- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-响应编排典型配置
本章节下载: 14-响应编排典型配置 (8.27 MB)
H3C安全威胁发现与运营管理平台
响应编排典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)响应编排功能的配置案例。
响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、IMC系统、终端安全管理系统等,下发联动动作,如:告警通知、处置工单、黑名单、访问控制、网站阻断、重定向、无线接入、上网阻断、用户下线、全网主机扫描、EDR告警提醒、EDR病毒隔离、EDR病毒查杀、EDR进程查杀、EDR主机隔离等。从而通过CSAP平台对安全事件进行事件处置与响应。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台和第三方平台产品功能特性。
如下图所示组网中,部署了CSAP平台,并且组网中安装了防火墙设备(以下简称FW设备),在CSAP平台上配置响应编排剧本及案件,联动下发至FW设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· FW设备配置接口地址并加入安全域,添加安全策略
· FW设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· FW设备开启安全域上黑名单过滤功能
· FW设备配置日志发送
· FW设备配置流量日志发送
· FW设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,FW设备型号为F5000-C,版本为7.1.064, Release 9342P2415。
CSAP平台、FW设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用admin账户登录FW设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息
¡ 名称:配置为“安全策略01”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 类型:选择“IPv4”
¡ 动作:选择“允许”
(5) 配置内容安全如下:
¡ IPS策略:选择“default”
¡ 防病毒策略:选择“default”
¡ 记录日志:选择“关闭”
¡ 开启策略匹配统计:选择“关闭”
¡ 启用策略:选择“开启”
(6) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
¡ 记录日志:全部勾选
(7) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(8) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(9) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置:
¡ 入侵防御日志-输出快速日志:勾选
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-输出系统日志:勾选
说明:配置完成后需点击“应用”生效。
(10) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 开启URL过滤日志:勾选
(11) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置:
¡ 是否将系统日志输出到日志缓冲区:勾选
(12) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
(13) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置:
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(14) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL过滤日志:勾选
¡ 入侵防御日志:勾选
(15) 选择“系统 > 会话设置 > 高级设置”,进行如下配置:
¡ 会话统计:开启
(16) 选择“系统 > 日志设置 > 会话日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(17) 点击<添加接口>,配置如下:
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(18) 使用账户admin登录FW设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产1,配置如下:
¡ 资产名称:配置为“资产172.0.0.1”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.1”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产2,配置如下:
¡ 资产名称:配置为“FW186.64.0.118”
¡ 资产类型:选择“安全设备/防火墙”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据防火墙设备IP进行配置,本例配置“186.64.0.118”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为FW设备SSH登录账户
¡ 密码:配置为“Admin@123”,为FW设备SSH登录账户admin对应密码
(7) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(8) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“防火墙联动”
黑名单执行目标配置:
¡ 设备类型:勾选“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“FW186.64.0.118”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ 老化时间:配置为“600”
访问控制执行目标配置:
¡ 设备类型:勾选“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“FW186.64.0.118”
(10) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“防火墙联动案件”
¡ 是否启用:配置为“是”
¡ 案件类型:默认勾选为“安全事件”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,此例全部勾选
¡ 事件等级:默认不勾选,此例全部勾选
¡ 剧本名称:配置为“防火墙联动”
¡ 剧本执行:配置为“自动执行”
(1) 构造“资产172.0.0.1”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,查看剧本执行结果
(3) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s
(4) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
(5) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表
如下图所示组网中,部署了CSAP平台,并且组网中安装了入侵防御设备(以下简称IPS设备),在CSAP平台上配置响应编排剧本及案件,联动下发至IPS设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· IPS设备配置接口地址并加入安全域,添加安全策略
· IPS设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· IPS设备开启安全域上黑名单过滤功能
· IPS设备配置日志发送
· IPS设备配置流量日志发送
· IPS设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,IPS设备型号为T1080,版本为7.1.064, Release 8560P27 。
CSAP平台、IPS设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.6.172 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用账户admin登录IPS设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00) ,修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略”,点击<新建>按钮,新建安全策略
