- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-响应编排典型配置
本章节下载: 14-响应编排典型配置 (11.14 MB)
H3C SecCenter CSAP-iSOC安全威胁发现与运营管理平台
响应编排典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍H3C安全威胁发现与运营管理平台(以下简称CSAP平台)响应编排功能的配置案例。
响应编排,通过集成多个设备和系统平台,如防火墙、入侵防御、交换机、路由器、Web应用防火墙系统、无线AC设备、ACG设备、iMC系统、终端安全管理系统、应用驱动园区网系统、应用驱动广域网系统等,下发联动动作,如:告警通知、处置工单、黑名单、访问控制、网站阻断、重定向、无线接入、上网阻断、用户下线、全网主机扫描、EDR告警提醒、EDR病毒隔离、EDR病毒查杀、EDR进程查杀、EDR主机封堵、EDR主机扫描、EDR网络隔离等。从而通过CSAP平台对安全告警进行告警处置与响应。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解CSAP平台和第三方平台产品功能特性。
如下图所示组网中,部署了CSAP平台,并且组网中安装了防火墙设备(以下简称FW设备),在CSAP平台上配置响应编排剧本及案件,联动下发至FW设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· FW设备配置接口地址并加入安全域,添加安全策略
· FW设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· FW设备开启安全域上黑名单过滤功能
· FW设备配置日志发送
· FW设备配置流量日志发送
· FW设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,FW设备型号为F5000-C,版本为7.1.064, Release 9342P2415。
CSAP平台、FW设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.0.118 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用admin账户登录FW设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00),修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略 > 安全策略”,点击<新建>按钮,新建安全策略,配置基本信息
¡ 名称:配置为“安全策略01”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 类型:选择“IPv4”
¡ 动作:选择“允许”
(5) 配置内容安全如下:
¡ IPS策略:选择“default”
¡ 防病毒策略:选择“default”
¡ 记录日志:选择“关闭”
¡ 开启策略匹配统计:选择“关闭”
¡ 启用策略:选择“开启”
(6) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
¡ 记录日志:全部勾选
(7) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(8) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(9) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置:
¡ 入侵防御日志-输出快速日志:勾选
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-输出系统日志:勾选
说明:配置完成后需点击“应用”生效。
(10) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 开启URL过滤日志:勾选
(11) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置:
¡ 是否将系统日志输出到日志缓冲区:勾选
(12) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
(13) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置:
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(14) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL过滤日志:勾选
¡ 入侵防御日志:勾选
(15) 选择“系统 > 会话设置 > 高级设置”,进行如下配置:
¡ 会话统计:开启
(16) 选择“系统 > 日志设置 > 会话日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(17) 点击<添加接口>,配置如下:
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(18) 使用账户admin登录FW设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产1,配置如下:
¡ 资产名称:配置为“资产172.0.0.1”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.1”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 防火墙应用卡片,侧边栏展开应用详情页面,单击<新增实例>按钮,新建防火墙设备实例,配置如下:
¡ 实例名称:配置为“FW118”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.118”
¡ Netconf over SSH参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 用户名:配置为“admin”, 为FW设备SSH登录账户
¡ 密码:配置为“Admin@123”,为FW设备SSH登录账户admin对应密码
¡ 端口:端口默认为“830”
(5) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(6) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“防火墙联动”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C 防火墙)”
¡ 选择设备:选择H3C防火墙应用实例,此例配置为“FW118”
黑名单动作配置:
¡ 阻断对象:缺省选择“关注点IP”
¡ 阻断方向:缺省选择“发起方向”
¡ 老化时间:配置为“600”秒
访问控制动作设置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(H3C 防火墙)”
¡ 选择设备:选择H3C防火墙应用实例,此例配置为“FW118”
¡ 阻断对象类型:选择“IP”
(8) 选择“调度中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“防火墙联动案件”
¡ 是否启用:配置为“是”
¡ 数据来源:默认选择为“安全告警”
¡ 剧本名称:配置为“防火墙联动”
¡ 剧本执行:配置为“自动执行”
执行条件设置:
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 确信度:此例配置为全选
¡ 等级:此例配置为全选
(1) 构造“资产172.0.0.1”的安全告警,告警规则名称为“外网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(3) 单击操作栏<查看>,可查看动作具体执行情况
(4) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s
(5) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
(6) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表
如下图所示组网中,部署了CSAP平台,并且组网中安装了入侵防御设备(以下简称IPS设备),在CSAP平台上配置响应编排剧本及案件,联动下发至IPS设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· IPS设备配置接口地址并加入安全域,添加安全策略
· IPS设备开启IPS策略、防病毒策略、URL过滤策略并在安全策略中引用
· IPS设备开启安全域上黑名单过滤功能
· IPS设备配置日志发送
· IPS设备配置流量日志发送
· IPS设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CAS平台应用管理配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,IPS设备型号为T1080,版本为7.1.064, Release 8560P27 。
CSAP平台、IPS设备之间网络互通。
(1) 配置http服务,使管理PC能够通过web登录设备进行管理
开启http服务并创建管理用户
[H3C]ip http enable
[H3C]ip https enable
[H3C]local-user admin
[H3C-luser-manage-admin]password simple Admin@123
[H3C-luser-manage-admin]service-type http https
[H3C-luser-manage-admin]authorization-attribute user-role network-admin
[H3C-luser-manage-admin]authorization-attribute user-role network-operator
(2) 配置接内外网接口并加到安全域
[H3C]int GigabitEthernet 1/0/0
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 186.64.6.172 16
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip address 172.16.0.1 24
[H3C] int GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]port link-mode route
[H3C-GigabitEthernet1/0/2]ip address 220.0.0.1 24
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/1
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface GigabitEthernet 1/0/2
(3) 使用账户admin登录IPS设备管理平台,选择“系统 > 维护 > 系统设置 > 日期和时间”,配置时区,时区:北京(GMT+08:00) ,修改完成后检查系统时间正常
(4) 选择“策略 > 安全策略”,点击<新建>按钮,新建安全策略
¡ 名称:配置为“安全策略01”
¡ 类型:选择“IPv4”
¡ 源安全域:选择“Trust”
¡ 目的安全域:选择“Untrust”
¡ 动作:选择“允许”
¡ 入侵防御配置文件:选择“default”
¡ 防病毒配置文件:选择“default”
¡ 记录日志:选择“关闭”
¡ 启用策略:选择“开启”
(5) 点击“URL过滤策略”下拉选择,点击<新建URL过滤策略>,配置如下:
¡ 名称:配置为“URL过滤”
¡ 缺省动作:选择“允许”
¡ 记录日志:勾选
¡ URL过滤分类:除自定义分类外全部勾选
(6) 选择新建的URL过滤策略并引用
说明:1)安全策略记录日志开启会影响设备性能,默认不进行开启。
2)安全策略保存后在安全策略页面需进行安全策略配置“提交”。
(7) 选择“策略 > 安全防护 > 黑名单”,点击<开启全局应用>,开启安全域上黑名单过滤功能,配置如下:
(8) 选择“系统 > 日志设置 > 威胁日志”,进行如下配置:
¡ 入侵防御日志-日志类型:勾选为“快速日志”
¡ 入侵防御日志-日志输出格式:选择“标准格式”
¡ 入侵防御日志-输出中文日志:勾选
¡ 防病毒日志-日志类型:勾选为“快速日志”
说明:配置完成后需点击“应用”生效。
(9) 选择“系统 > 日志设置 > URL过滤日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 开启URL过滤日志:勾选
(10) 选择“系统 > 日志设置 > 基本配置 > 系统日志”,进行如下配置:
¡ 是否将系统日志输出到日志缓冲区:勾选
(11) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
(12) 选择“系统 > 日志设置 > 基本配置 > 快速日志”,进行如下配置:
¡ 日志信息时间戳:选择“设备本地时间”
¡ 日志信息的源IP地址:默认使用管理口IP地址,不进行修改;实际选择与被动采集器IP路由可达地址
(13) 点击<新建>,新建日志主机,配置如下:
¡ 日志主机:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口号:缺省为“514”
