- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM-G终端安全管理系统
Web配置指导
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
从网络上具有下列资源的任何终端打开Web控制台,如下表所示。
表1-1 Web管理控制台要求
|
项目 |
要求 |
|
系统 |
· Windows · Linux |
|
浏览器 |
· Mozilla Firefox 80版本及以上 · Google Chrome 80版本及以上
建议使用最新版本的浏览器。 |
|
显示器分辨率 |
建议1366x768或更高 |
(1) 在浏览器栏输入https://<终端安全管理系统服务端IP地址>:8443,访问Web管理控制台。
登录界面如下图所示。
(2) 输入用户名、密码和验证码。
默认用户名为admin,默认密码为admin。
为了提高安全性,在使用过程中,请定期更改密码。请参考修改账户密码进行密码的修改。
如果忘记用户名admin的密码,请在服务端后台执行命令sh /opt/esm/server/conf/shell/reset_
passwd将密码重置为admin。
(3) 单击<登录>按钮或按Enter键,登录成功。
如果使用账户首次登录,将会强制跳转到修改登录密码界面。
图1-2 修改登录密码
输入新密码和确认密码,单击<确认>按钮后,提示密码设置成功,然后跳转到登录界面。在登录界面输入用户名和新的密码后,单击<登录>按钮或按Enter键,登录成功。
转到“控制台”主菜单,界面展示指定时间范围内的监控概况,包括:
· 客户端概况/资源状态/文件防病毒特征库更新/行为规则库更新
· 病毒防护
· 资产管理
· 检测响应
· 客户端概况:展示已注册的客户端数以及在线与离线的客户端数。
图2-1 客户端概况
单击<已注册:4>,跳转到“客户端管理”页面,显示已注册的全部客户端。
图2-2 已注册的客户端
单击“在线”下面的数字,显示在线的客户端。
图2-3 在线客户端
单击“离线”下面的数字,显示离线的客户端。
图2-4 离线客户端
· 资源状态:展示CPU、内存和存储使用率。
图2-5 资源状态
· 文件防病毒特征库更新:展示文件防病毒特征库已过期的客户端数和过期率。
图2-6 文件防病毒特征库更新
单击“已过期”和“过期率”下面的数字,将跳转到“客户端管理”页面,显示文件防病毒特征库已过期的客户端。
图2-7 文件防病毒特征库已过期的客户端
单击<最新版本>,跳转至“客户端更新”界面,可以查看文件防病毒特征库的最新版本号。
图2-8 客户端更新
· 行为规则库更新
图2-9 行为规则库更新
单击“已过期”和“过期率”下面的数字,将跳转到“客户端管理”页面,显示行为规则库已过期的客户端。
图2-10 行为规则库已过期的客户端
单击<最新版本>,跳转至“客户端更新”界面,可以查看行为规则库的最新版本号。
图2-11 客户端更新
单击
,展示24小时/7天/30天安全防护概况,包括:威胁类型、影响客户端和影响客户端TOP5。
图2-12 病毒防护
· 威胁类型
¡ 横轴表示时间,纵轴表示威胁类型的数量,以堆叠区域图的形式展示。
¡ 默认情况下,展示所有威胁类型的趋势图。可以单击右上方的挖矿病毒、勒索病毒、病毒、灰色软件、潜在有害程序,显示指定的威胁类型的趋势图。
· 影响客户端:横轴表示时间,纵轴表示某时间段受感染的客户端数量。
· 影响客户端TOP5:以条形图的样式展示受影响的TOP5客户端以及客户端感染的威胁数量。
单击
,可以切换展示Windows系统和Linux系统的资产信息。
图2-13 资产管理
· 端口TOP5:主机端口TOP5统计数据。单击柱状图(以Windows为例),将跳转到“资产管理> 端口 > Windows 端口管理”界面。
图2-14 端口
· Web服务TOP5:主机Web服务TOP5统计数据。单击服务名称(以Windows为例),将跳转到“资产管理> 端口 > Windows Web服务”界面。
图2-15 Web服务
· 数据库TOP5:主机数据库TOP5统计数据。单击条形图(以Windows为例),将跳转到“资产管理> 端口 > Windows 数据库”界面。
图2-16 数据库TOP5
· 主机数量、本地账号和域账号数量(Windows系统)
单击“Windows主机数”上面的数字,将跳转到“资产管理> 端口 > Windows主机”界面。另外,
后面的数字代表24小时内新增的主机数量,单击该数字,将显示新增的主机的详情。
图2-17 Windows 主机
单击“本地账号”和“域账号”上面的数字,将跳转到“资产管理> 端口 > Windows账号监控”界面。
图2-18 本地账号
图2-19 域账号
· 有root权限的账号和无root权限的账号数量(Linux系统)
单击“Linux主机数”上面的数字,将跳转到“资产管理> 端口 > Linux主机”界面。另外,
后面的数字代表24小时内新增的主机数量,单击该数字,将显示新增的主机的详情。
图2-20 Linux主机
单击“有root权限的账号”和“无root权限的账号”上面的数字,将跳转到“资产管理> 端口 > Windows账号监控”界面。
图2-21 有root权限的账号
图2-22 无root权限的账号
单击
,可以选择查看检测响应的时间段,分别为 24 小时/ 7 天/ 30 天。
图2-23 检测响应
· 基于ATT&CK框架的高级威胁视图:基于ATT&CK分类统计的告警,其中轨迹线上的图标代表战术点,单击战术点图标将显示该战术点的技术点的分布及对应条数。
· 高级威胁影响主机:产生IOA告警条数最多的前5台主机。单击主机名或主机数量,将跳转到“入侵告警”界面。
图2-24 入侵告警
风险洞察,可以分析出存在攻击风险和威胁攻击风险的终端并进行安全评估,一目了然的告诉客户应该优先关注哪些高风险终端、风险事件。再将各个终端的数据聚合关联,呈现出企业总体的安全风险水平。结合管控手段给予用户精准的处置建议实现一站式的运营闭环,由此真正完成自适应的治理模型。
风险洞察模块整体分三部分:风险洞察、风险终端、推荐措施。
风险洞察页面分为五部分:风险评分、智能守护、攻击面、安全威胁和处置措施。
l 今日安全评分:为了减少对系统资源的消耗,风险洞察默认一小时评估一次,但是如果在企业内有新的资产或者风险存在时,用户可以单击
触发评估,系统将立即评估安全评分,稍后刷新页面即可查看最新评分。
用户可以根据所在企业对威胁等级的定义调整评分标准,单击页面右上角的
,可以对评分标准进行设置,分数越高,系统越安全,风险等级越低。
l 智能守护:展示智能守护的天数以及系统发现的威胁,单击数字,将跳转到对应的日志管理页面。
l 攻击面:多维度资产识别,7*24小时持续风险发现。
ü 已知资产:已知资产即已安装客户端的终端及主机,该界面展示已知资产的风险等级分布以及风险终端TOP5。单击<查看全部>,将跳转到“风险终端”页面。
ü 未知资产:未知资产指的是未安装客户端的终端及主机,该界面展示未知资产的探测趋势以及最新发现的未知资产TOP5。单击<查看全部>,将跳转到“资产发现”页面。
ü 互联网暴露资产:互联网暴露资产即暴露在外网,并能够被外部人员访问到的资产,如提供Web服务、FTP服务、对外开放端口445等,这部分资产极有可能被黑客利用作为攻击入侵的窗口。该界面展示互联网暴露资产等级分布、开放端口影响终端TOP10、互联网暴露资产TOP5。单击<查看全部>,将跳转到“风险终端”页面。
l 安全威胁:病毒入侵及攻击链各环节精准检测、全面防御。
ü 病毒风险:展示病毒来源以及来源趋势图。
单击病毒风险数,跳转到“病毒日志”页面。
单击影响资产数,将跳转到“风险终端”页面。
ü 入侵检测:展示入侵告警的数量以及趋势图。单击入侵检测后面的下拉框,可以查看不同类型的入侵告警。
单击入侵检测数,跳转到入“入侵告警”页面。
单击影响资产数,将跳转到“风险终端”页面。
ü 失陷检测:展示失陷检测的数量以及趋势图。单击失陷检测后面的下拉框,可以查看不同类型的失陷检测告警。
单击失陷检测数,跳转到“失陷告警”页面。
单击影响资产数,将跳转到“风险终端”页面。
l 智能推荐处置措施:展示待处理、已忽略和已处置的处置措施数量以及最新待处置的TOP5处置措施。
单击<查看全部>或某条处置措施,将跳转到“推荐措施”页面。
风险终端页面展示所有的风险终端列表以及每个风险终端的详细信息。风险终端的详细信息包括:评分趋势、攻击点、安全威胁以及推荐措施。
推荐措施页面展示待处置的措施以及待处置措施的数量。
l 单击措施的名字,进入措施详情页面,页面介绍了系统存在的风险、处置措施以及受影响的终端TOP5。请根据实际需要,单击忽略或者标记为已处理。
l 单击受影响终端,将跳转到风险终端页面,显示终端的详细信息。
措施的处置状态分为已处置、待处置、已忽略。
转到“客户端”主菜单,包括如下内容:
· 客户端管理
· 客户端安装
· 自动分组
· 离线设置
客户端管理功能用于管理接入的终端,以“左树右表”的形式展示服务端管理的客户端信息。
图4-1 客户端管理
如上图所示,选中左侧的分组,右边以列表的形式展示选中分组内的客户端信息,包括:计算机名、IP地址、连接状态、注册时间、安全防护策略、运维管控策略、授权模块、客户端程序、操作系统、操作系统类型、体系架构、登录用户、MAC地址、文件防病毒引擎、文件防病毒特征库、行为规则引擎、行为规则库、机器学习特征库、设备ID、爆发阻止、遏制状态、监控状态和响应。另外,可以单击
,勾选需要展示的信息。
· 单击“分配策略”,可以为客户端分配安全防护策略和运维管控策略,有关分配策略的内容请参考分配策略。
· “授权模块”字段展示的是客户端有哪些授权。有关如何激活产品使用授权,请参考产品授权。
· 计算机名前面带
标志的,说明该客户端被设置为更新代理,有关更新代理的内容请参考代理更新。
· 在“响应”列,可以对遭受热点事件攻击的客户端进行处理:
¡ 遏制:当主机遭受攻击时,这台主机将只能连接到服务器,不能连接到其他网络。
¡ 连接到:对受攻击主机进行修复操作。
使用“客户端 > 客户端管理”上方的搜索功能,找到终端安全管理系统管理的特定终端。
选中某个分组或全部客户端,在搜索框
中输入IP地址、计算机名或登录名进行模糊搜索。
除了通过搜索框进行模糊匹配搜索外,用户也可以通过高级搜索设置自定义过滤表达式进行过滤搜索。
图4-2 过滤条件
过滤条件含义如下表所示。
|
标注 |
描述 |
|
① |
可以选择的字段包括:计算机名、IP地址、连接状态、遏制状态、设备ID、操作系统、操作系统类型、体系架构、登录用户、MAC地址、文件防病毒引擎状态、文件防病毒特征库状态、客户端程序、行为规则检测引擎、行为规则库、机器学习特征库、系统类别和授权模块。 |
|
② |
可以选择的字段包括:小于、等于、大于。 |
|
③ |
根据①和②选择或输入相应的内容。 |
|
④ |
单击“添加过滤条件”,会添加新的过滤条件,按照所有的过滤条件取交集。 |
(1) 转到“客户端 > 客户端管理”。
(2) 单击<新建>,进入“新建组”界面。
图4-3 新建组
(3) 配置分组名称。
(4) 从安全防护初始策略的下拉列表框中选择需要分配的策略。
缺省情况下,安全防护初始策略为默认策略。
如果已新增了其他安全防护策略,会在安全防护策略下拉列表框中显示。
关于安全防护策略的详细信息,请参考安全防护策略。
(5) 从运维管控初始策略的下拉列表框中选择需要分配的策略。
如果已新增了其他运维管控策略,会在运维管控策略下拉列表框中显示。
关于运维管控策略的详细信息,请参考运维管控策略。
(6) (可选)自动分组。
缺省情况下,自动分组已关闭,将滑动按钮设置为
,代表已启用自动分组。
开启自动分组后,配置IP地址范围,上线的IP地址属于该范围时,会分配到对应的分组中。关于自动分组的详细信息,请参考自动分组。
(7) 单击<确定>。
新建的分组除了在“客户端管理”界面显示外,也会在“自动分组”界面显示。
(1) 转到“客户端 > 客户端管理”。
(2) 单击
。
图4-4 查看分组
(3) 展示“查看组信息”的界面。
图4-5 查看分组信息
(1) 转到“客户端 > 客户端管理”。
(2) 单击
。
图4-6 编辑组
(3) 组的名称变为可修改的状态,输入修改后的组名称。
图4-7 修改组名称
(1) 转到“客户端 > 客户端管理”。
(2) 有如下两种方法:
方法一:选中需要删除的某个分组,单击
。
图4-8 删除组
方法二:选中需要删除的一个或多个分组,单击
按钮,然后单击删除分组,可以批量删除分组。
图4-9 删除组
(3) 弹出提示框,单击<确认>。
图4-10 确认删除所选分组
转到“客户端 > 客户端管理”。选中一个或多个客户端后,服务端可以向选中的客户端下发对应的任务,包含的任务如下表所示。
表4-2 服务端对客户端任务下发
|
标注 |
描述 |
|
分配策略 |
在服务端给客户端分配策略后,客户端将根据策略采取对应的操作 |
|
立即扫描 |
服务端向客户端下发立即扫描的任务,客户端将立即进行病毒扫描 |
|
更新组件 |
服务端向客户端下发更新组件的任务,客户端的组件将会进行更新 |
|
隔离恢复 |
如果认为检测不准确,可以恢复终端安全管理系统隔离的文件。 |
|
移动至新分组 |
如果需要将客户端移动到另外的分组,可以执行移动至新分组的任务 |
|
更多操作 |
包括:还原组件版本、升级客户端、卸载客户端、删除客户端、清除命令、监控、暂停监控、迁移至新服务器、开启爆发阻止和关闭爆发阻止 |
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<分配策略>。
图4-11 分配策略
(3) 从安全防护策略的下拉列表框中选择需要分配的策略。
缺省情况下,安全防护初始策略为默认策略。
如果已新增了其他安全防护策略,会在安全防护策略下拉列表框中显示。
关于安全防护策略的详细信息,请参考安全防护策略。
(4) 从运维管控策略的下拉列表框中选择需要分配的策略。
如果已新增了其他运维管控策略,会在运维管控策略下拉列表框中显示。
关于运维管控策略的详细信息,请参考运维管控策略。
(5) 单击<确认>。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<立即扫描>。
图4-12 立即扫描
服务端向客户端下发立即扫描的任务。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更新组件>。
图4-13 更新组件
服务端向客户端下发立即更新组件的任务。
如果您认为检测不准确,则可以恢复终端安全管理系统隔离的文件。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<隔离恢复>。
(3) 弹出隔离恢复列表,列表中展示被这些客户端隔离的文件。
图4-14 隔离恢复列表
(4) 选择需要恢复的文件,单击<恢复>。
服务端向客户端下发隔离恢复任务,客户端收到隔离恢复任务后,将恢复指定的被隔离文件。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<弱口令检测>。
图4-15 弱口令检测
(3) 选择弱口令库对所选客户端的操作系统账号进行弱口令检测。
弱口令库默认包含内置弱口令库,支持自定义弱口令库。用户可以选择一个或者多个弱口令库进行检测。
单击<管理弱口令库>,将跳转到“运维管控 > 弱口令库管理”,可以对弱口令库进行管理。
(4) 单击<立即检测>。
服务端向客户端下发弱口令检测的任务,检测结果可在弱口令检测日志中查看。
未集成防火墙设备,防火墙隔离功能不可用,请转到“通用设置 > 联动管理 > 防火墙设备集成”页面进行集成。集成成功后,防火墙隔离功能才可用。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<防火墙隔离>。
图4-16 防火墙隔离
(4) 选择防火墙隔离时长。
(5) 单击<立即隔离>。
(6) 转到“客户端 > 客户端管理”。
(7) 选中一个或多个客户端,单击<更多操作>的下拉框。
(8) 单击<还原组件版本>。
图4-17 还原组件版本
服务端向客户端下发还原组件版本的任务,将客户端组件还原到上一个版本。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<升级客户端>。
图4-18 升级客户端
服务端向客户端下发升级客户端程序的任务。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<卸载客户端>。
图4-19 卸载客户端
(4) 弹出提示框,单击<确认>。
服务端向客户端下发卸载客户端的任务。客户端卸载后,将不再受服务端的管控。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<删除客户端>。
图4-20 删除客户端
(4) 弹出提示框,单击<确认>。
服务端向客户端下发删除客户端的任务,删除的客户端将不再显示在客户端管理列表中。但是,客户端可以重新注册到终端安全管理系统服务端。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<清除命令>。
图4-21 清除命令
清除服务端向客户端下发的任务。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<监控>。
图4-22 监控
服务端向客户端下发监控的任务。默认情况下,监控状态显示“监控中”,代表客户端的功能正常。
连接状态为离线的客户端将不能进行此操作。
当客户端遇到性能问题,需要先解决客户端自身故障问题时,可以对监控状态为监控中的客户端进行暂停监控操作。
当客户端自身故障问题恢复后,可以对监控状态处于暂停监控的客户端进行启动监控操作。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<暂停监控>。
图4-23 暂停监控
客户端收到服务端的暂停监控命令后,客户端将停止所有的业务功能,如防病毒、资产管理等。
连接状态为离线的客户端将不能进行此操作。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<迁移至新服务器>。
图4-24 迁移至新服务器
(4) 输入迁移后的服务器的地址和端口号。
(5) 单击<确认>。
迁移成功后,原服务端将删除选中的客户端的信息,选中的客户端将迁移至另一台终端安全管理系统服务端上。
病毒的网络传播特性很强,例如网络蠕虫病毒,可以快速地通过网络共享进行传播扩散。病毒的文件修改和注入能力也很强,可以通过修改或注入的方式破坏用户的文件。
爆发阻止功能,指的是在病毒有爆发迹象时,管理员可以通过向指定的客户端下发爆发阻止策略,来对病毒的网络传播和文件修改注入特性进行抑制。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<开启爆发阻止>。
图4-25 开启爆发阻止
