- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C SecCenter CSAP-ESM终端安全管理系统
Web配置指导
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为了方便网络或设备管理员对新华三技术有限公司(以下简称H3C)的H3C i-Ware Software,Version 3.1,ESS 6901终端安全管理系统进行配置操作及维护,管理员可以通过Web界面直观和便捷地管理和维护该系统。
控制中心在出厂时设置了默认的Web登录信息,用户直接使用该默认信息登录设备的 Web 界面。
默认的 Web 登录信息包括:
· 用户名:“admin”
· 密码:“admin”
· 控制中心安装的IP地址:如“192.168.10.1”
打开浏览器输入“https://192.168.10.1:7443”进入下载客户端及控制中心登录页面,点击<进入控制中心>进入账号登录页面,输入账号密码和验证码,初始账号为admin,密码为admin。
如下图,选择<防病毒>,点击<登录>进入终端安全管理系统防病毒首页;选择<EDR>,点击<登录>进入终端安全管理系统EDR;选择<桌面管理>,点击<登录>进入终端安全管理系统桌面管理首页。
图1-1 登录窗口
图1-2 登录窗口
首次登录后,建议用户修改缺省的登录密码。
卸载客户端时会删除整个安装路径,如默认安装是安装在H3C文件夹下,卸载则将整个H3C文件夹删除,其它软件如也安装在此文件夹下也会被一起删除。建议使用自定义安装。
管理员初次登录的Web UI界面如下图所示,为桌管系统首页,它显示了关键的系统信息和系统统计数据的概要信息。
图2-1 H3C SecCenter CSAP-ESM终端安全管理系统桌面管理介绍
界面由以下部分组成:
· 主菜单和子菜单
系统的功能主要分为以下几个主菜单:
¡ 首页:展示策略及终端的实时运行情况,对违规操作终端数做统计。
¡ 终端管理:展示网络内终端列表,终端分组和终端策略分组情况。
¡ 策略配置:展示已配置策略列表,并可新增/删除/修改/下发策略。
¡ 报表统计:展示终端下发策略后,上报信息列表。
¡ 系统管理:可设置/查看系统授权信息,设置系统升级,设置syslog服务器,以及进行用户管理。
· 首页内容
首页展示策略及终端的实时运行情况,对违规操作终端数做统计,主要展示如下信息:
¡ 全网策略配置状况:实时显示终端安装台数、终端在线台数、终端未执行策略台数、策略违规台数;
¡ 策略未执行统计情况:展示当天全网终端的重点策略执行情况;策略包括:用户口令未合规数、未安装杀毒软件数、违规外联数;
¡ 违规趋势:以折线图形式展示当月全网终端的策略违规趋势;策略包括:合规安全基线、未安装杀毒软件、违规外联、终端运维、特定软件安装、黑白名单进程、系统启动项、系统共享资源、IE主页项、guest来宾账户启用情况、远程桌面启用情况;
¡ 实时动态:实时展示策略名称、策略检查时间、检查终端IP、检查终端名称;
¡ 违规终端排名:以日、周、月为单位显示全网终端违规排名;包括:终端名称、IP地址、违规数;
¡ 操作日志:记录用户操作行为;包括:用户登录、策略添加、策略下发、策略修改。
· 工具图标
在Web UI的右上角,可找到下列常用工具:
¡ 切换子系统:控制中心右上侧进行切换子系统:桌面管理/EDR/防病毒。
¡ 注销:单击控制中心页面右上角的用户名称,在弹出菜单中选择<注销>按钮,即可退出控制中心。
¡ 锁定:单击控制中心页面右上角的用户名称,在弹出菜单中选择<锁定>按钮,即可锁定控制中心,需重新输入用户密码登录。
网络内各计算机安装桌管客户端后,桌面管理系统可快速获得各计算机资源的基本信息。终端管理显示客户端列表,用户可查看客户端名称、主机状态、IP地址、MAC地址、策略名称、系统版本、软件版本、系统类型等。
客户端列表显示的客户端信息:客户端名称、IP地址、MAC地址、策略名称、系统版本、系统类型,见下图:
图2-2 终端列表
点击客户端名称,弹出窗口显示主机状态,显示的客户端信息:CPU利用率、内存利用率、网络流量、服务信息(包括服务名称、PID、状态、从属组别),见下图:
图2-3 终端主机状态
图2-4 服务信息
为便于用户快速查找终端,可采用两种方式查找终端:
方式一:根据客户端名称查询客户端。搜索框内输入名称,点击查询,可查询到指定终端。如下图:
图2-5 终端查询
方式二:高级查询。点击【高级查询】,弹出对话框,可输入:名称、IP地址、mac地址、系统版本、系统类型、策略名称进行查询。如下图:
图2-6 终端高级查询
查询条件支持从起始字段匹配,如客户端名称中输入WIN,则查询结果是所有以WIN开头的客户端;
查询条件不区分大小写。
网络中终端数量较少时,管理员可对单个或多个终端设置策略。
· 单个终端配置策略:
¡ 方式一:点击该终端右侧的【更改策略】,切换为选择策略页面,然后选择一个策略,点击“确认”按钮,配置完成;
¡ 方式二:勾选一台终端,点击【终端策略配置】,切换为选择策略页面,然后选择一个策略,点击“确认”按钮,配置完成;
· 多个终端配置同一条策略:
¡ 勾选多个终端,点击【终端策略配置】,切换为选择策略页面,然后选择一个策略,点击“确认”按钮,配置完成。
网络中存在大量终端时,为便于管理,管理员可对终端设置不同分组,根据组设置策略,组内终端服从同一个策略。
· 创建组:在组织结构栏创建、删除、重命名分组操作说明如下:
·
新建组:单击组织结构栏图标
,可新建组;
·
删除组:单击组织结构栏图标
,可删除组;
·
重命名组:单击组织结构栏图标
,可重命名组。
· 终端分组:选中终端,点击【修改分组】,可设置该终端所在组。
· 按组设置策略:选中组,点击【组策略配置】,选择要配置的策略名称点击“确认”按钮,配置完成。
图2-7 终端分组操作
图2-8 终端设置策略
终端安装桌管组件后,默认分组为根节点。
策略配置模块显示目前系统中已有的策略列表。
用户可在策略配置模块新建、删除、修改策略,以及查找指定策略。
为便于用户快速查找系统已配置的策略,用户可根据策略名称、策略创建时间区间、策略创建者、策略修改者查找策略。
图2-9 策略查询
· 新增策略:点击【新增策略】,切换为策略设置页面,管理员可根据需要设置策略项,点击【保存策略】,则新增策略。
图2-10 新增策略
图2-11 保存策略
· 修改/删除策略:选中某策略后点击【修改】/【删除】,可修改/删除该策略。
