NetEye安全運(yùn)維平臺(tái)系統(tǒng)V5.0_培訓(xùn)講義

1、NetEye安全運(yùn)維平臺(tái)系統(tǒng)V5.0培訓(xùn)講義網(wǎng)絡(luò)安全事業(yè)部東軟集團(tuán)股份有限公司目錄1 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊統(tǒng)一運(yùn)維監(jiān)管平臺(tái)多視角落實(shí)安全策略 制定任務(wù)計(jì)劃 出具分析報(bào)告提供統(tǒng)一信息安全態(tài)勢(shì)與風(fēng)險(xiǎn)監(jiān)測(cè)服務(wù)安全視角業(yè)務(wù)視角決策視角運(yùn)維視角平臺(tái)管理視角業(yè)務(wù)異常監(jiān)測(cè)告警風(fēng)險(xiǎn)管理預(yù)警發(fā)布運(yùn)維管理數(shù)據(jù)采集實(shí)時(shí)覆蓋整體網(wǎng)絡(luò)與業(yè)務(wù)可用性監(jiān)測(cè) 安全事件審計(jì) 關(guān)鍵業(yè)務(wù)行為感知集中多源數(shù)據(jù) 統(tǒng)一研判提升預(yù)警監(jiān)測(cè)準(zhǔn)確率 任務(wù)處理與響應(yīng)為用戶構(gòu)建統(tǒng)一的監(jiān)測(cè)預(yù)警風(fēng)險(xiǎn)感知產(chǎn)品安裝單機(jī)部署軟硬一體設(shè)備，部署方式靈活，不受限制，只要能通過網(wǎng)絡(luò)訪問相應(yīng)的監(jiān)控對(duì)象即

2、可。部署靈活局域網(wǎng)路由器防火墻交換機(jī)分布式部署當(dāng)監(jiān)控資產(chǎn)數(shù)量較多時(shí)，平臺(tái)支持分布式部署，數(shù)據(jù)采集引擎的部署能夠靈活擴(kuò)充，平臺(tái)對(duì)所有數(shù)據(jù)采集引擎進(jìn)行統(tǒng)一管理。靈活擴(kuò)展北京上海沈陽南京武漢廣州重要術(shù)語原始日志：是指從網(wǎng)絡(luò)設(shè)備、安全設(shè)備等系統(tǒng)中發(fā)出的原始信息。安全事件：是指經(jīng)平臺(tái)分析后，確認(rèn)該信息會(huì)對(duì)系統(tǒng)、網(wǎng)絡(luò)造成威脅和影響的信息。故障事件：對(duì)設(shè)備自身故障的監(jiān)控，如數(shù)據(jù)庫沒有啟動(dòng)、接口down等，生成故障事件。性能事件：對(duì)設(shè)備的KPI監(jiān)控，如內(nèi)存利用率超過所系統(tǒng)所配置的閾值，生成性能事件。配置事件：對(duì)Linux操作系統(tǒng)進(jìn)程和端口的監(jiān)控，如進(jìn)程down。重要術(shù)語（2）智能關(guān)聯(lián)事件：攻擊行為觸發(fā)預(yù)定義的

3、攻擊場(chǎng)景模型，系統(tǒng)自動(dòng)分析日志的結(jié)果。脆弱性：存在于被威脅的客體上（可能是天生就存在的），可被威脅所利用而導(dǎo)致安全性問題 。一般指掃描器上報(bào)的脆弱性。資產(chǎn)價(jià)值：根據(jù)信息安全標(biāo)準(zhǔn)，把資產(chǎn)分級(jí)，以量化資產(chǎn)在系統(tǒng)中的重要性。風(fēng)險(xiǎn)：風(fēng)險(xiǎn) = f ( 資產(chǎn)價(jià)值，脆弱性，事件)。重要術(shù)語（3）日志過濾策略：在收集日志信息的時(shí)候，通過定義一組過濾規(guī)則，搜集符合規(guī)則的日志信息。事件生成策略：根據(jù)歸并規(guī)則，對(duì)于按某些屬性值大量重復(fù)出現(xiàn)的事件進(jìn)行合并，在一段時(shí)間內(nèi)，或達(dá)到一定數(shù)量時(shí)，只報(bào)告一條歸并事件，其中攜帶歸并數(shù)目的信息。事件忽略策略：對(duì)于上報(bào)的一些對(duì)系統(tǒng)沒有影響的安全事件，可以采用忽略策略的時(shí)間、事件名稱和

4、ip等條件進(jìn)行過濾，忽略的事件不參與風(fēng)險(xiǎn)的計(jì)算。系統(tǒng)登錄登錄方式：https:/x.x.x.x/soc支持IE7/8/9/10/11缺省賬號(hào)：超級(jí)管理員：admin/1系統(tǒng)管理員：sysmanager/1系統(tǒng)審計(jì)員：sysauditor/1運(yùn)維首頁快捷訪問目錄1 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊權(quán)限管理用戶管理員運(yùn)維管理員系統(tǒng)審計(jì)員自定義角色（細(xì)粒度）自定義權(quán)限數(shù)據(jù)權(quán)限用戶管理用戶鎖定與解鎖被被鎖定的用戶不能登錄鎖定的用戶不能登錄SOC系統(tǒng)系統(tǒng)下面兩種方式會(huì)將賬號(hào)鎖定下面兩種方式會(huì)將賬號(hào)鎖定超級(jí)管理員手工鎖定超級(jí)管理員手工鎖定連續(xù)連續(xù)6登錄

