- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-正文
本章节下载: 01-正文 (4.08 MB)
目 录
为了方便网络或设备管理员对新华三技术有限公司(以下简称H3C)的SecPath系列服务器安全监测系统进行配置操作及维护,服务器安全监测系统支持通过HTTPS协议建立安全的Web连接实现Web网管功能。管理员可以通过Web界面更加直观和便捷地管理和维护服务器安全监测系统。
设备在出厂时已经设置了默认的Web登录信息,用户直接使用该默认信息登录设备的Web界面。
默认的Web登录信息包括:
· 用户名:“admin”。
· 密码:“admin”。
· 验证码:“随机生成”。
Web管理的具体登录步骤如下:
(1) 为PC配置IP地址,保证能与设备IP互通。
(2) 启动浏览器输入登录信息。
启动Google(推荐V80+版本)浏览器,在地址栏内输入“https://设备IP”即可进入如下图所示的Web网管登录页面。输入用户名“admin”、密码“admin”、验证码“随机生成”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
图1-1 登录窗口
首次登录后,用户必须修改默认的登录密码。
E6901P04版本新增邮件认证登录方式。
Web UI界面由以下功能模块组成,如下图所示:
图1-2 UI界面
参数解释:
· WebUI左上角:
- 产品Logo、产品名称。
· WebUI右上角:
- 帮助文档(客户端安装指南)。
- 版本信息(产品型号、系统版本、客户端版本)。
- 用户下拉框(用户中心、多用户访问控制、Access Key、退出)。
· WebUI左侧目录:
- 概览(资产情况汇总、安全事件趋势、各类事件汇总、主机威胁排名)。
- 资产清点(梳理:进程、端口、账号、应用、数据库、启动项等10多项资产维度,并可查看资产变更情况)。
- 登录管理(防暴力破解、异常登录行为检测、登录管理设置)。
- 异常检测(反弹shell、文件异常、进程提权、文件提权)。
- 蜜罐(MySQL蜜罐、Redis蜜罐等)。
- 漏洞扫描(漏洞扫描、漏洞管理、白名单管理)。
- 恶意进程/文件查杀。
- 网站后门(Webshell查杀)。
- 基线核查(CIS基线标准、等保三级基线标准)。
- 日志管理(系统操作日志、客户端升级日志、各个功能模块日志)。
- 系统管理(授权管理、升级管理、告警设置、定时任务设置、资源占用设置、日志外发设置)。
概览页通过图表展示了用户当前安全情况的可视化概览,各类风险均支持点击跳转到具体模块进行风险处置,界面如下图所示:
图1-3 概览
参数解释:
· 资产状态:总览主机资产数量统计、防护中主机数量统计、存在风险主机数量统计,点击可跳转进行处置。
· 系统分布:总览用户资产的操作系统类型分布、各个类型系统的数量统计。
· 风险预览:总览7天、14天、30天的入侵风险、漏洞风险、病毒风险、基线风险的折线图趋势展示。
· 入侵风险:总览入侵类风险总量与分类数量,登录风险、异常检测、蜜罐,点击可跳转进行处置。
· 漏洞风险:总览漏洞类风险总量与分类数量,系统漏洞、Web-CMS漏洞、应用漏洞,点击可跳转进行处置。
· 病毒风险:总览病毒类风险总量与分类数量,网站后门、恶意进程,点击可跳转进行处置。
· 基线风险:总览基线类风险总量与分类数量,已通过数量、未通过数量,点击可跳转进行处置。
· 风险排名:统计入侵风险TOP5主机,病毒风险TOP5主机,漏洞风险TOP5主机,基线风险TOP5主机,点击可跳转进行处置。
· 右上角设置:可以对概览页的卡片进行显示/隐藏设置。
资产清点帮助用户从多个维度清点用户的系统资产信息。让用户清晰掌握自身设备资产情况。清点服务器、端口、进程、应用、启动项、账号等多个维度的资产情况。目前数据收集频率为每小时收集一次。
(1) 选择“资产清点 > 资产清点”,进入资产清点界面,如下图所示:
图1-4 资产清点
参数解释:
· 某个服务器信息:点击服务器列表中的服务器名称参数内容,进入某一个服务器的详细信息页面,包含服务器基本信息与服务器硬件信息。
· 某个服务器监控信息:点击服务器列表中监控参数内容,进入某一个服务器监控页面,可查看CPU/内存,网络,硬盘等信息。
· 某个服务器安全风险总览:鼠标移动到服务器列表中的安全风险总数参数内容上,显示某一个服务器的各类的安全风险情况,点击某风险对应的风险数,可以跳转到具体安全模块进行后续处置。
· 某个服务器的具体资产详情:点击服务器列表中的服务器名称其它参数【端口、进程、Web服务、Web框架、Web站点、iptables、定时任务、启动项、应用、账号、数据库、共享目录】的内容,可以查看具体资产的分类与统计详情。
· 某类资产的详情:资产清点顶部是所有服务器的资产的分类汇总,点击具体资产分类,资产列表将切换成所有服务器关于此类资产的汇总统计。
(2) 选择“资产清点 > 资产变更”,进入资产变更界面,如下图所示:
图1-5 资产变更
参数解释:
· 资产变更:资产变更统计了各类资产在一段时间内的变更情况,可以根据时间、服务器名称、各类资产名称、IP进行查询,支持资产变更记录导出。
· 操作使用:点击系统、端口、进程、启动项、应用、账户等资产的变更类型,可以进行资产变更列表切换。选择资产类型,修改查询时间,可以指定查看某一时间段内某类资产的变更情况。
(3) 选择“资产清点 > 资产分组”,进入资产分组界面,如下图所示:
图1-6 资产分组
参数解释:
· 资产分组:支持对资产进行分组,初始资产都在默认分组。可以新建分组进行资产的分组管理。
· 安全策略资产分组:登录管理、恶意进程、网站后门模块支持设置分组策略。可在对应模块列表中,调整某一个服务器的安全策略选择参数为分组策略,点击设置,可以设置此服务器所在分组的策略。设置成功后,加入此分组的服务器,均可以选择使用此分组的策略。
图1-7 登录管理策略分组
登录管理率先应用先进的AI技术算法,通过采集用户的日常登录日志,自动分析用户正常的主机登录习惯。当发生异常登录行为时能快速识别并封禁攻击源IP。
(1) 选择“登录管理 > 异常登录列表”,进入异常登录列表界面,如下图所示:
图1-8 异常登录列表
参数解释:
· 异常登录列表:可以查看暴力破解、异地登录、异常账号登录、异常时间登录、非白名单登录的异常登录列表。
· 某类异常查看:点击某一台服务器的【查看详情或某类异常登录次数】可以进入此服务器的异常详情页面,查看具体异常登录信息。
(2) 选择“登录管理 > 登录管理设置”,进入登录管理设置界面,如下图所示:
图1-9 登录管理设置
参数解释:
· IP黑白名单:在此对登录管理相关的IP进行黑白名单的添加、编辑与删除,也可以选择开启非白名单IP登录的记录,或者选择是否加白全部内网IP。
· 常用登录区域:点击<添加常用登录区域>按钮,进入到添加常用登录地址页面,勾选常用地区(中国地区和海外地区)。
· 常用登录账号:点击<添加常用登录账号>按钮,进入添加常用登录账号页面,选择操作系统类型,输入需要添加的账号。添加常用登录账号后,开启常用账号加固,可以限制非常用账号登录。
· 常用登录时间:点击<添加常用登录时间>,弹出添加常用登录时间配置页面,配置好常用登录时间区间后,点击<确定>按钮,完成添加配置。
异常检测可以对服务器上异常行为进行检测,目前支持4类异常行为检测,包括反弹shell、文件异常、进程提权、文件提权。
(1) 选择“异常检测 > 异常检测”,进入异常检测界面,如下图所示:
图1-10 异常检测
参数解释:
· 异常检测详情:点击异常检测列表中反弹shell、文件异常、进程提权、文件提权的具体数量。可以查看各类异常详情。
(2) 选择“异常检测 > 异常检测设置”,进入异常检测设置界面,如下图所示:
图1-11 异常检测设置
参数解释:
· 基础设置:基础设置是针对文件异常的检测规则进行设置,可以添加文件监控目录、文件监控扩展名。
文件监控目录不支持直接配置磁盘根目录,如windows C:\或者linux /目录。
文件监控扩展名不支持配置为.log。
