奇安信天眼--探针/分析平台部署及联动

news2024/11/13 15:24:17

奇安信天眼–探针/分析平台部署及联动

  • 一 概述
  • 二 探针/分析平台部署及联动
    • 1.网络拓扑
    • 2.配置流量传感器(探针)
      • (1)登录控制台
      • (2)配置接口
      • (3)配置默认路由及DNS
      • (4)配置SNMP
      • (5)在探针联动分析平台
    • 3.配置分析平台
      • (1)登录控制台
      • (2)配置接口
      • (3)配置默认路由及DNS
      • (4)配置SNMP
      • (5)在分析平台联动探针
      • (6)新增采集设备
  • 三 检查
    • 1.部署完成,注意检查传感器和分析平台的联动情况。
    • 2.注意数据传输加密是否一致
  • 四 其他事项
    • 1.授权导入
    • 2.部署时需要的信息
    • 3.其他相关文章(奇安信知识库)

产品简介
天眼安全感知系统包括三种设备,流量分析、文件威胁鉴定器、威胁分析平台。

流量分析设备,即传感器,通过接收用户镜像的流量,提供网络异常行为检测,同时提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

文件威胁鉴定器设备,即沙箱,通过与传感器联动,收集传感器文件和log日志记录,基于多种混合检测引擎产生问题文件告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

威胁分析平台,即安全感知系统,通过与传感器联动,收集传感器log日志记录,基于规则库提供模式匹配,命中规则即告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

一、概述

奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、流量传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。

一般仅需分析平台,流量传感器(探针)这2台设备配合使用。
也有先锋版天眼,一台设备包括流量传感器和分析平台的功能,不需要额外的联动配置

  1. 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
    告警日志。
  2. 天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加
    密传输给天眼分析平台。

在这里插入图片描述

在这里插入图片描述

二、探针/分析平台部署及联动

1.网络拓扑

请添加图片描述

2.配置流量传感器(探针)

(1)登录控制台
  1. 默认web控制台地址:192.168.0.1(直连MGT口,自己电脑的IP要改为同网段的)
  2. 远程管理地址:1.1.1.1(需要自己配置)
  3. 默认账号:admin 默认密码:admin

在这里插入图片描述

(2)配置接口
  1. 管理接口:
    eth0口 直连口,本地管理,PC直连设备访问web页
    eth1口 远程管理端口(同时也是联动端口)
  2. 监听端口: eth2-eth5口连交接机镜像口
    在这里插入图片描述
(3)配置默认路由及DNS
  1. 远程管理口需要做默认路由指向网关
  2. DNS根据客户要求,选择是否配置内部DNS服务器地址

在这里插入图片描述

(4)配置SNMP

端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
注:snmp get UDP 161/snmp trap udp 162

在这里插入图片描述

(5)在探针联动分析平台
  1. 联动分析平台的地址1.1.1.2,端口号7755(固定的)

在这里插入图片描述在这里插入图片描述

3.配置分析平台

(1)登录控制台
  1. 默认web控制台地址:192.168.0.1
  2. 默认账号:tapadmin 默认密码:admin

在这里插入图片描述

(2)配置接口
  1. 管理端口
    eth0口 直连口,本地管理,PC直连设备访问web页
    eth1口 远程管理端口(同时也是联动端口)

在这里插入图片描述

(3)配置默认路由及DNS
  1. 远程管理口需要做默认路由指向网关
  2. DNS根据客户要求,选择是否配置内部DNS服务器地址

在这里插入图片描述

(4)配置SNMP

端口号:161
协议服务类型:UDP
版本号:2c
团体字:public在这里插入图片描述

(5)在分析平台联动探针
  1. 联动探针的地址1.1.1.1

在这里插入图片描述
在这里插入图片描述

(6)新增采集设备

在这里插入图片描述在这里插入图片描述

三 检查

1.部署完成,注意检查传感器和分析平台的联动情况。

  1. 查看设备连接状态是否正常。
  2. 若为断开,首先相互ping一下,查看是否能通。
  3. 不通的话,将传感器和分析平台的管理口直连,查看是否能通,连接状态是否正常。(这样做是排查是否是客户交换机配置问题)
  4. 若还是显示断开,检查设备配置、排查硬件问题。
    (注意:天眼检测联通性,会用到icmp,部分客户网络做策略禁ping,会导致监控状态为断开,但是日志等功能还是正常)

在这里插入图片描述

2.注意数据传输加密是否一致

加密算法及密钥不一致,也会导致设备异常

如果没有设置加密,则两边都不要设置。
如果设置了加密,传感器和分析平台加密设置必须一致。
在这里插入图片描述

四 其他事项

1.授权导入

新设备,配置完成后需要导入授权,否则设备无法正常运行。

2.部署时需要的信息

需要用户提供,天眼的地址,网关,DNS,以及交换机上提前做好镜像口

3.其他相关文章(奇安信知识库)

