06-响应编排典型配置举例
本章节下载: 06-响应编排典型配置举例 (2.30 MB)
H3C SecCenter CSAP-X[CSAP-XS][CSAP-XC]超融合态势感知一体机
响应编排典型配置举例
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C超融合态势感知一体机(以下简称CSAP-X平台)响应编排功能的配置案例。
响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、IMC系统、终端安全管理系统等,下发联动动作。如:告警通知、处置工单、黑名单、访问控制、网站阻断、无线接入、上网阻断、用户下线、全网主机扫描、EDR告警提醒、EDR病毒查杀、EDR病毒隔离、EDR进程查杀、EDR主机隔离等。从而通过CSAP-X平台对安全事件进行事件处置与响应。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解响应编排功能以及各个与CSAP-X平台联动的产品功能特性。
如下图所示,企业内部部署了CSAP-X平台以及防火墙(以下简称FW设备)等设备。现需要在CSAP-X平台上配置响应编排功能,联动防火墙设备下发动作。实现CSAP-X平台自动/手动下发黑名单及访问控制策略。
· FW设备配置接口IP地址、安全域以及安全策略。
· FW设备配置IPS策略、防病毒配置文件以及URL过滤配置文件,并在安全策略中引用。
· FW设备配置日志发送到CSAP-X平台。
· FW设备配置流量日志发送到CSAP-X平台。
· FW设备配置Netconf认证功能。
· CSAP-X平台配置区域和资产。
· CSAP-X平台配置数据源。
· CSAP-X平台编排剧本及案件配置。
本举例是在CSAP-X的E1904版本上进行配置和验证的,FW设备型号为F5000-C,版本为Release 9342P2411。
· 配置前,请确保CSAP-X平台与FW设备之间网络互通。
· 配置前,需保证FW设备有IPS、AV、UFLT、ACG授权,同时对应特征库升级官网最新版本。
(1) 配置https服务,使管理PC能够通过web登录设备进行管理
# 开启https服务并创建管理用户admin。
<H3C>system-view
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple admin
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
[H3C-luser-manage-admin]quit
(2) 配置开启netconf服务,为后续与防火墙联动使用
[H3C]netconf soap https enable
[H3C]netconf ssh server enable
(3) 配置内外网接口IP地址并加入到相应的安全域
[H3C]interface GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(4) 登录FW设备Web管理平台界面,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区为:北京(GMT+08:00),修改完成后检查系统时间正常,如与当前时间不一致,进行时间调整。
图1 配置日期与时间
(5) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息。
图2 新建安全策略(基本信息)
¡ 名称:配置为“安全策略01”。
¡ 源安全域:选择“Trust”。
¡ 目的安全域:选择“Untrust”。
¡ 类型:选择“IPv4”。
¡ 动作:选择“允许”。
(6) 点击“URL过滤配置文件”下拉选择,点击<新建URL过滤配置文件>,配置如下。
图3 新建URL过滤配置文件
¡ 名称:配置为URL过滤。
¡ 缺省动作:选择允许。
¡ 记录日志:勾选。
¡ URL过滤分类:除自定义分类外全部勾选。
¡ 记录日志:全部勾选。
(7) 配置内容安全如下:
图4 内容安全引用IPS策略、防病毒策略、URL过滤策略
¡ 入侵防御配置文件:选择default。
¡ 防病毒配置文件:选择default。
¡ URL过滤配置文件:选择URL过滤。
¡ 记录日志:选择关闭。
¡ 开启策略匹配统计:选择关闭。
¡ 启用策略:选择开启。
¡ 配置完成后点击“确定”按钮。
(8) 新建安全策略后,在安全策略页面单击“提交”按钮,激活配置。
图5 安全策略提交
(9) 选择“系统 > 日志设置 > 威胁日志”,配置入侵防御日志和防病毒日志输出功能。配置如下:
图6 配置入侵防御日志和防病毒日志输出功能
¡ 入侵防御日志-输出快速日志:勾选。
¡ 入侵防御日志-输出中文日志:勾选。
¡ 防病毒日志-输出快速日志:勾选。
¡ 配置完成后点击“应用”按钮。
(10) 选择“系统 > 日志设置 > URL过滤日志”,配置URL过滤日志输出功能,配置如下:
图7 配置URL过滤日志输出功能
¡ 日志类型:选择“快速日志”
¡ 开启URL过滤日志:勾选
(11) 选择“系统 > 日志设置 > 会话日志”,进行如下配置:
图8 配置会话日志
¡ 日志类型:选择“快速日志”。
¡ 记录删除会话的日志:勾选。
¡ 流量阈值:选择“字节流量”,配置为1兆字节。
