- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-响应编排典型配置举例
本章节下载: 01-响应编排典型配置举例 (4.68 MB)
H3C安全威胁发现与运营管理平台
响应编排典型配置举例
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)响应编排功能的配置案例。
响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、IMC系统、终端安全管理系统等,下发联动动作,如:告警通知、处置工单、黑名单、访问控制、网站阻断、无线接入、上网阻断、用户下线、全网主机扫描、EDR告警提醒、EDR病毒查杀、EDR病毒隔离、EDR进程查杀、EDR主机隔离等。从而通过CSAP平台对安全事件进行事件处置与响应。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台和第三方平台产品功能特性。
如下图所示组网中,部署了CSAP平台,并且组网中安装了防火墙设备(以下简称FW设备),在CSAP平台上配置响应编排剧本及案件,联动下发至FW设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· FW设备配置接口地址并加入安全域,添加安全策略
· FW设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· FW设备开启安全域上黑名单过滤功能
· FW设备配置日志发送
· FW设备配置流量日志发送
· FW设备配置NETCONF认证开启
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,FW设备型号为F5000-C,版本为Feature 9342P19。
CSAP平台、FW设备之间网络互通。
(1) 配置http服务,开启http服务并创建管理用户,使管理PC能够通过Web登录设备。
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple admin
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 登录FW设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息
¡ 名称:配置为“安全策略01”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 类型:选择“IPv4”
¡ 动作:选择“允许”
(5) 配置内容安全如下:
¡ IPS策略:选择“default”
¡ 防病毒策略:选择“default”
¡ 记录日志:选择“关闭”
¡ 开启策略匹配统计:选择“关闭”
¡ 启用策略:选择“开启”
(6) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下。
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
¡ 记录日志:全部勾选
(7) 选择新建的URL过滤策略并引用
· 安全策略记录日志开启会影响设备性能,默认不开启。
· 安全策略保存后,需在安全策略页面点击“提交”才能生效。
(8) 选择“策略 > 安全防护 > 黑名单”,单击<开启全局应用>按钮,开启安全域上黑名单过滤功能。
(9) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置
¡ 入侵防御日志-输出快速日志:勾选
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-输出系统日志:勾选
(10) 配置完成后点击“应用”使配置生效。
(11) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置
¡ 日志类型:选择“系统日志”
¡ 开启URL过滤日志:勾选
(12) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置
¡ 是否将系统日志输出到日志缓冲区:勾选
(13) 点击<新建>,新建日志主机,配置如下。
· 日志主机:配置为“186.64.9.125”,即CSAP平台的被动采集器IP
· 端口号:缺省为“514”
(14) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(15) 点击<新建>,新建日志主机,配置如下。
¡ 日志主机:配置为“186.64.9.125”,即CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL过滤日志:勾选
¡ 入侵防御日志:勾选
(16) 选择“系统 > 会话设置 > 高级设置”,进行如下配置
¡ 会话统计:开启
(17) 选择“系统 > 日志设置 > 会话日志”,进行如下配置
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(18) 点击<添加接口>,配置如下。
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际组网中请按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(19) 登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产1,配置如下。
· 资产名称:配置为“资产172.0.0.1”
· 资产类型:选择“主机-服务器”
· 所属区域:选择系统已配置的区域项,本例选择“区域1”
· 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.1”
¡ 管理IP:需勾选为管理IP
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。
¡ 资产名称:配置为“FW186.64.0.118”
¡ 资产类型:选择“安全设备-防火墙”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.118”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”配置如下。
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”
¡ 密码:配置为“Admin@123”
(7) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.9.125:passive”
¡ 采集器IP:选择“186.64.9.125”
(8) 单击<新增>,配置新增端口信息,配置如下。
· 日志类型:选择“Syslog”
· 端口号:默认配置为“514”
· 字符集:配置为“utf8”
