- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C SecCenter CSAP-ESM终端安全管理系统
用户FAQ
Copyright © 2021新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
桌管里的策略开启了但是没有配置,是空的,但是终端检查的时候结果是合格的,这样是什么原因?
如果一个ip有多个用户,这个合规基线检测出来的是所有用户的结果吗?
为什么在桌管审计目录下建一个文件,报表统计显示的文件名都是“新建文本文档”?
配置高危病毒类型,扫描终端包含定义的高危病毒,但没有加入到高危主机列表中
为什么EDR添加终端联动规则时,检查时间间隔设置不同,下发任务后都一样
为什么防病毒的补丁管理进行补丁扫描和修复时:当选择单个主机进行扫描或修复时,没有要求输入IP地址范围
安装控制中心界面提示:FirewallD is not running 但仍无法访问端口
控制中心安装时,在配置控制中心IP时,读取到地址为127.0.0.1
为什么桌管-文件操作设置为保护,文件在notepad++中仍能打开
为什么终端联动规则目的IP、目的域名、目的URL的动作行为不生效
安装控制中心的时候运行Install.sh脚本文件报错:'\。r': command not found
H3C SecCenter CSAP-ESM终端安全管理系统用户FAQ
本文档介绍H3C SecCenter CSAP-ESM终端安全管理系统版本说明书产品的用户常见问题及解答。
|
控制中心 |
硬件要求 |
处 理 器:2GHz及更高主频,>=4核以上的处理器。 内 存:8G以上量内存。 硬盘空间:>=500G(EDR数据存储单独配置) |
|
适用操作系统 |
推荐Cent OS 7.5操作系统 |
|
|
适用语言 |
简体中文 |
|
|
其它要求 |
支持火狐最低版本为firefox 45,chorm 43,IE11以及以上,Cent OS 7.5的/目录至少200G |
|
操作系统类型 |
防病毒 客户端 |
桌面管理 客户端 |
EDR 客户端 |
|
Windows XP/sp3 |
√ |
√ |
√ |
|
Windows 2003Server/R2 |
√ |
√ |
√ |
|
Windows Vista |
√ |
√ |
√ |
|
Windows Server 2008 |
√ |
√ |
√ |
|
Windows 7 |
√ |
√ |
√ |
|
Windows Server 2008 R2 |
√ |
√ |
√ |
|
Windows 8/8.1 |
√ |
√ |
√ |
|
Windows Server 2012/R2 |
√ |
√ |
√ |
|
Windows 10 |
√ |
√ |
√ |
|
Windows Server 2016 |
√ |
√ |
√ |
|
Linux主流发行版(X64): Ubuntu 14.04.6/16.04.6(对应内核版本4.4.0-142-generic) 2.6.32-220、2.6.32-279、2.6.32-358、2.6.32-431、2.6.32-540、2.6.32-573、2.6.32-642、2.6.32-696、2.6.32-754、3.10.0-123、3.10.0-229、3.10.0-327、3.10.0-514、3.10.0-693、3.10.0-862、3.10.0-957) |
√ |
- |
√ |
|
国产平台 |
(Linux定制版客户端) |
||
1、 客户端安装可以通过访问控制中心web页面进行下载安装。
2、还可以离线方式进行拷贝安装包到需要安装的服务器上
客户端安装完毕,打开客户端在安全概况页面右下角点击:已经连接云安全中心弹出连接控制中心地址设置窗口,可进行修改连接地址和新增连接控制中心地址。
如果没装防病毒,仅装了桌管和edr,可在安装目录data文件夹下修改配置文件:RunConfig:server 1ip地址。
可在导入授权时, 设置向导页面修改控制中心端口;设置完毕后可在控制中心-系统管理-高级设置-安装包配置,修改连接地址,点击【应用】。(备注:应用完毕后管理服务会重新加载,管理端页面需要1-2分钟可以正常访问。)
IP地址需要为静态,且确定;(请务必保证,开机的时候,机器就有IP地址)
一个合格的Cenos7实例规范:
文件位置/etc/sysconfig/network-scripts/ifcfg-xxxxx
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens192
UUID=a3f59ae6-4f5a-4f81-8be4-be5284b99521
DEVICE=ens192
ONBOOT=yes
IPADDR=192.168.6.210
PREFIX=24
GATEWAY=192.168.6.1
DNS1=202.106.0.20
备注:
重启服务器之后无法访问请关闭系统防火墙。
关闭防火墙命令:systemctl stop firewalld.service。
