- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-系统配置
本章节下载: 09-系统配置 (3.19 MB)
提供系统基础配置,包括权限管理、平台升级、数据源配置、关联规则、威胁情报等配置。
本章包含如下内容:
· 全局配置
· 权限管理
· 个性化定制
· 操作日志
· 平台升级
· 特征库升级
· 引擎管理
· 数据转发
· 威胁情报
· 白名单
· 关联规则
· UEBA配置
· 弱口令配置
· 规则特征库
· 系统告警管理
该功能主要用于配置系统全局参数,包括网络设置、通知设置、系统设置等。
本章包含如下内容:
· 时间管理
· 平台网络设置
· 系统登录白名单
· 短信业务中心
· 邮件服务器
· 数据清理
· 告警规则
· 日志备份与恢复
· 系统参数
该功能用于修改部署本平台的所有服务器的系统时间。当服务器系统时间与浏览器(管理PC)、日志源或漏扫联动设备的系统时间不一致时,可能会导致日志分析、查询不准确及漏扫数据时间不一致等问题,用户可通过该页面修改服务器时间。
系统提供以下两种方式修改系统时间:
· 手动设置:手动设置服务器系统时间。
· NTP时间同步:NTP(Network Time Protocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致。开启NTP时间同步后,部署本平台的服务器将作为客户端,从NTP服务器获得时间同步。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 支持将“系统时间”、“本地时间”或通过时间控件配置的时间设置为部署本平台的所有服务器的系统时间。其中,“系统时间”表示当前服务器的系统时间,<本地时间>表示管理PC的系统时间。单击对应按钮后,再单击<确认>按钮完成操作。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>时间管理”,进入时间管理页面。
2. 勾选“开启NTP时间同步”并配置NTP服务器的IP地址或域名后,单击<确认>按钮完成操作。
· 修改服务器系统时间后平台部分服务将会自动重启,部分业务可能会出现暂时中断现象,请谨慎操作。
· 修改服务器系统时间,对于本地授权,会影响威胁情报更新升级授权的实际有效时长;对于License Server授权,不影响实际有效时长,但是会改变生效时间段。
该功能用于修改本系统的网络参数。
1. 选择“系统设置 > 系统配置> 全局配置>网络设置>平台网络设置”,进入平台网络设置页面。
2. 可以配置如下网络参数:
○ DNS服务器设置:配置DNS服务器IP地址。系统向DNS服务器查询域名和IP地址之间的映射关系,实现通过域名访问目标网址。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。
○ 网络代理设置:配置是否启用代理服务器。当系统不能直接访问外网时,为了正常使用威胁情报在线升级功能,必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。若代理服务器开启了接入认证功能,则必须配置验证用户,并且该用户具有访问外网的权限。
○ Web端口设置:系统缺省使用443端口提供Web服务,管理员也可根据实际需求,修改Web服务端口。修改端口后,需要重新登录系统,并且需要在系统IP地址后加上配置的端口号,如https://10.10.10.1:444。需要注意,如果系统已启用重定向功能,则Web端口无法修改为443。有关重定向功能的详细介绍,请参见剧本管理。
3. 配置相关参数后,单击<确认>按钮完成操作。
该功能用于限制登录本系统的IP地址,配置白名单后,只有在白名单中的IP地址可以登录本系统,未配置白名单则所有用户均可登录。
参数说明
○ 类型:白名单IP地址类型,包括单IP和IP地址范围。
○ IP:白名单中的IP地址,可以是单个IP或IP地址段。
○ 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
○ 创建时间:创建该条白名单的时间
○ 更新时间:最近一次修改该条白名单信息的时间。
该功能用于新增一条白名单或修改已有白名单配置信息。
操作步骤
a. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
b. 单击<新增>按钮即可新增一条白名单,单击<编辑>按钮即可修改选中的白名单信息。
c. 单击<确认>按钮完成操作。
参数说明
○ 类型:包括单个IP和IP地址范围。
○ IP:需要加入白名单的IP地址,根据所选类型输入单个IP地址或IP地址范围。输入IP地址段范围,结束IP必须大于起始IP。
○ 描述:通过合理编写描述信息,便于管理员快速理解和识别该条白名单。
该功能用于删除白名单信息。若删除的白名单中包含当前已登录的IP地址,该IP地址不会被强制下线,但是登出后不能再登录系统。
操作步骤
a. 选择“系统设置> 系统配置 > 全局配置> 网络设置> 系统登录白名单”,进入系统登录白名单页面。
b. 选中多条白名单,单击<删除>按钮即可批量删除白名单,或某条白名单后的<删除>按钮即可删除该条白名单。
该功能用于管理短信网关配置信息。配置短信网关后,系统可将信息发送到指定手机。不同的短信网关配置参数不同,请根据实际情况进行配置。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>短信业务中心”,进入短信业务中心页面。
2. 选择指定的短信服务接口地址,编辑短信平台信息,单击<确认>按钮完成操作。告警信息或处置任务信息将由该平台发出。
3. 单击<清空配置>按钮,可以清空当前配置的短信平台的参数。
4. 单击<测试短信配置>按钮,可以测试平台短信发送功能的可用性。单击后需要填写短信接收号码,填写后,单击发送测试短信按钮,短信平台将向指定的手机号码发送测试短信。
一信通短信平台
○ 短信发送URL地址:短信平台发送短信的URL地址。
○ 企业编号:调用短信平台的企业的编号。
○ 用户名:调用短信平台所需的用户名。
○ 用户密码:调用短信平台所需的用户密码。
嘉讯短信平台
○ API标识:短信平台的API标识。
○ MAS服务器地址:短信平台的MAS服务器地址。
○ MAS监听端口:短信平台的MAS监听端口。
○ 登录密码:登录短信平台所需的密码。
亿美短信平台
○ 短信平台地址:短信平台的URL地址。
○ 短信平台应用ID:短信平台的应用ID。
○ 短信平台密钥:调用短信平台所需的密钥。
广州教育厅
○ 数据库名称:调用短信平台的指定数据库的名称。
○ 数据库地址:调用短信平台的指定数据库的地址。
○ 数据库端口:调用短信平台的指定数据库的端口。
○ 用户名:调用短信平台所需的用户名。
○ 密码:调用短信平台所需的用户密码。
阿里短信平台
○ 短信平台密钥编码:短信平台的密钥编码。
○ 短信平台密钥:短信平台的密钥。
○ 短信平台模板code:短信平台使用的模板code。
○ 短信平台模板名称:短信平台使用的模板名称。
警信通短信平台
○ 用户id:登录短信平台的用户ID。
○ 用户密码:登录短信平台的用户密码。
○ 短信发送URL地址:发送短信的URL地址。
○ 子码:短信平台的子码。
上海松江短信平台
○ 应用名:短信平台的应用名。
○ 分组数:短信平台的分组数。
○ 短信发送URL地址:发送短信的URL地址。
○ 应用密码:短信平台的应用密码。
新东网短信平台
○ 短信平台地址:短信平台的URL地址,例如http://127.0.0.1:8080。
○ 短信平台Key:短信平台的Key。
○ 短信平台秘钥:短信平台的秘钥。
○ 短信签名:短信平台发送短信使用的签名。
○ 不同短信服务平台需要配置的参数不同,请以实际情况为准。
○ 若其他功能页面(如告警策略、剧本管理等)已将短信账号添加为接收用户,更新或删除短信账号后,平台仍继续向原账号发送短信。如需更新接收用户或停止发送短信,请在对应页面中更新或移除原账号。
该功能用于配置邮件服务器,通过配置邮件服务器,系统可将信息发送到指定邮箱。
1. 选择“系统设置 > 系统配置> 全局配置>通知设置>邮件服务器”,进入邮件服务器配置页面。
2. 编辑邮件服务器信息,单击<确认>按钮完成操作。
○ 协议:电子邮件传输协议,其中,Exchange协议的邮件服务仅支持Exchange Server 2016版本。请根据邮件服务器实际情况选择。
○ 开启SSL:选择是否加密传输邮件,协议选择SMTP时才需要配置该参数。
○ 邮件服务器地址:邮件服务器的IPv4地址或URL。
○ 端口号:邮箱服务器端口号。
○ 邮箱账号:邮箱服务器上已注册的邮箱账号,作为发件人发送告警邮件或处置任务邮件。
○ 邮箱密码:邮箱账号对应的密码。
○ 测试邮箱配置:测试邮件服务器是否可用。单击后弹出邮箱接收地址输入框,配置地址后,单击发送测试邮件按钮,邮件服务器将向指定的地址发送测试邮件。
○ 邮箱接收地址:用于测试邮件服务器可用性的收件人邮箱,测试收件人是否能够收到该邮件服务器的邮件。
若其他功能页面(如告警策略、剧本管理等)已将邮箱账号添加为接收用户,更新或删除邮箱账号后,平台仍继续向原账号发送邮件。如需更新接收用户或停止发送邮件,请在对应页面中更新或移除原账号。
该功能用于配置本平台使用Radius服务器进行用户认证的相关参数。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>RADIUS认证服务器配置”,进入RADIUS认证服务器配置页面。
2. 编辑RADIUS认证服务器参数,单击<确认>按钮完成操作。
○ 认证方式:RADIUS认证服务器使用的认证方式,包括口令身份验证协议(PAP)和质询握手身份验证协议(CHAP)。请根据RADIUS认证服务器的实际情况进行选择。
○ RADIUS服务器地址:RADIUS服务器的地址,支持IPv4地址和IPv6地址。
○ RADIUS认证服务器配置地址:RADIUS认证服务器配置的IPv4地址或URL。
○ 认证端口:RADIUS服务器负责认证的端口。
○ 计费端口:RADIUS服务器负责计费的端口。
○ 共享密钥:RADIUS客户端与RADIUS服务器之间消息交互所使用的共享秘钥。
3. 单击<测试>按钮,可以测试平台与服务器是否可以正常连通。
数据清理功能可自动周期性检查并清理系统中原始日志,当日志存储容量或存储时间达到阈值条件时会触发删除告警,系统将删除存储时间最早的原始日志,直到原始日志的存储空间或存储天数降到清理阈值以下。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>数据清理”,进入日志存储空间设置页面。
2. 编辑日志的存储空间清除阈值:在日志存储空间设置区域,可编辑存储空间清除阈值(百分比),日志存储量占系统总容量的百分比达到空间阈值后,系统将清理存储时间最早的日志,直到日志存储百分比小于空间阈值。空间阈值配置范围为50%~90%,缺省为90%。
3. 设置各日志类型的数据最大保存天数:在日志存储时间设置区域,可设置各日志类型的数据最大保存天数。不同日志类型系统设置不同的初始最大保存天数,日志存储时间达到设置的保存天数后将删除存储时间最早的原始日志。不同的日志类型保存时长不同,请根据页面提示设置。选择某一类日志后面的<编辑>按钮修改日志的保存时间,单击<确认>按钮完成操作。
该功能用于监控平台运行状态,如内存使用率、采集器状态等,当监控项满足告警规则时,系统将生成告警提示信息,方便管理员第一时间了解并处理异常。
1. 选择“系统设置 > 系统配置> 全局配置>系统设置>告警规则”,进入告警规则配置页面。
2. 单击<编辑>按钮即可修改告警规则。
○ 规则名称:告警规则名称,即监控对象。
○ 告警阈值(%):系统CPU、内存、磁盘(数据)、磁盘(系统)的使用率达到设置的阈值时触发告警。
○ 告警级别:根据告警严重程度,可以选择严重、警告、通知。
○ 告警描述:监控对象异常情况描述。
○ 通知方式:支持通过弹框、邮件、短信三种方式向管理员发送告警信息。
○ 通知责任人:选择向指定的管理员发送告警信息。通知方式选择邮件或短信时,需要配置该参数。
3. 配置完成后,单击<确认>按钮完成操作。
· 不配置任何通知方式时,不展示告警信息,但可以在系统日志页面查看异常日志记录。
· 通知方式选择邮件和短信方式时,必须先为管理员用户配置正确的邮箱和联系电话。有关用户配置的详细介绍请参见用户管理。
该功能用于备份与恢复平台产生的大量日志数据,为用户提供更加灵活的方式管理日志数据。
该功能用于周期性检查并备份系统中的原始日志。配置正确的FTP服务器连接参数并启用备份功能后,系统将于每日凌晨2:00打包前一天的日志数据并将其转储至目标FTP服务器上。
操作步骤
a. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