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。
¡ 剧本名称:配置为“防火墙联动”
¡ 黑名单执行目标配置:
- 设备类型:勾选“NGFW/IPS”
- 选择设备:配置为“FW186.64.0.118”
¡ 黑名单动作配置:
- 阻断对象:勾选“关注点IP”
- 阻断方向:勾选“发起方向”
- 老化时间:配置为“600”
¡ 访问控制执行目标配置:
- 设备类型:勾选“NGFW/IPS”
- 选择设备:配置为“FW186.64.0.118”
(10) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。
¡ 案件名称:配置为“防火墙联动案件”
¡ 是否启用:配置为“是”
¡ 风险类型:默认勾选为“安全事件”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,此例全部勾选
¡ 事件等级:默认不勾选,此例全部勾选
¡ 剧本:配置为“防火墙联动”
¡ 剧本是否自动执行:配置为“是”
(1) 构造“资产172.0.0.1”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排详情>,查看剧本执行结果。
(3) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s。
(4) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶。
(5) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表。
如下图所示组网中,部署了CSAP平台,并且组网中安装了入侵防御设备(以下简称IPS设备),在CSAP平台上配置响应编排剧本及案件,联动下发至IPS设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· IPS设备配置接口地址并加入安全域,添加安全策略
· IPS设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· IPS设备开启安全域上黑名单过滤功能
· IPS设备配置日志发送
· IPS设备配置流量日志发送
· IPS设备配置NETCONF认证开启
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,IPS设备型号为T1080,版本为Release 8524P37。
CSAP平台、IPS设备之间网络互通。
(1) 配置http服务,开启http服务并创建管理用户,使管理PC能够通过web登录设备进行管理。
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple admin
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.6.172 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 登录IPS设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常。
(4) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略。
¡ 名称:配置为“安全策略01”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 类型:选择“IPv4”
¡ 动作:选择“允许”
¡ IPS策略:选择“default”
¡ 防病毒策略:选择“default”
¡ 记录日志:选择“关闭”
¡ 开启策略匹配统计:选择“关闭”
¡ 启用策略:选择“开启”
(5) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下。
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
¡ 记录日志:全部勾选
(6) 选择新建的URL过滤策略并引用
· 安全策略记录日志开启会影响设备性能,默认不进行开启。
· 安全策略保存后,需在安全策略页面进行“提交”。
(7) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能。
(8) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置。
¡ 入侵防御日志-输出快速日志:勾选
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-输出系统日志:勾选
(9) 配置完成后需点击“应用”生效。
(10) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置。
¡ 日志类型:选择“系统日志”
¡ 开启URL过滤日志:勾选
(11) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置。
¡ 是否将系统日志输出到日志缓冲区:勾选
(12) 点击<新建>,新建日志主机,配置如下。
¡ 日志主机:配置为“186.64.9.125”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
(13) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置。
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(14) 点击<新建>,新建日志主机,配置如下。
¡ 日志主机:配置为“186.64.9.125”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL顾虑日志:勾选
¡ 入侵防御:勾选
(15) 选择“系统 > 会话设置 > 高级设置”,进行如下配置。
¡ 会话统计:开启
(16) 选择“系统 > 日志设置 > 会话日志”,进行如下配置。
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(17) 点击<添加接口>,配置如下。
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(18) 登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域2”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产3,配置如下。
¡ 资产名称:配置为“资产172.0.0.2”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域2”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.2”
¡ 管理IP:需勾选为管理IP