图2-12 修改/删除策略
图2.2.10
系统设置了缺省策略Default,管理员可以修改其策略项设置,但不能删除此策略。终端第一次安装后默认设置为缺省策略。
· 密码复杂性设置:
¡ 禁用:不检查密码复杂度,不检查是否设置密码;默认状态为禁用。
¡ 启用:检查密码复杂度。
· 口令长度设置:
¡ 可设置为0~14个字符,默认为0字符。
· 密码期限设置:
¡ 最短使用可为0天。
¡ 最长使用可设置为999天。
图2-13 用户口令
该策略下发后将自动设置终端的本地计算机策略,各项说明详见windows操作系统说明。如下图:
图2-14 系统启动项进程
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
· 设置:点击设置,可打开[系统启动项设置]页面,可设置进程名称和相对路径,以及状态。如下图:
图2-15 系统启动项设置
进程名称和相对路径支持通配符*;
进程名称和相对路径应与注册表中路径:
计算机\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下的名称和路径一致;
状态设置为禁止,下发策略成功后,若该启动项存在则上报不合格;若该启动项不存在,则上报合格;若强制矫正为启用状态,则将删除禁止的启动项;
状态设置为允许,下发策略成功后,若该启动项存在则上报合格;若该启动项不存在则上报不合格;即使强制矫正为启用状态,也不会强制矫正。
图2-16 IE主页修改项
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
· 设置:点击设置,可打开[IE主页修改项设置]页面,可设置URL以及是否允许。如下图:
图2-17 IE主页修改项设置
是否允许设为禁止,下发策略成功后,若该主页存在则上报不合格;若该主页不存在,且没有允许的状态,则删除该禁止的主页,显示空白页;
是否允许设为允许,下发策略成功后,若该主页存在则上报合格,若不存在则上报不合格,强制矫正为启用状态,则矫正该主页为设置允许的主页url。
图2-18 特定软件安装
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:不可设置。目前无法强制矫正特定软件安装。
· 设置:点击设置,可打开[特定软件安装设置]页面,可设置软件名称和相对路径。如下图:
图2-19 特定软件安装设置
软件名称和相对路径支持通配符*;
软件名称与系统卸载程序列表中的名称一致;
下发策略成功后,若设置的特定软件存在则上报合格,若任一软件不存在则上报不合格。
图2-20 系统运行进程
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
· 设置:点击设置,可打开[系统运行设置]-【进程】页面,可设置进程名称和相对路径。如下图:
图2-21 系统运行设置-进程
图2-22 系统运行设置-服务
· 设置:点击设置,可打开[系统运行设置]-【服务】页面,可设置服务名称。如下图:
进程名称和相对路径支持通配符*;
进程名称即系统的任务管理器的详细信息页进程的名称;
相对路径即该进程执行文件的安装路径;
服务名称即系统服务名称(进入services.msc可在服务属性中查看服务名称)而不是服务显示名称,
服务设置强制矫正,无法停止的服务无法矫正
状态设置为禁止,下发策略成功后,若该进程项存在则上报不合格;若该进程项不存在,则上报合格;若强制矫正为启用状态,则系统将停止该进程;
状态设置为允许,下发策略成功后,若该进程项存在则上报合格;若该进程项不存在则上报不合格。即使强制矫正为启用状态,也不会强制矫正。
图2-23 杀毒软件安装
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:不可设置。目前无法强制矫正杀毒软件安装。
· 设置:点击设置,可打开[杀毒软件安装设置]页面,可设置软件名称和相对路径。如下图:
图2-24 杀毒软件安装设置
软件名称和相对路径支持通配符*;
软件名称为程序卸载列表中的名称;
下发策略成功后,若设置的任一杀毒软件存在则上报合格,若所有杀毒软件都不存在则上报不合格。
图2-25 系统共享资源
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
共享资源指共享文件夹、共享磁盘、共享打印机等;
下发策略成功后,若系统存在共享资源则上报不合格,若不存在共享资源上报合格;若强制矫正为启用状态,则将停止系统共享资源。
图2-26 远程桌面启用
· 是否检查:默认为禁用状态,用户可点选设为启用状态。
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
下发策略成功后,若系统远程桌面开启则上报不合格,若远程桌面关闭上报合格;若强制矫正为启用状态,则将关闭远程桌面。
图2-27 Guest来宾账户启用
· 强制矫正:默认为禁用状态,用户可点选设为启用状态。
下发策略成功后,若系统guest账户开启则上报不合格,若guest账户关闭上报合格;若强制矫正为启用状态,则将关闭guest账户。
图2-28 网页访问设置
· 网页访问审计:默认为禁用状态,用户可点选设为启用状态。
· 添加关键字:可添加多个关键字
· 执行动作:包括警告和禁止
目前只支持HTTP网站,不支持HTTPS网站
目前不支持脚本动态加载的关键字,只支持页面本身关键字。
图2-29 网页访问黑白名单
· 网页访问黑白名单:默认为禁用状态,用户可点选设为启用状态。
· 启用白名单/启用黑名单:默认为禁用状态,用户可点选设为启用白名单或启用黑名单。
启用白名单即指定可以访问的网址;
启用黑名单即指定不可以访问的网址;
下发策略成功后,若启用白名单,则用户只可以访问白名单列表的网址,访问其它网址则上报;若启用黑名单,则用户不可以访问黑名单列表的网址,访问黑名单网址则上报。
黑白名单不支持https网址。
图2-30 邮件发送设置
· 邮件发送审计:默认为禁用状态,用户可点选设为启用状态。
· 特定关键字设置:可添加多个关键字。
目前仅审查邮件主题中包含关键字的邮件;
目前仅支持SMTP协议不带SSL加密的邮箱,如163邮箱;
目前仅支持使用邮件客户端如foxmail发送的邮件审查;使用网页和使用outlook发送的邮件不进行审查;
下发策略成功后,用户发送包含关键字的邮件则发送不成功,发送不成功提示如下图:
图2-31 邮件发送黑白名单
