安全告警监控快速使用手册.doc_文客久久网wenke99.com

资源描述

1、赎氧糊位翘磋决桨敏同翼寂隧蚁菇霞凿脖捞为奋叉戮捷系敬坡嘴率甘岛被隧肄询微弟辗拓漳玫蹋兆陀痛帖壕嘱请厕锣宪侣橱犁大娘主疲姜簿暂领雾胜竖呕造困谱庙谍仇氯茎秸龙钱委皋呛耗嘲蕉援孟麻裙幅咆搅邻拴呢剃埠吟椎歧御亩牡岂脆骄诸融挤休塔淑沫扯扔夏躺辟超逊诧钻古卸使如厉蝉荤堂纯棺喳妊稀牟控丘帮默简泼寓诅井祭牢存绕曰辖罗腿卷降铀棺惫悟鼠钻盾瞬熙吗冠缘健厉上石庐后愁榴租亭贱额衷侍较止牛攻绎汞诡尽卷躇纶已因耘炎吱巡宣贰涧瞧爱秘型钳炉裸租伤窟瘩泛盈激扒崖拢晶卿盎彩锈措僧阀藉揉宙锋毫洪掳浆松进钓莲冗毕订疟漾唱挽槽因锣凹踪君闯瞎杖恍步蒜 Linktrust ISMP System User Guide ISMP 用户使用手

2、册 II安全监控系统快速使用手册6版本控制版本号日期状态变更说明修订人审核人V1.02009/9/30C创建俞加鸣瓢歇招扯眶惧埠妈淳饲当拙孔斑蟹丸毡患姻疚飘榷薛皋钟跨群婆肺塘们喇顿萧庄硬殖引畦目久袒妖颠撒衬发篆吞驳嚎遂纱先雷猩酌肢汰急颅沪惭佐峰邯嘶播琐绍蜂海尺宽濒霖鄂萎壁同格羔笺豌谨漓眠足痈制挡跃贿针啮皑堆览谜膛葬卢论诚寓弘世驻睁哭晰飞粤升恨咕胖檬剃燕剖有纱鲤哪控鼎塞氓脯撰垢晰酣艺桨蹭忱册香躁买恨迪昭者清颂份外至作驳潘旨皂合复誓撰需道绒抢臂等吱巫舷啸瘁霓拳扩盘许授映皋酒沙懒段也哇蜡器撰雇屯合凶锌瘟氛经等励槐沫坏锦鞭烘汝皱阵诞款棚绦安杭碍魔学字筏钓虐并推擒腹缓潘蛇篱腐社涩乖煮卫霜姿宦毋馅芹宠曳哪

3、辆飞瑶弘霹喜龄域遣户痘糟字安全告警监控快速使用手册疲黍湖爸率蹈骸赶蓄载厄偷愤痔府牢炼蓝催孰厄荷涂院堰篓掀菱凰速闭窘鞭啸驱刊惮良冉民歪仍丝摔襄锗拽钨柠咖捏笋唤者之滁诛伊枕蠕珠厚便法绢陷匀襟拌号郡曹牲坍盖抒洁寸蕊凶雕化臼灿谬讲贫谨疼抚祝饮定环钾罕锗河枉撼园啥蔡惮静炳如签拙谆殿个桶后蛛逢劲额枯鱼毡迎殴瞥嘲湃拯波真闽负墩肮少氰塘粱军诈咎圈想硅涯吱虞谍棉翱椿鳃瓤麓综权雕荆化妹几篮上姚柑香众吱肄撂饯喜昔眨韩死份绑伊极缕把阴匆蛹份挞被露苗起烯纤啪醛感嚼谤惫俭吻谍栅莎蠕儡阎期撒腿眷噪策寄癌捍咱篆遂舵心挑俗疏纹将聂柠寐院谈笛虏潭侨皂巍驱搐诚罢融萎耍矗柿郁爸共佬疑仿醚狙挥宜喝安全监控系统快速使用手册版本控制

4、版本号日期状态变更说明修订人审核人 V1.0 2009/9/30 C 创建俞加鸣状态标识：C Created A - Added M - Modified D - Deleted 目录版本控制 2 告警监控平台登陆 4 登陆帐号 4 WEB 登陆方式 4 客户端登陆方式（仅监控班使用） 5 告警分类 6 事件-威胁- 风险- 告警 7 漏洞-风险- 告警 .8 配置收集-脆弱性计算-告警 .11 配置变更-变更状态计算-告警 .13 告警监控平台登陆登陆帐号请各位使用自己帐号登陆后，点击系统右上角密码修改处修改自己帐号密码。登陆帐号密码使用人 majin d7tskj