¡ 名称:配置为“安全策略01”
¡ 类型:选择“IPv4”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 动作:选择“允许”
¡ 入侵防御配置文件:选择“default”
¡ 防病毒配置文件:选择“default”
¡ 记录日志:选择“关闭”
¡ 启用策略:选择“开启”
(5) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下:
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
(6) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(7) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(8) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置:
¡ 入侵防御日志-日志类型:勾选为“快速日志”
¡ 入侵防御日志-日志输出格式:选择“标准格式”
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-日志类型:勾选为“快速日志”
说明:配置完成后需点击“应用”生效。
(9) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 开启URL过滤日志:勾选
(10) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置:
¡ 是否将系统日志输出到日志缓冲区:勾选
(11) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
(12) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置:
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(13) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL过滤日志:勾选
¡ 入侵防御日志:勾选
(14) 选择“系统 > 会话设置 > 高级设置”,进行如下配置:
¡ 会话统计:开启
(15) 选择“系统 > 日志设置 > 会话日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(16) 点击<添加接口>,配置如下:
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(17) 使用admin账户登录IPS设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产3,配置如下:
¡ 资产名称:配置为“资产172.0.0.2”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.2”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮新建资产4,配置如下:
¡ 资产名称:配置为“IPS186.64.6.172”
¡ 资产类型:选择“安全设备/IPS入侵防御系统”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.172”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为IPS设备SSH登录账户
¡ 密码:配置为“Admin@123”,为IPS设备SSH登录账户admin对应密码
(7) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“IPS172”
¡ IP:配置为“186.64.6.172”
¡ 设备类型:选择“入侵防御系统”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“T1000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(8) 设置端口信息,配置如下:
¡ 上报协议:配置为“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“IPS联动剧本”
黑名单执行目标配置:
¡ 设备类型:选择“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“IPS186.64.6.172”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ 老化时间:未配置,为空则表示黑名单永不老化
访问控制执行目标配置:
¡ 设备类型:配置为“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“IPS186.64.6.172”
(1) 构造“资产172.0.0.2”的安全事件,事件规则为“外网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“IPS联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,查看剧本执行结果
(4) 登录IPS设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2,添加至黑名单列表,无老化时间
(5) 登录IPS设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 交换机设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台编排剧本及案件配置
·
· 说明:交换机默认业务配置已互通。
本举例是在CSAP的E1148P05版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.070 E7562。
CSAP平台、交换机设备之间网络互通。
(1) 使用admin账户登录交换机设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产5,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产6,配置如下:
¡ 资产名称:配置为“交换机186.64.0.108”
¡ 资产类型:选择“网络设备/交换机”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.108”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议, 开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备SSH登录账户
¡ 密码:配置为“Admin@123”,为交换机设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“交换机联动”
黑名单执行目标配置:
¡ 设备类型:选择“交换机/路由器”
¡ 选择设备:配置为“交换机186.64.0.108”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 设备类型:配置为“交换机/路由器”
¡ 选择设备:配置为“交换机186.64.0.108”
¡ 访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.3”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“交换机联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3800和3801的规则组,规则数量分别为1
(5) 点击3800规则数量,查看规则组信息
(6) 点击3801规则数量,查看规则组信息
如下图所示组网中,部署了CSAP平台,并且组网中安装了路由器设备,在CSAP平台上配置响应编排剧本及案件,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 路由器设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台编排剧本及案件配置
·
· 说明:路由器默认业务配置已互通。
本举例是在CSAP的E1148P05版本上进行配置和验证的,路由器设备型号为VSR1000,版本为7.1.064, Release 0621P18。
CSAP平台、路由器设备之间网络互通。