如何对接天眼分析平台
https://kb.qianxin.com/detail/95ce749030d

天眼探针往分析平台传数据, 分析平台上没有数据
https://kb.qianxin.com/detail/82775855531

三、天眼框架

监测中心

威胁感知

分析中心

响应处置

资产感知

报表感知

报表报告

系统管理

全局导航

监测中心

仪表台

主要应用誉告警统计图文版,包含威胁名称,网络攻击告急数量统计,威胁情报告警类型分布,威胁情报告警趋势,告警数量时序图,整体视图,外部攻击,外联攻击,告警环比,告警类型分布,告警威胁级别分布,告警趋势,告警类型数据统计,WEB攻击告警数量统计,告警攻击阶段统计,横向攻击告警数量统计,告警攻击阶段统计,外联攻击告警数量统计,等。

监测工作台

主要对告警类型进行统计和重点监测,包含失陷主机,外部攻击,横向攻击,越权访问,暴力破解,弱口令,挖矿专项,补天漏洞

态势感知

与高级版都是可视化的感知地球

态势感知高级版

威胁感知
告警列表

流量传感器

主要应用的是天眼日志的语法的检索

Dip被攻击的IP

Dport被攻击的端口

Sip源IP

Sport源端口

url请求的url地址

data请求包的正文内容

status响应包的状态码

client_os运算符号AND OR 或NO

全部告警

未处置告警 检索列如:status=”未处置” AND is_white=”否”

webshell管理 检索列如:threat_name LIKE “冰蝎” OR threat_name LIKE “蚁剑”

文件上传成功告警

文件上传企图告警

木马通信类告警

代码执行成功告警

文件威胁鉴定器

全部告警

恶意告警

邮件威胁检测系统

全部告急

恶意附件告警

钓鱼邮件告警

攻击诱捕系统

全部告警

高危告警

智慧管理分析系统SMAC

全部告警

服务器安全管理系统(云锁)

全部告警

webshell告警

命令执行告警

SQAR自动化编排场景

全部告警

全部

威胁视角

挖矿专项

当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿

挖矿的阶段

1恶意代码传输-2远控通信-3.链接矿池-4.登录矿池-5.获取挖矿任务-6.提交挖矿份额

威胁情报

威胁统计:【恶意软件】远控木马,【恶意软件】窃密木马,【恶意软件】黑市工具,【恶意软件】流氓推广

威胁级别分布:低危,中危,高危,危机

命中的威胁情报

应用安全

web安全

数据库安全

中间件安全

邮件安全

系统安全

暴力破解:暴力破解列表,源IP暴力破解列表,目的IP暴力破解列表

弱口令

未授权访问

设备安全

攻击者视角
资产视角
情报中心

情报管理

研判分析

分析中心

日志检索

快捷模式-本级-索引类型

高级模式-本级--索引类型

(原始告警日志---告警日志-webshell上传-网页漏洞利用-网络攻击-威胁情报告警)

(设备告警日志----流量传感器-文件威胁鉴定器-邮件威胁检测系统-攻击诱捕系统-云锁服务器安全管理系统)

专家模式-本级--索引类型

行为分析

DNS服务分析

可疑DNS解析-疑似DNS服务器发现-链路劫持分析-DNS重绑定分析

非常规服务分析

可疑代理-远程工具-反弹shell

邮件行为登录

邮件异常类型分布-邮件异常类型统计

登录行为分析

暴力破解-异常登录-特权账号登录-弱口令-明文密码泄露

WEB服务器行为分析

非常用请求方法-可疑爬虫或扫描-后门上传利用

数据库行为分析

数据库高危操作分布 受影响资产TOP10

访问行为分析

外部访问-横向访问-内部主机外联-风险端口访问-可疑来源

黑IP行为分析

告警统计图--告警趋势图

旁路阻断行为分析

阻断类型分布-旁路阻断趋势

全流量取证分析

约等于wireshark(支持wireshark查询规则过滤语法)

天眼狩猎

响应处置

处置编排
工作流程

华三防火墙处置流程(流程开始-多条件分析判断-

{创建安全策略--新增生效策略--流程结束

{查询生效策略-删除安全策略-删除生效策略-流程结束)

山石防火墙处置工作流(流程开始-多条件分支判断

{创建安全策略-新增生效策略-流程结束

{查询生效策略-删除安全策略-删除生效策略--流程结束)

奇安信上网行为管理处置工作流(流程开始-多条件分支判断-

{阻断—新增icg生效策略-流程结束

{阻断-新增icg生效策略-流程结束

{查询icg生效策略-取消下发的命令-删除icg生效策略—流程结束

天擎v101处置流程(流程开始-多条件分支判断

{终端隔离

{取消终端隔离

{全盘扫描

)

