H3C SecCenter 安全威胁发现与运营管理平台 典型配置举例(E1143)-5W101

01-响应编排典型配置举例

本章节下载  (4.64 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_SecCenter_CSAP/Configure/Typical_Configuration_Example/H3C_SecCenter_CE(E1143)/202103/1395997_30005_0.htm

01-响应编排典型配置举例

H3C安全威胁发现与运营管理平台

响应编排典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。


  录

1 简介

2 配置前提

3 配置举例

3.1 防火墙设备联动场景

3.1.1 组网需求

3.1.2 配置思路

3.1.3 使用版本

3.1.4 配置注意事项

3.1.5 配置步骤

3.1.6 验证配置

3.2 入侵防御设备联动场景

3.2.1 组网需求

3.2.2 配置思路

3.2.3 使用版本

3.2.4 配置注意事项

3.2.5 配置步骤

3.2.6 验证配置

3.3 交换机联动场景

3.3.1 组网需求

3.3.2 配置思路

3.3.3 使用版本

3.3.4 配置注意事项

3.3.5 配置步骤

3.3.6 验证配置

3.4 路由器联动场景

3.4.1 组网需求

3.4.2 配置思路

3.4.3 使用版本

3.4.4 配置注意事项

3.4.5 配置步骤

3.4.6 验证配置

3.5 Web应用防火墙联动场景

3.5.1 组网需求

3.5.2 配置思路

3.5.3 使用版本

3.5.4 配置注意事项

3.5.5 配置步骤

3.5.6 验证配置

3.6 无线AC设备联动场景

3.6.1 组网需求

3.6.2 配置思路

3.6.3 使用版本

3.6.4 配置注意事项

3.6.5 配置步骤

3.6.6 验证配置

3.7 ACG设备联动场景

3.7.1 组网需求

3.7.2 配置思路

3.7.3 使用版本

3.7.4 配置注意事项

3.7.5 配置步骤

3.7.6 验证配置

3.8 智能管理平台联动场景

3.8.1 组网需求

3.8.2 配置思路

3.8.3 使用版本

3.8.4 配置注意事项

3.8.5 配置步骤

3.8.6 验证配置

3.9 终端EDR联动场景

3.9.1 组网需求

3.9.2 配置思路

3.9.3 使用版本

3.9.4 配置注意事项

3.9.5 配置步骤

3.9.6 验证配置

3.10 邮件通知联动场景

3.10.1 组网需求

3.10.2 配置思路

3.10.3 使用版本

3.10.4 配置注意事项

3.10.5 配置步骤

3.10.6 验证配置

 


1  简介

本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)响应编排功能的配置案例。

响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、IMC系统、终端安全管理系统等,下发联动动作,如:告警通知、处置工单、黑名单、访问控制、网站阻断、无线接入、上网阻断、用户下线、全网主机扫描、EDR告警提醒、EDR病毒查杀、EDR病毒隔离、EDR进程查杀、EDR主机隔离等。从而通过CSAP平台对安全事件进行事件处置与响应。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP平台和第三方平台产品功能特性。

3  配置举例

3.1  防火墙设备联动场景

3.1.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了防火墙设备(以下简称FW设备),在CSAP平台上配置响应编排剧本及案件,联动下发至FW设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。

 

3.1.2  配置思路

·              FW设备配置接口地址并加入安全域,添加安全策略

·              FW设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用

·              FW设备配置日志发送

·              FW设备配置流量日志发送

·              FW设备配置NETCONF认证开启

·              CSAP平台区域、资产配置

·              CSAP平台数据源配置

·              CSAP平台编排剧本及案件配置

3.1.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,FW设备型号为F5000-C,版本为Feature 9342P19。

3.1.4  配置注意事项

CSAP平台、FW设备之间网络互通。

3.1.5  配置步骤

1. FW设备配置

(1)      配置http服务,开启http服务并创建管理用户,使管理PC能够通过Web登录设备。

[H3C]ip http enable

[H3C]ip https enable

[H3C]local-user admin

[H3C-luser-manage-admin]password simple admin

[H3C-luser-manage-admin]service-type http https

[H3C-luser-manage-admin]authorization-attribute user-role network-admin

[H3C-luser-manage-admin]authorization-attribute user-role network-operator

(2)      配置接内外网接口并加到安全域

[H3C]int GigabitEthernet 1/0/0

[H3C-GigabitEthernet1/0/1]port link-mode route

[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-mode route

[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24

[H3C] int GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port link-mode route

[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24

[H3C]security-zone name Trust

[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1

[H3C]security-zone name Untrust

[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2

(3)      登录FW设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常

 

(4)      选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息

 

¡  名称:配置为“安全策略01”

¡  源安全域:选择“Trust”

¡  目的安全域:选择“Untrust”

¡  类型:选择“IPv4”

¡  动作:选择“允许”

(5)      配置内容安全如下:

 

¡  IPS策略:选择“default”

¡  防病毒策略:选择“default”

¡  记录日志:选择“关闭”

¡  开启策略匹配统计:选择“关闭”

¡  启用策略:选择“开启”

(6)      点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下。

 

¡  名称:配置为“URL过滤”

¡  缺省动作:选择“允许”

¡  记录日志:勾选

¡  URL过滤分类:除自定义分类外全部勾选

¡  记录日志:全部勾选

(7)      选择新建的URL过滤策略并引用

 

