欢迎user
09-威胁检测规则典型配置举例
本章节下载: 09-威胁检测规则典型配置举例 (340.13 KB)
本文档介绍终端安全管理系统威胁检测功能配置举例。威胁检测功能包括文件威胁和注册表威胁功能。
文件威胁检测是主要检测客户端发生大量文件被修改、删除。
注册表威胁检测是主要检测客户端注册表的关键路径被修改、删除、增加异常项。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解威胁检测和注册表威胁特性。
终端安全管理系统组网方式比较简单,只要网络可达即可。
在终端设备安装控制中心后,客户端可以自动连接到控制中心。管理员可直接通过WEB浏览器进行管理。
控制中心安装参见《H3C SecCenter CSAP-ESM终端安全管理系统 安装指导》。
· 登录控制中心EDR系统。
· 监控客户端发生大量文件被修改、删除。
· 监控客户端的注册表关键路径被修改、删除、增加异常项。
打开浏览器输入控制中心地址进入控制中心登录页面,点击<进入控制中心>进入账号登录页面,输入账号密码和验证码,初始账号为admin,密码为admin。
选择<EDR>,点击<登录>进入终端安全管理系统EDR首页。
图1 进入控制中心
图2 登录窗口
选择<EDR管理>,点击<EDR配置>,打开EDR详细配置窗口。点击<任务上报设置>页,可开始设置上报设置项。
图3 EDR配置
图4 威胁检测设置
默认全部勾选,但目前系统仅支持文件威胁和注册表威胁检测。
(1) 验证文件威胁:在指定机器上使用工具生成2000个文件。
(2) 验证注册表威胁:在指定机器上使用工具修改注册表关键路径。
(3) 查看威胁时间上报:查看<首页>/<EDR信息采集>/<威胁事件上报>信息。
(4) 上报的Syslog服务器的信息,可通过关键字:EdrDetectInfo查看。(操作说明见《Syslog服务器配置和使用.docx》)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!