐文件的行为将产生报警。 · 一键添加路径:一键添加预置好的蜜罐文件,可在用户信息文件、日志文件、sql数据文件中选择。 · 文件大小:设置蜜罐文件大小,可设置1~1000KB大小。 · 文件操作:监控蜜罐文件的访问行为,包括:读取、写入、权限修改、重命名、删除。 · 主机范围:全部主机、业务组(可选单个、多个业务组)、自定义主机(从主机列表中选择单个、多个主机)。 |
|
描述 |
规则的描述说明。 |
单击“白名单规则”按钮,进入到白名单规则页面。
图3-265 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮,进入到白名单规则设置页面。
图3-266 新建白名单规则
表3-16 白名单规则介绍
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 文件路径:输入文件绝对路径,可输入多个; · 文件操作:读取、写入、重命名、删除、权限修改,可多选; · 进程树:输入允许访问蜜罐文件的进程(进程树形式),可输入多个; |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下方式里选择其中一种,且仅可以选择一种: · 全部主机:指的是所以装有Agent的主机。 · 业务组:可选择业务组,单个、多个业务组。 · 主机:可从列表中选择主机IP或手动输入主机IP。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-267 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图3-268 删除规则
主机防病毒为产品中更新的独立杀毒模块,满足等保要求,提供对病毒的检测和处理能力,并能够提供一定的主动防御能力。
图3-269 病毒查杀-主界面
系统支持创建定时任务,定期自动执行扫描,也支持创建单次任务,只进行一次扫描查杀。
· 定时任务
安全体检—定时任务界面,点击【新建任务】,如下图所示:
图3-270 新建定时任务
表3-17 定时任务操作介绍
|
操作 |
说明 |
|
新增 |
定时任务名称不能重复,支持定期每天、每周或每月进行扫描。 支持快速查杀、全盘查杀和自定义查杀。 · 快速查杀:只扫描系统关键目录下的程序文件。 · 全盘查杀:全盘扫描,用户可设置仅扫描程序文件,或者扫描全部文件。 · 自定义查杀:用户可自定义查杀目录,可设置仅扫描程序文件,或者扫描全部文件。 |
|
编辑 |
编辑后,下次执行扫描时生效 正在执行的定时任务不可编辑。 |
|
删除 |
正在执行的任务不能删除。删除后,定时任务及扫描检测中的扫描记录将一同被删除。 |
|
禁用 |
可点击开关,禁用定时任务。禁用的定时任务将不再执行,正在执行的定时任务不能禁用。 |
|
启用 |
禁用后的定时任务支持启用。 |
· 单次任务
当需要临时进行查杀时,可创建单次扫描任务。
扫描检测界面,点击快速查杀、全盘查杀或自定义查杀,可创建单次扫描任务。
图3-271 单次任务类型
扫描任务类型不同,执行扫描的时间不同:
定时任务:定时任务创建后,到了执行周期时,将自动进行扫描。
单次任务:单次任务保存后,立即进行扫描。
系统支持重新扫描和终止扫描:
重新扫描:已结束的任务(包含查杀完成、查杀失败、已终止状态的任务),用户可以手动点击【重新扫描】,对扫描目录中的所有文件进行重新检测。
终止扫描:正在扫描中的任务,用户可以点击【终止扫描】,终止后,任务状态变为“已终止”,已完成查杀的主机不受影响,未完成查杀的主机扫描状态为“已终止”。
图3-272 重新扫描、终止扫描
注意:
系统不支持续点扫描,已终止的任务,点击【重新扫描】后,会对扫描目录下的所有文件重新扫描。
一个主机同时只能执行一个扫描任务,下发另外一个扫描任务时,主机会查杀失败,失败原因:主机正在执行其他任务。
表3-18 任务状态介绍
|
任务状态 |
说明 |
|
等待查杀 |
定时任务创建后,还未到执行周期时,任务状态=等待查杀。 |
|
查杀中 |
正在执行的扫描任务,任务状态=查杀中 定时任务:到了执行周期时,开始查杀,任务状态为“查杀中” 单次任务:创建单次任务,保存后,立即开始扫描,任务状态为“查杀中”。 |
|
已终止 |
正在执行的扫描任务,人工点击【终止扫描】,成功终止后,任务状态=已终止 若终止失败,任务继续执行,任务状态=查杀中。 |
|
查杀完成 |
任务中所有主机的扫描任务均已结束,任务状态=查杀完成。 |
|
查杀失败 |
创建扫描任务,由于不满足扫描条件,未下发扫描,直接失败的任务。比如:任务中所有主机均未安装本地引擎(“扫描检测”功能必须安装本地引擎才能使用)。 |
扫描检测界面,只会记录任务最后一次的扫描结果。不同类型账号看到的扫描任务不同。
主账号:可以看到该账号及该账号下的所有子账号创建的扫描任务。
子账号:只能看到自己创建的扫描任务。
图3-273 扫描任务列表
点击某一任务后,可查看该任务的扫描详情,如下图所示:
图3-274 扫描详情
点击任务名称,可以查看任务信息,如下图所示:
图3-275 任务信息
点击扫描范围,可查看任务中每个主机的扫描状态,如下图所示:
图3-276 扫描状态
扫描检测界面,扫描记录会随着用户使用越来越多,用户可以删除无用的扫描记录,支持单个或批量删除。
注意:扫描检测界面,如果扫描对应的是定时任务,删除扫描任务,定时任务也将随之删除。
图3-277 删除扫描记录
系统支持文件扫描查杀和进程实时查杀。用户可以在“告警列表” 界面进行集中告警处置。
文件扫描查杀:上报的告警可以在“扫描检测”对应的任务中进行查看和处置,也可以在“告警列表”界面进行查看和处置。
进程实时查杀:上报的告警可以在“告警列表”界面进行查看和处置。
· 查看告警
“告警列表” 界面 只展示当前未处理完成的告警,包含:未处置、处置中即处置失败的告警。已处置完成的告警,可在 “修复历史” 界面进行查看。
图3-278 告警列表
表3-19 告警列表介绍
|
区域 |
说明 |
|
区域1 |
告警相关统计信息: 待处理告警:当前未处理完成的告警,包含:未处置、处置中、处置失败; 受感染主机:待处理告警涉及的受影响主机数量; 今日告警:今天产生的告警数量(注意:今日告警中不包含误报告警信息,即:被加入信任区的告警); 今日已处理:今天处理的告警数量(注意:处理告警中不包含被加入信任区的告警)。 |
|
区域2 |
告警的相关查询,用户可根据需要查询想查看的告警。 |
|
区域3 |
待处理告警列表界面,用户可在此界面查看当前未处理的告警,同时可下载病毒文件,并查看病毒详情。 |
表3-20 处置状态介绍
|
处置状态 |
说明 |
|
未处置 |
新产生的告警(未进行自动处置)。 |
|
处置中 |
用户在“告警列表” 界面点击【处置】按钮后,状态变为“处置中”。 用户在“扫描检测”的任务扫描详情界面点击【处置】按钮后,状态变为“处置中”。 用户开启了自动处置,当发现告警时,系统自动进行处置,正在处置时,状态变为“处置中”。 |
|
处置失败 |
无论用户手动点击处置,还是系统自动处置,如果处置失败,告警处理状态则显示为“处置失败”,可查看失败原因。 |
|
处置成功 |
无论用户手动点击处置,还是系统自动处置,如果处置成功,告警将从“告警列表”界面移出,可在“修复历史”界面查看已处置成功的告警。 |
点击【下载】按钮,可以下载病毒文件。
点击【详情】按钮,可以查看告警详情,如下图所示:
图3-279 告警详情
· 处置告警
文件扫描查杀上报的告警可以在“扫描检测”对应的任务中进行处置,也可以在“告警列表”界面进行处置;进程实时查杀上报的告警可以在“告警列表”界面进行处置。支持单个告警处置和批量处置,支持手动处置和自动处置。
¡ 单个告警处置
选中要处置的告警,点击操作栏中的【处置】按钮,支持三种处置方式:
隔离文件:默认选中此方式。当确认为病毒时,可选择此处置方式。
标记已处置:确认是病毒文件,但病毒文件已线下删除(没有通过青藤防病毒系统进行处置,线下进行了处置,比如登录主机,删除了病毒文件),此时用户可在防病毒系统中,将该告警标记为已处置。
加入受信区:告警中的文件其实不是病毒文件,为误报,此时可将该文件加入受信区,后续将不再对此文件进行告警。
图3-280 处置方式
也可以点击告警详情,在详情界面进行处置,如下图所示:
图3-281 告警详情处置方式
¡ 批量告警处置
批量告警包含两种含义:多个告警一同处置,病毒可能相同,可能不同。相同的病毒文件一同处置。
多个告警一同处置,勾选告警前的复选框,点击表格右上方的【处置】按钮,可将已勾选的告警同时进行处置。
图3-282 多个告警一同处置
同一个病毒文件产生的告警,需要进行批量处置时,可点击相关某个告警的【处置】按钮,在处置界面,勾选【同时处理相同告警】,确定后,与该告警中SHA256相同的其他告警将一并处置。
图3-283 相同病毒文件一同处置
¡ 自动处置
允许用户根据主机设置是否进行自动处置(“设置管理——策略配置”界面),开启自动处置后,当发现病毒时,系统将自动阻断恶意进程并隔离病毒文件。
图3-284 自动处置
¡ 手动处置
当主机业务过于重要,担心误杀对主机业务造成影响时,用户可在“设置管理——策略配置”界面,将主机自动处置开关关闭,关闭后,当发现病毒时,系统只上报告警, 需要在“告警列表”界面手动点击【处置】按钮进行相关处置。
· 重新检测
“重新检测”适用场景:系统检出并上报了告警,但是用户并没有通过青藤防病毒系统进行处置,而是线下删除了病毒文件,此时系统中的告警仍然显示为“未处置”状态,与实际情况不符,于是系统提供了“重新检测”功能:
方式1:无需处理,系统会定期对当前告警进行重新检测,判断告警是否已处置,当发现告警对应的病毒文件不存在时,会自动将告警置为已处置,修复历史界面处置方式显示为“自动标为已处置”。
方式2:告警列表界面,用户手动点击【重新检测】,系统会判断告警列表界面当前所有告警对应的病毒文件是否存在,当发现告警对应的病毒文件不存在时,会自动将告警置为已处置,修复历史界面处置方式显示为“自动标为已处置”。
除了上述两种方式,用户还可以在告警列表界面找到该告警,手动点击【处置】,处置方式选择“标记已处置”,修复历史界面处置方式显示为“手动标为已处置”。
处置成功后的告警,将从“告警列表”界面移出,可在“修复历史”界面查看已处置成功的告警,同时可查看处理人、处理方式,如下图所示:
图3-285 修复历史
处理方式分为四种:手动隔离、自动隔离、手动标记已处置、自动标记已处置。
表3-21 处置状态介绍
|
处理方式 |
说明 |
|
手动隔离 |
未开启自动处置,用户在“告警列表”界面或“扫描检测”的扫描详情界面,点击【处置】按钮,处置方式选择“隔离文件”。 |
|
自动隔离 |
用户在“策略配置”界面,开启了自动处置。 |
|
手动标记已处置 |
未开启自动处置,用户在“告警列表”界面或“扫描检测”的扫描详情界面,点击【处置】按钮,处置方式选择“标记已处置”。 |
|
自动标记已处置 |
用户线下处置了告警,并在告警列表界面,用户点击了【重新检测】按钮,系统自动将该告警状态置为“处置成功”,对应的处理方式为“自动标记已处置”。或者用户线下处置了告警,系统定期进行重新检测时,自动将该告警状态自动置为“处置成功”,对应的处理方式为“自动标记已处置”。 |
用户可在“隔离区”界面查看 当前已被手工隔离或系统自动隔离的文件,如下图所示,可在“已隔离”Tab界面,对已隔离的文件进行还原或删除,可在“已删除”的界面查看已删除的文件记录。
还原:当告警中的文件确认为误报时,可进行还原,同时建议将该文件加入到“响应中心——信任区”中,以便后期不再对此文件进行告警。
删除:当告警中的文件确认为病毒时,可进行删除。删除时,需要输入用户密码,以防误删除。
图3-286 隔离区
用户可在“信任区”界面查看当前白名单规则以及对应的受影响记录。被白名单规则匹配的文件不进行告警。
· 新增规则
有两种方式进行规则新增:
方式一:“信任区”界面,点击【新增规则】
方式二:处置告警时,选择【加入信任区】
图3-287 新建规则
表3-22 新建规则介绍
|
内容 |
说明 |
|
条件列表 |
支持两种方式设置白名单规则:文件路径、文件Hash(SHA256) 二者同时设置时,是“与”的关系,必须同时满足时,才会匹配。 将告警【加入受信区】时,系统自动产生一条“文件Hash”的规则,文件Hash取自告警中的文件SHA256。 |
|
主机范围 |
区分操作系统Linux和windows。 默认选择“全部主机”,当操作系统=Linux时,这里的“全部主机”指的是全部Linux主机。将告警【加入受信区】时,系统自动产生一条规则,规则主机范围为“全部主机”。 |
|
备注 |
默认取值:用户“[用户名]”于[当前日期]添加该白名单,用户可编辑。 |
· 编辑规则
点击 要修改的规则 对应的操作列【编辑】,可进行规则修改。
图3-288 编辑规则
注意:修改规则后,会产生以下两个影响:
1.此白名单对应的受影响记录,将重新匹配规则,不被匹配的受影响记录,将被彻底删除。
2.对历史所有告警(包含未处理完成和处置成功的告警)进行白名单规则匹配,被匹配到的相关告警将从“告警列表”或“修复历史”界面移出,被移至“信任区”的受影响记录中。
图3-289 确认弹框
· 删除规则
支持单个删除和批量删除。点击【删除】,弹出确认框,用户确认后,再进行删除。注意:会同时删除白名单及对应的受影响记录。
图3-290 删除规则
策略配置界面,如下图所示,主要是设置主机是否开启防病毒,当主机上发现病毒时,是否进行自动处置。
图3-291 策略配置
防病毒开启/关闭:已经安装agent的主机,可设置是否开启防病毒功能,支持批量开启或关闭,如下图所示:
图3-292 防病毒开关
注意:可开启防病毒的主机数量,不能超过购买的防病毒授权,当超过时,不能进行开启,系统会给予提示,如下图所示:
图3-293 超过授权提示
自动处置开启/关闭:开启自动处置时,发现病毒时,自动将病毒文件进行隔离,告警变为已处置状态,可在“响应中心——隔离区”查看已隔离的文件,支持对已隔离文件进行还原或删除。关闭自动处置时,发现病毒时,系统只上报告警,不进行处置,用户需要在“告警列表”界面进行手动处置。
只有开启防病毒的主机,才能开启或关闭自动处置开关,鼠标移动到“自动处置”开关上时,提示:主机未开启防病毒。
图3-294 未开启防病毒提示
点击【设置】按钮,可设置新上线主机是否开启防病毒和自动处置。
图3-295 设置
新主机上线开启防病毒:在防病毒还有可用授权时,新安装的主机将自动开启防病毒,当防病毒的授权已用完时,即使这里开启了“新上线主机开启防病毒”开关,新主机也无法开启防病毒功能,可开启的防病毒主机数量,不能超过防病毒总的授权。
新主机上线开启自动处置:当新上线主机自动开启防病毒时,才能开启该开关,否则提示如下:
图3-296 设置提示
当该开关开启时,新上线主机发现病毒时,自动将病毒文件进行隔离,告警变为已处置状态,可在“响应中心——隔离区”查看已隔离的文件,支持对已隔离文件进行还原或删除。
“引擎管理”主要包含两部分:
1.本地引擎的管理:本地引擎的安装、卸载和升级。
2.设置杀毒引擎:设置系统使用的杀毒引擎。
· 本地引擎
1.安装本地引擎时,无论是对进程进行实时检测,还是对对主机上的静态文件进行扫描查杀,都优先使用本地引擎,以便及时发现病毒,当本地未检出时,再进行服务端查杀(注意:服务端查杀仅支持对进程进行实时检测,无法对主机静态文件进行扫描检测)。
2.没有安装本地引擎时,只支持对进程进行服务端实时检测,无法对文件进行扫描检测,“安全体检”整个模块功能无法使用。
图3-297 本地引擎
¡ 安装
当病毒库状态=未安装时,说明主机上没有安装本地病毒引擎。
1.手动安装
支持单个安装或批量安装:
单个安装:点击操作列中的【安装】按钮(病毒库状态=未安装时,可点击安装)
批量安装:勾选主机前的复选框,点击表格右上方【安装】按钮(不符合安装条件的主机将被忽略,比如: 病毒库状态=待升级或最新版本的主机或主机状态=离线的主机)。
点击【安装】按钮后,符合安装条件的主机,病毒库状态将发生改变:
¡ 正在安装时,病毒库状态显示“安装中”,此时允许取消安装。
图3-298 正在安装
¡ 安装成功后,病毒库状态=最新版本,更新“病毒库更新时间”。
¡ 当安装失败时:安装失败时,病毒库状态仍然为“未安装”,并显示安装失败原因,如下图所示:
图3-299 安装失败
2.自动安装
点击【设置】按钮,可设置主机是否进行自动安装,默认关闭。开启时,系统会自动检测哪些主机未安装本地引擎,对符合安装条件的主机,系统将自动安装本地引擎。
图3-300 自动安装
¡ 升级
当病毒库状态=待升级时,说明主机安装了本地引擎,但是目前还不是最新版本,需要升级。
1.手动升级
支持单个升级或批量升级:
¡ 单个升级:点击操作列中的【升级】按钮(病毒库状态=待升级时,可点击升级)
¡ 批量升级:勾选主机前的复选框,点击表格右上方【升级】按钮(不符合升级条件的主机将被忽略,比如: 病毒库状态=未安装或最新版本的主机或病毒库状态=离线的主机)。
点击【升级】按钮后,符合升级条件的主机,病毒库状态将发生改变:
¡ 正在升级时,病毒库状态显示“升级中”,此时允许取消升级。
¡ 升级成功后,病毒库状态=最新版本,更新“病毒库更新时间”。
¡ 当升级失败时:升级失败时,病毒库状态仍然为“待升级”,并显示升级失败原因。
2.自动升级
点击【设置】按钮,可设置主机是否进行自动升级,默认关闭。
¡ 开启时,当杀毒引擎有更新时,系统将自动更新本地引擎。
¡ 关闭时:需要用户手动在“设置管理——引擎管理——本地引擎”界面进行本地引擎升级。
图3-301 自动升级
¡ 卸载
当病毒库状态=待升级或最新版本时,说明主机已经安装了本地引擎,如果不需要本地查杀,可以卸载本地引擎。
支持单个卸载或批量卸载:
- 单个卸载:点击操作列中的【卸载】按钮(病毒库状态=待升级或最新版本时,可点击升级)
- 批量卸载:勾选主机前的复选框,点击表格右上方【卸载】按钮(不符合卸载条件的主机将被忽略,比如: 病毒库状态=未安装或病毒库状态=离线的主机)。
点击【卸载】按钮后,符合升级条件的主机,病毒库状态将发生改变:
- 正在卸载时,病毒库状态显示“卸载中”。
- 卸载成功后,病毒库状态=未安装,病毒库更新时间 变为--。
- 当卸载失败时:卸载失败时,病毒库状态显示卸载前的状态,并显示卸载失败原因。
¡ 支持范围
本地引擎有产品边界,并不是所有的主机都能安装本地引擎。点击【不可用主机】,可查看不可用主机列表,并查看版本支持范围,当前仅支持linux-x86_64和windows-x86_64的部分主机,如下图所示:
图3-302 支持范围
· 杀毒引擎
系统集成多引擎检测,默认全部开启,当需要关闭某杀毒引擎时,可点击开关禁用,禁用后,系统不再使用该引擎进行病毒查。
图3-303 杀毒引擎
可在“系统审计” 界面查看防病毒系统的用户相关的操作记录,如下图所示:
图3-304 系统审计
合规基线首页主要展示用户创建的所有基线检查作业检查结果,并提供新建检查、重新检查、白名单的入口。
图3-305 合规基线
单击“新建检查”按钮,进入新建检查页面
图3-306 新建检查
图3-307 添加基线规则
表3-23 新建检查功能说明
|
功能 |
说明 |
|
检查名称 |
输入基线的检查名称 |
|
检查范围 |
全部主机:主账号可选全部主机,子账号不可选全部主机。(子账号不显示“全部主机”选项)选择业务组:可选择该账号管辖范围内的业务组。选择主机:选择该账号管辖范围内的主机IP,也可手动输入主机IP 【说明】需要先选择检查范围后,才能选择基线规则。选择了检查范围后,将根据所选主机匹配出适用的应用基线,有多少主机缺少账号授权,并提供设置入口。提示例如:您选择的主机中包含20台主机缺少账号授权,点击设置。 |
|
基线规则 |
系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类,每类下又细分为CIS和等保基线,基线可多选 【说明】基线选择后,若为数据库类型应用基线,则提示该规则中是否有需要添加账号授权的基线,若有,则提示,例如:该规则中的60个检查项需要账号授权 目前支持的系统基线有:centos6/7 rhel6/7 ubuntu12/14/16 支持的应用基线有:Apache Apache2 MySQL MongoDB Nginx |
|
定时检查 |
打开定时检查开关,则可以输入定时表达式,且定时表达式为必填。定时表达式为crontab格式,点击“创建并执行”时,需要校验该格式是否正确,校验规则请参考“任务系统=》新建作业中crontab格式”。 鼠标移动到定时表达式后的i,则显示定时表达式的输入说明。 关闭定时检查开关,则不可以输入定时表达式。 |