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。
¡ 资产名称:配置为“IPS186.64.6.172”
¡ 资产类型:选择“安全设备-入侵防御”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域2”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.172”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”
¡ 密码:配置为“Admin@12345”
(7) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。
¡ 名称:配置为“IPS172”
¡ IP:配置为“186.64.6.172”
¡ 设备类型:选择“入侵防御系统”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“T1000系列(V7)”
¡ 采集器名称:选择“186.64.9.125:passive”
¡ 采集器IP:选择“186.64.9.125”
a. 单击<新增>,配置新增端口信息,配置如下。
¡ 日志类型:选择“Syslog”
¡ 端口号:默认配置为“514”
¡ 字符集:配置为“utf8”
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。
¡ 剧本名称:配置为“IPS联动剧本”
¡ 黑名单执行目标配置:
- 设备类型:选择“NGFW/IPS”
- 选择设备:配置为“IPS186.64.6.172”
¡ 黑名单动作配置:
- 阻断对象:勾选“关注点IP”
- 阻断方向:勾选“发起方向”
- 老化时间:未配置,为空则表示黑名单永不老化
¡ 访问控制执行目标配置:
- 设备类型:配置为“NGFW/IPS”
- 选择设备:配置为“IPS186.64.6.172”
(1) 构造“资产172.0.0.2”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排配置>,选择剧本“IPS联动剧本”,点击<确认>,下发剧本编排。
(3) 再次单击操作栏<编排详情>,查看剧本执行结果。
(4) 登录IPS设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2,添加至黑名单列表,无老化时间。
(5) 登录IPS设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶。
(6) 单击编排详情页面<撤销执行>,策略回滚成功。
(7) 登录IPS设备,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2黑名单已删除。
(8) 登录IPS设备,再次点击“策略 > 安全策略 > 安全策略”,查看访问控制策略已删除。
如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 交换机设备配置NETCONF认证开启
· CSAP平台区域、资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.0707562。
CSAP平台、交换机设备之间网络互通。
交换机默认业务配置已互通。
(1) 登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:需勾选为管理IP
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产5,配置如下。
¡ 资产名称:配置为“交换机186.64.0.108”
¡ 资产类型:选择“网络设备-交换机”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.108”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”
¡ 密码:配置为“admin”
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。
¡ 剧本名称:配置为“交换机联动剧本”
¡ 黑名单执行目标配置:
- 设备类型:选择“交换机/路由器”
- 选择设备:配置为“交换机186.64.0.108”
¡ 黑名单动作配置:
- 阻断对象:勾选“关注点IP”
- 阻断方向:勾选“发起方向”
- ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
¡ 访问控制执行目标配置:
- 设备类型:配置为“交换机/路由器”
- 选择设备:配置为“交换机186.64.0.108”
¡ 访问控制动作配置:
- ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.3”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排配置>,选择剧本“交换机联动剧本”,点击<确认>,下发剧本编排。
(3) 再次单击操作栏<编排详情>,查看剧本执行结果。
(4) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3800和3801的规则组,规则数量分别为1。
(5) 点击3800规则数量,查看规则组信息。
(6) 点击3801规则数量,查看规则组信息。
如下图所示组网中,部署了CSAP平台,并且组网中安装了路由器设备,在CSAP平台上配置响应编排剧本及案件,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 路由器设备配置NETCONF认证开启
· CSAP平台区域、资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,路由器设备型号为VSR1000,版本为7.1.064, Release 0621P18。
CSAP平台、路由器设备之间网络互通。
路由器默认业务配置已互通。
(1) 登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。输入指令“netconf ssh server enable”,开启NETCONF认证协议SSH。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域4”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产6,配置如下。
¡ 资产名称:配置为“资产172.0.0.4”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域4”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.4”
¡ 管理IP:需勾选为管理IP