· 邮件发送黑白名单:默认为禁用状态,用户可点选设为启用状态。
· 启用白名单/启用黑名单:默认为禁用状态,用户可点选设为启用白名单或启用黑名单。
启用白名单即指定可以发送邮件的目标邮箱和本地邮箱;
启用黑名单即指定不可以发送邮件的目标邮箱和本地邮箱;
目前仅支持SMTP协议不带SSL加密的邮箱,如163邮箱;
目前仅支持使用邮件客户端如foxmail发送的邮件审查;使用网页和使用outlook发送的邮件不进行审查;
下发策略成功后,若启用白名单,则用户只可以使用白名单列表的邮箱,使用其它邮箱则上报;若启用黑名单,则用户不可以使用黑名单列表的邮箱,使用黑名单邮箱则上报。
图2-32 文件操作设置
· 文件操作行为审计:默认为禁用状态,用户可点选设为启用状态。
· 特定关键字设置:
¡ 特定目录:指定目录;
¡ 后缀名称:后缀名称为*.XXX,如*.doc;
· 文件操作行为:可设置为审计或保护。
文件操作行为设置为审计,则将上报包括文件创建、打印、读写、复制、改名、删除、移动等行为;
文件操作行为设置为保护,则将禁止删除和修改指定文件,并上报对文件操作行为。
图2-33 共享文件设置
· 共享文件操作审计:默认为禁用状态,用户可点选设为启用状态。
下发策略成功后,将上报共享目录的文件审计行为(包括新建文件、复制文件、修改文件、删除文件等操作)。
图2-34 打印行为审计
· 打印行为审计:默认为禁用状态,用户可点选设为启用状态。
说明:
下发策略成功后,将上报终端的打印行为,上报打印文件路径。
图2-35 聊天记录设置
· 聊天记录审计:默认为禁用状态,用户可点选设为启用状态。
· 社交软件通信记录审计:目前仅支持wechat.exe和QQ.exe。
说明:
下发策略成功后,将上报微信和QQ的登录和登出信息。
图2-36 终端运行
端口控制审计:默认为禁用状态,用户可点选设为启用状态。
· 本地端口:通过本地端口发往远程端口的TCP和UDP协议都进行拦截(如:21端口发往任意远程端口的TCP和UDP协议进行拦截并上报)
· 远程端口:通过远程端口发往本地端口的TCP和UDP协议都进行拦截(如:任意本地端口发往21端口的TCP和UDP协议进行拦截并上报)
· 协议类型:支持TCP和UDP协议(ALL表示所有)
说明:
下发策略成功后,将上报本地端口和远程端口的通讯信息。
端口如果不填写表示所有端口
图2-37 流量监控
· 流量监控审计:默认为禁用状态,用户可点选设为启用状态。
· 网络速度大于多少兆执行告警或者断网操作。
· 白名单进程:设置白名单进程不受网络速度限制
· 绝对路径:进程不支持通配符,必须为进程的绝对路径
下发策略成功后,若限制动作为警告,则流量异常时上报信息;若限制动作为断网,则流量异常时断网。
图2-38 日志采集策略
· 日志采集策略:默认为禁用状态,用户可点选设为启用状态。
¡ 网络断开信息:上报网络断开和连接日志;
¡ 系统启动信息:上报系统开机关机日志;
¡ 服务变更信息:上报系统服务的运行、停止、新增、启动等状态;
¡ 磁盘格式化信息:格式化系统磁盘即可上报,(安装客户端后必须重启电脑)
¡ 启动项变更信息:上报启动项增加、删除项;
¡ 进程异常崩溃信息:上报进程崩溃信息,如错误应用程序名称、错误模块名称、异常代码、错误程序启动时间、错误程序安装路径等信息;
¡ 定时任务变更信息:上报任务计划程序中添加、修改、删除计划任务日志;
¡ 远程管理策略变更信息:上报系统中远程设置:是否允许远程协助,是否允许远程连接到该计算机;
¡ 系统防火墙状态变更信息:上报系统防火墙设置信息,如启用防火墙、关闭防火墙、防火墙设置变更等;
¡ 账户密码安全策略变更信息:上报系统本地安全策略中密码策略各项的变更信息,如密码复杂性要求是否启用、密码长度最小值、密码最短期限等;
¡ 系统杀毒软件状态变更信息:上报Windows Defender程序的启动扫描、停止扫描、禁用和启用信息等;
¡ Mysql:上报软件日志;
¡ Orcale:上报软件日志;
¡ SQL_Server:上报软件日志;
¡ Mongodb:上报软件日志;
¡ ITomcat:上报软件日志;
¡ Jboss:上报软件日志;
¡ Nginx:上报软件日志;
¡ FTP服务器日志:上报软件日志,目前只支持filezilla Server;
¡ E-mail服务日志:上报软件日志,目前只支持MDaemon、TurboMail;
¡ 用户变更信息:上报创建、注销用户信息;
¡ 用户组变更信息:上报用户组中添加、删除成员;
¡ 本地用户登录信息:上报本地用户登录、注销信息;
¡ 远程用户登录信息:上报远程用户登录、注销信息。
图2-39 移动介质管理
· 禁止连接移动存储设备:默认为禁用状态,用户可点选设为启用状态。
· 移动存储设备操作审计:默认为禁用状态,用户可点选设为启用状态。
若禁止连接移动存储设备为启用,下发策略成功后,则插入移动硬盘后,可显示移动硬盘信息,但不能删除、创建、读取文件;
若移动存储设备操作审计为启用,下发策略成功后,则将上报移动硬盘上文件操作如:创建、读取、写入、删除文件等操作信息;
若禁止连接移动存储设备和移动存储设备操作审计均为启用,下发策略成功后,则不能删除、创建、读取文件,并且会上报用户试图进行的操作。
图2-40 违法外联管理
· 是否启用该策略:默认为禁用状态,用户可点选设为启用状态。
· 允许访问IP范围设置:可设置允许访问的IP范围,可设置多个允许访问的IP范围。
· 违法连接地址列表设置:可设置违法连接地址,可设置多个违法连接地址。
· 浏览器打开上传文件行为监控:默认为禁用状态,用户可点选设为启用状态。用户进行浏览器上传文件时进行上报
· FTP客户端打开上传文件行为监控:默认为禁用状态,用户可点选设为启用状态。用户进行FTP客户端(FileZilla 客户端)上传文件时进行上报。
· 邮件客户端打开上传文件行为监控:默认为禁用状态,用户可点选设为启用状态。用户进行邮件客户端(Foxmail客户端)上传文件时进行上报。
用户可在报表统计模块查看系统内客户端上报的各类信息,目前按照如下类别上报客户端信息:
资产安全检查:用户口令、合规基线;
用户行为审计:网页访问、发送邮件、文件操作、共享审计、打印行为、聊天记录;
终端运维审计:终端端口、流量监控;
日志采集检索:系统类,应用类、用户类;
移动介质监控:禁用或审计移动设备;
违法外联监控:非合规IP段访问、特定非法IP访问,浏览器文件传输、FTP客户端文件传输、邮件及后端文件传输
报表模块显示执行策略后客户端上报的信息。报表模块根据策略类别显示。