(12) 点击<添加接口>,配置如下:
图9 添加生成会话日志的接口
¡ IP类型:选择IPv4。
¡ 接口:选择GE1/0/1(实际按照需检测流量的接口设置)。
¡ 入方向:勾选。
¡ 出方向:勾选。
(13) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置:
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址。
(14) 点击<新建>,新建日志主机,配置如下:
图10 配置快速日志日志主机
¡ 日志主机:配置为“186.64.9.125”,为CSAP-X平台的被动采集器IP。
¡ 端口号:缺省为“514”。
¡ 会话日志:勾选。
¡ URL过滤日志:勾选。
¡ 入侵防御日志:勾选。
¡ 防病毒日志:勾选。
¡ 日志主机保存,应用。
(1) 登录CSAP-X平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
图11 新增区域1
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮,新建资产1,配置如下:
图12 新建资产1
¡ 资产名称:配置为资产172.0.0.1。
¡ 资产类型:选择主机-服务器。
¡ 所属区域:选择系统已配置的区域项,本例选择区域1。
¡ 生产厂商:选择H3C。
(3) 单击<新增>按钮新增资产IP,配置如下:
图13 新增资产IP
¡ IP类型:默认配置为“IPv4”。
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.1”。
¡ 管理IP:需勾选为管理IP。
(4) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产2,配置如下:
图14 新增资产2
¡ 资产名称:配置为“FW186.64.0.118”。
¡ 资产类型:选择“安全设备-防火墙”。
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”。
¡ 生产厂商:选择“H3C”。
(5) 单击<新增>按钮新增资产IP,配置如下:
图15 新增资产IP
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.118”
¡ 管理IP:需勾选为管理IP
(6) 单击“资产管理协议 > 配置NETCONF over SOAP参数 > 设置”,配置如下:
图16 配置NETCONF over SOAP参数
¡ 访问URL协议:默认配置为“HTTPS”。
¡ SOAP端口号:当协议为“HTTPS”时,端口默认为“832”。
¡ 访问路径:默认配置“/soap/netconf”。
¡ 用户名:配置为“admin”。
¡ 密码:配置为“Admin@123”。
(7) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
图17 新增被动采集日志源
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.9.125:passive”
¡ 采集器IP:选择“186.64.9.125”
(8) 单击<新增>,配置新增端口信息,配置如下:
¡ 日志类型:选择“Syslog”
¡ 端口号:默认配置为“514”
¡ 字符集:配置为“utf8”
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮,新建剧本,配置黑名单及访问控制动作,配置如下:
图18 配置剧本
¡ 剧本名称:配置为“防火墙联动”
¡ 黑名单动作执行目标配置:
- 设备类型:勾选“NGFW/IPS”
- 选择设备:配置为“FW186.64.0.118”
¡ 黑名单动作配置:
- 阻断对象:勾选“关注点IP”
- 阻断方向:勾选“发起方向”
- 老化时间:配置为“600”
¡ 访问控制执行目标配置:
- 设备类型:勾选“NGFW/IPS”
- 选择设备:配置为“FW186.64.0.118”
(10) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮,新建案件,配置如下:
图19 新增案件
¡ 案件名称:配置为“防火墙联动案件”。
¡ 是否启用:配置为“是”。
¡ 风险类型:默认勾选为“安全事件”。
¡ 规则名称:配置为“外网漏洞利用攻击”。
¡ 失陷确信度:默认不勾选,此例全部勾选。
¡ 事件等级:默认不勾选,此例全部勾选。
¡ 剧本:配置为“防火墙联动”。
¡ 剧本是否自动执行:配置为“是”。
(1) 构造“资产172.0.0.1”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“已执行”。
图20 查看安全事件
(2) 单击操作栏<编排详情>,查看剧本执行结果。
图21 查看剧本执行结果
(3) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s。
图22 查看FW设备黑名单
(4) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
图23 查看FW设备安全策略下发情况