(1) 使用admin账户登录路由器设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产7,配置如下:
¡ 资产名称:配置为“资产172.0.0.4”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.4”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产8,配置如下:
¡ 资产名称:配置为“路由器186.64.6.180”
¡ 资产类型:选择“网络设备/路由器”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击<新增>按钮新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.180”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为路由器设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为路由器设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“路由器联动”
黑名单执行目标配置:
¡ 设备类型:选择“交换机/路由器”
¡ 选择设备:配置为“路由器186.64.6.180”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 设备类型:配置为“交换机/路由器”
¡ 选择设备:配置为“路由器186.64.6.180”
¡ 访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.4”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“路由器联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 使用admin账户登录路由器设备后台,输入display acl 3800,查看ACL编号为3800的规则组信息
(5) 输入display acl 3801,查看ACL编号为3801的规则组信息
如下图所示组网中,部署了CSAP平台,并且组网中安装了Web应用防火墙设备(以下简称WAF设备),在CSAP平台上配置响应编排剧本及案件,联动下发至WAF设备,实现CSAP平台自动/手动下发网站阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,WAF设备型号为W2000-V500-G2,版本为Version 3.1, E6203P04。
CSAP平台、WAF设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产9,配置如下:
¡ 资产名称:配置为“资产172.0.0.5”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.5”
¡ 管理IP:默认配置为“是”
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置网站阻断动作,配置如下:
¡ 剧本名称:配置为“WAF联动剧本”
执行目标配置:
¡ 设备类型:选择“WAF”
动作配置:
¡ 检测方向:勾选“源”
¡ URL :配置为“https://186.64.6.178”
¡ 用户:配置为“admin”,为WAF设备登录用户
¡ 密码:配置为“Admin123456”,为WAF设备登录密码
(1) 构造“资产172.0.0.5”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“WAF联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,查看剧本执行结果
(4) 登录WAF设备,点击“访问控制 > 黑名单”,查看策略下发成功
如下图所示组网中,部署了CSAP平台,并且组网中安装了无线AC设备,组网中存在终端主机登录至无线AC设备。在CSAP平台上配置响应编排剧本及案件,实现CSAP平台自动/手动下发无线接入策略。
· 用户终端通过无线网接入无线AC设备
· CSAP平台资产配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,无线AC设备型号为WX2560H,版本为7.1.064, Release 5436,AP型号为WA6320,版本为7.1.064, Release 2436。
CSAP平台、无线AC设备及终端主机之间网络互通。
(1) 登录无线AC设备管理平台,选择“无线配置 > AP管理”,查看AP服务状态在线,状态标记为蓝色时表示在线
(2) 选择“无线配置 > 无线网络”,查看“csap-app”无线服务状态开启,状态标记为蓝色时表示开启
(3) 使用admin用户登录设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。
(1) 手机终端连接无线网络“csap-app”,在手机端能够查看网络接入IP地址
(2) 登录无线AC设备管理平台,选择“监控 > 客户端 > 客户端数量”,查看客户端详情与接入网络的终端设备信息一致
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产10,配置如下:
¡ 资产名称:配置为“phone”
¡ 资产类型:选择“计算机/移动终端”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.200.44”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产11,配置如下:
¡ 资产名称:配置为“无线AC”
¡ 资产类型:选择“网络设备/AC无线控制器”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.20”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为无线AC设备SSH登录账户
¡ 密码:配置为“Admin@12345”,为无线AC设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置无线接入动作,配置如下:
¡ 剧本名称:配置为“无线AC”
¡ 执行目标配置:
¡ 设备类型:默认配置为“AC无线控制器”
¡ 选择设备:配置为“无线AC”
¡ 动作配置:
¡ 地址类型:默认配置为“IP”,可切换为“MAC”
¡ 老化时间:配置为“30”
(8) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“无线AC”
¡ 是否启用:配置为“是”
¡ 案件类型:选择“安全事件”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,可选择勾选“已失陷”、“高可疑”、“低可疑”,此例全部勾选
¡ 事件等级:默认不勾选,可选择勾选“严重”、“高危”、“中危”、“低危”,此例全部勾选
¡ 剧本名称:配置为“无线AC”
¡ 剧本执行:配置为“手动执行”
(1) 构造资产“Phone”的安全事件1,规则名称为“外网漏洞利用攻击”。 点击“处置中心 > 安全事件 > 详情模式”,安全事件1的编排状态为待执行。待执行状态表示安全事件已匹配到案件,但未下发执行
(2) 点击操作栏<编排>按钮,手动下发无线AC剧本
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) “无线接入”动作下发执行成功后,手机终端再次接入无线网络,提示“无法加入网络‘csap-app‘”
(5) 登录无线AC设备管理平台,选择“监控 > 客户端>客户端数量”,查看客户端下线成功
(6) 老化时间结束后,客户端再次登录成功
如下图所示组网中,部署了CSAP平台,并且组网中安装了ACG设备,在CSAP平台上配置响应编排剧本及案件,联动下发至ACG设备,实现CSAP平台自动/手动下发上网阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台编排剧本配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,ACG设备型号为ACG1000-AK210,版本为Version 1.10,Release 6612。
CSAP平台、ACG设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产12,配置如下:
¡ 资产名称:配置为“资产172.0.0.6”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.6”
¡ 管理IP:默认配置为“是”
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置上网阻断动作,配置如下:
¡ 剧本名称:配置为“ACG联动剧本”
执行目标配置:
¡ 设备类型:选择“ACG应用控制网关”
动作配置:
¡ 老化时间:配置为“5分钟”
¡ URL :配置为“http://186.64.8.54”
¡ 用户:配置为“admin”,为ACG设备登录用户
¡ 密码:配置为“Admin@123”,为ACG设备用户登录密码
(1) 构造“资产172.0.0.6”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“ACG联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 登录ACG设备,点击“数据中心 > 系统监控 > 黑名单记录”,查看策略下发成功
如下图所示组网中,部署了CSAP平台,并且旁挂部署了智能管理平台(以下简称IMC平台),组网中存在EAD用户通过iNode接入,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,下发用户下线动作至IMC平台,强制用户下线。
· IMC平台增加用户信息
· EAD用户接入IMC平台
· CSAP平台配置用户网段
· CSAP平台编排剧本配置
· CSAP平台编排案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,IMC平台版本为iMC PLAT 7.3 (E0506),EAD安全策略版本为iMC EAD 7.3 (E0504)。
CSAP平台、IMC平台及EAD用户之间网络互通。
(1) 登录IMC平台,选择“系统管理 > 分组管理 > 用户分组”, 点击<增加>,增加用户分组,配置如下:
¡ 分组名称:配置为“用户组1”
(2) 选择“用户 > 接入策略管理 > 接入策略管理”,点击<增加>,增加接入策略,配置如下:
¡ 接入策略名:配置为“策略1”
¡ 业务分组:缺省配置为“未分组”
说明:未列举配置项,默认使用缺省配置。
(3) 选择“用户 > 接入策略管理 > 接入服务管理”,点击<增加>,增加接入服务,配置如下:
¡ 服务名:配置为“接入服务1”
¡ 业务分组:缺省配置“未分组”
¡ 缺省接入策略:缺省配置“策略1”
(4) 选择“用户 > 用户管理 > 增加用户”,配置如下:
¡ 用户姓名:配置为“User1”
¡ 证件号码:配置为“3864521”
¡ 用户分组:选择“用户组1”
(5) 选择“用户 > 接入用户管理 > 接入用户”,点击<增加>,增加接入用户,配置如下:
¡ 用户姓名:选择已配置用户“User1”
¡ 账号名:配置为“user”
¡ 密码:配置为“123456”
¡ 密码确认:再次输入密码“123456”
¡ 允许用户修改密码:勾选
¡ 接入服务:选择 “接入服务1”
(1) 登录主机,打开iNode智能客户端,配置Portal连接如下:
¡ 服务器:配置为IMC平台管理地址,此例配置为“186.64.2.2”
¡ 用户名:配置为“user”
¡ 密码:配置为“123456”
¡ 保存用户名:勾选
¡ 保存密码:勾选
(2) 登录IMC平台,选择“用户 > 接入用户管理 > 在线用户”,查看账号名“user”接入用户在线
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,配置如下:
(2) 选择“资产中心 > 终端配置 > 终端网段设置”,单击<新增>,增加终端网段,配置如下:
(3) 选择“处置中心 > 响应编排 > 剧本管理”,单击<新增>,添加用户下线动作,配置如下:
¡ 剧本名称:配置为“IMC联动剧本”
动作配置:
¡ URL:IMC平台地址,配置为“http://186.64.2.2:8080”
¡ 用户名:配置为“admin”,为IMC系统登录用户
¡ 密码:配置为“Admin@123”,为IMC系统登录用户密码
(4) 登录CSAP平台,选择“处置中心 > 响应编排 > 案件管理”,单击<新增>,创建案件,配置如下
¡ 案件名称:配置为“IMC联动案件”
¡ 是否启用:选择“是”
¡ 案件类型:配置为“安全事件”
¡ 攻击名称:非必填项,此处未配置
¡ 规则名称:选择“内网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,此例全部勾选。
¡ 事件等级:默认不勾选,此例全部勾选。
¡ 剧本名称:选择“IMC联动剧本”
¡ 剧本执行:选择“自动执行”
(1) 构造用户“10.1.0.81”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,查看剧本执行结果
(3) 登录用户主机,查看用户收到下线请求,用户离线
如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台ESM(以下简称ESM)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM平台配置日志上报
· ESM平台配置日志服务器
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台外部设备管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,ESM平台版本为Version 3.1, ESS 6902P06。
CSAP平台、ESM平台及终端主机之间网络互通。
(1) 登录至客户端下载中心,下载Agent。
(2) 安装Agent客户端,登录ESM平台,选择终端管理,查看客户端主机在线;
(1) 登录ESM平台,选择“系统管理 > 外部接口 > syslog上报设置”,选择客户端上报内容
¡ 数据上报开关:全部开启
(2) 选择“系统管理 > 外部接口 > syslog服务配置”,配置日志上报的服务器信息
¡ Syslog服务器IP:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口:配置为“514”
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产13,配置如下:
¡ 资产名称:配置为“终端186.64.100.50”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.50”
¡ 管理IP:默认配置为“是”
(4) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮新建日志源,配置如下:
¡ 名称:配置为“ESM”
¡ IP:配置为“186.64.2.17”,ESM平台管理地址
¡ 设备类型:配置为“终端安全”
¡ 厂商:配置为“H3C”
¡ 设备型号:配置为“SecCenter CSAP-ESM”
¡ 采集器名称:配置为“186.64.132.16:passive”
¡ 采集器IP:配置为“186.64.132.16”
(5) 设置端口信息,配置如下
¡ 上报协议:配置为“syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(6) 选择“系统设置 >外部设备管理”页面,选择“终端安全管理系统(型号:H3C SecCenter CSAP-ESM)”,单击<新增示例>按钮,配置终端安管理系统ESM如下:
¡ 实例名称:配置为“ESM”
¡ URL:配置为“https://186.64.2.17:7443”
¡ 账号:配置为“admin”,为ESM系统登录用户
¡ 密码:配置为“Admin@12345”,为ESM系统登录用户的密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“全网主机扫描及告警”
¡ 动作:配置为“全网主机扫描”及“EDR告警提醒”
全网主机扫描执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
EDR告警提醒执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
EDR告警提醒动作配置:
¡ 老化时间:配置为“1”小时
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒查杀”
¡ 动作:配置为“EDR病毒查杀”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
动作配置:
¡ 老化时间:配置为“1”小时
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒隔离”
¡ 动作:配置为“EDR病毒隔离”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
动作配置:
¡ 老化时间:配置为“1”小时
(10) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“进程查杀”