· 各策略执行成功后上报信息如下:
¡ 用户口令:客户端名称、IP地址、检查时间、检查结果。如下图:
¡ 检查内容:检查项:复杂度、密码长度、密码使用期限、弱口令;检测启动项:禁止/启动,天数,是否合格
图2-41 用户口令报表
¡ 合规基线:客户端名称、IP地址、检查时间、检查结果。如下图:
¡ 检查内容:允许/禁止启动项;检查项、检测信息
图2-42 合规基线报表
¡ 网页访问:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:访问网址、操作、敏感词
图2-43 网页访问报表
¡ 发送邮件:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:发送邮件地址、接受邮件地址、邮件主题、敏感词、违规寄件人、违规收件人
图2-44 发送邮件报表
¡ 文件操作:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:文件名、动作、操作
图2-45 文件操作报表
¡ 共享审计:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:文件路径、操作
图2-46 共享审计报表
¡ 打印行为:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:打印文件路径
图2-47 打印行为报表
¡ 聊天记录:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:聊天软件名、用户名、操作
图2-48 聊天记录报表
¡ 终端端口:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:本地端口、远程端口、类型
图2-49 终端端口报表
¡ 流量监控:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:应用进程、动作、异常情况
图2-50 流量监控报表
¡ 日志采集检索:客户端名称、IP、时间、类别、来源。如下图:
¡ 检查内容:日志上报的原始数据
图2-51 日志采集检索
¡ 移动介质监控:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:介质名称、插播操作及时间、文件操作
图2-52 移动介质监控报表
¡ 违法外联监控:客户端名称、IP地址、检查时间。如下图:
¡ 检查内容:非合规IP段访问、特定非法IP访问、浏览器文件传输、FTP客户端文件、邮件及后端文件传输
图2-53 违法外联监控报表
为便于用户快速查找各策略的报表信息,用户可根据客户端名称、上报时间区间、IP区间、是否合格等信息查询上报信息。
· 资产安全检查:可根据客户端名称、上报时间区间、IP区间、检查结果查询上报信息。如下图:
图2-54 报表查询方式一
· 用户行为审计、终端运维审计、移动介质监控和违法外联监控:可根据客户端名称、上报时间区间、IP区间查询上报信息。如下图:
图2-55 报表查询方式二
· 日志采集检索:可根据客户端名称、上报时间区间、IP区间,以及日志类型查询上报信息。点击下图中[下拉更多]按钮,可在下拉框中选择日志类别,按类别搜索上报信息。如下图:
图2-56 报表查询方式三
网络管理员可以查看用户的授权信息,查看到购买的授权数以及使用的授权数和授权使用到期时间。
当用户更改了通行证的密码或者进行了扩容等操作,需要用户更换授权文件,点击<浏览授权>按钮,重新导入授权文件。如下图:
图2-57 授权信息
升级模式为由控制中心到升级服务器同步最新的病毒库,然后客户端通过连接控制中心进行病毒库的升级。
所以要使客户端更新到最新的病毒库首先需要给控制中心同步病毒库。
图2-58 软件升级
控制中心同步病毒库有两种方式:
· 在线同步:点击<在线更新>即可使控制中心连接到升级服务器更新病毒库。同步信息进度完成了即在线同步完成。
· 离线更新:点击<上传并更新>到本地目录选择离线包点击<打开>,等待更新信息进度完成即离线更新完成。
在线同步可以通过设置计划任务来实现控制中心的定时自动同步。
如果您需要将控制中心上报的数据发送给第三方Syslog服务器,可以进行Syslog服务器进程配置,点击<Syslog服务器>,开启<SYSLOG开关>,输入服务器IP和端口号,在<SYSLOG类别>中勾选需要上报的数据,点击<应用>即可上报。如下图:
图2-59 Syslog服务器
如果需要上报SYSLOG服务器,则勾选该项。
可通过用户管理功能查看用户信息,超级管理员可以创建/删除/编辑所有用户。
图2-60 用户管理
登录防病毒平台后,即可看到【首页】,如下图:
图3-1 H3C SecCenter CSAP-ESM终端安全管理系统防病毒介绍
· 全网安全状况:包括终端安装数、终端在线数、最新病毒库终端、高危主机
· 移动设备感染情况:显示移动设备如U盘的感染终端数量
· 风险预警:显示终端感染台数,并且百分比展示感染病毒终端个数/安装终端个数
· 威胁趋势:根据日期显示整个控制中心染毒趋势
· 实时动态:实时显示最近7条的终端病毒上报信息
· 终端感染排名:染毒终端排名,可选择按天、周、月显示
· 病毒感染排名:病毒感染排名,可按天、周、月显示
· 操作日志:显示管理员操作记录日志
· 漏洞修复情况:显示漏洞成功修复个数、未修复个数、补丁库版本
· 升级情况:显示控制中心下客户端的未升级情况
· 常用工具:链接到【软件升级】、【报表统计】、【计划任务】页面
终端管理可以显示客户端的名称、IP地址、病毒库日期、软件版本、状态,如下图:
图3-2 终端列表
在此页面可进行如下操作:
在页面左侧可管理组织结构,包括搜索、新建、重命名分组、删除分组:
图3-3 终端分组管理
选中客户端或组可下发远程命令,包括升级、扫描、停止扫描、策略配置、删除、卸载、关机、重启、发送消息、文件下发。选中指定组,可通过工具下发 关机、重启、文件下发等指令;具体见下图:
图3-4 终端远程管理
选中组/单个客户端/多个客户端,选择【策略配置】或点击客户端名称进入策略配置页面,策略配置界面可以看到客户端的基本信息,客户端的病毒防护、计划任务配置及密码保护配置。基本信息包括客户端的硬件信息和软件信息;病毒防护可远程设置监控状态、开关等;计划任务可按小时、天、周、间隔时间设置定时扫描和升级任务;其它页面也设置关闭监控密码、移动存储密码等。
图3-5 基本信息
图3-6 病毒防护-状态监控