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产7,配置如下。
¡ 资产名称:配置为“路由器186.64.6.180”
¡ 资产类型:选择“网络设备-路由器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域4”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.180”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”
¡ 密码:配置为“Admin@123456”
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下。
¡ 剧本名称:配置为“路由器联动剧本”
¡ 黑名单执行目标配置:
- 设备类型:选择“交换机/路由器”
- 选择设备:配置为“路由器186.64.6.180”
¡ 黑名单动作配置:
- 阻断对象:勾选“关注点IP”
- 阻断方向:勾选“发起方向”
- ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
¡ 访问控制执行目标配置:
- 设备类型:配置为“交换机/路由器”
- 选择设备:配置为“路由器186.64.6.180”
¡ 访问控制动作配置:
- ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.4”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排配置>,选择剧本“路由器联动剧本”,点击<确认>,下发剧本编排。
(3) 再次单击操作栏<编排详情>,查看剧本执行结果。
(4) 登录路由器设备后台,输入display acl 3800,查看ACL编号为3800的规则组信息。
(5) 输入display acl 3801,查看ACL编号为3801的规则组信息。
如下图所示组网中,部署了CSAP平台,并且组网中安装了Web应用防火墙设备(以下简称WAF设备),在CSAP平台上配置响应编排剧本及案件,联动下发至WAF设备,实现CSAP平台自动/手动下发网站阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,WAF设备型号为W2000-V500-G2,版本为Version 3.1, E6203P04。
CSAP平台、WAF设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域5”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产8,配置如下。
¡ 资产名称:配置为“资产172.0.0.5”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域5”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.5”
¡ 管理IP:需勾选为管理IP
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置网站阻断动作,配置如下。
¡ 剧本名称:配置为“WAF联动剧本”
¡ 执行目标配置:
- 设备类型:选择“WAF”
¡ 动作配置:
- 检测方向:勾选“源”
- URL:配置为“https://186.64.6.178”
- 用户:配置为“admin”
- 密码:配置为“Admin@123456”
(1) 构造“资产172.0.0.5”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排配置>,选择剧本“WAF联动剧本”,点击<确认>,下发剧本编排。
(3) 再次单击操作栏<编排详情>,查看剧本执行结果。
(4) 登录WAF设备,点击“访问控制 > 黑名单”,查看策略下发成功。
如下图所示组网中,部署了CSAP平台,并且组网中安装了无线AC设备,组网中存在终端主机登录至无线AC设备。在CSAP平台上配置响应编排剧本及案件,实现CSAP平台自动/手动下发无线接入策略。
· 用户终端通过无线网接入无线AC设备
· CSAP平台资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,无线AC设备型号为WX2560H,版本为7.1.064, Release 5436,AP型号为WA6320,版本为7.1.064, Release 2436。
CSAP平台、无线AC设备及终端主机之间网络互通。
(1) 登录无线AC设备管理平台,选择“无线配置 > AP管理”,查看AP服务状态在线,状态标记为蓝色时表示在线。
(2) 选择“无线配置 > 无线网络”,查看“csap-app”无线服务状态开启,状态标记为蓝色时表示开启。
(3) 登录设备后台,输入指令“netconf soap http enable”,开启NETCONF认证协议HTTP。输入指令“netconf soap https enable”,开启NETCONF认证协议HTTPS。
(1) 手机终端连接无线网络“csap-app”,在手机端能够查看网络接入IP地址。
(2) 登录无线AC设备管理平台,选择“监控 > 客户端 > 客户端数量”,查看客户端详情与接入网络的终端设备信息一致。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产1,配置如下。
¡ 资产名称:配置为“Phone”
¡ 资产类型:选择“主机-终端”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“Apple”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.200.44”
¡ 管理IP:需勾选为管理IP
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。
¡ 资产名称:配置为“无线AC”
¡ 资产类型:选择“网络设备-无线AC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.20”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下。
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”
¡ 密码:配置为“Admin@12345”
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置无线接入动作,配置如下。
¡ 剧本名称:配置为“无线AC”
¡ 执行目标配置:
- 设备类型:默认配置为“AC”
- 选择设备:配置为“无线AC”
¡ 动作配置:
- 地址类型:默认配置为“IP”,可切换为“MAC”
- 老化时间:配置为“30”
(8) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。