(5) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表。
图24 查看FW设备黑名单过期后现象
如下图所示,企业内部部署了CSAP-X平台,CSAP-X包含终端管理平台(下简称ESM),组网中存在终端主机安装Agent客户端,现需要在CSAP-X平台上配置响应编排剧本及案件,当威胁事件发生时,由CSAP-X平台向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM配置日志上报。
· ESM配置日志服务器。
· CSAP-X平台区域、资产配置。
· CSAP-X平台数据源配置。
· CSAP-X平台应用平台配置。
· CSAP-X平台编排剧本及案件配置。
本举例是在CSAP-X的E1904版本上进行配置和验证。
配置前,请确保CSAP-X平台与ESM及终端主机之间网络互通。
(1) 登录至客户端下载中心,下载Agent。
图25 下载Agent
(2) 安装Agent客户端,登录ESM,选择终端管理,查看客户端主机在线。
图26 查看客户端主机在线状态
(1) 登录ESM,选择“系统管理 > 联动配置 > syslog上报设置”,选择客户端上报内容。
图27 选择客户端syslog上报内容
¡ 选择上报内容:全部勾选。
(2) 选择“系统管理 > 联动配置 > syslog服务配置”,配置日志上报的服务器信息。
图28 配置syslog服务器信息
¡ Syslog服务器IP:配置为“186.64.9.125”,为CSAP-X平台的被动采集器IP。
¡ 端口:配置为“514”。
(1) 登录CSAP-X平台,选择“资产中心 > 区域配置”,单击<新增>,增加区域,如下图所示增加区域“区域3”。
图29 新增区域3
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮,新建资产5,配置如下:
图30 新增资产5
¡ 资产名称:配置为“主机186.64.100.108”
¡ 资产类型:选择“主机-终端”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”
¡ 生产厂商:选择“Microsoft”
(3) 单击<新增>按钮,新增资产IP,配置如下:
图31 新增资产IP
¡ IP类型:默认配置为“IPv4”。
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.108”。
¡ 管理IP:需勾选为管理IP。
(4) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新建日志源,配置如下:
图32 新增被动采集日志源
¡ 名称:配置为“ESM”。
¡ IP:配置为“186.64.2.17”,ESM管理地址。
¡ 设备类型:配置为“终端安全”。
¡ 厂商:配置为“H3C”。
¡ 设备型号:配置为“SecCenter CSAP-ESM”。
¡ 采集器名称:配置为“186.64.9.125:passive”。
¡ 采集器IP:配置为“186.64.9.125”。
(5) 点击<新增>,新增端口信息,配置如下:
图33 新增端口信息
¡ 日志类型:配置为“syslog”。
¡ 端口号:配置为“514”。
¡ 字符集:配置为“utf8”。
(6) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮,新建剧本,配置如下:
图34 新增剧本
¡ 剧本名称:配置为“全网主机扫描及告警”
¡ 动作:配置为“全网主机扫描”及“EDR告警提醒”
¡ 全网主机扫描执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ EDR告警提醒执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ EDR告警提醒动作配置:
- 老化时间:未配置
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮,新建剧本,配置如下:
图35 新建剧本“病毒查杀”
¡ 剧本名称:配置为“病毒查杀”
¡ 动作:配置为“EDR病毒查杀”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ 动作配置:
- 老化时间:配置为“1”小时
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
图36 新增剧本“病毒隔离”
¡ 剧本名称:配置为“病毒隔离”
¡ 动作:配置为“EDR病毒隔离”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ 动作配置:
- 老化时间:未配置
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
图37 新增剧本“进程查杀”
¡ 剧本名称:配置为“进程查杀”
¡ 动作:配置为“EDR进程查杀”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ 动作配置:
- 老化时间:未配置
(10) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
