- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-安全事件处置策略典型配置举例
本章节下载: 07-安全事件处置策略典型配置举例 (310.90 KB)
安全事件是高级威胁检测产品的核心功能之一。关联分析引擎实时对出现的各类报警事件进行关联统计分析后生成安全事件,并可以根据事件处置策略通知用户。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解TCP/IP协议原理和IPv4、IPv6基本特性。
· 高级威胁检测产品WEB管理端推荐使用Chrome浏览器进行访问操作,使用其他浏览器可能会出现兼容性问题;
· 目前支持的通知方式只有邮件通知和弹窗通知。
用户希望发现计算机病毒后能够收到提示。
(1) 登录Web管理端。
(2) 开启相应的关联分析模型。
(3) 配置事件处置方式。
(4) 配置事件处置策略。
(1) 登录Web管理端
如下图所示,打开Chrome浏览器,使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统,默认的用户名和密码是admin/Admin@123(采用默认密码登录后必须修改密码并重新登录,方可正常使用WEB管理端),并点击<登录>按钮。
(2) 配置开启恶意文件检测关联模型
通过页面上方菜单栏进入“策略 – 模型策略–关联分析模型”菜单,检索恶意文件检测规则,如下图所示;
默认的规则对威胁等级为低、中、高的都进行匹配, 可以根据需要调整。
图4-3 确认规则已经启动
通过页面上方菜单栏进入“分析处置 – 事件处置–处置方式配置”菜单,点击右下角“+”号新增处置方式配置,如下图所示;
填写配置后保存。
(4) 配置事件处置策略
通过页面上方菜单栏进入“分析处置 – 事件处置–事件处置策略”菜单,点击右下角“+”号新增事件处置策略配置,事件处理动作可以选择刚才配置的邮件的方式,可以选择弹窗通知方式,如下图所示;
(1) 高级威胁检测产品正常接入端口镜像流量,并回放含有病毒样本的流量,从“监控 – 系统监控”菜单页面中的“网络流量监控”趋势图确认流量已正常接入且流量大小符合预期,如下图所示;
(2) 查看“事件日志 – 安全事件”菜单页面中的“事件”选项,确认已经产生“恶意文件检测”的安全事件,如下图所示。
(3) 登录配置的接收者邮箱,查看报警邮件。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
