- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-响应编排典型配置
本章节下载: 07-响应编排典型配置 (3.23 MB)
H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台
响应编排典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C SecCenter CSAP-NDR安全威胁发现与运营管理平台(以下简称NDR平台)响应编排功能的配置案例。
响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、IMC系统、终端安全管理系统等,下发联动动作,如:告警通知、处置工单、黑名单、访问控制、网站阻断、重定向、无线接入、上网阻断、用户下线、全网主机扫描等。从而通过NDR平台对安全告警进行告警处置与响应。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解NDR平台和第三方平台产品功能特性。
如下图所示组网中,部署了NDR平台,并且组网中安装了防火墙设备(以下简称FW设备),在NDR平台上配置响应编排剧本及案件,联动下发至FW设备,实现NDR平台自动/手动下发黑名单及访问控制策略。
· FW设备配置接口地址并加入安全域,添加安全策略
· FW设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· FW设备开启安全域上黑名单过滤功能
· FW设备配置Netconf认证开启
· NDR平台区域、资产配置
· NDR平台编排剧本及案件配置
本举例是在NDR的E1103版本上进行配置和验证的,FW设备型号为F5000-C,版本为7.1.064, Release 9342P2415。
NDR平台、FW设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用admin账户登录FW设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息
¡ 名称:配置为“安全策略01”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 类型:选择“IPv4”
¡ 动作:选择“允许”
(5) 配置内容安全如下:
¡ IPS策略:选择“default”
¡ 防病毒策略:选择“default”
¡ 记录日志:选择“关闭”
¡ 开启策略匹配统计:选择“关闭”
¡ 启用策略:选择“开启”
(6) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
¡ 记录日志:全部勾选
(7) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(8) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(9) 使用账户admin登录FW设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产1,配置如下:
¡ 资产名称:配置为“资产172.0.0.1”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.1”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产2,配置如下:
¡ 资产名称:配置为“FW186.64.0.118”
¡ 资产类型:选择“安全设备/防火墙”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据防火墙设备IP进行配置,本例配置“186.64.0.118”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为FW设备SSH登录账户
¡ 密码:配置为“Admin@123”,为FW设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“防火墙联动”
黑名单执行目标配置:
¡ 设备类型:勾选“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“FW186.64.0.118”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ 老化时间:配置为“600”
访问控制执行目标配置:
¡ 设备类型:勾选“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“FW186.64.0.118”
(8) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“防火墙联动案件”
¡ 是否启用:配置为“是”
¡ 案件类型:默认勾选为“安全告警”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 确信度:默认不勾选,此例全部勾选
¡ 等级:默认不勾选,此例全部勾选
¡ 剧本名称:配置为“防火墙联动”
¡ 剧本执行:配置为“自动执行”
(1) 构造“资产172.0.0.1”的安全告警,告警规则为“外网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,查看剧本执行结果
(3) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s
(4) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
(5) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表
如下图所示组网中,部署了NDR平台,并且组网中安装了入侵防御设备(以下简称IPS设备),在NDR平台上配置响应编排剧本及案件,联动下发至IPS设备,实现NDR平台自动/手动下发黑名单及访问控制策略。
· IPS设备配置接口地址并加入安全域,添加安全策略
· IPS设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· IPS设备开启安全域上黑名单过滤功能
· IPS设备配置Netconf认证开启
· NDR平台区域、资产配置
· NDR平台编排剧本及案件配置
本举例是在NDR的E1103版本上进行配置和验证的,IPS设备型号为T1080,版本为7.1.064, Release 8560P27 。
NDR平台、IPS设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.6.172 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用账户admin登录IPS设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00) ,修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略”,点击<新建>按钮,新建安全策略
¡ 名称:配置为“安全策略01”
¡ 类型:选择“IPv4”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 动作:选择“允许”
¡ 入侵防御配置文件:选择“default”
¡ 防病毒配置文件:选择“default”
¡ 记录日志:选择“关闭”
¡ 启用策略:选择“开启”
(5) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下:
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
(6) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(7) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(8) 使用admin账户登录IPS设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产3,配置如下:
¡ 资产名称:配置为“资产172.0.0.2”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.2”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮新建资产4,配置如下:
¡ 资产名称:配置为“IPS186.64.6.172”