关闭开机自启动:systemctl disable firewalld.service。
如果地址解析不到可以尝试换个dns解析,由于地域不同dns也不同。
客户端-系统设置-黑白名单-添加文件夹-选择文件夹,点击【应用】即可添加成功。
在默认情况下,终端安全管理系统通过Internet连接到外网的服务器进行升级,然后客户端通过控制中心来进行升级。
控制中心在系统管理-软件升级中升级:
客户端升级位置:
如果安装控制中心的计算机不能上网,您可以参照以下步骤进行升级:
1.找到一台能上网的机器,下载终端安全管理系统的离线升级包安装程序,或者通过其它途径获得终端安全管理系统的离线升级包安装程序;
2.登录控制中心管理页面—系统管理—基本设置—软件升级上传离线升级包,完成控制中心\病毒库的升级;
3.登录控制中心管理页面,进行全网升级操作,这样本网内所有客户端都将升级到统一的最新版本。
导入:安装完控制中心,打开控制中心管理页面,将系统特征码反馈给新华三公司销售联系申请正式授权文件。
更换:登录控制中心管理页面—系统管理—基本设置—授权信息,将系统特征码反馈给新华三公司销售联系申请正式授权文件。
1.下发策略后可在windows客户端根目录下policy.cfg文件中查看策略是否下发成功,linux客户端策略可以在/usr/local/linux_client/log/下面的main_daemon 日志看。
2. .使用管理员身份打开cmd命令行,cd 切换到客户端安装目录,分别运行sc query kvcore 、 sc query kvfg 、sc query kvfw查看驱动是否启动。
如果是直接下载安装,没有保存下载文件,(目前已知win7环境)可能是因为直接运。
行时使用的文件名是浏览器直接根据页面名称导致的,需要手动修改客户端上报地址,重启
服务后即可。
1.windows下发规则后可在客户端data目录下查看action_rule.json文件是否存在规则记录。
2.使用管理员身份打开cmd命令行,cd 切换到客户端安装目录,分别运行sc query kvcore 、 sc query kvfg 、sc query kvfw命令查看驱动是否启动。
3.Linux下发规则后可在客户端/usr/local/linux_client/etc目录下查看action_rule.json文件是否存在规则记录。
查看终端策略配置中是否下发移动介质策略或者禁止使用移动介质。
因为安装终端后默认下发口令检测策略,如果终端口令策略安全性小于所下发策略,重启电脑后需要修改密码,如果开启口令复杂度,需要遵守微软口令复杂度规则。
回复:如果开启,则是开启此项检查。对照的就是检查的配置。所以,如果配置为空。则执行检查,且没有具体检查项,所以必然返回检查合格。因为此时,目标客户端达到了检查设置的要求。
答:如果是查找IP,则会显示所有该IP的用户。
如果一个IP有多个用户,那么这些用户对应的检查结果都会显示出来。
答:1. 如果ES无法删除数据库内容,则需要修改ES数据库只读属性。必须磁盘占用率低于90%,否则无效:curl -X PUT "localhost:9200/dtmc_log/_settings" -H 'Content-Type: application/json' -d'{"index":{"blocks": {"read_only_allow_delete": "false"}}}'。
2.删除ES数据库内容
curl -X POST "localhost:9200/dtmc_log/_delete_by_query?pretty" -H 'Content-Type: application/json' -d'{"query":{"match_all": {}}}'。
答:首页违规趋势图中,记录了每日各项违规数量。其中基线检查违规数量应该大于基线检查下辖任一检查项违规数的最大值。
答:EDR检测时间是根据最后下发的一条规则进行更新规则检测时间,所有规则的检测时间相同。
答:因为新建磁盘时会首先格式化磁盘,因此会上报格式化日志。
考虑性能问题,目前仅上报可执行程序的md5;文件名仅支持可执行程序(文件名命名中不能带有特殊字符),Windows的exe程序,Linux下的命令。
实际通讯过程就是微信ID。
操作系统进行新建文件时,选择的是新建文本文档,此时系统记录就是如此,后续属于文件改名操作。
首先查看控制中心本地时间、客户端时间不统一,建议统一后在进行测试;首页高危只统计当天时间段。
进程白名单只做检验不做矫正。
目前威胁检测仅支持文件威胁、进程威胁、注册表威胁,其它威胁检测暂不支持。
检查时间间隔将以最后一个规则的检查时间为统一时间。
当选择单个主机进行扫描或修复时,无需输入IP地址范围;当选择组、整个控制中心进行扫描或修复时,可选择需要扫描或修复的IP地址范围,不填写IP地址范围默认扫描或修复该组或控制中心下全部主机。
控制中心对linux的下发仅支持扫描、停止扫描、客户端升级、计划任务。
这个是因为系统环境没有增加防火墙这条命令造成的。
执行如下命令放通被拦截的端口:
firewall-cmd --permanent --zone=public --add-port=xxx/tcp (xxx=端口)。
