- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-通报中心典型配置
本章节下载: 20-通报中心典型配置 (1.17 MB)
H3C安全威胁发现与运营管理平台
通报中心配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍安全威胁发现与运营管理平台(以下简称CSAP平台)通报中心功能的配置案例。
通报中心集通报事件、通报工单、预警通告、信息报送和通报总览等多个功能模块于一体,通过通报中心模块的一站式信息管理,可以实现各组织机构间重大事件、漏洞、风险预警等重要信息同步和收集,并及时对通报预警事件及时响应和处置,提升工作效率和各组织间的协作能力,帮助用户直观了解各组织通报情况和通报处置进展。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台功能特性。
如下图所示组网中,部署了CSAP平台,在局域网中不同组织下的用户user1、user2、user3通过CSAP平台的通报中心功能,实现各组织机构间风险的预警、收集、共享,以及通报预警事件的协作响应和处置。
· CSAP平台进行组织人员管理和组织机构管理
· CSAP平台配置预警通告
· CSAP平台配置信息报送
· CSAP平台配置通报事件
· CSAP平台配置通报工单
本举例是在CSAP的E1148P05版本上进行配置和验证的。
· 在配置之前确保平台已激活通报预警授权
(1) 登录CSAP平台,选择“系统设置 > 系统配置 > 权限管理 > 用户管理”,点击<新增>用户user1、user2、user3管理员信息。
(2) 选择“系统设置 > 组织管理 > 人员管理”,点击<同步>按钮,在弹出的“同步平台用户”弹框中,将步骤(1)中添加的用户user1、user2、user3勾选并确认保存,同步到人员管理列表中。
(1) 选择“系统设置 > 组织管理 > 组织机构”,点击<新增>按钮分别添加组织级别为一级、二级、三级的组织机构信息,组织负责人分别绑定用户user1、user2、user3,参考配置如下。
(1) 使用一级组织负责人user1账号登录CSAP平台,选择“通报中心 > 预警通告”,单击<新增>添加预警通告任务,配置如下。
(2) 点击操作栏<发布>按钮进行通告下发,配置通告组织、反馈期限如下。
(1) 使用二级组织负责人user2账号登录CSAP平台,选择“通报中心 > 信息发送”,单击<新增>添加信息报送任务,配置如下。
(2) 点击操作栏<上报>按钮,向上级组织进行信息报送。
(1) 使用一级组织负责人user1账号登录CSAP平台,选择“通报中心 > 通报事件”,单击<新增>添加通报事件,配置如下。
(1) 使用一级组织负责人user1账号登录CSAP平台,选择“资产中心 > 区域配置”,编辑配置区域的组织信息(本例修改默认区域的组织机构为二级组织)。
(2) 选择“资产中心 > 资产列表”,新增资产配置如下,绑定区域为“默认区域”。
(3) 使用一级组织负责人user1账号登录CSAP平台,选择“通报中心 > 通报事件”,单击<同步配置>,进行相关配置如下;在“同步配置”弹框中点击“资产监控列表”下方的<导入>按钮导入监控资产,参考配置如下;配置完成后点击“同步配置”弹框底部的确认按钮保存更新配置。
(1) 使用一级组织负责人user1账号登录CSAP平台,选择“系统设置 > 系统配置 > 全局配置 > 通知设置 > 邮件服务器”,配置可用的邮件服务器(本例配置SMTP协议的邮件服务器),参考配置如下。
(2) 选择“系统设置 > 组织管理 > 人员管理”,编辑配置组织负责人信息,分别配置正确可用的邮箱地址。
(3) 选择“通报中心 > 通报工单”,点击<新增>按钮进入新增通报工单页面,进行通报工单配置如下,配置完成后下发通报工单。
(1) 参考预警通告、信息报送、通报事件-手动新增、通报工单配置步骤,构造对应的预警通告、信息报送、通报事件、通报工单数据。其中通报工单需要配置不同工单状态的工单数据,包括“待签收”、“待处置”状态,参考配置通报工单。
(2) 参考通报事件-同步配置(安全事件、脆弱性事件)构造安全事件同步的通报事件数据;再参考配置通报工单创建通报工单并绑定同步上来的通报事件,将工单走至“已归档”状态;然后再次构造相同的安全事件数据。
(1) 使用预警通告发布时配置的通告组织(本例配置为二级组织)的组织负责人登录CSAP平台,选择“通报中心 > 预警通告 > 待签收”,查看待签收预警通告列表中存在1条上级组织发布的预警通告信息。
(2) 点击操作栏<签收>,进行签收反馈填写,配置如下。
(3) 再次点击操作栏<处置>,进行处置反馈填写,配置如下。
(4) 切换系统登录用户为一级组织负责人,选择“通报中心 > 预警通告”,点击操作栏<查看反馈>按钮,查看下级组织(本例为二级组织)签收、处置预警通告信息的记录。
(1) 使用下级组织进行信息上报的上级组织负责人(本例配置为一级组织负责人user1)登录CSAP平台,选择“通报中心 > 信息报送”,查看信息报送列表中存在1条下级组织上报的报送信息。
(2) 点击操作栏<通报>并绑定责任组织,可将报送信息转为通报事件进行处理,选择“通报中心 > 通报事件”,查看通报事件列表中新增1条通报事件。
(1) 选择“通报中心 > 通报事件”,可以查看列表新增的通报事件。
(1) 构造同步配置中已添加监控资产的安全事件、脆弱性事件数据(本例配置为资产172.10.0.3),分别在“威胁中心 > 事件台账”、“威胁中心 > 脆弱性列表”页面可以查看资产的安全事件和脆弱性数据如下。
(2) 选择“通报中心 > 通报事件”,查看通报事件列表同步新增了两条通报事件,事件来源分别为安全事件、漏洞风险。
(1) 使用通报工单下发的责任组织对应的组织负责人(本例为二级组织的负责人user2)账号登录CSAP平台,选择“通报中心 > 通报工单”,查看工单列表中新增1条上级组织下发的工单信息,工单状态为“待签收”;登录user2的邮箱地址查看,接收到工单处理的通知邮件。
(2) 点击操作栏<处置>按钮进入通报工单详情页面,勾选底部的处理承诺书并点击<签收>,在弹出的“再次下发”弹框中直接点击<确认>,页面刷新跳转到通报工单列表,此时工单状态更新为“待处置”。
(3) 点击操作栏<处置>按钮进入通报工单详情页面,点击页面底部的<处置>按钮,填写工单处置结论后点击<提交>,页面刷新跳转到通报工单列表,此时工单状态更新为“待审核”。
(4) 使用创建工单的上级组织责任人账号(本例配置为一级组织负责人user1)登录CSAP平台,选择”通报中心 > 通报工单”,查看工单状态为“待审核”; 登录user2的邮箱地址查看,接收到工单处理的通知邮件。
(5) 点击操作栏<处置>按钮进入通报工单详情页面,点击底部<审核>按钮并配置工单审核意见,点击<通过>,页面刷新跳转到通报工单列表,此时工单状态更新为“已归档”;选择“通报中心 > 通报事件”查看工单绑定的通报事件,对应的通报状态更新为“已处理”。
(1) 使用一级组织负责人账号user1登录CSAP平台,选择“通报中心 > 通报总览”,查看通报总览页面中信息报送数、预警通告数、通报事件相关图表、通报工单相关图表、反复感染事件详情列表中数据正常展示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