¡ 资产类型:选择“安全设备/IPS入侵防御系统”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.172”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为IPS设备SSH登录账户
¡ 密码:配置为“Admin@123”,为IPS设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“IPS联动剧本”
黑名单执行目标配置:
¡ 设备类型:选择“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“IPS186.64.6.172”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ 老化时间:未配置,为空则表示黑名单永不老化
访问控制执行目标配置:
¡ 设备类型:配置为“NGFW防火墙/IPS入侵防御系统”
¡ 选择设备:配置为“IPS186.64.6.172”
(1) 构造“资产172.0.0.2”的安全告警,告警规则为“外网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“IPS联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,查看剧本执行结果
(4) 登录IPS设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2,添加至黑名单列表,无老化时间
(5) 登录IPS设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
如下图所示组网中,部署了NDR平台,并且组网中安装了交换机设备,在NDR平台上配置响应编排剧本及案件,联动下发至交换机设备,实现NDR平台自动/手动下发黑名单及访问控制策略。
· 交换机设备配置Netconf认证开启
· NDR平台区域、资产配置
· NDR平台编排剧本及案件配置
说明:交换机默认业务配置已互通。
本举例是在NDR的E1103版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.070 E7562。
NDR平台、交换机设备之间网络互通。
(1) 使用admin账户登录交换机设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产5,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产6,配置如下:
¡ 资产名称:配置为“交换机186.64.0.108”
¡ 资产类型:选择“网络设备/交换机”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.108”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议, 开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备SSH登录账户
¡ 密码:配置为“Admin@123”,为交换机设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“交换机联动”
黑名单执行目标配置:
¡ 设备类型:选择“交换机/路由器”
¡ 选择设备:配置为“交换机186.64.0.108”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 设备类型:配置为“交换机/路由器”
¡ 选择设备:配置为“交换机186.64.0.108”
访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.3”的安全告警,告警规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“交换机联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3800和3801的规则组,规则数量分别为1
(5) 点击3800规则数量,查看规则组信息
(6) 点击3801规则数量,查看规则组信息
如下图所示组网中,部署了NDR平台,并且组网中安装了路由器设备,在NDR平台上配置响应编排剧本及案件,联动下发至路由器设备,实现NDR平台自动/手动下发黑名单及访问控制策略。
· 路由器设备配置Netconf认证开启
· NDR平台区域、资产配置
· NDR平台编排剧本及案件配置
说明:路由器默认业务配置已互通。
本举例是在NDR的E11403版本上进行配置和验证的,路由器设备型号为VSR1000,版本为7.1.064, Release 0621P18。
NDR平台、路由器设备之间网络互通。
(1) 使用admin账户登录路由器设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产7,配置如下:
¡ 资产名称:配置为“资产172.0.0.4”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.4”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产8,配置如下:
¡ 资产名称:配置为“路由器186.64.6.180”
¡ 资产类型:选择“网络设备/路由器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击<新增>按钮新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.180”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为路由器设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为路由器设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“路由器联动”
黑名单执行目标配置:
¡ 设备类型:选择“交换机/路由器”
¡ 选择设备:配置为“路由器186.64.6.180”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 设备类型:配置为“交换机/路由器”
¡ 选择设备:配置为“路由器186.64.6.180”
访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.4”的安全告警,告警规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“路由器联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 使用admin账户登录路由器设备后台,输入display acl 3800,查看ACL编号为3800的规则组信息
(5) 输入display acl 3801,查看ACL编号为3801的规则组信息
如下图所示组网中,部署了NDR平台,并且组网中安装了Web应用防火墙设备(以下简称WAF设备),在NDR平台上配置响应编排剧本及案件,联动下发至WAF设备,实现NDR平台自动/手动下发网站阻断策略。
· NDR平台配置区域、资产配置
· NDR平台编排剧本及案件配置
本举例是在NDR的E1103版本上进行配置和验证的,WAF设备型号为W2000-V500-G2,版本为Version 3.1, E6203P04。
NDR平台、WAF设备之间网络互通。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产9,配置如下:
¡ 资产名称:配置为“资产172.0.0.5”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.5”
¡ 管理IP:默认配置为“是”
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置网站阻断动作,配置如下:
¡ 剧本名称:配置为“WAF联动剧本”
执行目标配置:
¡ 设备类型:选择“WAF”
动作配置:
¡ 检测方向:勾选“源”
¡ URL :配置为“https://186.64.6.178”
¡ 用户:配置为“admin”,为WAF设备登录用户
¡ 密码:配置为“Admin123456”,为WAF设备登录密码
(1) 构造“资产172.0.0.5”的安全告警,告警规则为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“WAF联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,查看剧本执行结果