b. 选择“日志备份”页签,设置相关FTP连接参数后,单击<启用备份>按钮,系统将测试该FTP服务器是否可用,可用则启用备份功能,否则提示启用失败。
§ FTP服务器:将系统中的日志转储到该FTP服务器的对应目录下。
§ 开始时间:设置日志备份功能启用日期,该日期必须晚于当前日期。
§ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
§ 密码:FTP的登录密码,用于校验FTP连接可用性。
c. 启用备份功能成功后,可单击<停用>按钮停用数据备份。
d. 当用户希望使用历史备份设置参数时,可单击<设置记录>按钮,进入日志备份设置记录页面,查看所有历史备份设置记录。用户可选择指定的记录,单击<启用>按钮,启用该备份设置参数。同时,系统支持对历史备份记录进行停用、编辑和删除操作,以及通过单击<新增>按钮,添加一条备份设置。
注意事项
○ 不支持将日志备份到Windows版本FTP服务器。
该功能用于从目标FTP服务器上恢复系统日志数据。配置日志恢复任务后,系统将从FTP服务器中选择指定时间区间的日志备份文件进行恢复,恢复的日志数据保存在本系统数据库中。
操作步骤
a. 选择“系统设置 > 系统配置> 全局配置>系统设置>日志备份与恢复”。
b. 选择“日志恢复”页签,设置相关FTP连接参数和所要恢复的日志备份的时间区间,点击<开始恢复>按钮,系统将测试该FTP服务器是否可访问,成功访问则执行恢复任务,恢复记录将在页面下方展示。
§ FTP服务器:用于存放备份日志文件的FTP服务器路径。
§ 恢复时间段:在该时间段内的备份的日志文件将被恢复到本系统。
§ 用户名:FTP的登录用户名,用于校验FTP连接可用性。
§ 密码:FTP的登录密码,用于校验FTP连接可用性。
注意事项
○ 不支持从Windows版本FTP服务器恢复日志。
该功能用于设置用户登录本系统的相关参数。
操作步骤
a. 选择“系统设置 > 系统配置> 全局配置>系统设置>系统参数”,进入系统参数设置页面。
b. 编辑登录相关参数,单击<确认>按钮完成操作。
§ 用户闲置超时时长:若用户在超时时间内没有操作Web界面,系统将会强制断开该用户的Web连接,使该用户下线。缺省超时时长为1800秒。
§ 允许登录失败次数:允许连续登录失败次数,缺省允许3次。
§ 登录失败锁定时长:达到允许连续登录失败次数后,需要等待锁定时间后才能重新登录。缺省锁定时长为600秒。
§ 相同用户同时登录:选择是否允许同一个用户通过不同的客户端同时登录本系统。
该功能用于管理用户及角色信息。
本章包含如下内容:
· 用户管理
· 角色管理
该功能用于管理用户信息,包括新增、修改、删除用户及查询用户信息。
本系统中的用户分为预定义用户和自定义用户,预定义用户不能删除,但可以修改其密码、电话、邮箱及登录状态。预定义用户如下:
· admin:登录账号/密码为admin/secCsap@12345,角色为管理员,所属租户为默认租户。
· sysAdmin:登录账号/密码为sysAdmin/sysCsap@12345,角色为系统管理员,所属租户为默认租户。
· buzAdmin:登录账号/密码为buzAdmin/buzCsap@12345,角色为业务管理员,所属租户为默认租户。
· auditAdmin:登录账号/密码为auditAdmin/auditCsap@12345,角色为审计管理员,所属租户为默认租户。
1. 选择 “系统设置 > 系统配置>权限管理 > 用户管理”,进入用户管理页面。
2. 新增用户:单击<新增>按钮,输入用户信息后,单击<确认>完成操作。
○ 用户名:登录用户名称。
○ 用户全称:用户全称可与用户名相同。
○ 密码:登录密码。
○ 确认密码:再次输入密码。
○ 电话:用户联系电话号码,用于接收系统信息。
○ 邮箱:用户邮箱地址,用于接收系统邮件。
○ 用户角色:选择用户所属角色,为用户指定角色即可赋予用户该角色所拥有的权限。
○ 登录状态:默认为正常,状态为锁定时不可登录。
3. 编辑用户:选中要编辑的用户,单击<编辑>按钮,修改用户信息后,单击<确认>完成操作。
4. 删除用户:选中多条用户信息,单击<删除>按钮批量删除用户,单击操作列的<删除>按钮删除一个用户。
5. 修改密码:admin用户可以单击操作列的<修改密码>按钮修改自己的登录密码。其中,admin用户除了可以修改自己的密码外,还可以在不知道其他用户旧密码的情况下重置其登录密码。
6. 开启密码管理功能:单击<密码策略>按钮,根据需要开启密码长度校验、密码组合检查及密码过期提醒功能。配置完参数后,单击<确认>按钮,完成配置。
○ 开启密码长度校验:开启密码长度校验后,当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。
○ 开启密码组合检查:设置用户密码的组成元素的组合类型,包括大写字母、小写字母、数字和特殊字符。例如,同时选中四种类型,则设置的密码中必须同时包含大写字母、小写字母、数字和特殊字符。开启密码组合检查后,当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
○ 开启密码过期提醒:设置密码有效期及过期提醒时间。在用户登录时,系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内,系统会提示该密码还有多久过期,并询问用户是否修改密码。如果用户选择修改,则记录新的密码及其设定时间。如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。密码过期后,登录时必须按页面提示修改密码才能登录。
该功能用于管理角色及其菜单权限,包括新增、修改、删除角色,并为角色分配权限。
本系统中的角色分为预定义角色和自定义角色,预定义角色不能编辑或删除,自定义角色由用户根据需求新增并赋予权限。 系统预定义角色如下:
· 管理员:拥有系统全部权限,包括新增、删除和修改租户、用户及角色配置。
· 系统管理员:拥有“综合概览”、“系统设置”下部分系统基础功能的管理权限。
· 业务管理员:拥有“综合概览”、“威胁中心”、“分析中心”、“处置中心”、“资产中心”、“报表中心”、“安全服务”和“系统设置”下部分业务相关功能的管理权限。
· 审计管理员:拥有“系统设置”下部分日志功能的管理权限。
· 租户管理员:拥有“系统设置> 系统配置 > 权限管理”页面的配置权限,“综合概览”、“分析中心”查看权限,以及“处置中心”、“资产中心”、“报表中心”、“安全服务”下部分管理权限。
1. 选择“系统设置 >系统配置 > 权限管理 > 角色管理”,进入角色管理页面。
2. 新增角色:单击<新增>按钮,输入角色名称和描述,点击<确认>完成操作。
○ 角色名称:角色的唯一标识。
○ 角色描述:角色的描述信息,合理的描述信息有助于管理员快速了解该角色。
3. 编辑角色:选择一个角色,单击操作列的<编辑>按钮修改角色描述信息后,单击<确认>完成操作。
4. 角色权限分配:选中要编辑的角色,点击<权限设置>按钮进入角色权限页面,勾选相应的区域权限和菜单权限后,单击<确认>完成权限分配。
5. 删除角色:选中一个或多个角色,单击<删除>按钮批量删除角色,或单击操作列的<删除>按钮删除一个角色。
个性化定制功能用于自定义系统名称和系统Logo等信息。
1. 选择“系统设置 >系统配置 > 个性化定制”,进入个性化定制页面。
2. 修改相关参数后,单击<确认>按钮完成操作。
○ 公司名称:设置登录页面CopyRight处的公司名称,默认为新华三技术有限公司。
○ 系统名称:设置展示在登录界面和导航树上方的系统名称,默认为安全威胁发现与运营管理平台。
○ 首页定制:选择登录后展示的页面,默认展示“综合态势”页面。
○ 安全度最低分:安全度是系统根据全网综合安全状态实时计算出的评分,可辅助用户评估全网安全状态。设置安全度最低分后,当实际安全度低于该值时,页面展示为设置最低分。有关安全度评分规则的详细介绍请参见综合分析。
○ Logo定制:设置系统名称前面的Logo图片,支持png、jpg、jpeg格式,推荐图片像素为400*100。选择通用则登录页面及导航树上方用同一张图片,选择定制可分别设置登录页面及导航树上方的Logo图片。
该页面下支持展示操作日志和系统日志。
· 操作日志:用于记录用户登录系统后所执行的动作,如登录系统、退出系统、访问页面,可查询和导出操作日志。
· 系统日志:用于记录系统中硬件、软件和系统问题,如日志采集器离线、内存利用率超过90%等,可查询和导出系统日志。
1. 选择 “系统设置 > 系统配置 > 操作日志”,选择操作日志页签,进入操作日志页面。
2. 查询操作日志:支持按照操作人、IP地址等查询条件检索操作日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 导出操作日志:点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为xlsx。
· 操作来源:下发操作的来源,包括本系统和安全运营中心。其中,当用户将本系统交由安全运营中心托管时,安全运营中心可以通过反向连接登录到本系统并下发操作,此时的操作来源即为安全运营中心。
1. 选择“系统设置 > 系统配置 > 操作日志”,选择系统日志页签,进入系统日志页面。
2. 支持按模块名称、级别、统计周期等查询条件检索系统日志。根据实际需求配置查询条件后,点击<查询>按钮,即可查看相应的日志信息;点击<重置>按钮,可清空所有查询条件,刷新页面。
3. 点击<导出>按钮,可导出所有满足查询条件的日志记录,导出的日志文件格式为.xlsx。
· 模块名称:发生异常的功能模块的名称。
· 级别:日志的严重级别,包括严重、错误、警告、通知。
· 产生时间:异常发生时间。
· 详情:日志内容的具体情况描述,例如“内存利用率超过90%”。
本功能用于在线升级系统软件版本。版本文件请官网下载获取。
1. 选择“系统设置 >系统配置 > 平台升级”,进入平台升级页面。
2. 单击<环境校验>按钮,系统将会检查基础服务组件是否正常。校验通过可继续升级,否则请联系技术人员处理异常。
3. 环境校验通过后,单击<开始升级>按钮,选择正确的版本文件上传到系统。
4. 上传成功后,系统开始升级,升级过程中不允许刷新页面。升级完成后将展示各组件升级结果,升级成功后需要重新登录。
· 在升级过程中会弹出采集器离线的告警信息,此时直接关闭弹窗即可。升级成功后采集器会自动恢复在线状态。
该功能用于对系统提供的威胁信誉、处置建议库等特征库进行版本升级。随着网络攻击不断的变化和发展,需要及时升级系统中的特征库,升级文件可在官方网站下载获取。目前,系统提供以下几种特征库:
· 威胁情报库:包括IP信誉、域名信誉和URL信誉特征库。这些特征库可配合关联规则、UEBA规则等功能,帮助系统识别渗透、数据盗取等网络威胁及异常流量。有关威胁情报的详细介绍,请参见“系统设置>威胁情报”。
· 处置建议库:针对不同的安全告警提供建议采取的处置方案,为管理员处理同类安全告警提供参考。
· 规则特征库:用来对经过平台的应用层流量进行攻击检测和防御的资源库。
· 防病毒特征库:用来对经过设备的报文进行病毒检测的资源库。
· 应用识别特征库:用来对经过设备的应用层流量进行字符串特征识别的资源库。
· URL特征库:用于存储和识别URL的特征信息的资源库。
· Web应用防护特征库:用来对经过设备的应用层流量进行Web攻击检测和防御的资源库。
1. 选择“系统设置 > 系统配置 > 特征库升级 ”,进入特征库升级页面。
2. 威胁情报库、规则特征库、防病毒特征库、应用识别特征库、URL特征库和Web应用防护特征库支持通过连接官网进行在线升级以及通过导入本地保存的特征库文件进行离线升级。
○ 打开“在线同步”开关,系统将定时自动获取H3C官网上最新的特征库来升级本地特征库。
○ 单击<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的特征库来升级本地特征库。
○ 单击<导入>按钮,管理员可以使用本地保存的最新版本特征库文件上传到系统进行离线升级。当特征库在线升级失败或者系统无法访问官网时,可以通过此方式进行特征库升级。
3. 处置建议库仅支持通过导入本地保存的特征库文件进行离线升级,单击<导入>按钮,选择特征库文件上传到系统进行离线升级。
4. 单击<升级记录>按钮,查看历史升级记录。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
对于基于License授权的功能,如基础管理平台、威胁情报升级特性,以及内置的威胁检测引擎和全包检测引擎,用户必须申请并安装License激活文件后才能使用。
1. 进入系统登录界面,单击“产品注册”按钮,选择"本地授权",进入本地授权页面。
2. 在“主机信息文件下载”区域,下拉“下载注册信息”点击对应按钮选择下载主机信息文件(包括NDR管理平台did文件、威胁检测引擎did文件和全包取证引擎did文件)。
