奇安信天眼--探针/分析平台部署及联动
奇安信天眼–探针/分析平台部署及联动
- 一 概述
- 二 探针/分析平台部署及联动
-
- 1.网络拓扑
- 2.配置流量传感器(探针)
-
- (1)登录控制台
- (2)配置接口
- (3)配置默认路由及DNS
- (4)配置SNMP
- (5)在探针联动分析平台
- 3.配置分析平台
-
- (1)登录控制台
- (2)配置接口
- (3)配置默认路由及DNS
- (4)配置SNMP
- (5)在分析平台联动探针
- (6)新增采集设备
- 三 检查
-
- 1.部署完成,注意检查传感器和分析平台的联动情况。
- 2.注意数据传输加密是否一致
- 四 其他事项
-
- 1.授权导入
- 2.部署时需要的信息
- 3.其他相关文章(奇安信知识库)
产品简介
天眼安全感知系统包括三种设备,流量分析、文件威胁鉴定器、威胁分析平台。
流量分析设备,即传感器,通过接收用户镜像的流量,提供网络异常行为检测,同时提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。
文件威胁鉴定器设备,即沙箱,通过与传感器联动,收集传感器文件和log日志记录,基于多种混合检测引擎产生问题文件告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。
威胁分析平台,即安全感知系统,通过与传感器联动,收集传感器log日志记录,基于规则库提供模式匹配,命中规则即告警,也提供系统的统一管理接口,管理采用B/S架构,用户可以随时随地通过浏览器打开访问。
一、概述
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、流量传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。
一般仅需分析平台,流量传感器(探针)这2台设备配合使用。
也有先锋版天眼,一台设备包括流量传感器和分析平台的功能,不需要额外的联动配置
- 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
告警日志。 - 天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加
密传输给天眼分析平台。
二、探针/分析平台部署及联动
1.网络拓扑
2.配置流量传感器(探针)
(1)登录控制台
- 默认web控制台地址:192.168.0.1(直连MGT口,自己电脑的IP要改为同网段的)
- 远程管理地址:1.1.1.1(需要自己配置)
- 默认账号:admin 默认密码:admin
(2)配置接口
- 管理接口:
eth0口 直连口,本地管理,PC直连设备访问web页
eth1口 远程管理端口(同时也是联动端口) - 监听端口: eth2-eth5口连交接机镜像口
(3)配置默认路由及DNS
- 远程管理口需要做默认路由指向网关
- DNS根据客户要求,选择是否配置内部DNS服务器地址
(4)配置SNMP
端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
注:snmp get UDP 161/snmp trap udp 162
(5)在探针联动分析平台
- 联动分析平台的地址1.1.1.2,端口号7755(固定的)
3.配置分析平台
(1)登录控制台
- 默认web控制台地址:192.168.0.1
- 默认账号:tapadmin 默认密码:admin
(2)配置接口
- 管理端口
eth0口 直连口,本地管理,PC直连设备访问web页
eth1口 远程管理端口(同时也是联动端口)
(3)配置默认路由及DNS
- 远程管理口需要做默认路由指向网关
- DNS根据客户要求,选择是否配置内部DNS服务器地址
(4)配置SNMP
端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
(5)在分析平台联动探针
- 联动探针的地址1.1.1.1
(6)新增采集设备
三 检查
1.部署完成,注意检查传感器和分析平台的联动情况。
- 查看设备连接状态是否正常。
- 若为断开,首先相互ping一下,查看是否能通。
- 不通的话,将传感器和分析平台的管理口直连,查看是否能通,连接状态是否正常。(这样做是排查是否是客户交换机配置问题)
- 若还是显示断开,检查设备配置、排查硬件问题。
(注意:天眼检测联通性,会用到icmp,部分客户网络做策略禁ping,会导致监控状态为断开,但是日志等功能还是正常)
2.注意数据传输加密是否一致
加密算法及密钥不一致,也会导致设备异常
如果没有设置加密,则两边都不要设置。
如果设置了加密,传感器和分析平台加密设置必须一致。
四 其他事项
1.授权导入
新设备,配置完成后需要导入授权,否则设备无法正常运行。
2.部署时需要的信息
需要用户提供,天眼的地址,网关,DNS,以及交换机上提前做好镜像口
3.其他相关文章(奇安信知识库)
如何对接天眼分析平台
https://kb.qianxin.com/detail/95ce749030d
天眼探针往分析平台传数据, 分析平台上没有数据
https://kb.qianxin.com/detail/82775855531
三、天眼框架
监测中心
威胁感知
分析中心
响应处置
资产感知
报表感知
报表报告
系统管理
全局导航
监测中心
仪表台