(4) 选择爆发阻止保持有效的时长,缺省为48小时。
(5) (可选)选择是否开启爆发阻止时通知用户。
如果选择开启爆发阻止时通知用户,并且在“策略 > 安全防护策略 > 策略管理 > 设置 > 权限设置”中勾选了“允许客户端弹窗”,在客户端上将出现弹窗,弹窗内容如下:
H3C SecCenter终端安全管理系统在您的网络上检测到威胁爆发。为防止威胁蔓延,系统管理员已经手动开启爆发阻止功能,您可能暂时无法使用网络共享功能。
(6) 单击<确认>。
客户端接收到服务端的爆发阻止命令后,将禁止客户端的SMB端口(137、138、139、445)入站和出站的共享访问流量,同时会在“通用设置 > 系统日志”中记录开启爆发阻止的日志。
只有超级管理员、安全管理员和系统管理员可以开启爆发阻止功能。
(1) 转到“客户端 > 客户端管理”。
(2) 选中一个或多个客户端,单击<更多操作>的下拉框。
(3) 单击<关闭爆发阻止>。
图4-26 关闭爆发阻止
(4) 单击<确认>。
关闭爆发阻止后,会在“通用设置 > 系统日志”中记录关闭爆发阻止的日志。
只有超级管理员、安全管理员和系统管理员可以关闭爆发阻止功能。
客户端的安装方法有两种:
· 下载安装包部署:用户可以通过下载地址下载到对应系统的安装包,然后进行解压并安装。
· 基于浏览器形式部署:基于浏览器形式部署界面描述基于浏览器安装方式的过程,并生成一个安装URL,管理员可以通过电子邮件、文本、社交网络或通信软件分享这个URL,用户基于这个URL下载到一个安装脚本,通过执行这个脚本进行自动化安装。
转到“客户端 > 客户端安装”,单击“下载安装包部署”标签页。
图4-27 下载安装包部署
根据不同的操作系统及CPU架构下载安装包。
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 在终端解压安装包 tar -xzvf agent_installer.tar.gz
(4) 进入解压目录cd agent_install
(5) 执行命令 ./agent_installer.sh
(6) 执行完成,终端的agent程序将自动连接H3C SecCenter终端安全管理系统
(1) 下载安装包
(2) 将安装包拷贝至终端
(3) 双击exe文件进行安装
(4) 执行完成,终端的agent程序将自动连接到H3C SecCenter终端安全管理系统
转到“客户端 > 客户端安装”,单击“基于浏览器形式部署”标签页。
图4-28 基于浏览器形式部署
复制如下信息,通过邮件、OA 等方式发送至客户端,客户端用户自行下载安装包进行安装部署。
wget https:// <服务端 IP 地址>:8443/web_install/web_install.tar.gz --no-check-certificate && tar -xzvf web_install.tar.gz && cd web_install && ./installer.sh
通过指定IP范围来设定自动分组规则,当新的客户端注册上来时将逐个匹配规则列表中的分组规则,进入匹配到的组内。如果未匹配到任何规则,则进入“默认组”。对于已注册客户端会按照新增的自动分组规则重新分组。自动分组方便管理员管理客户端,并且极大地降低了管理员的管理压力。
(1) 转到“客户端 > 自动分组”。
(2) 单击<新建分组>。
图4-29 新建自动分组
(3) 配置分组名称。
(4) 从安全防护初始策略的下拉列表框中选择需要分配的策略。
缺省情况下,安全防护初始策略为默认策略。
如果已新增了其他安全防护策略,会在安全防护策略下拉列表框中显示。
关于安全防护策略的详细信息,请参考安全防护策略。
(5) 从运维管控初始策略的下拉列表框中选择需要分配的策略。
如果已新增了其他运维管控策略,会在运维管控策略下拉列表框中显示。
关于运维管控策略的详细信息,请参考运维管控策略。
(6) 开启自动分组。
缺省情况下,自动分组已关闭,将滑动按钮设置为
,代表已启用自动分组。
开启自动分组后,配置IP地址范围,上线的IP地址属于该范围时,会分配到对应的分组中。
(7) 单击<确定>。
创建成功后,新建的分组显示在“自动分组管理”列表中。
自动分组管理提供新建分组、上移、下移、启用、禁用和删除功能,并提供分组名称筛选功能。如下图所示。
图4-30 自动分组管理
· 选中某个分组,单击<上移>或者<下移>,可以调整分组的优先级。当新的客户端注册上来时,将优先匹配优先级高的分组的规则。
· 选中某个分组,单击<启用>或者<禁用>,可以启用或者禁用自动分组功能。
图4-31 启用自动分组
图4-32 禁用自动分组
· 选中某个分组,单击<删除>,可以将该分组删除。
图4-33 删除分组
· 单击<修改>,可以修改自动分组功能是否启用和修改分组的规则。
图4-34 修改分组
· 关闭右上方的“分组规则生效开关”,所有的分组规则都不生效。默认情况下,分组规则生效开关是开启的。
对于长时间离线的客户端,可以开启自动删除离线客户端的功能,该功能默认是关闭的。
开启自动删除离线客户端功能后,服务端默认自动删除超过30天的离线客户端。自动删除离线客户端,只是在服务端上删除客户端的信息。若主机上的客户端后续又连接到该服务端,则会按照一个新安装客户端的注册流程处理。
(1) 转到“客户端 > 全局设置”。
图4-35 离线设置
(2) 选择“允许自动删除离线客户端”。
(3) 离线时长设为指定的天数,客户端离线超过该天数后,将会被自动删除。
(4) 单击<保存>。
转到“客户端 >
全局设置”,显示右下角托盘小图标默认是勾选的。客户端安装成功后,除未授权和只授权检测响应之外,在桌面任务栏中会出现客户端托盘图标
。
图4-36 显示客户端托盘图标
如果不需要显示客户端托盘图标,可以去勾选显示右下角托盘小图标。
图4-37 不显示客户端托盘图标
转到“客户端 > 全局设置”,可以设置是否保留已卸载或已删除的客户端的所有日志。保留的时长以及日志清理请转到“通用设置 > 日志维护”进行设置。
终端安全管理系统利用组件来保护客户端终端免受最新安全风险的危害。通过运行预设更新或立即更新,使这些组件保持最新。
转到“更新 > 服务端更新”,终端安全管理系统从更新源下载组件并将它们部署到客户端。
图5-1 服务端更新界面
(1) 转到“更新 > 服务端更新”。
(2) 单击<配置更新源>。
图5-2 配置服务端更新源
(3) 选择想要下载组件更新的位置。
· 智能更新服务器
· 本地更新源
(4) 单击<确认>。
将终端安全管理系统服务端配置为定期检查其更新源并自动下载任何可用更新。由于客户端通常从服务器获得更新,因此使用预设更新是确保安全风险防护始终保持最新的简单有效的方法。
(1) 转到“更新 > 服务端更新”。
(2) 单击<预设更新>。
图5-3 配置服务端预设更新
(3) 选择“启用预设更新”。
(4) 配置时间设定。
对于每月更新,如果选择了第29天、第30天或第31天,但当月不包含该日期,则终端安全管理系统将在每月的最后一天运行更新。
(5) 选择需要预设更新的组件。
(6) 单击<确认>。
(1) 转到“更新 > 服务端更新”。
(2) 单击<本地上传更新>。
图5-4 配置服务端本地上传更新
(3) 单击<点击选择文件>。
(4) 文件上传成功后,单击<立即更新>。
(1) 转到“更新 > 服务端更新”。
(2) 单击<更新组件>。
图5-5 立即更新
(3) 单击<确定>。
服务端将立即更新组件。
(1) 转到“更新 > 服务端更新”。
(2) 单击<还原组件>。
图5-6 还原组件
(3) 单击<立即还原>。
服务端组件将还原到上一个版本。
要确保客户端处于不受最新安全风险危害的状态,请定期更新客户端组件。
更新客户端之前,请检查其更新源(终端安全管理系统服务端)是否具有最新的组件。有关如何更新终端安全管理系统服务端的信息,请参考服务端更新管理。
转到“更新 > 客户端更新”,展示客户端更新概况。
图5-7 客户端更新管理界面
(1) 转到“更新 > 客户端更新”。
(2) 单击<前往更新组件>。
(3) 跳转到“客户端管理”界面。
图5-8 “客户端管理”界面
(4) 勾选需要更新的客户端,单击<更新组件>,服务端向客户端下发立即更新组件的任务。
(1) 转到“更新 > 客户端更新”。
(2) 单击<前往还原组件>。
(3) 跳转到“客户端管理”界面。
图5-9 “客户端管理”界面
(4) 勾选需要还原组件的客户端,单击<更多操作>下拉框下的<还原组件版本>,服务端向客户端下发还原到组件的任务。
客户端组件将还原到上一个版本。
在分级部署终端安全管理系统时,对于一些小型分支机构,由于规模小,带宽有限,用户无法在分支机构部署服务端,因此需要在分支机构指定一台客户端作为更新代理。由这台更新代理从服务端下载引擎和病毒特征库,同一分支机构的其他客户端可以从更新代理获取引擎和病毒特征库。
(1) 转到“更新 > 客户端更新源 > 更新代理”。
(2) 单击<新增代理>。
图5-10 新增代理
(3) 选择需要设为更新代理的客户端。
· 支持选择多个客户端。
· 计算机名前面带
标志的,说明该客户端已经被设置为更新代理。已经是更新代理的,不可以再次被选择或者取消选择。
(4) 单击<确认>。
新增代理成功后,界面显示如下:
图5-11 代理列表
· 在右上角的搜索框中,可以根据连接状态,输入代理客户客户端名称或IP地址进行搜索。
图5-12 搜索代理客户端
· 客户端被设置为更新代理后,会根据心跳报文来确认自己是否被设置为更新代理,如果是,则立即从服务端更新组件。接下来,会每隔一个小时进行客户端组件的更新。客户端组件更新后,会显示组件的最新版本信息和最近一次更新时间。
· 选中一个或多个代理,单击<删除>,可以删除代理。如果代理已经关联了代理更新策略,不能直接删除代理,需要先删除关联的策略再删除代理。
图5-13 删除代理
· 新增代理成功后,需要配置代理更新策略,更新代理客户端绑定了更新代理策略才会生效。有关如何配置代理更新策略,请参考配置代理更新策略。
配置代理更新策略后,客户端将优先使用更新代理作为更新源。如所有代理均不可用或未找到,则客户端从服务端更新。
(1) 转到“更新 > 客户端更新源 > 配置更新源”。
(2) 单击<新增>。
图5-14 新增代理更新策略
(3) 配置策略名称。
(4) 配置IP地址。
每行一个,最多输入16个,支持单IP、IP范围、IP和子网,格式如下:
· 单个IP:192.168.1.1
· IP范围:192.168.0.0-192.168.0.255
· IP/子网掩码:192.168.0.0/255.255.0.0
· IP/子网掩码:192.168.0.0/16
(5) 从更新代理下拉框中选择更新代理,支持模糊查询计算机名或者IP,每次只能选择一个。
(6) 单击<确定>。
新增代理更新策略成功后,界面如下图所示:
图5-15 代理更新策略界面
· 在右上角的搜索框中,可以根据策略状态,输入策略名称、代理客户端名称或IP地址进行搜索。
图5-16 搜索代理更新策略
· 新增策略默认为开启状态,将策略状态滑动按钮设置为
可以关闭代理更新策略。
· 优先级的数字越小,策略的优先级越高。策略的默认优先级是根据策略的创建先后自动生成的,后创建的优先级高。
· 客户端根据自身的IP地址,优先匹配优先级最高的策略,从而选择对应的更新代理服务器。如果匹配不成功,客户端从服务端更新。
· 选中某条代理更新策略,单击<上移>或者<下移>,可以调整策略的优先级。
· 单击策略名称,可以修改代理更新策略。
· 选中某条或多条代理更新策略,单击<删除>,可以删除该策略。
· 一个代理客户端只能绑定一个代理更新策略。
策略包括如下内容:
· 运维管控策略
· 安全防护策略
运维管控“策略管理”界面主要提供新增、导入、导出和删除策略功能,如果需要编辑某策略,单击策略名称即可进行编辑。运维管控策略内置默认策略,默认策略置顶,如下图所示。
图6-1 运维管控策略管理
· 运维管控策略创建后,需要关联客户端才能使之发挥作用并将覆盖客户端原有的运维管控策略。转到“客户端 > 客户端管理”,选中需要使用策略的客户端,单击<分配策略>,可以给客户端分配运维管控策略。
· 单击“关联客户端”下面的数字,将跳转到“客户端管理”界面,可以查看哪些客户端使用了该策略。默认策略缺省情况下为停用状态,停用状态下,所选策略关联的客户端将不再受管控。
· 策略类型包括默认策略和自定义策略:
¡ 默认策略:可编辑、不可删除
¡ 自定义策略:用户以现用策略为蓝本,自定义的策略。
(1) 转到“策略 > 运维管控策略”。
(2) 单击<新增策略>。
图6-2 新增策略
(3) 配置如下信息。
· 策略名称
· 复制自策略:默认情况下,使用的是默认策略。单击下拉框,可以选择已有的策略。
· (可选)策略描述
(4) 单击<确定>。
图6-3 策略创建成功
如果选择<稍后配置>,进入运维管控“策略管理”界面。
如果选择<立即配置>,请参考配置策略。
单击新建策略中的<立即配置>或者单击策略名称,可以对策略进行配置,如下图所示。
图6-4 配置运维管控策略
(1) 转到“基本信息”界面。
图6-5 配置策略基本信息
(2) 可以修改如下信息:
· 策略名称
· (可选)策略描述
(3) 单击<保存>。
(1) 转到“外设管控规则”界面。
(2) 勾选“启用外设管控策略”。
(3) 单击<接口>页签。
图6-6 配置外设管控规则
(4) 根据需要选择如下配置:
· 允许:允许使用USB接口。
选择允许后,可以单击设备页签,根据需要进行具体USB设备的配置,请参考步骤 (6) 转到<设备>页签。
· 禁用:禁用所有USB接口的设备,且USB设备管控策略均不生效。
如果选择禁用,违规处理措施可以选择开启消息通知,开启后,客户端使用禁用设备时会收到系统默认的消息通知。
(5) 单击<保存>。
(6) 转到<设备>页签。
· 权限配置:
图6-7 权限配置
针对不同类型的USB设备,可以选择不同的使用权限。
当用户使用了禁用的设备时,将会记录外设管控日志。
对于USB存储,如果选择了禁用,并且勾选了允许申请注册USB存储设备,在客户端上将会弹出如下信息:
您的终端已禁止USB存储设备接入,您可以向管理员申请注册。
· 设置白名单
单击<选择规则>,匹配选中规则的设备,将不受本条策略的管控。如果需要管理规则,请参考配置预设白名单规则。
图6-8 设置白名单
· 违规处理措施
开启<消息通知>后,客户端使用禁用设备时会收到系统默认的消息通知。
图6-9 配置违规处理措施
用户在对终端进行管理时,出于公司规定等要求,不允许终端软件运行一些软件的进程,例如游戏软件等。
在服务端配置进程管控策略,客户端根据服务端下发的管控策略,在特定时间段,对相应进程禁止启动、运行、提示、上报记录等管理。
(1) 转到“进程管控规则”界面。
(2) 勾选<启用进程管控策略>。
(3) 单击<保存>。
(1) 选择“策略生效时间”页签。
(2) 选择策略生效的周期。
(3) 选择策略生效的具体时间。
(4) 单击<保存>。
如果某些指定的进程或者规则匹配的进程加入了黑名单,终端运行时将执行违规处理措施。
配置进程黑名单包括配置指定进程拦截和配置规则匹配拦截。
l 配置指定进程拦截
(1) 单击“进程黑名单”页签。
图6-10 配置指定进程拦截
(2) 单击<指定进程拦截>。
(3) 有如下两种方法选择进程。
方法一:
a) 单击选择进程,选择需要加入黑名单的进程。
b) 单击<确认>。
方法二:
a) 单击<导入>。
b) 单击<下载指定进程导入模板>。
c) 单击<点击选择文件>,上传编辑后的模板文件。
d) 单击<确认>。
图6-11 导入进程
(4) 选择的进程显示在进程界面。
图6-12 进程列表
l 配置规则匹配拦截
(5) 单击<进程黑名单>页签。
(6) 单击<规则匹配拦截>。
图6-13 配置规则匹配拦截
(7) 有如下两种方法配置黑名单规则。
方法一:
a) 单击<新增黑名单规则>。
图6-14 新增黑名单规则
b) 输入规则名称。
c) 选择规则内容:
¡ SHA1
¡ 组合规则:进程名必须输入,产品名、原始文件名和版本至少输入一项。
d) 单击<确认>。
方法二:
a) 单击<导入>。
b) 单击<下载进程规则导入模板>。
c) 单击<点击选择文件>,上传编辑后的模板文件。
d) 单击<确认>。
图6-15 导入规则
(8) 添加成功后,显示如下。
图6-16 规则列表
· 默认情况下,黑名单规则是开启的。将状态滑动按钮设置为
,可以停用黑名单规则。停用后,该黑名单规则将不起作用。
· 单击<编辑>,可以修改黑名单规则。
· 单击<删除>,可以删除黑名单规则。
(1) 单击“违规处理措施”页签。
图6-17 配置违规处理措施
(2) 违规处理措施包括:
· 仅记录
· 结束进程
(3) 选择通知用户,也可以不选择通知用户。选择通知用户后,用户可以在文本框中输入要通知用户的内容。
(4) 单击<保存>。
转到“违规外联规则”,首先启用违规外联功能,然后根据不同的协议配置探测地址。如果探测成功,服务端将根据违规处理措施对终端进行违规处理。
当探测到了违规的终端,服务端将会记录违规外联日志。
勾选“启用违规外联”,将启用违规外联功能。
支持配置外联权限,可禁用移动数据网卡、双网卡、WIFI连接、代理服务器、DNS域名解析服务。
图6-18 新增探测地址
(2) 单击<新增探测地址>。
图6-19 新增探测地址
(3) 选择探测协议。
(4) 根据选择的探测协议,配置对应的探测地址。
(5) 单击<确认>。
探测地址创建成功后,如下图所示。
图6-20 探测地址列表
· 单击<编辑>和<删除>,可以修改和删除探测地址。
· 将多地址探测的滑动按钮设置为
,可以开启多地址探测模式。开启多地址探测模式,当全部地址探测可连接时,才会上报告警日志。关闭该模式时,只要有一个地址可连接,就会上报告警日志。
· 探测间隔时长默认为30秒,可以修改探测间隔时长。单击探测间隔时长后面的下拉箭头,可以选择以秒或者以分钟为单位。需要注意的是,每次探测间隔时长不得低于15秒。
探测地址不能配置超过5条。
开启多地址探测模式时,探测地址前面会出现标志
。
图6-21 配置违规处理措施
违规处理措施为仅记录或断开网络,选择通知用户,也可以不选择通知用户,选择通知用户后,管理员可以在文本框中输入要通知用户的内容。
当客户端出现违规外联行为时,将会在客户端界面上弹出文本框中的内容。
转到“终端审计规则”,可以对文件、外设、进程和账号进行审计,同时会记录终端审计日志。
图6-22 配置文件审计
(2) 勾选“启用文件审计”。
文件审计包含USB存储设备中的文件审计。
(3) 选择审计的操作类型:创建、读取、修改、删除、重命名。
(4) 配置文件审计范围。
· 选择文件类型:
¡ 所有文件类型
¡ 仅审计可执行文件及文档文件
¡ 带下列扩展名的文件类型
· 配置文件目录
¡ 所有目录
¡ 指定目录:添加目录路径
(5) 单击<保存>。
图6-23 配置外设审计
(1) 勾选“启用外设审计”。
(2) 选择审计的操作类型:插入、拔出。
(3) 选择外设的审计范围。
· 所有外设
· 指定类型的外设
(4) 单击<保存>。
图6-24 配置进程审计
