护网的时候我们要把右边的开关开启。开启就会对系统全量的记录,包含有网络行为日志,就会检测我们服务器里面的链接,端口箭头,内内网暴露的链接;进程操作日志,就可以看我们系统创建了哪些进程,就有实时全量的进行记录,文件的一些操作,创建文件等等,网络攻击,系统登陆等等全量记录。
点开详细就可以看到他的相关信息
##通用设置-ip显示
可能有一些主机是多网卡,ip的显示不是用户想要的就可以对他进行显示/
#ip地址管理
分为内部和外部,内部:本单位内网ip范围;定义之后椒图就会识别;例如192.168.0.1,十六位这个段就是内部网段;如果涉及到白名单,就会优先在这里进行摘取。定义内网ip子网的范围,
还有外面转内网功能。
外部的差不多。
#告警设置
可以设置他往那个用户的邮箱进行推送,
#性能监控
采用agent服务端的一些信息;性能保护是防止agent过多占用资源,占有率过高就会agent重启,
#安全防护-功能设置-批量设置
服务器太多了,就这样批量所以服务器一起设置。
#模板管理
在批量之前,对某个服务器单独设置,以这台服务器为模板案例对他进行一个生成,对其他服务器就使用这个模板,也可以自己新建一个模板
#下发管理
#生成模板
以某台配置好的服务器为模板。
点这个快速同步一次。
#功能设置-查看插件状态安装插件
要重启加载才能安装成功
##单机管理
#服务信息
针对这台服务器单一配置操作;和信息的显示;他里面还有系统模块。
##应用防护-高级防护
依赖于插件或点亮rasp才能使用;
#应用防护-应用漏洞防护
还有常见的一句话木马,伪协议防护,
支持白名单设置,
#应用防护-url控制
针对网站的一些后台的url在这里进行一个输入。
#系统防护-文件监控与防护
##操作系统加固
一般情况下,里面都是默认监控状态,
#入侵检测
webshell隔离,对方上传webshell命中了我们的规则,就会进行一个shell隔离。在webshell隔离列表,可以看他隔离了那些webshell,
#单机管理-全局设置-防护开关
#自定义代理ip设置
比如说外面防火墙出入,负载等等防火墙上面可能进行一个自定义的代理ip字段设置,在椒图里面再进行一个设置,
#ip黑白名单
#资产变更
如果这个不开启,前台资产管理不会进行显示。
##网络防护-防端口扫描
#微蜜罐
在agent服务器中,对端口一个监听,如果攻击者访问这个端口就会触发文本中的返回信息;在管理中心也有告警,需要我们人工去看,针对这个ip溯源有没有别的攻击行为。
#更新管理
在资产管理和威胁检测这里,面对大量数据外面就选择一个导出,导出用户就会在这里生成,在进行下载,
####后台管理中心
###后台管理中心-云中心检测-服务监控
服务器的检测角度,可以看到管理中心的ip的一些服务数等等的信息,在前端部署的时候是有很多服务的ngent,mysql,kfk等等,有异常0就会变成1是一个标红的状态,异常就要我们在服务器手动的更正。
另一个模块,服务的事项,扫描服务等等,也支持检测,如果检查完有异常,就要联系交互同事。
#功能验证
检查策略下发等等功能是否正常的,
##组织管理-用户管理
##基本功能-全局设置
上面的字段后门都有备注,里面就是一些全局配置外面可以修改,例如图中某个日志的保存天数,默认保存15天,而我们就可以修改,。对他服务的密码,安装目录等等可以。
全局设置,针对于我们系统的设置,在一些椒图学习的功能上面就有它内置的功能,外面可以不让他去学习,避免重复性;。
#可疑ip分析
#agent性能保护
#病毒查杀设置
针对控制台的查杀,设置一个扫描路径,然后在前台就可以下发控制台的查杀,
#账户安全性设置
#rce设置
用户可以设置自定义规则,例如whoami,有了就会告警,他自己也有内置字符串。
#oob黑域名设置
这个可能攻击者有一些dnslog外带的请求,就可以针对于常见的dnslog平台对他进行一个设置,服务dnslog的一些域名,对他域名使用通配符对他整体进行一个加黑,触发这些域名就会高级。
注意:全设置里打开dns流量监控,不然检测不到,
#资产频率变更设置
#产品联动
#护网期间,推荐的开启项
ss