(3) 选择“异常检测 > 异常检测设置 > 服务器加固设置 >文件加固设置”,进入文件加固设置界面,如下图所示:
图1-12 文件加固设置
参数解释:
· 基础设置:Linux系统的文件加固,文件或目录被加固后,可以防止被修改或删除。
(4) 选择“异常检测 > 异常检测设置 > 服务器加固设置 >进程加固设置”,进入进程加固设置界面,如下图所示:
图1-13 进程加固设置
参数解释:
· 基础设置:支持对合法进程进行加白,支持开启未加白进程告警,能够及时发现未加白的异常进程并进行告警。
蜜罐支持创建轻量级的蜜罐实例,用于监控和诱捕各种攻击行为。
(1) 点击“蜜罐”进入蜜罐界面,如下图所示:
图1-14 蜜罐
参数解释:
· 蜜罐:能够总览包含异常访问的蜜罐数量,总览各类蜜罐事件的数量,点击可筛选。
· 创建蜜罐实例:点创建蜜罐实例,可以创建Redis蜜罐、Mysql蜜罐、自定义端口蜜罐,点击确认即可创建一个蜜罐。
漏洞扫描对常见软件的官方披露安全漏洞信息,进行了收集和整理,形成了安全知识库。依据知识库进行检测,帮助用户了解自身部署的常见软件的安全漏洞情况。
(1) 选择“漏洞扫描 > 漏洞扫描”,进入漏洞扫描界面,如下图所示:
图1-15 漏洞扫描
参数解释:
· 漏洞扫描:勾选服务器,点击漏洞扫描,即可对勾选的服务器发起漏洞扫描。
· 自定义扫描:勾选服务器,点击自定义扫描,即可对勾选的服务器发起自定义漏洞扫描。
· 查看漏洞详情:在漏洞扫描列表中,点击漏洞的数量可以进入漏洞详情页面。
(2) 选择“漏洞扫描 > 漏洞管理”,进入漏洞管理界面,如下图所示:
图1-16 漏洞管理
参数解释:
· 漏洞管理:此页面能够总览Windows系统漏洞、Linux系统漏洞、Web-CMS漏洞、应用漏洞的漏洞数量与风险级别,点击可筛选。
· 漏洞复测:对Windows系统漏洞、Linux系统漏洞、Web-CMS漏洞、应用漏洞进行单个或批量复测,提升修复效率。
· 页面操作:可以根据漏洞名称、CVE/KB编号进行查询,支持漏洞加白与查看详情操作,支持漏洞管理的列表导出。
(3) 选择“漏洞扫描 > 白名单管理”,进入白名单管理界面,如下图所示:
图1-17 白名单管理
参数解释:
· 白名单管理:此页面可以管理漏洞白名单、查看漏洞详情、移出白名单。
恶意进程能够进行病毒查杀,总览各类病毒的数量。可以对扫描结果进行清理或加白,对隔离区源文件进行还原或删除操作。
(1) 选择“恶意进程 > 恶意进程查杀”,进入恶意进程查杀界面,如下图所示:
图1-18 恶意进程查杀
参数解释:
· 病毒查杀:勾选服务器,可以对恶意进程/文件进行快速扫描、全盘扫描、自定义扫描。
· 实时防护结果:对几个特定目录进行实时防护,发现恶意进程会立即提示。特定目录包括/home、/root、/bin、/sbin、\windows\system、\windows\system32等。
· 扫描结果:最近一次主动扫描或例行扫描中发现的恶意进程,提供进程、类型、文件名称、路径等信息。点击一键清理将文件立即放入隔离区,点击源文件加白则默认该文件为可信文件。
· 查看隔离区:可以对隔离区中的的文件进行查看,包括恶意进程名称、路径、病毒类型、检出方式、md5、隔离时间等在内的信息。可以对隔离区内的文件进行还原和删除。
(2) 选择“恶意进程 > 恶意进程查杀设置”,进入恶意进程查杀设置界面,如下图所示:
图1-19 恶意进程查杀设置
参数解释:
· 基础设置:可以对扫描设置、实时防护设置、病毒库自动升级等进行全局设置。
· 高级设置:可以对压缩文件、目录加白、扩展名加白等进行全局设置。
· 黑白名单设置:可以进行黑/白名单设置,支持批量添加。
网站后门应用自研Webshell查杀引擎,结合安全数据分析能力,可以检测包括Apache、IIS、Nginx、Tomcat在内的多种Web服务后门查杀。
(1) 选择“网站后门 > 网站后门查杀”,进入网站后门查杀界面,如下图所示:
图1-20 网站后门查杀
参数解释:
· 网站后门查杀:能够总览含网站后门的服务器数量,点击可筛选,能够总览网站后门风险的处理状态。可以对扫描结果进行隔离、加白、下载,可以对隔离区源文件进行还原或删除操作。
· 后门扫描:勾选服务器,点击后门扫描,即可进行网站后门扫描。
· 实时防护结果:实时防护发现的网站后门总数,需要开启实时防护功能。实时防护只针对Web目录。
· 扫描结果:定时扫描或者主动扫描发现的网站后门总数,点击后可以看到后门详情列表。
· 查看隔离区:可以对隔离区中的文件进行查看,包括源文件路径、木马类型、md5、源文件大小等在内的信息查看。可以对隔离区内的文件进行下载、还原和删除。
(2) 选择“网站后门 > 网站后门查杀设置”,进入网站后门查杀设置界面,如下图所示:
图1-21 网站后门查杀设置
参数解释:
· 基础设置:可以对查杀引擎,扫描设置、实时防护设置、Web目录等进行全局设置。
· 黑白名单设置:可以进行黑/白名单设置,支持批量添加。
基线检查可以检查服务器上系统配置、Web服务配置、数据库配置及账号密码配置存在的风险情况,并针对检查出的风险项,给出修复建议。可以手动立即下发检查任务或自定义配置定时扫描任务。系统自带默认检查规则,用户也可根据服务器类型,自定义配置检查规则,精准检查,灵活可控。
(1) 选择“基线检查 > 基线检查”,进入基线检查界面,如下图所示:
图1-22 基线检查
参数解释:
· 立即检查:点击立即检查,可以选择使用CIS全量模板、等保三级全量模板或自定义检查模板进行基线检查。
· 检查记录:可以选择查看最近20次的基线检查记录,记录内容有:检查开始/结束时间、检查主机数、整体检查项目、整体检查通过数、整体通过率。也可以在检查项维度或服务器维度的列表中详细查看基线检查结果。
(2) 选择“基线检查 > 自定义检查模板”,进入自定义检查模板界面,如下图所示:
图1-23 自定义检查模板
参数解释:
· 创建检查模板:点击<创建检查规则>,可以对Windows/Linux系统能够分别设置CIS标准和等保三级标准的检查项与检查日期,也可指定此模板对哪些服务器生效。
日志管理提供各个功能模块的日志查询与导出,其中包括系统操作日志、客户端升级日志、登录管理日志、异常检测日志、蜜罐日志、漏洞带扫描日志、恶意进程日志、网站后门日志。
(1) 选择“日志管理 > 系统操作日志”,进入系统操作日志界面,可以根据时间、账号、操作内容进行查询操作。如下图所示:
图1-24 系统操作日志
(2) 选择“日志管理 > 客户端升级日志”,进入客户端升级日志界面,可以根据时间、服务器名称进行查询操作。如下图所示:
图1-25 客户端升级日志
(3) 选择“日志管理 > 登录管理日志”,进入登录管理日志界面,可以通过时间维度、服务器维度进行登录管理日志的查询与导出操作。如下图所示:
图1-26 登录管理日志
(4) 选择“日志管理 > 异常检测日志”,进入异常检测日志界面,可以时间维度、服务器维度进行查询操作。如下图所示:
图1-27 异常检测日志
(5) 选择“日志管理 > 蜜罐日志”,进入蜜罐日志界面,可以根据时间、服务器名称、监听端口、来源IP进行查询操作。如下图所示:
图1-28 蜜罐日志
(6) 选择“日志管理 > 漏洞扫描日志”,进入漏洞扫描日志界面,可以通过日志详情、扫描日志两个维度,进行漏洞扫描日志的查询与导出。如下图所示:
图1-29 漏洞扫描日志
(7) 选择“日志管理 > 恶意进程日志”,进入恶意进程日志界面,可以通过日志详情、实时防护日志、扫描日志、查杀统计、任务日志等多个维度,进行查询与导出操作。如下图所示:
图1-30 恶意进程日志
(8) 选择“日志管理 > 网站后门日志”,进入网站后门日志界面,可以通过日志详情、实时防护日志、扫描日志、查杀统计、任务日志等多个维度,进行查询与导出操作。如下图所示:
图1-31 网站后门日志
用户管理提供用户管理、角色管理、租户管理、Access Key等功能,
(1) 选择主页右上角的用户图标,点击“用户管理 > 用户管理 ”,进入用户管理界面,在此可以进行用户创建、修改密码、开启邮件认证、添加权限、禁用、删除等账号管理操作。如下图所示:
