4. 安全感知平台上架配置

第6.3.4节节 安全感知平台上架配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 接入探针针配置 登录探针 直连设备 管理（Manage）口访问 https:/10.251.251.251，登录潜伏 威胁探针，默认账 号密码是admin/admin。 配置网口IP地址及路由使探针能与安全感知平台进行通信。 1、点击接口名称”eth0“增加IP地址，10.251.251.251/24不能删除。 2、配置路由，使探针可以访问到安全感知平台。常规环境只需要配置一条默认 路由即可 *注：探针需要访问平 台的TCP443、TCP4430 TCP4488端口。若存在 防火墙设备请 放通以上 端口。 接入探针针配置 探针授权情况检查 探针需要开启设备序列号、软件升级序列号、威胁情报库。设备序列号与威胁 情况影响检测功能。 无效时联系当地深信服工程师。 接入探针针配置 对象定义配置，点击高级设置，必须勾选“自动识别 ” 。 “自定义内网服务器IP组”、“自定义内网客户端IP组”为 可选配置，配置为具体网段则探针只能识别出已配置 网段中的IP地址，若客户后续增加了网段此时探针不 能现发现 。 建议不配置留空。 接入探针针配置 对接安全感知平台 建议测试项 目开启高级模式，并打开所有的flow分析引擎 。 日志上传使用TCP4430端口。 *注：http协议默认只审计终 端。 接入探针针配置 安全策略配置 建议所有的安全策略都勾选。 *注：“主动IP扫描”的目的是主动发现 IP地 址是否存在服务端口如80端口，从而识别 出IP地址为服务器，若客户有检测设备 发现 探针存在扫描行为是正常的，可以 关闭该 功能。 探针同时还 可以被动的从流量访问 方面 识别 出IP地址为服务器。 打开“网站攻击检测 ”设置，若客户网 络中不使用默认的端口，则需要手动 修改为客户使用的端口才能完成检测 。 接入探针针配置 若探针部署的位置前端存在AD单臂部署，并使用XFF传输源 IP地址，则探针需要开启XFF字段识别。 接入探针针配置 违规访问 用于记录内网访问的行为，如财 务服务器是不能被财务部门外的 部门访问 的，这时可以配置非财 务部署的网段访问了财务服务器 为违规访问 。 配置违规访问为 左图所示。 可基于源IP地址和时间做策略。 *注：需要客户提供内网的相关访问需 求，难度较大。 该配置不做强制要求。 检查默认策略 是否勾选了“记 录日志” 接入探针针配置 探针特征库检查 ，为保证更好的测试效果，配置完成后需要查看探针的特征库 是否为最新。 探针为威胁情报库，查看是否与平台时间一致，点击“详情”可查看具体库的更 新时间，正常情况探针一小时向平台进行一次特征库的检查，也可点击“立即 更新”进行更新。 *注： 1、探针通过平台升级特征库，确保平台的特征库为最新，探针不需要联网获 取更新。 2、探针访问 平台的TCP4488端口进行特征库的更新。 接入探针针配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 如右图，网络中部署了两台防火墙， 一台用于互联网出口防护，另一台用 于服务器前端防护。 该情况需要将防火墙的安全策略做“反 向”的配置，用于检测内网主机向外网 发起的攻击行为，动作为允许即可。 互联网区防火墙：除防火墙正常的安 全防护配置外，还需要配置终端和服 务器向外网发起的攻击检测 ，用于检 测风险 主机。 服务器前端防火墙：除防火墙正常的 安全防护配置外，还需要配置服务器 向内网终端及互联网发起的攻击检测 ，用于检测风险 服务器。 具体的配置策略参考防火墙相关资料 。 接入防火墙墙配置 防火墙7.3版本只可以上传安全日志，防火墙7.4版本及以上可以上传安全日志与 应用控制日志。都需要在防火墙上勾选“记录日志”。 