图3-7 病毒防护-扫描设置
图3-8 病毒防护-白名单区设置
添加到白名单的文件或文件夹在客户端杀毒软件进行监控和扫描时跳过不进行监控和扫描。
图3-9 病毒防护-计划任务清单
图3-10 终端设置下发计划任务
图3-11 终端设置密码保护
补丁管理页面可以显示客户端名称、IP地址、可安装补丁、已安装补丁、已忽略补丁信息。并可按终端显示、按补丁显示、按高危补丁、按可选补丁分类显示补丁信息。
图3-12 补丁管理
图3-13 补丁库查询
通过补丁库查询可以查询当前控制中心补丁库的补丁信息,可以显示补丁号、危害等级、发布日期、语言、补丁名称、状态。。管理员可以通过“补丁名称”、“语言”和“补丁号”来查询所需要的信息。如下图:
图3-14 下载设置
当需要给网络中的客户端进行系统漏洞补丁的修复时,需要通过系统补丁管理功能进行下载系统漏洞补丁。首先需要勾选下载补丁的语言:简体中文、繁体中文和英文,windows版本和office全版本,并点击【应用】。
图3-15 下载补丁库
下载补丁库页面显示当前补丁库版本、更新状态、更新文件名和更新进度。点击【下载】即可开始漏洞补丁的下载。可以通过进度信息查看下载进度。
图3-16 离线补丁库导入
在无法连接互联网下载系统补丁时,请使用系统补丁离线下载工具,在可以访问互联网的计算机上进行下载,下载完成后,请将下载后的补丁文件复制到控制中心上面
图3-17 下载计划任务
可以添加系统补丁下载的计划任务,设置为定期自动执行系统补丁的下载。下载任务同时可在系统管理-高级设置-计划任务中查询到,同类型、同种终端或分组任务不同时存在,若重复设置,以后者为主。补丁下载任务如下图:
病毒报表页面可以以图表的形式显示基本信息、客户端数量、防病毒终端、检查出的病毒的统计信息、病毒排名等信息。
可查看所有的病毒上报日志,并可以通过时间、计算机名称、IP地址、病毒名称、处理类型、处理结果进行搜索。并可通过导出按钮导出excel表格。处理类型包括扫描、文件监控、邮件监控、网页监控;处理结果包括;处理结果包括发现病毒、清除病毒、删除病毒、删除失败、重启删除等。
图3-18 病毒日志
补丁报表页面可以以图表的形式显示客户端补丁的统计信息
选择【补丁日志】,可查看所有的补丁上报日志,可以通过终端名称、IP地址、补丁号、补丁类型、补丁状态进行查询,可导出excel。
图3-19 补丁日志
命令记录页面可显示控制中心向客户端下发的命令,如扫描、客户端升级、关机。
并显示其管理员、执行者IP、命令去向、接受者IP、命令类型、执行日期。
可根据时间、命令类 型及来源、管理员名称查询。
执行记录页面可显示客户端执行的操作,并显示执行对象、IP地址、执行类型、操作、执行日期。可根据时间、计算机名称、IP地址查询。
操作记录页面可显示控制中心进行的操作,如登录、创建组、更新授权,并显示管理员、操作目标、操作类型、操作日期。可根据时间、类型、管理员查询。
报表删除页面可根据时间或记录数删除命令记录、执行记录、或病毒记录,如下图:
图3-20 报表删除设置
在终端管理页面、补丁管理-按终端显示和按补丁显示页面、报表统计-病毒日志和补丁日志、命令记录、执行记录、操作记录页面用户可以以excel格式导出表格,操作如下:点击<导出>按钮,选择excel,已终端管理为例,终端管理相关导出位置如下图:
图3-21 导出记录
之后在导出记录页面将显示刚才的导出记录,点击<下载>可下载导出的excel表格,如下图:
图3-22 下载导出记录
在资产管理页面可查询客户端的硬件和软件信息,硬件资产查询可通过组名称、客户端名称、硬件信息进行查询;
软件资产查询可通过组名称、客户端名称、IP地址及软件名称进行查询。如下图:
图3-23 硬件资产管理
图3-24 软件资产查询
网络管理员在该选项中可以查看用户的授权信息,通过规整而清晰的界面可让用户查看到购买的授权数以及使用的授权数。
当户更改了通行证的密码或者进行了扩容等操作,需要用户重新下载授权文件,并在授权页面中进行重新导入授权文件。如下图:
H3C防病毒系统的升级模式为先由控制中心到升级服务器同步最新的病毒库。然后客户端通过连接控制中心进行病毒库的升级。
所以要使客户端更新到最新的病毒库首先需要给控制中心同步病毒库。
控制中心同步病毒库有两种方式:
在线同步:
点击【在线更新】即可使控制中心连接到升级服务器更新病毒库。同步信息进度完成了即在线同步完成。
在线同步可以通过设置计划任务来实现控制中心的定时自动同步。
上传并更新:
离线方式更新病毒库、终端程序、控制中心程序。从官网相应位置获取到离线升级包文件,在此处点击上传并更新即可。(备注:离线升级包方式请咨询经销商或厂商)
终端禁止列表是由管理员指定的终端无法连接到控制中心禁止其获得授权许可。
如下图:
由于H3C防病毒系统的授权模式为新安装的客户端再正确连接到控制中心后会获得控制中心下发的授权。得到授权的客户端即可正常使用。但因为个别特殊情况造成客户端没有在连接控制中心的情况下进行卸载操作或者安装客户端的主机直接重新安装操作系统,会造成控制中心有作废的节点产生。这些节点会占用控制中心的授权数量。这是可以使用客户端清理功能对长期没有连接到控制中心的客户端节点进行删除并收回其占用的客户端授权。
首先需要设置一个过期天数。然后设置任务计划执行时间后点击【应用】,即可根据所设置的过期天数,将离线时间大于等于设置过期天数的客户端节点进行删除和收回其所占用的授权。
管理员可以通过此功能方便的实现对全网或逻辑组发布公告。在公告栏输入需要发布的内容,点击发送即可向选中的全网或逻辑组内的所有用户发布公告,用户在收到公告后只能查看公告,不能进行回复。
操作方法:
点击【系统管理】—【基本设置】—【公告】,设置推送时间和IP区域、显示时长后输入需要发布的公告内容后点击【发送】即可。
高危病毒配置是用户根据【病毒名称】来自定义所想关注的局域网内高危病毒感染情况。
如下图:
计划任务:
计划任务功能可以查看和根据执行类型、执行周期、状态、任务目标条件进行查询。同时也可以对查询出的已添加的计划任务进行状态修改和删除操作。如下图:
安装包配置:
可以对新的客户端安装包连接地址进行修改。如下图:
客户端上报设置:
可以对客户端心跳时间和上报周期进行设置。
SysLog服务器配置:
如果您需要将控制中心上报的(病毒信息日志、操作日志数据)发送给第三方Syslog服务器,可以进行Syslog服务器进行配置,点击【系统管理】-【高级设置】-【syslog服务器配置】。
创建用户:
点击页面右上角的【+添加】即可打开创建用户功能。
基本设置:
需要设置创建用户的用户名、密码、确认密码、联系电话、邮件。
角色分为:系统管理员,安全管理员,系统审计员。
超级管理员:超级管理员只有一个(默认),可以修改用户名称,密码,可以创建、删除、修改三员中的任意一个
系统管理员:使用系统管理员登录成功,在终端安全管理系统中只能查看到:首页、终端管理、补丁管理、报表统计系统管理模块。负责除报表删除、日志审计、用户权限修改、创建用户外的所有功能,负责日常产品的维护、升级、策略配置等操作;
安全管理员:使用安全管理员登录成功,终端安全管理系统只能查看到:首页、系统管理模块。负责创建用户,设置各用户权限。可以设置所有用户权限、用户名称、密码;
系统审计员:使用系统审计员登录成功,在终端安全管理系统中只能查看到:首页、报表统计、系统管理模块。负责进行日志审计、报表删除工作,可以使用报表功能;
编辑用户:点击用户列表中已创建的用户行尾的【编辑】即可打开编辑用户。编辑用户包括修改密码。
修改密码:新密码和确认新密码。
删除用户:点击用户列表中需要删除的用户行尾的【删除】即可对该用户进行删除操作。删除后该用户将从用户列表中删除。
登录EDR平台后,即可看到【首页】,首页展示【全网状况】、【EDR信息实时采集】以及EDR版本,如下图:
图4-1 H3C SecCenter CSAP-ESM终端安全管理系统EDR介绍
· 全网状况:包括【终端安装数】和【终端在线数】
· 终端安装数:是实时统计网内接入EDR的终端总数,根据接入终端的操作系统,分别统计linux系统和windows系统的终端安装总数,点击统计数字可以查看终端安装详情,包括计算机名称、IP地址、MAC地址、组织序列、操作系统,支持通过计算机名称、IP地址、Mac地址搜索来精确查询终端。
· 终端在线数:是实时统计当前在线的终端,根据在线终端的操作系统,分别统计linux系统和windows系统的终端在线数。
点击统计数字可以查看终端安装详情,包括计算机名称、IP地址、MAC地址、组织序列、操作系统。支持通过计算机名称、IP地址、Mac地址搜索来精确查询终端。如下图:
图4-2 终端安装详情列表
· EDR信息实时采集:展示终端实时上报的信息,包括客户端、操作系统类型、IP地址、威胁事件上报时间、CPU使用率、内存使用,便于管理员及时发现网内的安全事件。
用于管理网内所有接入EDR的终端以及配置上报策略,页面主要分为【组织结构】、【终端列表】和【EDR配置】
图4-3 EDR管理列表
· 【组织结构】展示当前网内所有的分组以及从属情况,未分组的终端位于组织结构的【DefaultGroup】分组。
· 【EDR管理】显示终端基本信息,包括客户端名称、IP地址、上报时间、软件版本、最大利用率磁盘、CPU使用率、内存使用、当前用户登录、网络占用率、当前接受字节、当前发送字节。点击客户端名称可查看该终端上报的基本信息以及对该终端进行上报配置。【基本信息】包括详细信息、进程快照、网络连接、进程行为、DNS行为,【上报设置】包括进程文件设置、U盘文件设置、MD5检测设置、快照设置、文件名检测设置、阈值上报设置,【已上报文件】包括进程文件、U盘文件、md5文件、上传日志
· 【EDR配置】用于配置分组或终端的安全策略,选中【EDR管理】—【组织结构】下的分组或者分组内的终端,可以配置该组或者该终端的安全策略。包括【EDR详细配置】、【任务上报设置】和【已上报文件】三类。
网络中存在大量终端时,为便于管理,管理员可对终端设置不同分组,可根据需要分组,对所有接入的终端进行管理。
· 创建组:在组织结构栏新建、删除、重命名分组操作说明如下:
·
新建组:单击组织结构栏图标
,可新建组;
·
删除组:单击组织结构栏图标
,可删除组;
·
重命名组:单击组织结构栏图标
,可重命名组。
· 重命名:可对上线的终端进行重命名操作,右键点击需要重命名的终端,点击【重命名】,输入修改后的名字,点击【确定】按钮即可完成重命名操作。如下图:
图4-4 重命名分组
· 移动:上线的终端可移动到其它分组列表中,方便进行管理查看,右键点击需要移动的终端,点击【移动】按钮,选择需要移动的分组,点击【确定】按钮即可完成移动操作,可在移动后的分组中查看终端,如下图:
图4-5 移动分组
详细信息功能显示选中节点(单一客户端)的相关信息,包括终端名称、计算机名称、磁盘使用率、已登录用户、操作系统类型、所属控制中心、所属逻辑组、授权状态、最后在线时间、适配器名称、ipv4地址、ipv6地址、mac地址。
图4-6 详细信息
点击【EDR管理】,点击需要查看的任意节点的客户端名称,即可查看节点的详细信息
进程快照获取该终端当前正在运行的进程信息,包括进程id、进程名、用户名、cpu、内存。
· 【进程id】显示该进程的ID,ID名称是由进程开启时间+PID(进程标识号)组成,进程ID具有唯一性。
· 【进程名】显示该进程的主模块名,不包含进程的路径
· 【用户名】是登录该程序的用户名
· 【cpu】显示该进程运行时的cpu占比率
· 【内存】显示该进程运行时的内存大小
点击【EDR管理】,点击对应终端的客户端名称,点击【基本信息】—【进程快照】,即可查看对应节点的当前进程行为信息,如下图:
图4-7 进程快照信息
点击对应的【进程id】可进入进程追溯页面,查看该进程的进程树、进程信息、进程模块、子进程、注册表行为、网络行为、DNS行为、文件行为。如下图:
图4-8 进程详情信息
· 【进程树】已图形展示进程信息(包括进程名、PID、命令行、进程路径、父进程)、子进程(进程名)
· 【进程信息】记录进程基本信息,包括进程id、进程名、用户名、本地进程文件、命令行参数、进程创建时间、进程结束时间、父进程id;
· 【进程模块】记录进程模块文件路径,MD5、操作时间、修改时间
· 【子进程】记录该进程包含的子进程信息,包括进程id、进程名、用户名、本地进程文件、命令行参数、进程创建时间、进程结束时间、父进程id;
· 【注册表行为】记录进程的注册表行为信息,包括注册表键名、注册表项名、键值、操作、结果、前值、入库时间、时间;
· 【网络行为】记录进程的网络行为信息,包括源地址、源端口、目的地址、目的端口、协议、结果、url、入库时间、时间;
· 【DNS行为】记录进程的DNS行为信息,包括域名、动态解析、解析结果、创建时间、入库时间;
· 【文件行为】记录进程的文件行为信息,包括文件路径、文件路径变更、操作、结果、文件大小、MD5、行为发生时间、入库时间。