主要应用誉告警统计图文版,包含威胁名称,网络攻击告急数量统计,威胁情报告警类型分布,威胁情报告警趋势,告警数量时序图,整体视图,外部攻击,外联攻击,告警环比,告警类型分布,告警威胁级别分布,告警趋势,告警类型数据统计,WEB攻击告警数量统计,告警攻击阶段统计,横向攻击告警数量统计,告警攻击阶段统计,外联攻击告警数量统计,等。
监测工作台
主要对告警类型进行统计和重点监测,包含失陷主机,外部攻击,横向攻击,越权访问,暴力破解,弱口令,挖矿专项,补天漏洞
态势感知
与高级版都是可视化的感知地球
态势感知高级版
威胁感知
告警列表
流量传感器
主要应用的是天眼日志的语法的检索
Dip被攻击的IP
Dport被攻击的端口
Sip源IP
Sport源端口
url请求的url地址
data请求包的正文内容
status响应包的状态码
client_os运算符号AND OR 或NO
全部告警
未处置告警 检索列如:status=”未处置” AND is_white=”否”
webshell管理 检索列如:threat_name LIKE “冰蝎” OR threat_name LIKE “蚁剑”
文件上传成功告警
文件上传企图告警
木马通信类告警
代码执行成功告警
文件威胁鉴定器
全部告警
恶意告警
邮件威胁检测系统
全部告急
恶意附件告警
钓鱼邮件告警
攻击诱捕系统
全部告警
高危告警
智慧管理分析系统SMAC
全部告警
服务器安全管理系统(云锁)
全部告警
webshell告警
命令执行告警
SQAR自动化编排场景
全部告警
全部
威胁视角
挖矿专项
当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。
挖矿的阶段
1恶意代码传输-2远控通信-3.链接矿池-4.登录矿池-5.获取挖矿任务-6.提交挖矿份额
威胁情报
威胁统计:【恶意软件】远控木马,【恶意软件】窃密木马,【恶意软件】黑市工具,【恶意软件】流氓推广
威胁级别分布:低危,中危,高危,危机
命中的威胁情报
应用安全
web安全
数据库安全
中间件安全
邮件安全
系统安全
暴力破解:暴力破解列表,源IP暴力破解列表,目的IP暴力破解列表
弱口令
未授权访问
设备安全
攻击者视角
资产视角
情报中心
情报管理
研判分析
分析中心
日志检索
快捷模式-本级-索引类型
高级模式-本级--索引类型
(原始告警日志---告警日志-webshell上传-网页漏洞利用-网络攻击-威胁情报告警)
(设备告警日志----流量传感器-文件威胁鉴定器-邮件威胁检测系统-攻击诱捕系统-云锁服务器安全管理系统)
专家模式-本级--索引类型
行为分析
DNS服务分析
可疑DNS解析-疑似DNS服务器发现-链路劫持分析-DNS重绑定分析
非常规服务分析
可疑代理-远程工具-反弹shell
邮件行为登录
邮件异常类型分布-邮件异常类型统计
登录行为分析
暴力破解-异常登录-特权账号登录-弱口令-明文密码泄露
WEB服务器行为分析
非常用请求方法-可疑爬虫或扫描-后门上传利用
数据库行为分析
数据库高危操作分布 受影响资产TOP10
访问行为分析
外部访问-横向访问-内部主机外联-风险端口访问-可疑来源
黑IP行为分析
告警统计图--告警趋势图
旁路阻断行为分析
阻断类型分布-旁路阻断趋势
全流量取证分析
约等于wireshark(支持wireshark查询规则过滤语法)
天眼狩猎
响应处置
处置编排
工作流程
华三防火墙处置流程(流程开始-多条件分析判断-
{创建安全策略--新增生效策略--流程结束
{查询生效策略-删除安全策略-删除生效策略-流程结束)
、
山石防火墙处置工作流(流程开始-多条件分支判断
{创建安全策略-新增生效策略-流程结束
{查询生效策略-删除安全策略-删除生效策略--流程结束)
奇安信上网行为管理处置工作流(流程开始-多条件分支判断-
{阻断—新增icg生效策略-流程结束
{阻断-新增icg生效策略-流程结束
{查询icg生效策略-取消下发的命令-删除icg生效策略—流程结束
)
天擎v101处置流程(流程开始-多条件分支判断
{终端隔离
{取消终端隔离
{全盘扫描
)
联动服务
主要是用于第三方软件的服务例如:AbuseIPDB ,Box管理,奇安信新一代智慧防火墙等
任务脚本
主要用于添加动作,例如多条件分支判断等
帮助文档
策略管理
策略定义
新增策略定义
策略名称 处置动作(和上面的工作流程有关) 联动设备
策略联动
包含联动策略名称和自定义检索场景
处置记录
联动记录
资产感知
资产管理
主要进行的是对公司资产归纳收集,可以设置资产组等
资产发现
对现有资产进行收集
资产互访
业务访问态势 业务互访次数TOP10
IP地址管理
新增IP地址
脆弱性
威胁级别分布 漏洞资产风险值TOP10
配置核查
配置类型分布 配置核查资产TOP10
补天漏洞
主要用于漏洞情报和资产漏洞
报表系统
快速报表
可以新增报表设置首次执行事件和报表数据范围和报表格式,报表模板等
周期报表
报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计
任务周期:日报,周报,月报,季报,年报
任务状态:未启动,成功,失败,执行中
报表模板
报表类型:告警统计,受害资产统计,系统维护,攻击者统计,日志统计,自定义统计
来源:预定义,自定义
模板名称、创建
系统管理
自定义规则配置
规则ID 规则名称 CNNVD编号 CVE编号 告警类型 威胁等级 攻击结果 攻击链 设备 启用状态 下发状态 创建时间 更新时间 操作
新增自定义规则有
规则名称 威胁级别 告警类型 攻击结果 攻击链
包含基础配置和规则
基础配置:
CVE编号
CNNVD编号
漏洞描述
漏洞危害
解决方案
规则:
新增检测项:
检测位置 检测字段 匹配 值