- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03 威胁检测典型配置举例
本章节下载: 03 威胁检测典型配置举例 (509.65 KB)
本文档主要介绍威胁检测日志的配置过程,通过配置威胁检测日志接收服务器,实现日志服务器对威胁检测日志的接收。威胁检测内容主要针对扫描攻击检测,扫描攻击检测包含端口扫描攻击检测和IP地址扫描攻击检测。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解旁路审计特性。
· 接口已经作为镜像规则接口时不可再配置为其它管理接口。
· 仅支持旁路部署审计。
· 安全日志包括入侵检测日志、病毒检测日志、威胁情报日志仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
· IPv6仅支持应用审计策略模块。
· IPv6日志包括应用审计日志、流量会话日志,仅支持通过syslog方式发送到第三方平台,无前端页面展示日志内容。
如图4-1所示,验证使用交换机镜像互联网流量,验证流量探针对网络攻击检测能力。
按照组网图组网。
(1) 登录NTA。
(2) 配置威胁检测规则。
(3) 配置日志服务器。
如图4-2所示,使用https的方式登录NTA,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图4-2 登录H3C NTA
如图4-3所示,进入“业务设置 > 威胁检测>扫描攻击”,勾选“启用”选择框,扫描频率保持默认即可,点击<提交>按钮。
如图4-4所示,进入“业务设置 > 数据接口”,启用日志服务器,配置syslog服务器IP地址192.168.199.116。如图4-5所示,进入日志过滤界面,server日志发送选择,除告警日志、arp会话日志、报文统计日志不发送外,其它类型日志全部发送,点击<提交>按钮。
下面以H3C交换机S5152S-EI为例,进行流量镜像的配置,本配置只做参考,不同品牌不同型号的交换机可能存在配置差异。
<Sysname> system-view
[Sysname] mirroring-group 1 local
[Sysname] mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both
[Sysname] mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2
[Sysname] quit
<Sysname> save
以上配置中,1/0/1口为镜像口,1/0/2为监听口,需要将1/0/2接口连接到流量探针的采集接口。
查看接收syslog日志接收结果,如下图所示:
NTA的应用场景主要是配合安全威胁发现与运营管理平台使用,NTA上只需要在“业务配置>数据接口>日志设置>日志服务器”中配置安全威胁发现与运营管理平台的地址即可,具体安全威胁发现与运营管理平台的配置请联系技术支持。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