说明

·          安全策略记录日志开启会影响设备性能,默认不开启。

·          安全策略保存后,需在安全策略页面点击“提交”才能生效。

 

(8)      选择“系统 > 日志设置 > 威胁日志”,进行如下配置

 

¡  入侵防御日志-输出快速日志:勾选

¡  入侵防御日志-输出中文日志:勾选

¡  防病毒日志-输出系统日志:勾选

(9)      配置完成后点击“应用”使配置生效。

(10)   选择“系统 > 日志设置 > URL过滤日志”,进行如下配置

 

¡  日志类型:选择“系统日志”

¡  开启URL过滤日志:勾选

(11)   选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置

 

¡  是否将系统日志输出到日志缓冲区:勾选

(12)   点击<新建>,新建日志主机,配置如下。

 

·              日志主机:配置为“186.64.9.125”,即CSAP平台的被动采集器IP

·              端口号:缺省为“514”

(13)   选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置

 

¡  日志信息时间戳:选择“设备本地时间”

¡  日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址

(14)   点击<新建>,新建日志主机,配置如下。

 

¡  日志主机:配置为“186.64.9.125”,即CSAP平台的被动采集器IP

¡  端口号:缺省为“514”

¡  URL过滤日志:勾选

¡  入侵防御日志:勾选

(15)   选择“系统 > 会话设置 > 高级设置”,进行如下配置

 

¡  会话统计:开启

(16)   选择“系统 > 日志设置 > 会话日志”,进行如下配置

 

¡  日志类型:选择“快速日志”

¡  记录删除会话的日志:勾选

¡  流量阈值:选择“字节流量”,配置为1兆字节

(17)   点击<添加接口>,配置如下。

 

¡  IP类型:选择“IPv4”

¡  接口:选择“GE1/0/1”(实际组网中请按照需检测流量的接口设置)

¡  入方向:勾选

¡  出方向:勾选

(18)   登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH

 

2. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产1,配置如下。

 

·              资产名称:配置为“资产172.0.0.1”

·              资产类型:选择“主机-服务器”

·              所属区域:选择系统已配置的区域项,本例选择“区域1”

·              生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.1”

¡  管理IP:需勾选为管理IP

(4)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。

 

¡  资产名称:配置为“FW186.64.0.118”

¡  资产类型:选择“安全设备-防火墙”

¡  所属区域:选择系统已配置的区域项,本例选择“区域1”

¡  生产厂商:选择“H3C”

(5)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.0.118”

¡  管理IP:需勾选为管理IP

(6)      单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”配置如下。

 

¡  访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”

¡  SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”

¡  访问路径:默认配置“/soap/netconf”

¡  用户名:配置为“admin”

¡  密码:配置为“Admin@123”

(7)      选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。

 

¡  名称:配置为“FW118”

¡  IP:配置为“186.64.0.118”

¡  设备类型:选择“防火墙”

¡  厂商:选择“H3C”

¡  设备型号:选择“F5000系列(V7)”

¡  采集器名称:选择“186.64.9.125:passive”

¡  采集器IP:选择“186.64.9.125”

(8)      单击<新增>,配置新增端口信息,配置如下。

 

·              日志类型:选择“Syslog”

·              端口号:默认配置为“514”

·              字符集:配置为“utf8”

(9)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。

 

¡  剧本名称:配置为“防火墙联动”

¡  黑名单执行目标配置:

-      设备类型:勾选“NGFW/IPS”

-      选择设备:配置为“FW186.64.0.118”

¡  黑名单动作配置:

-      阻断对象:勾选“关注点IP”

-      阻断方向:勾选“发起方向”

-      老化时间:配置为“600”

¡  访问控制执行目标配置:

-      设备类型:勾选“NGFW/IPS”

-      选择设备:配置为“FW186.64.0.118”

(10)   选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。

 

¡  案件名称:配置为“防火墙联动案件”

¡  是否启用:配置为“是”

¡  风险类型:默认勾选为“安全事件”

¡  规则名称:配置为“外网漏洞利用攻击”

¡  失陷确信度:默认不勾选,此例全部勾选

¡  事件等级:默认不勾选,此例全部勾选

¡  剧本:配置为“防火墙联动”

¡  剧本是否自动执行:配置为“是”

3.1.6  验证配置

(1)      构造“资产172.0.0.1”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“已执行”。

 

(2)      单击操作栏<编排详情>,查看剧本执行结果。

 

(3)      登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s。

 

(4)      登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶。

 

(5)      待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表。

 

3.2  入侵防御设备联动场景

3.2.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了入侵防御设备(以下简称IPS设备),在CSAP平台上配置响应编排剧本及案件,联动下发至IPS设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。

 

3.2.2  配置思路

·              IPS设备配置接口地址并加入安全域,添加安全策略

·              IPS设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用

·              IPS设备配置日志发送

·              IPS设备配置流量日志发送

·              IPS设备配置NETCONF认证开启

·              CSAP平台区域、资产配置

·              CSAP平台数据源配置

·              CSAP平台编排剧本及案件配置

3.2.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,IPS设备型号为T1080,版本为Release 8524P37。