¡ URL过滤日志:勾选
¡ 入侵防御日志:勾选
(14) 选择“系统 > 会话设置 > 高级设置”,进行如下配置:
¡ 会话统计:开启
(15) 选择“系统 > 日志设置 > 会话日志”,进行如下配置:
¡ 日志类型:选择“快速日志”
¡ 记录删除会话的日志:勾选
¡ 流量阈值:选择“字节流量”,配置为1兆字节
(16) 点击<添加接口>,配置如下:
¡ IP类型:选择“IPv4”
¡ 接口:选择“GE1/0/1”(实际按照需检测流量的接口设置)
¡ 入方向:勾选
¡ 出方向:勾选
(17) 使用admin账户登录IPS设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产2,配置如下:
¡ 资产名称:配置为“资产172.0.0.2”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.2”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C IPS入侵防御系统应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建入侵防御设备实例,配置如下:
¡ 实例名称:配置为“IPS172”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.6.172”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为IPS设备SSH登录账户
¡ 密码:配置为“Admin@123”,为IPS设备SSH登录账户admin对应密码
(5) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“IPS172”
¡ IP:配置为“186.64.6.172”
¡ 设备类型:选择“入侵防御系统”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“T1000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(6) 设置端口信息,配置如下:
¡ 上报协议:配置为“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“IPS联动剧本”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C IPS 入侵防御系统)”
¡ 选择设备:选择H3C IPS入侵防御系统应用实例,此例配置为“IPS172”
黑名单动作配置:
¡ 阻断对象:缺省选择“关注点IP”
¡ 阻断方向:缺省选择“发起方向”
¡ 老化时间:未配置,为空则表示黑名单永不老化
访问控制动作设置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(H3C IPS 入侵防御系统)”
¡ 选择设备:选择H3C IPS入侵防御系统应用实例,此例配置为“IPS172”
¡ 阻断对象类型:选择“IP”
(1) 构造“资产172.0.0.2”的安全告警,告警规则名称为“外网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“IPS联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录IPS设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.2,添加至黑名单列表,无老化时间
(6) 登录IPS设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 交换机设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
说明:交换机默认业务配置已互通。
本举例是在CSAP的E1501版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.070 E7562。
CSAP平台、交换机设备之间网络互通。
(1) 使用admin账户登录交换机设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产3,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 交换机应用卡片,侧边栏展示应用详情页面,单击<新增实例>按钮,新建交换机设备实例,配置如下:
¡ 实例名称:配置为“交换机53”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.8.53”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为交换机设备SSH登录账户admin对应密码
(5) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“交换机联动”
¡ 数据来源:配置为“安全告警”
黑名单执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C 交换机)”
¡ 选择设备:选择H3C交换机应用实例,此例配置为“交换机53”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(H3C 交换机)”
¡ 选择设备:选择H3C交换机应用实例,此例配置为“交换机53”
访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.3”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“交换机联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3800和3801的规则组,规则数量分别为1
(6) 点击3800规则数量,查看规则组信息
(7) 点击3801规则数量,查看规则组信息
如下图所示组网中,部署了CSAP平台,并且组网中安装了路由器设备,在CSAP平台上配置响应编排剧本及案件,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· 路由器设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
说明:路由器默认业务配置已互通。
本举例是在CSAP的E1501版本上进行配置和验证的,路由器设备型号为VSR1000,版本为7.1.064, Release 0621P18。
CSAP平台、路由器设备之间网络互通。
(1) 使用admin账户登录路由器设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产4,配置如下:
¡ 资产名称:配置为“资产172.0.0.4”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.4”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 路由器应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建路由器设备实例,配置如下:
¡ 实例名称:配置为“路由器”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.200.6”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为路由器设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为路由器设备SSH登录账户admin对应密码
(5) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,配置如下:
¡ 剧本名称:配置为“路由器联动”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C 路由器)”
¡ 选择设备:选择H3C路由器应用实例,此例配置为“路由器”
黑名单动作配置:
¡ 阻断对象:缺省选择“关注点IP”
¡ 阻断方向:缺省选择“发起方向”
¡ ACL编号:默认配置为“3800”,可编辑修改,取值范围为“3000-3999”
访问控制执行目标配置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(H3C 路由器)”
¡ 选择设备:选择H3C路由器应用实例,此例配置为“路由器”
访问控制动作配置:
¡ ACL编号:默认配置为“3801”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.4”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“路由器联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 使用admin账户登录路由器设备后台,输入display acl 3800,查看ACL编号为3800的规则组信息
(6) 输入display acl 3801,查看ACL编号为3801的规则组信息
如下图所示组网中,部署了CSAP平台,并且组网中安装了交换机设备,在CSAP平台上开启重定向配置,配置响应编排剧本及案件,联动下发至交换机设备,实现CSAP平台自动/手动下发重定向动作策略。
· 交换机设备配置Netconf认证开启
· CSAP平台Web端口修改
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台开启重定向配置
· CSAP平台编排剧本及案件配置
说明:交换机默认业务配置已互通,需检查用户是否存在ssh或者http/https权限。
本举例是在CSAP的E1501版本上进行配置和验证的,交换机设备型号为S10500,版本为7.1.070 E7562。
CSAP平台、交换机设备之间网络互通。
(1) 使用admin账户登录交换机设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“系统设置 > 全局配置 > 平台网络设置 > Web端口设置”,修改默认端口“443”为其他可配置端口,此处配置为“449”
(2) 选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(3) 选择“资产中心 > 资产列表”页面,单击<新增>按钮新建资产4,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(4) 单击资产IP <新增> 按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(5) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 交换机应用卡片,侧边栏展示应用详情页面,单击<新增实例>按钮,新建交换机设备实例,配置如下:
¡ 实例名称:配置为“交换机53”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.8.53”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为交换机设备SSH登录账户admin对应密码
(6) 选择“调度中心 > 剧本管理”页面,单击<重定向配置>按钮,开启重定向配置保存,配置如下:
¡ 是否启用:默认配置为“否”,切换为“是”,开启重定向配置
¡ 杀毒软件服务器IP:为断网公告页面提供下载杀毒软件功能的服务器IP地址,本例配置为“186.64.2.17”,此IP为下发重定向动作后的例外IP,保证终端主机下载杀毒软件时不被重定向。
¡ 杀毒软件下载链接:断网公告页面中的杀毒软件地址链接,本例配置为“http://186.64.2.17”
¡ 备注信息:断网公告页面的备注信息,本例配置为“请下载杀毒软件安装,并进行全盘扫描查杀!”
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置重定向动作,配置如下:
¡ 剧本名称:配置为“重定向联动剧本”
¡ 数据来源:配置为“安全告警”
重定向执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“重定向(H3C 交换机)”
¡ 选择设备:选择H3C交换机应用实例,此例配置为“交换机53”
重定向动作配置:
¡ 阻断对象:选择“关注点IP”
¡ ACL编号:默认配置为“3900”,可编辑修改,取值范围为“3000-3999”
(1) 构造“资产172.0.0.3”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“重定向联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录交换机设备,点击“资源 > ACL > IPv4”,查看IPv4 ACL组存在ACL编号为3900的规则组,规则数量分别为1
(6) 点击3900规则数量,查看规则组信息
(7) 使用admin账户登录交换机设备后台,输入display acl 3900,查看ACL编号为3900的规则组信息
(8) 查看主机172.0.0.3在做网站访问时,跳转至断网公告页面
如下图所示组网中,部署了CSAP平台、应用驱动广域网系统(即为AD-WAN网络控制器,以下简称为AD-WAN),并且组网中安装了虚拟路由器设备(以下简称路由器),在CSAP平台上配置响应编排剧本及案件,关联AD-WAN网络控制器设备,联动下发至路由器设备,实现CSAP平台自动/手动下发黑名单策略。