(4) 登录WAF设备,点击“访问控制 > 黑名单”,查看策略下发成功
如下图所示组网中,部署了NDR平台,并且组网中安装了无线AC设备,组网中存在终端主机登录至无线AC设备。在NDR平台上配置响应编排剧本及案件,实现NDR平台自动/手动下发无线接入策略。
· 用户终端通过无线网接入无线AC设备
· NDR平台资产配置
· NDR平台编排剧本及案件配置
本举例是在NDR的E1103版本上进行配置和验证的,无线AC设备型号为WX2560H,版本为7.1.064, Release 5436,AP型号为WA6320,版本为7.1.064, Release 2436。
NDR平台、无线AC设备及终端主机之间网络互通。
(1) 登录无线AC设备管理平台,选择“无线配置 > AP管理”,查看AP服务状态在线,状态标记为蓝色时表示在线
(2) 选择“无线配置 > 无线网络”,查看“csap-app”无线服务状态开启,状态标记为蓝色时表示开启
(3) 使用admin用户登录设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。
(1) 手机终端连接无线网络“csap-app”,在手机端能够查看网络接入IP地址
(2) 登录无线AC设备管理平台,选择“监控 > 客户端 > 客户端数量”,查看客户端详情与接入网络的终端设备信息一致
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产10,配置如下:
¡ 资产名称:配置为“Phone”
¡ 资产类型:选择“终端/其它终端”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.200.44”
¡ 管理IP:默认配置为“是”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产11,配置如下:
¡ 资产名称:配置为“无线AC”
¡ 资产类型:选择“网络设备/AC无线控制器”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 生产厂商:选择“H3C”
(5) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.20”
¡ 管理IP:默认配置为“是”
(6) 单击资产管理协议,开启NETCONF over SOAP参数,配置如下:
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为无线AC设备SSH登录账户
¡ 密码:配置为“Admin@12345”,为无线AC设备SSH登录账户admin对应密码
(7) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置无线接入动作,配置如下:
¡ 剧本名称:配置为“无线AC”
执行目标配置:
¡ 设备类型:默认配置为“AC无线控制器”
¡ 选择设备:配置为“无线AC”
动作配置:
¡ 地址类型:默认配置为“IP”,可切换为“MAC”
¡ 老化时间:配置为“30”
(8) 选择“处置中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“无线AC”
¡ 是否启用:配置为“是”
¡ 案件类型:选择“安全告警”
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 失陷确信度:默认不勾选,可选择勾选“已失陷”、“高可疑”、“低可疑”,此例全部勾选
¡ 告警等级:默认不勾选,可选择勾选“严重”、“高危”、“中危”、“低危”,此例全部勾选
¡ 剧本名称:配置为“无线AC”
¡ 剧本执行:配置为“手动执行”
(1) 构造资产“Phone”的安全告警1,规则名称为“外网漏洞利用攻击”。 点击“处置中心 > 安全告警 > 详情模式”,安全告警1的编排状态为待执行。待执行状态表示安全告警已匹配到案件,但未下发执行
(2) 点击操作栏<编排>按钮,手动下发无线AC剧本
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) “无线接入”动作下发执行成功后,手机终端再次接入无线网络,提示“无法加入网络‘NDR-app‘”
(5) 登录无线AC设备管理平台,选择“监控 > 客户端>客户端数量”,查看客户端下线成功
(6) 老化时间结束后,客户端再次登录成功
如下图所示组网中,部署了NDR平台,并且组网中安装了ACG设备,在NDR平台上配置响应编排剧本及案件,联动下发至ACG设备,实现NDR平台自动/手动下发上网阻断策略。
· NDR平台配置区域、资产配置
· NDR平台编排剧本配置
本举例是在NDR的E1103版本上进行配置和验证的,ACG设备型号为ACG1000-AK210,版本为Version 1.10,Release 6612。
NDR平台、ACG设备之间网络互通。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产12,配置如下:
¡ 资产名称:配置为“资产172.0.0.6”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.6”
¡ 管理IP:默认配置为“是”
(4) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置上网阻断动作,配置如下:
¡ 剧本名称:配置为“ACG联动剧本”
执行目标配置:
¡ 设备类型:选择“ACG应用控制网关”
动作配置:
¡ 老化时间:配置为“5分钟”
¡ URL :配置为“http://186.64.8.54”
¡ 用户:配置为“admin”,为ACG设备登录用户
¡ 密码:配置为“Admin@123”,为ACG设备用户登录密码
(1) 构造“资产172.0.0.6”的安全告警,告警规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“ACG联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排详情>,查看剧本执行结果
(4) 登录ACG设备,点击“数据中心 > 系统监控 > 黑名单记录”,查看策略下发成功
如下图所示组网中,部署了NDR平台、邮件服务器。在NDR平台上配置邮件服务器和响应编排剧本及案件,实现NDR平台威胁告警的告警通知和工单处置。
· NDR平台邮件服务器配置
· NDR平台用户管理配置
· NDR平台区域、资产配置
· NDR平台编排剧本及案件配置
本举例是在NDR的E1103版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· NDR外部通信地址可通过域名访问邮件服务器
(1) 登录NDR平台,选择“系统设置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.100.245”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“[email protected]”
¡ 密码:邮箱账号对应的密码
(1) 登录NDR平台,选择“系统设置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(1) 登录NDR平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/PC”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(1) 选择“处置中心 > 响应编排 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下:
¡ 剧本名称:配置为“告警通知执行剧本”
动作配置:
¡ 邮箱告警:勾选
¡ 邮件通知人:选择“test”
(1) 构造“资产170.1.0.1”的安全告警,告警规则为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“告警通知执行剧本”,点击<确认>,下发剧本编排
(3) 再次点击操作栏<编排>按钮,查看执行结果
(4) 登录收件人的邮箱,可以查看到NDR平台发送的告警通知邮件
(5) 单击操作栏<编排>,编排详情页面选择新的剧本 “处置工单执行剧本” 执行,点击<确认>,下发剧本编排
(6) 点击操作栏<编排>按钮,查看剧本执行结果
(7) 登录收件人的邮箱,可以查看到NDR平台发送的告警通知邮件
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