3.2.4  配置注意事项

CSAP平台、IPS设备之间网络互通。

3.2.5  配置步骤

1. IPS设备配置

(1)      配置http服务,开启http服务并创建管理用户,使管理PC能够通过web登录设备进行管理。

[H3C]ip http enable

[H3C]ip https enable

[H3C]local-user admin

[H3C-luser-manage-admin]password simple admin

[H3C-luser-manage-admin]service-type http https

[H3C-luser-manage-admin]authorization-attribute user-role network-admin

[H3C-luser-manage-admin]authorization-attribute user-role network-operator

(2)      配置接内外网接口并加到安全域

[H3C]int GigabitEthernet 1/0/0

[H3C-GigabitEthernet1/0/1]port link-mode route

[H3C-GigabitEthernet1/0/1]ip address 186.64.6.172 16

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-mode route

[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24

[H3C] int GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2]port link-mode route

[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24

[H3C]security-zone name Trust

[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1

[H3C]security-zone name Untrust

[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2

(3)      登录IPS设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常。

 

(4)      选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略。

 

¡  名称:配置为“安全策略01”

¡  源安全域:选择“Trust”

¡  目的安全域:选择“Untrust”

¡  类型:选择“IPv4”

¡  动作:选择“允许”

¡  IPS策略:选择“default”

¡  防病毒策略:选择“default”

¡  记录日志:选择“关闭”

¡  开启策略匹配统计:选择“关闭”

¡  启用策略:选择“开启”

(5)      点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下。

 

¡  名称:配置为“URL过滤”

¡  缺省动作:选择“允许”

¡  记录日志:勾选

¡  URL过滤分类:除自定义分类外全部勾选

¡  记录日志:全部勾选

(6)      选择新建的URL过滤策略并引用

 

说明

·          安全策略记录日志开启会影响设备性能,默认不进行开启。

·          安全策略保存后,需在安全策略页面进行“提交”。

 

(7)      选择“系统 > 日志设置 > 威胁日志”,进行如下配置。

 

¡  入侵防御日志-输出快速日志:勾选

¡  入侵防御日志-输出中文日志:勾选

¡  防病毒日志-输出系统日志:勾选

(8)      配置完成后需点击“应用”生效。

(9)      选择“系统 > 日志设置 > URL过滤日志”,进行如下配置。

 

¡  日志类型:选择“系统日志”

¡  开启URL过滤日志:勾选

(10)   选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置。

 

¡  是否将系统日志输出到日志缓冲区:勾选

(11)   点击<新建>,新建日志主机,配置如下。

 

¡  日志主机:配置为“186.64.9.125”,为CSAP平台的被动采集器IP

¡  端口号:缺省为“514”

(12)   选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置。

 

¡  日志信息时间戳:选择“设备本地时间”

¡  日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址

(13)   点击<新建>,新建日志主机,配置如下。

 

¡  日志主机:配置为“186.64.9.125”,为CSAP平台的被动采集器IP

¡  端口号:缺省为“514”

¡  URL顾虑日志:勾选

¡  入侵防御:勾选

(14)   选择“系统 > 会话设置 > 高级设置”,进行如下配置。

 

¡  会话统计:开启

(15)   选择“系统 > 日志设置 > 会话日志”,进行如下配置。

 

¡  日志类型:选择“快速日志”

¡  记录删除会话的日志:勾选

¡  流量阈值:选择“字节流量”,配置为1兆字节

(16)   点击<添加接口>,配置如下。

 

¡  IP类型:选择“IPv4”

¡  接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)

¡  入方向:勾选

¡  出方向:勾选

(17)   登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。

 

2. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域2”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产3,配置如下。

 

¡  资产名称:配置为“资产172.0.0.2”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域2”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.2”

¡  管理IP:需勾选为管理IP

(4)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。

 

¡  资产名称:配置为“IPS186.64.6.172”

¡  资产类型:选择“安全设备-入侵防御”

¡  所属区域:选择系统已配置的区域项,本例选择“区域2”

¡  生产厂商:选择“H3C”

(5)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.6.172”

¡  管理IP:需勾选为管理IP

(6)      单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。

 

¡  访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”

¡  SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”

¡  访问路径:默认配置“/soap/netconf”

¡  用户名:配置为“admin”

¡  密码:配置为“Admin@12345”

(7)      选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。

 

¡  名称:配置为“IPS172”

¡  IP:配置为“186.64.6.172”

¡  设备类型:选择“入侵防御系统”

¡  厂商:选择“H3C”

¡  设备型号:选择“T1000系列(V7)”

¡  采集器名称:选择“186.64.9.125:passive”

¡  采集器IP:选择“186.64.9.125”

a.   单击<新增>,配置新增端口信息,配置如下。

 

¡  日志类型:选择“Syslog”

¡  端口号:默认配置为“514”

¡  字符集:配置为“utf8”

(8)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。

 

¡  剧本名称:配置为“IPS联动剧本”

¡  黑名单执行目标配置:

-      设备类型:选择“NGFW/IPS”

-      选择设备:配置为“IPS186.64.6.172”

¡  黑名单动作配置:

-      阻断对象:勾选“关注点IP”

-      阻断方向:勾选“发起方向”

-      老化时间:未配置,为空则表示黑名单永不老化

¡  访问控制执行目标配置:

-      设备类型:配置为“NGFW/IPS”

-      选择设备:配置为“IPS186.64.6.172”

3.2.6  验证配置

(1)      构造“资产172.0.0.2”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“未执行”。

 