1、配置对应的安全防护策略，并勾选记录 日志。具体配置参照防火墙相关资料 2、配置应用控制策略，并勾选记录 日志。具体配置参照防火墙相关资料 日志上传配置（以下为7.5.1版本）： 接入防火墙墙配置 防火墙接入后的在线效果。 *注：若防火墙上配置连接到安全感知平台后，但在安全感知平台上查 看不到在线，需要检测当前防火墙是否有日志产生（安全日志或应用 控制日志）只有防火墙开始上传日志后才会显示在线。 接入防火墙墙配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 需要在安全感知平台开启VSS的接入授权才能接入。 接入VSS配置 VSS中文名称为云纬，只支持部署在 VMware虚拟化环境中，用于保护虚拟 化环境中的业务服务器的安全。 具体的相关配置参照VSS资料。 *注：1、VSS接入安全感知平台需要先 打补丁包，补丁包可向当地深信服工程 师要取。打补丁包后的效果如下图。 2、VSS在需要上传日志信息后 才会在安全感知平台上看到在线状态。 接入VSS配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 需要在安全感知平台开启EDR的接入授权才能接入。 接入EDR配置 EDR中文名称为终端检测响应。可支持 部署在传统的服务器终端上也可以部署 在虚拟化环境中。 具体配置步骤参考EDR相关资料。 *注：EDR在需要上传日志信息后才会在 安全感知平台上看到在线状态。 接入EDR配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 需要在安全感知平台开启AC的接入授权才能接入。 接入AC配置 AC中文名称为上网行为管理，与安全感知平台 结合主要是解决客户终端IP地址变动从而无法 定位到问题终 端的问题。AC可同步用户认证 信 息，不同步用户行为审计 日志。 *注：1、只支持使用用户名密码的认证方 式同步（使用能让AC发送单点登录信息） 不支持不需要认证的同步（IP/MAC绑定） IP/MAC绑定可以定位到终端用户。 2、AC需要升级到11.X及以上版本。 说明 1、需要AC同步认证用户后才会在线。 2、因为AC不上传用户行为日志所以显 示为“-”是正常情况。 接入AC配置 1 2 3 4 5 6 Contents 接入探针配置 接入防火墙配置 接入VSS配置 接入EDR配置 接入AC配置 安全感知平台配置 登录安全感知平台 直连设备 eth0口访问https:/10.251.251.252，登录安全感知平台，默认账号密码 是admin/admin。 安全感知平台配置 平台序列号检查，测试项 目确保所有功能授权都开启，如下图。 若未开启发送设备的SN和平台序号给区域的深信服工程师进行开通。 安全感知平台配置 建议登录平台后先配置资产感知再接入探针、防火墙等设备。 1、【资产感知】-【 受监控内网IP组】-【 新增】配置内网的服 务器网段和终端网段 。 2、配置IP组的名称。 IP属性：确认需要配置的IP范围为终 端网段时 选择“终端”确认为服务器网段时选择为 “服务 器”若网段中存在终端和服务器，选择“未配置” 由系统自动识别 。 *注：配置属性为“终端”时会在【终端】上合并 网段。 配置属性为“服务器”时不会在【业务/服务器 】上合并网段。 安全感知平台配置 安全感知平台配置 通过以上接入设备 的配置可将客户网络中存在的探针（STA）、防 火墙（NGAF）、云纬（VSS）、终端检测 响应（EDR）、上网行 为管理（AC）接入到安全感知平台。 先对安全感知平台进行接入设备检测 确证。 1、检测 接入的设备 情况是否与实际 接入相符合。 2、安全感知平台的CPU、内存、磁盘是否为绿 色，及正常运行。 业务服务器配置 首先接入STA、NGAF等接入设备 等设备 ，平台可以接收到STA、NGAF上传的资产 再做以业务 服务器配置。 