- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-行为分析典型配置(增强版)
本章节下载: 03-行为分析典型配置(增强版) (1.94 MB)
H3C安全威胁发现与运营管理平台
行为分析典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍安全威胁发现与运营管理平台(以下简称CSAP平台)行为分析功能的配置案例。
互联网行为分析功能可用于分析并展示网络中各种应用的行为事件,以及用于展示互联网行为统计对象(如内网用户、用户组、区域等)访问互联网上各种应用的行为信息进行统计,并展示内网行为功能对于SSL_VPN用户和终端准入用户的登录情况及资源访问行为进行分析统计,以及用户行为审计用于展示用户的上网行为记录,来帮助管理员直观快速观察和定位各用户访问各应用的行为概况。实现CSAP平台对访问各应用行为的实时监控。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。若客户网络中存在其它第三方厂商日志不适配的情况,需要进行定制化开发时,请与当地销售人员联系。
本文档假设您已了解CSAP平台功能特性。
如下图所示组网中,部署了CSAP平台、日志源采集、资产配置,流量与行为授权分析函。在CSAP平台上配置日志源采集、资产配置和流量与行为分析授权函,实现CSAP平台对用户访问各应用的行为进行实时监控。
· CSAP平台日志源采集
· CSAP平台流量与行为分析授权函
· CSAP平台资产配置
本举例是在CSAP的E1148P05版本上进行配置和验证的。
· 在配置之前确保内流量与行为分析授权函已经导入
· 验证配置时请尽量保证安全威胁发现与运营管理平台、流量探针、防火墙等设备系统时间一致
(1) 登录CSAP平台,选择“系统配置 > 授权信息”,查询授权名称列表下是否已经有了流量及行为分析组件授权函,如已经有则不用再导入流量及行为分析组件授权函,如没有的话则需要导入流量及行为分析组件授权函;
(1) 登录CSAP平台,选择“系统设置 >数据源配置>日志源管理”,切换到被动采集页面,点击新增按钮,进行日志源添加,配置完毕后单击<确定>保存。
(1) 选择“资产中心 > 资产列表”,单击<新增>按钮添加如下资产。
(2)选择“资产中心>区域配置”,单击<新增>按钮添加如下区域,并保存。
(3)选择‘资产中心>终端配置’,单击<新增>按钮添加如下终端。
(1) 用添加的终端配置IP作为源IP,进行互联网行为相应审计日志回放,在日志中心-审计日志进行查看。
(2) 互联网行为相应得审计日志回放后,在选择“分析中心 > 互联网行为分析”,统计周期为近24小时,可以查看到用户访问各类应用的行为信息,列表信息中有详情按钮,可以点击柱状图或者点击详情按钮下钻到日志中心查看详细信息。
(3)
内网行为相应日志回放后,可以直接选择‘分析中心>内网行为分析’,可在内网行为分析页面监控查看,内网用户区域登录相应数据进行统计,可通过柱状图和趋势图来进行展示统计。
(4)
用添加的终端配置IP作为源IP,互联网行为相应审计日志或者相应的流量会话日志进行回放,等待到下一个整点的过25分左右,就可以在‘分析中心>用户行为审计’,查看生成的用户行为审计数据统计,列表信息中有标签和详情按钮,可以点击详情按钮下钻到用户行为详情页面,可以通过柱状图、饼状图、趋势图来直观地反映用户行为信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