(2)      单击操作栏<编排配置>,选择剧本“IPS联动剧本”,点击<确认>,下发剧本编排。

 

(3)      再次单击操作栏<编排详情>,查看剧本执行结果。

 

(4)      登录IPS设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2,添加至黑名单列表,无老化时间。

 

(5)      登录IPS设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶。

 

(6)      单击编排详情页面<撤销执行>,策略回滚成功。

 

(7)      登录IPS设备,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2黑名单已删除。

 

(8)      登录IPS设备,再次点击“策略 > 安全策略 > 安全策略”,查看访问控制策略已删除。

 

3.3  交换机联动场景

3.3.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。

 

3.3.2  配置思路

·              交换机设备配置NETCONF认证开启

·              CSAP平台区域、资产配置

·              CSAP平台编排剧本及案件配置

3.3.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.0707562。

3.3.4  配置注意事项

CSAP平台、交换机设备之间网络互通。

交换机默认业务配置已互通。

3.3.5  配置步骤

1. 交换机设备配置

(1)      登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。

 

2. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。

 

¡  资产名称:配置为“资产172.0.0.3”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域3”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.3”

¡  管理IP:需勾选为管理IP

(4)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产5,配置如下。

 

¡  资产名称:配置为“交换机186.64.0.108”

¡  资产类型:选择“网络设备-交换机”

¡  所属区域:选择系统已配置的区域项,本例选择“区域3”

¡  生产厂商:选择“H3C”

(5)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.0.108”

¡  管理IP:需勾选为管理IP

(6)      单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。

 

¡  访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”

¡  SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”

¡  访问路径:默认配置“/soap/netconf”

¡  用户名:配置为“admin”

¡  密码:配置为“admin”

(7)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。

 

¡  剧本名称:配置为“交换机联动剧本”

¡  黑名单执行目标配置:

-      设备类型:选择“交换机/路由器”

-      选择设备:配置为“交换机186.64.0.108”

¡  黑名单动作配置:

-      阻断对象:勾选“关注点IP”

-      阻断方向:勾选“发起方向”

-      ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”

 

¡  访问控制执行目标配置:

-      设备类型:配置为“交换机/路由器”

-      选择设备:配置为“交换机186.64.0.108”

¡  访问控制动作配置:

-      ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”

3.3.6  验证配置

(1)      构造“资产172.0.0.3”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。

 

(2)      单击操作栏<编排配置>,选择剧本“交换机联动剧本”,点击<确认>,下发剧本编排。

 

(3)      再次单击操作栏<编排详情>,查看剧本执行结果。

 

(4)      登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3800和3801的规则组,规则数量分别为1。

 

(5)      点击3800规则数量,查看规则组信息。

 

(6)      点击3801规则数量,查看规则组信息。

 

3.4  路由器联动场景

3.4.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了路由器设备,在CSAP平台上配置响应编排剧本及案件,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。

 

3.4.2  配置思路

·              路由器设备配置NETCONF认证开启

·              CSAP平台区域、资产配置

·              CSAP平台编排剧本及案件配置

3.4.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,路由器设备型号为VSR1000,版本为7.1.064, Release 0621P18。

3.4.4  配置注意事项

CSAP平台、路由器设备之间网络互通。

路由器默认业务配置已互通。

3.4.5  配置步骤

1. 路由器设备配置

(1)      登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。

 

2. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域4”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产6,配置如下。

 

¡  资产名称:配置为“资产172.0.0.4”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域4”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.4”

¡  管理IP:需勾选为管理IP

(4)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产7,配置如下。

 

¡  资产名称:配置为“路由器186.64.6.180”

¡  资产类型:选择“网络设备-路由器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域4”

¡  生产厂商:选择“H3C”

(5)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.6.180”

¡  管理IP:需勾选为管理IP

(6)      单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。

 

¡  访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”

¡  SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”

¡  访问路径:默认配置“/soap/netconf”

¡  用户名:配置为“admin”

¡  密码:配置为“Admin@123456”

(7)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。

 

¡  剧本名称:配置为“路由器联动剧本”

¡  黑名单执行目标配置:

-      设备类型:选择“交换机/路由器”

-      选择设备:配置为“路由器186.64.6.180”

¡  黑名单动作配置:

-      阻断对象:勾选“关注点IP”

-      阻断方向:勾选“发起方向”

-      ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”

 

¡  访问控制执行目标配置:

-      设备类型:配置为“交换机/路由器”

-      选择设备:配置为“路由器186.64.6.180”

¡  访问控制动作配置:

-      ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”

3.4.6  验证配置

(1)      构造“资产172.0.0.4”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。

 

(2)      单击操作栏<编排配置>,选择剧本“路由器联动剧本”,点击<确认>,下发剧本编排。

 

(3)      再次单击操作栏<编排详情>,查看剧本执行结果。

 

(4)      登录路由器设备后台,输入display acl 3800,查看ACL编号为3800的规则组信息。

 

(5)      输入display acl 3801,查看ACL编号为3801的规则组信息。

 

3.5  Web应用防火墙联动场景

3.5.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了Web应用防火墙设备(以下简称WAF设备),在CSAP平台上配置响应编排剧本及案件,联动下发至WAF设备,实现CSAP平台自动/手动下发网站阻断策略。

 

3.5.2  配置思路

·              CSAP平台配置区域、资产配置

·              CSAP平台编排剧本及案件配置

3.5.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,WAF设备型号为W2000-V500-G2,版本为Version 3.1, E6203P04。

