H3C SecCenter 安全威胁发现与运营管理平台 典型配置举例(E1143)-5W101

05-通报溯源典型配置举例

本章节下载  (750.25 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_SecCenter_CSAP/Configure/Typical_Configuration_Example/H3C_SecCenter_CE(E1143)/202103/1396001_30005_0.htm

05-通报溯源典型配置举例

H3C安全威胁发现与运营管理平台

通报溯源配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍安全威胁发现与运营管理平台(以下简称CSAP)通报溯源功能的配置案例。

通报溯源任务,可根据主机公网IP从系统或第三方平台查询获取NAT转换前主机的私网地址,然后结合系统上报的安全事对主机进行溯源分析。

本文档主要介绍如何配置通报溯源任务,实现内网主机的溯源分析。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP平台和H3C大数据平台产品功能特性。

3  配置举例

3.1  本地溯源典型配置举例

3.1.1  组网需求

如下图所示组网中,部署了CSAP平台、NAT网关设备和待溯源主机Host A,CSAP平台上已存在Host A外联的NAT日志、Host A和Host B相关安全事件,且Host B存在目的IP与Host A外联的目的IP相同的安全事件。通过配置通报溯源任务,实现CSAP平台主机的通报溯源分析。

 

3.1.2  配置思路

·              CSAP平台进行溯源配置

·              CSAP平台配置通报溯源任务

3.1.3  使用版本

本举例是在CSAP的E1143版本上验证的。

3.1.4  配置注意事项

3.1.5  配置步骤

1. 溯源配置

登录CSAP平台,选择“处置中心 > 通报溯源 > 溯源配置”,“数据来源”选择“本地”。

 

2. 新增溯源任务

(1)      登录CSAP平台,进入“分析中心>日志中心”页面,查询Host A的NAT日志相关信息,包括目的IP、目的端口、NAT转换后的源IP、NAT转换后的源端口、会话开始时间和会话结束时间。

 

(2)      选项“处置中心>通报溯源>溯源任务列表”,单击<新增>按钮新增溯源任务,溯源任务配置如下,填写参数均为(1)查询的相关日志信息,其中溯源时间需在会话开始时间和会话结束时间范围内。

 

¡  任务名称:配置为“溯源任务1”

¡  溯源时间:选择溯源时间,本例配置为“2020-12-01 09:34:23”

¡  NAT转换源IP:内网主机进行NAT转换后的公网IP地址,配置为“112.20.80.1”

¡  NAT转换源端口:内网主机NAT转换后的源端口,配置为“1”

¡  目的IP:配置为“203.1.178.104”

¡  目的端口:配置为“2048”

3.1.6  验证配置

通报溯源任务成功执行完毕后,单击溯源任务列表操作栏<详情>按钮进入溯源详情页面,可以查看到通报溯源主机列表中展示了溯源结果,展示内网主机的风险状态及主机安全事件的统计。

 

3.2  IT大数据溯源型配置举例

3.2.1  组网需求

如下图所示组网中,部署了CSAP平台、H3C大数据平台、NAT网关设备和待溯源主机Host A。CSAP平台上已存在Host A外联的NAT日志、Host A和Host B相关安全事件,且Host B存在目的IP与Host A外联的目的IP相同的安全事件,通过配置通报溯源任务,实现CSAP平台主机的通报溯源分析。

 

3.2.2  配置思路

·              CSAP平台进行溯源配置

·              CSAP平台配置通报溯源任务

3.2.3  使用版本

本举例是在CSAP的E1143版本上验证的,H3C大数据平台版本如下:

·              DataEngine 1.0(E0106)

·              ITOA V2.0(E0210)

3.2.4  配置注意事项

CSAP平台与大数据平台之间网络互通。

3.2.5  配置步骤

1. 溯源配置

登录CSAP平台,选择“处置中心 > 通报溯源 > 溯源配置”,“数据来源”选择“IT大数据”:

 

¡  NAT溯源配置:选择“IT大数据”

¡  URL地址:格式如“http://IP:8882”,其中IP为ITOA系统地址,本例配置为http://186.64.22.4:8882

2. 通报溯源任务配置

(1)      登录机器数据分析决策系统,选择“用户 > 行为溯源 > NAT查询”,查询Host A的NAT日志相关信息,包括目的IP、目的端口、NAT转换后的源IP、NAT转换后的源端口、会话开始时间和会话结束时间。

 

(2)      登录态势感知平台,选择“威胁处置 > 通报溯源”,单击<新增>按钮新增溯源任务,进行如下配置。

 

¡  任务名称:配置为“溯源任务1”

¡  溯源时间:选择溯源时间,本例配置为“2020-12-01 09:34:23”

¡  NAT转换源IP:内网主机进行NAT转换后的公网IP地址,配置为“112.20.80.1”

¡  NAT转换源端口:内网主机NAT转换后的源端口,配置为“1”

¡  目的IP:配置为“203.1.178.104”

¡  目的端口:配置为“2048”

3.2.6  验证配置

通报溯源任务成功执行完毕后,单击溯源任务列表操作栏<详情>按钮进入溯源详情页面,可以查看到通报溯源主机列表中展示了溯源结果,展示内网主机的风险状态及主机安全事件的统计。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们