奇安信天眼--探针/分析平台部署及联动

2024-09-03 23:20

本文主要是介绍奇安信天眼--探针/分析平台部署及联动,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

奇安信天眼–探针/分析平台部署及联动

  • 一 概述
  • 二 探针/分析平台部署及联动
    • 1.网络拓扑
    • 2.配置流量传感器(探针)
      • (1)登录控制台
      • (2)配置接口
      • (3)配置默认路由及DNS
      • (4)配置SNMP
      • (5)在探针联动分析平台
    • 3.配置分析平台
      • (1)登录控制台
      • (2)配置接口
      • (3)配置默认路由及DNS
      • (4)配置SNMP
      • (5)在分析平台联动探针
      • (6)新增采集设备
  • 三 检查
    • 1.部署完成,注意检查传感器和分析平台的联动情况。
    • 2.注意数据传输加密是否一致
  • 四 其他事项
    • 1.授权导入
    • 2.部署时需要的信息
    • 3.其他相关文章(奇安信知识库)

产品简介
天眼安全感知系统包括三种设备,流量分析、文件威胁鉴定器、威胁分析平台。

流量分析设备,即传感器,通过接收用户镜像的流量,提供网络异常行为检测,同时提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

文件威胁鉴定器设备,即沙箱,通过与传感器联动,收集传感器文件和log日志记录,基于多种混合检测引擎产生问题文件告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

威胁分析平台,即安全感知系统,通过与传感器联动,收集传感器log日志记录,基于规则库提供模式匹配,命中规则即告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。

一、概述

奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、流量传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。

一般仅需分析平台,流量传感器(探针)这2台设备配合使用。
也有先锋版天眼,一台设备包括流量传感器和分析平台的功能,不需要额外的联动配置

  1. 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
    告警日志。
  2. 天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加
    密传输给天眼分析平台。

在这里插入图片描述

在这里插入图片描述

二、探针/分析平台部署及联动

1.网络拓扑

请添加图片描述

2.配置流量传感器(探针)

(1)登录控制台
  1. 默认web控制台地址:192.168.0.1(直连MGT口,自己电脑的IP要改为同网段的)
  2. 远程管理地址:1.1.1.1(需要自己配置)
  3. 默认账号:admin 默认密码:admin

在这里插入图片描述

(2)配置接口
  1. 管理接口:
    eth0口 直连口,本地管理,PC直连设备访问web页
    eth1口 远程管理端口(同时也是联动端口)
  2. 监听端口: eth2-eth5口连交接机镜像口
    在这里插入图片描述
(3)配置默认路由及DNS
  1. 远程管理口需要做默认路由指向网关
  2. DNS根据客户要求,选择是否配置内部DNS服务器地址

在这里插入图片描述

(4)配置SNMP

端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
注:snmp get UDP 161/snmp trap udp 162

在这里插入图片描述

(5)在探针联动分析平台
  1. 联动分析平台的地址1.1.1.2,端口号7755(固定的)

在这里插入图片描述在这里插入图片描述

3.配置分析平台

(1)登录控制台
  1. 默认web控制台地址:192.168.0.1
  2. 默认账号:tapadmin 默认密码:admin

在这里插入图片描述

(2)配置接口
  1. 管理端口
    eth0口 直连口,本地管理,PC直连设备访问web页
    eth1口 远程管理端口(同时也是联动端口)

在这里插入图片描述

(3)配置默认路由及DNS
  1. 远程管理口需要做默认路由指向网关
  2. DNS根据客户要求,选择是否配置内部DNS服务器地址

在这里插入图片描述

(4)配置SNMP

端口号:161
协议服务类型:UDP
版本号:2c
团体字:public在这里插入图片描述

(5)在分析平台联动探针
  1. 联动探针的地址1.1.1.1

在这里插入图片描述
在这里插入图片描述

(6)新增采集设备

在这里插入图片描述在这里插入图片描述

三 检查

1.部署完成,注意检查传感器和分析平台的联动情况。

  1. 查看设备连接状态是否正常。
  2. 若为断开,首先相互ping一下,查看是否能通。
  3. 不通的话,将传感器和分析平台的管理口直连,查看是否能通,连接状态是否正常。(这样做是排查是否是客户交换机配置问题)
  4. 若还是显示断开,检查设备配置、排查硬件问题。
    (注意:天眼检测联通性,会用到icmp,部分客户网络做策略禁ping,会导致监控状态为断开,但是日志等功能还是正常)

