01-安全告警典型配置举例
本章节下载: 01-安全告警典型配置举例 (522.54 KB)
H3C SecCenter CSAP-X[CSAP-XS][CSAP-XC]超融合态势感知一体机
安全告警配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍H3C超融合态势感知一体机(以下简称CSAP-X平台)安全告警功能的配置案例。
安全告警功能可对区域内用户关注的资产进行实时监控,同时对风险资产信息以及资产存在的风险数据进行统计,并以邮件形式将统计数据发送给用户,实现CSAP-X平台对资产的实时监控和告警功能。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP-X平台功能特性。
如下图所示,企业内部部署了CSAP-X平台、邮件服务器和FTP服务器。现在需要在CSAP-X平台上配置安全告警功能,对内部资产进行实时监控,并提供邮件告警功能。
图3-1 安全告警功能配置组网图
· 在CSAP-X平台上配置邮件服务器参数
· 为CSAP-X平台上的用户绑定邮箱
· 在CSAP-X平台上配置安全告警功能
本举例是在CSAP-X平台的E1904版本上进行配置和验证的,使用的Exchange服务器版本为Exchange Server 2016。
在进行配置前,需要确保组网环境满足如下条件:
l 邮箱账号可用。
l CSAP-X平台可通过域名访问邮件服务器。
(1) 配置邮件服务器参数
登录CSAP-X平台,选择“系统配置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置。
图3-2 配置邮件服务器
¡ 协议:选择“Exchange”。
¡ 邮件服务器地址:格式为https://邮件服务器域名地址/EWS/exchange.asmx,本例配置为https://mail.csap.com/EWS/exchange.asmx。
¡ 端口号:对应发送邮件服务器的端口,默认为143。
¡ 邮箱账号:用于CSAP-X发送邮件的邮箱账号,本例配置为csap@csap.com。
¡ 密码:邮箱账号对应的密码。
(2) 用户管理中绑定用户邮箱
登录CSAP-X平台,选择“系统配置 > 权限管理”,单击用户列表中的编辑按钮进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
图3-3 绑定用户邮箱
(3) 资产配置添加资产
选择“配置管理 > 资产配置”,单击<新增>按钮添加如下资产。
图3-4 新增资产
(4) 配置安全告警策略
登录CSAP-X平台,选择“威胁处置 > 告警通知 > 告警策略”,单击<新增>按钮创建安全告警任务,进行如下配置:
图3-5 新增告警策略
¡ 策略名称:配置为告警策略1。
¡ 监控的资产:选择“指定资产”,在下方的资产列表框中将需要监控的资产添加到右侧的资产列表中,本例选择“资产170.1.0.1”。
¡ 发送间隔:设置告警发送间隔时间,本例设置30分钟。
¡ 安全等级:选择“高危”。
¡ 告警方式:选择“邮件”,收件人选择“admin(csapAdmin@csap.com)”。
(1) 构造资产“资产170.1.0.1”的安全事件,且安全事件等级为“高危”。
图3-6 资产生成安全事件
(2) 等待30分钟后,选择“威胁处置 > 告警通知 > 告警记录”,可以查看到策略名称为“告警1”的告警记录。
图3-7 产生告警记录
(3) 登录收件人的邮箱,可以查看到CSAP-X平台发送的告警通知邮件。下载并查看附件,通报了被监控资产的风险信息。
图3-8 告警邮件内容
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!