说明:路由器设备需支持flowspec功能。
· AD-WAN网络控制器安装wBGP设备,进行wBGP配置并上线
· 路由器设备进行flowspec配置,关联wBGP设备
· AD-WAN新增路由器设备为物理网络设备,配置为BGP邻居设备并上线
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,控制器所用的UC底座版本为E0709, wBGP设备版本为E1101 ,路由器设备产品型号为VSR1000,版本为7.1.064 Release 1340P19。
· CSAP平台、控制器、路由器设备之间网络互通
· wBGP设备安装时需设置IP,IP与控制器互通,且地址掩码与UC底座一致
· 控制器UC底座的3节点需设置为CPU直通模式
(1) 登录底座平台(https://北向IP:30000),在“系统 > 部署管理”中点击 <安装> 按钮跳转至上传安装包页面,随后点击 <上传> 按钮选择需上传的wBGP安装包,上传完毕后点击 <下一步> 进入组件择页面,在“组件选择 > 控制组件 > 广域网承载”中勾选wBGP,并选择刚刚上传的安装包文件
(2) 无需进行参数配置,点击 <下一步> 进入网络配置环节,在网络配置中创建指定数量的网络和子网
无需进行节点绑定,点击 <下一步> 进入网络绑定环节,在网络绑定页面绑定网络节点后,点击 <下一步> 进入参数确认环节,在参数确认页面可修改容器内网卡 IP地址(即为wBGP设备IP),确认无误后开始部署,部署完成后可在“系统 > 部署管理 > 广域网承载”点击wBGP设备操作栏 <详情> 按钮,查看wBGP设备详情
(3) 在“自动化 > 广域网络 > 参数配置 > BGP设备配置”中点击 <增加> 按钮,进行wBGP设备新增,配置项如下,点击<确认>,在设备列表中勾选新增的设备行,点击批量上线后等待wBGP设备上线
¡ 管理IP:配置“186.64.100.154”,为wBGP设备管理地址IP
¡ router-id:配置“186.64.100.154”,为wBGP设备BGP进程的routerId
(4) 登录路由器设备后台,进行flowspec配置,关联wBGP设备,此处以ipv4为例
<H3C>sys
[H3C]bgp 100
[H3C-bgp-default]peer 186.64.100.154 as-number 100
[H3C-bgp-default] address-family ipv4 flowspec
[H3C-bgp-default-flowspec-ipv4] peer 186.64.100.154 enable
[H3C-bgp-default-flowspec-ipv4] peer 186.64.100.154 validation-disable
(5) 登录路由器设备网页,在“高级选项 > SNMP”中进行配置,配置项如下
¡ SNMP:选择“开启”
¡ SNMP版本:选择“SNMPv1和SNMPv2c”
¡ SNMP口令:配置只读口令为“public”,配置读写口令为“private”
(6) 选择控制器“自动化 > 广域网络 > 模板配置 > SNMP模板”中进行SNMP模板配置,点击<新增>按钮,增加SNMP模板,内容与路由器SNMP中填写内容匹配,配置项如下
¡ 模板名称:配置为“111”
¡ SNMP版本号:选择“v2c”
¡ 只读团体字:配置为“public”
¡ 读写团体字:配置为“private”
(7) 选择控制器“自动化 > 广域网络 > 物理网络 > 设备 > 设备管理”,点击<增加>,添加设备上线,配置项如下,点击<确定>,等待设备上线
¡ 设备名称:配置为“VSR1000”
¡ IP地址:配置为“186.64.200.5”,为路由器IP地址
(8) 选择控制器“自动化 > 广域网络 > 参数配置”中新增wBGP邻居,配置项如下,点击<确定>后,等待设备上线
¡ 邻居名称:配置为“f”
¡ AS号:配置为“100”,为邻居设备的AS号
¡ 邻居类型:选择“FLOWSPEC”
¡ Flowspec路由:配置为“186.64.200.5:1”,为FlowSpec邻居的路由标识符
¡ 主邻居设备:配置为“186.64.200.5”,为物理网络设备IP
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择应用驱动广域网系统应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建AD-WAN控制器设备实例,配置如下:
¡ 实例名称:此处配置为“AD-WAN”
¡ 所属区域:此例配置为“区域1”
¡ URL地址:此处配置为“http://186.64.100.54:30000”
(5) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(6) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(7) 选择“调度中心 > 剧本管理”,新增剧本,配置黑名单动作,配置项如下:
¡ 剧本名称:配置为“AD-WAN联动”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(应用驱动广域网系统)”
¡ 选择设备:选择应用驱动广域网系统应用实例,此例配置为“AD-WAN”
黑名单动作配置:
¡ 阻断对象:缺省选择“关注点IP”
¡ 阻断方向:缺省选择“发起方向”
¡ 纳管设备:选择“VSR1000-6”
(1) 构造资产“172.0.0.3”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“AD-WAN联动”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录控制器,点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > 行为规则”,列表中存在名称为 “csap_apply_rule”,“是否丢弃”为“是”的行为规则
(6) 点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > 匹配规则”,列表中存在以“172.0.0.3”为源子网的匹配规则“match_src_172.0.0.3”
(7) 点击“自动化 > 广域网络 > 策略管理 > IP网络优化 > FlowSpec策略管理”,列表中存在绑定匹配规则“match_src_172.0.0.3”、行为规则“csap_apply_rule”的策略,FlowSpec策略下发成功
如下图所示组网中,部署了CSAP平台、应用驱动园区网系统(即为AD-Campus网络控制器,以下简称为AD-Campus),并且组网中安装了交换机设备(以下简称交换机),在CSAP平台上配置响应编排剧本及案件,关联AD-Campus设备,联动下发至交换机设备,实现CSAP平台自动/手动下发黑名单或访问控制策略。
· 登录需纳管设备后台,确认设备角色及型号
· AD-Campus纳管交换机设备,并激活该设备
· CSAP平台系统配置-外部设备管理进行AD-Campus 配置
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,控制器所用的UC底座版本为E0713, 园区网络版本为E6701 ,交换机设备产品型号为H3C S5560X-30C-EI-6528,版本为7.1.070 Release 6528。
CSAP平台、控制器、交换机设备之间网络互通。
(1) 登录底座平台(http://北向IP:30000),“自动化>园区网络>应用策略>QoS”中点击<增加>新增应用策略,配置项如下
¡ 名称:配置为“111”,为该条应用策略名称
¡ 动态匹配:选择“开启”
(2) 在增加应用策略页面点击<增加>新增流量策略,配置项如下,配置完成后点击<确定>回到增加应用策略页面,再点击<确定>完成新增应用策略
¡ 名称:配置为“111”,为该条流量策略名称
¡ 应用分类:下拉选择“CYBER-THREAT”
¡ 方向:下拉选择“IN”
(3) 在“自动化>园区网络>Fabrics”中点击<增加>,进行Fabric配置,新增Fabric,配置项如下
¡ 名称:配置为“111”,为该条Fabric名称
¡ AS号:配置为“100”
¡ 业务自动化:选择“开启”
¡ 隔离域:下拉选择“isolate_domain1(IP策略)”
¡ STP黑洞探测:选择“关闭”
¡ 组播网络:选择“关闭”
¡ DHCP Snooping Enanle Vlan范围:默认配置为“2-4094”
¡ Access端口隔离:选择“关闭”
¡ 网络类型:选择“VXLAN”
¡ Underlay网络固化:选择“关闭”
¡ 业务随行:选择“开启”
¡ LLDP跨域检测:选择“关闭”
¡ 延迟分配Access接口VLAN:选择“关闭”
¡ Voice VLAN:选择“关闭”
¡ ONU端口隔离:选择“关闭”
(4) 可不在此处进行设备纳管,直接点击<下一步>
(5) 可不在此处进行设备组配置,直接点击<完成>即可
(6) 登录所需纳管的交换机设备,使用命令:disp vcf-fabric role查看设备角色,如设备角色非leaf时,使用vcf-fabric role leaf更改设备角色为leaf,并使用命令dis device,查看设备型号
(7) 使用dis cu | inc netconf命令,查看设备netconf配置,使用dis cu | inc snmp命令,查看设备SNMP配置,查看配置读写团体字,或可登录设备web服务,选择“网络>服务>SNMP>团体 ”,查看配置读写团体字
(8) 选择控制器“自动化>园区网络>网络参数>参数>设备控制协议模板 ”,点击<增加>新增模板,配置项如下
¡ 名称:配置为“111”
¡ 所属Fabric:下拉选择“111”
¡ SNMP版本:选择“V2”
¡ 只读团体字:配置为“public”,与交换机中配置的只读团体字保持一致
¡ 读写团体字:配置为“private”,与交换机中配置的读写团体字保持一致
¡ 超时时间(秒):配置为“15”
¡ 用户名:配置为“admin”,与交换机登录用户名保持一致
¡ 密码:配置为“Admin@123456”,与交换机登录密码保持一致
¡ 使能Telnet:选择“是”
¡ Telnet端口:默认配置为“23”
¡ SSH端口:默认配置为“22”
(9) 选择控制器“自动化>园区网络>网络设备>交换设备”,点击<增加>新增交换设备,配置项如下,点击确认后,等待交换设备激活
¡ 所属Fabric:下拉选择“111”
¡ 设备角色:下拉选择“leaf”
¡ 管理IP:配置为“186.64.8.53”,与交换机设备IP保持一致
¡ Underlay IP:配置为“186.64.8.53”,与交换机设备上LoopBack口地址保持一致
¡ 设备系列:下拉选择“H3C S5500”
¡ 设备控制协议模板:下拉选择“111”
¡ 管理网绑定默认VPN:选择“是”
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产172.0.0.3”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.3”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择应用驱动园区网系统应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建AD-Campus网络控制器设备实例,配置如下:
¡ 实例名称:配置为“AD-Campus”
¡ 所属区域:配置为“区域1”
¡ IP地址:配置为“186.64.6.164”
(5) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 交换机应用卡片,侧边栏展示应用详情页面,单击<新增实例>按钮,新建交换机设备实例,配置如下:
¡ 实例名称:配置为“交换机53”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.8.53”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ SOAP端口号:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为交换机设备SSH登录账户
¡ 密码:配置为“Admin@123456”,为交换机设备SSH登录账户admin对应密码
(6) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(7) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(8) 选择“调度中心 > 剧本管理”,新增剧本,配置黑名单动作,配置项如下
¡ 剧本名称:配置为“黑名单-AD-Campus”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(应用驱动园区网系统)”
¡ 选择设备:选择应用驱动园区网系统应用实例,此例配置为“AD-Campus”
黑名单动作配置:
¡ 阻断对象:勾选“关注点IP”
¡ 阻断方向:勾选“发起方向”
¡ 纳管设备:下拉选择“交换机53”
(9) 选择“调度中心 > 剧本管理”,新增剧本,配置访问控制动作,配置项如下
¡ 剧本名称:配置为“访问控制-AD-Campus”
¡ 数据来源:配置为“安全告警”
访问控制动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(应用驱动园区网系统)”
¡ 选择设备:选择应用驱动园区网系统应用实例,此例配置为“AD-Campus”
访问控制动作配置:
¡ 纳管设备:下拉选择“交换机53”