在这里插入图片描述

2.注意数据传输加密是否一致

加密算法及密钥不一致,也会导致设备异常

如果没有设置加密,则两边都不要设置。
如果设置了加密,传感器和分析平台加密设置必须一致。
在这里插入图片描述

四 其他事项

1.授权导入

新设备,配置完成后需要导入授权,否则设备无法正常运行。

2.部署时需要的信息

需要用户提供,天眼的地址,网关,DNS,以及交换机上提前做好镜像口

3.其他相关文章(奇安信知识库)

如何对接天眼分析平台
https://kb.qianxin.com/detail/95ce749030d

天眼探针往分析平台传数据, 分析平台上没有数据
https://kb.qianxin.com/detail/82775855531

三、天眼框架

监测中心

威胁感知

分析中心

响应处置

资产感知

报表感知

报表报告

系统管理

全局导航

监测中心

仪表台

主要应用誉告警统计图文版,包含威胁名称,网络攻击告急数量统计,威胁情报告警类型分布,威胁情报告警趋势,告警数量时序图,整体视图,外部攻击,外联攻击,告警环比,告警类型分布,告警威胁级别分布,告警趋势,告警类型数据统计,WEB攻击告警数量统计,告警攻击阶段统计,横向攻击告警数量统计,告警攻击阶段统计,外联攻击告警数量统计,等。

监测工作台

主要对告警类型进行统计和重点监测,包含失陷主机,外部攻击,横向攻击,越权访问,暴力破解,弱口令,挖矿专项,补天漏洞

态势感知

与高级版都是可视化的感知地球

态势感知高级版

威胁感知
告警列表

流量传感器

主要应用的是天眼日志的语法的检索

Dip被攻击的IP

Dport被攻击的端口

Sip源IP

Sport源端口

url请求的url地址

data请求包的正文内容

status响应包的状态码

client_os运算符号AND OR 或NO

全部告警

未处置告警 检索列如:status=”未处置” AND is_white=”否”

webshell管理 检索列如:threat_name LIKE “冰蝎” OR threat_name LIKE “蚁剑”

文件上传成功告警

文件上传企图告警

木马通信类告警

代码执行成功告警

文件威胁鉴定器

全部告警

恶意告警

邮件威胁检测系统

全部告急

恶意附件告警

钓鱼邮件告警

攻击诱捕系统

全部告警

高危告警

智慧管理分析系统SMAC

全部告警

服务器安全管理系统(云锁)

全部告警

webshell告警

命令执行告警

SQAR自动化编排场景

全部告警

全部

威胁视角

挖矿专项

当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿

挖矿的阶段

1恶意代码传输-2远控通信-3.链接矿池-4.登录矿池-5.获取挖矿任务-6.提交挖矿份额

威胁情报

威胁统计:【恶意软件】远控木马,【恶意软件】窃密木马,【恶意软件】黑市工具,【恶意软件】流氓推广

威胁级别分布:低危,中危,高危,危机

命中的威胁情报

应用安全

web安全

数据库安全

中间件安全

邮件安全

系统安全

暴力破解:暴力破解列表,源IP暴力破解列表,目的IP暴力破解列表

弱口令

未授权访问

设备安全

攻击者视角
资产视角
情报中心

情报管理

研判分析

分析中心

日志检索

快捷模式-本级-索引类型

高级模式-本级--索引类型

(原始告警日志---告警日志-webshell上传-网页漏洞利用-网络攻击-威胁情报告警)

(设备告警日志----流量传感器-文件威胁鉴定器-邮件威胁检测系统-攻击诱捕系统-云锁服务器安全管理系统)

专家模式-本级--索引类型

行为分析

DNS服务分析

可疑DNS解析-疑似DNS服务器发现-链路劫持分析-DNS重绑定分析

非常规服务分析

可疑代理-远程工具-反弹shell

邮件行为登录

邮件异常类型分布-邮件异常类型统计

登录行为分析

暴力破解-异常登录-特权账号登录-弱口令-明文密码泄露

WEB服务器行为分析

非常用请求方法-可疑爬虫或扫描-后门上传利用

数据库行为分析

数据库高危操作分布 受影响资产TOP10

访问行为分析

外部访问-横向访问-内部主机外联-风险端口访问-可疑来源

黑IP行为分析

告警统计图--告警趋势图

旁路阻断行为分析

阻断类型分布-旁路阻断趋势

全流量取证分析

约等于wireshark(支持wireshark查询规则过滤语法)

天眼狩猎

响应处置

处置编排
工作流程

华三防火墙处置流程(流程开始-多条件分析判断-

{创建安全策略--新增生效策略--流程结束

{查询生效策略-删除安全策略-删除生效策略-流程结束)

山石防火墙处置工作流(流程开始-多条件分支判断

{创建安全策略-新增生效策略-流程结束

{查询生效策略-删除安全策略-删除生效策略--流程结束)