firewall-cmd –reload。
安装前需要配置系统网卡中添加:DNS。
安装后需要手工修改为正确的IP地址,配置完成后,重启一下控制中心系统。
需要把离线下载下来的补丁文件手动拷贝导:【/opt/NetServer/JMCenterDownloads/patches 】目录后,在控制中心:补丁管理—补丁库管理—离线补丁库导入页面点击【导入】即可。
XP以下系统会出现公告、消息功能无法显示,影响功能正常使用。
原因:ssl加密在XP系统上的IE6上面不支持https,需要升级IE版本。
Windows7以上问题收到公告和消息会弹出证书,需要点击“是”。
-默认状态下,考虑性能问题,新安装的客户端的文件行为是处于关闭状态,需重新下发客户端文件行为上报策略。
客户端查看联动与响应规则是否与下发规则一致;响应计数是根据规则ID计数,修改原有规则响应计数则在原有计数上增加,每次触发规则的响应对象就会产生计数。
查看kvservice是否崩溃,驱动是否启动,查看policy.cfg文件策略是否下发成功,可尝试重启解决。
检测终端安装目录下有一个配置文件iec.cfg,里面的filtr有的路径会过滤到,此路径下的文件是不上报的。
如果文件在notepad++打开过,存在缓存,则设置保护文件也能打开访问查看。
控制中心上选择进程,如设置的清理时间为3天,则3天前所有进程中的文件行为全部删除了,此功能的清理时间是指控制中心时间,非客户端时间。
消息/公告功能需客户端IE浏览器版本至少在11以上。低于IE11版本的可能支持性不是很友好。
首先,检查客户端1、先看一下连接控制中心的地址、端口号是否正确。
2、在任务管理器中查看服务kvservice.exe是否正常运行。
3、是否处于待机休眠状态,当客户度处于待机休眠状态时,客户端与控制中心的数据通信可能会中断,导致在控制中心观察客户端处于离线状态。
4、终端的网关设置或IP设置是否正确。
其次,在控制中心检查授权是否不足。
执行扫描病毒采用的智能监控扫描模式,建议在扫描时关闭其它不需要运行的软件。
1.检查客户端与控制中心连接是否正常。
2.请检查控制中心补丁库管理中是否存在此系统的补丁文件并在补丁库管理中进行下载。
可能阈值设置太大了,导致无法上报。默认的阈值是10,触发上报的条件是上一次的值减去这次设置的值的绝对值大于默认的阈值时才能上报。
目的IP、目的域名暂不支持PING,目的域名和目的URL不支持HTTPS,且设置仅支持如下格式:www.url-address.com和http://www.url-address.com。
IE多主页情况下控制中心只采集第一个url,第一个url是允许的则url上报合格,是禁止的则url上报不合格,开启强制矫正修改为合格的url。
答:终端重新开机上线后,会检查策略版本,并更新策略到最新的版本。并在执行策略后,生成对应的策略执行结果上报控制中心。控制中心则根据上报结果判断终端是否执行了策略,并将执行了最新策略的终端从未执行策略列表中剔除。这个过程一般需要一段时间,请耐心等待日志上报与控制中心的处理结果。一般情况,当客户端重新上线并上报口令密码检查结果(报表统计页面可查)后1-2分钟内,服务器将会将该终端从未执行策略列表中剔除。
卸载客户端时会删除整个安装路径,如默认安装是安装在H3C文件夹下,卸载则将整个H3C文件夹删除,其它软件如也安装在此文件夹下也会被一起删除。建议使用自定义安装。
答:重启服务器之后无法访问控制中心可能是防火墙开启的原因,可尝试关闭系统防火墙,
· 关闭防火墙命令:systemctl stop firewalld.service。
· 关闭开机自启动:systemctl disable firewalld.service。
答:查看控制中心服务器上面的日期是否错误。
答:由于token值过期会导致此现象,在页面先退出后重新进入即可。
为什么客户端安装补丁提示“安装失败”
答:控制中心未导入补丁库客户端会出现安装失败的提示,请先在控制中心导入补丁库;控制中心已经导入补丁库客户端仍然下载失败,排除通信问题后,请查看客户端补丁下载目录downloadpath=C:\JMDownload(C:\Program Files (x86)\H3C\H3CESM\data\systempatch.ini)存放磁盘空间大小,存储空间过小会导致补丁下载失败。
为什么EDR U盘检测不上报?
答:EDRU盘检测上报,必须先下发策略再插盘,在EDR管理选中这个终端,在该路径下进入debug页面查看U盘上报信息。
答:网页访问目前只支持http网站,不支持https网站,不支持脚本动态加载和图片的关键字,只支持检测页面和url中的关键字。
答:邮件发送关键字只检测邮件主题
安装控制中心的时候运行Install.sh脚本文件报错:'\。r': command not found
答:软件安装的运行脚本在windows下编辑过,添加了windows换行符\r,在linux上进行执行会提示“\r' : command not found”无法解析\r。
先安装工具:yum install dos2unix 再执行下转换命令:dos2unix Install.sh 此问题是由于。
支持