(1) 构造资产“172.0.0.3”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“黑名单-AD-Campus”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录交换机,点击“资源>ipv4”,查看新增一条ACL策略,策略中规则中源、目的IP与CSAP平台下发剧本的安全告警中源、目的IP保持一致
(1) 构造资产“172.0.0.3”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状态为“未执行”
(2) 单击操作栏<编排>,选择剧本“访问控制-AD-Campus”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录交换机,点击“资源>ipv4”,查看新增一条ACL策略,策略中规则中源、目的IP与CSAP平台下发剧本的安全告警中源、目的IP保持一致
如下图所示组网中,部署了CSAP平台,并且组网中安装了Web应用防火墙设备(以下简称WAF设备),在CSAP平台上配置响应编排剧本及案件,联动下发至WAF设备,实现CSAP平台自动/手动下发网站阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,WAF设备型号为W2000-V500-G2,版本为Version 3.1, E6203P04。
CSAP平台、WAF设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产5,配置如下:
¡ 资产名称:配置为“资产172.0.0.5”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.5”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C Web应用防火墙应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建Web应用防火墙设备实例,配置如下:
¡ 实例名称:配置为“WAF”
¡ 所属区域:选择“区域1”
¡ URL地址:根据设备URL进行配置,本例配置“https://186.64.6.180:443”
(5) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置网站阻断动作,配置如下:
¡ 剧本名称:配置为“WAF联动剧本”
¡ 数据来源:配置为“安全告警”
网站阻断动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“网站阻断(H3C Web应用防火墙)”
¡ 检测方向:缺省选择“源”
¡ 选择设备:选择H3C Web应用防火墙应用实例,此例配置为“WAF”
(1) 构造“资产172.0.0.5”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”。
(2) 单击操作栏<编排>,选择剧本“WAF联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录WAF设备,点击“访问控制 > 黑名单”,查看策略下发成功
如下图所示组网中,部署了CSAP平台,并且组网中安装了无线AC设备,组网中存在终端主机登录至无线AC设备。在CSAP平台上配置响应编排剧本及案件,实现CSAP平台自动/手动下发无线接入策略。
· 用户终端通过无线网接入无线AC设备
· CSAP平台资产配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,无线AC设备型号为WX2560H,版本为7.1.064, Release 5436,AP型号为WA6320,版本为7.1.064, Release 2436。
CSAP平台、无线AC设备及终端主机之间网络互通。
(1) 登录无线AC设备管理平台,选择“无线配置 > AP管理”,查看AP服务状态在线,状态标记为蓝色时表示在线
(2) 选择“无线配置 > 无线网络”,查看“csap-app”无线服务状态开启,状态标记为蓝色时表示开启
(3) 使用admin用户登录设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。
(1) 手机终端连接无线网络“csap-app”,在手机端能够查看网络接入IP地址
(2) 登录无线AC设备管理平台,选择“监控 > 客户端 > 客户端数量”,查看客户端详情与接入网络的终端设备信息一致
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产6,配置如下:
¡ 资产名称:配置为“phone”
¡ 资产类型:选择“终端/移动终端”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.200.92”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择AC 无线控制器应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建无线AC设备实例,配置如下:
¡ 实例名称:配置为“无线AC”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.20”
¡ Netconf over SOAP参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 访问URL协议:默认配置为“HTTP”,可切换为“HTTPS”
¡ 端口:当协议为“HTTP”时,端口默认为“80”,当协议为“HTTPS”时,端口默认为“832”
¡ 访问路径:默认配置“/soap/netconf”
¡ 用户名:配置为“admin”, 为无线AC设备登录账户
¡ 密码:配置为“Admin@12345”,为无线AC设备登录账户admin对应密码
(5) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置无线接入动作,配置如下:
¡ 剧本名称:配置为“无线AC联动剧本”
¡ 数据来源:配置为“安全告警”
无线接入动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“无线接入(AC无线控制器)”
¡ 选择设备:选择AC无线控制器应用实例,此例配置为“无线AC”
无线接入动作配置:
¡ 地址类型:缺省选择“IP”
¡ 老化时间:此例配置为“30”秒
(6) 选择“调度中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“无线AC”
¡ 是否启用:配置为“是”
¡ 数据来源:选择“安全告警”
¡ 剧本名称:配置为“无线AC联动剧本”
¡ 剧本执行:配置为“手动执行”
执行条件设置
¡ 规则名称:配置为“内网漏洞利用攻击”
¡ 确信度:此例配置为全选
¡ 等级:此例配置为全选
(1) 构造资产“phone”的安全告警1,规则名称为“内网漏洞利用攻击”。 点击“调度中心 > 响应编排 > 案件管理”,查看“无线AC”案件命中数为1,安全告警命中案件成功
(2) 点击“威胁中心 > 安全告警”,查看安全告警1的编排状态为待执行。待执行状态表示安全告警已匹配到案件,但未下发执行
(3) 点击操作栏<编排>按钮,弹出剧本下发确认提示框,点击<确认下发>执行剧本
(4) 单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(5) 单击操作栏<查看>,可查看动作具体执行情况
(6) “无线接入”动作下发执行成功后,手机终端再次接入无线网络,提示“无法加入网络‘csap-app‘”
(7) 登录无线AC设备管理平台,选择“监控 > 客户端>客户端数量”,查看客户端下线成功
(8) 老化时间结束后,客户端再次登录成功
如下图所示组网中,部署了CSAP平台,并且组网中安装了ACG设备,在CSAP平台上配置响应编排剧本及案件,联动下发至ACG设备,实现CSAP平台自动/手动下发上网阻断策略。
· CSAP平台配置区域、资产配置
· CSAP平台应用管理配置
· CSAP平台编排剧本配置
本举例是在CSAP的E1501版本上进行配置和验证的,ACG设备型号为ACG1000-AK210,版本为Version 1.10,Release 6612。
CSAP平台、ACG设备之间网络互通。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产7,配置如下:
¡ 资产名称:配置为“资产172.0.0.6”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“172.0.0.6”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C ACG应用控制网关应用卡片,侧边栏展开应用详情页面,单击<新增实例>按钮,新建ACG设备实例,配置如下:
¡ 实例名称:配置为“ACG”
¡ 所属区域:选择“区域1”
¡ URL地址:根据设备URL进行配置,本例配置“https://186.64.8.54:443”
¡ 账号:配置为“admin”, 为ACG设备登录账户
¡ 密码:配置为“Admin@123”,为ACG设备登录账户admin对应密码
(5) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置上网阻断动作,配置如下:
¡ 剧本名称:配置为“ACG联动剧本”
¡ 数据来源:配置为“安全告警”
上网阻断动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“上网阻断(H3C ACG应用控制网关)”
上网阻断动作配置:
¡ 阻断对象:缺省选择“源IP”
¡ 选择设备:选择H3C应用控制网关实例,此例配置为“ACG”
¡ 老化时间:配置为“5分钟”
(1) 构造“资产172.0.0.6”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 单击操作栏<编排>,选择剧本“ACG联动剧本”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ACG设备,点击“数据中心 > 系统监控 > 黑名单记录”,查看策略下发成功
如下图所示组网中,部署了CSAP平台,并且旁挂部署了智能管理平台(以下简称IMC平台),组网中存在EAD用户通过iNode接入,在CSAP平台上配置响应编排剧本及案件,当威胁告警发生时,下发用户下线动作至IMC平台,强制用户下线。
· IMC平台增加用户信息
· EAD用户接入IMC平台
· CSAP平台配置用户网段
· CSAP平台应用管理配置
· CSAP平台编排剧本配置
· CSAP平台编排案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,IMC平台版本为iMC PLAT 7.3 (E0506),EAD安全策略版本为iMC EAD 7.3 (E0504)。
CSAP平台、IMC平台及EAD用户之间网络互通。
(1) 登录IMC平台,选择“系统管理 > 分组管理 > 用户分组”, 点击<增加>,增加用户分组,配置如下:
¡ 分组名称:配置为“用户组1”
(2) 选择“用户 > 接入策略管理 > 接入策略管理”,点击<增加>,增加接入策略,配置如下:
¡ 接入策略名:配置为“策略1”
¡ 业务分组:缺省配置为“未分组”
说明:未列举配置项,默认使用缺省配置。
(3) 选择“用户 > 接入策略管理 > 接入服务管理”,点击<增加>,增加接入服务,配置如下:
¡ 服务名:配置为“接入服务1”
¡ 业务分组:缺省配置“未分组”
¡ 缺省接入策略:缺省配置“策略1”
(4) 选择“用户 > 用户管理 > 增加用户”,配置如下:
¡ 用户姓名:配置为“User1”
¡ 证件号码:配置为“3864521”
¡ 用户分组:选择“用户组1”
(5) 选择“用户 > 接入用户管理 > 接入用户”,点击<增加>,增加接入用户,配置如下:
¡ 用户姓名:选择已配置用户“User1”
¡ 账号名:配置为“user”
¡ 密码:配置为“123456”
¡ 密码确认:再次输入密码“123456”
¡ 允许用户修改密码:勾选
¡ 接入服务:选择 “接入服务1”
(1) 登录主机,打开iNode智能客户端,配置Portal连接如下:
¡ 服务器:配置为IMC平台管理地址,此例配置为“186.64.2.2”
¡ 用户名:配置为“user”
¡ 密码:配置为“123456”
¡ 保存用户名:勾选
¡ 保存密码:勾选
(2) 登录IMC平台,选择“用户 > 接入用户管理 > 在线用户”,查看账号名“user”接入用户在线
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,配置如下:
(2) 选择“资产中心 > 资产列表”,单击<新增>,增加资产,配置如下:
¡ 资产名称:配置为“10.1.0.1”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“10.1.0.1”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C iMC EIA终端智能接入应用卡片,侧边栏展示应用详情,单击<新增实例>按钮,新建iMC设备实例,配置如下:
¡ 实例名称:配置为“iMC”
¡ 所属区域:选择“区域1”
¡ URL地址:根据设备URL进行配置,本例配置“http://186.64.2.2:8080”
¡ 账号:配置为“admin”, 为iMC设备登录账户
¡ 密码:配置为“Admin@123”,为iMC设备登录账户admin对应密
(5) 选择“调度中心 > 剧本管理”,单击<新增>,添加用户下线动作,配置如下:
¡ 剧本名称:配置为“iMC联动剧本”
¡ 数据来源:配置为“安全告警”
用户下线动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“用户下线(H3C iMC EIA终端智能接入)”
黑名单动作配置:
¡ 下线对象:缺省选择“源IP”
¡ 选择设备:选择H3C iMC EIA终端智能接入应用实例,此例配置为“iMC”
(6) 登录CSAP平台,选择“调度中心 > 响应编排 > 案件管理”,单击<新增>,创建案件,配置如下
¡ 案件名称:配置为“IMC联动案件”
¡ 是否启用:选择“是”
¡ 数据来源:配置为“安全告警”
¡ 剧本名称:选择“IMC联动剧本”
¡ 剧本执行:选择“自动执行”
执行条件设置
¡ 规则名称:选择“内网漏洞利用攻击”
¡ 确信度:此例配置为全选
¡ 等级:此例配置为全选
(1) 构造用户“10.1.0.1”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(3) 单击操作栏<查看>,可查看动作具体执行情况
(4) 登录用户主机,查看用户收到下线请求,用户离线
如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台ESM(以下简称ESM)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁告警发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM平台配置日志上报
· ESM平台配置日志服务器
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,ESM平台版本为Version 3.1, ESS 6902P06。
CSAP平台、ESM平台及终端主机之间网络互通。
(1) 登录至客户端下载中心,下载Agent。
(2) 安装Agent客户端,登录ESM平台,选择终端管理,查看客户端主机在线;
(1) 登录ESM平台,选择“系统管理 > 外部接口 > syslog上报设置”,选择客户端上报内容
¡ 数据上报开关:全部开启
(2) 选择“系统管理 > 外部接口 > syslog服务配置”,配置日志上报的服务器信息
¡ Syslog服务器IP:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口:配置为“514”
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产9,配置如下:
¡ 资产名称:配置为“终端186.64.100.50”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.50”
¡ 管理IP:默认配置为“是”
(4) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮新建日志源,配置如下:
¡ 名称:配置为“ESM”
¡ IP:配置为“186.64.2.17”,ESM平台管理地址
¡ 设备类型:配置为“终端安全”
¡ 厂商:配置为“H3C”
¡ 设备型号:配置为“SecCenter CSAP-ESM”
¡ 采集器名称:配置为“186.64.132.16:passive”
¡ 采集器IP:配置为“186.64.132.16”
(5) 设置端口信息,配置如下
¡ 上报协议:配置为“syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(6) 选择“调度中心 > 响应编排 > 应用管理”页面,选择终端安全管理系统(型号:H3C SecCenter CSAP-ESM)应用卡片,侧边栏展示应用详情,单击<新增示例>按钮,配置终端安管理系统ESM如下:
¡ 实例名称:配置为“ESM”
¡ 所属区域:选择“区域1”
¡ URL:配置为“https://186.64.2.17:7443”
¡ 账号:配置为“admin”,为ESM系统登录用户
¡ 密码:配置为“Admin@12345”,为ESM系统登录用户的密码
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“全网主机扫描及告警”
¡ 数据来源:配置为“安全告警”
全网主机扫描动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“全网主机扫描(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR告警提醒动作设置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR告警提醒(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR告警提醒动作配置:
¡ 老化时间:配置为“1”小时
(8) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒查杀”
¡ 数据来源:配置为“安全告警”
EDR病毒查杀动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR病毒查杀(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR病毒查杀动作配置:
¡ 老化时间:配置为“1”小时
(9) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒隔离”
¡ 数据来源:配置为“安全告警”
EDR病毒隔离动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR病毒隔离(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR病毒隔离动作配置:
¡ 老化时间:配置为“1”小时
(10) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“进程查杀”
¡ 数据来源:配置为“安全告警”
EDR进程查杀动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR进程查杀(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR进程查杀动作配置:
¡ 老化时间:配置为“1”小时
(11) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“主机封堵”
¡ 数据来源:配置为“安全告警”
EDR主机封堵动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR主机封堵(终端安全管理系统ESM)”
¡ EDR管理中心:选择终端安全管理系统ESM应用实例,此例配置为“ESM”
EDR主机封堵动作配置:
¡ 老化时间:配置为“1”小时
(12) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“EDR主机扫描”
¡ 数据来源:配置为“安全告警”
EDR主机扫描动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR主机扫描(终端安全管理系统ESM)”
¡ EDR管理中心:配置为“ESM”
EDR主机扫描动作配置:
¡ 扫描对象:缺省“关注点IP”已勾选
¡ 扫描类型:选择“快速扫描”
¡ 自动处置威胁:配置为“否”
(1) 构造资产“主机186.64.100.50”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行
(2) 点击操作栏<编排>按钮,选择剧本“全网主机扫描及告警”并下发
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM平台,点击“联动响应> 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“病毒查杀”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM平台,点击“联动响应>联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“病毒隔离”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM平台,点击“联动响应 >联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“进程查杀”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM平台,点击“联动响应 > 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全告警2,规则名称为“恶意主机外联”。 点击“威胁中心 > 安全告警”,安全告警2的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“主机封堵”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM平台,点击“联动响应> 联动规则”,查看策略下发成功
(1) 构造资产“主机186.64.100.50”的安全告警2,规则名称为“恶意主机外联”。 点击“威胁中心 > 安全告警”,安全告警2的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“主机扫描-ESM”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
如下图所示组网中,部署了CSAP平台,并且旁挂部署了终端安全管理平台ESM-G(以下简称ESM-G)。组网中存在终端主机安装Agent客户端,在CSAP平台上配置响应编排剧本及案件,当威胁告警发生时,向EDR下发联动策略,快速锁定威胁终端并由EDR发起相关处置动作。
· ESM-G平台配置API Key
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,ESM-G平台版本为Version 3.1, ESS 6301P02。
CSAP平台、ESM-G平台及终端主机之间网络互通。
(1) 登录ESM-G终端管理中心,点击“客户端 > 客户端安装”,根据客户端操作系统,下载Agent。
(2) 安装Agent客户端,登录ESM-G平台,点击“客户端 > 客户端管理”,查看客户端主机在线;
(1) 登录ESM-G平台,选择“通用设置 > 联动配置”,配置CSAP设备访问权限API Key;
¡ 设备名称:用于标识CSAP平台的名称,此处配置为“CSAP252”
¡ 设备IP:CSAP平台服务器IP地址,此处配置为“186.64.100.252”
¡ API Key:平台生成的接口访问权限API Key
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”。
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产10,配置如下:
¡ 资产名称:配置为“主机186.64.100.175”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.100.175”
¡ 管理IP:默认配置为“是”
(4) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“ATD216”
¡ IP:配置为“186.64.4.216”
¡ 设备类型:选择“沙箱”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“高级版ATD-A系列”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(5) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“gbk”
¡ 日志类型:默认勾选安全日志及网元系统日志
(6) 选择“调度中心 > 响应编排 > 应用管理”页面,选择终端安全管理系统(型号:H3C SecCenter CSAP-ESM-G)应用卡片,侧边栏展示应用详情,单击<新增示例>按钮,配置终端安管理系统ESM-G如下:
¡ 实例名称:配置为“ESM-G”
¡ 所属区域:选择“区域1”
¡ URL:配置为“https://186.64.2.19:8443”
¡ API Key:根据CSAP平台设备IP创建的API Key,请根据实际场景配置
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“全网主机扫描-ESM-G”
¡ 数据来源:配置为“安全告警”
全网主机扫描动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“全网主机扫描(终端安全管理系统ESM-G)”
¡ EDR管理中心:配置为“ESM-G”
(8) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒查杀-ESM-G”
¡ 数据来源:配置为“安全告警”
EDR病毒查杀执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR病毒查杀(终端安全管理系统ESM-G)”
¡ EDR管理中心:配置为“ESM-G”
EDR病毒查杀动作配置:
¡ 老化时间:配置为“0”小时,表示永不老化
(9) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“病毒隔离-ESM-G”