(1) 勾选“启用进程审计”。
(2) 选择审计的操作类型:创建、结束。
(3) 选择审计范围。
· 所有进程
· 指定进程:单击<选择进程>,添加指定的进程。
(4) 单击<保存>。
图6-25 配置账号审计
(1) 勾选“启用账号审计”。
(2) 选择审计的操作类型:创建、修改、删除、登入、登出
(3) 单击<保存>。
如果有多台终端安全管理系统,在一台完成运维管控策略配置后,可以将这些策略导出,导入到另外的服务端上,从而节省配置时间。
需要注意的是,导出的文件不能修改后缀名,否则不能导入到另外的服务器上。
(1) 转到“策略 > 运维管控策略 > 策略管理”。
(2) 单击<导入>。
图6-26 导入策略
(3) 单击<点击选择文件>,上传策略文件。
(4) 单击<确认>。
(1) 转到“策略 > 运维管控策略 > 策略管理”。
(2) 选择一个或多个策略,单击<导出>,即可导出策略文件。
(1) 转到“策略 > 运维管控策略 > 策略管理”。
(2) 选择一个或多个策略,单击<删除>。
(3) 单击<确定>。
安全防护策略管理界面主要提供新增、导入、导出和删除策略功能,如果需要编辑某策略,单击策略名称即可进行编辑。默认策略置顶,如下图所示。
图6-27 安全防护策略管理
单击关联客户端下面的数字,将跳转到“客户端管理”界面,可以查看哪些客户端使用了该策略。
(1) 转到“策略 > 安全防护策略 > 策略管理”。
(2) 单击<新增策略>。
图6-28 新增策略
(3) 输入以下信息:
· 策略名称
· 复制自策略:默认情况下,使用的是默认策略。单击下拉框,可以选择已有的策略。
· (可选)策略描述
(4) 单击<确定>。
如果选择<稍后配置>,进入“策略管理”界面。
图6-29 “策略管理”界面
如果选择<立即配置>,请参考配置策略。
单击新建策略中的<立即配置>或者单击策略名称,可以对策略进行配置,如下图所示。
图6-30 配置安全防护策略
(1) 转到“基本信息”。
图6-31 配置基本信息
(2) 可以修改如下信息:
· 策略名称
· (可选)策略描述
(3) 单击<保存>。
通用扫描设置是各种扫描类型(手动扫描、实时扫描、预设扫描和立即扫描)的公共设置。
(1) 转到“防病毒规则 > 通用扫描设置”。
图6-32 通用扫描设置
(2) 配置以下内容:
· 扫描方法:分为传统扫描和云安全扫描。在扫描安全风险时,客户端可以使用两种扫描方法中的任意一种,默认为传统扫描。
· 大文件扫描设置:设置扫描文件大小,过大的文件不扫描。
· 压缩文件扫描设置:设置压缩包条件,层数多的和过大的文件不扫描。
· 机器学习:开启机器学习扫描引擎,可以增加未知威胁的防御能力。
· 处理措施:指定特定扫描类型检测到安全风险时,终端安全管理系统执行的处理措施。
处理措施如下表所示。
表6-1 处理措施
|
处理措施 |
描述 |
|
隔离 |
将客户端上受感染的文件移动到客户端终端上的隔离目录。 |
|
清除 |
会先清除受感染文件,然后才允许对文件进行完全访问。 如果文件无法清除,会执行第二项处理措施,它可以是以下处理措施之一:隔离、删除和不予处理。 |
|
不予处理 |
对受感染的文件不执行任何操作。 |
|
删除 |
删除受感染文件。 |
¡ 使用厂家推荐措施
默认使用厂家推荐措施,措施为隔离。
¡ 对所有病毒/恶意软件类型使用相同的处理措施
如果希望对除可能的病毒/恶意软件之外的所有类型的病毒/恶意软件执行相同的处理措施,请选择此选项。如果选择“清除”作为第一项处理措施,请选择在清除不成功时终端安全管理系统执行的第二项处理措施。如果第一项处理措施不是“清除”,则第二项处理措施不可配置。
如果选择“清除”作为第一项处理措施,则终端安全管理系统在检测到可能的病毒/恶意软件时会执行第二项处理措施。
¡ 对每种病毒/恶意软件类型使用特定的处理措施
手动选择每种病毒/恶意软件类型的扫描处理措施。
对于可能的病毒/恶意软件以外的所有病毒/恶意软件类型,所有扫描处理措施均可用。如果选择“清除”作为第一项处理措施,请选择在清除不成功时终端安全管理系统执行的第二项处理措施。如果第一项处理措施不是“清除”,则第二项处理措施不可配置。
对于可能的病毒/恶意软件,“清除”以外的所有扫描处理措施均可用。
¡ 清除之前的备份文件
如果终端安全管理系统设置为清除受感染文件,则它可以首先备份该文件。备份文件后,如果将来需要该文件,就可以恢复它。
(3) 单击<保存>。
手动扫描是按需扫描,用户在终端安全管理系统客户端控制台上运行该扫描后会立即启动。完成扫描所需时间取决于要扫描的文件的数量及终端安全管理系统客户端终端的硬件资源。
(1) 转到“防病毒规则 > 手动扫描”。
图6-33 手动扫描
(2) 配置以下内容:
· 要扫描的文件:从以下选项中选择。
¡ 所有可扫描的文件:扫描所有文件
¡ 智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
¡ 仅扫描可执行文件及文档文件
¡ 带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
· CPU使用率
在扫描一个文件后和扫描下一个文件前,终端安全管理系统客户端可以暂停。
从以下选项中选择:
¡ 高:不间断连续扫描文件
¡ 中:如果CPU消耗高于 50%,则在文件扫描时暂停,如果等于或低于50%,则不暂停
¡ 低:如果CPU消耗高于 20%,则在文件扫描时暂停,如果等于或低于20%,则不暂停
如果选择“中”或“低”,则启动扫描并CPU使用率在阈值(50%或20%)范围内时,终端安全管理系统在扫描之间将不暂停,从而缩短了扫描时间。终端安全管理系统在处理中会使用更多的CPU资源,但是由于CPU占用率是最佳的,因此终端性能不会受到严重影响。当CPU使用率开始超过阈值时,终端安全管理系统将暂停以降低CPU使用率,当使用率再次处于阈值范围内时会继续进行扫描。
如果选择“高”,则终端安全管理系统不检查实际的CPU占用率,会一直扫描文件而不暂停。
(3) 单击<保存>。
实时扫描是持续进行的扫描。每次接收、打开、下载、复制或修改文件时,实时扫描就会扫描文件以查找安全风险。
实时扫描会对终端安全管理系统客户端每次启动时都会重新加载的持续性扫描缓存进行维护。终端安全管理系统客户端会跟踪由于退出终端安全管理系统客户端导致的文件或文件夹的任何更改,并从缓存中删除这些文件。
(1) 转到“防病毒规则 > 实时扫描”。
图6-34 实时扫描
(2) 配置以下内容:
· 启用实时扫描
· 插入可移动存储设备后扫描其中的所有文件:在每次用户插入USB存储设备时自动扫描该存储设备上的所有文件
· 要扫描的文件:从以下选项中选择。
所有可扫描的文件:扫描所有文件
智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
仅扫描可执行文件及文档文件
带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
(3) 单击<保存>。
预设扫描按指定的日期和时间自动运行。使用预设扫描在客户端上使例行任务扫描自动化并提高扫描管理效率。
(1) 转到“防病毒规则 > 预设扫描”。
图6-35 预设扫描
(2) 配置以下内容:
· 启用预设扫描
· 时间设定:配置预设扫描运行的频率(每天、每周或每月)及时间。
对于每月扫描,可以选择介于1日和31日之间的任何一天。如果您选择的是29日、30日或31日,但当月不包含该日期,则终端安全管理系统将在当月的最后一天运行预设扫描。
· 预设扫描:如果设置为在客户端上运行预设扫描,用户可以推迟和跳过并停止预设扫描。
¡ 推迟预设扫描:在预设扫描运行前推迟预设扫描,然后指定推迟的时间长度,还可以设置最多推迟预设扫描的时间。
¡ 跳过并停止预设扫描:在预设扫描运行前跳过预设扫描、在预设扫描正在进行时停止预设扫描。
· 要扫描的文件:从以下选项中选择。
¡ 所有可扫描的文件:扫描所有文件
¡ 智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
¡ 仅扫描可执行文件及文档文件
¡ 带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
· CPU使用率
在扫描一个文件后和扫描下一个文件前,终端安全管理系统客户端可以暂停。
从以下选项中选择:
¡ 高:不间断连续扫描文件
¡ 中:如果CPU消耗高于50%,则在文件扫描时暂停,如果等于或低于50%,则不暂停
¡ 低:如果CPU消耗高于20%,则在文件扫描时暂停,如果等于或低于20%,则不暂停
如果选择“中”或“低”,则启动扫描并且CPU使用率在阈值(50%或20%)范围内时,终端安全管理系统在扫描之间将不暂停,从而缩短了扫描时间。终端安全管理系统在处理中会使用更多的CPU资源,但是由于CPU占用率是最佳的,因此终端性能不会受到严重影响。当 CPU使用率开始超过阈值时,终端安全管理系统将暂停以降低CPU使用率,当使用率再次处于阈值范围内时会继续进行扫描。
如果选择“高”,则终端安全管理系统不检查实际CPU占用率,会一直扫描文件而不暂停。
(3) 单击<保存>。
立即扫描是管理员通过Web控制台在服务端向特定客户端或特定组下发扫描任务执行的扫描操作。
(1) 转到“防病毒规则 > 立即扫描”。
图6-36 立即扫描
(2) 配置以下内容:
· 要扫描的文件:从以下选项中选择。
¡ 所有可扫描的文件:扫描所有文件
¡ 智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
¡ 仅扫描可执行文件及文档文件
¡ 带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
· CPU使用率
在扫描一个文件后和扫描下一个文件前,终端安全管理系统客户端可以暂停。
从以下选项中选择:
¡ 高:不间断连续扫描文件
¡ 中:如果CPU消耗高于50%,则在文件扫描时暂停,如果等于或低于50%,则不暂停
¡ 低:如果CPU消耗高于20%,则在文件扫描时暂停,如果等于或低于20%,则不暂停
如果选择“中”或“低”,则启动扫描并且CPU使用率在阈值(50%或20%)范围内时,终端安全管理系统在扫描之间将不暂停,从而缩短了扫描时间。终端安全管理系统在处理中会使用更多的CPU资源,但是由于CPU占用率是最佳的,因此终端性能不会受到严重影响。当CPU使用率开始超过阈值时,终端安全管理系统将暂停以降低CPU使用率,当使用率再次处于阈值范围内时会继续进行扫描。
如果选择“高”,则终端安全管理系统不检查实际CPU占用率,会一直扫描文件而不暂停。
(3) 单击<保存>。
配置扫描例外可提高扫描性能并跳过对导致假警报的文件的扫描。运行特定扫描类型时,终端安全管理系统检查扫描例外列表,以确定终端上的哪些文件将从扫描中排除。扫描例外设置将应用至所有扫描类型。
启用扫描例外时,终端安全管理系统在以下情况下将不扫描文件:
· 文件位于特定目录(或其任意子目录)下。
· 文件名与例外列表中的任何名称匹配。
· 文件扩展名与例外列表中的任何扩展名匹配。
(1) 转到“防病毒规则 > 扫描例外”。
图6-37 扫描例外
(2) 配置以下内容:
· 启用扫描例外
· 扫描例外列表(目录)
终端安全管理系统不扫描在计算机特定目录下找到的所有文件。从扫描中排除某个目录时,终端安全管理系统将自动从扫描中排除该目录的所有子目录。
· 扫描例外列表(文件)
如果一个文件的文件名与此例外列表中包括的任何名称匹配,则终端安全管理系统将不扫描该文件。如果要排除在终端上特定位置找到的文件,请包括文件路径。
· 扫描例外列表(文件扩展名)
如果一个文件的文件扩展名与此例外列表中包括的任何扩展名匹配,则终端安全管理系统将不扫描该文件。
另外,可以单击右上方的<导入>,导入例外列表。
图6-38 导入例外列表
单击<导出>,导出例外列表。如下图所示,导出的为策略名称为policy的扫描例外列表。
图6-39 导出例外列表
(3) 单击<保存>。
Windows系统客户端不支持该功能。
服务端配置防火墙策略,将策略下发到对应的终端来管控终端的网络访问。防火墙过滤所有传入和传出的网络通信,可根据以下标准阻止某些类型的网络通信:
· 远程IP
· 方向(入站/出站)
· 协议(所有协议/ICMP/TCP/UDP/TCP+UDP)
· 端口
防火墙规则界面如下图所示。
图6-40 防火墙规则界面
默认情况下,防火墙功能是关闭的。如果需要使用防火墙规则,需要首先开启防火墙功能。
防火墙规则按优先级从高到低进行匹配,而安全级别中包含的规则是优先级最低的防火墙规则,因此也是最后被匹配的规则。举例介绍如下:
假如创建了两条规则rule1和rule2,其中rule1的优先级高于rule2的优先级,流量首先匹配rule1:
· 如果匹配rule1成功,那么流量按照rule1设置的规则进行匹配。
· 如果匹配rule1未成功,接下来匹配rule2:
¡ 如果匹配rule2成功,流量将按照rule2设置的规则进行匹配。
¡ 如果未匹配rule2成功,流量将匹配安全级别的规则。
(1) 转到“防火墙规则”。
(2) 将滑动按钮设置为
,开启防火墙功能。将滑动按钮设置为
,关闭防火墙功能。
(1) 转到“防火墙规则”。
(2) 单击<新增规则>。
图6-41 新增防火墙规则
(3) 配置以下内容:
· 规则名称
· 远程IP:每行一个,最多输入16个,支持单IP、IP范围、IP和子网,格式如下:
¡ 单个IP:192.168.1.1
¡ IP范围:192.168.0.0-255.255.0.0
¡ IP/子网掩码:192.168.0.0/255.255.0.0
¡ IP/子网掩码:192.168.0.0/16
· 方向:包含入站和出站。企业网络具有入站流量和出站流量。
¡ 入站流量:指自主机外发起的访问主机内应用的请求,例如部署了Web服务器的主机接收外部请求的流量。
¡ 出站流量:指主机内应用发起的访问外部网络的请求。
· 服务:可选的服务可以在服务管理界面设置,有关如何配置服务,请参考服务管理。
· 动作:包含拒绝和允许。
(4) 单击<确定>。
创建规则成功后,界面如下图所示:
图6-42 防火墙规则列表
· 如果动作选择了拒绝,启用日志默认开启,会记录防火墙日志。
如果动作选择了允许,不记录防火墙日志,启用日志显示为--。
· 选中某条规则,单击<上移>或者<下移>,可以调整规则的优先级。
· 选中某条或多条规则,单击<删除>,可以删除该规则。
设置包括如下内容:
· 权限配置:
· 通信
· 客户端组件更新
具有扫描权限的用户可更好地控制在其终端上扫描文件的方式。默认情况下,不允许终端安全管理系统客户端执行以下操作:
· 配置手动扫描设置
· 配置实时扫描设置
· 配置预设扫描设置
· 通用扫描设置
· 扫描例外
(1) 转到“设置 > 权限设置”。
图6-43 权限设置
(2) 配置以下内容:
· 扫描配置权限
选择允许用户执行的操作。
· 客户端程序保护
客户端防退出功能用于控制客户端退出权限,开启后方可生效,客户端用户必须输入您设置的密码才可退出。客户端防卸载功能用于控制客户端卸载权限,开启后方可生效,客户端用户必须输入您设置的密码才可卸载。
· 客户端消息通知
勾选“允许客户端弹窗”,当有消息通知时,客户端上面会有弹窗出现。
(3) 单击<保存>。
客户端可以通过心跳报文连接服务端,服务端也可以直接给客户端发送信息。开启双向通信后,可以管理更多的客户端。
(1) 转到“设置 > 通信”。
图6-44 通信设置
(2) 配置以下内容:
· 通信方向:包括双向和客户端到服务端单向,默认的通信方向为双向。
· 心跳间隔:客户端向服务端发送心跳报文的时间间隔,默认为10分钟。
· 端口:客户端的侦听端口,默认为8445。
· 带宽限制:客户端的数据上传带宽最高不超过设定值。
(3) 单击<保存>。
(1) 转到“设置 > 客户端组件更新”。
图6-45 配置客户端预设更新
(2) 选择<启用预设更新>。
(3) 设定开始更新的时间。
(4) 单击<保存>。
策略创建后,需要关联客户端才能使之发挥作用并将覆盖客户端原有的策略。
(1) 转到“关联客户端”。
图6-46 关联客户端
(2) 选择一个或多个终端进行关联。
(3) 单击<保存>。
如果有多台终端安全管理系统,在一台完成安全防护策略配置后,可以将这些策略导出,导入到另外的服务端上,从而节省配置时间。
需要注意的是,导出的文件不能修改后缀名,否则不能导入到另外的服务器上。
(1) 转到“策略 > 安全防护策略 > 策略管理”。
(2) 单击<导入>。
图6-47 导入策略
(3) 单击<点击选择文件>,上传策略文件。
· 勾选<覆盖原有自定义服务>,上传的策略文件中的服务将全部覆盖“服务管理”中自定义的服务。
· 未勾选<覆盖原有自定义服务>,如果上传的策略文件中的服务不在“服务管理”自定义的服务列表里,那么上传的策略文件中的服务将添加到“服务管理”列表中。
(4) 单击<确定>。
(1) 转到“策略 > 安全防护策略 > 策略管理”。
(2) 选择一个或多个策略,单击<导出>,即可导出策略文件。
图6-48 导出策略
(1) 转到“策略 > 安全防护策略 > 策略管理”。
图6-49 策略管理
(2) 选择一个或多个策略,单击<删除>。
图6-50 删除策略
如果该策略关联了客户端,需要先取消策略和客户端之间的关联。单击该策略名称,进入“关联客户端”界面,去勾选关联的客户端。
(3) 单击<确认>。
防火墙规则中可选的服务可以在“服务管理”界面设置。
服务包括内置的服务和自定义的服务,内置服务如下表所示。
表6-2 内置服务
|
服务名称 |
协议 |
端口 |
备注 |
|
mongodb |
TCP |
27017 |
-- |
|
memcached |
TCP |
11211 |
-- |
|
weblogic |
TCP |
7001 |
-- |
|
redis |
TCP |
6379 |
-- |
|
mail-server |
TCP |
6000 |
-- |
|
postgresql |
TCP |
5432 |
-- |
|
rdp |
TCP |
3389 |
-- |
|
mysql |
TCP |
3306 |
-- |
|
sybase |
TCP |
2638 |
-- |
|
radius |
UDP |
1812 |
-- |
|
msmq |
TCP |
1801 |
-- |
|
oracle |
TCP |
1521 |
-- |
|
mssql |
TCP |
1434 |
-- |
|
syslog |
UDP |
514 |
-- |
|
smtps |
TCP |
465 |
-- |
|
https |
TCP |
443 |
-- |
|
ldap |
TCP |
389 |
-- |
|
imap3 |
TCP |
220 |
-- |
|
snmp |
TCP |
161 |
-- |
|
imap |
TCP |
143 |
-- |
|
sftp |
TCP |
115 |
-- |
|
pop3 |
TCP |
110 |
Post Office Protocol-Version 3 |