¡ 案件名称:配置为“无线AC”
¡ 是否启用:配置为“是”
¡ 风险类型:选择“安全事件”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,可选择勾选“已失陷”、“高可疑”、“低可疑”,此例全部勾选
¡ 事件严重级别:默认不勾选,可选择勾选“严重”、“高危”、“中危”、“低危”,此例全部勾选
¡ 剧本:配置为“无线AC”
¡ 剧本是否自动执行:配置为“否”
(1) 构造资产“Phone”的安全事件1,规则名称为“外网漏洞利用攻击”。点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为待执行。待执行状态表示安全事件已匹配到案件,但未下发执行。
(2) 点击操作栏<编排详情>按钮,查看页面提示“是否手动下发无线AC案件的剧本?”。
(3) 点击“是”,下发剧本动作执行,再次点击操作栏<编排详情>按钮,查看执行结果。
(4) 构造资产“Phone”的安全事件2,规则名称为“内网漏洞利用攻击”。点击“处置中心 > 安全事件 > 详情模式”,安全事件2的编排状态为未执行。
(5) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“无线AC”剧本。
(6) 点击<确认>,下发剧本动作执行,再次点击操作栏<编排详情>按钮,查看执行结果。
(7) “用户黑名单”动作下发执行成功后,手机终端再次接入无线网络,提示“无法加入网络‘csap-app‘”。
(8) 登录无线AC设备管理平台,选择“监控 > 客户端>客户端数量”,查看客户端下线成功。
(9) 老化时间结束后,客户端再次登录成功。
如下图所示组网中,部署了CSAP平台,并且组网中安装了ACG设备,在CSAP平台上配置响应编排剧本及案件,联动下发至ACG设备,实现CSAP平台自动/手动下发上网阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台编排剧本配置
本举例是在CSAP的E1143版本上进行配置和验证的,ACG设备型号为ACG1000-AK210,版本为Version 1.10,Release 6612。
CSAP平台、ACG设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下。
¡ 资产名称:配置为“资产172.0.0.6”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.6”
¡ 管理IP:需勾选为管理IP
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置上网阻断动作,配置如下。
¡ 剧本名称:配置为“ACG联动剧本”
¡ 执行目标配置:
- 设备类型:选择“ACG”
¡ 动作配置:
- 老化时间:配置为“5分钟”
- URL:配置为“http://186.64.8.54”
- 用户:配置为“admin”
- 密码:配置为“Admin@123”
(1) 构造“资产172.0.0.6”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排配置>,选择剧本“ACG联动剧本”,点击<确认>,下发剧本编排。
(3) 再次单击操作栏<编排详情>,查看剧本执行结果。
(4) 登录ACG设备,点击“数据中心 > 系统监控 > 黑名单记录”,查看策略下发成功。
如下图所示组网中,部署了CSAP平台,并且旁挂部署了智能管理平台(以下简称IMC平台),组网中存在EAD用户通过iNode接入,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,下发用户下线动作至IMC平台,强制用户下线。
· IMC平台增加用户信息
· EAD用户接入IMC平台
· CSAP平台配置用户网段
· CSAP平台编排剧本配置
· CSAP平台编排案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,IMC平台版本为iMC PLAT 7.3 (E0506),EAD安全策略版本为iMC EAD 7.3 (E0504)。
CSAP平台、IMC平台及EAD用户之间网络互通。
(1) 登录IMC平台,选择“系统管理 > 分组管理 > 用户分组”,点击<增加>,增加用户分组,配置如下。
¡ 分组名称:配置为“用户组1”
(2) 选择“用户 > 接入策略管理 > 接入策略管理”,点击<增加>,增加接入策略,配置如下。
¡ 接入策略名:配置为“策略1”
¡ 业务分组:缺省配置为“未分组”
¡ 说明:其他配置项使用缺省配置。
(3) 选择“用户 > 接入策略管理 > 接入服务管理”,点击<增加>,增加接入服务,配置如下。
¡ 服务名:配置为“接入服务1”
¡ 业务分组:缺省配置“未分组”
¡ 缺省接入策略:缺省配置“策略1”
(4) 选择“用户 > 用户管理 > 增加用户”,配置如下。
¡ 用户姓名:配置为“User1”
¡ 证件号码:配置为“3864521”
¡ 用户分组:选择“用户组1”
(5) 选择“用户 > 接入用户管理 > 接入用户”,点击<增加>,增加接入用户,配置如下。
¡ 用户姓名:选择已配置用户“User1”
¡ 账号名:配置为“user”
¡ 密码:配置为“123456”
¡ 密码确认:再次输入密码“123456”
¡ 允许用户修改密码:勾选
¡ 接入服务:选择“接入服务1”
(1) 登录主机,打开iNode智能客户端,配置Portal连接如下。
¡ 服务器:配置为IMC平台管理地址,此例配置为“186.64.2.2”
¡ 用户名:配置为“user”
¡ 密码:配置为“123456”
¡ 保存用户名:勾选
¡ 保存密码:勾选
(2) 登录IMC平台,选择“用户 > 接入用户管理 > 在线用户”,查看账号名“user”接入用户在线。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,配置如下。
(2) 选择“资产中心 > 用户配置 > 用户网段设置”,单击<新增>,增加用户网段,配置如下。
(3) 选择“处置中心 > 响应编排 > 剧本管理”,单击<新增>,添加用户下线动作,配置如下。
¡ 剧本名称:配置为“IMC联动剧本”
¡ 动作配置:
- URL:IMC平台地址,配置为“http://186.64.2.2:8080”
- 用户名:配置为“admin”
- 密码:配置为“Admin@123”
(4) 登录CSAP平台,选择“处置中心 > 响应编排 > 案件管理”,单击<新增>,创建案件,配置如下。
¡ 案件名称:配置为“IMC联动案件”
¡ 是否启用:选择“是”
¡ 风险类型:配置为“安全事件”
¡ 攻击名称:非必填项,此处未配置
¡ 规则名称:选择“内网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,此例全部勾选。
¡ 事件等级:默认不勾选,此例全部勾选。
¡ 剧本:选择“IMC联动剧本”