|
描述 |
输入对该基线的描述。 |
说明:选择基线规则时,可选择的基线规则范围会根据所选择的主机范围而变化。所选主机支持的基线(系统基线、应用基线)才会在选择列表中显示,否则将不显示可用的基线规则(比如:系统基线支持CentOS 7,但所选主机为非CentOS系统主机,则可选列表中不会显示CentOS 7的基线规则)
操作步骤:
(1) 先输入检查的名字,便于标记与区分不同的检查名
(2) “检查范围”内选择检查的主机范围,可选择全部主机、按业务组(单个、多个业务组)、按主机(单台、多台主机)选择
(3) 输入描述信息,描述当前检查相关信息
(4) 选择是否定时检查,开启定时检查,需要输入定时表达式
图3-308 表达式说明:
(5) 选择基线规则,基线规则分为“系统基线”、“应用基线”两类,可切换不同的类别,选择单个、多个规则
(6) 新建检查的各项都设置好后,可点击“创建”或“创建并执行”。
“创建”仅按当前设置创建新的检查,但并不执行;
“创建并执行” 按当前设置创建新的检查并执行,并返回执行结果。
创建的检查执行结果都在基线首页显示,每个检查结果包含:检查名、执行时间;
可对检查结果进行的操作:执行、导出结果、编辑、删除;
点击检查结果可查看各基线规则成功率,点击基线规则查看检查项及检查结果。
图3-309 检查结果
点击图3-310中某条检查结果,会进入各基线规则检测结果页面,点击某条基线规则可查看具体检查结果。检查结果中检查项详细信息包含:检查项名、类别、检查结果。
图3-310 检查项
检查项支持的操作:导出、加入白名单、查看详情;
导出可将选中的单个、多个、全部检查项导出为excel文件;
查看详情中显示检查项名、检查内容、检查结果、检查说明、修复建议、引用信息。
图3-311 检查项详情
加入白名单:可选择单个、多个检查项加入到白名单中,加入后再进行基线检查时,该检查项将会略过不做检查。
图3-312 加入白名单
单击
按钮,选择“查看白名单”,进入“白名单列表”页面。
图3-313 白名单列表
· 新建白名单
单击“新建规则”按钮,进入新建白名单规则页面
图3-314 新建白名单规则
选择精确检索可以选择检查项参数
图3-315 选择检查规则
· 编辑白名单列表
对于已经保存的单条规则,用户可以选择对其进行修改。
图3-316 编辑规则
· 删除白名单列表
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图3-317 删除规则
系统在进行数据库基线等检查时,需提供检查对象的账号密码方可进行检查。
单击
按钮,选择“凭证管理”,进入“凭证管理”页面。
图3-318 凭证管理首页
目前,系统支持对MySQL和WebLogic添加授权,选择应用,点击“添加授权”:
图3-319 添加授权
记录展示每台服务器系统交互Shell的命令操作,需要在后台替换bash;
图3-320 审计日志
· 显示危险操作
勾选
复选框,则只显示所有主机执行的危险命令
图3-321 显示危险操作
· 环境变量配置
当用户使用堡垒机登录时,配置环境变量名称,即可看到真实登录IP 非堡垒机IP
图3-322 环境变量配置效果
图3-323 环境变量配置
· 全部导出
单击 “全部导出”,将所有操作记录全部导出为csv表格,包括操作时间、命令内容、操作主机ip、内网ip、外网ip、主机名、业务组、备注、标签等
图3-324 批量操作
功能描述:
读取主机history文件,显示history中记录的历史命令,没有替换bash的主机会在此显示,主机替换bash之后,同步历史记录也不会再显示其历史命令
图3-325 历史记录
· 显示危险操作
勾选
复选框,则只显示所有主机执行的危险命令
· 同步历史记录
同步最新的history文件内容。
记录每台服务器系统账号登录信息并显示。
· 信息内容:时间、主机IP、用户名、来源IP、登录区域
· 可根据时间、业务组、主机IP、用户名、来源IP筛选登录日志记录
· 选择单条、多条、全部登录日志记录可导出为excel文件
图3-326 登录日志
图3-327 批量操作
记录展示每天服务器系统中账号增删,账号信息修改,账号密码修改,登录方式变更,权限变更,用户组增删,用户组信息修改。
图3-328 账号变更记录
· 同账号查看
点击
按钮,可查看该账号的所有变更记录。
图3-329 同账号查看
图3-330 同账号详细信息
· 结果导出
手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
图3-331 手动导出
单击“导出”,选择导出的字段,最后单击“导出”。
图3-332 选择字段
全部导出:单击
,单击“全部导出”,导出所有记录。
图3-333 全部导出
安全工具箱涵盖了多种安全检查工具,满足在复合场景下的服务器管理需求。可使用对应的工具建立执行任务,批量下发至需要执行的主机,并支持对所有工具的执行记录保存,随时查看执行结果。1.支持多类实用工具:工具类型包括:文件查询、网络工具、进程查询、Web查询、账号工具、安全工具等,可涵盖非常多的使用场景,解决用户多维度的安全问题;
2.灵活可配置:工具内置了各类可调整的参数,用户可通过参数调整来实现最符合自己需求的工具使用。
图3-334 安全工具箱-主界面
功能主要使用流程如下:
步骤一:在工具中心中,选择要执行的工具;
步骤二:使用工具新建执行任务,填写任务配置和执行范围;
步骤四:确认任务信息并执行,等待任务运行;
步骤五:运行完成后查看执行结果。
使用功能时,可在工具中心中查看各个工具的详细说明,提供以下类型的工具:
文件查询:用于对主机上存在文件进行查询,例如查询文件名、查询指定文件内容等;
网络工具:用于主机网络访问的查询和处理,例如查看网络连接、封禁IP等;
进程查询:用于对主机上已运行进程进行查询,例如查看某PID的进程信息;
Web查询:用于主机上web站点服务相关的查询,例如查看某web日志中是否包含恶意访问记录;
账号工具:用于对主机上的账号进行查询和管理;
安全工具:用于主机上特定场景的查询和处理,例如UPX加壳检测
风险检测:用于主机上安全风险的检测,例如漏洞检测、配置不当检测
后门检测:用于检测主机上存在的后门,此类工具可在后门检测中直接通过扫描触发;
其他:用于系统内部自检的一些工具。
图3-335 工具中心
具体操作:
工具详情:可查看当前工具的详细介绍,包含如下信息:
¡ 工具介绍
参数说明:包含输入参数,输出参数;
运行实例:包含输入示例,执行结果示例;
基本信息:包含工具ID,上线时间,最后修改时间,类别;
风险提示:工具执行可能存在的风险,请务必确认风险后再执行。
图3-336 工具详情
¡ 立即执行
选择工具后,点击立即执行可建立工具对应的执行任务。按照步骤配置任务参数,选择范围,并填写任务信息后,可直接执行任务,或保存任务并执行。
仅执行:立即执行该任务,但不保存创建的任务;
保存并执行:立即执行该任务,并保存创建的任务信息。
图3-337 立即执行
任务执行完成后,可在执行记录中查看结果。执行记录保存了所有任务的详细执行结果,用户可以查询历史执行信息,执行结果支持导出。执行记录中也可查看和管理已保存的任务。
图3-338 执行记录
具体操作:
查看结果:可查看当前执行记录的结果。结果支持导出,可导出为json或csv格式的文件。
图3-339 查看结果
重新执行:点击后可对本次执行的任务立即重新执行一次。
在工具中心创建任务时,选择保存任务后,可在已保存任务中查询和管理已保存的任务。
图3-340 已保存任务
具体操作:
执行:立即执行一次任务;
修改:修改任务的配置,可修改参数、执行范围和任务信息;
删除:删除已保存的任务,删除任务不会删除对应的执行记录;
最近执行结果:可查看任务最近一次执行的结果
图3-341 执行结果
资产清点(Asset Inventory),致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务 层资产精准识别和动态感知,让保护对象清晰可见。使用 Agent-Server 架构,提供10余类主机关键资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。
图4-1 资产清点导航
共有9个功能模块,分别为:
· 主机管理:模块包含所有主机相关信息,包括基本信息、运维信息、代理信息等,模块包含所有主机的硬件配置信息,及硬件消耗情况;
· 进程管理:模块包含主机中所有进程,及运行进程的端口相关信息;
· 账户管理:模块包含主机中所有账号,用户组相关信息及域账号信息;
· 安装程序与运行应用:模块包含主机中所有软件应用相关信息;
· Web管理:模块包含web服务和web应用及java语言框架相关信息;
· 站点管理:模块包含主机中所有Web站点相关信息;
· 注册表:模块包含注册表相关信息;
· 数据库:模块包含主机中所有数据库相关信息;
· 其他:模块包含主机中所有启动项、受信任的根证书颁发机构、证书清点相关信息;
在资产详细信息查询中,提供了两种视角(资产视角、主机视角),用户基于不同的统计查询需要,可相互切换。
图4-2 资产视角
同时在资产详情页面,用户可以对列表进行操作,得到想要的查询结果。
图4-3 资产信息
· 筛选/搜索区:根据不同需要,对列表内容进行筛选;
· 更新数据按钮:点击
,手动触发更新当前资产数据;
· 全部导出按钮:点击
,可导出列表中的全部资产数据;
· 设置显示列按钮:点击
,通过勾选列名,控制列表中信息的显示/隐藏;
· 复选框按钮
:点击复选框,可选中该行数据,进行“导出”等操作;
· 显示/隐藏图表区;
图4-4 主机信息
图4-5 Agent安装信息
图4-6 离线主机信息
图4-7 硬件信息
图4-8 代理主机信息
图4-9 没有使用代理服务器的主机
图4-10 资产视角
图4-11 主机视角
图4-12 资产视角-自动信息查询
图4-13 资产视角-启动信息详情
图4-14 主机视角-启动信息查询
图4-15 主机视角-进程启动信息
图4-16 资产视角
图4-17 主机视角
图4-18 资产视角
图4-19 主机视角
图4-20 资产视角
图4-21 主机视角
图4-22 资产视角
图4-23 主机视角
图4-24 账号登录查询