|
http |
TCP |
80 |
www-http World Wide Web |
|
tftp |
UDP |
69 |
Trivial File Transfer |
|
dhcp-d |
UDP |
68 |
dhcp destination |
|
dhcp-s |
UDP |
67 |
dhcp source |
|
sql-net |
TCP |
66 |
-- |
|
dns-u |
UDP |
53 |
Domain Name Server |
|
dns-t |
TCP |
53 |
Domain Name Server |
|
smtp |
TCP |
25 |
simple Mail Transfer Protocol |
|
telnet |
TCP |
23 |
-- |
|
ssh |
TCP |
22 |
-- |
|
ftp |
TCP |
21 |
FTP.control |
|
ftp-data |
TCP |
20 |
FTP,data |
|
ping |
ICMP |
|
-- |
|
any |
Any |
1-65535 |
-- |
(1) 转到“策略 > 安全防护策略 > 服务管理”。
(2) 单击<新增服务>。
图6-51 新增服务
(3) 配置以下信息:
· 服务名称
· 协议:
¡ Any:指的是所有协议
¡ ICMP
¡ TCP
¡ UDP
¡ TCP+UDP
· 端口
· (可选)填写备注
(4) 单击<确定>。
新增服务成功后,界面显示如下:
图6-52 服务管理
· 内置服务不可以修改、不可以删除。
· 单击自定义服务的服务名称,可以修改自定义服务。
图6-53 修改自定义服务
· 选择一个或多个服务,单击<删除>,可以删除自定义服务。
图6-54 删除自定义服务
Windows系统客户端不支持该功能。
相同的SHA1值不能重复添加到黑名单。
管理员将认为可疑的文件设置为黑名单,上传可疑文件的SHA1信息到服务端,服务端再下发到终端。当终端上对应的可疑文件被执行时,会根据管理员配置的策略做出对应的处理,比如隔离、阻止和记录。
表6-3 处理动作
|
项目 |
要求 |
|
隔离 |
可疑文件不能被执行,并将可疑文件隔离至本地隔离区,同时记录黑名单日志。 |
|
阻止 |
可疑文件不能被执行,同时记录黑名单日志。 |
|
记录 |
可疑文件能被执行,同时记录黑名单日志。 |
(1) 转到“策略 > 安全防护策略 > 黑名单管理”。
(2) 单击<新增黑名单>。
图6-55 新增黑名单
(3) 配置以下信息:
· 黑名单名称
· 描述信息
· 风险等级:包括高危、中危、低危
· 处理措施:包括隔离、阻止、记录
· 状态:包括开启和关闭
· 威胁样本:可以输入SHA1值或者选择样本文件并生成SHA1值,总数不超过256条。
(4) 单击<确定>。
出于终端加固的需求,用户会检查各终端的合规性,比如:是否安装了要求的软件。通过基线检查加固终端的系统安全,减少安全和违规风险。
管理员通过基线模板设置基线检查的选项、违规动作和处置建议等,确保终端基于此规范满足其监管和管理的一致性。
转到“运维管控 > 基线核查 > 客户端基线检查”,界面展示未通过检查的客户端和超过30天未检查的客户端。
单击<检查详情>,显示基线检查的详情。
图7-1 客户端基线检查
单击
,可以对全部客户端、指定分组或者指定的客户端,选择基线模板后进行检查。有关如何创建基线模板,请参考基线模板。
图7-2 立即检查
(1) 转到“运维管控 > 基线核查 > 任务管理”。
(2) 单击<新增任务>。
图7-3 新增任务
(3) 配置任务名称。
(4) 从下拉列表框中选择基线模板。
有关如何创建基线模板,请参考基线模板。
(5) 选择任务执行方式。
· 立即执行
· 定时执行
(6) 选择目标客户端。
· 全部客户端
· 指定分组:指定分组里已注册的全部客户端及后期注册上来的客户端都将作为目标客户端
· 指定客户端:可以选择一个或多个客户端
(7) 单击<确定>。
任务创建成功后,界面展示实时任务数、定时任务数,并且分两个页签展示实时任务和定时任务的详细信息。
图7-4 实时任务
图7-5 定时任务
· 在搜索框
中输入任务名称或基线模板,可以搜索对应的任务。
· 执行中的任务不可删除、不可编辑、不可停用。
· 选中的客户端执行完成之后统一显示执行结果,否则执行状态显示“执行中”。
· 一次都没有执行的定时任务,在开始执行前执行状态显示“未开始”。
· 单击基线模板名称,将显示基线模板的详细信息。
· 单击目标客户端下的数字,跳转到“运维管控 > 基线核查 > 客户端基线检查”,显示需要执行检查任务的客户端。
· 执行状态为“失败”的后面的数字代表有多少台客户端执行任务失败,单击该数字,跳转到“运维管控 > 基线核查 >客户端基线检查”,显示执行任务失败的客户端的详情。单击<重新执行>,可以重新执行该任务。
(1) 转到“运维管控 > 基线核查 > 基线模板”。
(2) 单击<新增模板>。
图7-6 新增模板
(3) 输入以下信息:
· 模板名称
· (可选)复制自模板:从下拉列表框中选择用于检查的基线模板
· (可选)模板描述
(4) 单击<确定>。
图7-7 模板创建成功
(5) 单击<立即配置>,进入模板管理界面。
(6) 配置模板基本信息。
图7-8 基本信息
(7) 配置基线检查项。
图7-9 基线检查项
· 密码必须符合复杂性要求
图7-10 密码必须符合复杂性要求
¡ 检查标准:启用或者禁用
¡ 违规处理措施:
自动修复:按照检查标准自动变更“密码必须符合复杂性要求”
手动修复:客户端用户手动修复
· 密码长度最小值
密码长度最小值介于 1 和 14 个字符之间,或者将字符数设置为 0,以确定不需要密码。
¡ 检查标准:输入字符数
¡ 违规处理措施:
自动修复:按照检查标准自动变更“密码长度最小值”
手动修复:客户端用户手动修复
图7-11 密码长度最小值
· 密码最长使用期限
密码最长使用期限可设置为 1 到 999 之间,或者将天数设置为 0,指定密码永不过期。
¡ 检查标准:输入天数违
¡ 规处理措施:
自动修复:按照检查标准自动变更“密码最长使用期限”
手动修复:客户端用户手动修复
图7-12 密码最长使用期限
· 密码最短使用期限
密码最短使用期限可设置为 1 到 998 之间,或者将天数设置为 0,允许立即更改密码。
¡ 检查标准:输入天数
¡ 违规处理措施:
自动修复:按照检查标准自动变更“密码最短使用期限”
手动修复:客户端用户手动修复
图7-13 密码最短使用期限
· 开放端口检查
请输入要禁止的端口或范围,每行一个。
图7-14 开放端口检查
· 系统补丁检查
该检查项仅适用于 Windows 系统,开启后如果检查到补丁未修复,将按照违规处理措施进行处理。
¡ 按照严重等级及类型检查:勾选严重等级和补丁的类型
¡ 检查指定补丁:选择指定的补丁进行检查
图7-15 系统补丁检查
· 安装软件检查
¡ 单击<选择软件>,选择需要检查的软件,单击<确认>。
图7-16 选择软件
需要检查的软件添加成功后,将显示在选择软件列表中。
图7-17 选择软件列表
单击<编辑>,可以对检查标准进行修改,检查标准分为必须安装和禁止安装。如果检查标准是必须安装,安装方式中可以输入必须安装软件的下载地址及安装注意点。
图7-18 编辑
¡ 单击<自定义软件>页签,然后单击<新增软件>,输入软件名称、软件版本以及选择检查标准。如果检查标准是必须安装,安装方式中可以输入必须安装软件的下载地址及安装注意点。
图7-19 新增软件
自定义软件添加成功后,将显示在自定义软件列表中。
图7-20 自定义软件列表
¡ 单击<编辑>,可以对软件名称、软件版本、检查标准进行修改。
· 运行进程检查
¡ 单击<选择进程>,选择需要检查的进程,单击<确认>。
图7-21 选择进程
需要检查的进程添加成功后,将显示在选择进程列表中。
图7-22 选择进程列表
单击<编辑>,可以对进程名称、SHA1、检查标准进行修改。
¡ 单击<自定义进程>页签,然后单击<新增>,输入进程名称、SHA1值以及选择检查标准。
图7-23 新增进程匹配规则
需要检查的进程添加成功后,将显示在自定义进程列表中。
图7-24 自定义进程列表
单击<编辑>,可以对进程名称、SHA1值以及检查标准进行修改。
(8) 配置消息通知。
当有违规时可以选择通知用户,也可以选择不通知用户。选择通知用户后,管理员可以在文本
框中输入要通知用户的内容。
当客户端出现安全基线违规行为时,将会在客户端界面上弹出文本框中的内容。
图7-25 消息通知
(9) 可以将基线检查项设为关键项,对于关键项,处置包括:
图7-26 关键项处置
· 遏制客户端:被遏制的客户端只能与服务端通信,不可连接其他任何网络,请谨慎操作!
· 锁屏
(10) 单击<保存>。
基线模板创建成功后,将显示在基线模板列表中。
图7-27 基线模板列表
单击<编辑>或<删除>,可以对基线模板进行修改或者删除。
定时任务下面的数字代表有多少个定时任务引用了该基线模板。
文件分发支持用户对全部或指定客户端下发文件,同时支持设置下发文件的运行参数和运行成功判定条件,满足用户的多场景需求:软件的安装卸载脚本,系统配置文件,常规文件分发,应急漏洞补丁及其他问题响应。
(1) 转到“运维管控 > 文件分发 > 文件管理”。
(2) 单击<上传文件>。
上传的文件大小需要大于0 KB并且不超过300 MB。
上传的文件名不能重复。
(3) 上传成功后,显示如下。
图7-28 上传完成
上传成功的文件将显示在文件管理列表中。
图7-29 文件管理列表
· 在搜索框中
输入时间和文件名称,可以搜索对应的文件。
· 单击操作列的“删除”,可以将上传的文件删除。选中多个文件,单击
,可以同时删除多个文件。
· 如果文件已关联了分发任务,文件删除后,不会影响这些任务。
· 单击操作列的“分发”,将显示“分发文件”界面,根据配置的内容将文件分发到对应的客户端。有关分发的配置,请参考分发文件。
(1) 转到“运维管控 > 文件分发 > 文件管理”。
(2) 单击操作列的<分发>。
(3) 选择分发时间。
· 立即
· 指定时间:选择分发的具体时间。
(4) 配置分发系统。
(5) 配置文件保存目录以及是否选择替换同名文件。
(6) 配置执行方式。
· 只接收:只下发文件
配置终端提示:接收成功后是否提示用户
· 接收后运行:
¡ 运行参数:配置运行参数,可以使文件有各种不同的展现形式,如脚本静默执行。
¡ 任务成功判定条件:包括无、文件检查、注册表检查。
图7-30 文件检查
图7-31 注册表检查
¡ 源文件处置:执行后保留源文件、执行后不保留源文件
¡ 运行权限:system 权限、当前登录用户权限
¡ 终端提示:运行时需要终端确认、不提示
(7) 配置文件分发范围。
· 全部客户端:全部客户端里已注册的全部客户端及后期注册上来的客户端都将作为目标客户端
· 指定分组:选择指定的分组,指定分组里已注册的全部客户端及后期注册上来的客户端都将作为目标客户端
图7-32 指定分组
· 指定客户端:选择指定客户端
图7-33 指定客户端
(8) 配置有效时间。
如果客户端超过有效时间未向服务端反馈文件分发的结果,则服务端记录为失败。
(9) 单击<确定>。
文件任务开始进行分发,可以转到分发任务界面跟踪分发进度,详情请参考分发任务。
文件分发后,转到“运维管控 > 文件分发 > 分发任务”,界面展示分发任务的详细信息。
图7-34 分发任务列表
· 一次都没有执行的定时任务,在开始执行前,执行状态显示“未开始”。
· 执行中的任务不可编辑、不可删除。
· 单击成功客户端、失败客户端、待完成客户端下面的数字(大于 0 的数字),展示文件分发结果详情。
图7-35 分发结果详情
如果是失败的客户端,单击<重新分发>,可以对客户端重新分发文件。
图7-36 重新分发文件
只有客户端的操作系统类型是Windows和信创桌面版的,才支持外设管理。
转到“运维管控 > 外设管理 > 外设库”,外设库界面展示所有终端上报的外设(包括允许和禁止的外设)。
图7-37 外设库
· 如上图所示,选中左侧的外设类型分组,右边以列表的形式展示选中分组内的外设信息。
· 根据终端上报的设备类型自动分组。终端上报的信息中未识别出外设类型的,自动加入“未定义”分组。系统内置的外设类型分组不可更改和删除。
· 单击<新建>,创建新的外设类型,新增的外设类型可以修改和删除。
· 选中设备,单击<更改类型>,可以更改设备的外设类型。更改后,如果以后有相同VID/PID并且不属于系统内置类型的设备会自动归到该类型中。
¡ 未定义的类型可以更改为内置类型和自定义类型
¡ 已在内置类型的设备不允许修改
¡ 新增的外设类型可以修改为未定义和内置类型
· 单击“上报客户端”下面的数字,显示上报客户端的详细信息。如果数字显示为0,说明上报的客户端已经被卸载。
· 单击操作下面的<预设白名单>,可以配置预设白名单规则。
预设的白名单规则,将显示在配置预设白名单规则的列表中。
通过预设白名单规则,可以在外设管控策略中设置权限时快速选择允许使用的外设。设定好白名单规则后,此时还未生效,只是作为备选白名单,只有运用到特定的外设管控策略中之后,才会生效。有关运维管控策略的详细信息,请参考配置外设管控。
(1) 转到“运维管控 > 外设管理 > 预设白名单规则”。
(2) 单击<预设白名单规则>。
图7-38 配置预设白名单规则
(3) 输入规则名称。
(4) 选择规则类型。
· 外设ID
· VID / PID
(5) 输入规则内容。
(6) (可选)输入备注信息。
(7) 单击<确认>。
创建成功后,将显示在预设白名单规则列表中。
图7-39 预设白名单规则列表
· 单击<编辑>和<删除>,可以修改和删除白名单规则的信息。
· 如果在外设管控策略中引用了预设白名单规则,白名单状态显示为“策略引用”,策略引用小括号里面的数字代表有多少条策略引用该规则。单击<策略引用>,跳转到“运维管控策略管理”界面,能查看到哪些策略引用了该规则。
只有客户端的操作系统类型是Windows和信创桌面版的,才支持U盘注册。
转到“运维管控 > U盘注册”,U盘注册界面展示待审批、审批通过和已拒绝的USB存储设备。
客户端用户发起USB存储设备的申请后,申请内容将显示在“待审批”界面。
图7-40 审批USB存储设备注册
单击<审批>,显示注册申请的详细信息。根据实际情况,可以修改使用有效期、使用权限和使用范围。
图7-41 查看审批注册申请详情
· 单击<取消>,可以不处理该申请;单击<拒绝>,拒绝注册申请后,用户将无法使用此设备,但可以重新发起注册申请。
· 如果在A客户端上申请USB存储设备注册,申请通过后,该注册设备使用的范围如下:
¡ 仅本机:只能在A客户端上使用。
¡ 所在分组:能在A客户端以及和A客户端在同一个分组的客户端使用。
¡ 全部客户端:全部客户端都可以使用。
· 单击<批量同意>或<批量拒绝>,可以批量处理注册申请。
· 单击<导出>,可以导出待审批的USB存储设备的注册信息。
审批通过的USB存储设备的信息将展示在“审批通过”界面。
图7-42 查看审批通过的USB存储设备
· 选中使用状态为“使用中”的USB存储设备,单击<禁用>,用户将禁止在使用范围内使用该设备,使用状态变为“已禁用”。
· 选中使用状态为“已禁用”的USB存储设备,单击<启用>,用户将恢复使用注册申请的权限,使用状态变为“使用中”。
· 单击<编辑>,可以修改USB存储设备的注册信息。
· 单击<导出>,可以导出已经审批通过的USB存储设备的注册信息。
已拒绝的USB存储设备的信息将展示在“已拒绝”界面。
图7-43 查看已拒绝的USB存储设备
单击<删除>,可以删除USB存储设备的注册信息。
转到“病毒防护”主菜单,可以查看病毒防护信息。
单击
可以选择时间范围,时间范围分别为过去24小时/过去7天/过去30天。
· 威胁概览:展示已检测威胁数、影响客户端总数、威胁类型分布和影响客户端TOP5。
图8-1 威胁概览
鼠标悬停在已检测威胁区域,然后单击该区域,将跳转到“病毒日志”界面。
图8-2 单击已检测威胁区域跳转到“病毒日志”界面
鼠标悬停在影响客户端总数区域,然后单击该区域,将跳转到“病毒日志”界面。
图8-3 单击影响客户端总数区域跳转到“病毒日志”界面
单击威胁类型分布里的数字,将跳转到“病毒日志”界面,下图以单击潜在有害程序前的数字为例。
图8-4 单击潜在有害程序前的数字跳转到“病毒日志”界面
单击影响客户端TOP5区域的蓝色条形框,将跳转到“病毒日志”界面,以单击客户端win7x32为例。
图8-5 单击客户端win7x32跳转到“病毒日志”界面
· 威胁趋势:展示威胁类型和影响客户端。
图8-6 威胁趋势
· 客户端概况:展示客户端的引擎更新、文件防病毒特征库更新情况。
图8-7 客户端概况
单击“过期率”、“已过期”前面的数字和“全部”前面的数字,将跳转到“客户端管理”界面。以文件防病毒特征库更新为例,如下图所示。
图8-8 单击“过期率”、已过期跳转到“客户端管理”界面
图8-9 单击“全部”前面的数字跳转到“客户端管理”界面
· 爆发的病毒TOP5:展示爆发的病毒TOP5以及受影响的客户端数量。
图8-10 爆发的病毒TOP5
单击某一个病毒,将跳转到“病毒日志”界面,以单击“病毒”为例,如下图所示。
图8-11 “病毒日志”界面
· 热点事件:展示热点事件(目前主要是勒索事件和挖矿事件)的统计信息。统计信息主要包括:阻止的事件数量、感染途径、勒索家族/挖矿家族TOP5以及每种类型影响的客户端数量、影响客户端TOP5以及威胁数量。
图8-12 热点事件
以挖矿事件为例,单击病毒名称,将跳转到“病毒日志”界面,以单击
为例,如下图所示。
图8-13 病毒日志
单击名称为“test-PC”的客户端,将跳转到病毒日志界面,显示该客户端存在哪些病毒。
图8-14 病毒日志
漏洞防护功能支持操作系统缺失补丁扫描修复,通过上传补丁情报库和补丁文件,分发安装补丁至各客户端,以获得即时防护。补丁安装以任务的方式进行,帮助管理员即时获取补丁安装状态。为避免对业务造成不必要影响,可指定补丁下发时段,最小化带宽占用,满足各类网络环境的需求。同时,终端用户也可以通过客户端上的漏洞防护即时扫描功能,获取补丁安装状态,并对指定补丁进行自主的修复动作。
转到“漏洞防护 > 补丁管理”,在未上传补丁情报库和补丁时,“补丁管理”界面如下图所示。
图9-1 未上传补丁情报库和补丁的界面
单击右上角的
,显示如下:
图9-2 补丁库更新方法
补丁库更新的方法包括预设更新、立即更新、本地上传更新。
单击<查看更新历史>,可以查看补丁库更新情况。
图9-3 查看更新历史
补丁库更新后,“补丁维度”和“终端维度”界面分别如下图所示。
图9-4 补丁维度界面
图9-5 终端维度界面
· “补丁维度”界面展示每个补丁已修复和未修复的客户端数量。第一次扫描前,数量为0。
“补丁维度”界面的“忽略”功能是针对所有终端的,忽略后,所有客户端执行修复任务时都会自动忽略该补丁,另外扫描不受影响,同时不会影响已安装的补丁状态。
如果需要取消忽略功能,单击<取消忽略>。