3.5.4  配置注意事项

CSAP平台、WAF设备之间网络互通。

3.5.5  配置步骤

1. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域5”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产8,配置如下。

 

¡  资产名称:配置为“资产172.0.0.5”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域5”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.5”

¡  管理IP:需勾选为管理IP

(4)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置网站阻断动作,配置如下。

 

¡  剧本名称:配置为“WAF联动剧本”

¡  执行目标配置:

-      设备类型:选择“WAF”

¡  动作配置:

-      检测方向:勾选“源”

-      URL:配置为“https://186.64.6.178”

-      用户:配置为“admin”

-      密码:配置为“Admin@123456”

3.5.6  验证配置

(1)      构造“资产172.0.0.5”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。

 

(2)      单击操作栏<编排配置>,选择剧本“WAF联动剧本”,点击<确认>,下发剧本编排。

 

(3)      再次单击操作栏<编排详情>,查看剧本执行结果。

 

(4)      登录WAF设备,点击“访问控制 > 黑名单”,查看策略下发成功。

 

3.6  无线AC设备联动场景

3.6.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了无线AC设备,组网中存在终端主机登录至无线AC设备。在CSAP平台上配置响应编排剧本及案件,实现CSAP平台自动/手动下发无线接入策略。

 

3.6.2  配置思路

·              用户终端通过无线网接入无线AC设备

·              CSAP平台资产配置

·              CSAP平台编排剧本及案件配置

3.6.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,无线AC设备型号为WX2560H,版本为7.1.064, Release 5436,AP型号为WA6320,版本为7.1.064, Release 2436。

3.6.4  配置注意事项

CSAP平台、无线AC设备及终端主机之间网络互通。

3.6.5  配置步骤

1. 无线AC设备

(1)      登录无线AC设备管理平台,选择“无线配置 > AP管理”,查看AP服务状态在线,状态标记为蓝色时表示在线。

 

(2)      选择“无线配置 > 无线网络”,查看“csap-app”无线服务状态开启,状态标记为蓝色时表示开启。

 

(3)      登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。

 

2. 手机终端

(1)      手机终端连接无线网络“csap-app”,在手机端能够查看网络接入IP地址。

 

(2)      登录无线AC设备管理平台,选择“监控  >  客户端 > 客户端数量”,查看客户端详情与接入网络的终端设备信息一致。

 

3. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产1,配置如下。

 

¡  资产名称:配置为“Phone”

¡  资产类型:选择“主机-终端”

¡  所属区域:选择系统已配置的区域项,本例选择“区域1”

¡  生产厂商:选择“Apple”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.200.44”

¡  管理IP:需勾选为管理IP

(4)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。

 

¡  资产名称:配置为“无线AC”

¡  资产类型:选择“网络设备-无线AC”

¡  所属区域:选择系统已配置的区域项,本例选择“区域1”

¡  生产厂商:选择“H3C”

(5)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.0.20”

¡  管理IP:需勾选为管理IP

(6)      单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。

 

¡  访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”

¡  SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”

¡  访问路径:默认配置“/soap/netconf”

¡  用户名:配置为“admin”

¡  密码:配置为“Admin@12345”

(7)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置无线接入动作,配置如下。

 

¡  剧本名称:配置为“无线AC”

¡  执行目标配置:

-      设备类型:默认配置为“AC”

-      选择设备:配置为“无线AC”

¡  动作配置:

-      地址类型:默认配置为“IP”,可切换为“MAC”

-      老化时间:配置为“30”

(8)      选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。

 

¡  案件名称:配置为“无线AC”

¡  是否启用:配置为“是”

¡  风险类型:选择“安全事件”

¡  规则名称:配置为“外网漏洞利用攻击”

¡  失陷确信度:默认不勾选,可选择勾选“已失陷”、“高可疑”、“低可疑”,此例全部勾选

¡  事件严重级别:默认不勾选,可选择勾选“严重”、“高危”、“中危”、“低危”,此例全部勾选

¡  剧本:配置为“无线AC”

¡  剧本是否自动执行:配置为“否”

3.6.6  验证配置

(1)      构造资产“Phone”的安全事件1,规则名称为“外网漏洞利用攻击”。点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为待执行。待执行状态表示安全事件已匹配到案件,但未下发执行。

 

(2)      点击操作栏<编排详情>按钮,查看页面提示“是否手动下发无线AC案件的剧本?”。

 

(3)      点击“是”,下发剧本动作执行,再次点击操作栏<编排详情>按钮,查看执行结果。

 

(4)      构造资产“Phone”的安全事件2,规则名称为“内网漏洞利用攻击”。点击“处置中心 > 安全事件 > 详情模式”,安全事件2的编排状态为未执行。

 

(5)      点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“无线AC”剧本。

 

(6)      点击<确认>,下发剧本动作执行,再次点击操作栏<编排详情>按钮,查看执行结果。

 

(7)      “用户黑名单”动作下发执行成功后,手机终端再次接入无线网络,提示“无法加入网络‘csap-app‘”。

 

(8)      登录无线AC设备管理平台,选择“监控 > 客户端>客户端数量”,查看客户端下线成功。

 

(9)      老化时间结束后,客户端再次登录成功。

 