3. 在“前往官网申请注册信息”区域,单击<前往官网>按钮,可跳转到H3C官网License激活申请页面。使用主机信息文件、授权序列号申请License激活文件。
4. 有关License激活文件申请的详细介绍,可在“前往官网申请注册信息”区域,将鼠标悬浮到<操作指南>上方,扫描悬浮框中的二维码查看《License使用指南》,或者通过单击二维码下方的“License使用指南”链接跳转到官网手册页面查看该手册。
5. 申请成功后,在“License 文件授权注册”区域,单击<授权信息导入>按钮,即可导入授权激活文件,完成上述操作后即可登录系统。
6. 选择“系统配置 > 授权信息”进入授权信息页面,可查看已申请的授权信息。
○ 授权名称:特性授权函名称。
○ 授权类型:特性的授权类型。
○ 是否授权:特性是否已被授权使用。
○ 有效期:特性有效使用时间。
7. 用户也可以在授权信息页面,单击<注册授权>,进入注册授权页面,下载主机信息文件(可单击对应按钮选择下载NDR管理平台did文件、威胁检测引擎did文件或全包取证引擎did文件)或导入激活文件。
· 修改服务器系统时间,会影响威胁情报更新升级授权的实际有效时长。
本功能用于查看威胁检测分析引擎的相关信息,该引擎包括威胁检测引擎以及全包取证引擎。
· 威胁检测引擎:平台内置的威胁检测探针的检测引擎,可采集全网各类攻击相关日志数据,分析网络中发生的各类安全告警。
· 全包取证引擎:平台关联的全包取证分析平台的分析引擎,可采集并分析全网安全告警相关的元数据、存储并分析捕获报文等。
1. 选择“系统设置 > 数据源配置 > 引擎管理”,进入引擎管理页面。
2. 查看威胁检测分析引擎的状态信息以及传输日志和存储报文的相关统计数据等信息。
3. 在引擎列表下,单击操作列下的配置管理按钮,进入配置管理页面,可分别查看威胁检测引擎和全包取证引擎的相关信息。
4. 在威胁检测引擎页签下,可查看并升级引擎版本、查看威胁检测探针的相关运行监控数据,例如引擎状态(内存使用率、CPU使用率和Flash使用率)、系统流量统计和系统会话统计等信息。可单击<引擎升级>按钮,将本地保存的引擎版本文件导入到平台中,升级引擎版本。
5. 在全包取证引擎页签下,选择系统版本管理。可查看全包取证引擎和应用识别特征库的版本信息、升级历史记录、同时支持升级全包取证引擎和应用识别特征库。
○ 单击引擎升级按钮,将本地保存的引擎版本文件导入到平台,可升级全包取证引擎版本。
○ 单击应用识别升级按钮,可将本地保存的应用识别特征库文件导入到平台,升级应用识别特征库的版本。
6. 在全包取证引擎页签下,选择流量过滤配置,可通过配置过滤策略来限制全包取证引擎采集流量的范围。单击新增按钮,设置配置名称以及流量过滤条件等。其中,过滤条件包括协议类型、源IP组、目的IP组以及应用等。设置完成后,单击确定按钮,全包取证引擎将仅采集符合过滤条件的流量的相关数据。
7. 在全包取证引擎页签下,选择全包存储配置,可进行如下配置。
○ 启用或禁用全包取证功能。
○ 设置引擎的存储类型,包括全部存储和部分存储。其中,部分存储表示仅对符合数据包长度限制的报文进行存储,超出范围的报文不进行存储。
○ 启用或禁用报文压缩功能。开启报文压缩功能后,可以减小报文的存储空间,但是可能会导致设备存储性能降低,请谨慎开启。
8. 在全包取证引擎页签下,选择元数据采集配置,可配置引擎采集的元数据范围。用户可通过滑动滑块选择是否采集指定目标的元数据,例如常规协议(ICMP、DNS等)、数据库、登录行为等,以及工控相关协议等,如OPC、CIP等。
9. 在全包取证引擎页签下,选择预定义应用,可查看全包取证引擎支持识别的预定义应用信息。可按照应用分类,分别查看应用的名称、标签、平台、风险级别等信息。
10. 在全包取证引擎页签下,选择自定义应用,可手动新增应用类型以及具体应用。同时支持对应用进行启用、停用和删除的操作。
a. 在左侧分类树下,单击新增应用类型按钮,输入应用类型名称,单击确认按钮,可创建自定义应用类型。
b. 可选择指定的应用分类,在该应用分类下新增自定义应用。具体步骤如下:
1. 单击新增按钮,进入新增自定义应用页面。
2. 在应用基本信息区域,配置应用名称、协议类型、IP类型、所属的应用类型以及是否启用该应用等信息。
3. 在应用端口、IP配置区域,配置源IP组、目的IP组、源端口组、目的端口组信息。
4. 在特征配置区域,配置应用的特征信息,包括协议类型、配置内容。对于多条特征信息,支持配置特征之间“与”和“或”的逻辑关系,单击确定按钮,完成配置。
c. 在应用列表下,选择指定的应用,单击操作列下的优先级按钮,可以调整应用的匹配顺序,即列表下的显示顺序,包括移动做最前、最后、或者指定应用之前或之后。单击确定按钮,完成操作。
11. 在全包取证引擎页签下,选择密钥管理,可查看并上传私钥文件。如果需要全包取证引擎解析HTTPS加密流量时,则需要先在该页面上传私钥文件。例如,用户想查看外网客户端与内网服务器之间的加密流量信息时,需要先通过内部渠道获取内网服务器的私钥,并上传到平台。平台即可对相应的加密流量进行解密。
该功能用于将本平台收集的原始日志等数据转发到其他日志分析平台或日志接收系统。
· 新增转发任务
· 删除转发任务
· 目的IP:接收本平台转发的日志数据的目的IPv4地址。
· 目的端口:接收本平台转发的日志数据的目的端口。
· 传输协议:平台转发日志数据使用的传输协议。
· 日志源:平台转发日志数据使用的日志源。
· 设备类型:平台转发日志数据使用的日志源的设备类型。
· 转发内容:平台转发日志数据内容。
· 启用状态:表示系统是否按照该任务中配置的参数转发日志。
该功能用于新增数据转发任务。
1. 选择“系统设置 > 数据源配置 > 数据转发”,进入数据转发页面。
2. 点击<新增>按钮可新增转发任务。
○ 目的IP:接收本平台转发的日志数据的目的IPv4地址。
○ 目的端口:接收本平台转发的日志数据的目的端口。
○ 传输协议:平台转发日志使用的传输协议。
○ 日志源:平台转发日志数据使用的日志源。
○ 转发内容:平台转发的日志内容。
3. 根据实际需求,配置转发基础参数,包括目的IP、目的端口、传输协议和日志源。
4. 选择转发内容,系统支持转发原始日志以及设备IP,用户也可以根据实际需求,选择其他内容,包括产生时间、设备类型等。
5. 点击<确认>按钮完成操作。
该功能用于删除转发任务。删除指定任务后,平台将不再按该任务中配置的参数转发日志。
1. 选择“系统设置 > 数据源配置 > 数据转发”进入数据转发页面。
2. 选中多个任务,点击<删除>按钮可批量删多个转发任务;选择一个任务,点击操作列<删除>按钮,可删除对应的转发任务。
该功能用于查看威胁情报信息(包括IP情报、域名情报和URL情报信息)并对情报执行启用、停用、导入的操作,以及升级情报特征库。同时,支持开启云端平台(即云端情报中心)同步功能,开启该功能后,平台可定期从云端平台获取情报信息,丰富平台情报库。
· IP情报库
· 域名情报
· URL情报
· 云端配置
该功能用于展示IP情报信息。系统支持预定义和自定义IP情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
预定义IP情报
该功能用于查询预定义IP情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入IP地址后单击
按钮即可查看相应的IP情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
自定义IP情报
用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义IP情报”页签,单击<新增>按钮进入新增自定义IP情报页面,配置相关参数后单击<确认>按钮完操作。
○
查询情报:选择“自定义IP情报”页签,输入IP后单击按钮即可查看相应的IP情报信息。
○ 启用情报:选择“自定义IP情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择“自定义IP情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:选择“自定义IP情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义IP情报库页面,单击“自定义IP情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选择“自定义IP情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· IP地址:用于对网络流量进行过滤。
· 情报类型:该IP地址对应的攻击分类。
· 方向:该IP地址被标识为特定攻击时的匹配方向,包括源、目的及双向。
· 可靠性:该自定义IP情报的准确度,值越大准确度越高。
· 端口:用于对网络流量的目的端口进行过滤。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于展示域名情报信息。系统支持预定义和自定义域名情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
预定义域名情报
该功能用于查询预定义域名情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入域名后单击按钮即可查看相应的域名情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
自定义域名情报
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义域名情报”页签,单击<新增>按钮进入新增自定义域名情报页面,配置相关参数后单击<确认>按钮完操作。
○
查询情报:选择“自定义域名情报”页签,输入域名后单击
按钮即可查看相应的域名情报信息。
○ 启用情报:选择“自定义域名情报”页签,选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择“自定义域名情报”页签,选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:选择“自定义域名情报”页签,单击<导入>按钮,选择“导入”,进入导入自定义域名情报库页面,单击“自定义域名情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选择“自定义域名情报”页签,选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· 域名:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该域名对应的攻击分类。
· 可靠性:该自定义域名情报的准确度,值越大准确度越高。
· 匹配方式:系统对域名匹配的方式,包括精确匹配和模糊匹配。选择精确匹配时,网络流量的域名必须与域名情报完全一致才认为匹配成功;选择模糊匹配时,只需要网络流量的根域名与域名情报一致即认为匹配成功。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于展示URL情报信息。系统支持预定义和自定义URL情报。
· 预定义情报:支持通过在线升级和离线升级两种方式生成。在线升级由系统自动获取H3C官网上最新的情报库生成,包括立即在线升级和定期在线升级。
· 自定义情报:通过用户手动添加或导入的方式生成。
预定义URL情报
该功能用于查询预定义URL情报信息、启用或停用预定义情报、升级情报库和查看升级记录。
○
查询情报:输入URL后单击按钮即可查看相应的URL情报信息,单击操作列的<详情>按钮可查看该情报的详细信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 立即在线升级:单击页面上方的<立即在线升级>按钮,系统将立即自动获取H3C官网上最新的情报库来升级本地情报库。
○ 手动导入:单击<手动导入>按钮,用户可选择本地保存的最新版本的情报库文件上传到系统进行离线升级。此方式适用于情报库在线升级失败或者系统无法访问官网的场景。
○ 自动升级:打开<自动升级>按钮,系统将定期自动获取H3C官网上最新的情报库来升级本地情报库。
○ 升级记录:单击<升级记录>按钮,可查看历史升级记录。其中,当升级失败时,可在升级记录页面单击操作列的<再次升级>按钮,再次执行指定的升级操作。
自定义URL情报
该功能用于管理自定义情报,用户可对自定义情报执行以下操作:
○ 新增情报:选择“自定义URL情报”页签,单击<新增>按钮进入新增自定义URL情报页面,配置相关参数后单击<确认>按钮完操作。
○ 查询情报:输入URL后单击<查询>按钮即可查看相应的URL情报信息。