· “终端维度”界面展示每个终端上已修复和未修复的补丁数量。第一次扫描前,数量为0。单击关联任务,跳转到“任务管理”界面,展示该客户端关联的所有任务。
(1) 转到“漏洞防护 > 补丁管理”。
(2) 单击右上角的
。
(3) 单击<预设更新策略>。
图9-6 配置预设更新策略
(4) 选择<启用预设更新>。
(5) 设置预设更新的时间。
(6) 配置补丁文件更新范围:按照严重等级及类型修复。
l 严重等级:高危、中危、低危
l 补丁类型(操作系统类):Windows 7、Windows 8.1、Windows 10、Windows 11
(7) 配置服务端从补丁服务器下载补丁文件的下载速度不大于多少MB/S。
(8) 单击<确定>。
(1) 转到“漏洞防护 > 补丁管理”。
(2) 单击右上角的
。
(3) 单击<立即更新>。
图9-7 立即更新
(4) 配置补丁文件更新范围:按照严重等级及类型修复。
l 严重等级:高危、中危、低危
l 补丁类型(操作系统类):Windows 7、Windows 8.1、Windows 10、Windows 11
(5) 配置服务端从补丁服务器下载补丁文件的下载速度不大于多少 MB/S。
(6) 单击<确定>。
(1) 转到“漏洞防护 > 补丁管理”。
(2) 单击右上角的
。
(3) 单击<本地上传更新>下的<上传补丁情报>。
(4) 补丁情报文件上传成功后,单击<本地上传更新>下的<上传补丁文件>。
(5) 单击<确定>。
上传补丁文件之前请确保对应的补丁情报已上传,否则补丁文件将上传失败。
单击
,会创建一个立即扫描全部客户端的任务,转到“漏洞防护 > 任务管理”,可以查看该任务的状态和结果。
扫描完成后,将显示未修复补丁的客户端总数,并且分别统计高危、中危和低危的客户端数。单击数字,显示对应威胁等级的未安装补丁的列表。
图9-8 未修复补丁数量统计
(1) 转到“漏洞防护 > 补丁管理 > 补丁维度”。
(2) 单击<未修复客户端>下的数字(大于0的数字)。
(3) 选中需要修复的客户端,单击<修复>。
单击<修复>后,将自动创建一条修复任务,该条任务会显示在“任务管理”界面。
修复操作只针对客户端未开始修复及修复失败的补丁。由于部分补丁文件过大,修复时间较长,请耐心等待。
图9-9 未修复客户端
(4) 修复成功后,生效状态显示为“待重启”,重启成功后,生效状态显示为“已生效”。
图9-10 已修复客户端
(5) 单击<关闭>。
(1) 转到“漏洞防护 > 补丁管理 > 终端维度”。
(2) 单击<未修复补丁>下的数字(大于0的数字)。
(3) 选中需要修复的补丁,单击<修复>。
图9-11 未修复补丁
单击<修复>后,将自动创建一条修复任务,该条任务会显示在“任务管理”界面。
修复操作只针对客户端未开始修复及修复失败的补丁。由于部分补丁文件过大,修复时间较长,请耐心等待。
(4) 修复成功后,生效状态显示为“待重启”,重启成功后,生效状态显示为“已生效”。
(5) 单击<关闭>。
以补丁维度为例,介绍如何卸载补丁。终端维度的类似,不再赘述。
(1) 单击<已修复客户端>下面的数字(大于0的数字)。
(2) 选中需要卸载的补丁,单击<卸载>。
图9-12 选中需要卸载的补丁
(3) 弹出“卸载补丁”的界面。
图9-13 卸载补丁
(4) 选择卸载通知
· 直接卸载
· 卸载并通知客户端用户:可以在文本框中输入要通知给用户的内容。
(5) 单击<确认>。
管理员创建单次和周期扫描任务,可以扫描终端上已安装和未安装的补丁信息。
(1) 转到“漏洞防护 > 任务管理”。
(2) 单击<新增任务>。
图9-14 新增扫描任务
(3) 任务类型选择“扫描”。
(4) 配置任务名称。
(5) 选择任务执行方式。
· 立即执行
· 定时执行:设置定时执行的时间,并且可以选择单次、每天一次、每周一次、每月一次按照设置的时间执行。
(6) 选择需要扫描的目标客户端。
· 全部客户端
· 指定分组:指定分组里已注册的全部客户端及后期注册上来的客户端都将作为扫描的目标客户端
· 指定客户端:可以选择一个或多个客户端
(7) 单击<确认>。
管理员创建单次和周期修复任务,可以下发安装指定终端上的未下发补丁。
(1) 转到“漏洞防护 > 任务管理”。
(2) 单击<新增任务>。
(3) 任务类型选择“修复”。
图9-15 新增修复任务
(4) 配置任务名称。
(5) 选择任务执行方式。
· 立即执行
· 定时执行:设置定时执行的时间,并且可以选择单次、每天一次、每周一次、每月一次按照设置的时间执行。
(6) 配置补丁修复范围,下面两种至少选一种。
· 按照严重等级及补丁类型修复
¡ 严重等级默认选择高危
¡ 补丁类型默认选择Windows10
· 修复指定的补丁:已经忽略的补丁不展示在选择补丁的列表里。
(7) 选择需要修复的目标客户端。
· 全部客户端
· 指定分组:指定分组里已注册的全部客户端及后期注册上来的客户端都将作为修复的目标客户端
· 指定客户端:可以选择一个或多个客户端
(8) 补丁安装设置。
· 下发后自动安装
· 下发后提示终端用户是否安装
(9) 单击<确认>。
新增扫描和修复任务后,转到“漏洞防护 > 任务管理”,界面展示任务总数、定时任务数、正在执行任务数以及任务的详细信息。
图9-16 任务管理界面
· 执行中的任务不可删除、不可编辑、不可停用。
· 选中的客户端执行完成之后统一显示执行结果,否则执行状态显示“执行中”。
· 一次都没有执行的定时任务,在开始执行前显示执行状态显示“未开始”。
· 单击目标客户端下的数字,跳转到“补丁管理 > 终端维度”,显示需要执行任务的客户端。
· 执行状态为“失败”的后面的数字代表有多少台客户端执行任务失败,单击该数字,跳转到“补丁管理 > 终端维度”,显示执行任务失败的客户端的详情。当一个客户端修复多个补丁时,只要有一个补丁修复失败,即认为失败。
检测响应包含的内容如下:
· 仪表盘
· 高级威胁
· 热点事件
· 调查分析
· 联动验伤
· 远程修复
转到“检测响应 > 仪表盘”,可以查看系统的监控概况。
单击
,可以选择查看监控的时间段,分别为24小时/7天/30天。
· 最近检测高级威胁:客户端产生的IOA告警数据量统计(告警数/受影响主机数)。
图10-1 最近检测高级威胁
· 高级威胁影响主机Top5:产生IOA告警条数最多的前5台客户端。
图10-2 高级威胁影响主机Top5
· 基于ATT&CK框架的高级威胁视图:基于ATT&CK分类统计的告警,其中轨迹线上的图标代表战术点,单击战术点图标将显示该战术点的技术点的分布及对应条数。
图10-3 基于ATT&CK框架的高级威胁视图
· 安全事件TOP5:检测出数量排名靠前的系统安全事件。
· 自定义安全事件TOP5:检测出数量排名靠前的自定义安全事件。
· 矿池外联TOP5:检测出数量排名靠前的矿池外联事件。
· 验伤请求TOP5:检测出数量排名靠前的验伤请求类型。
图10-4 安全事件TOP5、自定义安全事件TOP5、矿池外联TOP5、验伤请求TOP5
入侵告警检测功能开启(请转到“策略 > 安全防护策略 > 策略管理 > 检测响应规则”进行开启)后,系统将基于选择的入侵规则对客户端在时间范围内进行检测,检测响应入侵检测入侵告警页面默认展示命中的全部告警。
图10-5 入侵告警
您可以单击左侧的暴力破解、异常登录、可疑操作、WebShell、Shell反弹、PowerShell、本地提权、文档漏洞利用、其他和自定义场景进行分类查看;也可以设置时间段、威胁类型、风险等级、处置状态、客户端、技术点和战术点,对入侵告警进行过滤查看。
您可以对入侵告警列表中任意一条告警进行以下操作:
· 单击左侧的“+”,可以查看该告警的详细信息。
· 单击受影响客户端,可以查看主机详细信息。
· 在“操作”列,可以手动对遭受威胁攻击的客户端进行处理:
¡ 封停:攻击源将不能访问客户端,同时在“响应处置 > 网络封停”中记录一条信息。
¡ 解封:如果威胁已解除,可单击<解封>,恢复对客户端的访问。
¡ 遏制:客户端将只能连接到服务端,不能连接到其他网络。
¡ 连接到:对受攻击主机进行修复操作。
¡ 阻断进程:对进程进行阻断,同时在“响应处置 > 进程阻断”中记录一条信息。
¡ 阻断并隔离:对进程进行阻断并隔离,同时在“响应处置 > 进程阻断”、“响应处置 > 文件隔离”中记录一条信息。
¡ 加白:单击<加白>,可以进行入侵告警白名单的创建。启用该白名单后,系统再检测到相同的告警时,告警数量将不再增加。
设置如下内容:
n 检测状态选择开启还是关闭
n 选择匹配模式:
参数匹配:选择后,将不再触发包含所选参数的告警
规则匹配:选择后,将不再触发此类规则的告警
请至少选择一种匹配模式,同时选择参数匹配和规则匹配后,必须同时满足该规则以及所选参数的告警才不会被触发。
n 选择应用到全部客户端、指定分组还是指定客户端。
· 单击<导出>可以将入侵告警导出。
针对暴力破解、异常登录、WebShell,单击页面右上角的
,可以设置自动封停操作。
· 暴力破解、异常登录
设置的内容包括:是否启用生效状态、生效周期、生效时间、生效场景、封停时长、封停范围和应用范围。
在生效时间内的暴力破解告警将自动执行网络封停处置动作,封停时长会随着暴力破解次数自动累加。
图10-6 自动处置规则(暴力破解、异常登录)
· WebShell
设置的内容包括:是否启用生效状态、生效周期、生效时间、生效场景、隔离范围和应用范围。
图10-7 自动处置规则(WebShell)
针对可疑操作、自定义场景,单击页面右上角的
,可以自定义规则。
l 可疑操作
单击<新增规则>,新增自定义规则。设置的内容包括:规则名称、检测状态、风险等级、Shell 匹配条件和应用范围。
图10-8 自定义规则(可疑操作)
l 自定义场景
自定义场景中无默认规则,需进行人工设定自定义规则后,命中才有告警。
设置如下内容:规则名称、生效状态、风险等级、进程信息、处置措施和应用范围。
图10-9 自定义规则(自定义场景)
针对异常登录,单击页面右上角的
,可以设置合法登录规则。默认合法登录规则为空,即不会产生异常登录告警,只有设定了合法登录规则,如若有不在范围内的登录才会产生异常登录告警。
单击<新增规则>,设置的内容包括:状态、登录IP、登录时间、登录区域、规则描述和应用范围。
图10-10 合法登录规则
转到“检测响应 > 入侵检测 > 入侵白名单”,界面展示入侵白名单详细信息。
图10-11 入侵白名单
入侵白名单来源包括:
· 入侵告警中设置的白名单
· 文件隔离区
· 导入:单击
,导入的白名单
· 自定义:单击
,添加的白名单
图10-12 新增白名单
设置如下内容:
¡ 检测状态选择开启还是关闭
¡ 选择规则类型:文件、IP、Domain、URL
¡ 当规则类型为文件时,选择文件SHA1还是组合规则
¡ (可选)输入描述信息
¡ 选择应用到全部客户端、指定分组还是指定客户端
介绍基于失陷检测规则对客户端进行的检测。
转到“检测响应 > 失陷检测 > 失陷告警”,页面展示失陷告警,失陷告警包括:挖矿、勒索、APT、僵尸网络、恶意软件、其他。
图10-13 失陷告警
· 单击
,可以查看热点事件的详细信息。
· 在“风险客户端”列单击客户端名称,将跳转到资产管理的主机详情。
· 在“处理状态”列单击“未处理”,弹出“确认处理该风险?”的弹框,单击<确认>,该风险的处理状态变为“已处理”。
· 在“报告”列单击图标
,下载IOC溯源分析报告,该报告是针对某个客户端的某个热点事件。
· 在“响应”列,可以对遭受热点事件攻击的客户端进行处理:
¡ 遏制:当主机遭受攻击时,这台主机将只能连接到服务器,不能连接到其他网络。
¡ 连接到:对受攻击主机进行修复操作。
· 在
中首先选中某一个热点事件和客户端,然后单击<汇总报告>,将导出IOC汇总报告。该报告针对单个客户端在自定义时间段内产生的所有指定热点事件。
· 单击<导出>,可以将告警保存至本地。
失陷检测规则包含系统默认和自定义两类。
1. 客户端完成安装后,终端安全管理系统服务端将对在线的客户端基于系统默认的失陷检测规则进行检测。
2. 添加并启用自定义失陷检测规则后,终端安全管理系统服务端将对在线的客户端基于系统默认失陷检测规则和自定义失陷检测规则进行检测。
(1) 转到“检测响应 > 失陷检测 > 自定义规则”。
(2) 查看自定义失陷检测规则。
在“检测”列,将滑动按钮设置为
,可以关闭对应失陷检测规则,系统将不使用该规则对客户端进行检测。
(1) 转到“检测响应 > 失陷检测 > 自定义规则”。
(2) 单击<新增>,将显示新增失陷检测规则的窗口。
图10-14 新增失陷检测规则
(3) 输入添加的失陷规则信息。
· 规则名称:为该条规则指定名称。
· 描述信息:为该条规则指定描述。
· 风险等级:从下拉列表框中选择级别,包括低危风险、中危风险、高危风险。
· 状态:确认该条规则是否开启。默认为启用状态,也可以创建后修改检测状态。
· 检测条件:指定该条规则的检测条件。每一行为一个失陷检测条件,支持IP、文件SHA1值、URL和Domain,自动匹配格式类型,无需输入条件名称。
(4) 单击<确定>。
(1) 转到“检测响应 > 失陷检测 > 自定义规则”。
(2) 选中一条或多条IOC规则,单击<删除>。
失陷检测规则将被删除。
系统默认基于已有的失陷检测规则对客户端进行检测,而添加新的失陷检测规则后,如果希望基于此规则对历史数据进行检测,可以通过“失陷回溯”对客户端进行回溯检测,检测结果将出现在“失陷告警”界面。
(1) 转到“检测响应 > 失陷检测 > 失陷回溯”。
图10-15 失陷回溯
(2) 根据指定条件进行回溯:选择时间、客户端和热点事件后,单击<回溯>。
扫描成功后,在“操作”列单击<查看结果>,可以查看回溯扫描的结果。
在入侵告警中执行<封停>操作后,转到“检测响应 > 响应处置 > 网络封停”,页面中会新增一条记录,展示封停攻击源、封停攻击源的客户端、最近封停时间、状态以及操作。
单击封停攻击源的客户端的数字,将展示封停的客户端的详细信息。单击<解封>,可以恢复对客户端的访问。
图10-16 网络封停
在入侵告警中执行隔离文件操作后,转到“检测响应 > 响应处置 > 文件隔离”,页面中会新增一条记录,展示被隔离的文件、客户端、威胁类型、威胁事件、隔离方式、文件状态、隔离时间和操作。操作包含提取文件。
单击<恢复文件>,将所选客户端的文件恢复。
单击<恢复并加白>,将所选客户端的文件恢复并加入白名单,加入白名单是指将文件SHA1加入入侵白名单,不再触发入侵告警。隔离失败的文件无法恢复并加白。
图10-17 文件隔离
在自定义场景中,有进程阻断行为后,转到“检测响应 > 响应处置 > 进程阻断”,页面中会新增一条记录,展示被阻断的进程、客户端、威胁类型、威胁事件、阻断方式、进程文件状态、阻断时间和操作。操作包括隔离文件和下载文件。
图10-18 进程阻断
说明如何进行威胁事件的调查。
· “新建调查”用于对指定终端进行自定义调查,包括选择调查的时间、调查的终端和调查的条件。
完成自定义后,系统将生成对应的调查结果。
· 自定义的调查规则和对应的调查结果可以进行保存,同时可以将系统绘制的事件树(即指定事件的初始事件和后续事件)进行保存。
保存的结果可以在“调查记录”中查看。
调查能找到终端中出现的可疑对象,用于评估目标攻击在终端上造成的损害程度,以及找出完整的证据链来还原网络攻击过程或者追溯信息泄露源头。
(1) 转到“检测响应 > 调查分析 > 新建调查”。
图10-19 新建调查
(2) 选择调查的时间段。
单击
,将出现下拉框,请选择时间段。
· 今天
· 本周
· 本月
· 自定义时间
时间段为起始范围的零点至单击<搜索>的时间。如选择“今天”时,时间范围为当天零点至单击<搜索>的时间,并显示在调查结果中。
(3) 选择调查的客户端设备。
(4) 选择调查的条件。
a. 单击
,将出现下拉框,请选择条件,可供选择的条件显示如下:事件类型、进程用户名、进程ID、进程名、文件名、文件SHA1值、系统事件、网络协议、源IP/源端口、目的IP/目的端口、URL、邮件发件人、邮件收件人、DNS请求域名、HTTP请求HOST、邮件主题。
b. 选择条件后,根据界面显示的后续选择条件做进一步过滤。
例如,选择进程ID后,界面将显示为
,请根据需要做对应过滤。
c. (可选)单击
,增加调查的条件。
符合所有调查条件的结果会在调查记录中显示。
(5) 单击<搜索>,将得到调查结果。有关调查记录的详细介绍,请参考调查结果。
如新建调查所述,确定调查条件后单击<搜索>,将得到类似以下调查结果。
图10-20 调查结果
可以对调查结果进行如下操作:
· 过滤调查结果
¡ 单击
,并在下拉框中选择条件,在右边的文本框
中输入需要搜索的关键字,然后按回车键进行过滤。
¡ 直接在文本框
中输入需要搜索的关键字,然后按回车键进行过滤。
· 查看事件树
单击事件的<进程 ID>列,将得到与该事件相关的事件树,具体请参考事件树。
· 保存调查规则
1. 单击<保存规则>,将本次的调查规则保存(此时将显示保存窗口)用于后续调查使用,保存的调查规则可以在“调查记录”中查看。
2. 在“保存规则”窗口中,输入保存规则的名称,单击<保存>。
· 导出调查结果
单击<导出结果>,在弹出窗口中指定<导出名称>,并单击<导出>,将本次的调查结果保存。
导出的调查结果将以 .xlsx 的形式保存在本地。
得到调查结果后,可以查看其中进程对应的事件树。
(1) 在调查结果中单击某进程的<进程ID> 列,查看事件树。
(2) 浏览器弹出的新窗口将显示事件树。
图10-21 事件树
可对事件树做如下操作:
· 放大/缩小事件树
分别单击
和
即可放大/缩小。
· 展开/收起事件
单击事件树上
的可展开/收起该事件的详细操作。
· 过滤事件元素
在右上角的搜索栏
输入关键字并单击回车,事件树将只体现与关键字相关的内容。
· 将事件树导出为图片
对事件树进行以上操作,得到预期的展示后,可以单击
将该事件的展示保存为.svg 格式图片。
一个文件对应一个唯一的SHA1(Secure Hash Algorithm,安全散列算法)值,这个SHA1值与文件的内容有关,文件的丢失、文件的改写都会引起SHA1值发生变化。通过指定SHA1值来调查文件事件,可以根据时间线查看该文件在各个客户端上的流转情况。
不同客户端之间以文件名来匹配相同文件,同一客户端上的不同路径下相同文件名的文件都认为是同一文件。
(1) 如下图所示,在“检测响应 > 调查分析 > 新建调查”界面,根据文件名进行调查。
图10-22 根据文件名调查
(2) 在调查结果中展开详细信息,可以得到文件的SHA1值,单击这个SHA1值将跳转到文件流转窗口。
可以看出该文档被操作的纵向时间线和横向轨迹。
图10-23 文件流转
新建调查时也可以指定文件的SHA1值来进行调查。
图10-24 指定SHA1值调查
文件流转功能支持的文件格式为:
|
项目 |
类型 |
|
Microsoft Word |
l doc、docx、docm、docb l dot、dotx、dotm l wbk |
|
Microsoft Excel |
l xls、xlsx、xlsm、xlsb l xlt、xltx、xltm l xlm、xll、xlw l xla、xlam |
