登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter CSAP-ATD高级威胁检测产品 典型配置举例(E6701)-5W103

目录

03-恶意代码攻击检测典型配置举例

本章节下载 03-恶意代码攻击检测典型配置举例  (399.93 KB)

03-恶意代码攻击检测典型配置举例

目录

1 简介

2 配置前提

3 使用限制

4 配置举例

4.1 需求描述

4.2 配置思路

4.3 配置步骤

4.4 验证配置

 

1 简介

恶意代码攻击检测功能,是高级威胁检测产品的核心功能之一,通过将接入的端口镜像流量进行应用层协议解析,提取出应用层协议传输的文件,由高级威胁检测产品的病毒检测引擎(静态检测已知威胁)、沙箱检测引擎(动态检测未知威胁)对文件进行安全检测,发现文件中包含的恶意代码并告警。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解TCP/IP协议原理和IPv4、IPv6基本特性。

3 使用限制

·     高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题;

·     恶意代码攻击检测目前仅支持检测HTTP、FTP、SMTP、POP3、IMAP、SAMBA(SMB2.0、SMB1.0/CIFS)传输的文件。

·     沙箱动态检测只支持检测指定的文件类型,不同类型的沙箱,支持检测的文件类型不同,如下:

WEB沙箱:htm,html,web,xml,php,jsp,asp,aspx

Windows沙箱:pdf,swf,exe,com,bin,lnk,jse,dll,vbs,vbe,msi,pif,cmd,hta,ps1,bat

Office沙箱:wps,wpt,dps,et,rtf,doc,ppt,xls,docx,docm,dotm,pptx,pptm,potm,xlsx,xlsm,xltm,dpt,ett,odp,ods,odt,csv

Win64沙箱:exe64

·     沙由于从流量解析、文件还原,到最终的恶意代码检测完成,有一个流转周期,当流量较大或文件较多时,将可能出现已还原文件排队进行恶意代码检测的情况,因此,不排除当修改流量还原配置之后,一段时间内仍有配置范围之外的文件检测日志或恶意代码事件日志产生(修改配置之前还原的文件经排队后延时检测完成),根据测试经验,极限情况下这段时间可能长达数小时(文件排队数量较多或沙箱检测较慢),配置结果验证请以长期观察结果为准;

4 配置举例

4.1  需求描述

用户只希望检测指定IP范围的流量是否包含恶意代码文件传输

4.2  配置思路

(1)     登录Web管理端。

(2)     配置只针对指定IP范围192.168.0.0/16的IPv4流量和所有IPv6流量进行恶意代码文件检测。

4.3  配置步骤

(1)     登录Web管理端

如下图所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。

图4-1 登录高级威胁检测产品 Web管理端

 

(2)     配置只针对指定IP范围192.168.0.0/16的IPv4流量和所有IPv6的流量进行恶意代码文件检测

通过页面上方菜单栏进入“策略 – 流量策略 – 流量还原配置”菜单,默认配置如如下图所示;

图4-2 流量还原配置默认配置s

“检测IP范围”配置栏包含当前文件还原模块对于可还原文件的IP范围的过滤,默认为0.0.0.0,::,即监测还原所有IPv4和IPv6的流量;

修改“检测IP范围”配置如下图所示,配置内容代表含义为:只针对IP范围为192.168.0.0/16 的IPv4流量和所有的IPv6流量进行文件还原和恶意代码检测;(注:请注意,如果配置直接修改为 192.168.0.0/16,如下图所示,那么将仅能还原检测IP范围为192.168.0.0/16 的IPv4流量,所有的IPv6流量将无法进行恶意代码检测)

图4-3 流量还原配置检测IP范围配置

图4-4 只检测IPv4网段的流量还原配置检测IP范围配置

点击<保存>按钮;

(3)     配置完成效果图

图4-5 流量还原检测IP范围配置效果图

 

4.4  验证配置

(1)     高级威胁检测产品正常接入端口镜像流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;

图4-6 网络流量监控趋势图

(2)     查看“事件日志 – 日志审计 – 文件检测日志”菜单页面,仅存在IPv4地址为192.168.0.0/16网段的文件检测日志记录,以及任意IPv6地址的文件检测日志记录,如下图所示,符合预期;(注:IPv4、IPv6地址范围过滤不分区源或目的地址,因此流量中源或目的IP地址任一在检测IP范围内,则对应应用层传输文件会被还原和检测)

图4-7 文件检测日志效果验证

(3)     查看“事件日志 – 基础事件 – 恶意代码事件”菜单页面,仅存在IPv4地址为192.168.0.0/16网段的文件检测日志记录,以及任意IPv6地址的恶意代码事件日志记录,如下图所示,符合预期;(注:IPv4、IPv6地址范围过滤不分区源或目的地址,因此流量中源或目的IP地址任一在检测IP范围内,则对应应用层传输文件会被还原和检测)

图4-8 恶意代码事件日志效果验证

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们