○ 启用情报:选择一条或多条停用的情报,单击<启用>按钮完成操作。
○ 停用情报:选择一条或多条启用的情报,单击<停用>按钮完成操作。
○ 批量导入情报:单击<导入>按钮,选择“导入”,进入导入自定义URL情报库页面,单击“自定义URL情报导入模板”,下载导入模板,按模板要求填写情报信息后保存配置,并将保存后的模板文件导入到系统即可。导入结果可在“操作结果”中查看。
○ 删除情报:选中多条自定义情报信息,单击页面中的<删除>按钮可批量删除自定义情报;单击操作列的<删除>按钮可删除选中的情报。
· URL:用于对网络流量进行过滤,不包含http://或者https://协议头。
· 情报类型:该URL对应的攻击分类。
· 可靠性:该自定义URL情报的准确度,值越大准确度越高。
· 情报状态:选择是否启用该自定义情报。
· 停用情报后,该情报将立刻失效,但不影响停用前匹配该情报的报文统计信息。
· 系统不能直接访问外网时,如需正常使用在线升级功能,则必须配置DNS服务器,并开启网络代理,确保系统可以访问H3C官网。有关DNS服务器及网络代理配置的详细介绍,请参见平台网络设置。
· 网络正常情况下,在线升级特征库失败可能是因为系统不能访问H3C官网,解决方法为:在PC上执行nslookup www.h3c.com命令查看H3C官网服务器IP地址,并将其设置为系统的DNS服务器。有关DNS服务器配置的详细介绍,请参见平台网络设置。
该功能用于配置本平台与云端平台(即云端情报中心)对接,对接成功后,平台可定期从云端平台获取情报信息,丰富平台情报库。
用户必须购买并安装威胁情报更新升级License后,平台才能从云端平台同步情报信息,有关License的详细介绍,请参见《H3C SecCenter [CSAP][SMP]系列产品 License使用指南》。
1. 选择“系统设置 > 威胁情报> 云端配置”,进入云端配置页面。
2. 打开同步状态开关。缺省情况下,同步状态开关已打开,无需修改。
· 本平台与云端平台之间必须网络互通,否则无法使用本功能。
· 关闭同步状态开关后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
· 威胁情报更新升级License过期后,平台不再从云端平台获取情报,以前获取的情报信息不受影响。
当用户通过查看安全告警发现存在误报的情况时,可配置白名单功能,将某类安全告警加入白名单,系统将不展示该类告警,降低误报率。配置白名单后,系统将对关联规则或UEBA规则输出的安全告警进行白名单匹配, 匹配上白名单的告警事件不会在安全告警页面展示,未匹配白名单的事件则进行分析和丰富,并在安全告警页面展示。 有关关联规则和UEBA规则的介绍请参见“系统设置 > 规则配置>关联规则”和“系统设置 > 规则配置>UEBA规则”。
白名单启用规则如下:
· 启用白名单后,对采集器上报的事件先进行关联规则或UEBA规则匹配,再进行白名单匹配,若匹配白名单成功系统将不展示该事件;停用或删除该白名单后,系统将重新展示该事件。
· 启用白名单后,已经展示事件也会做白名单匹配,若匹配成功则不再展示该事件,但不会从系统中删除该事件数据;停用或删除该白名单后,该事件将会重新展示。
· 新增/编辑白名单
· 删除白名单
该功能用于新增或修改白名单信息。建议通过安全事件的白名单按钮新增白名单,各参数字段将自动关联,不需要手动配置。 用户可根据实际情况选择安全事件进行过滤。
操作步骤
a. 选择“系统设置 > 白名单”,进入白名单配置页面。
b. 单击<新增>按钮可新增一条白名单;单击<编辑>按钮可修改选中白名单的配置信息。
c. 进入新增或编辑白名单配置页面,配置相关参数后单击<确认>按钮完操作。
d. 对于已配置的白名单可通过<启用>和<停用>按钮改变其运行状态。
参数说明
○ 策略名称:白名单的唯一标识,不能重复。
○ 攻击名称:安全事件对应的攻击名称。
○ 事件等级:安全事件的威胁等级(可多选),匹配该等级的事件将不在安全事件页面进行展示。
○ 确信度:安全事件的可信程度(可多选),匹配该确信度的事件将不在安全事件页面进行展示。
○ 规则名称:可选择关联规则和和UEBA规则(可多选),配置规则名称后,命中该关联规则或UEBA规则的事件将不在安全事件页面进行展示。
○ 情报IOC:通过情报类型的关联规则输出的安全事件,将用情报中的域名、IP地址或MD5值作为该安全事件的情报IOC。对于匹配该情报IOC的事件将不在安全事件页面进行展示。
○ 源端口:安全事件的源端口,支持配置为端口或端口范围(例如20-3000)。
○ 目的端口:安全事件的目的端口,支持配置为端口或端口范围(例如20-3000)。
○ 源IP:安全事件的源IP地址,匹配该源IP的事件将不在安全事件页面进行展示。单击<新增>按钮,完成如下参数配置后,单击<保存>按钮,新增一条源IP表项。
§ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
§ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
§ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
○ 目的IP:安全事件的目的IP地址,匹配该目的IP的事件将不在安全事件页面进行展示。单击<新增>按钮,完成如下参数配置后,单击<保存>按钮,新增一条目的IP表项。
§ IP类型:选择IP地址的类型,取值包括IPv4和IPv6。
§ 网段类型:选择IP地址的网段类型,取值包括IP地址、IP地址范围以及子网。
§ IP/IP地址范围/IP子网:当网段类型为IP地址范围时,需要输入开始地址和结束地址;当网段类型为子网时,需要输入子网地址和子网掩码长度;当网段类型为IP地址时,需要输入指定的IP地址。
○ 启用状态:选择是否启用该白名单。
注意事项
○ 添加“漏洞扫描系统”类型的资产成功后,系统将自动生成一个名为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单,避免系统将漏扫设备的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产进行关联删除。
○ 资产探针注册成功后,系统将自动生成一个名为资产探针+IP(如“资产探针192.168.0.1”)的白名单,避免系统将探针的正常扫描行为误报为安全事件。该类白名单不能手动删除或修改,但可通过删除对应的资产探针进行关联删除。
该功能用于删除白名单信息。
操作步骤
a. 选择“系统设置 > 白名单”,进入白名单配置页面。
b. 选择一条或多条白名单,单击页面上方<删除>按钮批量删除白名单;单击指定白名单操作列下的<删除>按钮可删除选中白名单。
注意事项
○ 名称为漏扫设备+IP(如“漏扫设备192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产后,系统将自动删除该白名单。有关资产的详细介绍请参见“资产中心 > 资产列表”。
○ 名称为资产探针+IP(如“资产探针192.168.0.1”)的白名单不能手动删除或修改,只能停用或启用。 删除该白名单对应的资产探针后,系统将自动删除该白名单。有关资产探针的详细介绍请参见“资产中心 > 资产配置”。
○ 若白名单中“规则名称”字段引用的关联规则和UEBA规则均被删除,那么该白名单也将被同步删除。
关联规则用于对一段时间内采集器上报的日志,按照一定的规则进行关联分析,匹配“关联规则”的日志将会输出一个安全告警,并在“威胁中心>安全告警”页面进行展示。 以便用户可实时监控整网安全情况,用户也可以根据告警的描述、关注点等字段进行有针对性的排查并采取相应的措施,确保网络安全。系统支持以下两种类型的关联规则:
· 自定义关联规则:用户可根据实际需求自定义关联规则并对其进行管理,包括新增、删除、启用、停用关联规则。
· 预定义关联规则:系统内置的关联规则算法,可以在海量日志和流量中关联分析出异常信息。系统预定义关联规则如下:
○
外网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网漏洞利用攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及 X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网投递恶意程序
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机投递恶意文件来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网拒绝服务攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击者向内网主机发起FLOOD攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名相同的日志聚合成一条,生成一个安全告警。
○
外网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网扫描探测攻击
该关联规则用于对一段时间内,系统对接收到的外网攻击源向内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
多设备暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次请求登录失败的日志进行解析聚合,并将用户登录IP相同的日志聚合成一条,生成一个安全告警。
○
外网暴力破解
该关联规则用于对一段时间内,系统对接收到的攻击者在外网向内网主机多次发起暴力破解的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
单设备多次登录失败
该关联规则用于对一段时间内,系统对接收到的攻击者在外网通过单台设备向内网主机多次(50次以上)请求登录失败的日志进行解析聚合,并将产生日志设备IP相同的日志聚合成一条,生成一个安全告警。
○
单主机暴力破解成功
此规则为嵌套规则,单主机暴力破解成功规则里嵌套单主机被单一源暴力破解成功规则。其中,单主机被单一源暴力破解成功规则是将一段时间内,系统接收到的攻击者(一个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全告警;
单主机暴力破解成功规则是将一段时间内,系统接收到的攻击者(多个来源)多次登录主机失败尝试后,最后登录成功的日志聚合成一条,生成一个安全告警。
当“单主机被单一源暴力破解成功规则”有符合匹配规则的安全告警生成时,不输出“单主机暴力破解成功”规则生成的安全告警;
当“单主机被单一源暴力破解成功规则”没有符合匹配规则的安全告警生成时,输出“单主机暴力破解成功”规则生成的安全告警。
○
恶意网站访问
该关联规则用于对一段时间内,系统对接收到的用户或者主机在内网访问恶意网站的日志进行解析聚合,并将攻击子分类、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
源主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
目的主机存在恶意文件
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
内网暴力破解
该关联规则用于对一段时间内,系统对接收到的内网主机发起暴力破解来进行权限获取的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网畸形报文攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起畸形协议或者数据攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网扫描攻击
该关联规则用于对一段时间内,系统对接收到的攻击者在内网通过内网主机发起地址扫描侦察攻击的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意主机外联
该规则用于对流量探针、终端主机上报的内网主机访问特定外网主机(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等IP库里的外网主机IP)的日志进行解析聚合,并将源IP、目的IP相同的日志聚合成一条,生成一个安全告警。
○
恶意域名事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网域名(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等域名库里的外网域名)的日志进行解析聚合,并将源IP、访问域名相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