|
Microsoft PowerPoint |
l ppt、pptx、pptm l pps、ppsx l pot、potx、potm l ppam、ppsm l sldx、sldm |
|
电子文件 |
l xps l pdf |
|
WPS Office |
l wps、wpt l dps、dpt l et、ett |
|
PE 文件 |
l a l dll l exe l so l sys |
|
压缩文件 |
l bz、gz l rar、tar l zip、7z |
(1) 转到“检测响应 > 调查分析 > 调查记录”。
系统将在新窗口显示调查记录:所有调查记录/历史事件树。
(2) 单击<所有调查记录>选项卡:
图10-25 所有调查记录
· 查看保存的调查记录:单击调查记录。
系统将弹出“新建调查”窗口,包含当时调查的条件和调查结果。
· 删除保存的调查记录:勾选调查记录后单击<删除>。
· 过滤保存的调查记录:当调查记录条目太多时,可以在右上角的过滤栏输入关键字并单击回车,对调查条目按名称进行过滤。
(3) 单击“历史事件树”选项卡,查看保存的事件树。
图10-26 历史事件树
· 查看保存的事件树:单击事件树。
· 删除保存的事件树:勾选调查记录并单击<删除>。
· 过滤保存的事件树:当历史事件树条目太多时,可以在右上角的过滤栏输入关键字并单击回车,对事件树按名称进行过滤。
转到“远程修复 > 获取目录”,获取目录界面用于存储通过“远程修复”通道连接至发生高级威胁告警的EDR客户端并且用获取(get)指令集获取到的疑似程序样本文件。
get命令可以获取客户端的文件,目前支持的文件类型有:pe和dump文件。命令格式为get pe 文件完整路径 或get dump pid。
(1) 转到“客户端 > 客户端管理”。
(2) 单击“响应”列的<连接到>,在命令框中输入get命令,以get dump 800为例(pid为800的文件为dwm.exe.dump)。
图10-27 获取文件
(3) 单击<运行>,命令如果执行成功,将显示获取文件成功的提示。
图10-28 命令执行成功
(4) 转到“远程修复 > 获取目录”,使用get命令获取到的文件将显示在获取目录界面。
图10-29 获取目录界面
· 对于get到的文件,在获取目录界面会对文件重命名,DESKTOP-0Q126UN(192.X.X.X)-20220826-160626-dwm.exe.dmp.zip 代表的含义如下:
¡ DESKTOP-0Q126UN(192.X.X.X):客户端的名称和IP地址
¡ 20220826-160626:客户端创建文件dwm.exe.dump 的时间,20220826代表年月日,160626代表时分秒
· 单击<下载>和<删除>,可以下载和删除获取的文件。
介绍终端安全管理系统Web管理控制台的主界面“资产管理”菜单的详细信息。包括Linux系统和Windows系统的资产信息。
转到“资产管理 > 资产总览”,通过资产总览将Linux主机和Windows主机上的资产信息统计后可视化的展示在界面中。
如下图所示,展示的是Linux主机上的资产信息统计。
图11-1 Linux资产总览界面
Linux资产总览界面描述如下表所示。
表11-1 Linux资产总览界面描述
|
项目 |
描述 |
|
运行应用 |
运行应用的总体情况,包括运行应用的类型分布和数量。 |
|
账号 |
账号的总体情况,包括账号类型分布和数量。 |
|
安装包 |
安装包的总体情况,包括安装包类型分布和数量。 |
|
主机管理 |
主机资产的统计数据,包括主机数量和主机状态。 |
|
端口 |
主机端口的统计数据。 |
|
数据库 |
主机数据库的统计数据。 |
|
Web服务 |
主机Web服务的统计数据。 |
|
Web站点 |
主机Web站点的统计数据。 |
|
Web应用 |
主机Web应用的统计数据。 |
|
Web框架 |
主机Web框架的统计数据。 |
|
Jar包 |
主机Jar包的统计数据。 |
|
第三方类库 |
主机第三方类库的统计数据。 |
单击图形上的数字,可以进入对应界面查看详细情况。
如下图所示,展示的是Windows主机上的资产信息统计。
图11-2 Windows资产总览界面描述
Windows资产总览界面描述如下表所示。
表11-2 Windows资产总览界面
|
项目 |
描述 |
|
运行应用 |
运行应用的总体情况,包括运行应用的数量、供应商数量和应用版本的数量。 |
|
账号 |
账号的总体情况,包括账号总数、本地账号数量和域账号数量。 |
|
软件应用 |
安装软件应用的总体情况,包括软件应用的数量和TOP10分布。 |
|
主机管理 |
主机资产的统计数据,包括主机数量和主机状态。 |
|
Web服务 |
主机Web服务的统计数据。 |
|
Web站点 |
主机Web站点的统计数据。 |
|
Web应用 |
主机Web应用的统计数据。 |
|
Web框架 |
主机Web框架的统计数据。 |
|
Jar包 |
主机Jar包的统计数据。 |
|
第三方类库 |
主机第三方类库的统计数据。 |
|
端口 |
主机端口的统计数据。 |
|
数据库 |
主机数据库的统计数据。 |
单击图形上的数字,可以进入对应界面查看详细情况。
转到“资产管理 > 资产中心 > 主机资产”,界面展示当前网络环境中的主机资产信息,包括Linux系统和Windows系统的主机资产信息。
如下图所示,展示的是Linux主机资产的信息。
图11-3 Linux主机资产信息界面
Linux主机资产界面描述如下表所示。
表11-3 Linux主机资产界面描述
|
项目 |
描述 |
|
查询条件 |
设置查询条件,查找指定的主机资产信息。 |
|
操作系统 |
以条形图的样式展示不同操作系统的主机的统计数据。 |
|
主机状态 |
以条形图的样式展示主机在线和离线的统计数据。 |
|
主机资产信息 |
单击右侧 选中一个或多个客户端,单击<编辑管理信息>,可以设置资产等级、负责人等。 |
查询主机资产
1. 管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的主机资产。查询条件包含:
· 主机
· 操作系统
· 主机分组
· 资产等级
· 主机状态
2. 单击右侧
按钮,显示更多查询条件。
图11-4 查询条件
查看主机信息详情
单击查询结果中的任意条目的<IP地址>,可以查看主机信息详情。
导入主机信息
单击界面上方的<导入>按钮,根据页面提示,下载导入模板,可以导入主机资产。
导出主机资产列表
单击界面下方的<导出>按钮,根据界面提示,可以将主机资产的查询结果保存至本地。
如下图所示,展示的是Windows主机资产的信息。
图11-5 Windows主机资产信息界面
Windows主机资产界面描述如下表所示。
表11-4 Windows主机资产界面描述
|
项目 |
描述 |
|
查询条件 |
设置查询条件,查找指定的主机资产信息。 |
|
Windows桌面 |
按照Windows操作系统分类,以条形图的样式展示Windows桌面主机的统计数据。 |
|
Windows服务器 |
按照Windows操作系统分类,以条形图的样式展示Windows服务器主机的统计数据。 |
|
主机状态 |
包括两种状态:在线和离线。 |
|
主机资产信息 |
单击右侧 选中一个或多个客户端,单击<编辑管理信息>,可以设置资产等级、负责人等。 |
查询主机资产
1. 管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的主机资产。查询条件包含:
· 主机
· 操作系统
· 主机分组
· 资产等级
· 主机状态
2. 单击右侧
按钮,显示更多查询条件。
图11-6 查询条件
查看主机信息详情
单击查询结果中的任意条目的<IP地址>,可以查看主机信息详情。
导入主机信息
单击页面上方的<导入>按钮,根据页面提示,下载导入模板,可以导入主机资产。
导出主机资产列表
单击页面下方的<导出>按钮,根据页面提示,可以将主机资产的查询结果保存至本地。
转到“资产管理 > 资产中心 > 运行应用”,界面展示指定时间范围内,所有的运行应用信息,包括Linux系统和Windows系统的运行应用信息。
如下图所示,界面展示指定时间范围内,Linux系统所有的运行应用信息。
图11-7 Linux运行应用界面
1. 查询运行应用
管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的运行应用。查询条件包含:
· 运行应用
· 应用类别
· 应用版本
2. 单击“主机”列的数字,可以查看使用该应用的主机列表。
3. 单击页面右上方的<更新数据>,可以更新Linux运行应用的数据。
4. 单击界面下方的<导出>按钮,可以将Linux运行应用的查询结果保存至本地。
如下图所示,界面展示指定时间范围内,Windows系统所有的运行应用信息。
图11-8 Windows运行应用界面
1. 查询运行应用
管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的运行应用。查询条件包含:
· 应用名称
· 应用版本
· 供应商
2. 单击<查看>按钮,可以查看已使用该应用和未使用该应用的主机列表。
3. 单击页面右上方的<更新数据>,可以更新Windows运行应用的数据。
4. 单击界面下方的<导出>按钮,可以将Windows运行应用的查询结果保存至本地。
转到“资产管理 > 资产中心 > 软件应用”,界面展示当前网络环境中客户端上已经安装的所有Windows软件应用信息,如下图所示。
图11-9 Windows软件应用信息界面
1. 查询软件应用
管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的软件应用。查询条件包含:
· 软件名称
· 供应商
· 安装版本
2. 如上图所示:
单击“已安装主机”下的数字链接,转到软件应用安装详情界面,界面显示已经安装相应软件应用的主机详情。
单击“未安装主机”下的数字链接,转到软件应用安装详情界面,界面显示未安装相应软件应用的主机详情。
3. 单击页面右上方的<更新数据>,可以更新Windows软件应用的数据。
4. 单击界面下方的<导出>按钮,可以将软件应用安装详情保存至本地。
转到“资产管理 > 资产中心 > 安装包”,如下图所示。
图11-10 Linux安装包列表界面
1. 查询安装包
管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的安装包。查询条件包含:
· 安装包名称
· 安装包类型
· 安装时间
2. 如上图所示,单击“主机”下的数字链接,转到安装包列表详情界面,界面显示已经安装相应安装包的主机详情。
3. 单击页面右上方的<更新数据>,可以更新Linux安装包的数据。
4. 单击界面下方的<导出>按钮,可以将安装包的查询结果保存至本地。
转到“资产管理 > 资产中心 > 账号监控”,界面展示指定时间范围内,Linux主机和Windows主机上有登录或登出行为的账号列表。
如下图所示,展示的是指定时间范围内,Linux主机上有登录或登出行为的账号列表。
图11-11 Linux账号信息界面
Linux账号监控界面描述如下表所示。
表11-5 Linux账号监控界面描述
|
标注 |
描述 |
|
查询条件 |
设置查询条件,查找指定的账号信息。 |
|
root权限 |
以条形图的样式展示有无root权限的账号数据。 |
|
密码修改周期 |
以条形图的样式展示账号的密码修改周期统计数据。 |
|
主机账号信息 |
直接单击任意条目的<主机 IP>,可以查看主机资产详情。 直接单击任意条目的<账号名>,可以查看主机账号详情。 |
1. 管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的账号。查询条件包含:
· 账号名
· 主机
· 时间范围
2. 单击右侧
按钮,显示更多查询条件。
3. 单击页面右上方的<更新数据>,可以更新Linux账号的数据。
4. 单击界面下方的<导出>按钮,根据界面提示,可以将账号的查询结果保存至本地。
如下图所示,展示的是指定时间范围内,Windows主机上有登录或登出行为的账号列表。
图11-12 Windows账号信息界面
Windows账号监控界面描述如下表所示。
表11-6 Windows账号监控界面描述
|
标注 |
描述 |
|
查询条件 |
设置查询条件,查找指定的账号信息。 |
|
本地账号密码修改周期 |
以条形图的样式展示本地账号的密码修改周期统计数据。 |
|
域账号密码修改周期 |
以条形图的样式展示域账号的密码修改周期统计数据。 |
|
主机账号信息 |
直接单击任意条目的<主机IP>,可以查看主机资产详情。 直接单击任意条目的<账号名>,可以查看主机账号详情。 |
1. 管理员可以通过设置界面上的查询条件,单击<查询>按钮查询指定的账号。查询条件包含:
· 账号名称
· 主机
· 时间范围
2. 单击右侧
按钮,显示更多查询条件。
3. 单击页面右上方的<更新数据>,可以更新Windows账号的数据。
4. 单击页面下方的<导出>按钮,根据页面提示,可以将账号的查询结果保存至本地。
转到“资产管理 > 资产中心 > Web服务”,界面展示当前网络环境中的Linux主机和Windows主机的单个Web服务信息。
如下图所示,界面展示当前网络环境中的Linux主机的单个Web服务信息,如使用的Web服务名称和版本、主机名称、主机IP、运行用户、SHA1值、二进制路径和配置文件路径。
图11-13 Linux Web服务界面
1. 单击右侧
按钮,显示更多查询条件。
2. 单击页面右上方的<更新数据>,可以更新Linux Web服务的数据。
3. 单击界面下方的<导出>按钮,可以将Linux Web服务的查询结果保存至本地。
如下图所示,界面展示当前网络环境中的Windows主机的单个Web服务信息,如使用的Web服务名称和版本、主机名称、主机IP、运行用户、SHA1值、二进制路径和配置文件路径。
图11-14 Windows Web服务界面
1. 单击右侧
按钮,显示更多查询条件。
2. 单击页面右上方的<更新数据>,可以更新Windows Web服务的数据。
3. 单击页面下方的<导出>按钮,可以将Windows Web服务的查询结果保存至本地。
转到“资产管理 > 资产中心 > Web 站点”,页面展示当前网络环境中的Linux主机和Windows主机的单个Web站点信息。
如下图所示,页面展示当前网络环境中的Linux主机的Web站点信息,如站点域名、站点数。
图11-15 Linux Web站点界面
单击页面右上方的<更新数据>,可以更新Linux Web站点的数据。
单击页面下方的<导出>按钮,可以将Linux Web站点的查询结果保存至本地。
如下图所示,页面展示当前网络环境中的Windows主机的 Web 站点信息,如站点域名、站点数。
图11-16 Windows Web站点界面
1. 单击页面右上方的<更新数据>,可以更新Windows Web站点的数据。
2. 单击页面下方的<导出>按钮,可以将Windows Web站点的查询结果保存至本地。
转到“资产管理 > 资产中心 > Web应用”,页面展示当前网络环境中的Linux主机和Windows主机的Web应用信息。
如下图所示,页面展示当前网络环境中的Linux主机的Web应用信息,如Web应用、版本号和应用数。
图11-17 Linux Web应用界面
1. 单击页面右上方的<更新数据>,可以更新Linux Web应用的数据。
2. 单击页面下方的<导出>按钮,可以将Linux Web应用的查询结果保存至本地。
如下图所示,页面展示当前网络环境中的Windows主机的Web应用信息,如Web应用、版本号和站点主机数。
图11-18 Windows Web应用界面
1. 单击页面右上方的<更新数据>,可以更新Windows Web应用的数据。
2. 单击页面下方的<导出>按钮,可以将Windows Web应用的查询结果保存至本地。
转到“资产管理 > 资产中心 > Web框架”,页面展示当前网络环境中的Linux主机和Windows主机的Web框架信息。
如下图所示,页面展示当前网络环境中的Linux主机的Web框架信息,如Web框架、框架语言、版本号和框架数。
图11-19 Linux Web框架界面
1. 单击页面右上方的<更新数据>,可以更新Linux Web框架的数据。
2. 单击页面下方的<导出>按钮,可以将Linux Web框架的查询结果保存至本地。
如下图所示,页面展示当前网络环境中的Windows主机的Web框架信息,如Web框架、框架语言、版本号和框架数。
图11-20 Windows Web框架界面
1. 单击页面右上方的<更新数据>,可以更新Windows Web框架的数据。
2. 单击页面下方的<导出>按钮,可以将Windows Web框架的查询结果保存至本地。
转到“资产管理 > 资产中心 > Jar 包”,页面展示当前网络环境中的Linux主机和Windows主机的Jar包信息。
如下图所示,页面展示当前网络环境中的Linux主机的Jar包信息,如Jar包名和Jar包数量。
图11-21 Linux Jar包界面
1. 单击页面右上方的<更新数据>,可以更新Linux Jar包的数据。
2. 单击页面下方的<导出>按钮,可以将Linux Jar包的查询结果保存至本地。
如下图所示,页面展示当前网络环境中的Windows主机的Jar包信息,如Jar包名和Jar包数量。
图11-22 Windows Jar包界面
1. 单击页面右上方的<更新数据>,可以更新Windows Jar包的数据。
2. 单击页面下方的<导出>按钮,可以将Windows Jar包的查询结果保存至本地。
转到“资产管理 > 资产中心 > 第三方类库”,页面展示当前网络环境中的Linux主机和Windows主机的第三方类库信息。
如下图所示,页面展示当前网络环境中的Linux主机的第三方类库信息,如第三方类库名、类型和第三方类库数量。
图11-23 Linux第三方类库界面
1. 单击页面右上方的<更新数据>,可以更新Linux第三方类库的数据。
2. 单击页面下方的导出按钮,可以将Linux第三方类库的查询结果保存至本地。
如下图所示,页面展示当前网络环境中的Windows主机的第三方类库信息,如第三方类库名、类型和第三方类库数量。
图11-24 Windows第三方类库界面
1. 单击页面右上方的<更新数据>,可以更新Windows第三方类库的数据。
2. 单击页面下方的<导出>按钮,可以将Windows第三方类库的查询结果保存至本地。
转到“资产管理 > 资产中心 > 端口”,界面展示当前网络环境中的Linux主机和Windows主机的单个端口信息。
如下图所示,页面展示当前网络环境中的Linux主机的单个端口信息,如所在端口号、使用协议、进程名和主机数量。
图11-25 Linux端口管理界面
1. 单击<主机>列的数字,可以查看端口详情。
