登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter 安全威胁发现与运营管理平台 典型配置(E1147 E1148)-5W101

目录

11-调查分析典型配置

本章节下载 11-调查分析典型配置  (914.20 KB)

11-调查分析典型配置

H3C安全威胁发现与运营管理平台

调查分析配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 CSAP平台资产、终端及情报配置

3.5.2 CSAP平台安全事件生成

3.5.3 CSAP平台调查分析配置

3.6 验证配置

3.6.1 资产调查任务验证

3.6.2 终端调查任务验证

3.6.3 IOC调查任务验证

3.6.4 外网IP调查任务验证

 

1  简介

本文档介绍安全威胁发现与运营管理平台(以下简称CSAP平台)调查分析功能的配置案例。

调查分析功能,该功能用于对配置的调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP平台功能特性。

3  配置举例

3.1  组网需求

如下图所示组网中,部署了CSAP平台,数据上报正常。

 

 

3.2  配置思路

·              CSAP平台添加资产、终端及及情报配置

·              CSAP平台事件生成

·              CSAP平台调查分析配置

3.3  使用版本

本举例是在CSAP的E1148P05版本上进行配置和验证的。

3.4  配置注意事项

·              在配置之前确保安全事件已生成。

·              配置调查分析任务时间范围内需要有对应安全事件。

3.5  配置步骤

3.5.1  CSAP平台资产、终端及情报配置

(1)      登录CSAP平台,选择“资产中心 > 资产列表”,单击<新增>进入资产配置页面,添加资产 123.10.0.1。

(2)      登录CSAP平台,选择“资产中心 >终端配置”,开启动态分配IP后,单击<新增>进入终端配置页面,添加终端范围 145.10.0.1-145.10.0.10。

(3)      登录CSAP平台,选择“系统设置 >威胁情报 >URL情报库”,切换到自定义URL情报界面,单击<新增>进入自定义URL情报配置页面,添加URL情报为 www.xunfeng.com

 

3.5.2  CSAP平台安全事件生成

(1)      登录CSAP平台,选择“威胁中心 > 事件台账”,页面查询源资产123.10.0.1,查看检索结果有对应安全事件生成。

 

(2)      登录CSAP平台,选择“威胁中心 > 事件台账”,页面查询源终端145.10.0.1,查看检索结果有对应安全事件生成。

 

(3)      登录CSAP平台,选择“威胁中心 > 事件台账”,页面查询源情报IOC www.xunfeng.com,查看检索结果有对应安全事件生成。

 

3.5.3  CSAP平台调查分析配置

(1)      登录CSAP平台,选择“分析中心 >调查分析  ”,单击<新增>按钮创建调查任务,进行如下配置:

 

¡  调查周期:指定调查分析的时间范围,系统将对在此时间范围内发生的安全事件进行调查,本例周期自动获取,不作更改。

¡  调查对象类型:调查分析的对象的类型,包括资产、终端、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报,本例选择“资产”。

¡  调查对象:根据不同的调查对象类型指定具体的调查分析对象,本例为“123.10.0.1”。

(2)      登录CSAP平台,选择“分析中心 >调查分析  ”,单击<新增>按钮创建调查任务,进行如下配置:

 

¡  调查周期:指定调查分析的时间范围,系统将对在此时间范围内发生的安全事件进行调查,本例周期自动获取,不作更改。

¡  调查对象类型:调查分析的对象的类型,包括资产、终端、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报,本例选择“终端”。

¡  调查对象:根据不同的调查对象类型指定具体的调查分析对象,本例为“145.10.0.1”。

(3)      登录CSAP平台,选择“分析中心 >调查分析  ”,单击<新增>按钮创建调查任务,进行如下配置:

 

¡  调查周期:指定调查分析的时间范围,系统将对在此时间范围内发生的安全事件进行调查,本例周期自动获取,不作更改。

¡  调查对象类型:调查分析的对象的类型,包括资产、终端、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报,本例选择“IOC”。

¡  调查对象:根据不同的调查对象类型指定具体的调查分析对象,本例为“www.baidu.com”。

(4)      登录CSAP平台,选择“分析中心 >调查分析  ”,单击<新增>按钮创建调查任务,进行如下配置:

 

¡  调查周期:指定调查分析的时间范围,系统将对在此时间范围内发生的安全事件进行调查,本例周期自动获取,不作更改。

¡  调查对象类型:调查分析的对象的类型,包括资产、终端、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报,本例选择“外网攻击IP”。

¡  调查对象:根据不同的调查对象类型指定具体的调查分析对象,本例为“155.10.0.4”。

3.6  验证配置

3.6.1  资产调查任务验证

(1)      登录 CSAP 平台,选择“分析中心 > 调查分析”,进入任务列表,查看123.10.0.1调查任务执行完成。

 

(2)      点击<详情>按钮可查看调查任务详情。

 

3.6.2  终端调查任务验证

(1)      登录 CSAP 平台,选择“分析中心 > 调查分析”,进入任务列表,查看145.10.0.1调查任务执行完成。

 

(2)      点击<详情>按钮可查看调查任务详情。

 

3.6.3  IOC调查任务验证

(1)      登录 CSAP 平台,选择“分析中心 > 调查分析”,进入任务列表,查看www.xunfeng.com调查任务执行完成。

 

(2)      点击<详情>按钮可查看调查任务详情。

 

3.6.4  外网IP调查任务验证

(1)      登录 CSAP 平台,选择“分析中心 > 调查分析”,进入任务列表,查看220.21.244.40调查任务执行完成。

 

(2)      点击<详情>按钮可查看调查任务详情。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们