图1-32 用户管理
(2) 选择主页右上角的用户图标,点击“用户管理 > 角色管理 ”,进入角色管理界面,在此可以进行角色创建、角色编辑、角色删除等角色管理操作。如下图所示:
图1-33 角色管理
(3) 选择主页右上角的用户图标,点击“用户管理 > 租户管理 ”,进入租户管理界面,在此可以进行租户创建、租户分配授权、租户禁用、租户删除、重置密码等租户管理操作。如下图所示:
图1-34 租户管理
(4) 选择主页右上角的用户图标,点击“用户管理 > Access Key ”,进入Access Key管理界面,在此可以进行Access Key创建、Access Key删除、Secret Key显示查看等操作。如下图所示:
图1-35 Access Key管理
(1) 选择“系统管理 > 升级管理 > 系统升级”,进入系统升级界面,此页面可以对管理系统进行升级维护。如下图所示:
图1-36 系统升级
参数解释:
· 首先,请对照当前系统版本与升级包版本,选择正确的升级包,按照升级手册进行升级。
· 其次,系统升级操作需要进行管理系统重启,请在不影响业务的时间段内进行系统升级。
· 最后,点击文件上传,导入系统升级包即可。
(2) 选择“系统管理 > 升级管理 > 客户端升级”,进入客户端升级界面,此页面可以对客户端进行版本升级与分发。如下图所示:
图1-37 客户端升级
参数解释:
· 请对照当前客户端版本与升级包版本,选择正确的客户端升级包。
· 客户端升级操作会对所有防护中的客户端进行批量升级,请在不影响业务的时间段内升级。
(3) 选择“系统管理 > 升级管理 > 特征库升级”,进入特征库升级界面,此页面可以对特征库进行离线升级与在线升级。如下图所示:
图1-38 特征库升级
参数解释:
· 特征库的离线升级与在线升级互不影响,在配置开启了在线升级的同时,也可以进行离线升级
· 如需进行特征库离线升级,请联系厂商获取最新的特征库升级包;
(4) 选择“系统管理 > 告警设置> 告警内容设置”,进入告警设置界面,可以对高危事件、其它事件、监控事件进行告警。可以设置提醒时间、提醒接收邮箱,设置每类告警是否进行邮件通知,另外可以对发件服务器进行设置。如下图所示:
图1-39 告警内容设置
(5) 选择“系统管理 > 告警设置> 发件服务器设置”,进入发件服务器设置界面,在此可以设置发件SMTP服务器地址、端口、发件人邮箱、邮箱密码、是否启动SSL、设置邮件发送间隔以及间隔内最多发送的邮件数量,设置完成后,可以发送测试邮件,对发件服务器设置进行测试。如下图所示:
图1-40 发件服务器设置
(6) 选择“系统管理 > 定时任务设置”,进入定时任务设置界面,可以创建多个定时任务。可创建任务类型有:恶意进程-快速扫描、恶意进程-全盘扫描、网站后门-后门扫描、补丁管理-漏洞扫描,每个任务可以选择不同的执行时间与适用服务器。如下图所示:
图1-41 定时任务设置
(7) 选择“系统管理 > 资源占用设置”,进入资源占用设置界面,可以设置防护时对系统资源的占用等级。用户可根据自身情况进行选择配置。如下图所示:
图1-42 资源占用设置
参数解释:
· 业务优先服务器: 防护时CPU占用峰值小于5%。
· 安全防护优先服务器:防护时CPU占用峰值小于10%。
· 查杀优先服务器: 防护时CPU占用峰值小于30%。
(8) 选择“系统管理 > 日志外发设置”,进入日志外发设置界面,可以通过Syslog的方式,发送可选模块的日志内容到用户的指定日志服务器。请填写您的Syslog日志服务器的地址、端口、需要外发日志的功能模块、开启外发开关后,即可将日志发送到您的Syslog日志服务器。如下图所示:
图1-43 日志外发设置
(9) 选择“系统管理 > 安全报告”,点击创建报告,进入创建安全报告界面。选择报告时间、报告内容后,点击确认,可以生成PDF格式的安全报告,并支持报告导出与删除报告。如下图所示:
图1-44 创建安全报告
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