图38 新增剧本“主机隔离”
¡ 剧本名称:配置为“主机隔离”
¡ 动作:配置为“EDR主机隔离”
¡ 执行目标配置:
- 设备类型:配置为“EDR”
- EDR管理中心:配置为“终端安全管理”
¡ 动作配置:
- 老化时间:未配置
(1) 构造资产“主机186.64.100.108”的安全事件1,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为未执行
图39 查看安全事件
(2) 点击操作栏<编排详情>按钮,选择剧本“全网主机扫描及告警”并下发。
图40 编排剧本
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
图41 查看执行结果
(4) 登录ESM,点击“系统管理 > 联动配置 > MD5检测”,查看API接口下发策略记录,存在终端按MD5值检测文件。
图42 查看API接口下发策略记录
(5) 登录ESM,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
图43 查看联动规则
(6) 点击操作栏<编排详情>按钮,查看全网主机扫描结果如下:
图44 查看全网主机扫描结果
(1) 构造资产“主机186.64.100.108”的安全事件2,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件2的编排状态为未执行。
图45 查看安全事件
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒查杀”剧本并下发。
图46 编排配置
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
图47 查看执行结果
(4) 登录ESM,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
图48 查看联动规则
(1) 构造资产“主机186.64.100.108”的安全事件3,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件3的编排状态为未执行。
图49 查看安全事件
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒隔离”剧本并下发。
图50 编排配置
(3) 再次点击操作栏<编排详情>按钮,查看执行结果。
图51 查看执行结果
(4) 登录ESM,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
图52 查看关联规则
(1) 构造资产“主机186.64.100.108”的安全事件4,规则名称为“终端MD5情报”。点击“处置中心 > 安全事件 > 详情模式”,安全事件4的编排状态为未执行。
图53 查看安全事件
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“进程查杀”剧本并下发。
图54 编排配置
(3) 再次点击操作栏<编排配置>按钮,查看执行结果。
图55 查看执行结果
(4) 登录ESM,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
图56 查看联动规则
(1) 构造资产“主机186.64.100.108”的安全事件5,规则名称为“恶意主机外联”。点击“处置中心 > 安全事件 > 详情模式”,安全事件5的编排状态为未执行。
图57 查看安全事件
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“主机隔离”剧本并下发。
图58 编排配置
(3) 再次点击操作栏<编排配置>按钮,查看执行结果。
图59 查看执行结果
(4) 登录ESM,点击“系统管理 > 联动配置 > 联动规则”,查看策略下发成功。
图60 查看联动规则
如下图所示,企业内部部署了CSAP-X平台和邮件服务器等设备。现需要在CSAP-X平台上配置邮件服务器和响应编排剧本及案件,实现CSAP-X平台威胁事件的告警通知和工单处置。
· CSAP-X平台邮件服务器配置。
· CSAP-X平台用户管理配置。
· CSAP-X平台区域、资产配置。
· CSAP-X平台数据源配置。
· CSAP-X平台编排剧本及案件配置。
本举例是在CSAP-X的E1904版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283(windows server 2008)。
· 在配置之前确保内外网路由可达。
· 邮箱账号可用。
· CSAP-X外部通信地址可通过域名访问邮件服务器。
(1) 登录CSAP-X平台,选择“系统配置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
图61 配置邮件服务器
¡ 协议:选择“SMTP”。
¡ 邮件服务器地址:本例配置为“186.64.200.39”。
¡ 端口号:对应发件服务器的端口,默认为25。
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为Administrator@csap.com。
¡ 密码:邮箱账号对应的密码。