3.7  ACG设备联动场景

3.7.1  组网需求

如下图所示组网中,部署了CSAP平台,并且组网中安装了ACG设备,在CSAP平台上配置响应编排剧本及案件,联动下发至ACG设备,实现CSAP平台自动/手动下发上网阻断策略。

 

3.7.2  配置思路

·              CSAP平台配置区域、资产配置

·              CSAP平台编排剧本配置

3.7.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,ACG设备型号为ACG1000-AK210,版本为Version 1.10,Release 6612。

3.7.4  配置注意事项

CSAP平台、ACG设备之间网络互通。

3.7.5  配置步骤

1. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。

 

¡  资产名称:配置为“资产172.0.0.6”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域3”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“172.0.0.6”

¡  管理IP:需勾选为管理IP

(4)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置上网阻断动作,配置如下。

 

¡  剧本名称:配置为“ACG联动剧本”

¡  执行目标配置:

-      设备类型:选择“ACG”

¡  动作配置:

-      老化时间:配置为“5分钟”

-      URL:配置为“http://186.64.8.54”

-      用户:配置为“admin”

-      密码:配置为“Admin@123”

3.7.6  验证配置

(1)      构造“资产172.0.0.6”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。

 

(2)      单击操作栏<编排配置>,选择剧本“ACG联动剧本”,点击<确认>,下发剧本编排。

 

(3)      再次单击操作栏<编排详情>,查看剧本执行结果。

 

(4)      登录ACG设备,点击“数据中心 > 系统监控 > 黑名单记录”,查看策略下发成功。

 

3.8  智能管理平台联动场景

3.8.1  组网需求

如下图所示组网中,部署了CSAP平台,并且旁挂部署了智能管理平台(以下简称IMC平台),组网中存在EAD用户通过iNode接入,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,下发用户下线动作至IMC平台,强制用户下线。

 

3.8.2  配置思路

·              IMC平台增加用户信息

·              EAD用户接入IMC平台

·              CSAP平台配置用户网段

·              CSAP平台编排剧本配置

·              CSAP平台编排案件配置

3.8.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,IMC平台版本为iMC PLAT 7.3 (E0506),EAD安全策略版本为iMC EAD 7.3 (E0504)。

3.8.4  配置注意事项

CSAP平台、IMC平台及EAD用户之间网络互通。

3.8.5  配置步骤

1. IMC平台配置

(1)      登录IMC平台,选择“系统管理 > 分组管理 > 用户分组”,点击<增加>,增加用户分组,配置如下。

 

¡  分组名称:配置为“用户组1”

(2)      选择“用户 > 接入策略管理 > 接入策略管理”,点击<增加>,增加接入策略,配置如下。

 

¡  接入策略名:配置为“策略1”

¡  业务分组:缺省配置为“未分组”

¡  说明:其他配置项使用缺省配置。

(3)      选择“用户 > 接入策略管理 > 接入服务管理”,点击<增加>,增加接入服务,配置如下。

 

¡  服务名:配置为“接入服务1”

¡  业务分组:缺省配置“未分组”

¡  缺省接入策略:缺省配置“策略1”

(4)      选择“用户 > 用户管理 > 增加用户”,配置如下。

 

¡  用户姓名:配置为“User1”

¡  证件号码:配置为“3864521”

¡  用户分组:选择“用户组1”

(5)      选择“用户 > 接入用户管理 > 接入用户”,点击<增加>,增加接入用户,配置如下。

 

¡  用户姓名:选择已配置用户“User1”

¡  账号名:配置为“user”

¡  密码:配置为“123456”

¡  密码确认:再次输入密码“123456”

¡  允许用户修改密码:勾选

¡  接入服务:选择“接入服务1”

2. EAD用户配置

(1)      登录主机,打开iNode智能客户端,配置Portal连接如下。

 

¡  服务器:配置为IMC平台管理地址,此例配置为“186.64.2.2”

¡  用户名:配置为“user”

¡  密码:配置为“123456”

¡  保存用户名:勾选

¡  保存密码:勾选

(2)      登录IMC平台,选择“用户 > 接入用户管理 > 在线用户”,查看账号名“user”接入用户在线。

 

3. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,配置如下。

 

(2)      选择“资产中心 > 用户配置 > 用户网段设置”,单击<新增>,增加用户网段,配置如下。

 

(3)      选择“处置中心 > 响应编排 > 剧本管理”,单击<新增>,添加用户下线动作,配置如下。

 

¡  剧本名称:配置为“IMC联动剧本”

¡  动作配置:

-      URL:IMC平台地址,配置为“http://186.64.2.2:8080”

-      用户名:配置为“admin”

-      密码:配置为“Admin@123”

(4)      登录CSAP平台,选择“处置中心 > 响应编排 > 案件管理”,单击<新增>,创建案件,配置如下。

 

¡  案件名称:配置为“IMC联动案件”

¡  是否启用:选择“是”

¡  风险类型:配置为“安全事件”

¡  攻击名称:非必填项,此处未配置

¡  规则名称:选择“内网漏洞利用攻击”

¡  失陷确信度:默认不勾选,此例全部勾选。

¡  事件等级:默认不勾选,此例全部勾选。

¡  剧本:选择“IMC联动剧本”

¡  剧本是否自动执行:选择“是”

3.8.6  验证配置

(1)      构造用户“10.1.0.32”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“已执行”。

 

(2)      单击操作栏<编排详情>,查看剧本执行结果。

 

