- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-溯源中心
本章节下载: 04-溯源中心 (1.32 MB)
通过对网络流量进行深入的溯源和分析,可以追踪威胁的攻击源地址、攻击方式等信息,可以帮助用户更好地应对和防范网络攻击,提高用户的安全应对和防护水平。
本章包含如下内容:
· 流量回溯分析
· 元数据管理
· 日志中心
· 调查分析
本功能用于帮助管理员追溯已经发生的安全告警。当网络中发生了特定的安全告警时,管理员可以查看相关的网络流量统计分析数据,并下载抓包文件,实现对安全告警的溯源取证。
平台通过捕获和存储网络流量数据,自动对网络流量进行统计分析,可视化展示网络流量趋势、准确识别出网络流量数据包中的源/目的IP地址,确定网络路径。同时提供了多种维度对统计数据进行过滤和检索,便于管理员在海量数据中快速定位所需内容。此外,平台支持对实时流量和历史流量进行分析,查看数据包的各协议字段的解析结果以及原始数据。同时支持下载捕获报文,便于管理员对报文内容进行进一步的分析。
1. 选择“溯源中心>流量回溯分析”,进入流量回溯分析页面。
2. 选择“流量回溯分析”页签,可通过单击时间输入框,选择指定的统计范围。页面将显示指定时间范围内的流量统计数据。
3. 在数据分析统计图中,可圈选指定的时间段,页面下方将展示指定时间范围内的流量统计结果。
4. 统计列表上方提供了多种统计维度,包括物理地址、物理会话等,可选择指定的页签查看该统计维度下的会话信息,
5. 各统计页签下分别提供了下载、导出、在线分析、图表、搜索和重置功能按钮。其中,各按钮的支持情况与统计页签有关,请以实际情况为准。
· 下载:选择指定的会话表项,单击下载按钮,进入报文下载页面,单击下载按钮,可以下载该会话相关报文的捕获文件。页面直接跳转到“溯源中心>流量回溯分析>下载报文”页签,可单击指定文件操作列的下载按钮,将捕获文件下载到本地。
· 导出:选择指定的会话表项,单击导出按钮,可以将会话的相关信息导出到本地。
· 在线分析:选择指定的会话表项,单击在线分析按钮,进入在线分析页面,单击在线分析按钮,可以查看该会话相关报文的分析结果,包括协议、源地址、目的地址等,以及报文各个字段的原始数据。同时,页面中提供了下载、追踪流、时序图和HTTPS解密功能。
○ 下载:选择指定的报文,单击下载按钮,可直接将报文的抓包文件下载到本地。
○ 追踪流:选择指定的报文,单击追踪流按钮,可查看该报文的原始数据。
○ 时序图:选择指定的报文,单击时序图按钮,可查看该报文的上下文信息,以及报文的传输方向。
○ HTTPS解密:选择指定的报文,单击HTTPS解密按钮,输入相应的私钥后,单击提交保存按钮,可查看解密后的报文内容。
· 图表:选择指定的会话表项,单击图表按钮,可查看以柱状图、饼状图和列表形式展示的统计数据。
· 搜索:单击搜索按钮,可在指定的统计维度(数据源)下,通过搜索条件查找相应的会话信息。
· 重置:单击重置按钮,可清空“搜索”中配置的搜索条件。
6. 选择“下载报文”页签,可查看各会话的下载的抓包文件。单击指定文件操作列的下载按钮,可将捕获文件下载到本地。
该功能用于展示平台采集到的元数据。元数据中记录了网络流量信息(例如源IP地址、目的IP地址、协议类型等)、应用层协议信息(例如HTTP请求方法、URL地址、请求体等)和安全告警信息等(例如攻击类型、攻击源IP地址),管理员可通过基础查询和高级查询两种方式,对元数据进行检索,并可对检索后的数据执行查看详情、下载和在线分析的操作。
该功能用于展示系统采集到的日志的分析结果,不同类别的日志展示的关键字段不同,以便用户根据不同的日志类型关注不同信息。各类型日志说明请参见日志类型说明。
· 日志类型说明
· 日志查询
· 解码小助手
· 日志导出
· 日志成功上报后,如果所有类型中均没有查询到该日志的解析结果或所有日志都被分类到了“其他类”,则可能发生了日志解析异常,请联系H3C公司相关技术服务人员进行定位。
系统解析后展示的日志类型如下:
· 安全日志
安全日志记录了用户网络中曾经发生的各种攻击事件信息,如攻击源、攻击目的、攻击事件等。安全日志包括漏洞利用日志、扫描侦查日志、恶意文件日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 网络审计日志