配置完成【受监控内网IP组】后，还需要手动配置客户业务 ，方便后续在产品界面 上直观的发现业务问题 ，尽可能配全。 步骤： 1、配置业务名称。 2、选择业务 的重要级别。 3、选择添加已知服务器。 安全感知平台配置 配置客户提供的IP地 址 安全感知平台配置 网口IP配置 【系统设 置】-【接口设置】中配置，若发现 所需要使用网口的状 态为 “禁止”需要先在网口上接入网线使网口的灯亮起后再到如下界面 上启用网口进行IP地址配置。 点击“测试服务器”若服 务器可用，即平台可以 连接外网进行特征库更 新，客户网络允许时请 确保平台能连接外网 安全感知平台配置 路由配置 1、常规环 境只需要配置默认路由即可 2、平台需要收集两个隔离网络里需要按具体情况配置明细路由。 安全感知平台配置 特征库检查 更新。 平台能上互联网时将1小时检测 一次特征库的更新，检测 最新版本 是否与当前版本一致。 开启行为分析日志与分析httpflow日志 *注：1、测试项 目建 议开启分析行为日志和 分析httpflow日志，可 以保障更好的效果。 2、开启分析 httpflow日志需要是高 端平台及2U的安全感 知平台。1U设备 无开 启选项 。 3、开启后运行半 小时查 看平台的CPU 和内存是否正常，若不 正常请先关闭“分析 httpflow日志”再观察。 安全感知平台配置 大屏功能说明 大屏名称功用说说明 全网安全态势感知 能够以地图拓扑的形式展示组织单 位内部/分支机构/被监管机构的安全状态，对风险 状态进 行排名并罗列分支机构/被监管机构的安全趋势 。 1.大地图支持自定位全球所有位置，可定义总 部与各分支位置。支持导入离线图 。 2.实时 展示各分支、总部遭受攻击的情况，及分支对总 部的访问 情况（正常、违规 、 风险访问 等）。 3.展示攻击源归属地排行、遭受攻击趋势 、各分支机构的安全等级等。 4.实时 展示各分支安全评级 排行。 业务外连风险 大屏 展示所有业务 系统、服务器对互联网发起的异常访问 行为（已排除白名单通信和正常 访问 行为），用于监视 服务器是否存在的未知威胁，并从中标识 存在风险 的外连行 为、访问 的区域、访问 目标是否为控制者及当前的外连态势 。 外部攻击感知大屏 基于实时 可视化的形式展示当前遭受到的来自互联网的攻击情况及网关（已接入防火 墙）的拦截情况，以及攻击排行、攻击来源区域排行、境内境外区分等，实时 反映当 前网络攻击态势 。 服务器与漏洞态势大 屏 展示当前已识别 的服务器资产 情况及服务器包含的漏洞情况，及时预 警。 横向威胁可视大屏 基于可视化的方式展示内网主机攻击其他内网主机的情况，用于可视内网横向攻击、 横向异常访问 的整体情况，识别 内网可疑跳板机或异常内鬼。 内部关系运维大屏 将内部访问 关系梳理的结果以大屏的形式展示，方便运维工程师进 行可视处 理。 外连运维大屏 将外连访问 关系梳理的结果以大屏的形式展示，方便运维工程师进 行可视处 理。 安全感知平台配置 大屏配置 主要修改大屏的物理位置信息。全网安全感知感知大屏总部位置需要在分支进 行设置。【资产感知】-【分支】-【总部】 全网安全态势感知 安全感知平台配置 安全感知平台配置 安全感知平台配置 配置步骤： 1、选择 在线的探针设备 2、备注该探针前的网安 设备 名称。 安全感知平台配置 残余攻击配置 展示绕过 网关安全体系后直达内网的外部攻击，可用于分析网关薄弱 点，进而辅助做策略调优 、决策安全加固。 镜像流量检查 在交换机上配置完成镜像后，需要确认镜 像流量是否完整。 如右图，探针接收了用户区域 到服务器区域的流量，正常会 产生访问日志，探针会在10 分钟内将日志上传给安全感知 平台。 可查询到源目IP地址的访 问记录 安全感知平台配置 1、探针接收流量的网口 是否为镜像口。 2、探针