图4-25 域账号清点
图4-26 域账号登录查询
图4-27 密码即将到期与已到期账号查询
图4-28 主机密码期限
图4-29 资产视角
图4-30 主机视角
图4-31 资产视角
图4-32 主机视角
图4-33 资产视角
图4-34 主机视角
图4-35 资产视角
图4-36 主机视角
图4-37 资产视角
图4-38 主机视角
图4-39 Web应用
图4-40 资产视角
图4-41 主机视角
图4-42 Web站点
图4-43 IIS站点
图4-44 Nginx站点
图4-45 Apache站点
图4-46 Tomcat站点
图4-47 WebSphere站点
图4-48 Weblogic站点
图4-49 应用程序启动信息
图4-50 敏感注册表项
图4-51 SQL Server
图4-52 Oracle
图4-53 Sybase
图4-54 DB2
图4-55 资产视角
图4-56 主机视角
图4-57 受信任的根证书颁发机构
图4-58 受信任的证书清点
功能概述:
Windows安全补丁指由微软官方发布的安全类补丁,该类补丁主要针对已公布的漏洞进行安全修复。
基于以上问题,安全补丁模块主要是为了解决补丁管理的混乱,而建立一个的一个自动化补丁管理库,拟实现帮助运维人员检测需要打的补丁、进行补丁管理。有补丁视图/主机视图两种查看模式。
图4-59 补丁视图
· 开始扫描
点击“开始扫描”按钮,弹出扫描配置页面,选择扫描范围后,点击“确认”后开始扫描
· 全部导出
点击“导出”按钮,出全部到csv文件
· 白名单规则
点击
中的“白名单列表”按钮,转到“白名单规则”页面
· 补丁源配置
点击
中的“补丁源配置”按钮,弹出配置页面
图4-60 白名单规则
单击“新建白名单规则”按钮,进入新建规则页面
图4-61 新建白名单规则
· 查看补丁提示信息
点击“补丁名称”后的标识
,出现该补丁的信息提示框,内容包括:补丁描述,补丁公告地址,引用信息:
图4-62 补丁信息
图4-63 主机视图
图4-65 补丁替换视图
检查所有安装Agent主机的系统弱口令,支持单项or批量导出。
图4-66 弱密码检测
暴力破解用于阻止各类关键应用被暴力破解,尝试登录的行为,防止登录账户被爆破。目前支持smb、rdp、ssh、winrm四种服务。
图4-67 暴力破解
用户可以选择手动将一条暴力破解记录加入白名单。加入以后这条记录将成为一条规则,这条规则由该暴力破解的登录时间、登录IP、登录区域三个条件以与关系结合成规则。该规则的适用范围为这条记录的主机IP。
图4-68 暴力破解封停条件说明
点击“自动响应设置”进入自动封停配置,当开启自动封停时,攻击主机会被自动封停。
图4-69 暴力破解配置
图4-70 自动响应设置
服务设置
单击 “服务设置”进入服务设置列表,可以根据需要选择smb、ssh、winrm、rdp四个服务的开启关闭状态。
图4-71 服务设置列表
单击 “白名单规则”进入白名单规则列表。
暴力破解白名单是为了将某些登录认定为正常登录而不是暴力破解去上报,防止一些不必要的上报和封停。
· 新建白名单规则
图4-72 白名单规则设置
表4-1 白名单规则设置说明
|
规则 |
说明 |
|
条件模式 |
· 任一条件:条件列表中各条件之间是或关系,满足其中一个条件即是正常登录。 · 所有条件:条件列表中各条件之间是与关系,必须满足所有条件才是正常登录 |
|
条件列表 |
· 攻击来源:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入、导入CSV格式. · 攻击时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间。 · 攻击使用账号:用户手动填写一个或者多个账号。 |
|
规则范围 |
· 全部主机:指的是所以装有Agent的主机 · 自定义范围:可以选择业务组与自己输入单台主机IP的复合结果 |
· 编辑白名单
对于已经保存的单条规则,用户可以选择对其进行修改。
白名单规则修改后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被修改规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。遍历数据的限制条件同新建白名单。
图4-73 编辑白名单
· 删除白名单
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
白名单规则被删除后,同样需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报;被删除规则的受影响记录中不符合更新后规则的将被还原至列表,恢复显示并正常上报。遍历数据的限制条件同新建白名单。
图4-74 删除白名单
暴力破解的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出暴力破解数据用于特定的统计处理,对近期的检测数据进行存档等。选择的方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击“全部导出”按钮。
图4-75 导出列表
图4-76 全部导出
异常登录用于发现系统成功登录的信息中,包含非正常IP,非正常区域,非正常时间的登录信息。
图4-77 异常登录
点击“正常登录规则设置”,可以查看正常登录规则,点击“新建正常登录规则”。
图4-78 新建正常登录规则
表4-2 正常登录规则说明
|
规则类型 |
说明 |
|
规则的条件模式 |
条件模式是用来指定条件列表中的项目彼此之间的作用关系 · 任一条件:条件列表中各条件之间是或关系,满足其中一个条件即是正常登录。 · 所有条件:条件列表中各条件之间是与关系,必须满足所有条件才是正常登录。 |
|
规则的条件列表 |
条件列表是具体的条件详细内容。 · 登录IP:设置某个IP、IP段或系统已有的IP组为正常登录IP,添加方式包括手动添加、常用IP组导入、导入CSV格式 · 登录时间:设置一个或多个时间点为正常登录时间,登录时间设置方式星期加上起止时间。 · 登录区域:设置一些登录区域为正常登录区域,对于非中国地区只到国家层面,对于中国地区可以设置国家级、省级和市级。例子:中国、中国湖北、中国湖北武汉、美国、俄罗斯。 |
|
规则的适用范围 |
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所以装有Agent的主机 · 自定义范围。可以选择业务组与自己输入单台主机IP的复合结果。 |
· 编辑正常登录规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-79 编辑正常登录规则
· 删除正常登录规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。删除操作要有确认提示,用户确认后方可删除。
图4-80 删除正常登录规则
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击“全部导出” 按钮。
图4-81 手动选择
图4-82 全部导出
4.3.3 反弹Shell
反弹Shell用于监控主机中利用PowerShell脚本进行反向连接的行为,例如黑客入侵了一台服务器后通过设置一个反向shell轻松地访问这台远程计算机等攻击行为,方便用户对主机中发生的反弹Shell行为进行查看、分析和处理。反弹Shell的目标如下:
· 通过实时监控发现反弹Shell行为,对用户进行事件告警,并能让其查看结果;
· 提供反弹Shell事件的详细信息,方便用户进行分析判断是否为反弹Shell事件;
· 提供对反弹Shell监控和上报的规则操作,方便用户对判断后的反弹Shell事件进行处理。
图4-83 反弹Shell
具体操作:
· 查看详情:点击反弹Shell事件列表中各项记录的“查看详情”按钮,可查看该事件的具体详情。
图4-84 反弹Shell-查看详情
· 加入白名单:点击反弹Shell事件列表中各项记录的“加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
· 进程阻断:点击反弹Shell事件列表中各项记录的
按钮,选择“进程阻断”操作,可对当前反弹的进程下发结束运行,操作的结果和状态可在查看完成后的处理状态显示。
图4-85 进程阻断
2. 查看白名单
单击“白名单规则”按钮,进入到白名单规则页面。
图4-86 白名单规则
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-87 新建白名单规则
表4-3 白名单规则设置说明
|
内容 |
说明 |
|
条件列表 |
条件列表是具体的条件详细内容,条件之间为“与”关系。 · 连接进程:下拉框选择单个连接进程,连接进程的选项和上报的反弹Shell进程联动,即仅上报后才能选择该进程作为白名单条件。 · 进程树:填写进程树信息,多个进程树节点以英文逗号隔开 ,满足该进程树进行反弹的行为不会上报。 · 目标主机&端口:连向的目标主机IP和端口号,IP可添加IP、CIDR和IP段,端口号可添加多个端口或者端口段。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机; · 选择业务组。可以选择业务组; · 选择主机:可从列表中选择主机。 |
白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历数据的限制条件如下:
遍历记录数量的上限为10000条;
若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。
· 查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图4-88 查看受影响记录
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-89 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-90 删除规则
3. 告警设置
提供内网告警的控制开关,可控制是否上报内网的反弹Shell记录。
图4-91 删除规则