网络审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。网络审计日志包括IM日志、邮件日志、社区访问日志等子类型日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· 数据库审计日志
数据库审计日志记录了网络中的数据库活动及用户访问数据库行为信息。方便管理员根据数据库活动情况制定管理策略,加强内外部数据库网络行为记录,提高数据资产安全。数据库审计日志包括规则审计日志、告警审计日志、行为审计日志等子类型日志。
· SSL VPN日志
SSL VPN日志记录了远程用户通过SSL VPN访问内网资源时的登录、登出及资源访问情况。 SSL VPN日志包括登录日志、认证日志、资源访问日志,不同子类型日志展示的字段不同,方便用户根据日志类型关注并获取不同的关键信息。
· DLP审计日志
DLP审计日志包括网络DLP审计日志和终端DLP审计日志,其中网络DLP主要审计内网用户向外部发送的邮件是否违反管理员预设的审计规则,
终端DLP审计内网的终端上的是否文件拷贝、USB插入等行为。以便管理员进行信息安全管理。
· Citrix审计日志
Citrix审计日志记录了用户的行为信息,可用于审计用户的违规行为。
· 安全检查审计日志
安全检查审计日志记录了通过各类设备或软件系统记录用户的行为信息,可用于审计用户的违规行为。
· 应用审计日志
应用审计日志用来查看用户的上网行为记录,方便管理员根据用户上网的情况调整应用审计与管理策略,规范用户的上网行为。
· 运维审计日志
运维审计日志即堡垒机审计日志,记录了用户访问其他资产时的相关信息。
· 网络流量日志
网络流量日志记录了每条数据流产生的流量信息以及流向,管理员可通过流量日志信息为每条流制定合理、精确的管理策略。
· 接入授权日志
接入授权日志记录了通过接入授权设备接入网络的用户接入情况。管理员可通过该日志跟踪网络中用户接入授权情况。
· 安全策略日志
报文与安全策略成功匹配后就会输出安全策略日志,安全策略日志有利于管理员对于用户行为进行审计或者进行网络故障排查。
· 网元操作日志
网元操作日志包括登录、配置、认证及其他操作行为,通过查看操作日志信息可以跟踪管理员对设备的操作,有利于对管理员操作设备的行为进行审计以及进行设备故障排查。
· 数据库日志
数据库日志记录了数据库的各类运行信息,数据库日志包括性能监控日志、SQL运行日志、慢查询日志、数据库登录日志、用户信息变更日志、定时任务日志、错误日志、连接数信息日志、运行时长日志、其他日志。
通过这些日志信息,管理员可监控数据库运行状态。
· 终端系统日志
终端系统日志记录了终端主机上发生过的行为信息,如性能监控、用户登录登出、文件操作、进程操作等,方便管理员管理终端主机。
· 中间件日志
中间件日志记录了主机中间件的各类信息,中间件日志包括中间件访问日志、中间件启动日志、中间件运行异常错误日志、运行日志。
通过这些日志信息,管理员可监控监控中间件运行状态。
· 网元系统日志
网元系统日志页面记录了设备在运行过程中产生的相关日志信息,通过查看系统日志信息可以跟踪设备的运行过程、分析网络状况以及定位问题发生的原因,为进行故障诊断和维护提供依据。
· 终端审计日志
终端审计日志记录了终端主机发生过的网络访问行为信息,方便管理员管理终端主机。
· 终端杀毒日志
终端杀毒日志记录了终端主机上杀毒软件监控到的病毒信息,方便管理员了解终端主机感染病毒情况。
· 应用软件日志
应用软件日志记录了SVN服务器的错误日志、访问日志等信息,方便管理员对SVN服务器的访问行为进行审计以及故障排查。
· 其他
日志成功上报后,不支持解析的设备上报的日志或解析异常的日志将在“其他类”日志中展示。
用户可配置多种过滤条件筛选出关心的日志。平台支持基础查询和高级查询两种方式。
· 基础查询:通过选择指定日志字段,输入字段值的方式检索日志。其中,当配置多个查询字段时,系统将按照如下逻辑进行处理:
○ 如果配置多个相同字段,当运算符号为“=”时,则按照“or”(逻辑或)进行查询,即满足任意一个字段即可;如果运算符号为“!=”,则按照“and”(逻辑与)进行查询,即必须同时满足所有字段;当运算符号既有“=”又有“!=”时,则按照“and”(逻辑与)进行查询。