(1) 登录CSAP-X平台,选择“系统配置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
图62 配置用户邮箱账号
(1) 登录CSAP-X平台,选择“资产中心 > 区域配置”,单击<新增>增加区域及区域内IP网段,如下图所示:
图63 增加区域
(2) 选择“资产中心 > 资产配置”页面,单击<新增>按钮新建资产4,配置如下:
图64 新增资产
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“主机-服务器”。
¡ 所属区域:选择系统已配置的区域项,本例选择“区域3”。
¡ 生产厂商:选择“H3C”。
(3) 单击<新增>按钮新增资产IP,配置如下:
图65 新增资产IP
¡ IP类型:默认配置为“IPv4”。
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”。
¡ 管理IP:需勾选为管理IP。
(1) 选择“配置中心 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
图66 新增被动采集日志源
¡ 名称:配置为“FW118”。
¡ IP:配置为“186.64.0.118”。
¡ 设备类型:选择“防火墙”。
¡ 厂商:选择“H3C”。
¡ 设备型号:选择“F5000系列(V7)”。
¡ 采集器名称:选择“186.64.9.125:passive”。
¡ 采集器IP:选择“186.64.9.125”。
(2) 单击<新增>,配置新增端口信息,配置如下:
图67 新增端口信息
¡ 日志类型:选择“Syslog”。
¡ 端口号:默认配置为“514”。
¡ 字符集:配置为“utf8”。
(1) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击预定义剧本“主机存在弱口令执行剧本”<编辑>按钮修改剧本,配置如下:
图68 修改剧本
¡ 动作配置:
- 邮件告警:勾选
- 收件人:选择“admin(csapAdmin@csap.com)”
(2) 选择“处置中心 > 响应编排 > 案件管理”页面,单击预定义案件“主机存在弱口令”<编辑>按钮,修改案件,配置如下:
图69 修改案件
¡ 是否启用:配置为“是”。
¡ 脆弱性类型:默认勾选为“弱口令”。
¡ 剧本:配置为“主机存在弱口令执行剧本”。
¡ 剧本是否自动执行:配置为“是”。
(3) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮,新建剧本,配置“告警通知”动作,配置如下:
图70 新增剧本
¡ 剧本名称:配置为“告警通知”。
¡ 动作配置:
- 邮件告警:勾选
- 收件人:选择“admin(csapAdmin@csap.com)”
(4) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
图71 新建案件
¡ 案件名称:配置为“脆弱性编排”。
¡ 是否启用:配置为“是”。
¡ 风险类型:默认勾选为“脆弱性风险”。
¡ 脆弱性类型:配置为“漏洞”。
¡ 漏洞等级:默认不勾选,此例全部勾选。
¡ 剧本:配置为“告警通知”。
¡ 剧本是否自动执行:配置为“是”。
(5) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下:
图72 配置处置工单动作
¡ 剧本名称:配置为“处置工单”
¡ 动作配置:
- 通知责任人:选择“admin(csapAdmin@csap.com)”
(1) 构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状态为“未执行”。
图73 查看编排状态
(2) 点击“综合概览 > 综合态势 > 弱口令”,查看“资产170.1.0.1”脆弱性风险详情页面,弱口令数据的编排状态为“已执行”。
图74 查看脆弱性风险详情页面
(3) 点击操作栏<编排详情>按钮,查看剧本执行结果。
图75 查看剧本执行结果
(4) 登录收件人的邮箱,可以查看到CSAP-X平台发送的告警通知邮件。
图76 查看邮件
(5) 构造“资产170.1.0.1”的安全事件,事件规则为“外网弱口令登录”,查看编排状态为“未执行”。
图77 查看编排状态
(6) 单击操作栏<编排配置>,选择剧本“处置工单”,点击<确认>,下发剧本编排。
图78 编排配置
(7) 点击操作栏<编排详情>按钮,查看剧本执行结果。
图79 查看剧本执行结果
(8) 登录收件人的邮箱,可以查看到CSAP-X平台发送的告警通知邮件。
图80 查看邮件
(9) 登录CSAP系统,点击“应用中心 > 漏扫联动 > 漏扫管理 > 漏扫报告导入”,导入区域网段下IP为“154.1.1.1”的漏洞报告。
图81 导入漏扫报告
(10) 点击“综合概览 > 综合态势 > 漏洞”,查看资产“154.1.1.1”脆弱性风险详情页面,漏洞数据的编排状态为“已执行”。
图82 查看脆弱性风险详情
(11) 点击操作栏<编排详情>按钮,查看剧本执行结果。
图83 查看剧本执行结果
(12) 登录收件人的邮箱,可以查看到CSAP-X平台发送的告警通知邮件。
图84 查看邮件
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!