4. 导出
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
· 手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图4-92 勾选导出
· 全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图4-93 全部导出
后门检测功能用于检查硬件,操作系统,应用软件是否被黑客替换或篡改,如发现该类问题,均为极为严重的问题。
图4-94 后门信息
全部导出可以导出后门信息,包含全部字段。
可以立即对当前的所有主机进行后门检测。
可以通过查看详情按钮查看该后门的基本属性和与其相关联的进程或者模块等信息。
图4-95 查看详情
单击
按钮,对后门文件进行隔离操作。
图4-96 隔离后门文件
找到文件确认过不是系统后门后,可以选择加入白名单,在下次扫描时加入白名单的后门不会再提示。单击
按钮,单击“加入白名单”,在“更多”中单击“白名单”,查看白名单列表。
图4-97 加入白名单
图4-98 查看白名单
图4-99 系统后门白名单
点击“删除”可删除白名单记录。
单击“隔离/删除列表”,查看隔离或删除的后门文件。
图4-100 隔离/删除列表
异常登录的数据导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。例如:用户会导出异常登录数据用于特定的统计处理,对近期的检测数据进行存档等。导出方式有以下两种:
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击 “全部导出”。
Web后门用于检查Web网站中存在的后门文件,Web后门文件为安全威胁检查中即为重要的一环。扫描分2种,触发式扫描,即点击界面,用户主动触发的扫描。
图4-101 Web后门
开始扫描按钮:即用户主动对单独该项进行扫描。
单击
,对Web后门文件进行操作,包括加入白名单、下载文件、隔离。
图4-102 处理Web后门文件
点击“更多”,有实时监控设置、隔离/删除列表、深度扫描3个选项。
点击更多,进入实时监控设置列表,可以根据需要选择主机是否开启实时监控。
图4-103 实时监控设置
单击 “修复历史”,查看Web后门的修复记录。
单击 “白名单规则”,进入到白名单规则页面。
图4-104 查看白名单
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-105 新建白名单规则
表4-4 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
Web后门白名单的规则内容可以由以下两个条件中的任意一条组成,两个条件为关系互斥。 · 文件MD5。设置某些符合条件的文件MD5为正常文件MD5,MD5与之匹配的文件即视为正常文件,条件内容为文件的MD5,由用户手动输入或手动添加白名单操作填入。 · 自定义文件。条件内容可以由以下两个条件中的任一条组成或多个条件以与关系组成。 ¡ 文件目录。设置某些符合条件的文件目录为正常文件目录,该条件目录下的文件或者目录指向的文件即视为正常文件,条件内容为文件目录的正则表达式,由用户手动输入。 ¡ 文件名。设置某些符合条件的文件名,该文件即视为正常文件,条件内容为文件名的正则表达式,由用户手动输入。 |
|
规则范围 |
规则范围是用户自定义规则适用的范围,用户可以按照下面三种方式选择。 · 全部主机。所有安装Agent的主机。 · 自定义范围。可以选择业务组,也可以选择单台、多台主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-106 编辑白名单
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-107 删除白名单
· 手动选择:手动勾选取消需要导出的行,选择“导出”按钮导出选中的数据;
· 全部导出:单击
按钮选择“全部导出”。
在线更新KB数据。
单击 “自定义目录”,进入到自定义目录页面。用户可以根据实际情况设置需要额外扫描的目录。
图4-108 自定义目录
· 新建自定义目录
单击“新建自定义目录”按钮进入到新建自定义目录页面。
监控目录可输入多个监控路径,以英文逗号隔开;
忽略目录可输入监控目录下需要忽略的子目录,可输入多个,以英文逗号隔开;
应用范围从主机列表中选择,也可选择多台主机。
图4-109 新建自定义目录
如果应用范围内存在主机已设置自定义目录,将提示新设置的目录将覆盖主机之前的目录。
图4-110 覆盖目录
· 编辑自定义目录
点击编辑按钮可编辑该条自定义目录的监控目录,应用范围不可编辑。
图4-111 编辑目录
点击确定提示编辑后的目录将覆盖主机之前的目录,点击确定完成编辑。
· 删除自定义目录
点击删除按钮可删除该条自定义目录记录。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-112 删除目录
单击“更多”,选择“隔离/删除列表”,查看隔离和删除的记录。
图4-113 隔离和删除列表
4.3.6 Web命令执行
Web RCE是黑客写入Web后门后,通过启动Web进程来执行恶意操作的一种手段。Web命令执行通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息,帮助用户准确分析黑客的入侵路径和目的,功能同时也支持用户自定义规则进行检测,可帮助适应客户多样化的业务流程,精准覆盖各类RCE攻击的监控场景。
图4-114 Web命令执行
具体操作:
· 查看详情:点击列表内事件记录的“详情”按钮可查看事件的详情;
图4-115 查看详情
· 加入白名单:点击列表内事件记录的 “加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机。
选择“监控规则”,进入到监控规则页面。监控规则分为两类,一类为自定义规则,由用户自己创建和管理,一类为系统规则,为系统内置的规则,用户可选择对系统规则是否启用。
图4-116 监控规则-自定义规则
图4-117 监控规则-系统规则
· 同步规则:对规则的修改完成后,需要将更新后的规则内容重新下发同步后才能成功检测(脚本内容类型规则无需下发同步),若存在修改未同步,则界面会显示对应的提示告知用户,点击提示中的“同步规则”同样可以完成同步的下发。
图4-118 同步规则提示
· 新建监控规则
单击“新建监控规则”按钮进入到新建监控规则页面。
图4-119 新建监控规则
表4-5 白名单规则说明
|
规则 |
说明 |
|
规则名称 |
规则的名称,必填项,由用户自定义输入 |
|
规则内容 |
监控规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 监控规则有两种设置方式:逐级匹配和跨级匹配。 · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 · 跨级匹配:点击“添加进程信息后”选择添加终点进程操作。按照进程树匹配起点父进程和终点子进程,进程只要存在片段满足首尾进程的条件,即可命中规则。 |
|
规则说明 |
对规则进行说明,由用户自定义输入,说明将展示在告警的详情中 |
· 编辑规则
对于已经保存的自定义规则,用户可以选择对其进行修改。
图4-120 编辑规则
· 删除规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-121 删除规则
2. 监控管理
监控管理是用来设置账号管理主机是否开启该功能,支持批量开启和批量关闭的功能。新安装的主机会默认开启监控。
图4-122 监控管理
图4-123 监控管理-批量设置
3. 白名单规则
选择“白名单规则”,进入到白名单规则页面。
图4-124 白名单规则
· 查看白名单受影响记录
对于已经保存的单条规则,用户可以查看受白名单影响的记录列表。
图4-125 查看受影响记录
· 新建白名单规则
单击“新建白名单规则”按钮进入到新建白名单规则页面。
图4-126 新建白名单规则
表4-6 白名单规则说明
|
规则 |
说明 |
|
规则内容 |
规则按照各层级进程的信息进行条件设置,每级进程可设置条件有以下两个: · 进程名包含:输入匹配进程名的字符串,多个以英文逗号隔开。为了避免过多的误报,要求一级进程中该条件为必填项,后续层级的进程下为非必填; · 进程命令行:输入匹配进程执行命令行的正则表达式,非必填项; 白名单规则仅有逐级匹配方式: · 逐级匹配:点击“添加进程信息后”选择添加下一级进程操作。按照进程树逐级匹配进程,进程必须都符合连续的规则中的条件,才算命中规则;逐级匹配规则最多设置5级进程。 |
|
规则范围 |
规则范围是指以上条件的适用范围。规则范围有是以下三种方式里选择其中一种,且仅可以选择一种: · 全部主机。指的是所有装有Agent的主机; · 选择业务组。可以选择业务组; · 选择主机:可从列表中选择主机。 |
· 编辑白名单规则
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-127 编辑规则
· 删除白名单规则
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除。
图4-128 删除规则
4. 导出
导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:
· 手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据;
图4-129 勾选导出
· 全部导出:单击“全部导出”按钮导出当前范围的全部数据。
图4-130 全部导出
同_安全响应章节描述。
同_微蜜罐章节描述。
合规基线首页主要展示用户创建的所有基线检查作业检查结果,并提供新建检查、重新检查、白名单的入口。
图4-131 合规基线
单击“新建检查”按钮,进入新建检查页面
图4-132 新建检查
图4-133 添加主机规则
表4-7 新建检查功能说明
|
功能 |
说明 |
|
检查名称 |
输入基线的检查名称 |
|
检查范围 |