内部发起恶意通信
该关联规则用于对一段时间内,系统对接收到的攻击者在内网主机发起恶意通信请求的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
外部发起恶意通信尝试
该关联规则用于对一段时间内,系统对接收到的攻击者在外网尝试向内网主机发起恶意通信的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意URL事件
该规则用于对流量探针、防火墙、上网行为管理系统及终端主机上报的内网主机访问特定外网URL(被列入系统威胁情报中的C&C、网络蠕虫、远控木马等URL库里的外网URL)的日志进行解析聚合,并将源IP、访问URL相同的日志聚合成一条,生成一个安全告警。
○
内网访问风险主机
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
目的主机存在风险
该关联规则用于对一段时间内,系统对接收到的攻击者在外网利用内网主机漏洞来进行攻击活动的日志进行解析聚合,并将攻击分类、攻击子分类、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
恶意通信成功
该关联规则用于对一段时间内,系统对接收到的攻击者向内网主机发起恶意通信日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,并根据攻击子分类生成对应的安全告警。
○
主机配置风险
该关联规则用于对一段时间内,系统对接收到的内网主机存在配置风险的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
源主机疑似感染恶意程序
该关联规则用于对一段时间内,系统对接收到的内网主机存在恶意文件的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP及X-Forwarded-For字段值的日志聚合成一条,生成一个安全告警。
○
内网弱口令登录
该关联规则用于对一段时间内,系统对接收到的攻击者在内网利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网弱口令登录
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机弱口令来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
外网风险访问
该关联规则用于对一段时间内,系统对接收到的外网攻击者利用内网主机开放端口来进行攻击活动的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
内网暴破成功
该关联规则用于对一段时间内,系统对接收到的内网主机向内网主机发起暴力破解并成功获取权限的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
○
Web安全风险
该关联规则用于对一段时间内,系统对接收到的外网访问内网主机产生的Web安全的日志进行解析聚合,并将攻击子分类、攻击名称、目的IP、目的端口、访问域名及X-Forwarded-For字段值相同的日志聚合成一条,生成一个安全告警。
· 查看关联规则
· 新增关联规则
· 启用关联规则
· 停用关联规则
该功能用于查看已配置的关联规则。
1. 选择“系统设置>规则配置>关联规则”,进入关联规则页面。
2. 支持按规则名称、事件名称、启用状态、威胁等级检索关联规则,输入查询条件,单击<查询>按钮页面将展示满足查询条件的关联规则信息; 单击<重置>按钮可重置查询条件。默认展示所有关联规则。
· 规则名称:关联规则的唯一标识。
· 配置类型:关联规则的类型,包括自定义和预定义。
· 事件名称:该关联规则生成的安全事件的名称。
· 事件描述:该关联规则生成的安全事件的描述信息,合理的描述信息有利于管理员快速了解该事件。
· 威胁等级:该关联规则生成的安全事件的严重等级。
· 命中次数:日志成功匹配该关联规则生成的安全事件数,点击次数可查看命中该规则的安全事件信息。
· 启用状态:关联规则的使用状态,包括启用和停用。
该功能用于新增自定义关联规则。主要包括规则定义、事件输出和规则配置三个部分。
1. 选择“系统设置 > 规则配置>关联规则”,进入关联规则页面。
2. 单击<新增>按钮进入新增关联规则页面,配置相关参数后单击<下一步>按钮,继续进行后续参数配置。所有参数配置完成后,单击<确认>按钮,完成新增规则操作。
3. 对于已配置的规则可通过启用和停用按钮改变规则的状态。
规则定义
○ 规则名称:规则的唯一标识,不能重复。
○ 规则描述:规则的描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 时间窗:规则匹配事件的时间段,只有在时间窗内到达系统的事件才会进行匹配。时间窗单位可选分钟、小时,必须是正整数。选择分钟,时间窗长度可输入1-60分钟,选择小时,时间窗长度可输入1-24小时。
○ 溯源描述:规则生成安全事件后在溯源分析中的描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击源%向%攻击目的%发起暴力破解尝试,共登录%攻击次数%次。
○ 风险危害:该规则生成的安全事件的风险危害,例如,"危害:主机很可能已被黑客控制,正与黑客主机通信。原理:内部主机失陷后会直接或者通过隧道等方式外联黑客主机,甚至被当成肉鸡攻击互联网其他主机,通过本地主机是否发起恶意通信进行检测。"
○ 处置建议:该规则生成的安全事件的处置建议,例如,"如果主机是普通PC或服务器无相关代理服务,则建议使用杀毒工具进行全盘查杀。"
事件输出
○ 事件名称:该规则生成的安全事件的名称,长度为1~20个字符,可文字描述或通过在特定字段前后加占位符%来进行变量替换,例如:%攻击类型%攻击。
○ 事件描述:该规则生成的安全事件的详细描述,可直接描述或通过在特定字段前后加占位符%来进行变量替换,例如:发现%攻击目的%遭受%攻击类型%攻击,攻击名称为%攻击名称%。
○ 威胁等级:该规则生成的安全事件的威胁等级,可选择低危、中危、高危、严重和默认。其中选择默认时,将展示日志本身的威胁等级。
○ 关注点:该规则生成的安全事件的关注点,可选择关注源或目的。通过关注点字段用户可以关注资产的安全状态。
○ 攻击阶段:该规则生成安全事件时,该事件所属攻击链环节,攻击阶段总共分为扫描侦查、入侵、命令控制、横向渗透、网络黑产、数据盗取、系统破坏。
○ 确信度:该规则生成的安全事件的可信程度,包括已失陷、高可疑、低可疑。
规则配置
用于匹配原始日志的子规则。点击<新增子规则>按钮,进入新增子规则页面,配置相关参数后单击<确认>按钮完操作;点击<删除>按钮可删除已配置的子规则。
○ 子规则名称:子规则的唯一标识,不能重复,不能包含字符“{}!_|<>/\%&'",;:*=?#”。
○ 条件属性:该规则只对此类型的日志进行匹配。
○ 子规则描述:子规则的详细描述,通过合理编写描述信息,便于管理员快速理解和识别该规则。
○ 聚合:用于对满足条件的日志聚合上报事件。例如,若设备采集到100条满足匹配条件的暴力破解攻击日志,若未配置聚合功能,则对100条攻击日志均上报事件,若配置了聚合功能,则根据聚合条件的配置上报事件。系统默认未开启聚合功能。
§ 分组字段选择:根据所选的“关键字段”对所有满足匹配条件的日志进行首次分组聚合,关键字段取值相同的日志为一组,每组聚合为一条日志。例如, 对于设备收到的100条满足匹配条件的暴力破解攻击日志,若需要根据攻击源聚合上报日志,则可以将分组字段选择配置为“用户登录IP”。
§ 分组字段统计次数:若根据分组字段聚合后的日志条数大于或等于配置的分组字段统计次数,且未配置解析字段选择,则将聚合日志上报为事件, 若配置了解析字段选择则继续匹配解析字段条件;否则分组字段匹配失败,不上报事件。例如:对于设备收到的100条满足匹配条件的暴力破解攻击日志, 假设配置的分组字段选择为“用户登录IP”,分组字段统计次数为10。即根据用户登录IP地址对设备收到的100条暴力破解日志进行分组, 若分组个数大于等于10(登录用户的个数大于等于10),则上报事件,否则认为攻击规模不具有威胁性,不上报日志。
§ 解析字段选择:配置解析字段后,系统将根据解析字段所选的关键字对首次分组聚合的日志进行二次聚合,关键字段取值相同的日志为一组,每组聚合为一条日志。 例如,假设经过首次聚合后,聚合输出20条来自不同登录IP的暴力破解攻击日志。若需要根据产生日志的设备IP再次聚合,则可以将解析字段选择配置为“产生日志的设备IP”。
§ 解析字段相同值统计次数:若聚合后的日志条数大于或等于配置的解析字段相同值统计次数,则继续进行后续判断。例如,假设经过首次聚合后, 聚合输出20条来自不同登录IP的暴力破解攻击日志。若配置解析字段选择为“产生日志的设备IP”,解析字段相同值统计次数为1。即根据产生日志的设备IP地址对首次聚合后的攻击日志 再次进行聚合,若再次聚合后的日志条数大于等于1(产生日志的设备个数大于等于1),则继续匹配解析字段不同值最小个数,否则认为攻击规模不具有威胁性,不上报日志。
§ 解析字段不同值最小个数:经过解析字段聚合后生成的日志条数,如果大于或等于配置的解析字段不同值最小个数,则在聚合的日志中依据继承策略选择一条日志上报为事件; 否则不上报事件。例如,假设经过再次聚合后,聚合输出12条来自不同日志设备的暴力破解攻击日志。若配置解析字段不同值最小个数为10, 则判断上一步聚合后的日志条数12大于10(产生日志的设备个数大于10),则依据继承策略选择一条日志上报事件,否则认为攻击规模不具有威胁性,不上报日志。
§ 继承策略:指定聚合日志输出和上报事件的时间依据。若选择“最早时间”,则选择产生时间最早的日志为聚合日志或上报事件; 若选择“最晚时间”,则选择产生时间最晚的日志为聚合日志或上报事件。
○ 匹配条件
§ 设置匹配条件间的逻辑关系:用于设置多个条件之间的逻辑关系,可选择与、或和自定义。在使用自定义的逻辑关系时,可使用OR和AND来组合成逻辑表达式,例如,1 and (2 or 3) and 4。
§ 设置匹配条件:指定匹配条件的关键字段和实际取值之间连接关系,包括:“=”、“!=”、“>”、“<”、“>=”、“<=”、“INLIST”、“NOTINLIST”、“IN”。其中,选择“INLIST”和“NOTINLIST”时指定关联列表,表示该关键字段的值是否存在指定的“关联列表”中;选择“IN” 可选择多个匹配字段。
§ 添加匹配条件:点击<+新增匹配条件>按钮可以增加一个匹配条件,点击
按钮可以删除一个匹配条件。
○ 子规则关系:一个关联规则下可添加多个子规则,多个子规则之间的匹配顺序可以选择全部匹配、任一匹配或顺序匹配。只有配置了多个子规则时才显示该字段。
例如,用户需要自定义一条关联规则,用于根据流量日志来分析内网主机之间频繁访问的情况。该规则中要求一个内网IP至少访问其他内网IP 500次,且访问次数不少于50次的内网IP数至少为10个。
自定义关联规则的操作步骤如下:
1. 单击<新增>按钮,进入新增关联规则页面,配置如下参数。
规则定义
○ 规则名称:内网主机频繁访问
○ 时间窗:1分钟
○ 溯源描述:【%规则名称%】 %源IP% 发起频繁访问
○ 风险危害:频繁访问
○ 处置建议:关注主机安全
事件输出
○ 事件名称:内网主机频繁访问
○ 事件描述:内网主机频繁访问
○ 威胁等级:默认
○ 关注点:源
○ 攻击阶段:其他
○ 确信度:低可疑
2. 单击<添加>按钮,进入新增子规则页面,配置如下参数。
规则配置
○ 子规则名称:内网主机频繁访问
○ 条件属性:网络流量日志
○ 聚合:勾选复选框
§ 分组字段选择:源IP
§ 分组字段统计次数:500
§ 解析字段选择:目的IP
§ 解析字段相同值统计次数:50
§ 解析字段不同值最小个数:10
§ 继承策略:最晚时间
○ 匹配条件:与
§ 第1个匹配条件:三个下拉框中分别选择日志子分类、IN、会话结束,会话开始&结束
§ 第2个匹配条件:三个下拉框中分别选择源内外网标识、IN、内网
§ 第3个匹配条件:三个下拉框中分别选择目的内外网标识、IN、内网。
3. 单击<确认>按钮,完成子规则配置。
4. 单击<确认>按钮,完成自定义关联规则配置。
· 通过特定字段前后加占位符%方式表示安全事件信息时,特定字段将被替换为该字段的实际取值。
○ 事件名称、事件描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型。
○ 溯源描述可配置的特定字段为攻击类型、攻击名称、攻击源、攻击目的、源IP、目的IP、主机名称、情报类型、事件名称、事件描述、规则名称、攻击次数。
其中攻击源、攻击目的若已配置资产名或用户名,则展示资产名或用户名,否则展示为IP地址。
· 建议不要配置过长的时间窗,否则会影响匹配性能。