¡ 数据来源:配置为“安全告警”
EDR病毒隔离执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR病毒隔离(终端安全管理系统ESM-G)”
¡ EDR管理中心:配置为“ESM-G”
EDR病毒隔离动作配置:
¡ 老化时间:配置为“0”小时,表示永不老化
(10) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“主机扫描-ESM-G”
¡ 数据来源:配置为“安全告警”
EDR主机扫描执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR主机扫描(终端安全管理系统ESM-G)”
¡ EDR管理中心:配置为“ESM-G”
EDR主机扫描动作配置:
¡ 扫描对象:缺省配置为“关注点IP”
¡ 扫描类型:选择快速扫描方式
¡ 自动处置威胁:配置为“否”
(11) 选择 “调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置如下:
¡ 剧本名称:配置为“网络隔离”
¡ 数据来源:配置为“安全告警”
EDR网络隔离执行目标配置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR网络隔离(终端安全管理系统ESM-G)”
¡ EDR管理中心:配置为“ESM-G”
EDR网络隔离动作配置:
¡ 隔离对象:缺省配置为“关注点IP”
(1) 构造资产“资产186.64.100.175”的安全告警1,规则名称为“源主机疑似感染恶意程序”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行
(2) 点击操作栏<编排>按钮,选择剧本“全网主机扫描-ESM-G”并下发
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM-G平台,点击“日志管理 > 病毒防护日志 > 扫描日志”,查看存在扫描记录
(1) 构造资产“资产186.64.100.175”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“病毒查杀-ESM-G”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(1) 构造资产“资产186.64.100.175”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“病毒隔离-ESM-G”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(1) 构造资产“资产186.64.100.175”的安全告警1,规则名称为“终端MD5情报”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“主机扫描-ESM-G”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM-G平台,点击“日志管理 > 病毒防护日志 > 扫描日志”,查看存在扫描记录
(1) 构造资产“资产186.64.100.175”的安全告警1,规则名称为“内网漏洞利用攻击”。 点击“威胁中心 > 安全告警”,安全告警1的编排状态为未执行。
(2) 点击操作栏<编排>按钮,弹出“编排处置”页面,选择“网络隔离”剧本并下发。
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录ESM-G平台,点击“客户端 > 客户端管理 ”,查看对应资产IP的客户端响应列“遏制”按钮变更为“解除遏制”按钮
如下图所示组网中,部署了CSAP平台、邮件服务器。在CSAP平台上配置邮件服务器和响应编排剧本及案件,实现CSAP平台威胁告警的告警通知和工单处置。
· CSAP平台邮件服务器配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· CSAP外部通信地址可通过域名访问邮件服务器
(1) 登录CSAP平台,选择“系统设置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.100.245”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“[email protected]”
¡ 密码:邮箱账号对应的密码
(1) 登录CSAP平台,选择“系统设置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产11,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(1) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(2) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(1) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下:
¡ 剧本名称:配置为“告警通知执行剧本”
¡ 数据来源:配置为“安全告警”
告警通知动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改
¡ 动作选择:根据下拉选择框按动作选择,此例配置为“告警通知”
¡ 通知方式:选择“邮箱告警”
¡ 邮件通知人:选择“admin”用户
(2) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下:
¡ 剧本名称:配置为“处置工单”
¡ 数据来源:配置为“安全告警”
处置工单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改
¡ 动作选择:根据下拉选择框按动作选择,此例配置为“处置工单”
¡ 通知责任人:选择“admin”用户
¡ 通知方式:选择“邮件”
(1) 构造“资产170.1.0.1”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“告警通知”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件
(6) 单击“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面<重新执行>按钮,选择新的剧本 “处置工单” 执行,点击<确认>,下发剧本编排
(7) 刷新事件执行历史-安全告警列表,单击<查看>按钮,查看告警执行详情-执行记录展示动作执行结果
(8) 单击操作栏<查看>,可查看动作具体执行情况
(9) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件
如下图所示组网中,部署了CSAP平台、网络代理服务器。在CSAP平台上配置企业微信注册信息、网络代理及响应编排剧本,实现CSAP平台通过企业微信通知方式发布威胁告警的告警通知和工单处置通知。
· CSAP平台企业微信注册信息配置
· CSAP平台网络代理配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本配置
本举例是在CSAP的E1501版本上进行配置和验证的,手机终端使用企业微信应用软件版本为4.1.3。
· 在配置之前确保内外网路由可达
· 企业微信注册信息已通过平台审核
· CSAP外部通信地址可通过代理服务器访问企业微信平台
(1) 登录CSAP平台,选择“系统设置 > 系统配置 > 全局配置 > 通知设置”,单击<企业微信>进入企业微信配置页面,进行如下配置:
¡ 企业ID:企业微信ID信息,本例配置为“ww036dae84a62c519d”
¡ 应用ID:企业微信应用ID信息,本例配置为“1000002”
¡ 应用密钥:企业微信应用密钥信息,本例配置为“ATboG0Lvs5UBmM9KASvaI1v-2-uNSgr66VAgkqTofhA”
(1) 登录CSAP平台,选择“系统设置 > 全局配置 > 网络设置 > 平台网络设置”,单击网络代理设置Tab页,进入网络代理配置页面,填写代理服务器信息,配置完毕后单击<确定>保存。
¡ 启用代理服务器:开启代理服务器配置,缺省关闭状态;
¡ 地址:代理服务器地址信息,可为IP、URL等信息,本例配置为“172.25.14.130”
¡ 端口:代理服务器访问端口信息,本例配置为“8080”
¡ 验证用户:开启用户验证,缺省关闭状态;
¡ 用户名/密码:代理访问认证的用户信息,请根据网络实际情况配置
(1) 登录CSAP平台,选择“系统设置 > 系统配置 > 权限管理”,单击用户管理列表admin用户操作栏的<编辑>按钮,进入编辑用户页面,填写用户的企业微信账号,配置完毕后单击<确定>保存。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产14,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/台式机”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
(3) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(1) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(2) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(1) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“告警通知”动作,配置如下:
¡ 剧本名称:配置为“告警通知-企业微信”
¡ 数据来源:配置为“安全告警”
告警通知动作配置:
¡ 节点名称:缺省为“动作1”,此例不修改
¡ 动作选择:根据下拉选择框按动作选择动作类型,此例配置为“告警通知”
¡ 通知方式:选择“企业微信”
¡ 企业微信通知人:选择“admin”
(2) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置“处置工单”动作,配置如下:
¡ 剧本名称:配置为“处置工单-企业微信”
¡ 数据来源:配置为“安全告警”
处置工单动作配置:
¡ 节点名称:缺省为“动作1”,此例不修改
¡ 动作选择:根据下拉选择框按动作选择动作类型,此例配置为“处置工单”
¡ 通知责任人:选择“admin”
¡ 通知方式:选择“企业微信”
(1) 构造“资产170.1.0.1”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“告警通-企业微信”,点击<确认>,下发剧本编排
(3) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况
(5) 登录收件人的企业微信,可以查看到CSAP平台发送的告警通知邮信息
(6) 单击执行详情页面<重新执行>按钮,选择新的剧本 “处置工单-企业微信” 执行,点击<确认>,下发剧本编排
(7) 刷新事件执行历史-安全告警列表,单击<查看>按钮,查看告警执行详情-执行记录展示动作执行结果
(8) 单击操作栏<查看>,可查看动作具体执行情
(9) 登录收件人的企业微信,可以查看到CSAP平台发送的通知信息
如下图所示组网中,部署了CSAP平台、邮件服务器。在CSAP平台上配置邮件服务器和响应编排剧本及案件,实现CSAP平台威胁告警的人工查验。
· CSAP平台邮件服务器配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,使用SMTP服务器版本为hmail server 5.6.4-B2283。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· CSAP外部通信地址可通过域名访问邮件服务器
(1) 登录CSAP平台,选择“系统设置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.100.245”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“[email protected]”
¡ 密码:邮箱账号对应的密码
(2) 选择“系统设置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(3) 选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产11,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/PC”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(6) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(7) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(8) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,拖拽人工查验节点至配置界面,配置如下:
¡ 剧本名称:配置为“人工查验”
¡ 数据来源:配置为“安全告警”
人工查验设置:
¡ 节点名称:缺省为“人工查验1”,此例不修改
¡ 通知方式:选择“邮件”
¡ 责任人:选择“admin”
人工查验录入项配置:
¡ 查验内容:根据下拉选择框选择安全告警字段信息并组合,此例配置为“源IP为{src_ip}的主机向目的IP为{dest_ip}的主机发起了{attack_name}攻击。需查验威胁是否已处理?”