联动服务

主要是用于第三方软件的服务例如:AbuseIPDB ,Box管理,奇安信新一代智慧防火墙等

任务脚本

主要用于添加动作,例如多条件分支判断等

帮助文档

策略管理
策略定义

新增策略定义

策略名称 处置动作(和上面的工作流程有关) 联动设备

策略联动

包含联动策略名称和自定义检索场景

处置记录
联动记录
资产感知
资产管理

主要进行的是对公司资产归纳收集,可以设置资产组等

资产发现

对现有资产进行收集

资产互访

业务访问态势 业务互访次数TOP10

IP地址管理

新增IP地址

脆弱性

威胁级别分布 漏洞资产风险值TOP10

配置核查

配置类型分布 配置核查资产TOP10

补天漏洞

主要用于漏洞情报和资产漏洞

报表系统
快速报表

可以新增报表设置首次执行事件和报表数据范围和报表格式,报表模板等

周期报表

报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计

任务周期:日报,周报,月报,季报,年报

任务状态:未启动,成功,失败,执行中

报表模板

报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计

来源:预定义,自定义

模板名称、创建

系统管理
自定义规则配置

规则ID 规则名称 CNNVD编号 CVE编号 告警类型 威胁等级 攻击结果 攻击链 设备 启用状态 下发状态 创建时间 更新时间 操作

新增自定义规则有

规则名称 威胁级别 告警类型 攻击结果 攻击链

包含基础配置和规则

基础配置:

CVE编号

CNNVD编号

漏洞描述

漏洞危害

解决方案

规则:

新增检测项:

检测位置 检测字段 匹配 值

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2101975.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024年全国各省路网矢量数据介绍

一、2024年全国路网矢量数据介绍 数据更新时间:2024年5月 数据范围:全国(不包含台湾省) 数据格式:shp(线) 数据包含类型:城市主干道、城市次干道、城市快速路、城市支路、高速公…

Python编码系列—Python代码审查的艺术:提升代码质量的黄金法则

🌟🌟 欢迎来到我的技术小筑,一个专为技术探索者打造的交流空间。在这里,我们不仅分享代码的智慧,还探讨技术的深度与广度。无论您是资深开发者还是技术新手,这里都有一片属于您的天空。让我们在知识的海洋中…

苹果录屏功能究竟何在?深入探寻苹果设备上的录屏功能:简便、高效、一键达成

在当下这一数字化的时代,不论是教学演示,还是游戏分享,抑或是工作汇报,录屏软件皆已成为我们日常生活中不可或缺之工具。苹果设备以其出类拔萃的用户体验而声名远播,而其内置的录屏功能更是将便捷性与功能性精妙融合。…

TensorFlow介绍二-线性回归案例

一.案例步骤 1.准备数据集:y0.8x0.7 100个样本 2.建立线性模型,初始化w和b变量 3.确定损失函数(预测值与真实值之间的误差),均方误差 4.梯度下降优化损失 二.完整功能代码: import os os.environ[TF…

前端脚手架,自动创建远程仓库并推送

包含命令行选择和输入配置,远程仓库拉取模板,根据配置将代码注入模板框架的代码中,自动创建远程仓库,初始化git并提交至远程仓库,方便项目开发,简化流程。 目录结构 创建一个bin文件夹,添加ind…

KAN 学习 Day2 —— utils.py及spline.py 代码解读及测试

在KAN学习Day1——模型框架解析及HelloKAN中,我对KAN模型的基本原理进行了简单说明,并将作者团队给出的入门教程hellokan跑了一遍,今天我们直接开始进行源码解读。 目录 一、kan目录 二、utils.py 2.1 导入库和模块 2.2 逆函数定义 2.3 …

CentOS 7安装Docker详细步骤-无坑-丝滑-顺畅

一,安装软件包 yum install -y yum-utils device-mapper-persistent-data lvm2二,更换yum源为阿里源: yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 三,查看docker版本&…

标准库标头 <optional> (C++17)学习之optional

类模板 std::optional 管理一个可选 &#xfeff;的所含值&#xff0c;即既可以存在也可以不存在的值。 一种常见的 optional 使用情况是作为可能失败的函数的返回值。与如 std::pair<T, bool> 等其他手段相比&#xff0c;optional 可以很好地处理构造开销高昂的对象&a…

【科普】双轴测径仪是根据哪个测量值控制外径尺寸?