· 关联规则停用后,不会影响停用前匹配的数据展示。
该功能用于启用关联规则。
1. 选择“系统设置>规则配置>关联规则”,进入关联规则页面。
2. 选中多条状态为“停用”规则,单击页面中的<启用>按钮可批量启用规则;或单击启用状态列下的按钮选择启用一条状态为“停用”的规则。
· 批量启用关联规则时,一次最多只能启用单页面能展示的所有关联规则。
该功能用于停用关联规则。
1. 选择“系统设置>规则配置>关联规则”,进入关联规则页面。
2. 选中一条或多条状态为“启用”的规则,单击页面中的<停用>按钮可批量停用规则;或单击启用状态列下的按钮选择停用一条状态为“启用”的规则。
· 批量停用关联规则时,一次最多只能停用单页面能展示的所有关联规则。
该功能用于删除自定义关联规则。
1. 选择“系统设置>规则配置>关联规则”,进入关联规则页面。
2. 选中多条规则,单击<删除>按钮可批量删除规则。
· 删除规则时,若白名单中“规则名称”字段引用的关联规则均被删除,那么,该白名单也将被同步删除。
该功能提供多个预定义异常流量检测规则,并支持对规则的关键检测参数进行配置和设置规则的启用状态。 通过这些规则,系统可以及时发现网络中的异常流量事件并在安全告警页面展示,以便管理员尽早对全网安全威胁进行处理。
系统预定义的异常流量检测规则如下:
· 外网数据库风险访问_Elasticsearch数据库风险访问
· 异常Web访问行为监测_对特定Web应用提交的内容中含有特定的敏感内容
· 异常Web访问行为监测_异常地点对特定Web应用的登录访问行为
· 异常Web访问行为监测_异常时间点对特定Web应用的登录访问行为
· 异常电子邮件行为监测_异常地点对特定电子邮件账户的访问行为
· 异常电子邮件行为监测_异常时间对特定电子邮件账户的访问行为
· 异常远程控制行为监测_异常地点对特定主机的远程登录访问行为
· 异常远程控制行为监测_异常时间点对特定主机的远程登陆访问行为
1. 选择“系统设置> 规则配置> UEBA配置”,进入UEBA配置页面。
2. 规则检索:支持按规则名称、事件名称、启用状态、威胁等级检索UEBA规则。单击<重置>按钮可重置查询条件。
3. 设置规则启用状态:支持单个或批量设置规则启用状态。选择一个或多个停用的规则,单击<启用>按钮可批量启用规则, 被启用的规则将在下个检测周期执行检测任务;选择一个或多个启用的规则,单击<停用>按钮可批量停用规则,被停用的规则将不再在下个检测周期中执行检测任务。
4. 设置规则参数:选择要编辑的规则,点击操作列的<配置>按钮即可设置该规则的核心参数,有关各规则可配置参数的说明请参见各规则介绍。
· 以下规则缺省处于停用状态,用户可根据实际需求手动启用:
○ 内网访问速率异常_域名请求速率异常
○ 内网访问速率异常_相同域名请求速率异常
○ 内网访问速率异常_网站访问速率异常
○ 内网违规访问_违规访问
○ 内网隐蔽隧道_域名型DNS隧道
○ 内网端口暴力破解_端口暴力破解尝试
○ 外网隐蔽隧道_IP型DNS隧道
○ 外网隐蔽隧道_域名型DNS隧道
○ 外网端口暴力破解_端口暴力破解尝试
○ 对外端口暴力破解_端口暴力破解尝试
○ 访问互联网速率异常_域名请求速率异常
○ 访问互联网速率异常_相同域名请求速率异常
○ 违规访问外网_翻墙行为
○ 违规访问外网_违规外联成功
○ 外网拒绝服务_DNS拒绝服务
○ 网站违规搭建_网站违规搭建
○ 高危端口挖矿通信_挖矿通信
○ 应用端口异常_MSSQL端口异常
○ 应用端口异常_MySQL端口异常
○ 应用端口异常_RDP端口异常
○ 应用端口异常_SMTP端口异常
○ 应用端口异常_SSH端口异常
○ 应用端口异常_Telnet端口异常
○ 访问应用时间异常_访问应用时间异常
○ 访问应用被阻断_访问应用被阻断
○ 频繁访问应用_频繁访问应用
该规则用于检测是否存在内网主机对其他内网主机发起FTP暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:FTP会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起MySQL暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 上行流量阈值:请求流量上限值。
· 下行流量阈值:应答流量上限值。
· 上行包数阈值:请求包数上限值。
· 下行包数阈值:应答包数上限值。
· 请求包载荷阈值下限:请求包载荷的下限值。
· 每秒会话数阈值:每秒建立的MySQL会话数下限值。
· 时间间隔阈值:会话建立的间隔时间上限值。
· 会话数阈值:流量满足以上条件时的MySQL会话数下限值。
该规则用于检测是否存在内网主机对其他内网主机发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对其他内网主机发起Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对其他内网主机发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对其他内网主机发起SSH暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:SSH会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起Telnet暴力破解攻击。
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对其他内网主机发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
基于终端系统日志,检测内网主机对内网主机发起的暴力破解攻击。
· 登录失败次数阈值下限:登录失败次数阈值的下限值。
该规则用于检测是否存在内网主机对其他内网主机发起Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源内网主机访问相同的URL次数阈值。
该规则用于检测是否存在内网主机对其他内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在内网主机对其他内网主机的高危端口发起端口探测攻击。
· 主机数阈值:内网主机访问的其他内网主机数阈值。
· 排除TCP端口列表:排除协议为TCP,并且目的端口在该端口列表中的流量会话日志。
· 排除UDP端口列表:排除协议为UDP,并且目的端口在该端口列表中的流量会话日志。
· 下行流量上限:流量会话日志中下行流量的最大值。
该规则用于检测是否存在内网主机对内网其他主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对内网其他主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对互联网发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对内网其他主机发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对互联网发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对内网其他主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对内网其他主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对互联网发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对内网其他主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在内网主机对互联网发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测内网主机是否存在RDP横向扩散尝试行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网主机是否存在RDP横向扩散成功行为,即检测周期内,是否存在内网主机向其他内网主机发起RDP访问,且交互流量均大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网主机是否存在SSH横向扩散尝试行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均不大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网主机是否存在SSH横向扩散成功行为,即检测周期内,内网主机向其他内网主机发起SSH访问,且交互流量均大于设置的阈值。
· 主机数阈值:源主机以相同的端口协议访问不同内网主机数阈值。
· 上行流量阈值:源内网主机请求其他内网主机的流量阈值。
· 下行流量阈值:源内网主机应答其他内网主机的流量阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对其他内网主机发起端口暴力破解攻击。
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:内网用户访问不同域名数阈值。
该规则用于检测内网用户请求相同域名速率异常行为。
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测内网用户访问网站速率异常行为。
· 访问总次数阈值:内网源端访问相同域名总次数阈值。
· 访问次数变化率阈值:源内网IP访问相同域名访问次数变化率阈值。
该规则用于检测内网主机是否存在违规访问行为,即主机对没有访问权限的IP及端口发起访问,且交互流量大于指定阈值。单击<新增>按钮添加违规访问策略。
· 策略名称:违规访问策略的唯一标识。
· 目的IP范围:禁止访问的目的IP,支持IP地址范围和子网两种输入形式。
· 目的IP排除项:禁止访问的目的IP中的排除地址,仅支持以单个IP形式输入。
· 目的端口列表:禁止访问目的IP上的端口,以端口范围形式进行配置,且结束端口必须大于或等于起始端口。
· 源IP范围:禁止访问目的IP的源IP范围,支持IP地址范围和子网两种输入形式。若配置的源IP访问了目的IP/端口,且上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 源IP排除项:源IP范围中的排除IP,即不对该源IP地址进行违规访问限制。仅支持以单个IP形式输入。
· 上行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
· 下行流量阈值:配置的源IP访问了目的IP/端口,且会话的上、下行流量均大于设置的阈值,则认为源IP存在违规访问行为。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测互联网对内网主机发起的FTP暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:FTP会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测互联网对内网主机发起的MySQL暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 上行流量阈值:请求流量上限值。
· 下行流量阈值:应答流量上限值。
· 上行包数阈值:请求包数上限值。
· 下行包数阈值:应答包数上限值。
· 请求包载荷阈值下限:请求包载荷的下限值。
· 每秒会话数阈值:每秒建立的MySQL会话数下限值。
· 时间间隔阈值:会话建立的间隔时间上限值。
· 会话数阈值:流量满足以上条件时的MySQL会话数下限值。
该规则用于检测互联网对内网主机发起的RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测互联网对内网主机发起的Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测互联网对内网主机发起的SSH暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:SSH会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测互联网对内网主机发起的VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
基于终端系统日志,检测互联网对内网主机发起的暴力破解攻击。
· 登录失败次数阈值下限:登录失败次数阈值的下限值。
该规则用于检测互联网对内网主机发起的Web后台登录暴力破解攻击。
