- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-流量分析典型配置
本章节下载: 04-流量分析典型配置 (885.05 KB)
H3C SecCenter CSAP-iSOC安全威胁发现与运营管理平台
流量分析典型配置
Copyright© 2024 新华三技术有限公司版权所有,保留所有权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍安全威胁发现与运营管理平台(以下简称CSAP平台)流量分析功能的配置案例。
流量分析功能,可用于分析并展示网络中发生的异常流量事件,以及用于展示互联网流量统计对象(如内网用户、用户组、区域等)访问互联网的流量统计信息,并展示内网流量中内网或互联网对象访问(内网资产、用户、区域)的流量统计信息,来帮助管理员直观快速观察和定位网络中的异常流量以及掌握内网访问互联网、互联网访问内网的概况。实现CSAP平台对流量的实时监控。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。若客户网络中存在其它第三方厂商日志不适配的情况,需要进行定制化开发时,请与当地销售人员联系。
本文档假设您已了解CSAP平台功能特性。
如下图所示组网中,部署了CSAP平台、日志源采集、资产配置。在CSAP平台上配置日志源采集、资产配置和流量与行为分析基础平台软件授权函,实现CSAP平台对流量的实时监控。
· CSAP平台日志源采集
· CSAP平台基础平台软件授权函
· CSAP平台资产配置
本举例是在CSAP的E1501版本上进行配置和验证的。
· 在配置之前确保基础平台软件授权函已经导入
· 验证配置时请尽量保证安全威胁发现与运营管理平台、威胁检测探针、防火墙等设备系统时间一致
(1) 登录CSAP平台,选择“系统设置 >数据源配置>日志源管理”,切换到被动采集页面,点击新增按钮,进行日志源添加,配置完毕后单击<确定>保存。
(1) 选择“资产中心 > 资产列表”,单击<新增>按钮添加如下资产。
(2) 选择“资产中心>区域配置”,单机<新增>按钮添加如下区域,并保存。
(1) 登录CSAP平台,选择“分析中心 >分析模型管理>UEBA模型”,勾选当前租户下所有UEBA规则,点击启用,启用完毕后单击<确定>。
(1) 用区域配置中的源IP,进行异常流量和互联网流量相应日志回放,在全文检索-网络流量日志-会话日志进行查看。
(2) 等待5分钟后,选择“分析中心 > 异常流量分析”,可以查看到生成的异常流量事件统计,异常流量页面可以进行下钻到异常流量详情页面,查看异常流量的详细信息。
(3) 互联网流量相应日志回放后,可以直接选择‘分析中心>互联网流量分析’,统计周期为近5小时,可查看生成的内网访问互联网的流量数据统计,列表信息中有详情按钮,可以点击柱状图或者点击详情按钮下钻到全文检索查看详细信息。
(4) 用添加的资产IP来作为目的IP,进行回放内网流量相应日志,回放后可以直接选择‘分析中心>内网流量分析’,统计周期为近5小时,查看生成的互联网访问内网和内网访问内网的流量数据统计,列表信息中有详情按钮,可以点击柱状图或者点击详情按钮下钻到全文检索查看详细信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