单轴测径仪与双轴测径仪都是自带闭环控制功能的在线外径测量设备&#xff0c;单轴测径仪只有一个测头&#xff0c;是根据该测头的检测数据进行控制&#xff0c;这点毋庸置疑&#xff0c;那双轴测径仪这种具备两组测头的设备又是如何控制的&#xff0c;本文就来简单的介绍一下。…

Ubuntu安装网卡驱动

没有无线网 给自己装了双系统后&#xff0c;发现没有无线网络 下载驱动文件 打开终端&#xff0c;输入 lspci -k 能看到&#xff0c;虽然我是RTL8125BG&#xff0c;但use的是r8169: 08:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8125 2.5GbE Controll…

Vue前端路由详解——以Ruoyi框架为案例学习

Vue路由 Vue路由详解_vue 页面路由-CSDN博客 路由模式 Vue 的路由模式&#xff1a;hash 模式和 history 模式的区别_vue路由history和hash的区别-CSDN博客 URL格式&#xff1a; Hash模式&#xff1a;URL中包含#号&#xff0c;用于区分页面部分&#xff0c;实际请求的页面地址…

OpenCV下的无标定校正(stereoRectifyUncalibrated)

OpenCV下的无标定校正(stereoRectifyUncalibrated) 文章目录 1. 杂话2. 无标定校正2.1 先看代码2.2 一点解释2.3 findFundamentalMat参数2.4 stereoRectifyUncalibrated参数 3. 矫正结果 1. 杂话 咱们在之前的帖子里面讲了一些比较常规的标定和校正OpenCV下的单目标定&#xff…

Unity数据持久化 之 文件操作(增删查改)

本文仅作笔记学习和分享&#xff0c;不用做任何商业用途 本文包括但不限于unity官方手册&#xff0c;unity唐老狮等教程知识&#xff0c;如有不足还请斧正​​ 这里需要弄清几个概念&#xff1a; File&#xff1a;提供文件操作的静态方法&#xff0c;是管理的 Windows.File -…

除浮毛用吸尘器有用吗?除浮毛真正有用浮毛空气净化器总结

我的医生朋友经常给朋友们讲解宠物毛发对呼吸道的潜在影响&#xff0c;这引起了不同的反应。有人采纳了他的建议&#xff0c;采取了防护措施&#xff1b;而有人则认为他在制造恐慌&#xff0c;特别是当听到宠物医生的说法与之相左时。 我曾也心存疑虑&#xff0c;但经过与朋友…

做开发一年多了,分享一下自己的疑惑以及大模型给我的一些建议~

写在最前面,下面的疑问是我自己的一些困惑和想知道背后的答案,回答这块是大模型的一些建议,我觉得对我来说不能说很对,至少给我了启发和思考,分享出来给大家,大家如果也有类似的疑惑,希望能提供到帮助 原先Java生态是出现各种复杂的业务场景,需要使用合理且合适的技术架…

house of cat

文章目录 house of cat概述&#xff1a;_IO_wfile_jumps进入_IO_wfile_seekoffFSOP__malloc_assert 例题&#xff1a;思路&#xff1a;分析&#xff1a;利用&#xff1a; house of cat 概述&#xff1a; house of cat主要的摸底还是覆盖vtable指针&#xff0c;因为在glibc-2.2…

结构型设计模式—桥接模式

结构型设计模式—桥接模式 欢迎长按图片加好友&#xff0c;我会第一时间和你分享持续更多的开发知识&#xff0c;面试资源&#xff0c;学习方法等等。 假设你要买一张新桌子&#xff0c;你有两个选择&#xff1a;一种是木制的桌子&#xff0c;另一种是金属制的桌子。 无论你选…

软件工程知识点总结(1):软件工程概述

1 什么是软件&#xff1f; 定义&#xff1a;计算机系统中的程序及其文档。 ——程序是计算机任务的处理对象和处理规模的描述&#xff1b; ——文档是为了便于了解程序所需要的阐明性资料。 2 软件的特点&#xff1f; 软件是无形的&#xff0c;不可见的逻辑实体 ——它的正确与…

【Python基础】字典类型

本文收录于 《Python编程入门》专栏&#xff0c;从零基础开始&#xff0c;分享一些Python编程基础知识&#xff0c;欢迎关注&#xff0c;谢谢&#xff01; 文章目录 一、前言二、Python 字典类型2.1 访问字典里的值2.2 修改字典2.3 删除字典元素2.4 字典键值的特性2.5 遍历字典…

免费pdf转word软件,为你整理出8种方法,总有一个适合你

在日常办公和学习中&#xff0c;PDF文档因其格式稳定、不易修改的特性而广受欢迎。然而&#xff0c;有时我们需要对PDF内容进行编辑或格式调整&#xff0c;这时将其转换为Word文档便显得尤为重要。下面给大家介绍8种将PDF转换成Word的方法&#xff0c;包括在线网站、专业软件及…