全部主机:主账号可选全部主机,子账号不可选全部主机。(子账号不显示“全部主机”选项)选择业务组:可选择该账号管辖范围内的业务组。选择主机:选择该账号管辖范围内的主机IP,也可手动输入主机IP 【说明】需要先选择检查范围后,才能选择基线规则。选择了检查范围后,将根据所选主机匹配出适用的应用基线,有多少主机缺少账号授权,并提供设置入口。提示例如:您选择的主机中包含20台主机缺少账号授权,点击设置。 |
|
基线规则 |
系统将根据所选主机匹配出适用的基线规则。分为系统基线和应用基线两大类,每类下又细分为CIS和等保基线,基线可多选 【说明】基线选择后,若为数据库类型应用基线,则提示该规则中是否有需要添加账号授权的基线,若有,则提示,例如:该规则中的60个检查项需要账号授权 目前支持的系统基线有:Windows Server 2008 、2008 R2、2012、2012 R2 支持的应用基线有:IIS |
|
定时检查 |
打开定时检查开关,则可以输入定时表达式,且定时表达式为必填。定时表达式为crontab格式,点击“创建并执行”时,需要校验该格式是否正确,校验规则请参考“任务系统=》新建作业中crontab格式”。 鼠标移动到定时表达式后的i,则显示定时表达式的输入说明。 关闭定时检查开关,则不可以输入定时表达式。 |
|
描述 |
输入对该基线的描述。 |
说明:选择基线规则时,可选择的基线规则范围会根据所选择的主机范围而变化。所选主机支持的基线(系统基线、应用基线)才会在选择列表中显示,否则将不显示可用的基线规则(比如:系统基线支持Windows Server 2008,但所选主机未非Windows Server 2008系统主机,则可选列表中不会显示Windows Server 2008的基线规则)
操作步骤:
(1) 先输入检查的名字,便于标记与区分不同的检查名;
(2) “检查范围”内选择检查的主机范围,可选择全部主机、按业务组(单个、多个业务组)、按主机(单台、多台主机)选择;
(3) 输入描述信息,描述当前检查相关信息;
(4) 选择是否定时检查,开启定时检查,需要输入定时表达式;
图4-134 表达式说明:
(5) 选择基线规则,基线规则分为“系统基线”、“应用基线”两类,可切换不同的类别,选择单个、多个规则;
(6) 新建检查的各项都设置好后,可点击“创建”或“创建并执行”。
· “创建”仅按当前设置创建新的检查,但并不执行;
· “创建并执行” 按当前设置创建新的检查并执行,并返回执行结果。
· 创建的检查执行结果都在基线首页显示,每个检查结果包含:检查名、执行时间;
· 可对检查结果进行的操作:执行、导出结果、编辑、删除;
· 点击检查结果可查看各基线规则成功率,点击基线规则查看检查项及检查结果。
图4-135 检查结果
点击某条检查结果,会进入各基线规则检测结果页面,点击某条基线规则可查看具体检查结果。检查结果中检查项详细信息包含:检查项名、类别、检查结果。
图4-136 检查项
检查项支持的操作:导出、加入白名单、查看详情。
导出可将选中的单个、多个、全部检查项导出为excel文件。
查看详情中显示检查项名、检查内容、检查结果、检查说明、修复建议、引用信息。
图4-137 检查项详情
· 加入白名单
可选择单个、多个检查项加入到白名单中,加入后以后再自行基线检查时,该检查项将会略过不做检查。
图4-138 白名单
单击
按钮,选择“查看白名单”,进入“白名单列表”页面。
图4-139 白名单列表
· 新建白名单
单击“新建规则”按钮,进入新建白名单规则页面
图4-140 新建白名单
选择精确检索可以选择检查项参数
图4-141 检查项
· 编辑白名单列表
对于已经保存的单条规则,用户可以选择对其进行修改。
图4-142 编辑白名单
· 删除白名单列表
对于已经保存的单条或者多条规则,用户可以选择对其进行删除。
图4-143 删除白名单
单击
按钮,选择“更新数据”,更新统计数据。
可以记录所有登录Windows主机的登录信息,可以记录到登录主机的IP地址,用户名和登录区域。展现的信息如下
· 信息内容:时间、主机IP、用户名、来源IP、登录区域
· 可根据时间、业务组、主机IP、用户名、来源IP筛选登录日志记录
· 选择单条、多条、全部登录日志记录可导出为excel文件
图4-144 登录日志
图4-145 导出日志
同_安全工具箱章节描述。
Agent安装提供详细的安装Agent方法指引,同时该功能随时检测最新安装的Agent主机,用户在安装新Agent后,产品中第一时间得到反馈。
Agent安装说明,用于辅助用户完成Agent的基础安装,包含以下几个内容:
选择系统:需要安装Agent的主机对应的操作系统;
设置主机信息:根据用户实际情况,填写待安装主机的相关信息;
安装引导:指导用户选择合适的安装方式,完成安装过程,并对可能遇到的问题给出解决方法。
系统目前支持的操作系统,主要是Linux和Windows,界面如下图所示。界面会根据用户选择的操作系统,自动列出对应的环境需求。
图5-1 选择环境
安装成功,可在Agent安装界面的安装记录中查到相应主机。
图5-2 安装界面
环境需求
选择Linux操作系统时,环境需求如下图所示:
图5-3 环境需求
支持主流64位Linux操作系统
系统安装Curl程序,且版本不低于7.10;(Curl为下载器)
系统启动Cron定时任务服务
openssl版本不低于0.9.8o
直连主机的防火墙需确保可与服务器通信要求
代理连接的主机需连通管理服务器的sock5代理服务
当系统不允许使用Crontab任务时,系统常见问题中给出了解决方法,见下图所示:
图5-4 解决方法
设置主机信息
选择主机连接方式,包括:直连主机、代理连接;
选择主机所在业务组;
图5-5 直连主机
图5-6 代理连接
图5-7 设置运行账号
安装引导
Linux系统仅支持命令安装,见下图所示。点击生成命令,将命令输入到cmd中以管理员身份运行。
图5-8 安装引导
安装记录
安装成功,可在安装记录中查到相应主机。
图5-9 安装记录
2. Windows
环境需求
操作系统选择Windows时,环境需求见下图所示:
图5-10 环境需求
支持主流的64位Windows操作系统
直连主机的防火墙需确保可与服务器通信要求
直连主机通过"命令安装"时,需使用PowerShell组件
代理连接的主机确保能连通管理服务器的sock5代理服务
当无法为SSL/TLS安全通道建立信任关系时,系统常见问题时给出了解决方法,见下图所示。
图5-11 解决方法
设置主机信息
选择主机连接方式,包括:直连主机、代理连接;
选择主机所在业务组;
图5-12 直连主机
图5-13 代理连接
安装引导
Windows支持三种安装方式:命令安装、安装包安装、命令+安装包安装。
命令安装:
——适用于批量安装(需支持PowerShell组件)
需传入主机所属"业务组ID",和Agent安装到的目录位置(默认为:C:\Program Files\TitanAgent),才可生成安装命令;生成命令后,在cmd中以管理员权限运行命令,即可安装Agent;
图5-14 命令安装
安装包安装:
——适用于单台安装,用户可使用操作界面安装
需下载安装包,按照安装流程操作,将传入主机所属"业务组ID"生成的参数,填入安装程序所需的"安装参数",点击"安装",即可安装Agent;
图5-15 安装包安装
安装包+命令:
——适用于批量安装,安装包分发到各主机,批量执行命令
需下载安装包,传入主机所属"业务组ID",和安装包所在位置、Agent安装到的目录位置(默认为:C:\Program Files\TitanAgent),才可生成安装命令;生成命令后,在cmd中以管理员权限运行命令,即可安装Agent;
图5-16 安装包+命令
安装记录
安装成功,可在安装记录中查到相应主机。
图5-17 安装记录
本页面主要用来管理安装Agent的主机,包括新建、编辑、删除业务组;修改主机的业务组划分;修改主机信息;添加主机;添加、编辑、删除主机标签;主机信息同步;导出主机信息。
图5-18 管理信息设置
· 新建业务组
通过单击“新建”按钮,可添加业务组。
图5-19 新建业务组
图5-20 业务组操作
选择已有业务组,可以添加子业务组,修改业务组,删除业务组。
· 标签管理
图5-21 标签管理
可以新建,编辑,删除标签。
· 修改移动按钮
单击“修改”进入修改主机信息页面
图5-22 修改主机信息
单击移动按钮移动所选主机到所选业务组。
图5-23 移动主机
· 导出主机信息
导出主机信息可以导出当前业务组的主机信息,点击“全部导出”,即开始下载主机信息文件。
图5-24 全部导出主机信息
通过设置主机规则,可以批量设置各类主机信息,包括移动业务组、设置主机标签、编辑运维信息等。
在首页点击 “规则设置”,进入主机规则列表。
图5-25 规则列表
· 执行规则
点击执行规则,将依次执行当前列表中的所有规则。
· 新建规则
点击新建规则,将进入“新建规则”界面:
图5-26 新建规则
· 条件列表:主机名中包含、主机IP在以下范围内。只有同时满足所有输入的条件时,才会执行所选操作。
· 执行操作:移动到业务组、标记标签、标记资产等级、修改主机负责人、修改主机负责人的邮箱、修改主机所在机房、修改主机的备注。
· 主机范围:全部主机、业务组。
· 描述:规则描述。
该功能使用户可以根据自己主机的网卡情况,自定义设置在界面列表中显示的IP信息。
图5-27 IP显示列表
¡ 新建规则
定义IP段的IP地址为优先显示的主机IP
图5-28 新建规则
¡ 编辑、删除规则
单击“编辑”“删除”按钮可以对已有规则进行修改或删除。
图5-29 编辑/删除规则
在全局设置中增加"IP通用设置",用户可根据自己需求,对产品中有特定作用和含义的IP或者IP段,设置为IP组进行统一管理;
包括:
· 自定义内网IP组:可自定义设置某些"IP或IP段"为内网,则在产品使用中,属于该IP组的IP会显示为内网IP;
· 安全外网IP组:可自定义设置某些"IP或IP段"为安全外网;
· 自定义IP组:用户可以自定义IP组,以结合自身需求灵活使用;
图5-30 IP组管理
以下配置步骤为通用配置方式,针对每种不同的采集事件,均可按下面步骤进行配置(下面以1个事件的配置为例说明)。
图5-31 采集配置界面
点击侧边栏中“日志采集配置”菜单中的“主机采集配置”,前往主机事件列表。
图5-32 主机事件列表
点击事件列表中该类事件的“采集范围配置”,进入采集范围配置页面。