¡ 答复是否必填:选择“是”
¡ 答复内容类型:选择“选项”
¡ 选项1:配置为“是”
¡ 选项2:配置为“否”
(1) 构造“资产170.1.0.1”的安全告警,告警规则名称为“内网漏洞利用攻击”,查看编排状为“未执行”
(2) 点击操作栏<编排>按钮, 选择剧本“人工查验”,点击<确认>,下发剧本编排
(3) 下发成功后,查看安全告警剧本执行状态展示为“执行中”
(4) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(5) 单击操作栏<查看>,可查看动作具体执行情况
(6) 登录收件人的邮箱,可以查看到CSAP平台发送的人工查验邮件通知
(7) 单击“调度中心 > 响应编排 > 人工查验”页面,存在待查验任务
(8) 点击操作栏<人工查验>按钮,查看执行详情-基本信息页面存在人工查验办结提交入口,选择答复内容并点击<办结提交>按钮进行任务处理
(9) 办结提交后,查看安全告警剧本执行状态展示为“全部成功”
(10) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录更新展示剧本动作执行结果
(11) 单击人工查验动作记录操作栏<查看>按钮,可查看动作执行情况更新
如下图所示组网中,部署了CSAP平台、邮件服务器,且旁挂部署了终端安全管理平台ESM(以下简称ESM),组网中安装了防火墙设备(以下简称FW设备),存在终端主机安装Agent客户端。在CSAP平台上配置响应编排剧本及案件,联动下发至FW、ESM设备,实现CSAP平台威胁告警联动处置下发功能。
· ESM平台配置日志上报
· ESM平台配置日志服务器
· CSAP平台邮件服务器配置
· CSAP平台用户管理配置
· CSAP平台区域、资产配置
· CSAP平台数据源配置
· CSAP平台应用管理配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,ESM平台版本为Version 3.1, ESS 6902P06。FW设备型号为F5000-C,版本为7.1.064, Release 9342P2415。使用SMTP服务器版本为hmail server 5.6.4-B2283。
· CSAP平台、ESM平台及终端主机之间网络互通。
· CSAP平台、FW设备之间网络互通。
· 在配置之前确保内外网路由可达
· 邮箱账号可用
· CSAP外部通信地址可通过域名访问邮件服务器
(1) 登录ESM平台,选择“系统管理 > 外部接口 > syslog上报设置”,选择客户端上报内容
¡ 数据上报开关:全部开启
(2) 选择“系统管理 > 外部接口 > syslog服务配置”,配置日志上报的服务器信息
¡ Syslog服务器IP:配置为“186.64.132.16”,为CSAP平台的被动采集器IP
¡ 端口:配置为“514”
(1) 登录CSAP平台,选择“系统设置 > 全局配置”,单击<邮件服务器>进入邮件服务器配置页面,进行如下配置:
¡ 协议:选择“SMTP”
¡ 邮件服务器地址:本例配置为“186.64.100.245”
¡ 端口号:对应发件服务器的端口,默认为25
¡ 邮箱账号:用于态势感知平台发送邮件的账号,本例配置为“[email protected]”
¡ 密码:邮箱账号对应的密码
(2) 选择“系统设置 > 权限管理”,单击用户管理列表操作栏的<编辑>按钮,进入编辑用户页面,填写用户的邮箱账号,配置完毕后单击<确定>保存。
(3) 选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(4) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产11,配置如下:
¡ 资产名称:配置为“资产170.1.0.1”
¡ 资产类型:选择“终端/PC”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(5) 单击资产IP <新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据设备IP进行配置,本例配置“170.1.0.1”
¡ 管理IP:默认配置为“是”
(6) 选择“系统设置> 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(7) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(8) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮新建日志源,配置如下:
¡ 名称:配置为“ESM”
¡ IP:配置为“186.64.2.17”,ESM平台管理地址
¡ 设备类型:配置为“终端安全”
¡ 厂商:配置为“H3C”
¡ 设备型号:配置为“SecCenter CSAP-ESM”
¡ 采集器名称:配置为“186.64.132.16:passive”
¡ 采集器IP:配置为“186.64.132.16”
(9) 设置端口信息,配置如下
¡ 上报协议:配置为“syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(10) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 防火墙应用卡片,侧边栏展开应用详情页面,单击<新增实例>按钮,新建防火墙设备实例,配置如下:
¡ 实例名称:配置为“FW118”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.118”
¡ Netconf over SSH参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 用户名:配置为“admin”, 为FW设备SSH登录账户
¡ 密码:配置为“Admin@123”,为FW设备SSH登录账户admin对应密码
端口:端口默认为“830”
(11) 选择“调度中心 > 响应编排 > 应用管理”页面,选择终端安全管理系统(型号:H3C SecCenter CSAP-ESM)应用卡片,侧边栏展示应用详情,单击<新增示例>按钮,配置终端安管理系统ESM如下:
¡ 实例名称:配置为“ESM”
¡ 所属区域:选择“区域1”
¡ URL:配置为“https://186.64.2.17:7443”
¡ 账号:配置为“admin”,为ESM系统登录用户
¡ 密码:配置为“Admin@12345”,为ESM系统登录用户的密码
(12) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,拖拽动作节点、决策器节点、人工查验节点至配置界面,配置如下:
¡ 剧本名称:配置为“决策器复杂联动”
¡ 数据来源:配置为“安全告警”
决策器设置:
¡ 节点名称:缺省为“决策器1”,此例不修改
¡ if条件1:配置情报IOC字段为“71.238.195.200”
¡ else if条件2:配置情报IOC字段为“orivzije.top”
¡ else if条件3:配置情报IOC字段为“3640e60e527445db11a323579f8e5ca8”
¡ elset条件:缺省为空
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C 防火墙)”
黑名单动作配置:
¡ 阻断对象:选择“对端IP”
¡ 阻断方向:缺省选择“响应方向”
¡ 老化时间:配置为“0”,表示黑名单永不老化
告警通知动作设置:
¡ 节点名称:缺省为“动作2”,此例不修改
¡ 动作选择:根据下拉选择框按动作选择动作类型,此例配置为“告警通知”
¡ 通知方式:选择“邮箱告警”
¡ 邮件通知人:选择“admin”
EDR主机封堵动作设置:
¡ 节点名称:缺省为“动作3”,此例不修改
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR主机封堵(终端安全管理系统ESM)”
¡ EDR管理中心:选择“ESM”
EDR主机封堵动作配置:
¡ 老化时间:配置为“1”小时
人工查验设置:
¡ 节点名称:缺省为“人工查验1”,此例不修改
¡ 通知方式:选择“邮件”
¡ 责任人:选择“admin”
人工查验录入项配置:
¡ 查验内容:根据下拉选择框选择安全告警字段信息并组合,此例配置为“主机{src_ip}产生{event_desc}的安全告警,情报IOC为{ioc},需确认主机{src_ip}是否已隔离{ioc}访问?”
¡ 答复是否必填:选择“是”
¡ 答复内容类型:选择“文本”
EDR进程查杀动作设置:
¡ 节点名称:缺省为“动作4”,此例不修改
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR进程查杀(终端安全管理系统ESM)”
¡ EDR管理中心:选择“ESM”
EDR进程查杀动作配置:
¡ 老化时间:配置为“1”小时
人工查验设置:
¡ 节点名称:缺省为“人工查验2”,此例不修改
¡ 通知方式:选择“邮件”
¡ 责任人:选择“admin”
人工查验录入项配置:
¡ 查验内容:根据下拉选择框选择安全告警字段信息并组合,此例配置为“主机{src_ip}产生{event_desc}的安全告警,情报IOC为{ioc},需确认主机{src_ip}是否已阻断{ioc}访问?”
¡ 答复是否必填:选择“是”
¡ 答复内容类型:选择“选项”
¡ 选项1:配置为“是”
¡ 选项2:配置为“否”
EDR病毒查杀动作设置:
¡ 节点名称:缺省为“动作5”,此例不修改
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“EDR病毒查杀(终端安全管理系统ESM)”
¡ EDR管理中心:选择“ESM”
EDR病毒查杀动作配置:
¡ 老化时间:配置为“1”小时
人工查验设置:
¡ 节点名称:缺省为“人工查验3”,此例不修改
¡ 通知方式:选择“邮件”
¡ 责任人:选择“admin”
人工查验录入项配置:
¡ 查验内容:根据下拉选择框选择安全告警字段信息并组合,此例配置为“主机{src_ip}产生{event_desc}的安全告警,情报IOC为{ioc},需确认主机{src_ip}是否已查杀{ioc}病毒”
¡ 答复是否必填:选择“是”
¡ 答复内容类型:选择“文本”
(13) 选择“调度中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“决策器复杂联动案件”
¡ 是否启用:配置为“是”
¡ 数据来源:默认选择为“安全告警”
¡ 剧本名称:配置为“决策器复杂联动”
¡ 剧本执行:配置为“自动执行”
执行条件设置:
¡ 源IP:配置为“170.1.0.1”
¡ 确信度:此例配置为全选
¡ 等级:此例配置为全选
(1) 构造“资产170.1.0.1”的安全告警1,告警规则名称为“内部发起恶意通信”,查看编排状为“已执行”
(2) 单击“调度中心 < 响应编排 < 案件管理”,查看安全告警命中案件,案件命中数为1
(3) 命中数下钻,点击剧本执行状态“全部成功”,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(4) 单击操作栏<查看>,可查看动作具体执行情况,动作根据决策器条件配置,判断执行else条件分支
(5) 登录防火墙设备点击“策略 > 安全防护 > 黑名单”,查看对端IP地址56.23.0.1,添加至黑名单列表,老化时间为永久
(6) 登录收件人的邮箱,可以查看到CSAP平台发送的告警通知邮件
