- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-数据转发典型配置
本章节下载: 09-数据转发典型配置 (2.15 MB)
H3C SecCenter CSAP-iSOC安全威胁发现与运营管理平台
数据转发典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍安全威胁发现与运营管理平台数据转发功能的配置案例。安全威胁发现与运营管理平台支持配置数据转发任务,转发任务能够转发以下类型数据:从网络中采集各类原始日志、平台分析生成的安全告警、平台本身的操作日志、平台本身的系统日志。在配置数据转发任务后,安全威胁发现与运营管理平台支持将数据转发到第三方平台。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档举例接入的日志源设备均为H3C设备,其他品牌设备请以设备配套操作手册为准。若客户网络中存在其它第三方厂商日志不适配的情况,需要进行定制化开发时,请与当地销售人员联系。
本文档假设您已了解安全威胁发现与运营管理平台的相关特性。
用户期望CSAP-iSOC-1000/5000/9000和CSAP-NDR-100/200/300/600(后续文档统一使用CSAP简称代指安全威胁发现与运营管理平台)将数据转发到的平台统称为第三方平台。本文档中的配置举例以CSAP2平台采集CSAP1平台转发的数据举例。实际场景配置验证可根据需要自行配置三方平台采集转发数据。
· CSAP1添加威胁检测探针设备为被动日志源
· CSAP2添加安全威胁发现与运营管理平台1的WEB管理IP地址为被动日志源
· CSAP1添加数据转发任务,转发原始日志、安全告警、平台系统日志、平台操作日志给CSAP2
· 本举例是在安全威胁发现与运营管理平台的E1501版本上进行配置和验证
· 验证配置时请尽量保证安全威胁发现与运营管理平台、第三方平台、威胁检测探针、防火墙等设备系统时间一致。
登录安全威胁发现与运营管理平台1,进入菜单路径“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,添加被动日志源配置如下所示。
· 名称:自定义安全设备名称,便于识别日志源。
· IP:设备管理IP地址。
· 设备类型:选择“威胁检测探针”。
· 厂商名称:选择“H3C”。
· 设备型号:“CSAP-NTA系列”。
· 采集器名称:选择态势感知平台的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:默认配置“gbk”即可。
· 日志类型:使用缺省值 。
登录安全威胁发现与运营管理平台2,进入菜单路径“系统设置-数据源配置-日志源管理-被动采集”选择“新增”,添加被动日志源配置如下所示。
· 名称:自定义数据源名称,便于识别日志源。
· IP:安全威胁发现与运营管理平台对外通信的WEB管理IP地址。
· 设备类型:选择“日志分析”。
· 厂商名称:选择“H3C”。
· 设备型号:选择“北望平台”。
· 采集器名称:选择安全威胁发现与运营管理平台2的日志采集器。
· 日志类型:选择“Syslog”。
· 端口号:缺省值为514,与设备的日志服务器上报日志所用端口号配置一致。
· 字符集:设置编码格式为utf8
· 日志类型:使用缺省值,不需要配置。
登录安全威胁发现与运营管理平台1,进入菜单路径“系统设置-数据源配置-数据转发”选择“新增”,添加数据转发任务配置如下;
· 任务名称:自定义任务名称,便于识别转发任务。
· 目的IP:目的IP地址,一般填写需要转发的安全威胁发现运营管理平台2采集器地址。
· 目的端口:514,可根据实际场景需要配置对应端口。
· 日志协议:SysLog。
· 传输协议:UDP。
· 转发内容:勾选原始日志,点击配置转发字段如下图配置:
注:CSAP-NDR平台的原始日志中只有安全日志、网络流量日志和其他日志,如下图所示:
· 日志类型:左侧默认勾选全部
· 区域:举例配置默认区域,可根据实际场景配置指定转发日志
· 租户:举例配置默认租户,可根据实际场景配置指定转发租户
· 设备名称:举例配置威胁检测探针,可根据实际场景配置指定转发日志源
· 转发字段:举例默认配置全部,可根据实际场景配置指定转发字段
登录安全威胁发现与运营管理平台1,进入菜单路径“系统设置-数据源配置-数据转发”选择“新增”,添加数据转发任务配置如下;
· 任务名称:自定义任务名称,便于识别转发任务。
· 目的IP:目的IP地址,一般填写需要转发的安全威胁发现运营管理平台2采集器地址。
· 目的端口:514,可根据实际场景需要配置对应端口。
· 日志协议:SysLog。
· 传输协议:UDP。
· 转发内容:勾选安全告警,点击配置转发字段如下图配置:
· 日志类型:左侧默认勾选全部
· 区域:举例配置默认区域,可根据实际场景配置指定转发日志
· 租户:举例配置默认租户,可根据实际场景配置指定转发租户
· 设备名称:举例配置威胁检测探针,可根据实际场景配置指定转发日志源
· 转发字段:举例默认配置全部,可根据实际场景配置指定转发字段
登录安全威胁发现与运营管理平台1,进入菜单路径“系统设置-数据源配置-数据转发”选择“新增”,添加数据转发任务配置如下;
· 任务名称:自定义任务名称,便于识别转发任务。
· 目的IP:目的IP地址,一般填写需要转发的安全威胁发现运营管理平台2采集器地址。
· 目的端口:514,可根据实际场景需要配置对应端口。
· 日志协议:SysLog。
· 传输协议:UDP。
· 转发内容:勾选平台系统日志,点击配置转发字段如下图配置:
· 过滤条件:无需配置,默认配置空
· 转发字段:举例默认配置全部,可根据实际场景配置指定转发字段
登录安全威胁发现与运营管理平台1,进入菜单路径“系统设置-数据源配置-数据转发”选择“新增”,添加数据转发任务配置如下;
· 任务名称:自定义任务名称,便于识别转发任务。
· 目的IP:目的IP地址,一般填写需要转发的安全威胁发现运营管理平台2采集器地址。
· 目的端口:514,可根据实际场景需要配置对应端口。
· 日志协议:SysLog。
· 传输协议:UDP。
· 转发内容:勾选平台操作日志,点击配置转发字段如下图配置:
· 过滤条件:无需配置,默认配置空
· 租户:举例配置默认租户,可根据实际场景配置指定转发租户
· 转发字段:举例默认配置全部,可根据实际场景配置指定转发字段
(1) 构造威胁检测探针有检测到流量日志上报安全威胁发现运营管理平台1,并满足态势感知关联规则要求生成安全告警,登录安全威胁发现运营管理平台1进入菜单“分析中心-日志中心”以及“威胁中心-安全告警”下分别查看,有以下日志和安全告警。
(2) 登录安全威胁发现运营管理平台1进行操作,并构造平台系统日志生成,登录安全威胁发现运营管理平台1“系统设置-系统配置-操作日志”,切换操作日志和系统日志有以下日志记录:
(3) 登录安全威胁发现运营管理平台2进入菜单“分析中心-日志中心”下查看,有以下日志
· 采集到转发来的原始日志
· 采集到转发来的安全告警日志
· 采集到转发来的平台系统日志
· 采集到转发来的平台操作日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