¡ 动作:配置为“EDR进程查杀”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
动作配置:
¡ 老化时间:配置为“1”小时
(11) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“EDR主机封堵”
¡ 动作:配置为“EDR主机封堵”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
动作配置:
¡ 老化时间:配置为“1”小时
(12) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“EDR主机扫描”
¡ 动作:配置为“EDR主机扫描”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM”
¡ EDR管理中心:配置为“ESM”
动作配置:
¡ 扫描对象:缺省“关注点IP”已勾选
¡ 扫描类型:选择“快速扫描”
¡ 自动处置威胁:配置为“否”
(1) 构造资产“主机186.64.100.50”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行
(2) 点击操作栏<编排>按钮,选择剧本“全网主机扫描及告警”并下发
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) 登录ESM平台,点击“联动响应> 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排配置”页面,选择“病毒查杀”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(4) 登录ESM平台,点击“联动响应>联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒隔离”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(4) 登录ESM平台,点击“联动响应 >联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“进程查杀”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(4) 登录ESM平台,点击“联动响应 > 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全事件2,规则名称为“恶意主机外联”。 点击“威胁中心 > 事件台账”,安全事件2的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“主机隔离”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(4) 登录ESM平台,点击“联动响应> 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全事件2,规则名称为“恶意主机外联”。 点击“威胁中心 > 事件台账”,安全事件2的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“EDR主机扫描”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台ESM-G(以下简称ESM-G)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁事件发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM-G平台配置API Key
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台外部设备管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,ESM-G平台版本为Version 3.1, ESS 6301P02。
CSAP平台、ESM-G平台及终端主机之间网络互通。
(1) 登录ESM-G终端管理中心,点击“客户端 > 客户端安装”,根据客户端操作系统,下载Agent。
(2) 安装Agent客户端,登录ESM-G平台,点击“客户端 > 客户端管理”,查看客户端主机在线;
(1) 登录ESM-G平台,选择“通用设置 > 联动配置”,配置CSAP设备访问权限API Key;
¡ 设备名称:用于标识CSAP平台的名称,此处配置为“CSAP252”
¡ 设备IP:CSAP平台服务器IP地址,此处配置为“186.64.100.252”
¡ API Key:平台生成的接口访问权限API Key
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产13,配置如下:
¡ 资产名称:配置为“主机186.64.100.175”
¡ 资产类型:选择“计算机/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.175”
¡ 管理IP:默认配置为“是”
(4) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“ATD216”
¡ IP:配置为“186.64.4.216”
¡ 设备类型:选择“沙箱”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“高级版ATD-A系列”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(5) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“gbk”
¡ 日志类型:默认勾选安全日志及网元系统日志
(6) 选择“系统设置 >外部设备管理”页面,选择“终端安全管理系统”,单击<新增示例>按钮,配置终端安管理系统如下:
¡ 实例名称:配置为“ESM-G”
¡ URL:配置为“https://186.64.2.19:8443”
¡ API Key:根据CSAP平台设备IP创建的API Key,请根据实际场景配置
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“全网主机扫描剧本”
¡ 动作:配置为“全网主机扫描”
全网主机扫描执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM-G”
¡ EDR管理中心:配置为“ESM-G”
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒查杀”
¡ 动作:配置为“EDR病毒查杀”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM-G”
¡ EDR管理中心:配置为“ESM-G”
动作配置:
¡ 老化时间:配置为“1”小时
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒隔离”
¡ 动作:配置为“EDR病毒隔离”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM-G”
¡ EDR管理中心:配置为“ESM-G”
动作配置:
¡ 老化时间:配置为“1”小时
(10) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“EDR主机扫描”
¡ 动作:配置为“EDR主机扫描”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM-G”
¡ EDR管理中心:配置为“ESM-G”
动作配置:
¡ 扫描对象:缺省配置为“关注点IP”
¡ 扫描类型:选择快速扫描方式
¡ 自动处置威胁:配置为“否”
(11) 选择 “处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“EDR网络隔离”
¡ 动作:配置为“EDR网络隔离”
执行目标配置:
¡ 设备类型:配置为“终端安全管理系统ESM-G”
¡ EDR管理中心:配置为“ESM-G”
动作配置:
¡ 隔离对象:缺省配置为“关注点IP”
¡
(1) 构造资产“资产186.64.100.175”的安全事件1,规则名称为“源主机疑似感染恶意程序”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行
(2) 点击操作栏<编排>按钮,选择剧本“全网主机扫描及告警”并下发
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) 登录ESM-G平台,点击“日志管理 > 病毒防护日志 > 扫描日志”,查看存在扫描记录