2. 输入端口号、协议或者进程名,单击<查询>,可以查询所需要的信息。
3. 单击页面右上方的<更新数据>,可以更新Linux端口信息的数据。
4. 单击页面下方的<导出>按钮,可以将Linux端口信息的查询结果保存至本地。
如下图所示,界面展示当前网络环境中的Windows主机的单个端口信息,如所在端口号、使用协议、进程名和主机数量。
图11-26 Windows端口信息界面
1. 单击“主机”列的数字,可以查看端口详情。
2. 输入端口号、协议或者进程名,单击<查询>,可以查询所需要的信息。
3. 单击页面右上方的<更新数据>,可以更新Windows端口信息的数据。
4. 单击界面下方的<导出>按钮,可以将Windows端口信息的查询结果保存至本地。
转到“资产管理 > 资产中心 > 数据库”,界面展示当前网络环境中的Linux主机和Windows主机的单个数据库信息。
如下图所示,界面展示当前网络环境中的Linux主机的单个数据库信息,如使用的数据库类型和版本、监听端口、绑定IP、运行状态、主机名、主机IP、运行用户、数据路径、配置文件路径和日志文件路径。另外,可以单击
,勾选需要展示的信息。
图11-27 Linux数据库界面
1. 单击右侧
按钮,显示更多查询条件。
2. 单击页面右上方的<更新数据>,可以更新Linux数据库的数据。
3. 单击页面下方的<导出>按钮,可以将Linux数据库的查询结果保存至本地。
如下图所示,界面展示当前网络环境中的Windows主机的单个数据库信息,如使用的数据库类型和版本、监听端口、绑定IP、运行状态、主机名、主机IP、运行用户、数据路径、配置文件路径和日志文件路径。另外,可以单击
,勾选需要展示的信息。
图11-28 Windows数据库界面
1. 单击右侧
按钮,显示更多查询条件。
2. 单击页面右上方的<更新数据>,可以更新Windows数据库的数据。
3. 单击页面下方的<导出>按钮,可以将Windows数据库的查询结果保存至本地。
通过资产探测功能,可以探测到未安装客户端的终端和主机,探测到的信息将展示在资产发现页面。
图11-29 资产发现
单击
,可以设置立即探测和预设探测功能。
图11-30 资产探测
· 单击<立即探测>,选择发起探测的设备和探测方式。
图11-31 立即探测
· 单击<预设探测策略>,设置如下内容:
¡ 启用预设探测
¡ 选择发起探测的设备
¡ 设置探测时间
¡ 选择探测方式:ARP探测、Ping探测
图11-32 预设探测策略
日志管理包含的内容如下:
· 运维管控日志
· 病毒防护日志
· 漏洞防护日志
转到“日志管理 > 运维管控日志 > 外设管控日志”,外设管控日志界面默认展示最近7天内的外设管控日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-1 外设管控日志
如果用户使用了外设管控策略里面禁用的外设时,将会记录外设管控日志。可以单击
,勾选需要展示的信息,外设管控日志包含的信息如下表。
表12-1 外设管控日志描述
|
项 |
描述 |
|
时间 |
外设禁用的时间 |
|
设备名称 |
外设的名称 |
|
设备ID |
外设的ID |
|
设备型号 |
外设的型号 |
|
设备类型 |
外设类型 |
|
厂商 |
生产外设的厂商 |
|
VID |
外设的VID |
|
PID |
外设的PID |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
安装客户端的终端的IP地址 |
|
MAC地址 |
安装客户端的终端的MAC地址 |
|
处理结果 |
已禁用 |
转到“日志管理 > 运维管控日志 > 进程管控日志”,进程管控日志界面默认展示最近7天内的进程管控日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-2 进程管控日志
如果某进程已经加入到黑名单,当该进程运行时,将会记录进程管控日志。可以单击
,勾选需要展示的信息,进程管控日志包含的信息如下表。
表12-2 进程管控日志描述
|
项 |
描述 |
|
时间 |
产生进程管控日志的时间 |
|
进程名称 |
进程的名称 |
|
产品名称 |
进程的产品名称 |
|
版本 |
进程的产品版本号 |
|
SHA1 |
SHA1值 |
|
拦截类型 |
包括: l 指定进程拦截 l 规则匹配拦截 |
|
拦截次数 |
黑名单进程被拦截的次数 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
安装客户端的终端的IP地址 |
|
MAC地址 |
安装客户端的终端的MAC地址 |
|
处理结果 |
包括: l 仅记录 l 结束进程 |
转到“日志管理 > 运维管控日志 > 违规外联日志”,违规外联日志界面默认展示最近7天内的违规外联日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
违规外联日志包含的信息如下表。
图12-3 违规外联日志描述
|
项 |
描述 |
|
时间 |
违规外联探测的时间 |
|
外联网卡MAC |
违规外联所使用的网卡的MAC地址 |
|
客户端名称 |
发生违规外联的客户端名称 |
|
IP地址 |
发生违规外联的客户端的IP地址 |
|
操作系统 |
发生违规外联的客户端的操作系统 |
|
探测协议 |
外联探测配置的探测协议 |
|
探测地址 |
外联探测配置的探测地址 |
|
处理结果 |
违规外联的处理结果 |
转到“日志管理 > 运维管控日志 > 终端审计日志 > 文件审计”,文件审计日志界面默认展示最近7天内的文件审计日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-4 文件审计日志
可以单击
,勾选需要展示的信息,文件审计日志包含的信息如下表。
图12-5 文件审计日志描述
|
项 |
描述 |
|
时间 |
文件操作的时间 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
系统账号 |
进行文件操作的系统账号名称 |
|
文件路径 |
文件的路径 |
|
操作类型 |
包括: l 创建 l 修改 l 删除 l 重命名 l 读取 |
|
目标路径 |
文件操作的目标路径 |
|
进程名 |
进行文件操作的进程名称 |
|
移动存储文件 |
包括: l 是 l 否 |
单击<导出>,可以将选中的文件审计日志导出。
单击<刷新>,可以刷新展示的文件审计日志信息。
转到“日志管理 > 运维管控日志 > 终端审计日志 > 外设审计”,外设审计日志界面默认展示最近7天内的外设审计日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-6 外设审计日志
可以单击
,勾选需要展示的信息,外设审计日志包含的信息如下表。
图12-7 外设审计日志描述
|
项 |
描述 |
|
时间 |
外设操作的时间 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
登录账号 |
进行外设操作的当前登录用户名 |
|
设备名称 |
外设的名称 |
|
设备类型 |
外设的类型 |
|
外设ID |
外设ID |
|
操作类型 |
包含: l 拔出 l 插入 |
单击<导出>,可以将选中的外设审计日志导出。
单击<刷新>,可以刷新展示的外设审计日志信息。
转到“日志管理 > 运维管控日志 > 终端审计日志 > 进程审计”,进程审计日志界面默认展示最近7天内的进程审计日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-8 进程审计日志
可以单击
,勾选需要展示的信息,进程审计日志包含的信息如下表。
图12-9 进程审计日志描述
|
项 |
描述 |
|
时间 |
进程操作的时间 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
系统账号 |
进行进程操作的当前登录用户名称 |
|
进程名称 |
进程的名称 |
|
进程版本 |
进程的版本 |
|
进程SHA1 |
进程SHA1值 |
|
原始文件名 |
进程的原始文件名称 |
|
进程路径 |
进程的路径 |
|
操作类型 |
包括: l 创建 l 结束 |
单击<导出>,可以将选中的进程审计日志导出。
单击<刷新>,可以刷新展示的进程审计日志信息。
转到“日志管理 > 运维管控日志 > 终端审计日志 > 账号审计”,账号审计日志界面默认展示最近7天内的账号审计日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-10 账号审计日志
可以单击
,勾选需要展示的信息,账号审计日志包含的信息如下表。
图12-11 账号审计日志描述
|
项 |
描述 |
|
时间 |
账号操作的时间 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
登录账号 |
进行账号操作的当前登录用户名称 |
|
目标账号 |
被创建、删除或修改的账号名称 |
|
登录源 IP |
当前登录账号的IP地址 |
|
操作类型 |
包括: l 登入 l 登出 l 创建 l 删除 l 修改 |
|
操作详情 |
操作的详细信息 |
|
操作结果 |
包括: l 成功 l 失败 |
单击<导出>,可以将选中的账号审计日志导出。
单击<刷新>,可以刷新展示的账号审计日志信息。
转到“日志管理 > 运维管控日志 > 基线核查日志”,基线核查日志界面默认展示最近7天内的基线核查日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
基线核查日志包含的信息如下表。
图12-12 基线核查日志描述
|
项 |
描述 |
|
检查时间 |
基线核查检查的时间 |
|
客户端名称 |
基线核查的客户端名称 |
|
IP地址 |
基线核查的客户端的IP地址 |
|
操作系统 |
基线核查的客户端的操作系统 |
|
登录帐号 |
客户端操作系统登录的账号 |
|
检查结果 |
基线核查的检查结果 |
|
关键项处置 |
基线核查的关键项处置措施 |
|
关键项处置结果 |
基线核查的关键项处置措施结果 |
转到“日志管理 > 病毒防护日志 > 病毒日志”,病毒日志界面默认展示最近7天内的病毒日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-13 病毒日志
病毒日志界面展示所有客户端上传的病毒日志列表,可以单击
,勾选需要展示的信息。日志包含的信息如下表。
表12-3 病毒日志描述
|
项 |
描述 |
|
时间 |
发生检测的时间 |
|
病毒名称 |
病毒名称 |
|
病毒细类 |
病毒的具体分类 |
|
病毒类型 |
包括: l 挖矿病毒 l 勒索病毒 l 病毒 l 灰色软件 l 潜在有害程序 |
|
客户端名称 |
受感染的终端名称 |
|
IP地址 |
受感染终端的IP地址 |
|
MAC地址 |
受感染终端的MAC地址 |
|
受感染文件 |
受感染的文件 |
|
感染渠道 |
包括: l 本地文件系统 l web l 移动设备 l 电子邮件 l 其他 |
|
文件SHA1 |
文件的感染源SHA1值 |
|
处理结果 |
包括: l 已放过 l 清除成功 l 清除失败 l 隔离成功 l 隔离失败 l 删除成功 l 删除失败 |
|
扫描类型 |
包括: l 手动扫描 l 实时扫描 l 预设扫描 l 立即扫描 |
转到“日志管理 > 病毒防护日志 > 防火墙日志”,防火墙日志界面默认展示最近7天内的防火墙日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-14 防火墙日志
防火墙日志记录的是拒绝通过的流量,不记录允许通过的流量。对于拒绝的流量,只记录匹配到规则列表的流量日志,不记录安全级别设置为高的被拒绝的流量。
默认情况下,客户端10分钟上传一次防火墙日志到服务端。另外,单击<客户端>,勾选客户端,然后单击通知客户端上传日志,可以让客户端立即上传一次已有的防火墙日志。
图12-15 选择客户端立即上传一次已有的防火墙日志
防火墙日志界面展示所有客户端上传的防火墙日志列表,可以单击
,勾选需要展示的信息。日志包含的信息如下表。
表12-4 防火墙日志描述
|
项 |
描述 |
|
开始记录时间 |
防火墙日志记录的开始时间 |
|
结束记录时间 |
防火墙日志记录的结束时间 |
|
拦截次数 |
发起连接请求的次数 |
|
客户端名称 |
客户端名称 |
|
本地IP |
本地主机的IP地址 |
|
远程IP |
远程主机的IP地址 |
|
方向 |
包含入站和出站,企业网络具有入站流量和出站流量。 l 入站流量:指自主机外发起的访问主机内应用的请求,例如部署了Web服务器的主机接收外部请求的流量。 l 出站流量:指主机内应用发起的访问外部网络的请求。 |
|
协议 |
包含: l Any:指的是所有协议 l ICMP l TCP l UDP l TCP+UDP |
|
端口 |
端口号 |
|
进程 |
正在终端上运行的触发防火墙规则的可执行程序或服务 |
|
规则名称 |
防火墙规则名称 |
转到“日志管理 > 病毒防护日志 > 黑名单日志”,黑名单日志界面默认展示最近7天内的黑名单日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-16 黑名单日志
黑名单日志界面展示所有客户端上传的黑名单日志列表,可以单击
,勾选需要展示的信息。日志包含的信息如下表。
表12-5 黑名单日志描述
|
项 |
描述 |
|
时间 |
发生检测的时间 |
|
黑名单名称 |
黑名单名称 |
|
威胁信息 |
管理员下发的威胁样本的SHA1值 |
|
类型 |
目前指的是SHA1 |
|
客户端名称 |
终端的名称 |
|
IP地址 |
终端的IP地址 |
|
威胁详情 |
终端检测到可疑文件的路径 |
|
风险等级 |
包括:高危、中危和低危 |
|
处理措施 |
包括:隔离、阻止和记录 |
转到“日志管理 > 病毒防护日志 > 扫描日志”,扫描日志界面默认展示最近7天内的扫描日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-17 扫描日志
扫描日志界面展示所有客户端上传的扫描日志列表,可以单击
,勾选需要展示的信息。日志包含的信息如下表。
表12-6 扫描日志描述
|
项 |
描述 |
|
开始时间 |
开始扫描的时间 |
|
结束时间 |
结束扫描的时间 |
|
客户端名称 |
扫描的客户端的名称 |
|
IP地址 |
扫描的客户端的IP地址 |
|
MAC地址 |
扫描的客户端的MAC地址 |
|
登录用户 |
登录客户端的用户 |
|
扫描类型 |
包括: l 手动扫描 l 实时扫描 l 预设扫描 l 立即扫描 |
|
已扫描文件数 |
已经扫描的文件数 |
|
发现风险 |
扫描出的风险数量 |
转到“日志管理 > 漏洞防护日志”,漏洞防护日志界面默认展示最近7天内的漏洞防护日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-18 漏洞防护日志
单击
,勾选需要展示的信息,日志包含的信息如下表。
表12-7 漏洞防护日志描述
|
项 |
描述 |
|
时间 |
任务失败的时间 |
|
补丁名称 |
补丁名称 |
|
KB号 |
KB号 |
|
严重等级 |
包括: l 高危 l 中危 l 低危 |
|
操作 |
包括: l 修复 l 卸载 l 扫描 |
|
结果 |
任务执行结果,仅记录失败的任务 |
|
失败原因 |
任务失败的原因 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
MAC地址 |
客户端的MAC地址 |
单击<导出>,可以将选中的漏洞防护日志导出。
单击<刷新>,可以刷新展示的漏洞防护日志信息。
转到“日志管理 > 弱口令检测日志”,弱口令检测日志界面默认展示最近7天内的弱口令检测日志列表,可以根据界面中的搜索过滤框筛选所需要的日志信息,如下图所示。
图12-19 弱口令检测日志
表12-8 弱口令检测日志描述
|
项 |
描述 |
|
时间 |
弱口令检测的时间 |
|
客户端名称 |
客户端的名称 |
|
IP地址 |
客户端的IP地址 |
|
操作系统 |
客户端的操作系统 |
|
弱口令账号 |
单击弱口令账号下面的数字,将显示检测到的弱口令账号。 |
单击<导出>,可以将选中的弱口令检测日志导出。
单击<刷新>,可以刷新展示的弱口令检测日志信息。
“通用设置”包含的内容如下:
· 账户管理
· 产品授权
· 告警上传
· 程序升级
· 邮件配置
· 代理配置
· 系统日志
· 日志维护
· 报告定制
· 调试
· 关于
|
账户类别 |
描述 |
|
超级管理员 |
系统缺省,用户名:admin、密码:admin。 |
|
安全管理员 |
由超级管理员创建。 |
|
系统管理员 |
由超级管理员或安全管理员创建。 |
|
审计管理员 |
由超级管理员或安全管理员创建。 |
|
普通用户 |
由超级管理员或安全管理员创建。 |
|
操作界面 |
超级管理员 |
安全管理员 |
系统管理员 |
审计管理员 |
普通用户 |
|
控制台 |
√ |
√ |
√ |
√ |
√ |
|
客户端 |
√ |
√ |
√ |
× |
× |
|
更新 |
√ |
√ |
√ |
× |
× |
|
策略 |
√ |
√ |
√ |
× |
× |
|
运维管控 |
√ |
√ |
√ |
× |
× |
|
病毒防护 |
√ |
√ |
√ |
√ |
√ |
|
漏洞防护 |
√ |
√ |
√ |
× |
× |
|
检测响应 |
√ |
√ |
√ |
仪表盘权限 |
仪表盘权限 |
|
资产管理 |
√ |
√ |
√ |
× |
× |
|
日志管理 |
√ |
√ |
× |
√ |
× |
|
通用设置 |
l 账户管理权限: 修改的密码; 新增和删除其他账户(包括安全管理员、系统管理员、审计管理员和普通用户); 修改其他账户的密码(包括安全管理员、系统管理员、审计管理员和普通用户)。 l 其他所有权限 |
l 账户管理权限: 修改本账户的密码; 不可以删除该账户,可以由超级管理员删除; 新增、删除其他账户(包括系统管理员、审计管理员和普通用户); 修改其他账户的密码(包括系统管理员、审计管理员和普通用户) l 其他所有权限 |
l 账户管理权限:修改本账户的密码 l 其他所有权限 |
l 账户管理权限:修改本账户的密码 l 系统日志权限 l 日志维护权限 l 关于权限 |
l 账户管理权限:修改本账户的密码 l 关于权限 |
只有超级管理员和安全管理员才有权限新增账户,其他账户只有编辑本账户的权限。
(1) 转到“通用设置 > 账户管理”。
(2) 单击<新增>。
图13-1 新建账户
(3) 输入账户名称。
