登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecCenter 安全威胁发现与运营管理平台 典型配置(E1147 E1148)-5W101

目录

12-通报溯源典型配置

本章节下载 12-通报溯源典型配置  (691.93 KB)

12-通报溯源典型配置

H3C安全威胁发现与运营管理平台

通报溯源配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

  录

1 简介

2 配置前提

3 配置举例

3.1 本地数据源

3.1.1 组网需求

3.1.2 配置思路

3.1.3 使用版本

3.1.4 配置注意事项

3.1.5 配置步骤

3.1.6 验证配置

3.2 第三方数据源

3.2.1 组网需求

3.2.2 配置思路

3.2.3 使用版本

3.2.4 配置注意事项

3.2.5 配置步骤

3.2.6 验证配置

 

1  简介

本文档介绍安全威胁发现与运营管理平台(以下简称CSAP)通报溯源功能的配置案例。

通报溯源任务,可根据主机公网IP从系统或第三方平台查询获取NAT转换前主机的私网地址,然后结合系统上报的安全事对主机进行溯源分析。

本文档主要介绍如何配置通报溯源任务,实现内网主机的溯源分析。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CSAP平台和H3C 大数据平台产品功能特性。

3  配置举例

3.1  本地数据源

3.1.1  组网需求

如下图所示组网中,部署了CSAP平台、NAT网关设备和待溯源主机Host A,CSAP平台上已存在Host A外联的NAT日志、Host A和Host B相关安全事件,且Host B存在目的IP与Host A外联的目的IP相同的安全事件。通过配置通报溯源任务,实现CSAP平台主机的通报溯源分析。

 

3.1.2  配置思路

·              CSAP平台进行溯源配置

·              CSAP平台配置通报溯源任务

3.1.3  使用版本

本举例是在CSAP的E1148P05版本上验证的。

3.1.4  配置注意事项

3.1.5  配置步骤

1. 溯源配置

(1)      登录CSAP平台,选择“处置中心>通报溯源>溯源配置”,“溯源类型”选择“本地数据源”。

 

2. 新增溯源任务

(1)      登录CSAP平台,进入“分析中心>日志中心”页面,查询Host A的NAT日志相关信息,包括目的IP、目的端口、NAT转换后的源IP、NAT转换后的源端口、会话开始时间和会话结束时间。

 

(2)      进入“处置中心>通报溯源”,单击<新增>按钮新增溯源任务,溯源任务配置如下,填写参数均为步骤(1)查询的相关日志信息,其中溯源时间需在会话开始时间和会话结束时间范围内。

 

 

¡  任务名称:配置为“溯源任务1”

¡  溯源时间:选择溯源时间,本例配置为“2022-09-24 17:06:10”

¡  NAT转换源IP:内网主机进行NAT转换后的公网IP地址,配置为“112.20.80.1”

¡  NAT转换源端口:内网主机NAT转换后的源端口,配置为“1”

¡  目的IP:配置为“203.1.178.104”

¡  目的端口:配置为“2048”

3.1.6  验证配置

(1)      通报溯源任务成功执行完毕后,单击溯源任务列表操作栏<详情>按钮进入溯源详情页面,可以查看到到通报溯源主机列表中展示了溯源结果,展示内网主机的风险状态及主机安全事件的统计。

 

3.2  第三方数据源

3.2.1  组网需求

如下图所示组网中,部署了CSAP平台、H3C大数据平台、NAT网关设备和待溯源主机Host A。CSAP平台上已存在Host A外联的NAT日志、Host A和Host B相关安全事件,且Host B存在目的IP与Host A外联的目的IP相同的安全事件,通过配置通报溯源任务,实现CSAP平台主机的通报溯源分析。

 

3.2.2  配置思路

·              CSAP平台进行溯源配置

·              CSAP平台配置通报溯源任务

3.2.3  使用版本

本举例是在CSAP的E1148P05版本上验证的,H3C 大数据平台版本如下:

·              DataEngine 1.0(E0106)

·              ITOA V2.0(E0210)

3.2.4  配置注意事项

·              CSAP、大数据平台管理地址路由可达

3.2.5  配置步骤

1. 溯源配置

(1)      登录CSAP平台,选择“处置中心>通报溯源>溯源配置”,“溯源类型”选择“第三方数据源”:

 

¡  NAT溯源配置:选择“大数据平台”

¡  URL地址:格式如“http://IP:8882”,其中IP为ITOA系统地址,本例配置为http://186.64.22.4:8882/

2. 通报溯源任务配置

(1)      登录机器数据分析决策系统,选择“用户 > 行为溯源 > NAT查询”,查询Host A的NAT日志相关信息,包括目的IP、目的端口、NAT转换后的源IP、NAT转换后的源端口、会话开始时间和会话结束时间。

 

(2)      登录态势感知平台,选择“处置中心 > 通报溯源”,单击<新增>按钮新增溯源任务,进行如下配置:

 

¡  任务名称:配置为“溯源任务2”

¡  溯源时间:选择溯源时间,本例配置为“2022-09-24 17:57:36”

¡  NAT转换源IP:内网主机进行NAT转换后的公网IP地址,配置为“112.20.80.1”

¡  NAT转换源端口:内网主机NAT转换后的源端口,配置为“1”

¡  目的IP:配置为“203.1.178.104”

¡  目的端口:配置为“2048”

3.2.6  验证配置

(1)      通报溯源任务成功执行完毕后,单击溯源任务列表操作栏<详情>按钮进入溯源详情页面,可以查看到到通报溯源主机列表中展示了溯源结果,展示内网主机的风险状态及主机安全事件的统计。

 

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们