- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-通报溯源
本章节下载: 06-通报溯源 (111.75 KB)
通报溯源功能通过新建溯源任务来获取满足条件的NAT日志或DNS访问日志,从中提取目的IP地址、目的端口、NAT转换源IP地址、NAT转换源端口或域名等关键信息,并结合安全事件对内网主机的上网行为进行溯源,通报存在风险行为的主机及存在相似行为的主机信息,包括风险主机IP、风险主机类型、安全状态、溯源记录等。
本章包含如下内容:
· 溯源任务列表
· 溯源配置
该功能用于管理溯源任务。
1. 选择“处置中心 > 通报溯源 > 溯源任务列表”进入溯源任务列表页面。
2. 单击<新增>按钮新增溯源任务,配置任务参数后,单击<确认>按钮下发任务。
3.
任务执行成功后,单击操作列的
按钮查看分析详情及原始日志。
· 任务名称:溯源任务的唯一标识。
· 溯源时间:配置溯源时间后,系统将获取该时刻前后1分钟内产生的满足以下条件的日志,用于溯源分析。
· 溯源类型:选择溯源对象,包括IP溯源和域名溯源。
○ 当溯源类型为IP溯源时,系统会从指定的数据来源中获取NAT日志,用于溯源分析;
○ 当溯源类型为域名溯源时,系统会从指定的数据来源中获取DNS访问日志,用于溯源分析。有关数据来源的详细介绍,请参见溯源配置。
· NAT转换源IP:NAT转换后的源IP地址。配置后,系统将获取NAT转换后的源IP地址为该IP的日志,用于溯源分析。
· NAT转换源端口:NAT转换源后的端口。配置后,系统将获取NAT转换后的源端口为该端口的日志,用于溯源分析。
· 目的IP:配置目的IP后,系统将获取目的IP为该IP的日志,用于溯源分析。
· 目的端口:配置目的端口后,系统将获取目的端口为该端口的日志,用于溯源分析。
· 域名:配置域名后,系统将获取域名为该域名的日志,用于溯源分析。其中,域名不需要包含协议类型,例如“http://”或“https://”。
· 配置溯源任务前必须先进行溯源配置,用于提供日志数据来源。有关溯源配置的详细介绍,请参见溯源配置。
· 当数据来源是IT大数据时,溯源类型仅支持配置为IP溯源。
· 下发溯源任务后,若配置了白名单功能或处理了安全事件,可能导致溯源记录统计值与实际展示的安全事件不一致,此时,可重新下发溯源任务,更新统计数据。
该功能用于配置日志来源,为溯源任务提供分析数据。
1. 选择“处置中心 > 通报溯源 > 溯源配置”进入溯源配置页面。
2. 配置日志来源相关参数后,单击<确认>按钮完成操作。
1. 数据来源:选择从第三方系统(IT大数据)或平台本地获取日志数据。
2. URL地址:选择从第三方系统获取日志时,需要配置第三方系统的访问地址。地址以“http://”或“https://”开头,必须配置有效的URL地址,确保本平台与第三方系统之间网络互通,否则会导致溯源任务执行失败。
· CSAP-XC款型不支持本功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