(7) 构造“资产170.1.0.1”的安全告警2,告警规则名称为“恶意主机外联”,情报IOC为“71.238.195.200”,查看编排状为“执行中”
(8) 单击“调度中心 < 响应编排 < 案件管理”,查看安全告警命中案件,案件命中数+1
(9) 命中数下钻,点击恶意主机外联安全告警操作栏<编排>按钮,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(10) 单击操作栏<查看>,可查看动作具体执行情况,动作根据决策器条件配置,判断执行if条件1分支
(11) 登录ESM平台,点击“联动响应>联动规则”,查看策略下发成功
(12) 登录收件人的邮箱,可以查看到CSAP平台发送的人工查验邮件通知
(13) 单击“调度中心 > 响应编排 > 执行记录 > 人工查验”页面,存在待查验任务
(14) 点击操作栏<人工查验>按钮,查看执行详情-基本信息页面存在人工查验办结提交入口,输入答复内容并点击<办结提交>按钮进行任务处理
(15) 办结提交后,查看安全告警剧本执行状态展示为“全部成功”
(16) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录更新展示剧本动作执行结果
(17) 单击人工查验动作记录操作栏<查看>按钮,可查看动作执行情况更新
(18) 构造“资产170.1.0.1”的安全告警3,告警规则名称为“恶意域名告警”,情报IOC为“orivzije.top”,查看编排状为“执行中”
(19) 单击“调度中心 < 响应编排 < 案件管理”,查看安全告警命中案件,案件命中数+1
(20) 命中数下钻,点击恶意域名告警操作栏<编排>按钮,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(21) 单击操作栏<查看>,可查看动作具体执行情况,动作根据决策器条件配置,判断执行else if条件2分支
(22) 登录ESM平台,点击“联动响应>联动规则”,查看策略下发成功
(23) 登录收件人的邮箱,可以查看到CSAP平台发送的人工查验邮件通知
(24) 单击“调度中心 > 响应编排 > 执行记录 > 人工查验”页面,存在待查验任务
(25) 点击操作栏<人工查验>按钮,查看执行详情-基本信息页面存在人工查验办结提交入口,输入答复内容并点击<办结提交>按钮进行任务处理
(26) 办结提交后,查看安全告警剧本执行状态展示为“全部成功”
(27) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录更新展示剧本动作执行结果
(28) 单击人工查验动作记录操作栏<查看>按钮,可查看动作执行情况更新
(29) 构造“资产170.1.0.1”的安全告警4,告警规则名称为“终端MD5情报”,情报IOC为“3640e60e527445db11a323579f8e5ca8”,查看编排状为“执行中”
(30) 单击“调度中心 < 响应编排 < 案件管理”,查看安全告警命中案件,案件命中数+1
(31) 命中数下钻,点击恶意域名告警操作栏<编排>按钮,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(32) 单击操作栏<查看>,可查看动作具体执行情况,动作根据决策器条件配置,判断执行else if条件3分支
(33) 登录ESM平台,点击“联动响应>联动规则”,查看策略下发成功
(34) 登录收件人的邮箱,可以查看到CSAP平台发送的人工查验邮件通知
(35) 单击“调度中心 > 响应编排 > 执行记录 > 人工查验”页面,存在待查验任务
(36) 点击操作栏<人工查验>按钮,查看执行详情-基本信息页面存在人工查验办结提交入口,输入答复内容并点击<办结提交>按钮进行任务处理
(37) 办结提交后,查看安全告警剧本执行状态展示为“全部成功”
(38) 再次单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录更新展示剧本动作执行结果
(39) 单击人工查验动作记录操作栏<查看>按钮,可查看动作执行情况更新
如下图所示组网中,部署了CSAP平台,并且组网中安装了防火墙设备(以下简称FW设备),在CSAP平台上配置响应编排剧本及案件,联动下发至FW设备,实现CSAP平台自动/手动下发黑名单及访问控制策略。
· FW设备配置Netconf认证开启
· CSAP平台区域、资产配置
· CSAP平台应用管理配置
· CSAP平台数据源配置
· CSAP平台编排剧本及案件配置
本举例是在CSAP的E1501版本上进行配置和验证的,FW设备型号为F5000-C,版本为7.1.064, Release 9342P2415。
CSAP平台、FW设备之间网络互通。
(1) 使用账户admin登录FW设备后台,输入指令“netconf soap http enable”,开启netconf认证协议HTTP。输入指令“netconf soap https enable”,开启netconf认证协议HTTPS。输入指令“netconf ssh server enable”,开启netconf认证协议SSH 。
(1) 登录CSAP平台,选择“资产中心 > 区域配置”,单击<新增>增加区域,如下图所示增加区域“区域1”
(2) 选择“资产中心 > 资产列表”页面,单击<新增>按钮,新建资产1,配置如下:
¡ 资产名称:配置为“资产172.0.0.1”
¡ 资产类型:选择“终端/台式机”
¡ 资产价值:选择“高”
¡ 所属区域:选择系统已配置的区域项,本例选择“区域1”
¡ 地理位置:根据区域配置,自动获取填充,本例为“安徽-合肥”
¡ 关键信息基础设施:默认配置为“否”
(3) 单击资产IP<新增>按钮,新增资产IP,配置如下:
¡ IP类型:默认配置为“IPv4”
¡ IP地址:根据资产IP进行配置,本例配置“172.0.0.1”
¡ 管理IP:默认配置为“是”
(4) 选择“调度中心 > 响应编排 > 应用管理”页面,选择H3C 防火墙应用卡片,侧边栏展开应用详情页面,单击<新增实例>按钮,新建防火墙设备实例,配置如下:
¡ 实例名称:配置为“FW118”
¡ 所属区域:选择“区域1”
¡ IP地址:根据设备IP进行配置,本例配置“186.64.0.118”
¡ Netconf over SSH参数:默认关闭,本例配置为开启状态;
¡ 录入方式:默认配置为“手动”,可切换为“选择模板”
¡ 用户名:配置为“admin”, 为FW设备SSH登录账户
¡ 密码:配置为“Admin@123”,为FW设备SSH登录账户admin对应密码
¡ 端口:端口默认为“830”
(5) 选择“系统设置 > 数据源配置 > 日志源管理”页面,单击<新增>按钮,新增被动采集日志源,配置如下:
¡ 名称:配置为“FW118”
¡ IP:配置为“186.64.0.118”
¡ 设备类型:选择“防火墙”
¡ 厂商:选择“H3C”
¡ 设备型号:选择“F5000系列(V7)”
¡ 采集器名称:选择“186.64.132.16:passive”
¡ 采集器IP:选择“186.64.132.16”
(6) 设置端口信息,配置如下:
¡ 上报协议:选择“Syslog”
¡ 上报端口:配置为“514”
¡ 编码:配置为“utf8”
¡ 日志类型:勾选“全部类型”
(7) 选择“调度中心 > 剧本管理”页面,单击<新增>按钮新建剧本,配置黑名单及访问控制动作,开启并配置阶梯封堵策略如下:
¡ 剧本名称:配置为“防火墙联动”
¡ 数据来源:配置为“安全告警”
黑名单动作设置:
¡ 节点名称:缺省为“动作1”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“黑名单(H3C 防火墙)”
¡ 选择设备:选择H3C防火墙应用实例,此例配置为“FW118”
黑名单动作配置:
¡ 阻断对象:缺省选择“关注点IP”
¡ 阻断方向:缺省选择“发起方向”
¡ 老化时间:配置为“60”秒
黑名单高级配置:
¡ 阶梯封堵策略:缺省关闭,本例配置为“开启”
¡ 第1次:配置封堵时间为“2”分钟,表示当告警首次编排下发设备黑名单成功后就会触发第1阶封堵,自下发成功后2分钟做策略回滚,删除黑名单
¡ 第2次:配置封堵时间为“3”分钟,表示当告警再次发生,下发设备黑名单成功后会触发第2阶封堵,自下发成功后3分钟做策略回滚,删除黑名单
访问控制动作设置:
¡ 节点名称:缺省为“动作2”,此例不修改;
¡ 动作选择:根据下拉选择框按动作或按设备选择动作类型,此例配置为“访问控制(H3C 防火墙)”
¡ 选择设备:选择H3C防火墙应用实例,此例配置为“FW118”
¡ 阻断对象类型:选择“IP”
访问控制高级配置:
¡ 阶梯封堵策略:缺省关闭,本例配置为“开启”
¡ 第1次:配置封堵时间为“2”分钟,表示当告警首次编排下发设备访问控制策略成功后就会触发第1阶封堵,自下发成功后2分钟做策略回滚,删除黑名单
¡ 第2次:配置封堵时间为“3”分钟,表示当告警再次发生,下发设备访问控制策略成功后会触发第2阶封堵,自下发成功后3分钟做策略回滚,删除黑名单
(8) 选择“调度中心 > 响应编排 > 案件管理”页面,单击<新增>按钮新建案件,配置如下:
¡ 案件名称:配置为“防火墙联动案件”
¡ 是否启用:配置为“是”
¡ 数据来源:默认选择为“安全告警”
¡ 剧本名称:配置为“防火墙联动”
¡ 剧本执行:配置为“自动执行”
执行条件设置:
¡ 规则名称:配置为“外网漏洞利用攻击”
¡ 确信度:此例配置为全选
¡ 等级:此例配置为全选
(1) 构造“资产172.0.0.1”的安全告警,告警规则名称为“外网漏洞利用攻击”,查看编排状为“已执行”。
(2) 单击操作栏<编排>,页面跳转“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示剧本动作执行结果
(3) 单击操作栏<查看>,可查看动作具体执行情况
(4) 登录FW设备,点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,添加至黑名单列表,老化时间600s
(5) 登录FW设备,点击“策略 > 安全策略 > 安全策略”,查看访问控制策略下发至设备并置顶
(6) 待黑名单老化时间结束,再次点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表
(7) 待阶梯封堵第1阶时间到达后,查看“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示撤销执行结果
(8) 单击操作栏<查看>,可查看动作具体执行情况
(9) 构造“资产172.0.0.1”的安全告警,告警规则名称为“外网漏洞利用攻击”,查看安全告警更新
(10) 再次点击“威胁中心 > 安全告警”操作栏<编排>按钮,查看执行详情更新
(11) 单击操作栏<查看>,可查看动作具体执行情况
(12) 待阶梯封堵第2阶时间到达后,查看“调度中心 > 响应编排 > 执行记录 > 事件执行历史”页面,流程记录展示撤销执行结果
(13) 单击操作栏<查看>,可查看动作具体执行情况
(14) 待阶梯封堵撤销执行结束,再次登录防火墙设备点击“策略 > 安全防护 > 黑名单”,查看关注点IP地址172.0.0.1,不存在于黑名单列表
(15) 点击“策略 > 安全策略 > 安全策略”,查看访问控制策略目的地址对象组为172.0.0.1,源地址对象组为56.23.0.1的安全策略已删除
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
