- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
30-检测响应配置
本章节下载: 30-检测响应配置 (607.75 KB)
本文档介绍终端安全管理系统检测响应功能配置举例。对于终端计算机可以针对不同类型的行为操作进行数据采集。
本文主要介绍如何配置检测响应。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解桌面管控特性,掌握了给终端下发安全策略的步骤。
终端安全管理系统组网方式比较简单,只要网络可达即可。
安装服务端后,客户端可以自动连接到服务端。管理员可直接通过WEB浏览器进行管理。
服务端安装参见《H3C SecCenter 终端安全管理系统 V3.1 ESS 6301P10安装指导》。
· 登录Web管理控制台。
· 创建策略Policy1,配置检测响应,策略下发给终端。
打开Web浏览器,使用HTTPS协议在地址栏输入服务端地址和端口,输入格式:https://ServerIP:8443(请将ServerIP替换为服务端实际IP地址,如“https://192.168.10.10:8443”),弹出输入账户信息登录页面,输入系统管理员账户信息和验证码,单击<登录>,如下图所示。
图4-1 账户信息输入页面
图4-2 控制台
转到“策略 > 安全防护策略”,新建策略“Policy1”。
进入Policy1,配置检测响应规则。
l 开启检测响应规则总开关
l 检测模式选择
默认选择“均衡模式
l 检测告警聚合
点击启用开启入侵告警聚合功能,选择默认配置
l 子事件采集配置
可以根据需求开启和关闭事件采集,例如开启文件事件但是关闭文件打开子事件,以及关闭网络事件采集,如下图
点击保存,待策略下发客户端生效
策略下发完毕,客户端上创建一个word文档test1并打开,打开cmd执行nslookup www.baidu.com,操作完成后会后客户端向服务端上报对应的采集数据。
l 登录服务端进入检测响应>调查分析>新建调查,查询文件事件并过滤文件名称“test1“
根据查询结果可以看出文档创建产生文件创建、文件写入等事件但是没有文件打开,说明策略已经生效
l 登录服务端进入检测响应>调查分析>新建调查,查询网络事件,并过滤关键词”baidu.com”,查询结果为空
l 将网络事件采集开启,在客户端再次执行nslookup www.baidu.com
登录服务端进入检测响应>调查分析>新建调查,查询网络事件,并过滤关键词”baidu.com”,可以查询出访问www.baidu.com域名的DNS网络事件
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
