欢迎user
04-通报溯源典型配置举例
本章节下载: 04-通报溯源典型配置举例 (487.99 KB)
H3C SecCenter CSAP-X[CSAP-XS][CSAP-XC]超融合态势感知一体机
通报溯源配置举例
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍超融合态势感知一体机(以下简称CSAP-X平台)通报溯源功能的配置案例。
通报溯源功能,可根据主机公网IP从系统获取NAT转换前主机的私网地址,然后结合系统上报的安全事件对主机进行溯源分析。
本文档主要介绍如何配置通报溯源任务,实现内网主机的溯源分析。
通报溯源功能通过新建溯源任务来获取满足条件的NAT日志,从中提取目的IP地址、目的端口、NAT转换源IP地址、NAT转换源端口等关键信息,并结合安全事件对内网主机的上网行为进行溯源,通报存在风险行为的主机及存在相似行为的主机信息,包括风险主机IP、风险主机类型、安全状态、溯源记录等。
CSAP-XC款型不支持本功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解通报溯源功能特性。
如下图所示,企业内部部署了CSAP-X平台以及防火墙网关等设备。现需要在CSAP-X平台上配置通报溯源功能,对安全事件中的内网主机进行溯源分析。
· CSAP-X平台进行溯源配置
· CSAP-X平台配置通报溯源任务
本举例是在CSAP-X的E1904版本上验证的。
(1) 登录CSAP-X平台,选择“处置中心 > 通报溯源 > 溯源配置”,数据来源选择“本地”。
(1) 登录CSAP-X平台,进入“分析中心 > 日志中心”页面,查看平台采集的防火墙或者地址转换设备的地址转换日志信息,挑选出关注的NAT日志相关信息,作为后续下发溯源任务的参数。包括目的IP、目的端口、NAT转换后的源IP、NAT转换后的源端口、会话开始时间和会话结束时间。
(2) 选项“处置中心 > 通报溯源 > 溯源任务列表”,单击<新增>按钮,新增溯源任务。溯源任务配置如下,填写参数均为步骤(1)查询的相关日志信息,其中溯源时间需在会话开始时间和会话结束时间范围内。
¡ 任务名称:配置为溯源任务1。
¡ 溯源时间:选择溯源时间,本例配置为2020-12-01 09:34:2”。
¡ NAT转换源IP:内网主机进行NAT转换后的公网IP地址,本例配置为112.20.80.1。
¡ NAT转换源端口:内网主机NAT转换后的源端口,本例配置为1。
¡ 目的IP:配置为203.1.178.104。
¡ 目的端口:配置为2048。
通报溯源任务成功执行完毕后,单击溯源任务列表操作栏<详情>按钮,进入溯源详情页面,可以查看到通报溯源主机列表中展示了溯源结果,包括内网主机的风险状态及主机安全事件的统计信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!