(3)      登录用户主机,查看用户收到下线请求,用户离线。

 

3.9  终端EDR联动场景

3.9.1  组网需求

如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台(以下简称ESM)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。

 

3.9.2  配置思路

·              ESM平台配置日志上报

·              ESM平台配置日志服务器

·              CSAP平台区域、资产配置

·              CSAP平台数据源配置

·              CSAP平台应用平台配置

·              CSAP平台编排剧本及案件配置

3.9.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,ESM平台版本为Version 3.1, ESS 6902P01。

3.9.4  配置注意事项

CSAP平台、ESM平台及终端主机之间网络互通。

3.9.5  配置步骤

1. EDR客户端配置

(1)      登录至客户端下载中心,下载Agent。

 

(2)      安装Agent客户端,登录ESM平台,选择终端管理,查看客户端主机在线。

 

2. ESM平台配置

(1)      登录ESM平台,选择“系统管理 > 联动配置 > syslog上报设置”,选择客户端上报内容。

 

¡  选择上报内容:全部勾选

(2)      选择“系统管理 > 联动配置 > syslog服务配置”,配置日志上报的服务器信息。

 

¡  Syslog服务器IP:配置为“186.64.9.125”,为CSAP平台的被动采集器IP

¡  端口:配置为“514”

3. CSAP平台配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产5,配置如下。

 

¡  资产名称:配置为“主机186.64.100.108”

¡  资产类型:选择“主机-终端”

¡  所属区域:选择系统已配置的区域项,本例选择“区域3”

¡  生产厂商:选择“Microsoft”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“186.64.100.108”

¡  管理IP:需勾选为管理IP

(4)      选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮新建日志源,配置如下。

 

¡  名称:配置为“ESM”

¡  IP:配置为“186.64.2.17”,ESM平台管理地址

¡  设备类型:配置为“终端安全”

¡  厂商:配置为“H3C”

¡  设备型号:配置为“SecCenter CSAP-ESM”

¡  采集器名称:配置为“186.64.9.125:passive”

¡  采集器IP:配置为“186.64.9.125”

(5)      点击<新增>,新增端口信息,配置如下。

 

¡  日志类型:配置为“syslog”

¡  端口号:配置为“514”

¡  字符集:配置为“utf8”

(6)      选择“应用中心”页面,选择“终端安全管理系统”,单击<配置>按钮,配置终端安管理系统如下。

 

¡  应用名称:配置为“ESM17”

¡  应用类型:配置为“终端安全管理系统”

¡  配置方式:选择“方式三”

¡  账号:配置为“admin”

¡  密码:配置为“Admin@123”

¡  URL:配置为“https://186.64.2.17:7443”

(7)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。

 

¡  剧本名称:配置为“全网主机扫描及告警”

¡  动作:配置为“全网主机扫描”及“EDR告警提醒”

¡  全网主机扫描执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

 

¡  EDR告警提醒执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

¡  EDR告警提醒动作配置:

-      老化时间:未配置

(8)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。

 

¡  剧本名称:配置为“病毒查杀”

¡  动作:配置为“EDR病毒查杀”

¡  执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

¡  动作配置:

-      老化时间:配置为“1”小时

(9)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。

 

¡  剧本名称:配置为“病毒隔离”

¡  动作:配置为“EDR病毒隔离”

¡  执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

¡  动作配置:

-      老化时间:未配置

(10)   选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。

 

¡  剧本名称:配置为“进程查杀”

¡  动作:配置为“EDR进程查杀”

¡  执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

¡  动作配置:

-      老化时间:不配置

(11)   选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。

 

¡  剧本名称:配置为“主机隔离”

¡  动作:配置为“EDR主机隔离”

¡  执行目标配置:

-      设备类型:配置为“EDR”

-      EDR管理中心:配置为“ESM17”

¡  动作配置:

-      老化时间:不配置

3.9.6  验证配置

1. 验证全网主机扫描及EDR告警提醒

(1)      构造资产“主机186.64.100.108”的安全事件1,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为未执行。

 

(2)      点击操作栏<编排详情>按钮,选择剧本“全网主机扫描及告警”并下发。

 

(3)      再次点击操作栏<编排详情>按钮,查看执行结果。

 

(4)      登录ESM平台,点击“系统管理 > 联动配置 > MD5检测”,查看API接口下发策略记录,存在终端按MD5值检测文件。

 

(5)      登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。

 

(6)      点击操作栏<编排详情>按钮,查看全网主机扫描结果如下。

 

2. EDR病毒查杀验证

(1)      构造资产“主机186.64.100.108”的安全事件2,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件2的编排状态为未执行。

 

(2)      点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒查杀”剧本并下发。

 

(3)      再次点击操作栏<编排详情>按钮,查看执行结果。

 

(4)      登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。

 

3. EDR病毒隔离验证

(1)      构造资产“主机186.64.100.108”的安全事件3,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件3的编排状态为未执行。

 

(2)      点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒隔离”剧本并下发。

 

(3)      再次点击操作栏<编排详情>按钮,查看执行结果。

 

(4)      登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。

 

4. EDR进程查杀验证

(1)      构造资产“主机186.64.100.108”的安全事件4,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件4的编排状态为未执行。

 

(2)      点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“进程查杀”剧本并下发。

 

(3)      再次点击操作栏<编排配置>按钮,查看执行结果。

 