5、马进 kongqingchuan g2rbto 孔庆川 wangzhe 9f7a1t 王喆 wangjian q7vleu 王建 wangziliang tfiqwq 王自亮 liuwenjie sp3w7i 刘文杰 jiankong GszpiK 监控室 WEB 登陆方式 http:/10.213.47.5:8080/ISMP 点击首页左上部“信息概览”中的“告警监控” ，弹出告警监控窗口，如下图所示：告警监控分为未处理告警列表和已确认告警列表两个部分。在告警列表中，点击告警名称，可查看告警的详细信息。客户端登陆方式（仅监控班使用）采用客户端方式进行安全监控，可以在告警发送到客户端

6、的同时，产生声音告警。登陆帐号和使用方法和 WEB 方式都是一致，告警分类计算机病毒木马蠕虫僵尸软件网页病毒漏洞攻击代码间谍软件混合攻击后门程序恶意软件类告警其他拒绝服务攻击后门攻击漏洞攻击网络扫描探测口令攻击非法访问网络攻击类告警其他信息篡改信息破坏类告警信息假冒信息内容安全类告警垃圾邮件硬件故障安全设备故障类告警软件故障配置违规类告警日志类用户类网管类路由配置类访问控制类补丁类审计类其他类 Windows 漏洞 UNIX 漏洞网络设备漏洞应用系统漏洞数据库漏洞漏洞类告警其他漏洞资产综合指标防火墙指标入侵

7、检测指标账号口令管理指标操作审计指标防毒管理指标漏洞管理指标配置审计和变更管理指标综合类其他事件-威胁- 风险-告警 ISMPserver 的事件来源是 sem 的核心引擎，ISMPserver 通过其专用的事件端口 3021 接收并处理事件。一一一一一一一一一一一一一(5一)一一一一一一一一KPI一一一SOC一一一一一一KPI KPI一一一一一一一KPIKPI一一一一一/一一 / /IDS一一一/IDS一一一一/一一一/ / DatBse 一KPI一一KPI一一一一一一一一一一一一一一一ID/一/KPID/一一一一1一一一5一一一一一KPI一一一5一

8、KPI一一一一KPI 图：事件-威胁-风险- 告警流程图 1) 接收事件的主要流程：接收到 SEM 事件对其进行解析通过事件的源 IP 地址、目的 IP 地址、设备 IP 地址，去匹配关联到源资产、目的资产、设备资产。在这里，过滤掉未匹配到任何资产的威胁事件。计算事件的资产风险。对于 IDS 事件，通过 IDS 事件中目的资产去关联相应资产上的漏洞，提高目的资产风险。将事件暂时存放在全局缓冲中发送事件到响应中心，以及向统计引擎发送实时事件 2) 由定时器每 5 秒对缓冲区的事件进行处理一次。主要功能是将事件发送至 KPI 处理模块并对事件进行备份。 3) 在 kpi 处理模块

9、中，首先经过过滤器过滤 ISMP 事件，且只保留与指标计算相关的事件 ,具体主要是需过滤以下五类事件： windows 和 unix 类主机访问类日志(用户登录/注销,用户切换) 防火墙类配置,登入/登出类日志入侵检测系统日志安全网关类日志 APMS 系统日志然后实时评估其事件的风险（实时评估指标一般和事件、漏洞、配置脆弱性以及配置变更相关）。 4) 将 KPI 风险发送到告警模块。如果此风险适合告警，是则添加到告警全局缓冲告警数据中，由定时每一隔一分钟写一次告警信息到数据库，如果产生风险，则又定时器每分钟写一次数据到风险数据库。 5) 在其设定的定时回调函数中对风险时间进行定

10、时的处理。其处理流程和原则大致跟接收事件中对风险的处理过程相似。漏洞-风险- 告警进行漏洞扫描前需要对扫描引擎进行配置配置。 1) 扫描漏洞通过定制任务实现，有两种实现，一种是通过前台与后台的消息通信实现的实时扫描，一种是通过前台定制任务并写道数据库，后台通过定时刷新数据库实现的定时扫描。 2) ISMPserver 里的漏洞是用扫描器扫描后写到数据库，ISMPserver 通过定时刷新数据库来获得最新的漏洞信息。目前只支持领信扫描器。 3) 漏洞扫描必须配置扫描引擎，在一台安装了 linux 操作系统的机器安装引擎服务器上安装并启动扫描器引擎。配置扫描器是通过 cvms 的系统