(1) 构造资产“资产186.64.100.175”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排配置”页面,选择“病毒查杀”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(1) 构造资产“资产186.64.100.175”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“病毒隔离”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(1) 构造资产“资产186.64.100.175”的安全事件1,规则名称为“终端MD5情报”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“主机隔离”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(1) 构造资产“资产186.64.100.175”的安全事件1,规则名称为“内网访问风险主机”。 点击“威胁中心 > 事件台账”,安全事件1的编排状态为未执行。
(2) 点击操作栏<编排配置>按钮,弹出“编排配置”页面,选择“EDR网络隔离”剧本并下发。
(3) 再次点击操作栏<编排>按钮,查看执行结果。
(4) 登录ESM-G平台,点击“客户端 > 客户端管理 ”,查看对应资产IP的客户端响应列“遏制”按钮变更为“解除遏制”按钮
如下图所示组网中,部署了CSAP平台、邮件服务器。在CSAP平台上配置邮件服务器和响应编排剧本及案件,实现CSAP平台威胁事件的告警通知和工单处置。
· CSAP平台邮件服务器配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· CSAP外部通信地址可通过域名访问邮件服务器
(1) 登录CSAP平台,选择“系统设置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.100.245”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“[email protected]”
¡ 密码:邮箱账号对应的密码
(1) 登录CSAP平台,选择“系统设置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/PC”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(1) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(2) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(1) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下:
¡ 剧本名称:配置为“告警通知执行剧本”
动作配置:
¡ 邮箱告警:勾选
¡ 邮件通知人:选择“admin”
(2) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下:
¡ 剧本名称:配置为“处置工单执行剧本”
动作配置:
¡ 通知责任人:选择“admin”
(1) 构造“资产170.1.0.1”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“告警通知执行剧本”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件
(5) 单击操作栏<编排>,编排详情页面选择新的剧本 “处置工单执行剧本” 执行,点击<确认>,下发剧本编排
(6) 点击操作栏<编排>按钮,查看剧本执行结果
(7) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件
如下图所示组网中,部署了CSAP平台、网络代理服务器。在CSAP平台上配置企业微信注册信息、网络代理及响应编排剧本,实现CSAP平台通过企业微信通知方式发布威胁事件的告警通知和工单处置通知。
· CSAP平台企业微信注册信息配置
· CSAP平台网络代理配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,手机终端使用企业微信应用软件版本为4.1.3。
· 在配置之前确保内外网路由可达
· 企业微信注册信息已通过平台审核
· CSAP外部通信地址可通过代理服务器访问企业微信平台
(1) 登录CSAP平台,选择“系统设置 > 系统配置 > 全局配置 > 通知设置”,单击<企业微信>进入企业微信配置页面,进行如下配置:
¡ 企业ID:企业微信ID信息,本例配置为“ww036dae84a62c519d”
¡ 应用ID:企业微信应用ID信息,本例配置为“1000002”
¡ 应用密钥:企业微信应用密钥信息,本例配置为“ATboG0Lvs5UBmM9KASvaI1v-2-uNSgr66VAgkqTofhA”
(1) 登录CSAP平台,选择“系统设置 > 全局配置 > 网络设置 > 平台网络设置”,单击网络代理设置Tab页,进入网络代理配置页面,填写代理服务器信息,配置完毕后单击<确定>保存。
¡ 启用代理服务器:开启代理服务器配置,缺省关闭状态;
¡ 地址:代理服务器地址信息,可为IP、URL等信息,本例配置为“172.25.14.130”
¡ 端口:代理服务器访问端口信息,本例配置为“8080”
¡ 验证用户:开启用户验证,缺省关闭状态;
¡ 用户名/密码:代理访问认证的用户信息,请根据网络实际情况配置
(1) 登录CSAP平台,选择“系统设置 > 系统配置 > 权限管理”,单击用户管理列表操作栏的<新增>按钮,进入新增用户页面,填写用户的企业微信账号,配置完毕后单击<确定>保存。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(1) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(2) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(1) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下:
¡ 剧本名称:配置为“告警通知执行剧本”
动作配置:
¡ 企业微信:勾选
¡ 企业微信通知人:选择“test”
(2) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下:
¡ 剧本名称:配置为“处置工单执行剧本”
动作配置:
¡ 通知责任人:选择“test”
¡ 通知方式:勾选企业微信
(1) 构造“资产170.1.0.1”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“告警通知执行剧本”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) 登录收件人的企业微信,可以查看到CSAP平台发送的告警通知邮信息
(5) 单击操作栏<编排>,编排详情页面选择新的剧本 “处置工单执行剧本” 执行,点击<确认>,下发剧本编排
(6) 点击操作栏<编排>按钮,查看剧本执行结果
(7) 登录收件人的企业微信,可以查看到CSAP平台发送的通知信息
如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上开启重定向配置,配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发重定向动作策略。
· 交换机设备配置Netconf认证开启
· CSAP平台Web端口修改
· CSAP平台区域、资产配置
· CSAP平台开启重定向配置
· CSAP平台编排剧本及案件配置
·
· 说明:交换机默认业务配置已互通,需检查用户是否存在ssh或者http/https权限。
本举例是在CSAP的E1148P05版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.070 E7562。
CSAP平台、交换机设备之间网络互通。
(1) 使用admin账户登录交换机设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“系统设置 > 全局配置 > 平台网络设置 > Web端口设置”,修改默认端口“443”为其他可配置端口,此处配置为“449”
(2) 选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(3) 选择“资产中心 > 资产列表”页面,单击<新增>按钮新建资产4,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/PC”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(4) 单击资产IP <新增> 按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(5) 选择“资产中心 > 资产列表”页面,单击<新增>按钮新建资产5,配置如下:
¡ 资产名称:配置为“交换机186.64.0.108”
¡ 资产类型:选择“网络设备/交换机”
¡ 生产厂商:选择“H3C”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“亚洲-中国”
¡ 关键信息基础设施:默认配置为“否”
(6) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.108”
¡ 管理IP:默认配置为“是”
(7) 单击资产管理协议, 开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备登录账户
¡ 密码:配置为“Admin@123”,为交换机设备登录账户admin对应密码
(8) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<重定向配置>按钮,开启重定向配置保存,配置如下:
¡ 是否启用:默认配置为“否”,切换为“是”,开启重定向配置
¡ 杀毒软件服务器IP:为断网公告页面提供下载杀毒软件功能的服务器IP地址,本例配置为“186.64.2.17”,此IP为下发重定向动作后的例外IP,保证终端主机下载杀毒软件时不被重定向。
¡ 杀毒软件下载链接:断网公告页面中的杀毒软件地址链接,本例配置为“http://186.64.2.17”
¡ 备注信息:断网公告页面的备注信息,本例配置为“请下载杀毒软件安装,并进行全盘扫描查杀!”
(9) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置重定向动作,配置如下:
¡ 剧本名称:配置为“重定向联动剧本”
执行目标配置:
¡ 设备类型:选择“交换机”
¡ 选择设备:配置为“交换机186.64.0.108”
动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ ACL编号:默认配置为“3900”,可编辑修改,取值范围为“3001-3999”
(1) 构造“资产172.0.0.3”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“重定向联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3900的规则组,规则数量分别为1
(5) 点击3900规则数量,查看规则组信息
(6) 使用admin账户登录交换机设备后台,输入display acl 3900,查看ACL编号为3900的规则组信息
(7) 查看主机172.0.0.3在做网站访问时,跳转至断网公告页面
如下图所示组网中,部署了CSAP平台、应用驱动广域网系统(即为AD-WAN控制器,以下简称为AD-WAN),并且组网中安装了虚拟路由器设备(以下简称路由器),在CSAP平台上配置响应编排剧本及案件,关联AD-WAN设备,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单策略。
· 说明:路由器设备需支持flowspec功能。
· AD-WAN安装wBGP设备,进行wBGP配置并上线
· 路由器设备进行flowspec配置,关联wBGP设备
· AD-WAN新增路由器设备为物理网络设备,配置为BGP邻居设备并上线
· CSAP平台系统配置-外部设备管理进行AD-WAN 配置
· CSAP平台资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,控制器所用的UC底座版本为E0709, wBGP设备版本为E1101 ,路由器设备产品型号为VSR1000,版本为7.1.064 Release 1340P19。
· CSAP平台、控制器、路由器设备之间网络互通
· wBGP设备安装时需设置IP,IP与控制器互通,且地址掩码与UC底座一致
· 控制器UC底座的3节点需设置为CPU直通模式
(1) 登录底座平台(https://北向IP:30000),在“系统 > 部署管理”中点击 <安装> 按钮跳转至上传安装包页面,随后点击 <上传> 按钮选择需上传的wBGP安装包,上传完毕后点击 <下一步> 进入组件择页面,在“组件选择 > 控制组件 > 广域网承载”中勾选wBGP,并选择刚刚上传的安装包文件
(2) 无需进行参数配置,点击 <下一步> 进入网络配置环节,在网络配置中创建指定数量的网络和子网
无需进行节点绑定,点击 <下一步> 进入网络绑定环节,在网络绑定页面绑定网络节点后,点击 <下一步> 进入参数确认环节,在参数确认页面可修改容器内网卡 IP地址(即为wBGP设备IP),确认无误后开始部署,部署完成后可在“系统 > 部署管理 > 广域网承载”点击wBGP设备操作栏 <详情> 按钮,查看wBGP设备详情
(3) 在“自动化 > 广域网络 > 参数配置 > BGP设备配置”中点击 <增加> 按钮,进行wBGP设备新增,配置项如下,点击<确认>,在设备列表中勾选新增的设备行,点击批量上线后等待wBGP设备上线
¡ 管理IP:配置“186.64.100.154”,为wBGP设备管理地址IP
¡ router-id:配置“186.64.100.154”,为wBGP设备BGP进程的routerId
(4) 登录路由器设备后台,进行flowspec配置,关联wBGP设备,此处以ipv4为例
<H3C>sys
[H3C]bgp 100
[H3C-bgp-default]peer 186.64.100.154 as-number 100
[H3C-bgp-default] address-family ipv4 flowspec
[H3C-bgp-default-flowspec-ipv4] peer 186.64.100.154 enable
[H3C-bgp-default-flowspec-ipv4] peer 186.64.100.154 validation-disable
(5) 登录路由器设备网页,在“高级选项 > SNMP”中进行配置,配置项如下
¡ SNMP:选择“开启”
¡ SNMP版本:选择“SNMPv1和SNMPv2c”
¡ SNMP口令:配置只读口令为“public”,配置读写口令为“private”
(6) 选择控制器“自动化 > 广域网络 > 模板配置 > SNMP模板”中进行SNMP模板配置,点击<新增>按钮,增加SNMP模板,内容与路由器SNMP中填写内容匹配,配置项如下
¡ 模板名称:配置为“111”
¡ SNMP版本号:选择“v2c”
¡ 只读团体字:配置为“public”
¡ 读写团体字:配置为“private”
(7) 选择控制器“自动化 > 广域网络 > 物理网络 > 设备 > 设备管理”,点击<增加>,添加设备上线,配置项如下,点击<确定>,等待设备上线
¡ 设备名称:配置为“VSR1000”
¡ IP地址:配置为“186.64.200.5”,为路由器IP地址
(8) 选择控制器“自动化 > 广域网络 > 参数配置”中新增wBGP邻居,配置项如下,点击<确定>后,等待设备上线
¡ 邻居名称:配置为“f”
¡ AS号:配置为“100”,为邻居设备的AS号
¡ 邻居类型:选择“FLOWSPEC”
¡ Flowspec路由:配置为“186.64.200.5:1”,为FlowSpec邻居的路由标识符
¡ 主邻居设备:配置为“186.64.200.5”,为物理网络设备IP
(1) 登录CSAP平台,在“系统设置 > 外部设备管理”中点击“应用驱动广域网系统”卡片,新增实例,配置项如下
¡ 实例名称:此处配置为“186.64.100.54”
¡ URL地址:此处配置为“http://186.64.100.54:30000”,为控制器登录URL
(2) 选择“系统设置 > 数据源配置 > 日志源管理”中新增被动采集日志源,配置项如下
¡ 名称:配置为“m1”
¡ IP:配置为“186.64.0.48”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.100.251:passive”
¡ 采集器IP:选择“186.64.100.251”
¡ 端口-上报协议:选择“Syslog”
¡ 端口-上报端口:配置为“514”
¡ 端口-编码:选择“utf8”
¡ 端口-日志类型:勾选“全部类型”,可根据需求选择日志类型
(3) 选择“资产中心 > 资产列表”页面,新增资产,配置项如下
¡ 资产名称:配置为“172.16.0.1”
¡ 资产类型:选择“网络设备/交换机”
¡ 所属区域:选择“默认区域”
¡ 资产IP:点击新增后,在IP地址后配置“172.16.0.1”
(4) 选择“处置中心>响应编排>剧本管理”,新增剧本,配置黑名单动作,配置项如下
¡ 剧本名称:配置为“黑名单test”
¡ 设备类型:选择“AD-WAN控制器”
¡ 选择设备:选择“186.64.100.54”
¡ 阻断对象:选择“关注点IP”
¡ 阻断方向:选择“发起方向”
¡ 纳管设备:选择“VSR1000”
