- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-自定义策略匹配典型配置举例
本章节下载: 05-自定义策略匹配典型配置举例 (293.08 KB)
自定义策略匹配,指通过可选的自定义用户行为监控策略配置,对接入流量中的相关用户行为进行检测匹配并告警;目前支持的自定义规则策略包括:
· 电子邮件策略:定义用户异常的邮件行为;
· WEB访问策略:定义用户异常的WEB访问行为;
· 远程控制策略:定义用户异常的远程控制行为,如通过指定远程控制协议访问目标主机;
· 文件传输策略:定义用户异常的文件传输行为;
· 网络端口策略:当用户用指定端口和网络协议访问主机时,进行告警。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解TCP/IP协议原理和IPv4、IPv6基本特性,以及WEB访问基本原理。
高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题。
(1) 用户希望检测到指定名称的文件即告警;
(2) 用户希望检测到指定的网站地址访问即告警;
(1) 登录Web管理端。
(2) 配置“文件传输策略”,监控文件名称为“test”的文件传输。
(3) 配置“WEB访问策略”,监控用户对于“www.baidu.com”的访问。
(1) 登录Web管理端
如下图所示,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。
(2) 配置“文件传输策略”,监控文件名称为“test”的文件传输
通过页面上方菜单栏进入“策略 – 自定义规则”菜单页面,默认没有任何自定义规则策略,需要用户手动添加自定义策略配置;
点击页面左下角“+”按钮,添加一条自定义规则策略,如下图所示;
选择策略类型为“文件传输策略”,配置策略名称为“测试文件传输策略”,文件名称配置为“test”,优先级设置为“1”(优先级代表同一类的规则策略,如果具备同时匹配命中条件,命中一个优先级高的之后其他低优先级的就不再匹配,数字越大优先级越高,一般保持默认为1即可),其他配置保持默认值即可,如下图所示;
点击<保存>按钮完成配置;
(3) 配置“WEB访问策略”,监控网站地址为“www.baidu.com”的WEB访问
通过页面上方菜单栏进入“策略 – 自定义规则”菜单页面,默认没有任何自定义规则策略,需要用户手动添加自定义策略配置;
点击页面左下角“+”按钮,添加一条自定义规则策略,如图4-2;
选择策略类型为“WEB访问策略”,配置策略名称为“WEB test”,网站地址配置为“www.baidu.com”,优先级设置为“1”(优先级代表同一类的规则策略,如果具备同时匹配命中条件,命中一个优先级高的之后其他低优先级的就不再匹配,数字越大优先级越高,一般保持默认为1即可),其他配置保持默认值即可,如下图所示;
点击<保存>按钮完成配置;
(4) 配置完成效果图
图4-5 添加文件传输策略、WEB访问策略配置效果图
(1) 高级威胁检测产品正常接入端口镜像流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;
(2) 查看“事件日志 – 基础事件 – 自定义事件”菜单页面,当流量中检测到文件名为“test”的文件传输,或者网站地址为“www.baidu.com”的WEB访问,将产生事件告警日志,如下图所示,符合预期;
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