¡ 剧本是否自动执行:选择“是”
(1) 构造用户“10.1.0.32”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排详情>,查看剧本执行结果。
(3) 登录用户主机,查看用户收到下线请求,用户离线。
如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台(以下简称ESM)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM平台配置日志上报
· ESM平台配置日志服务器
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台应用平台配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,ESM平台版本为Version 3.1, ESS 6902P01。
CSAP平台、ESM平台及终端主机之间网络互通。
(1) 登录至客户端下载中心,下载Agent。
(2) 安装Agent客户端,登录ESM平台,选择终端管理,查看客户端主机在线。
(1) 登录ESM平台,选择“系统管理 > 联动配置 > syslog上报设置”,选择客户端上报内容。
¡ 选择上报内容:全部勾选
(2) 选择“系统管理 > 联动配置 > syslog服务配置”,配置日志上报的服务器信息。
¡ Syslog服务器IP:配置为“186.64.9.125”,为CSAP平台的被动采集器IP
¡ 端口:配置为“514”
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域3”。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产5,配置如下。
¡ 资产名称:配置为“主机186.64.100.108”
¡ 资产类型:选择“主机-终端”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“Microsoft”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.108”
¡ 管理IP:需勾选为管理IP
(4) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮新建日志源,配置如下。
¡ 名称:配置为“ESM”
¡ IP:配置为“186.64.2.17”,ESM平台管理地址
¡ 设备类型:配置为“终端安全”
¡ 厂商:配置为“H3C”
¡ 设备型号:配置为“SecCenter CSAP-ESM”
¡ 采集器名称:配置为“186.64.9.125:passive”
¡ 采集器IP:配置为“186.64.9.125”
(5) 点击<新增>,新增端口信息,配置如下。
¡ 日志类型:配置为“syslog”
¡ 端口号:配置为“514”
¡ 字符集:配置为“utf8”
(6) 选择“应用中心”页面,选择“终端安全管理系统”,单击<配置>按钮,配置终端安管理系统如下。
¡ 应用名称:配置为“ESM17”
¡ 应用类型:配置为“终端安全管理系统”
¡ 配置方式:选择“方式三”
¡ 账号:配置为“admin”
¡ 密码:配置为“Admin@123”
¡ URL:配置为“https://186.64.2.17:7443”
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。
¡ 剧本名称:配置为“全网主机扫描及告警”
¡ 动作:配置为“全网主机扫描”及“EDR告警提醒”
¡ 全网主机扫描执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ EDR告警提醒执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ EDR告警提醒动作配置:
- 老化时间:未配置
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。
¡ 剧本名称:配置为“病毒查杀”
¡ 动作:配置为“EDR病毒查杀”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ 动作配置:
- 老化时间:配置为“1”小时
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。
¡ 剧本名称:配置为“病毒隔离”
¡ 动作:配置为“EDR病毒隔离”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ 动作配置:
- 老化时间:未配置
(10) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。
¡ 剧本名称:配置为“进程查杀”
¡ 动作:配置为“EDR进程查杀”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ 动作配置:
- 老化时间:不配置
(11) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下。
¡ 剧本名称:配置为“主机隔离”
¡ 动作:配置为“EDR主机隔离”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“ESM17”
¡ 动作配置:
- 老化时间:不配置
(1) 构造资产“主机186.64.100.108”的安全事件1,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排详情>按钮,选择剧本“全网主机扫描及告警”并下发。
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
(4) 登录ESM平台,点击“系统管理 > 联动配置 > MD5检测”,查看API接口下发策略记录,存在终端按MD5值检测文件。
(5) 登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
(6) 点击操作栏<编排详情>按钮,查看全网主机扫描结果如下。
(1) 构造资产“主机186.64.100.108”的安全事件2,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件2的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒查杀”剧本并下发。
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
(4) 登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