网络连接展示该终端当前和历史网络连接行为信息,包括进程ID、进程名、协议、源IP、目的IP点击【EDR管理】,点击对应终端的客户端名称,点击【基本信息】-【网络连接】,即可查看对应节点的所有网络行为信息,如下图:
图4-9 网络连接信息
进程行为展示该终端当前和历史运行的所有进程行为信息,包括进程ID、进程名、优先级、用户名、创建时间、结束时间。
点击【EDR管理】,点击对应终端的客户端名称,点击【基本信息】—【进程行为】,即可查看对应节点的所有进程行为信息,如下图:
图4-10 进程行为信息
DNS行为功能记录了终端产生的dns请求行为信息,包括进程id、域名、动态解析、解析结果、创建时间、入库时间。
点击【EDR管理】,点击对应终端的客户端名称,点击【基本信息】—【DNS行为】,即可查看对应节点的DNS 解析行为,如下图:
图4-11 DNS行为信息
进程文件设置功能是根据可疑进程的进程ID对客户端下发进程文件上报命令,客户端接收到上报命令,即把可疑进程打包上传至EDR控制中心
点击【EDR管理】,点击对应终端的客户端名称,点击【上报设置】—【进程文件设置】,输入进程ID,点击【应用】即可下发策略
图4-12 进程文件上报设置
U盘文件设置功能是对客户端下发U盘文件上报命令,客户端根据接收到的上报命令,将U盘文件根据命令里包含的规则打包上传至EDR控制中心。
点击【EDR管理】,点击需要查看的任意节点的客户端名称,点击【上报设置】—【U盘文件设置】,选择提交方式、文件大小、文件类型,点击【应用】即可下发策略
图4-13 U盘文件上报设置
MD5检测设置功能是通过下发可疑的MD5值来检测终端中是否有包含该MD5值的文件,如检测到文件即上报到Syslog服务器。点击【EDR管理】,点击需要查看的任意节点的客户端名称,依次点击【上报设置】—【MD5检测设置】,输入文件MD5值、选择截止时间,点击【应用】即可下发策略,上报文件在SYSLOG服务器中查看。
图4-14 MD5检测设置
快照设置功能是设置终端上报快照信息的时间间隔,快照信息包括进程上下文间隔、主机信息间隔,点击【EDR管理】,点击需要查看的任意节点的客户端名称,点击【上报设置】—【快照设置】,进程上下文间隔、主机信息间隔,点击【应用】即可下发策略。
图4-15 快照设置
文件名检测设置功能根据下发可疑的文件名来检测终端中是否有包含该文件,如检测到文件即上报到Syslog服务器。点击【EDR管理】,点击需要查看的任意节点的客户端名称,依次点击【上报设置】—【文件名检测设置】,输入文件文件名、选择截止时间,点击【应用】即可下发策略,上报文件在SYSLOG服务器中查看。
图4-16 文件名检测设置
阈值上报设置当终端CPU利用率和网络利用率大于下发的阈值时上报系统快照,点击【EDR管理】,点击需要查看的任意节点的客户端名称,点击【上报设置】—【阈值上报设置】,填写CPU利用率阈值和网络利用率阈值,如下图:
图4-17 阈值上报设置
如果控制中心服务器上报数据占用太大,不需要之前的数据,您可使用定时清理功能,点击【EDR管理】—【EDR配置】—【EDR详细配置】—【定时清理】根据实际情况清理多少天之前的数据。如下图:
图4-18 定时清理设置
接口授权管理根据分配的AppKey获取访问Token,点击【EDR管理】-【EDR配置】-【EDR详细配置】-【接口授权管理】,点击【添加用户】,输入appname即可,将获取到的appkey进行MD5加密,通过MD5加密得到32位小写MD5值即可生成Token,如下图:
图4-19 MD5加密
图4-20 获取Token
进程文件上报功能是根据可疑进程的进程ID对客户端下发进程文件上报命令,客户端接收到上报命令,即把可疑进程打包上传至EDR控制中心。点击【EDR管理】—【EDR配置】—【任务上报设置】—【进程文件上报】,在输入框中输入进程ID,点击【应用】即可下发上报命令,如下图:
图4-21 全局进程文件上报设置
U盘文件设置功能是对客户端下发U盘文件上报命令,客户端根据接收到的上报命令,将U盘文件根据命令里包含的规则打包上传至EDR控制中心。
点击【EDR管理】—【EDR配置】—【任务上报设置】—【U盘文件上报】,选择提交方式,输入文件大小,选择文件类型,点击【应用】即可下发全局文件上报命令,如下图:
图4-22 全局U盘文件上报设置
MD5检测设置功能是通过下发可疑的MD5值来检测终端中是否有包含该MD5值的文件,如检测到文件即上报到EDR控制中心。
点击【EDR管理】—【EDR配置】—【任务上报设置】—【文件MD5检测】,输入可疑文件MD5值,选择截止时间,点击【应用】即可下发自动检测命令,如下图:
图4-23 全局文件MD5检测上报设置
快照设置功能是设置终端上报快照信息的时间间隔,快照信息包括进程上下文间隔、主机信息间隔。
点击【EDR管理】—【EDR配置】—【任务上报设置】—【快照信息上报】,输入进程上下文间隔和主机信息间隔,点击【应用】即可下发自动检测命令,如下图:
图4-24 全局快照信息上报设置
终端联动规则根据设置检查时间间隔、类型、行为、响应对象、截止时间并下发到终端,如发生符合联动规则的事件,终端将根据联动规则进行处置并上报结果至控制中心,管理员可点击【联动与响应】查看。
规则列表中包括所有规则,检查时间间隔、规则来源、规则别名、规则ID、类型、响应对象、行为、截止时间、操作项。管理员可对规则进行修改以及删除,删除规则后需要重新点击【全部应用】即可生效
点击【EDR管理】—【EDR配置】—【任务上报设置】—【终端联动规则】,点击【添加规则】,每次添加规则后都需要进行点击【全部应用】规则才生效,添加规则以MD5值为例子,如下图:
图4-25 添加联动规则
以下对终端联动规则中的【目的IP】、【目的URL】、【文件MD5】、【目的域名】进行详细说明
类型【目的IP】,行为【提醒、切断连接、终止执行操作的进程】如下图
图4-26 目的IP
【目的IP】-行为【提醒】:表示只上报访问IP记录不做任何处理
【目的IP】-行为【切断连接】:表示上报访问IP记录并且切断与IP之间的连接
【目的IP】-行为【终止执行操作的进程】:表示上报访问IP并且结束访问IP的进程
类型【目的URL】,行为【提醒、切断连接、终止执行操作的进程】如下图
图4-27 目的URL
【目的URL】-行为【提醒】:表示只上报访问URL记录不做任何处理
【目的URL】-行为【切断连接】:表示上报访问URL记录并且切断URL连接
【目的URL】-行为【终止执行操作的进程】:表示上报访问URL并且结束访问URL的进程
类型【文件MD5】,行为【提醒、隔离文件、删除文件、终止执行操作的进程】如下图