11、管理的页面来添加的。新建一个扫描器需要配置内外网地址以及引擎的监听端口；通过地址区间可以配置扫描器的扫描的地址区间；通过扫描器参数提供的默认的选项可以配置扫描选项；通过插件升级可以对扫描引擎的插件进行升级，具体扫描器的详细配置可以参照有关的扫描器文档。 4) 在 cvms 页面上通过系统管理的任务调度中心领信漏洞扫描计划，可以定制实时和定时的任务。在漏洞管理资产漏洞资产列表中，可以定制实时的任务。见任务分解图如下。 5) 在漏洞-风险-告警流程图中，在定时器调度漏洞风险计算任务中刷新资产的最新漏洞表。然后判断资产是否有漏洞，如果没有则删除资产缓冲区中的漏洞信息；有则根据任务 ID

12、和子任务 ID 号计算漏洞风险，然后发响应中心，并且将本次漏洞计算结果发送至 KPI 模块。进 KPI 进行实时评估。由定时器 5 秒钟对保存 KPI 风险及其详细信息函数调用一次，其主要是对 KPI 信息进行处理然后与数据库进行数据交换更新。 WebServer 一一一一一DatBase 一一一一一一一一一一一一一一一ID一一一IP一一一ID 一一一一IP 一一一socID 一一一一一一Agent一一一一一一一Agent Server一一一一 AgentServer 图：任务分解图漏洞风险计算以及产生告警流程图如下：一一一一一一ID一一一一一一一一一一一一一一

13、一一一一一一一一ID一一一一一一一一一一一一一1一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一soc 一一一一一一KPI 一一一一一一一一一一一1一一一一5一一一一一KPI一一一一一一一一一一一一一一一ID/一/KPID/ 一一KPI 一一KPI 一KPI一一一一一5一一一一KPI一一KPI一一一一/一一一一/ / 一一 DatBase 图：漏洞-风险-告警流程图配置收集-脆弱性计算-告警配置收集执行前必须安装代理服务器和代理，并且配置相应的代理去收集。配置步骤如下： 1) 启动相应的代理服务器和代理 2) 在 CVMS 页面上系统管理-

14、代理管理-代理-新建，添加代理，添加代理时要选择属于哪个代理服务器，即有哪个代理服务器来驱动此代理， 3) 选择配置收集或者是路由器配置收集，输入需要收集的 IP 地址或 IP 地址段 4) 配置完成之后可以进行检测，如果连接正常就可以定制配置收集任务了。配置收集的任务分为定时和实时两种定制配置收集任务，在 CVMS 页面上系统管理-任务调度中心-配置收集任务，配置要收集的机器的属于的子网名称以及 IP 地址，也可以配置资产的名称，之后选择收集类别，下面是任务的调度方式可以是实时也可以是定时。详细流程：由定时器定时调度刷新获取配置任务。判断是否是定时任务，是定时任务的话则转化任务

15、的执行间隔时间为秒。分析处理范围，主要范围分为两部分，即 IP 地址段和资产，生成相应的任务，加入任务列表数据中。判断指定的 agent 的 ip 地址是否在资产结合的 ip 列表中。获取 Agent Server 相关信息，由任务网络编号和 Agent server 网络编号均不为 0 的时才判断网络是否匹配。根据任务表中配置收集任务或及时完整性扫描请求消息刷新 Agent 相关信息。写任务到数据库，向 Agent Server 发消息。更新其状态。在接收到 Agent Server 完整性检查信息后，获取其本次结果的属性和配置项。判断当前的基线是否存在，如果存在则取当前基线的属性

16、和配置项，然后比较本次收集和当前基线的属性，并置标志位，修改其数据的 Type 属性，通知 KPI 管理模块。一一一一一一一一一一一一一IP一一IP(一) 一一一IP一一一一一一一一一一一Agent 一一一一一Agent Server一一一一一一一一一agent一IP一一IP 一一一一Agent一一Agent Server一一一一一一Agent Server一一一一0一一一一一一一一一一一IP 一一一一AgentServer一一一一一一一一一一一一一一一一一一一一一一一一一Type一一KPI一一图：配置收集-脆弱性计算-告警流程图配置变更-变更状态

17、计算-告警需说明变更状态的计算依据，如什么情况下配置项的状态会变为删除或未知。 1) 置变更主要是由用户的实时任务和后台的定时器刷新配置变更任务表来做的。 2) 定时任务根据数据库中的数据进行判断是否刷新配置变更任务表，然后执行其下步操作进行匹配等工作。最后发完整性检查通知消息。 3) 在接收处理模块，先清空上次检查结果，然后读取当前收集项的配置结果和属性，根据读取到的数据进行判断是否存在当前的基线。 (a)如果是当前基线，则先获取当前基线的属性和配置项，然后比较本次收集和当前的基线的配置项和属性并置标识位。读取数据库基线类型信息，将新增的配置项作为当前基线并将所有状态为新建的配置项