· 相同URL访问次数阈值:源外网主机访问相同URL次数阈值。
该规则用于检测互联网对内网主机发起的FTP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的FTP访问次数阈值。
该规则用于检测互联网对内网主机发起的RDP风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的RDP访问次数阈值。
该规则用于检测互联网对内网主机发起的SMB风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SMB访问次数阈值。
该规则用于检测互联网对内网主机发起的SSH风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测互联网对内网主机发起的Telnet风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的Telnet访问次数阈值。
该规则用于检测是否存在互联网对内网主机发起端口扫描攻击。
· 开放端口占比阈值:被扫描端口中,开放端口数与未知端口数比值阈值,最多保留2位小数。
该规则用于检测是否存在互联网IP对内网主机发起DNS拒绝服务攻击。
· 访问次数阈值:DNS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在互联网IP对内网主机发起HTTPS拒绝服务攻击。
· 访问次数阈值:HTTPS会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在互联网IP对内网主机发起HTTP拒绝服务攻击。
· 访问次数阈值:HTTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在互联网IP对内网主机发起NTP拒绝服务攻击。
· 访问次数阈值:NTP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在互联网IP对内网主机发起TCP拒绝服务攻击。
· 访问次数阈值:TCP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测是否存在互联网IP对内网主机发起UDP拒绝服务攻击。
· 访问次数阈值:UDP会话日志数阈值。
· 流量放大倍数阈值:下行流量相对于上行流量大小的倍数。
· 目的端口例外:不对目的端口在例外列表中的流量会话日志进行检测。
该规则用于检测互联网对内网Elasticsearch数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MongoDB数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网MySQL数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Oracle数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测互联网对内网Redis数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测互联网对内网SQL Server数据库发起的风险访问。
· 上行流量阈值:外网IP请求内网主机的流量阈值。
· 下行流量阈值:内网主机应答外网IP的流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的访问次数阈值。
该规则用于检测是否存在互联网对内网主机发起端口暴力破解攻击。
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网主机是否存在ICMP隐蔽隧道通信。
· 访问次数阈值:ICMP会话日志数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 请求包载荷阈值:DNS请求包载荷的下限阈值。
· 访问次数阈值:DNS会话日志数阈值。
该规则用于检测内网主机是否存在SSH隐蔽隧道通信。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 访问次数阈值:上下行流量均超过设置的阈值时的SSH访问次数阈值。
该规则用于检测内网主机是否存在DNS隐蔽隧道通信。
· 子域名数阈值:主机访问相同域名的不同子域名数阈值。
该规则用于检测是否存在内网主机对互联网发起FTP暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:FTP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:FTP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:FTP会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的FTP会话数阈值。
该规则用于检测是否存在内网主机对互联网发起MySQL暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 上行流量阈值:请求流量上限值。
· 下行流量阈值:应答流量上限值。
· 上行包数阈值:请求包数上限值。
· 下行包数阈值:应答包数上限值。
· 请求包载荷阈值下限:请求包载荷的下限值。
· 每秒会话数阈值:每秒建立的MySQL会话数下限值。
· 时间间隔阈值:会话建立的间隔时间上限值。
· 会话数阈值:流量满足以上条件时的MySQL会话数下限值。
该规则用于检测是否存在内网主机对互联网发起RDP暴力破解攻击。
· 请求包载荷阈值下限:RDP会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:RDP会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的RDP会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起Redis暴力破解攻击。
· 请求包载荷阈值下限:Redis会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Redis会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Redis会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起SMB暴力破解攻击。
· 请求包载荷阈值下限:SMB会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SMB会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的SMB会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起SSH暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
· 请求包载荷阈值下限:SSH会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:SSH会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 应答包载荷阈值上限:SSH会话中,应答包载荷阈值的上限值。
· 会话数阈值:流量满足以上条件时的SSH会话数阈值。
该规则用于检测是否存在内网主机对互联网发起Telnet暴力破解攻击。
· 请求包载荷阈值下限:Telnet会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:Telnet会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的Telnet会话数超过该阈值,则认为存在Telnet暴力破解攻击。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起VNC暴力破解攻击。
· 请求包载荷阈值下限:VNC会话中,请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:VNC会话中,请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的VNC会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测是否存在内网主机对互联网发起端口暴力破解攻击。
· 请求包载荷阈值下限:请求包载荷阈值的下限值,该值需小于请求包载荷阈值上限。
· 请求包载荷阈值上限:请求包载荷阈值的上限值,该值需大于请求包载荷阈值下限。
· 会话数阈值:流量满足以上条件时的会话数阈值。
· 目的端口:流量会话日志中的目的端口,支持配置多个端口值。
该规则用于检测内网主机与互联网通信过程中是否存在MSSQL端口异常,若通信过程中存在非知名MSSQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在MySQL端口异常,若通信过程中存在非知名MySQL端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在RDP端口异常,若通信过程中存在非知名RDP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SMTP端口异常,若通信过程中存在非知名SMTP端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在SSH端口异常,若通信过程中存在非知名SSH端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则用于检测内网主机与互联网通信过程中是否存在Telnet端口异常,若通信过程中存在非知名Telnet端口流量交互且交互流量超过阈值则表示该主机可能存在违规操作。
· 下行流量阈值:目的外网主机应答流量阈值。
· 上行流量阈值:源内网主机请求流量阈值。
该规则基于审计日志对内网主机访问Web应用的行为进行监测,若检测到内网主机访问了特定的Web应用,则生成告警。
· 应用名称:系统需要监测的Web应用的名称。
该规则基于审计日志对内网主机访问Web应用的行为进行监测,若检测到内网主机访问Web应用时提交了敏感内容,则生成告警。
· Web应用名称:系统需要监测的Web应用的名称。
· 敏感内容:提交到Web应用中的带有泄密风险或者其他安全风险等的敏感信息。
该规则基于审计日志对内网主机访问Web应用的行为进行监测,若检测到内网主机使用特定的账户在异常的地点访问了特定的应用,则生成告警。
· 账户名称:登录Web应用时使用的账户名称。
· Web应用名称:系统需要监测的Web应用的名称。
· 正常地点:用于划定正常区域的范围,选择系统中的指定区域,作为正常地点,所有指定区域之外的区域都会被认为是异常地点。
该规则基于审计日志对内网主机访问Web应用的行为进行监测,若检测到内网主机在异常的时间范围内使用特定的账户访问了特定的应用,则生成告警。
· 账户名称:登录Web应用时使用的账户名称。
· Web应用名称:系统需要监测的Web应用的名称。
· 异常时间段:用于划定异常访问Web应用的时间范围。
该规则基于审计日志对传输文件的行为进行监测,若检测到了存在异常地点传输特定文件的行为,则生成告警。
· 文件名称:需要监测的文件的名称。
· 正常地点:用于划定正常区域的范围,选择系统中的指定区域,作为正常地点,所有指定区域之外的区域都会被认为是异常地点。
该规则基于审计日志对传输文件的行为进行监测,若检测到了异常时间段内存在传输特定文件的行为,则生成告警。
· 文件名称:需要监测的文件的名称。
· 异常时间段:用于划定异常传输文件的时间范围。
该规则基于审计日志对传输文件的行为进行监测,若检测到了传输文件的文件名中带有敏感信息,则生成告警。
· 敏感关键词:存在泄密风险或者其他安全风险等的敏感内容。
该规则基于审计日志对电子邮件账户访问的行为进行监测,若检测到了存在异常地点登录了特定电子邮件账户的行为,则生成告警。
· 电子邮箱账户:需要监测的电子邮箱账户的名称。
· 正常地点:用于划定正常区域的范围,选择系统中的指定区域,作为正常地点,所有指定区域之外的区域都会被认为是异常地点。
该规则基于审计日志对电子邮件账户的访问行为进行监测,若检测到了异常的时间内登录了特定电子邮箱的行为,则生成告警。
· 电子邮箱账户:需要监测的电子邮箱账户的名称。
· 异常时间段:用于划定异常登录电子邮箱账户的时间范围。