图4-28 文件MD5
【文件MD5】-行为【提醒】:表示只上报MD5文件记录不做任何处理
【文件MD5】-行为【隔离文件】:表示上报MD5文件并且结束文件进程
【文件MD5】-行为【删除文件】:表示上报MD5文件并且删除文件和结束进程
【文件MD5】-行为【终止执行操作的进程】:表示上报MD5文件记录并结束文件进程不删除文件
类型【目的域名】,行为【提醒、切断连接、终止执行操作的进程】如下图
图4-29 目的域名
【目的域名】-行为【提醒】:表示只上报访问域名记录不做任何处理
【目的域名】-行为【切断连接】:表示上报访问域名记录并且切断域名连接
【目的域名】-行为【终止执行操作的进程】:表示上报访问域名记录并且结束访问域名的进程
类型【文件名】,行为【提醒、切断连接、终止执行操作的进程】如下图
图4-30 文件名
【文件名】-行为【提醒】:表示只上报文件名记录不做任何处理
【文件名】-行为【隔离文件】:表示上报文件名并且结束文件进程
【文件名】-行为【删除文件】:表示上报文件名并且删除文件和结束进程
【文件名】-行为【终止执行操作的进程】:表示上报文件名记录并结束文件进程不删除文件
控制中心支持保存与编辑历史联动规则。
支持配置多个联动规则,可设置是否启用某个规则,如需不启用某个规则,则将截止日期设置为过去时间即可。
下发联动规则时,所有启用的规则同时下发。
文件名检测设置功能根据下发可疑的文件名来检测终端中是否有包含该文件,如检测到文件即上报到Syslog服务器。点击【EDR管理】-【EDR配置】-【任务上报设置】-【文件名检测】,在输入文件名称,选择截止时间,点击【应用】即可下发全局文件名检测。
图4-31 文件名检测
阈值上报设置当终端CPU利用率和网络利用率大于下发的阈值时上报系统快照,点击【EDR管理】-【EDR配置】-【任务上报设置】-【阈值上报设置】,输入CPU利用率阈值和网络利用率阈值,点击【应用】即可下发全局阈值上报命令。
图4-32 阈值上报设置
威胁检测设置包括文件威胁、进程威胁、注册表威胁、网络威胁等检测上报Syslog服务器,点击点击【EDR管理】-【EDR配置】-【任务上报设置】-【威胁检测设置】,勾选选项后,点击【确定】按钮即可,如下图:
图4-33 威胁检测设置
如果您需要将控制中心上报的数据发送给第三方Syslog服务器,可点击【系统管理】-【高级设置】-【Syslog服务器】,设置Syslog服务器IP和端口。
如果您需要设置上报项,可点击【EDR管理】-【EDR配置】-【任务上报设置】-【syslog上报设置】,勾选下图选项,则此项信息不上报;不勾选下图选项,则此项信息上报。
默认状态为不勾选,即下图所有选项默认上报。syslog上报项见下图:
图4-34 Syslog上报设置
EDR管理中对各终端的配置和EDR配置中对全局的配置,以最后一次下发的配置为准。
联动与响应页面展示的数据信息有三部分:【响应次数趋势】、【实时响应动态】、【规则信息列表】
点击【联动与响应】,即可查看联动与响应数据统计信息,如下图:
图4-35 联动与响应
· 【响应次数趋势】是展示每个规则一周的累计响应趋势图
· 【实时响应动态】展示终端对联动规则实时响应的动态信息,包含规则ID、响应对象、行为、终端ip、响应结果
· 【规则信息列表】展示所有控制中心对终端下发的联动规则,包括检查时间间隔、规则别名、规则ID、类型、响应对象、行为、截止时间、响应终端数、响应次数。
· 【检查时间间隔】终端检查的时间间隔(单位:秒)
· 【规则id】是规则的ID标识,具有唯一性
· 【类型】终端检测的类型:包括IP、域名、URL、MD5、文件名
· 【响应对象】包括如下情况:
类型为目的IP时,显示响应终端的IP地址
类型为目的域名时,显示响应终端的域名
类型为目的URL时,显示响应终端的URL
类型为目的MD5时,显示响应终端的MD5
类型为目的文件名时,显示响应终端的文件名
· 【行为】是终端发现符合规则的事件时,对该事件的处置方式
· 【截止时间】规则的失效时间
· 【响应终端数】累计响应该规则的终端总数,一个终端多次响应只记录一次
· 【响应次数】累计响应该规则的次数,一个终端多次响应记录多次
点击列表左侧【+】图标,可查看详细的响应终端信息,包括终端名称、终端ip、响应时间,以及响应终端与未响应终端统计图。点击【终端名称】可查看详细的响应信息,包括终端ip、规则id、响应对象、行为、响应时间、响应结果。
命令记录页面可显示控制中心向客户端下发的命令,如客户端升级、客户端定时升级触发、上报进程文件、文件上传限制、终端MD5检测文件、快照上报设置、终端联动规则、利用率阈值设置、威胁事件检测、系统日志采集。
并显示其管理员、执行者IP、命令去向、接受者IP、命令类型、执行日期。
可根据时间、命令类型及来源、管理员名称查询。
图4-36 命令记录
操作记录页面可显示控制中心进行的操作,如登录、登出、注册、编辑用户、删除组、重命名客户端、创建新的用户组、更新授权、软件在线升级、软件离线升级,并显示管理员、操作目标、操作类型、操作日期。可根据时间、类型、管理员查询。
图4-37 操作记录
报表删除页面可根据时间或记录数删除命令记录。
图4-38 报表记录删除
点击“下载”可以将选中的日志进行导出操作。
图4-39 导出记录
网络管理员可以查看用户的授权信息,查看到购买的授权数以及使用的授权数和授权使用到期时间。
当用户更改了通行证的密码或者进行了扩容等操作,需要用户更换授权文件,点击<浏览授权>按钮,重新导入授权文件。如下图:
图4-40 授权信息
升级模式为由控制中心到升级服务器同步最新的病毒库,然后客户端通过连接控制中心进行病毒库的升级。
所以要使客户端更新到最新的病毒库首先需要给控制中心同步病毒库。
图4-41 软件升级
控制中心同步病毒库有两种方式:
· 在线同步:点击<在线更新>即可使控制中心连接到升级服务器更新病毒库。同步信息进度完成了即在线同步完成。
· 离线更新:点击<上传并更新>到本地目录选择离线包点击<打开>,等待更新信息进度完成即离线更新完成。
在线同步可以通过设置计划任务来实现控制中心的定时自动同步。
如果您需要将控制中心上报的数据发送给第三方Syslog服务器,可以进行Syslog服务器进程配置,点击<Syslog服务器>,输入Syslog服务器IP和端口号,点击<确定>即可。如下图:
图4-42 Syslog服务器
可通过用户管理功能查看用户信息,超级管理员可以创建/删除/编辑所有用户。
图4-43 用户管理
支持
售前咨询
售后咨询
人工在线咨询