(4)      登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。

 

5. EDR主机隔离验证

(1)      构造资产“主机186.64.100.108”的安全事件5,规则名称为“恶意主机外联”。点击“处置中心 > 安全事件 > 详情模式”,安全事件5的编排状态为未执行。

 

(2)      点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“主机隔离”剧本并下发。

 

(3)      再次点击操作栏<编排配置>按钮,查看执行结果。

 

(4)      登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。

 

3.10  邮件通知联动场景

3.10.1  组网需求

如下图所示组网中,部署了CSAP平台、邮件服务器。在CSAP平台上配置邮件服务器和响应编排剧本及案件,实现CSAP平台威胁事件的告警通知和工单处置。

 

3.10.2  配置思路

·              CSAP平台邮件服务器配置

·              CSAP平台用户管理配置

·              CSAP平台区域、资产配置

·              CSAP平台数据源配置

·              CSAP平台编排剧本及案件配置

3.10.3  使用版本

本举例是在CSAP的E1143版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。

3.10.4  配置注意事项

·              在配置之前确保内外网路由可达

·              邮箱账号可用

·              CSAP外部通信地址可通过域名访问邮件服务器

3.10.5  配置步骤

1. CSAP邮件服务器配置

(1)      登录CSAP平台,选择“系统配置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置。

 

¡  协议:选择“SMTP”

¡  邮件服务器地址:本例配置为“186.64.200.39”

¡  端口号:对应发件服务器的端口,默认为25

¡  邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“Administrator@csap.com”

¡  密码:邮箱账号对应的密码

2. 用户管理中绑定用户邮箱

(1)      登录CSAP平台,选择“系统配置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。

 

3. 区域、资产配置

(1)      登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域及区域内IP网段,如下图所示。

 

(2)      选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。

 

¡  资产名称:配置为“资产170.1.0.1”

¡  资产类型:选择“主机-服务器”

¡  所属区域:选择系统已配置的区域项,本例选择“区域3”

¡  生产厂商:选择“H3C”

(3)      单击<新增>按钮新增资产IP,配置如下。

 

¡  IP类型:默认配置为“IPv4”

¡  IP地址:根据设备IP进行配置,本例配置“170.1.0.1”

¡  管理IP:需勾选为管理IP

4. 数据源配置

(1)      选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。

 

¡  名称:配置为“FW118”

¡  IP:配置为“186.64.0.118”

¡  设备类型:选择“防火墙”

¡  厂商:选择“H3C”

¡  设备型号:选择“F5000系列(V7)”

¡  采集器名称:选择“186.64.9.125:passive”

¡  采集器IP:选择“186.64.9.125”

(2)      单击<新增>,配置新增端口信息,配置如下。

 

¡  日志类型:选择“Syslog”

¡  端口号:默认配置为“514”

¡  字符集:配置为“utf8”

5. 剧本及案件配置

(1)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击预定义剧本“主机存在弱口令执行剧本”<编辑>按钮修改剧本,配置如下。

 

¡  动作配置:

-      邮件告警:勾选

-      收件人:选择“admin(csapAdmin@csap.com)”

(2)      选择“处置中心 > 响应编排 > 案件管理”页面,单击预定义案件“主机存在弱口令”<编辑>按钮修改案件,配置如下。

 

¡  是否启用:配置为“是”

¡  脆弱性类型:默认勾选为“弱口令”

¡  剧本:配置为“主机存在弱口令执行剧本”

¡  剧本是否自动执行:配置为“是”

(3)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下。

 

¡  剧本名称:配置为“告警通知”

¡  动作配置:

-      邮件告警:勾选

-      收件人:选择“admin(csapAdmin@csap.com)”

(4)      选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。

 

¡  案件名称:配置为“脆弱性编排”

¡  是否启用:配置为“是”

¡  风险类型:默认勾选为“脆弱性风险”

¡  脆弱性类型:配置为“漏洞”

¡  漏洞等级:默认不勾选,此例全部勾选

¡  剧本:配置为“告警通知”

¡  剧本是否自动执行:配置为“是”

(5)      选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下。

 

¡  剧本名称:配置为“处置工单”

¡  动作配置:

-      通知责任人:选择“admin(csapAdmin@csap.com)”

3.10.6  验证配置

(1)      构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状为“未执行”。

 

(2)      点击“综合概览 > 综合态势 > 弱口令”,查看“资产170.1.0.1”脆弱性风险详情页面,弱口令数据的编排状态为“已执行”。

 

(3)      点击操作栏<编排详情>按钮,查看剧本执行结果。

 

(4)      登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。

 

(5)      构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状为“未执行”。

 

(6)      单击操作栏<编排配置>,选择剧本“处置工单”,点击<确认>,下发剧本编排。

 

(7)      点击操作栏<编排详情>按钮,查看剧本执行结果。

 

(8)      登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。

 

(9)      登录CSAP系统,点击“应用中心 > 漏扫联动 > 漏扫管理 > 漏扫报告导入”,导入区域网段下IP为“154.1.1.1”的漏洞报告。

 

(10)   点击“综合概览 > 综合态势 > 漏洞”,查看资产“154.1.1.1”脆弱性风险详情页面,漏洞数据的编排状态为“已执行”。

 

(11)   点击操作栏<编排详情>按钮,查看剧本执行结果。

 

(12)   登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们