该规则基于审计日志对电子邮件发送和接收行为进行监测,若检测到了电子邮件内容或者附件名称中存在敏感词,则生成告警。
· 敏感关键词:电子邮件内容或者附件名称中带有泄密风险或者其他安全风险等的敏感信息。
该规则基于流量日志对远程控制内网主机的行为进行监测,若检测到特定的内网主机或者特定范围内的内网主机在异常地点被远程登录访问了,则生成告警。
· 类型:需要监测的内网主机类型,包括IP地址范围、子网和IP地址。
· 主机IP地址:内网主机的IP地址、子网或者地址范围。
· 正常地点:用于划定正常区域的范围,选择系统中的指定区域,作为正常地点,所有指定区域之外的区域都会被认为是异常地点。
该规则基于流量日志对远程控制内网主机的行为进行监测,若检测到特定的内网主机或者特定范围内的内网主机在异常时间被远程登录访问了,则生成告警。
· 类型:需要监测的内网主机类型,包括IP地址范围、子网和IP地址。
· 主机IP地址:内网主机的IP地址、子网或者地址范围。
· 异常时间段:用于划定异常访问的时间范围。
该规则用于检测内网主机是否存在网站违规搭建的行为,必须先配置域名白名单,规则才能生效。
· 域名白名单:系统对加入白名单列表中的域名不进行检测,可以减少误报。
该规则用于检测检测周期内,内网主机向其他大量内网IP发起蠕虫传播的行为。当源内网主机访问的内网不同主机数或访问具有相同C段特征的不同内网主机数超过设置的阈值时,则表示该主机可能感染蠕虫病毒。
· 主机数阈值:源内网主机访问内网不同主机数阈值。
· C段特征主机数阈值:访问目的IP为具有相同C段特征的不同内网主机数的阈值。
该规则用于检测检测周期内,是否存在内网主机向大量外网IP发起蠕虫传播。
· 主机数阈值:源内网主机访问外网不同主机数阈值。
该规则用于检测内网用户请求域名速率异常行为。
· 不同域名数阈值:源端访问不同域名数阈值。
该规则用于检测内网用户请求相同域名的请求速率异常行为。
· 1秒内访问次数阈值:1秒内源端访问相同域名的次数阈值。
· 访问总次数阈值:5分钟内源端访问相同域名的总次数阈值。
该规则用于检测用户是否在异常时间访问应用的行为。系统基于SDP VPN日志,来检测用户是否有在偏离历史常用访问时间之外访问某应用的行为。例如,某用户前20天(历史数据天数阈值)中至少有10天(异常判定天数阈值)访问了某应用,且10天中至少有5天(常用访问时间天数阈值)都在10点-11点之间访问该应用。此时,10点-11点则认为是该用户的常用访问时间,其他时间则为异常访问时间。那么,如果用户在小于等于2天(异常访问时间天数阈值)的范围内于异常用访问时间访问了该应用,则认为用户存在访问应用时间异常的行为,系统将生成事件。如果用户在2天以上都在异常访问时间访问该应用,则认为用户可能访问习惯发生改变,系统不会上报事件。
· 历史数据天数阈值:检测异常行为的历史数据天数。
· 异常判定天数阈值:用户访问某应用的天数下限。
· 常用访问时间天数阈值:用户在常用访问时间访问应用的天数下限。
· 异常访问时间天数阈值:用户在异常访问时间访问应用的天数上限。
系统基于SDP VPN日志,检测用户是否在短时间内访问应用被频繁阻断。例如,某用户在5分钟内访问某应用被阻断至少50次(次数阈值),系统则生成事件。
· 次数阈值:用户访问某个应用被阻断的次数下限。
该规则用于检测内网主机翻墙访问国外IP行为,且交互流量大于设置的阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
该规则用于检测内网主机是否存在违规访问外网行为,且交互流量大于阈值。
· 上行流量阈值:请求流量阈值。
· 下行流量阈值:应答流量阈值。
· 源IP范围:禁止访问互联网的内网IP地址范围。
系统基于SDP VPN日志,检测用户短时间内是否频繁访问某个应用。例如,某用户在5分钟内成功访问某应用至少300次(次数阈值),系统则生成事件。
· 次数阈值:用户成功访问某个应用的次数下限。
该规则用于检测是否存在内网主机与互联网进行挖矿通信。
· 访问次数阈值:内网主机与同一个挖矿通信端口的会话日志数阈值。
· 高危端口列表:挖矿通信端口号列表,多个端口号之间以英文逗号分隔。
弱口令规则用于检测用户访问网页时是否使用了安全性较低的口令,例如仅包含简单数字和字母等,容易被攻击者猜测到或被破解工具破解的口令。
平台纳管的资产(探针设备)自身预置了预定义弱口令规则,但是在某些对安全性要求较高的场景下,预定义规则可能无法满足用户需求。此时,用户可在本平台手工创建自定义的弱口令规则,扩充资产的弱口令规则,提升资产的弱口令检测能力。当用户在本平台对弱口令规则进行新增、编辑或者删除操作后,平台会将所有弱口令规则下发给纳管的资产,由资产使用弱口令规则对接收到的报文进行弱口令检测。如果检测成功,资产将向本平台上报相应的日志,用户可到日志中心进行查看。
1. 选择“系统设置> 规则配置> 弱口令配置”,进入弱口令配置页面。
2. 单击<新增>按钮,进入新增弱口令规则页面,配置如下参数:
○ 规则名称:弱口令规则的名称。
○ 弱口令字段定义:用于定义规则检测的字段。
§ 账号字段:登录页面的后台代码中用于表示“账户名称”的字符串。例如,某登录页面中,账户名称使用“用户名”来表示,对应到后台代码中,该字段使用“name”来表示。则此场景下,此参数需要配置为“name”。
§ 密码字段:登录页面的后台代码中用于表示“账户密码”的字符串。例如,某登录页面中,账户密码字段使用“密码”来表示,对应到后台代码中,该字段使用“password”来表示。则此场景下,此参数需要配置为“password”。
○ 弱口令内容定义:用于定义哪些内容会被认为是弱口令。
§ 弱口令内容:容易被攻击者猜测或被破解工具破解的口令内容,支持配置正则表达式。可直接在输入框中输入具体内容,也可导入弱口令内容文件。
其中,导入文件时,需要单击右侧的<导入>按钮,在“导入弱口令内容”页面中,将弱口令内容模板下载到本地,并根据模板中的提示添加相关内容后,单击<上传>按钮,将文件上传到平台(仅支持导入txt格式文件)。
○ WEB登录成功:开启本功能后,规则会针对登录成功的报文进行弱口令匹配。
§ 响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
§ 响应状态码:响应报文的响应状态码。
§ 响应内容:响应报文中的具体内容。
○ WEB登录失败:开启本功能后,规则会针对登录失败的报文进行弱口令匹配。
§ 响应内容位置:规则匹配响应报文的位置,包括响应头和响应体。
§ 响应状态码:响应报文的响应状态码。
§ 响应内容:响应报文中的具体内容。
3. 配置上述参数后,单击<确认>按钮,完成操作。平台会将新增的弱口令规则下发给纳管的资产。
4. 在规则名称输入框中,输入需要查询的规则名称,单击<查询>按钮,可以检索相应的规则。单击<重置>按钮,可重置查询条件。
· 规则名称:弱口令规则的名称。
· 账号字段:规则中定义的账号字段。
· 密码字段:规则中定义的密码字段。
· 弱口令数量:规则中包含的弱口令内容数量。
· 平台不支持下发满足正则表达式([A-Za-z0-9]{1,6}|[0-9]{7,8}|[A-Za-z]{7,8})的弱口令内容,该类内容为平台纳管的探针设备系统预定义弱口令内容。
· 平台最多支持下发1024条弱口令内容(所有弱口令规则包含的总弱口令数量)。
· 平台仅支持将弱口令配置下发给威胁检测探针类型的资产。配置本功能前,请确保资产列表中已正确添加了H3C厂商的威胁检测探针类型的资产,且资产管理协议配置为SSH或SOAP,同时配置上述两种协议时,优先使用SOAP。
该功能用于查看入侵防御特征库信息,可对特征执行启用和禁用以及查看特征详情等操作。管理员可通过选择规则分类以及配置特征ID等过滤条件筛选出所需的特征。
1. 选择“系统设置> 规则配置> 规则特征库”,进入规则特征库页面,
2. 在左侧规则特征库类型下拉列表中,选择指定的规则类型。
3. 配置特征ID、特征名称等过滤条件,单击<查询>按钮。特征列表中将展示筛选后的结果。
4. 选择指定的特征,单击<启用>或<停用>按钮,可以启用或禁用特征。
· 选择指定的特征,单击操作列下的<详情>按钮,可以查看特征的详情信息。
该功能用于查看漏洞特征库信息,并支持批量导入漏洞以及查看漏洞详情。漏洞特征库用于为脆弱性风险分析提供数据支持,对于符合漏洞的资产,可能认为其具有脆弱性风险,
1. 选择“系统设置> 规则配置> 漏洞特征库”,进入漏洞特征库页面,
2. 配置漏洞名称等过滤条件,单击<查询>按钮。漏洞列表下将展示筛选后的结果。
3. 单击<导入>按钮,选择导入,可进入导入漏洞页面。
4. 单击“漏洞导入模板”链接,下载漏洞模板。根据模板中的说明信息填写相关数据,完成编辑后保存到本地。
示例:
○ 漏洞名称:GNU_Bash单字节溢出漏洞(CVE-2014-7187)
○ 解决方案:目前厂商已经发布了升级补丁以修复此安全问题,请到厂商主页下载:http://www.gnu.org/software/bash。
○ 漏洞目标:OperationSystem/LinuxUnix
○ 严重级别:严重
5. 再次返回“导入漏洞”页面,单击上传文件区域,或者直接将本地保存的漏洞模板拖入到上传区域中,单击<确认>按钮,将漏洞模板导入到平台。
6. 在漏洞列表页面,单击<导入>按钮,选择操作结果,可以查看导入操作结果。
该功能用于配置告警策略以及查看告警记录。
该功能用于新增和配置告警的触发策略,在告警策略中指定监控的资产并配置告警方式通知给相关责任人。
1. 选择“系统设置 > 系统系统告警管理 > 告警策略”,进入告警策略页面。
2. 单击<新增>按钮,进入新增告警策略页面。分别配置基本信息、触发条件和告警方式。配置完成后,单击下一步按钮,进行后续参数的配置。
3. 选择监控的资产,支持选择某个区域的所有资产或选择某些指定资产,指定告警周期及触发告警的资产安全状态。
4. 配置告警方式,支持邮件、短信告警方式。
5. 单击<确认>按钮,新增告警策略完成,新增的告警策略缺省处于启用状态,可通过<启用>和<停用>按钮改变任务启用状态。
基本信息
○ 策略名称:告警策略的唯一标识,不能重复。
○ 描述:告警的描述,便于管理员快速识别该策略。
○ 告警类型:即告警策略监控的对象,仅支持“资产”。
触发条件
○ 监控的资产:指定区域内的资产或指定资产发生安全告警,并且在告警周期内,资产安全状态上升为指定状态时,触发告警。
○ 告警周期:告警策略执行周期。若告警周期内满足告警触发条件,系统将发送告警通知。
○ 资产安全状态:告警周期内,受监控资产的安全状态上升为指定状态时,触发告警。
告警方式(请至少选择一种告警方式)
○ 邮件:开启后,触发告警时,系统将向指定收件人发送告警邮件。
§ 邮件标题:通过邮件方式发送告警时邮件的标题。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置邮件地址。
§ 模板预览:展示告警信息内容。
○ 短信:开启后,触发告警时,系统将向指定收件人发送告警信息。
§ 收件人:接收告警信息的用户(可多选),收件人必须已配置联系方式。
§ 模板预览:展示告警信息内容。
○ Trap:开启后,触发告警时,系统将向U-Center统一运维平台发送Trap告警信息。
§ 模板预览:展示告警信息内容。
○ APP:开启后,触发告警时,用户可使用指定的账号登录H3C云智手机App,首页告警栏目将会新增一条告警信息。
§ 收件人:接收告警信息的用户(可多选)。必须使用指定的收件人账号登录H3C云智手机App,才能看到该策略生成的告警信息。
§ 模板预览:展示告警信息内容。
该功能用于配置单个告警策略在指定时间段内发送告警通知的最大数量,避免系统频繁大量的发送告警通知。
操作步骤
a. 在告警策略页面上方,单击<告警设置>按钮,进入告警设置页面。
b. 开启告警控制设置,配置时间范围及最大告警通知数量。
c. 单击<确认>按钮完成设置。
注意事项
○ 选择邮件或短信告警方式时,必须先在“系统设置> 系统配置 > 全局配置> 通知设置”页面完成邮件服务器和短信业务中心的相关配置,并且收件人已经正确配置了邮箱或联系方式,否则无法正常发送告警通知。
○ 选择Trap告警方式时,必须先在“系统设置> 系统配置 > 全局配置 >融合平台管理”页面完成U-Center注册的相关配置,并确保注册成功,否则无法正常发送告警通知。
○ 选择APP告警方式时,请确保手机已安装H3C云智应用程序,并且设置手机网络,确保H3C云智应用程序与平台之间网络互通,否则平台无法正常发送告警通知。
该功能用于记录已触发的告警,在该页面可查看告警的发送时间、告警方式、收件人等信息。
1. 选择“系统设置>系统告警管理> 告警记录”,进入告警记录页面。
2. 在告警记录页面可查看已触发告警的相关信息,单击操作列的<删除>按钮可删对应的记录。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