(1) 构造资产“172.16.0.1”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“黑名单test”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排详情>,查看剧本执行结果
(4) 登录控制器,点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > 行为规则”,列表中存在名称为 “csap_apply_rule”,“是否丢弃”为“是”的行为规则
(5) 点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > 匹配规则”,列表中存在以“172.16.0.1”为源子网的匹配规则“match_ src_172.16.0.1”
(6) 点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > FlowSpec策略管理”,列表中存在绑定匹配规则“match_src_172.16.0.1”、行为规则“csap_apply_rule”的策略,FlowSpec策略下发成功
如下图所示组网中,部署了CSAP平台、应用驱动园区网系统(即为AD-Campus控制器,以下简称为AD-Campus),并且组网中安装了交换机设备(以下简称交换机),在CSAP平台上配置响应编排剧本及案件,关联AD-Campus设备,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单或访问控制策略。
· 登录需纳管设备后台,确认设备角色及型号
· AD-Campus纳管交换机设备,并激活该设备
· CSAP平台系统配置-外部设备管理进行AD-Campus 配置
· CSAP平台资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1148P05版本上进行配置和验证的,控制器所用的UC底座版本为E0713, 园区网络版本为E6701 ,交换机设备产品型号为H3C S5560X-30C-EI-6528,版本为7.1.070 Release 6528。
CSAP平台、控制器、交换机设备之间网络互通。
(1) 登录底座平台(http://北向IP:30000),“自动化>园区网络>应用策略>QoS”中点击<增加>新增应用策略,配置项如下
¡ 名称:配置为“111”,为该条应用策略名称
¡ 动态匹配:选择“开启”
(2) 在增加应用策略页面点击<增加>新增流量策略,配置项如下,配置完成后点击<确定>回到增加应用策略页面,再点击<确定>完成新增应用策略
¡ 名称:配置为“111”,为该条流量策略名称
¡ 应用分类:下拉选择“CYBER-THREAT”
¡ 方向:下拉选择“IN”
(3) 在“自动化>园区网络>Fabrics”中点击<增加>,进行Fabric配置,新增Fabric,配置项如下
¡ 名称:配置为“111”,为该条Fabric名称
¡ AS号:配置为“100”
¡ 业务自动化:选择“开启”
¡ 隔离域:下拉选择“isolate_domain1(IP策略)”
¡ STP黑洞探测:选择“关闭”
¡ 组播网络:选择“关闭”
¡ DHCP Snooping Enanle Vlan范围:默认配置为“2-4094”
¡ Access端口隔离:选择“关闭”
¡ 网络类型:选择“VXLAN”
¡ Underlay网络固化:选择“关闭”
¡ 业务随行:选择“开启”
¡ LLDP跨域检测:选择“关闭”
¡ 延迟分配Access接口VLAN:选择“关闭”
¡ Voice VLAN:选择“关闭”
¡ ONU端口隔离:选择“关闭”
(4) 可不在此处进行设备纳管,直接点击<下一步>
(5) 可不在此处进行设备组配置,直接点击<完成>即可
(6) 登录所需纳管的交换机设备,使用命令:disp vcf-fabric role查看设备角色,如设备角色非leaf时,使用vcf-fabric role leaf更改设备角色为leaf,并使用命令dis device,查看设备型号
(7) 使用dis cu | inc netconf命令,查看设备netconf配置,使用dis cu | inc snmp命令,查看设备SNMP配置,查看配置读写团体字,或可登录设备web服务,选择“网络>服务>SNMP>团体 ”,查看配置读写团体字
(8) 选择控制器“自动化>园区网络>网络参数>参数>设备控制协议模板 ”,点击<增加>新增模板,配置项如下
¡ 名称:配置为“111”
¡ 所属Fabric:下拉选择“111”
¡ SNMP版本:选择“V2”
¡ 只读团体字:配置为“public”,与交换机中配置的只读团体字保持一致
¡ 读写团体字:配置为“private”,与交换机中配置的读写团体字保持一致
¡ 超时时间(秒):配置为“15”
¡ 用户名:配置为“admin”,与交换机登录用户名保持一致
¡ 密码:配置为“Admin@123456”,与交换机登录密码保持一致
¡ 使能Telnet:选择“是”
¡ Telnet端口:默认配置为“23”
¡ SSH端口:默认配置为“22”
(9) 选择控制器“自动化>园区网络>网络设备>交换设备”,点击<增加>新增交换设备,配置项如下,点击确认后,等待交换设备激活
¡ 所属Fabric:下拉选择“111”
¡ 设备角色:下拉选择“leaf”
¡ 管理IP:配置为“186.64.8.53”,与交换机设备IP保持一致
¡ Underlay IP:配置为“186.64.8.53”,与交换机设备上LoopBack口地址保持一致
¡ 设备系列:下拉选择“H3C S5500”
¡ 设备控制协议模板:下拉选择“111”
¡ 管理网绑定默认VPN:选择“是”
(1) 登录CSAP平台,在“系统设置>外部设备管理”中点击“应用驱动园区网系统”卡片,新增实例,配置项如下
¡ 实例名称:配置为“1”
¡ IP地址:配置为“186.64.100.7”
(2) 选择“系统设置>数据源配置>日志源管理”中新增被动采集日志源,配置项如下
¡ 名称:配置为“m1”
¡ IP:配置为“186.64.0.48”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.17:passive”
¡ 采集器IP:选择“186.64.132.17”
¡ 端口-上报协议:选择“Syslog”
¡ 端口-上报端口:配置为“514”
¡ 端口-编码:选择“utf8”
¡ 端口-日志类型:勾选“全部类型”,可根据需求选择日志类型
(3)
选择“资产中心>资产列表”页面,新增交换机类型资产,配置项如下
¡ 资产名称:配置为“186.64.8.53”
¡ 资产类型:选择“网络设备/交换机”
¡ 所属区域:选择“默认区域”
¡ 生产厂商:选择“H3C”
¡ 资产IP:点击新增后,在IP地址后配置“186.64.8.53”,为交换机设备IP
(4)
选择“资产中心>资产列表”页面,新增资产,配置项如下
¡ 资产名称:配置为“172.16.2.10”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择“默认区域”
¡ 资产IP:点击新增后,在IP地址后配置“172.16.2.10”
(5) 选择“处置中心>响应编排>剧本管理”,新增剧本,配置黑名单动作,配置项如下
¡ 剧本名称:配置为“黑名单”
¡ 设备类型:下拉选择“AD-Campus控制器”
¡ 选择设备:下拉选择“1”
¡ 阻断对象:选择“关注点IP”
¡ 阻断方向:选择“发起方向”
¡ 纳管设备:下拉选择“186.64.8.53”
(6) 选择“处置中心>响应编排>剧本管理”,新增剧本,配置访问控制动作,配置项如下
¡ 剧本名称:配置为“访问控制”
¡ 设备类型:下拉选择“AD-Campus控制器”
¡ 选择设备:下拉选择“1”
¡ 纳管设备:下拉选择“186.64.8.53”
(1) 构造资产“172.16.2.10”的安全事件,事件规则为“内网漏洞利用攻击”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“黑名单”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排>,查看剧本执行结果
(4) 登录交换机,点击“资源>ipv4”,查看新增一条ACL策略,策略中规则中源、目的IP与CSAP平台下发剧本的安全事件中源、目的IP保持一致
(1) 构造资产“172.16.2.10”的安全事件,事件规则为“源主机存在恶意文件”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“访问控制”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排>,查看剧本执行结果
(4) 登录交换机,点击“资源>ipv4”,查看新增一条ACL策略,策略中规则中源、目的IP与CSAP平台下发剧本的安全事件中源、目的IP保持一致
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