图5-33 采集范围配置
在采集范围配置页面中点击“添加采集主机”。
图5-34 添加采集主机
在“添加采集主机”抽屉中筛选并勾选想要添加至采集范围的主机后点击“确认”按钮,即可将选中的主机添加至当前事件的采集范围。
图5-35 添加至采集范围
对于需要订阅Audit服务或安装插件的事件(无需开启Audit服务的事件,配置时可跳过此步骤),系统将会提示您前往“插件管理”进行Audit服务订阅管理或插件安装。
图5-36 安装插件
配置完采集策略后,点击事件列表中的“启用采集”即可开启当前事件的采集。
图5-37 启用采集
若希望今后新装agent的主机默认加入当前事件的采集主机范围,点击事件列表中的开关,将其状态切换至“开启”即可。
图5-38 开启开关
点击侧边栏中“事件外发配置”中的“接收服务配置”,前往接收服务配置页面。
图5-39 接收服务配置
然后点击接收服务列表右上角的“新增接收服务”按钮,即可在打开的抽屉中填写接收服务信息。
图5-40 新增接收服务
支持新增syslog服务器、Kafka服务器及集群、ES服务器及集群作为接收服务。填写完毕后点击 “创建”按钮即可成功创建接收服务,接收服务将会被添加至接收服务列表中。
添加接收服务时,系统将会自动检测该接收服务是否可正常连接和登录。syslog服务器不支持连通性检测。
支持编辑或删除接收服务列表中的服务器及集群。另外还支持测试列表中的各接收服务(syslog除外)的连通性。
图5-41 编辑、删除
点击侧边栏中“事件外发配置”中的“外发连接配置”,前往外发连接配置页面。
图5-42 外发连接配置
然后点击外发连接列表右上角的“新建外发连接”按钮,即可在引导流程中逐步完成外发连接配置。
图5-43 新建外发连接
创建外发连接的第一步是勾选想要外发的事件类型。勾选完毕后点击“下一步”即可进行外发范围选择。
图5-44 第一步
第二步是选择第一步中选取外发各类事件的主机范围。也就是从第一步中勾选的各类事件的采集主机范围中选取要在当前外发连接中进行外发的主机。
图5-45 第二步
第三步是选取用于接收采集到的事件的接收服务器或集群。在列表中勾选想要使用的接收服务器或集群即可。支持勾选多个。
图5-46 第三步
最后一步是确认前三步的配置是否正确,若确认配置没有问题则点击“完成”即可成功创建该外发连接。创建完成的外发连接将会默认启用并展示在外发连接列表中。
图5-47 最后一步
点击列表右上角的“新增接收服务”来新增接收服务。新增接收服务抽屉如下图所示:
图5-48 新增接收服务
支持外发至syslog、Kafka或ES服务器/集群。支持测试连通性。填写完毕后点击“创建”按钮即可将接收服务添加至接收服务列表。
接收服务的连通性状态分为五类:未测试、测试中、正常、连接失败、登录失败。
只有当接收服务状态为“正常”,并将其绑定至外发连接时才能正常进行事件外发。
可能造成接收服务连接异常的原因有:网络异常或接收服务信息填写错误。此时应检查网络通信状态以及接收服务器地址和端口填写是否正确。
可能造成接收服务登录失败的原因为:接收服务器登录信息填写错误。此时应检查接收服务器登录信息是否填写正确。
创建外发连接的目的是指定将哪些事件类型中的哪些主机上的数据发送给哪个接收服务。
“外发连接配置”页面中展示了当前系统中已添加的外发连接列表。
图5-49 外发连接配置
图5-50 新建外发连接
列表中尚未启用的外发连接支持编辑。编辑外发连接时,填充了当前配置的引导流程页面如下图所示。允许在任意步骤间切换并调整配置。
图5-51 编辑外发连接
点击外发连接列表中的“关联接收服务”即可展示关联的接收服务名称、类型以及连接和登录状态。
点击操作栏中的“详情”按钮,即可查看各外发连接的配置详情,如下图所示:
图5-52 外发连接详情
外发连接列表中勾选多条外发连接后支持批量启用、禁用及删除选中的外发连接。处于启用状态的外发连接不可删除。
在用户的IT运维环境中会在一部分主机上部署服务器安全监测系统的Agent,用户就需要能够知道还有哪些主机没有部署Agent(一方面是用户很多时候都不知道在自己的网络环境中有多少主机,另一方面用户也会有一些主机新上线)。主机发现这个功能就是在用户网络环境内通过已经安装了Agent的主机发现未安装agent的主机,帮用户更全面的了解其网络环境内的主机资源,其主要场景如下:
· 发现未安装agent的主机
· 管理/标记发现的主机
· 自动化的批量部署agent
· 定期得到主机的变化通知
在安装了agent主机的主机上,通过定期的主动探测,发现网络内还存在的未安装Agent的主机。为了能够更加精准的发现网络内其他的主机,同时还能兼顾在用户网络环境内不会消耗过多资源,用户需要根据每种发现方法不同属性和自身网络环境情况进行设置。主要有以下三种发现方法:
· ARP缓存发现:Address Resolution Protecol(ARP)缓存是用来存放最近Internet地址到硬件地址之间的映射记录。通过在安装了agent的主机上查找ARP缓存表内存储IP信息来获取和这台主机连接过的主机。方法特殊设置:N/A
· Ping发现,Ping发现是通过发送ping包的方式来发现新主机,支持系统:Linux,Windows(TBD),方法特殊设置:设置扫描的IP段
· Nmap发现
展示所有发现的网络环境中,未安装Agent的主机资产。
图5-53 扫描结果列表
点击右上角“忽略主机列表”进入忽略主机界面。
图5-54 忽略主机列表
图5-55 忽略主机列表-批量操作
· 新建扫描
通用功能-主机发现-设置扫描任务-新建扫描,新建扫描功能可以让用户根据其需求配置一个扫描任务。扫描任务的配置包括基本设置和高级扫描设置。
图5-56 新建扫描
表5-1 扫描项说明
|
基本设置 |
1. 扫描任务名(必填,不可重复) 扫描任务名是由用户自定义的一个扫描任务的名字,该项目必填不可为空,且任务名是不可重复的。 2. 扫描发起主机(必填) 扫描发起主机是由用户选择由已经安装agent的主机来发起扫描任务,可以选择的对象包括全部主机、某个业务组的机群或是用户自定义组。 发起主机的选项包括: · 全部主机 · 业务组 · 自定义主机 对于发起主机的选择至少需要选择一个,支持多选。 在业务组界面和自定义主机界面可以展示该业务组或者某个主机已经参与的任务,并给出提示,告诉用户主机任务越多,对于性能的开销越大。 3. 定时扫描(选填) 用户可以对扫描的操作时间可以进行定时扫描,如果不进行设置则会采用默认设置。 · 默认设置 用户如果不进行设置,则采用默认设置,即扫描任务只会被执行一次。 · 手动填写 用户选择对扫描任务进行定时运行设置,即当本次扫描完成以后,间隔规定的时间后会开始一次新的扫描。 扫描时间的填写规则说明如下:
由于扫描时间使用的是crontab格式,界面上应该即时对其格式进行校验和显示,如果格式正确则显示器所对应的内容,如果不正确则给出格式错误的提示。 4. 操作系统发现(选填) 用户可以选择在扫描任务是否需要发现非托管设备的操作系统。 · 默认选择 扫描任务默认是不发现非托管设备的操作系统。 · 设置发现 设置发现以后,扫描任务会去发现非托管设备的操作系统,但是需要注明这样会使得扫描任务消耗的资源增加。 5. 扫描网段 扫描网段用来让用户选择设置在Ping扫描和Nmap扫描下需要扫描的网段,用户可以选择使用默认设置或者手动设置。 · 默认设置 在默认设置下,则负责进行扫描任务的主机去Scan其设备所在的网段,需要用文字在界面上进行说明。 · 手动设置 用户手动设置被扫描的网段。在该情况下,则至少需要设置一个网段,也可以添加多个不同的网段。如果是多个网段,需要注意容错处理(比如网段之间的重复、IP地址是否合法等)。 |
|
高级设置 |
高级扫描设置用来设置用户扫描的方法。扫描方法有ARP缓存方式扫描、Ping方式扫描和Nmap方式扫描三种方法,用户至少需要选择其中的一种扫描方法,扫描方法支持多选。需要在界面注明所选的方法越多,对于机器性能的开销越大。 其中,Nmap方式扫描需要一定的设置,说明如下。 · Nmap方式扫描 Nmap方式扫描需要分别设置扫描网段、扫描协议和扫描端口。每个设置都有提供默认设置和手动设置。 扫描协议 ¡ 默认设置 在默认设置下,则采用TCP协议进行扫描。需要用文字在界面上进行说明。 ¡ 手动设置 用户可以选择对扫描协议进行手动设置,包括只用UDP、只用TCP和都用。需要做的容错是用户不可以一个协议都不选择。 · 端口设置 ¡ 默认设置 默认设置下,会扫描本系统提供的一些端口。 ¡ 手动设置 如果用户选择使用手动配置,则用户至少需要填写一个端口,并且要对端口进行一些判定,看端口是否合法。 |
|
更多高级设置 |
更多高级设置提供了对于以下三种变量的手动设置功能,用户如果不选择手动设置,则使用系统的默认设置。 · 最大并发扫描数量 · 每秒最大包数 · 服务器下发任务的间隔(可以精确到小数点后一位,需要设置上限,以秒为单位) |
· 立即运行扫描
立即运行扫描是指的立刻开始某个扫描任务,而不是等待其到相应的时间再开始任务。
图5-57 运行扫描
· 删除扫描
删除扫描功能,会删除当前扫描任务。前提:
¡ 普通列表项目不可以删除正在进行的任务。
¡ 删除任务不会删除其扫描任务所搜索出来的结果
图5-58 删除扫描任务
· 修改扫描
修改扫描,可以让用户重新配置这个扫描的一些配置选项。 关于保存配置和新建扫描是一致的。
前提:
¡ 不可以修改正在进行的扫描任务
¡ 修改扫描配置不会删除其扫描任务所搜索出来的结果。
图5-59 修改扫描任务
· 更新数据依赖
图5-60 更新数据依赖
报表系统主要是用来导出安全巡检或者基线检查结果,方便用户了解服务器的安全检查结果,导出的结果为word文档或者html页面的形式。
单击“创建报表”按钮,进入创建报表页面
图5-61 创建报表
操作步骤:
(1) 选择报表模板
当前可以导出安全巡检和合规基线两种报表,其中安全巡检有Word和HTML两种格式的模板,合规基线仅有HTML格式
图5-62 报表模板
(2) 选择报表范围
(a)安全巡检报表-Word文档
报表版本:仅能查看概览版的安全巡检信息
功能范围:限定导出的是agent管理、风险发现和入侵检测的巡检结果
统计时间:可选择最近七天、最近一月、自定义三种范围的统计时间
主机范围:限定主机范围为全部主机
图5-63 报表范围
(b)安全巡检报表-HTML文档