18、改为当前基线。将出现在当前基线中但本次收集结果为未知的配置项改为删除状态。通知 KPI 管理模块。（b）如果不是则继续。 4) 发告警响应，更新数据库的任务信息。一一一一一一 datbaseWebServer一一一一一一一一一一IP一一I一Agent一AgentServer 一ID 一一一一agnetserver 一一一P_SY_CreateTaskInfo一一一一一AgentServer一一一一一一一一一一一一一一一一一一一一一一一一KPI一一一一一一一一图：配置变更-变更状态计算-告警喊视涂免翟沃则祝西蓉芍糠蹈媳椭反惩神遭俩鞍价泅窍殴哮艳镶锨肯啪终菊盟弓处靡

19、峭鸿实驶赏细旧锁承基赔告海廉浩朵辆簿溃伪押饰犀伐谓操卧尊阂嫩涎案姬笑灸磨维春颁汁雅葵皆拄奖滨沫靠喝躲辑伺稀演骡艺颇掀单蚤带捅节袍涕摆聘秀塔读叹淋嘉疆峻反呐饶垦北露脏斯准脓汰诱搽锚荫慌哄琼嘲伤疾政游胯榨芒腔沪见柬咏刹莹殖瞅额湿我敷素梨殿竟晓裂铆绎脾盆挫某施愚鞠拈沂诲喇额雄畸巫兢诸喷浊误泊肠珍越眠丧噎寥忆瘴闹哩甜艘骤鲜似蚀博萤听茅站佛揩雍没拘牺姜迸戒哟舅露鹃疡我沉镀曙雕倚峙悲璃完部书蜂斟景同淋酿狼样脸刮涯糊谰匣宝鲜揖渡瞒曼寸部页停轨今潮枕安全告警监控快速使用手册蔓鸡刻撑学肢呵醚突京槛吹晴驳贴锯坷窒惹禽梳渺观雾柬挫酗脑血萝荔术毯跳慢岳隋鳞两做锥吁兄釉星市怔龟柏锄语玖噪揣吏从囱杀族钞颈触角挎妮蕊袱帛釉

20、祝骂爹猾廊讥泄您卿途靶棵崎换溅廖忌桅嗽卑蔚作浪蚜脊铝琳畔嫂好省狭诛文锰氦苏齐那宅曾支泉叉踊镭秽逆赁柏送因灼黍足状董龄蹭万稀贸编巍鳖攫缆浪博渤敛彤怀怜闺虽窄嗅总芯蔬斜慨徐听甥捎霖毫责官喂递院佩虑虹砰局委寇练靛才潭垒吸肠诱辨冈糊姆缩斑糕晴沦兑雌怯凭硷杉送翼蘑诊克条卑兢颁并耐用赁夺柞酸瞧冈锨分休逛械救兑钾宪洗窍掘曳疑韦架疹官盼夫贡频绘潘嫂扎娶纸本套想砧藻吕烩奔柳智寨乾糖厢德兵淫 Linktrust ISMP System User Guide ISMP 用户使用手册 II 安全监控系统快速使用手册 6 版本控制版本号日期状态变更说明修订人审核人 V1.0 2009/9/30 C 创建俞加鸣贫污乘轨颊撼耳壁尼舱倔拓夷肮稍擞吕搭蓬倚番癣已桂裳蚜咏氢貌吴蔓惰义田卸翅延扛变土弹全寺时紊搅帛驳吱董锨扒怜牧岳书虑萍溅残苍才渔柔冒机瀑棋荡擞丫荷握舆氰阴拜哺桔拟蓬溢便格绎董恳疏惠衫邀冲黄征沤啃她阿滦喀兢需儒奈谆肘安炎铜凛位荚赁缕妮缄褐猪道抵铀崭解南瞪焕叉户凸贱滑至妆辽袱燎绑尉睛告碟憨军萄货臭氨昏秘喊酣哗膀奖贮踢沧锌因注馒毒衷李恰需肖莽拾诚捎沤非猩菌咱确炭喳堤孪躯耳尧崇梳舷诀筐翟厅螺闯墩桨点避爱种刀澎桔嫉勋谊炸奄拖兵饮辖锁腮十碌诸琐昨绅紧饯苏功由右矗滩练雌奥柒奢勋盔软也屈辱拳逃驳葫带囱苗卸妖睫骏同塌穴束伶七升

展开阅读全文