欢迎user
11-终端联动规则典型配置举例
本章节下载: 11-终端联动规则典型配置举例 (510.80 KB)
本文档介绍终端安全管理系统终端联动功能配置举例。
终端联动可以对:目的IP、目的域名、目的URL设置规则,执行对相关进程的提醒、中断连接、终止执行的进程;可以根据 文件MD5、文件名设置规则,执行对相关文件的提醒、删除、隔离、终止执行的进程。
本文主要介绍设置目的IP规则和设置文件MD5规则。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解终端联动特性。
终端安全管理系统组网方式比较简单,只要网络可达即可。
在终端设备安装控制中心后,客户端可以自动连接到控制中心。管理员可直接通过WEB浏览器进行管理。
控制中心安装参见《H3C SecCenter CSAP-ESM终端安全管理系统 安装指导》。
· 登录控制中心EDR系统。
· 监控客户端,当客户端访问指定URL时,提醒、中断连接、终止执行的进程。
· 监控客户端,当客户端操作指定MD5值的文件时,进行提醒、隔离文件、删除文件、并终止执行操作的进程。
打开浏览器输入控制中心地址进入控制中心登录页面,点击<进入控制中心>进入账号登录页面,输入账号密码和验证码,初始账号为admin,密码为admin。
选择<EDR>,点击<登录>进入终端安全管理系统EDR首页。
图1 进入控制中心
图2 登录窗口
选择<EDR管理>,点击<EDR配置>,打开EDR详细配置窗口。点击<任务上报设置>页,可开始设置上报设置项。
图3 EDR配置
在<任务上报设置>页,选择<终端联动规则>,点击<添加规则>按钮,弹出窗口,可设置规则。
图4 设置联动规则
需设置类型为目的IP,行为分别为:提醒、切断连接、终止执行操作的进程的规则。点击<确定>按钮,联动规则添加成功。
(图中IP为百度IP,可以使用cmd工具,执行命令:ping www.baidu.com即可获得)
图5 添加规则
需设置类型为文件MD5,行为分别为:提醒、隔离文件、删除文件、终止执行操作的进程的规则。点击<确定>按钮,联动规则添加成功。
图6 应用联动规则
点击<全部应用>按钮,则终端联动规则下发成功。
获得MD5值方法:管理员打开客户端,查看其进程快照,如图。
点击选择的进程ID,可以打开一个网页,获得该进程的MD5值。
(1) 验证访问指定IP:访问www.baidu.com(本机访问该域名解析到的ip为112.80.248.76),提示无法访问此页面,但并不会终止浏览器进程。
(2) 验证指定文件MD5值:在客户端执行MD5值相对应的程序,则打开该文件时被系统删除。
(3) 验证终端联动规则:选择<联动与响应>,可查看规则被响应的次数如下图。
点击规则前的,可查看规则被响应的具体信息。已响应的终端和未响应终端比例,以及已响应终端的IP和响应时间。
(4) 上报的Syslog服务器的信息,可通过关键字:ActionRuleReport查看。(操作说明见《Syslog服务器配置和使用.docx》)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!