报表版本:可选择概览版或者详细版的巡检报表
功能范围:限定导出的是agent管理、风险发现和入侵检测的巡检结果
统计时间:可选择最近七天、最近一月、自定义三种范围的统计时间
主机范围:限定主机范围为全部主机
图5-64 报表范围
(c)合规基线报表
基线检查:可以选择合规基线中创建的基线模板
基线规则:可以选择全部规则或者基线模板中的某些规则
图5-65 报表范围
(3) 填写报表信息
填写报表名称和描述信息,选择是否定时检查,开启定时检查,需要输入定时表达式
图5-66 报表信息
(4) 创建报表任务
完成报表任务创建,可以选择立刻执行或者返回首页
图5-67 报表创建
在报表系统首页可对创建的报表进行管理,能选择执行、下载报表、修改、删除、查看执行记录等操作
图5-68 报表管理
说明:下载报表操作需要在至少执行一次报表任务后才能进行。
管理可以登录前台页面的账号,看到账号名,账号创建时间,账号状态等基本信息。可以通过条件筛选已经存在的用户账号;新建账号;编辑修改已有账号;删除账号。
图5-69 子账号管理
角色:有默认角色和自定义角色两大类,用户可以通过角色来筛选显示账号。
· 默认角色:超级管理员、普通用户、审计员、只读普通用户4种,且不可删除和编辑。
· 自定义角色:可根据需要新建自定义角色
账号状态:账号状态有禁止登录、允许登录、停用三种状态。
· 禁止登录:账号不允许登录,但产品功能仍在运行,无法登录查看结果或执行操作。若公司账号被禁止登录,则其子账号也被禁止登录。
· 允许登录:指账号可以正常登录并使用产品功能。
· 停用:账号无法登录。
图5-70 账号状态
子账号名:用户用于登录的字段,其全局唯一。使用主账号/子账号形式登录。
图5-71 子账号名
姓名:一般为账号拥有者的姓名,可以包含中英文、数字或字符。
图5-72 新建子账号
新建子账号时需要输入以下必选信息:
· 子账号名:用户登录的账号
· 初始密码:创建者自己设定初始密码。
· 选择是否启用LDAP认证:使用LDAP认证账号身份,开启后需使用LDAP的密码登录
· 姓名:建议为创建者真实姓名。
· 邮件:用户的联系邮箱,之后用户可以接收邮件通知
· 手机号:建议为创建者真实手机号。
查看与账号相关信息,包括账号名称,创建时间,账号状态LDAP认证,所属用户组,账号角色,业务组,最近登录时间等。
图5-73 子账号详情
点击“修改”,即可修改当前选定账号信息。
拥有账号管理权限的用户的账号的基本信息,例如: 姓名、邮箱、手机号、部门、职位、公司名称、公司地址、备注,在这里可以输入、修改这些信息。
图5-74 修改账号
图5-75 修改子账号
点击“重置密码”,即可修改子账号密码。
图5-76 修改密码
超级管理员或账号管理员可以修改账号的密码,密码规则见下。
建议用户不定期修改密码(如至少90天修改一次),密码要求如下:
· 长度为8-20位
· 只能包含大小写字母、数字、符号(不能包含空格)
· 至少包括大小写字母、数字、符号4种里的2种
密码强度规则如下:
· 强:8-20位,包括大小写、数字、符号4种;或11-20位,包括4种里的3种
· 中:8-10位,包括4种里的3种;或11-20位,包括4种里的2种
· 弱:8-20位,包括4种里的1种;或小于8位,无论包括几种
图5-77 所属用户组
图5-78 新增用户组
图5-79 删除用户组
图5-80 角色设置
账号管理员可以将账号设置为超级管理员账号或者普通用户账号或者其他自定义账号。
图5-81 管理业务组
账号管理员给账号分配自己管理范围内的业务组,勾选成功后单击“同步设置”即可完成同步。
图5-82 访问控制
访问控制用于限制登录IP,用户可设置该账号哪些主机IP可进行登录,可选择启用/禁用,未启用时不限制登录的IP,设置完后需点击“保存”才能保存当前设置。
用户账号不能删除操作者本身的账号,删除账号时需要输入操作者的登录密码进行验证。
图5-83 删除账号
需要验证密码才可删除。
图5-84 密码验证
可设置动态口令验证方式(OTP配置)。
图5-85 OTP配置
建立子账号后,登录账号以“主账号名称/子账号名称”形式,密码为子账号密码方式登录。如[email protected]账号中建立子账号test1,密码为1qaz@WSX,则其账号名[email protected]/test1,密码为1qaz@WSX登录。
图5-86 子账号登录
用户组概念类似于Linux中的用户和用户组概念,账号管理员可以给账号添加其所属的用户组。一个账号可以属于多个用户组。
图5-87 用户组管理
单击“新建用户组”按钮,进入到新建用户组页面,输入用户组名称和备注两项,然后单击“确定”按钮,即可新建一用户组。
图5-88 新建用户组
单击“详情”,进入用户组详情页面,可以查看用户、创建用户组的时间、组成员等信息。
点击“修改”,进入用户组编辑界面。
图5-89 修改用户信息
· 成员管理
可以管理用户组中的成员账号,添加、查看、删除用户组中的成员。
图5-90 成员管理
· 添加用户
勾选对应账号后的复选框,点击“确定”即可把勾选的账号添加到当前用户组下。
图5-91 添加用户
· 删除
将对应账号从当前用户组中删除。
图5-92 删除
· 角色设置
为当前用户组下的账号添加或者删除角色。
图5-93 角色设置
· 添加角色
单击“添加角色”按钮,进入添加角色页面,勾选要添加的角色点击确定。
图5-94 添加角色
· 删除
单击删除按钮即可删除已经创建的角色。
图5-95 删除
· 管理业务组
可以给已有的用户组管理不同业务组的权限。勾选复选框后单击“同步设置”即可完成同步。
图5-96 管理业务组
单击删除按钮即可删除对应的用户组。
图5-97 删除用户组
· 角色:有默认角色和自定义角色两大类,用户可以通过角色来筛选显示账号。
· 默认角色:超级管理员、普通用户、审计员、只读普通用户4种,且不可删除和编辑。
· 自定义角色:可根据需要新建自定义角色
图5-98 角色管理
单击新建角色按钮进入新建角色页面。
图5-99 新建角色
点击“详情”进入角色详情页面。
图5-100 角色详情
单击修改按钮即可修改现有角色。
图5-101 修改信息
· 分配权限
查看修改当前角色拥有什么模块的权限
图5-102 权限信息
· 添加授权
单击“添加”按钮进入到添加授权页面,可以通过勾选复选框为当前角色添加对应权限。单击“确定按钮可保存退出。
图5-103 添加授权
· 关联角色
图5-104 关联角色
· 管理业务组
图5-105 管理业务组
单击右侧“删除”按钮,可删除对应的角色。
图5-106 删除角色
Agent管理主要用来管理和Agent的运行状态,包括:
· 主机基本信息:主机IP,主机名,主机状态,业务组,备注,标签
· Agent相关信息:通信状态、是否频繁掉线,运行级别,日志级别,Agent ID、Agent版本,Bash版本,最后在线时间,Agent安装时间,最后下线时间。
图5-107 Agent管理
在排查问题的过程中,可设置Agent运行级别,下载日志和运行报告。
设置运行级别:
· 正常:Agent拥有完整能力,执行服务器的任务。
· 降级:是一种保护模式,Agent不再接受服务器下发的任务,直至恢复为非"降级"状态。
· 停用:停止Agent业务功能,只保留基本通信能力和任务执行能力(如:卸载,恢复在线)。
图5-108 设置运行级别
图5-109 下载日志
· 下载运行报告
下载Agent运行情况的报告。
· 重启Agent
重新启动Agent,不改变原"主机状态"和"运行级别"。
· 删除Agent
彻底清除产品中该Agent所有数据信息,显示为"清除数据中",清除完成后 触发统计更新(详见下文);并下发"Agent卸载"命令,释放"AgentID"。
· 立即更新
更新Agent信息。
系统审计用于记录用户在使用本产品时产生的操作,用户可在系统审计功能中查看自己历史的操作详情,方便快速地追溯失败操作和误操作的原因。
图5-110 审计列表主界面
图5-111 查看详情
全部导出:单击“全部导出”按钮,导出当前范围内的全部操作记录。
通知系统即消息中心,为整个系统中各类消息汇聚的位置,其主要涉及以下三方面内容:
· 解决安全系统的资产,风险,威胁功能的消息通知问题
· 提供便捷的信息发布平台,可以使用该系统(或系统提供的发送能力)发送任何消息
· 通知系统提供问题的通知,但不提供问题的处理
提供站内信,邮件,群机器人三种通知方式,可以由用户自行配置接收人。
右上角
按钮,点击“查看更多”
图5-112 消息通知
进入到通知系统,选择“消息接收配置”。
图5-113 消息接收配置
图5-114 接收人管理
进入到接收人定义页面,选择“新增接收人”,输入要添加的接收人名称,邮箱和手机号码,点击确定按钮。
图5-115 新增接收人
可以根据需要对不同的事件配置不同的接收人。
图5-116 接收人配置
初次登录时强制要求用户修改密码,以保障用户信息安全,该功能默认开启。
使用默认密码登录后,会弹出密码修改界面,修改密码需满足复杂度要求,且无法改回默认密码。
图5-117 强制改密
· 修改成功
修改成功后,自动跳转到登录界面。
图5-118 修改成功
· 关闭强制改密
1) 在/data/app/titan-config/java.json文件 中,将default_passwd_update参数修改为false(默认为true)
2) 重启服务 /data/app/titan-wisteria/init.d/wisteria restart
图5-119 配置文件
可设置账号密码定期更换时间,达到所设时间限制时需要更新设定密码才能登录。
图5-120 账号设置
在权限管理页面,点击“设置”按钮,进行账号设置。密码更换周期默认为不设置,
不设置:不强制要求更新密码。
30天:从设置生效开始,达30天需更新密码。
90天:从设置生效开始,达90天需更新密码。
自定义:自行设置更换周期,1~90天。
设置是否只允许单会话登录,默认关闭。开启后将同时只允许1个会话登录。
在授权即将过期时,页面会显示过期提醒,提醒用户授权即将过期,需尽快购买和安装授权,以免影响业务。
· 当产品有效期<=15天时,顶部右上角菜单栏会显示过期提醒。
图5-121 顶部菜单栏提醒
· 当0<=产品有效期<=7 天时,登录后会有弹框提示,当勾选“不在提示”时,则登录后不再弹框。
图5-122 弹窗提示
支持