5、失敗自動(dòng)鎖定登錄失敗自動(dòng)鎖定安全域管理機(jī)構(gòu)管理資產(chǎn)管理-概覽資產(chǎn)管理-添加資產(chǎn)管理-批量添加資產(chǎn)管理-文件導(dǎo)入資產(chǎn)管理-自動(dòng)發(fā)現(xiàn)資產(chǎn)管理-導(dǎo)出資產(chǎn)管理-自定義資產(chǎn)屬性資產(chǎn)管理-報(bào)表統(tǒng)計(jì)報(bào)表生成公告信息目錄1 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊Syslog報(bào)文日志發(fā)送配置（操作系統(tǒng)）日志發(fā)送配置（網(wǎng)絡(luò)設(shè)備）日志接收配置多維度分析安全事件事件列表事件詳細(xì)信息數(shù)據(jù)分布圖攻擊關(guān)聯(lián)圖基于攻擊場(chǎng)景關(guān)聯(lián)分析攻擊場(chǎng)景細(xì)粒度的規(guī)則定義支持圖形和腳本兩種定義方式時(shí)間窗特性基于資產(chǎn)漏洞關(guān)聯(lián)分析與資產(chǎn)漏洞關(guān)聯(lián)與資產(chǎn)操作系統(tǒng)關(guān)聯(lián)與資產(chǎn)端口關(guān)聯(lián)基于資產(chǎn)的攻擊疑似度計(jì)算模

6、型脆弱性掃描脆弱性查看事件策略事件策略2目錄1 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊監(jiān)控器 針對(duì)于同一設(shè)備上的不同監(jiān)控內(nèi)容，通過多種類型監(jiān)控器進(jìn)行監(jiān)控服務(wù)器設(shè)備數(shù)據(jù)庫中間件操作系統(tǒng)中間件監(jiān)控器數(shù)據(jù)庫監(jiān)控器操作系統(tǒng)監(jiān)控器健康度 代表監(jiān)控器不能進(jìn)行監(jiān)控，主要原因有設(shè)備不能聯(lián)通或系統(tǒng)配置有誤 代表監(jiān)控器工作正常，可以準(zhǔn)確監(jiān)控資產(chǎn)是否出現(xiàn)告警 代表監(jiān)控器異常，無法獲取監(jiān)控?cái)?shù)據(jù)，主要原因有監(jiān)控器被停止或監(jiān)控代 理程序出現(xiàn)問題24小時(shí)健康度創(chuàng)建監(jiān)控器銳捷網(wǎng)絡(luò)設(shè)備監(jiān)控1、登陸銳捷網(wǎng)絡(luò)設(shè)備，開啟SNMP訪問功能：(config)#snmp-server com

7、munity community 2、登陸統(tǒng)一運(yùn)維監(jiān)管平臺(tái)，建立監(jiān)控器銳捷網(wǎng)絡(luò)設(shè)備監(jiān)控（2）銳捷網(wǎng)絡(luò)設(shè)備監(jiān)控（3）Windows監(jiān)控-添加SNMP組件打開 開始管理工具服務(wù)器管理器，找到功能摘要標(biāo)簽：Windows監(jiān)控-開啟SNMP服務(wù)配置SNMP只讀字符串和允許訪問的地址，地址填寫28，重新啟動(dòng)，重新啟動(dòng)SNMP服務(wù)。服務(wù)。Windows監(jiān)控1、登陸Windows，開啟SNMP訪問功能：2、登陸統(tǒng)一運(yùn)維監(jiān)管平臺(tái)，建立監(jiān)控器Windows監(jiān)控（2）Oracle數(shù)據(jù)庫監(jiān)控Oracle數(shù)據(jù)庫監(jiān)控（2）Tomcat中間件監(jiān)控1、修改Tomcat配置文件bin/catalina.

8、bat，增加下列參數(shù)：set CATALINA_OPTS=%CATALINA_OPTS% -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.port=8999 2、登陸統(tǒng)一運(yùn)維監(jiān)管平臺(tái)，建立監(jiān)控器Tomcat中間件監(jiān)控（2）監(jiān)控器報(bào)表性能/故障/配置事件報(bào)表應(yīng)用拓?fù)鋺?yīng)用拓?fù)渑渲媚夸? 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊網(wǎng)絡(luò)拓?fù)浍@取資產(chǎn)接口拓?fù)浒l(fā)現(xiàn)拓?fù)湫薷耐負(fù)淞髁渴录阅苁录褐攸c(diǎn)接口流量超出設(shè)定的閾值并連續(xù)達(dá)到設(shè)定的次數(shù)，將生成性能事件；故障事件：重點(diǎn)接口狀態(tài)從UP至DOWN，將生成故障事件。目錄1 系統(tǒng)概述3 安全管理模塊2 系統(tǒng)管理4 主動(dòng)監(jiān)控模塊6 運(yùn)維工作流模塊5 網(wǎng)絡(luò)管理模塊拓?fù)淞髁渴录l(fā)現(xiàn)事件是安全監(jiān)控運(yùn)維管理平臺(tái)的起點(diǎn)，合理處置事件是安全運(yùn)維監(jiān)控管理平臺(tái)的目標(biāo)。通過平臺(tái)的工單功能，能夠形成發(fā)現(xiàn)事件-跟蹤事件-處置事件-關(guān)閉事件的流程。使得安全事件被真正處理，有效降低用戶網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。發(fā)現(xiàn)事件跟蹤事件處置事件關(guān)閉事件確認(rèn)