奇安信上网行为管理处置工作流(流程开始-多条件分支判断-

{阻断—新增icg生效策略-流程结束

{阻断-新增icg生效策略-流程结束

{查询icg生效策略-取消下发的命令-删除icg生效策略—流程结束

天擎v101处置流程(流程开始-多条件分支判断

{终端隔离

{取消终端隔离

{全盘扫描

)

联动服务

主要是用于第三方软件的服务例如:AbuseIPDB ,Box管理,奇安信新一代智慧防火墙等

任务脚本

主要用于添加动作,例如多条件分支判断等

帮助文档

策略管理
策略定义

新增策略定义

策略名称 处置动作(和上面的工作流程有关) 联动设备

策略联动

包含联动策略名称和自定义检索场景

处置记录
联动记录
资产感知
资产管理

主要进行的是对公司资产归纳收集,可以设置资产组等

资产发现

对现有资产进行收集

资产互访

业务访问态势 业务互访次数TOP10

IP地址管理

新增IP地址

脆弱性

威胁级别分布 漏洞资产风险值TOP10

配置核查

配置类型分布 配置核查资产TOP10

补天漏洞

主要用于漏洞情报和资产漏洞

报表系统
快速报表

可以新增报表设置首次执行事件和报表数据范围和报表格式,报表模板等

周期报表

报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计

任务周期:日报,周报,月报,季报,年报

任务状态:未启动,成功,失败,执行中

报表模板

报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计

来源:预定义,自定义

模板名称、创建

系统管理
自定义规则配置

规则ID 规则名称 CNNVD编号 CVE编号 告警类型 威胁等级 攻击结果 攻击链 设备 启用状态 下发状态 创建时间 更新时间 操作

新增自定义规则有

规则名称 威胁级别 告警类型 攻击结果 攻击链

包含基础配置和规则

基础配置:

CVE编号

CNNVD编号

漏洞描述

漏洞危害

解决方案

规则:

新增检测项:

检测位置 检测字段 匹配 值

这篇关于奇安信天眼--探针/分析平台部署及联动的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1134344

相关文章

闲置电脑也能活出第二春?鲁大师AiNAS让你动动手指就能轻松部署

对于大多数人而言,在这个“数据爆炸”的时代或多或少都遇到过存储告急的情况,这使得“存储焦虑”不再是个别现象,而将会是随着软件的不断臃肿而越来越普遍的情况。从不少手机厂商都开始将存储上限提升至1TB可以见得,我们似乎正处在互联网信息飞速增长的阶段,对于存储的需求也将会不断扩大。对于苹果用户而言,这一问题愈发严峻,毕竟512GB和1TB版本的iPhone可不是人人都消费得起的,因此成熟的外置存储方案开

流媒体平台/视频监控/安防视频汇聚EasyCVR播放暂停后视频画面黑屏是什么原因?

视频智能分析/视频监控/安防监控综合管理系统EasyCVR视频汇聚融合平台,是TSINGSEE青犀视频垂直深耕音视频流媒体技术、AI智能技术领域的杰出成果。该平台以其强大的视频处理、汇聚与融合能力,在构建全栈视频监控系统中展现出了独特的优势。视频监控管理系统EasyCVR平台内置了强大的视频解码、转码、压缩等技术,能够处理多种视频流格式,并以多种格式(RTMP、RTSP、HTTP-FLV、WebS

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟 开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚 第一站:海量资源,应有尽有 走进“智听

阿里开源语音识别SenseVoiceWindows环境部署

SenseVoice介绍 SenseVoice 专注于高精度多语言语音识别、情感辨识和音频事件检测多语言识别: 采用超过 40 万小时数据训练,支持超过 50 种语言,识别效果上优于 Whisper 模型。富文本识别:具备优秀的情感识别,能够在测试数据上达到和超过目前最佳情感识别模型的效果。支持声音事件检测能力,支持音乐、掌声、笑声、哭声、咳嗽、喷嚏等多种常见人机交互事件进行检测。高效推

如何解决线上平台抽佣高 线下门店客流少的痛点!

目前,许多传统零售店铺正遭遇客源下降的难题。尽管广告推广能带来一定的客流,但其费用昂贵。鉴于此,众多零售商纷纷选择加入像美团、饿了么和抖音这样的大型在线平台,但这些平台的高佣金率导致了利润的大幅缩水。在这样的市场环境下,商家之间的合作网络逐渐成为一种有效的解决方案,通过资源和客户基础的共享,实现共同的利益增长。 以最近在上海兴起的一个跨行业合作平台为例,该平台融合了环保消费积分系统,在短

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者