H3C SecCenter 安全威胁发现与运营管理平台 典型配置举例(E1143)-5W101

07-知识图谱典型配置举例

本章节下载  (451.69 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/SecCenter/H3C_SecCenter_CSAP/Configure/Typical_Configuration_Example/H3C_SecCenter_CE(E1143)/202103/1396003_30005_0.htm

07-知识图谱典型配置举例

H3C安全威胁发现与运营管理平台

知识图谱典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍知识图谱分析功能的典型配置举例。

安全威胁发现与运营管理平台(以下简称CSAP)通过对接安全知识大脑平台,实时计算用户网络中发生的安全事件与各类大规模网络安全事件的相似程度,从而识别蠕虫病毒、僵尸网络、APT攻击等深度威胁,同时提供攻击源、疑似失陷资产、举证日志等关键信息,帮助管理员快速定位内网隐患、阻断攻击源头。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP和安全知识大脑平台基本使用。

3  配置举例

3.1  组网需求

如下图所示,日志源(FW)上报的攻击日志,经过安全知识大脑平台及CSAP的检测分析,识别出蠕虫病毒、僵尸网络、APT攻击等深度威胁并展示。

图1 知识图谱分析典型配置组网图

 

3.2  配置思路

·              安全知识大脑平台注册到CSAP

·               CSAP接入FW的攻击日志

3.3  使用版本

此功能支持E1142P01及以上版本。本举例是在CSAP的E1143版本上进行配置和验证的。

3.4  配置注意事项

安全知识大脑平台与CSAP平台网络互通。

3.5  配置步骤

3.5.1  安全知识大脑平台注册

登录安全知识大脑平台,点击态势接入,如下图所示。

图2 安全知识大脑平台注册

 

·              服务器地址:标准版配置为["186.64.100.111:9092"],集群版配置为["186.64.9.121:9093", "186.64.9.122:9093", "186.64.9.123:9093"](cyber1、cyber2、cyber3)

·              归一化日志topic:security_0

·              安全事件topic:traffic-dect-result

·              注册URL:标准版注册URL为https://186.64.100.111/externalInterface/activateMenu,集群版注册URL为https://186.64.9.123/externalInterface/activateMenu(cyber3)

3.5.2  CSAP平台接入FW的攻击日志

配置CSAP接入FW的攻击日志,具体配置步骤略。

3.6  验证配置

3.6.1  知识图谱分析

登录CSAP,选择“分析中心>场景化分析 > 知识图谱分析”,可查看到蠕虫病毒攻击事件。如下图所示。

图3 知识图谱分析

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们