(4) 选择账户角色:
· 安全管理员
· 系统管理员
· 审计管理员
· 普通用户
(5) (可选)输入描述信息。
(6) 输入设置密码,并输入确认密码。
(7) 单击<确认>,完成账户的创建。
只有超级管理员和安全管理员才有权限修改其他类型的账户密码,其他类型的账户只有修改本账户密码的权限。
(1) 转到“通用设置 > 账户管理”。
(2) 选中需要修改密码的账户并单击<修改密码>。
· 修改本账户密码:输入旧密码,再输入新密码,并输入确认密码。如果当前密码正确,密码才能修改成功。
图13-2 修改本账户密码
· 修改其他账户密码:输入新密码,并输入确认密码。
图13-3 修改其他账户密码
(3) 单击<确认>。
超级管理员为系统内置,只能被编辑,不能被删除。
(1) 转到“通用设置 > 账户管理”。
(2) 选中需要删除的账户并单击<删除>。
(3) 在弹出窗口单击<确认>,完成删除。
转到“通用设置 > 账户管理”,单击右上角的
,进入“账户安全设置”界面,可以设置账户的密码策略和账户锁定策略。
图13-4 账户安全设置
(1) 转到“通用设置 > 产品授权”。
(2) 单击<导入授权文件>。
(3) 授权文件导入成功后,授权状态显示为已授权。
图13-5 产品授权
表13-3 授权信息描述
|
项 |
描述 |
|
授权状态 |
· 包括: l 未授权 在“控制台”界面会提示某功能模块未授权,需要获取授权文件进行激活。 l 已授权 l 即将过期:授权码过期前一个月 l 宽限期 l 已过期 |
|
类型 |
· 包括: l 试用版 l 正式版 |
|
授权总数 |
授权的终端数量 |
|
已使用授权 |
已使用的授权数量 |
|
未授权客户端 |
未使用授权的客户端的数量 |
|
过期时间 |
授权使用到期时间 |
单击<授权详情>,可以查看历史导入的授权文件详细信息。
图13-6 授权详情
连接到系统日志服务器后,可以将服务器上生成的IOA告警、IOC告警、防病毒日志、黑名单日志和防火墙日志上传至系统日志服务器并供其使用,系统日志服务器提取相关告警信息中的关键字段,可以从多种维度展示产品状况。
(1) 转到“通用设置 > 告警上传”。
图13-7 告警上传
(2) 勾选“将告警上传到系统日志服务器”。
(3) 输入服务器地址和端口。
(4) 选择与系统日志服务器通信的协议。
· UDP
· TCP
· SSL
(5) 选择上传告警类型。
告警类型包括IOA告警、IOC告警、防病毒日志、黑名单日志和防火墙日志。可以选择上传其中一种,也可以选择多种告警类型上传。
告警日志格式为通用事件格式CEF。
(6) 单击<测试连接>。
(7) 测试连接成功后,单击<保存>。
(1) 转到“通用设置 > 程序升级”,单击“服务端补丁升级”标签页。
图13-8 服务端升级
(2) 单击<上传补丁包>。
图13-9 上传服务端升级包
(3) 单击<选择文件并上传>。
(4) 单击<立即升级>,完成服务端补丁程序的升级。
(5) 转到“通用设置 > 关于”,查看当前服务器版本是否与升级包版本一致。
(1) 转到“通用设置 > 程序升级”,单击“客户端程序升级”标签页。
(2) 单击<上传升级包>。
图13-10 上传客户端升级包
(3) 单击<选择文件并上传>。
(4) 上传成功后,单击关闭。
客户端程序升级包上传成功后,转到“客户端 > 客户端管理”界面,选中需要升级的客户端,单击“更多操作 > 升级客户端”,由服务端向客户端下发升级的任务。
一段时间后,刷新界面,转到“客户端 > 客户端管理”,查看客户端程序与升级包版本是否一致。
(1) 转到“通用设置 > 程序升级”,单击“基于浏览器的安装脚本升级”标签页。
图13-11 基于浏览器的安装脚本升级
(2) 单击<上传升级包>,其中升级包为web_install.tar.gz。
图13-12 上传升级包
(3) 单击<选择文件并上传>。上传成功后,单击关闭。
此时,请转到“客户端 > 客户端安装 > 基于浏览器形式部署”,进行客户端的部署。
为便于管理服务端的告警通知信息,可以进行发件人、收件人和告警通知的配置,以通过发件人将告警通知信息发送给收件人。
(1) 转到“通用设置 > 邮件配置”。
图13-13 配置发件服务器
(2) 将邮件配置滑动按钮设置为
,开启邮件配置。
(3) 单击“发件服务器配置”页签。
(4) 配置SMTP服务器名和端口。
(5) 配置发件人邮箱。
(6) 配置登录SMTP服务器的用户名和密码,或者将该服务器设为中继服务器。
· 在文本框输入SMTP用户名和密码
· 勾选中继,使用中继服务器发送邮件
可以通过单击<测试连接>以测试连通性。
(7) 单击<保存>,完成设置。
(1) 转到“通用设置 > 邮件配置”。
(2) 将邮件配置滑动按钮设置为
,开启邮件配置。
(3) 单击“告警通知”页签。
图13-14 配置告警通知
(4) (可选)勾选“防病毒告警通知”。
当系统检测到病毒/恶意软件,但处置措施未成功时,才会发送防病毒告警邮件通知。
a) 配置邮件主题。
用户可以根据需要,进行邮件主题的更改。
b) 配置消息,即邮件的内容。
单击
,用户可以根据显示的内容对消息进行更改。需要注意的是,在更改的时候,变量标记必须与对应的描述信息绑定。例如病毒/恶意软件名称是和%v绑定的,客户端名称是和%s绑定的。
(5) (可选)勾选“检测响应告警通知”。
当检测到IOA及IOC时,将会发出告警通知。
输入收件人,如果勾选了防病毒告警通知,收件人也可以与防病毒告警通知的收件人保持一致。
(6) (可选)勾选“系统通知”。
系统各模块授权即将到期(30天以内)以及已过期,将会发出告警通知。
系统磁盘超过90%或数据磁盘超过上限都会发告警邮件。
输入收件人,如果勾选了“防病毒告警通知”,收件人也可以与防病毒告警通知的收件人保持一致。
(7) 单击<保存>。
在终端安全管理系统服务端不能联网的情况下,使用代理服务器可以下载文件防病毒引擎和文件防病毒特征库。
(1) 转到“通用设置 > 代理配置”。
图13-15 配置代理服务器
(2) 勾选“使用HTTP代理服务器下载文件防病毒引擎和文件防病毒特征库”,输入服务器地址和端口。
(3) (可选)勾选“代理服务器认证”,输入用户名和密码。
(4) 单击<测试连接>,确认代理服务器与终端安全管理系统的连通性。
(5) 单击<保存>。
转到“通用设置 > 系统日志”,系统日志界面默认展示最近7天内的系统日志列表。支持搜索功能,在时间过滤框中输入要展示的时间,在查询事件文本框中输入事件名称,筛选所需要的系统日志信息。
图13-16 查看系统日志
系统日志界面能够查看对服务端的各种操作日志,包括登录系统的用户账户、登录时间、登录IP地址、事件和结果。
单击<导出>,可以将选中的系统日志导出,导出的文件为.csv 格式。
单击<刷新>,可以刷新展示的系统日志信息。
转到“通用设置 > 日志维护”,日志维护界面展示磁盘使用概况、日志存储设置和清除日志。
图13-17 日志维护
对于日志存储设置,可以按时间、按文件大小和按数据磁盘容量进行设置,如果超过以下任一限定条件,日志将无法存储。
· 按时间设置:日志可以设置最多保留的时间。最多保留的时间为7天、30天、90天、半年、一年和所有时间。未保留的日志将全部删除,并且不可以恢复。
· 按文件大小设置:设置日志文件的存储上限。
· 按数据磁盘容量:设置数据磁盘的最大使用率。
如果需要清除日志,请选择需要清除的日志类型和需清除的时间段。日志清除后将无法恢复,请谨慎操作。
默认情况下,从终端安全管理系统服务端上获取的IOC检测报告印有H3C SecCenter终端安全管理系统徽标和水印。通过该界面设置,您可以将报告上的徽标和水印设置为您所在公司的徽标和水印。
(1) 转到“通用设置 > 报告定制”。
图13-18 定制徽标和水印
(2) 在定制徽标和水印区上传图片,并单击<设为当前>。
单击<重新上传>,重新选择上传图片。
系统的调试包括服务端和客户端的调试。该功能用于服务器、客户端出现故障时,收集日志以提供给技术支持人员进行调试。
有以下两种模式:
· 普通模式(默认模式)
· 调试模式
普通模式和调试模式生成的日志粒度不同,如需收集详细的日志信息,请选择调试模式并等待一段时间,再点击收集日志。
调试模式下比普通模式多一个调试信息,该调试信息包括Debug级别的日志打印。致命错误代表的日志级别为Error,重要信息、一般错误代表的日志级别为Info。
(1) 转到“通用设置 > 调试”。
(2) 单击“服务端调试”标签页,请根据需要选择普通模式还是调试模式。
(3) 单击<收集日志>。
图13-19 普通模式
图13-20 调试模式
系统将下发收集日志的命令,并将收集到的日志生成压缩包,单击下载即可下载压缩包。
(1) 转到“通用设置 > 调试”。
(2) 单击“客户端调试”标签页。
图13-21 调试客户端
(3) 选择需要收集日志的客户端。
可以输入客户端设备ID或IP,也可以单击
。
客户端设备ID即为“客户端管理”界面显示的设备ID。
图13-22 选择客户端
(4) 请根据需要选择普通模式还是调试模式。
(5) 单击<收集日志>。
图13-23 普通模式
图13-24 调试模式
系统将下发收集日志的命令,并将收集到的日志生成压缩包,单击下载即可下载压缩包。
转到“通用设置 > 关于”,界面将显示系统名称和服务器版本等。
图13-25 关于
客户端安装成功后,在桌面任务栏中出现客户端托盘图标
。
鼠标左键单击客户端托盘图标,显示客户端主控制台界面,如下图所示。
图14-1 客户端主控制台界面
只有Windows 7、8.1、10、11的客户端支持漏洞防护。另外,如果在服务端未授权漏洞防护,漏洞防护也不显示在客户端主控制台界面上。
客户端控制台界面右上角会出现如下两种情况:
· 
:代表客户端已经连接到服务端,如果需要更换连接的服务端,可以单击
,输入服务端的IP地址和端口号,重新进行注册。
· 
:代表客户端未连接到任何服务端,单击
,输入服务端的IP地址和端口号,将客户端注册到服务端。
鼠标右键单击客户端托盘图标,弹出用户经常执行的任务的快捷方式。
|
快捷方式 |
描述 |
|
客户端注册(已注册)/客户端注册(未注册)
只有Windows客户端支持该快捷方式。 |
客户端的注册情况 |
|
打开客户端控制台 |
进入客户端主控制台 |
|
自定义扫描 |
进行自定义扫描 |
|
客户端组件版本信息 |
查看客户端组件、版本以及更新时间等 |
|
立即更新 |
立即更新客户端组件 |
|
退出防病毒客户端 |
关闭终端安全管理系统客户端 |
单击<病毒防护>,显示病毒防护界面。
图14-2 病毒防护
· 单击病毒/恶意软件、勒索恶意软件、挖矿恶意软件后面的数字,可以跳转到“病毒日志”界面。
· 单击文件防病毒特征库后面的版本号可以查看组件版本,单击
可以更新组件。
· 界面还提供了病毒查杀(快速扫描、全盘扫描和自定义扫描)、系统设置、日志查看和隔离恢复功能。
运行手动扫描包括快速扫描、全盘扫描和自定义扫描。
图14-3 手动扫描
· 快速扫描指的是扫描终端的区域,这些区域通常是安全风险的目标。对于Linux系统,区域为当前登录用户home目录;对于Windows系统,区域为当前登录用户主目录。
· 全盘扫描指的是扫描所有文件,加密和密码保护的文件除外。
· 自定义扫描指的是扫描您选择的文件夹,对怀疑被感染的文件夹运行自定义扫描。
在扫描过程中可以暂停或者取消扫描。扫描完成后,将会显示扫描的结果。
以快速扫描为例,扫描结果如下图所示。单击<查看所有>,可以查看病毒详情。
图14-4 扫描结果
如果客户端未授予扫描配置权限,用户将无权限进行系统设置。扫描配置权限的设置请参考服务端的设置。
客户端授予扫描配置权限后,用户可以进行系统设置。系统设置包括扫描规则的设置,扫描规则包括:
· 通用设置
· 手动扫描
· 实时扫描
· 预设扫描
· 扫描例外
(1) Windows客户端:转到“系统设置 > 通用设置”。
Linux客户端:转到“系统设置 > 通用扫描设置”。
图14-5 Windows系统客户端通用设置
图14-6 Linux系统客户端通用扫描设置
(2) 配置以下内容:
· 扫描方法:分为传统扫描和云安全扫描。在扫描安全风险时,客户端可以使用两种扫描方法中的任意一种,默认为传统扫描。
Windows系统客户端只支持传统扫描。
· 大文件扫描设置:设置扫描文件大小,过大的文件不扫描。
· 压缩文件扫描设置:设置压缩包条件,层数多的和过大的文件不扫描。
· 机器学习扫描引擎:开启机器学习扫描引擎,可以增加未知威胁的防御能力。
Windows系统客户端不支持扫机器学习。
· 处理措施:指定特定扫描类型检测到安全风险时,终端安全管理系统执行的处理措施。
处理措施如下表所示。
表14-1 处理措施
|
处理措施 |
描述 |
|
隔离 |
将客户端上受感染的文件移动到客户端终端上的隔离目录。 |
|
清除 |
会先清除受感染文件,然后才允许对文件进行完全访问。 如果文件无法清除,会执行第二项处理措施,它可以是以下处理措施之一:隔离、删除和不予处理。 |
|
不予处理 |
对受感染的文件不执行任何操作。 |
|
删除 |
删除受感染文件。 |
¡ 使用厂家推荐措施
默认使用厂家推荐措施,措施为隔离。
¡ 对所有病毒/恶意软件类型使用相同的处理措施
如果希望对除可能的病毒/恶意软件之外的所有类型的病毒/恶意软件执行相同的处理措施,请选择此选项。如果选择“清除”作为第一项处理措施,请选择在清除不成功时终端安全管理系统执行的第二项处理措施。如果第一项处理措施不是“清除”,则第二项处理措施不可配置。
如果选择“清除”作为第一项处理措施,则终端安全管理系统在检测到可能的病毒/恶意软件时会执行第二项处理措施。
¡ 对每种病毒/恶意软件类型使用特定的处理措施
手动选择每种病毒/恶意软件类型的扫描处理措施。
对于可能的病毒/恶意软件以外的所有病毒/恶意软件类型,所有扫描处理措施均可用。如果选择“清除”作为第一项处理措施,请选择在清除不成功时终端安全管理系统执行的第二项处理措施。如果第一项处理措施不是“清除”,则第二项处理措施不可配置。
对于可能的病毒/恶意软件,“清除”以外的所有扫描处理措施均可用。
¡ 清除之前的备份文件
如果终端安全管理系统设置为清除受感染文件,则它可以首先备份该文件。备份文件后,如果将来需要该文件,就可以恢复它。
(3) 单击<保存>。
(1) 转到“系统设置 > 手动扫描”。
图14-7 Windows系统客户端手动扫描
图14-8 Linux系统客户端手动扫描
(2) 配置以下内容:
· 要扫描的文件:从以下选项中选择。
¡ 所有可扫描的文件:扫描所有文件
¡ 智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
¡ 仅扫描可执行文件及文档文件
¡ 带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
· CPU使用率
Windows系统客户端不支持CPU使用率。
在扫描一个文件后和扫描下一个文件前,终端安全管理系统客户端可以暂停。
从以下选项中选择:
¡ 高:不间断连续扫描文件
¡ 中:如果CPU消耗高于 50%,则在文件扫描时暂停,如果等于或低于50%,则不暂停
¡ 低:如果CPU消耗高于 20%,则在文件扫描时暂停,如果等于或低于20%,则不暂停
如果选择“中”或“低”,则启动扫描并CPU使用率在阈值(50%或20%)范围内时,终端安全管理系统在扫描之间将不暂停,从而缩短了扫描时间。终端安全管理系统在处理中会使用更多的CPU资源,但是由于CPU占用率是最佳的,因此终端性能不会受到严重影响。当CPU使用率开始超过阈值时,终端安全管理系统将暂停以降低CPU使用率,当使用率再次处于阈值范围内时会继续进行扫描。
如果选择“高”,则终端安全管理系统不检查实际的CPU占用率,会一直扫描文件而不暂停。
(3) 单击<保存>。
(1) 转到“系统设置 > 实时扫描”。
图14-9 Windows系统客户端实时扫描
图14-10 Linux系统客户端实时扫描
(2) 配置以下内容:
· 启用实时扫描
· 插入可移动存储设备后扫描其中的所有文件:在每次用户插入USB存储设备时自动扫描该存储设备上的所有文件
Windows系统客户端不支持插入可移动存储设备后扫描其中的所有文件。
· 要扫描的文件:从以下选项中选择。
所有可扫描的文件:扫描所有文件
智能扫描:扫描引擎根据文件的类型来确定扫描哪些文件
仅扫描可执行文件及文档文件
带下列扩展名的文件:仅扫描其扩展名包括在文件扩展名列表中的文件
(3) 单击<保存>。
(1) 转到“系统设置 > 扫描例外”。
图14-11 Windows系统客户端扫描例外
图14-12 Linux系统客户端扫描例外
(2) 配置以下内容:
· 启用扫描例外
· 扫描例外列表(目录)
终端安全管理系统不扫描在计算机特定目录下找到的所有文件。从扫描中排除某个目录时,终端安全管理系统将自动从扫描中排除该目录的所有子目录。
· 扫描例外列表(文件)
如果一个文件的文件名与此例外列表中包括的任何名称匹配,则终端安全管理系统将不扫描该文件。如果要排除在终端上特定位置找到的文件,请包括文件路径。
· 扫描例外列表(文件扩展名)
如果一个文件的文件扩展名与此例外列表中包括的任何扩展名匹配,则终端安全管理系统将不扫描该文件。
单击<保存>。
客户端记录病毒日志和扫描日志,同时上传给服务端,并可对日志进行查询。
单击<日志查看>,可以查看病毒日志和扫描日志的详细信息。另外,单击<导出日志>或<清除日志>可以将日志导出或清除。
l Windows系统客户端
图14-13 病毒日志
图14-14 扫描日志
l Linux系统客户端
图14-15 病毒查杀日志
图14-16 扫描日志
扫描过程中产生的恶意文件会被放入隔离区,隔离恢复界面中会进行展示,包括受感染文件、病毒名称和被隔离时间。
图14-17 隔离恢复
对隔离区中的文件可以进行恢复到原始位置或删除操作。
· 选中受感染文件,单击<恢复到原始位置>,可以将文件恢复到原始位置。同时也可以选中<恢复同时将文件加入扫描例外>,恢复的同时将文件加入扫描例外。
· 选中受感染文件,单击<删除所选>,将文件进行删除。
只有Windows 7、8.1、10、11的客户端支持漏洞防护。
单击<漏洞防护>,显示如下界面。
图14-18 漏洞防护界面
单击<扫描并修复补丁>,会对终端会进行扫描,扫描的漏洞补丁包括高危、中危、低危。扫描完成后,显示如下:
图14-19 扫描完成
选中需要修复的补丁,单击<立即修复>,将会进行漏洞的修复。单击<后台修复>,将跳转到客户端主控台界面。在修复的过程中,如果需要取消对漏洞的修复,单击<取消修复>。
图14-20 修复漏洞
单击<补丁管理>,展示已修复的补丁详情,包括补丁名称、KB号、严重等级、修复时间。
单击<卸载>,可以卸载对应的补丁。
图14-21 补丁管理
单击客户端主控制台的<安全基线>,可以查看安全基线的核查情况。
图14-22 基线核查
如下基线检查项可以自动修复,其他检查项无法自动修复:
l 密码必须符合复杂性要求
l 密码长度最小值
l 密码最长使用期限
l 密码最短使用期限
l 系统补丁检查
支持