(1) 构造资产“主机186.64.100.108”的安全事件3,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件3的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒隔离”剧本并下发。
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
(4) 登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
(1) 构造资产“主机186.64.100.108”的安全事件4,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件4的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“进程查杀”剧本并下发。
(3) 再次点击操作栏<编排配置>按钮,查看执行结果。
(4) 登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
(1) 构造资产“主机186.64.100.108”的安全事件5,规则名称为“恶意主机外联”。点击“处置中心 > 安全事件 > 详情模式”,安全事件5的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“主机隔离”剧本并下发。
(3) 再次点击操作栏<编排配置>按钮,查看执行结果。
(4) 登录ESM平台,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
如下图所示组网中,部署了CSAP平台、邮件服务器。在CSAP平台上配置邮件服务器和响应编排剧本及案件,实现CSAP平台威胁事件的告警通知和工单处置。
· CSAP平台邮件服务器配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1143版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· CSAP外部通信地址可通过域名访问邮件服务器
(1) 登录CSAP平台,选择“系统配置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置。
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.200.39”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“Administrator@csap.com”
¡ 密码:邮箱账号对应的密码
(1) 登录CSAP平台,选择“系统配置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域及区域内IP网段,如下图所示。
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下。
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“主机-服务器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“H3C”
(3) 单击<新增>按钮新增资产IP,配置如下。
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:需勾选为管理IP
(1) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下。
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.9.125:passive”
¡ 采集器IP:选择“186.64.9.125”
(2) 单击<新增>,配置新增端口信息,配置如下。
¡ 日志类型:选择“Syslog”
¡ 端口号:默认配置为“514”
¡ 字符集:配置为“utf8”
(1) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击预定义剧本“主机存在弱口令执行剧本”<编辑>按钮修改剧本,配置如下。
¡ 动作配置:
- 邮件告警:勾选
- 收件人:选择“admin(csapAdmin@csap.com)”
(2) 选择“处置中心 > 响应编排 > 案件管理”页面,单击预定义案件“主机存在弱口令”<编辑>按钮修改案件,配置如下。
¡ 是否启用:配置为“是”
¡ 脆弱性类型:默认勾选为“弱口令”
¡ 剧本:配置为“主机存在弱口令执行剧本”
¡ 剧本是否自动执行:配置为“是”
(3) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下。
¡ 剧本名称:配置为“告警通知”
¡ 动作配置:
- 邮件告警:勾选
- 收件人:选择“admin(csapAdmin@csap.com)”
(4) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下。
¡ 案件名称:配置为“脆弱性编排”
¡ 是否启用:配置为“是”
¡ 风险类型:默认勾选为“脆弱性风险”
¡ 脆弱性类型:配置为“漏洞”
¡ 漏洞等级:默认不勾选,此例全部勾选
¡ 剧本:配置为“告警通知”
¡ 剧本是否自动执行:配置为“是”
(5) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下。
¡ 剧本名称:配置为“处置工单”
¡ 动作配置:
- 通知责任人:选择“admin(csapAdmin@csap.com)”
(1) 构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状为“未执行”。
(2) 点击“综合概览 > 综合态势 > 弱口令”,查看“资产170.1.0.1”脆弱性风险详情页面,弱口令数据的编排状态为“已执行”。
(3) 点击操作栏<编排详情>按钮,查看剧本执行结果。
(4) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。
(5) 构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状为“未执行”。
(6) 单击操作栏<编排配置>,选择剧本“处置工单”,点击<确认>,下发剧本编排。
(7) 点击操作栏<编排详情>按钮,查看剧本执行结果。
(8) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。
(9) 登录CSAP系统,点击“应用中心 > 漏扫联动 > 漏扫管理 > 漏扫报告导入”,导入区域网段下IP为“154.1.1.1”的漏洞报告。
(10) 点击“综合概览 > 综合态势 > 漏洞”,查看资产“154.1.1.1”脆弱性风险详情页面,漏洞数据的编排状态为“已执行”。
(11) 点击操作栏<编排详情>按钮,查看剧本执行结果。
(12) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