○ 如果配置多个不同字段,则按照“and”(逻辑与)进行查询。
· 高级查询:通过在输入框中输入SQL语句进行精细查询。当用户所需的查询条件不符合基础查询方式的查询逻辑时,可通过高级查询方式配置相应的查询条件。
1. 选择“溯源中心 > 日志检索”进入日志检索页面,选择要查询的日志类型。
2. 选择<基础查询>页签,单击<过滤条件>按钮,在自定义项或字段结果统计页签下,配置相应的过滤条件。
3. 在自定义项页签下,用户可选择需要过滤的字段、运算符号,并手动输入具体的值,点击<确认>按钮完成操作。
例如,查看目的IP为203.65.1.8的所有日志,查询方法如下图所示。
4. 在字段结果统计页签下,用户可单击需要过滤的字段,系统将根据当前日志查询结果展示出该字段的所有取值,单击指定取值右侧操作列下的添加按钮,系统会将该取值作为新的过滤条件,对日志进行筛选。
例如,搜索动作类型为允许的日志时,查询方法如下图所示。
· 字段值支持精确查询,也支持输入通配符进行模糊搜索。系统支持如下两种通配符:
○ ?表示匹配一个字符,如182.9.0.?可匹配182.9.0.0,182.9.0.1……182.9.0.9
○ *表示匹配任意个字符,如182.9.0.*可匹配182.9.0.0,182.9.0.1……182.9.0.255。
· 数值类型的字段值不支持模糊匹配,如端口号、日志产生时间等字段,只支持精确查找。
· 最多仅支持新增10个过滤条件进行检索。
1. 选择“溯源中心 > 日志检索”进入日志检索页面,选择要查询的日志类型。
2. 选择<高级查询>页签,在输入框中输入SQL查询语句,单击<查询>按钮,完成操作。
例如,查看产生日志设备名称为“ACG”且源IP为200.0.54.14或200.0.54.13的所有日志,查询方法如下图所示。
日志产生时间、开始时间、结束时间、采集器接收日志时间、agent日志采集时间等字段需要输入unix时间戳进行搜索。
该功能用于将各种编码格式的字符串转换为可阅读的内容。例如,访问URL、攻击载荷、报文首行等字段中可能会出现HEX编码的字符串,通过解码助手可转换为utf-8格式,方便阅读。
1. 选择“溯源中心 > 日志检索”进入日志检索页面。
2. 复制需要解码的内容,单击<解码小助手>按钮,在弹出的解码助手页面左侧输入框中粘贴复制的内容,并选择编码格式;然后在右侧目标内容中选择合适的编码格式,单击<解码>按钮即可解码源内容。
该功能用于导出满足查询条件的日志,最多仅支持导出发生最近的十万条日志。
1. 选择“溯源中心 > 日志检索”进入日志检索页面,按照需求查询需要的日志,单击<导出>按钮,系统会将满足查询条件的日志导出到excel表格中。
2. 点击页面右上角
按钮,在弹出的下载任务列表中选择已导出的日志文件下载到本地即可。
该功能用于对配置的调查对象进行攻击关系分析,可视化展示其攻击链路和回溯链路。
1. 选择“溯源中心 > 调查分析”,进入调查分析页面。
2. 单击<新增>按钮,进入新增调查任务页面。配置相关参数后,单击<下发>按钮,完成新增调查任务的操作。
3. 选择一个或多个调查分析任务,单击<删除>按钮,可批量删除调查分析任务。
4. 单击指定调查分析任务右侧的<详情>按钮,可进入调查任务详情页面,查看该任务分析出的攻击链路和回溯链路。
· 调查时间范围:指定调查分析的时间范围,系统将对在此时间范围内发生的安全告警进行调查。
· 调查对象类型:调查分析的对象的类型,包括资产、外网攻击IP和IOC。其中,IOC包括IP情报、URL情报、域名情报和MD5情报。
· 调查对象:根据不同的调查对象类型指定具体的调查分析对象。
· 当调查对象在调查周期内未产生安全告警时,调查分析结果将显示为暂无数据。
· 调查分析过程中,若相邻节点间发生如下安全告警,则相邻节点间展示的源IP为最近一次安全告警中的源IP地址。安全告警包括:外网拒绝服务攻击、内网弱口令登录、主机配置风险和外网扫描侦测。
· 调查分析过程中,若相邻节点间发生如下安全告警,则相邻节点间展示的目的IP为最近一次安全告警中的目的IP地址。安全告警包括:内网漏洞利用攻击、内网暴力破解、内网畸形报文攻击、内网扫描攻击、内网访问风险主机和内网扫描侦测。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
