SSIM日常维护.docx

SSIM日常维护.docx

《SSIM日常维护.docx》由会员分享，可在线阅读，更多相关《SSIM日常维护.docx（12页珍藏版）》请在冰豆网上搜索。

SSIM日常维护

1概述

2运维角色和流程定义

2.1运维角色定义

SSIM划分为4个角色，具体角色和职能见下表：

角色类型

角色职能

人员

系统管理组（系统运维）

1.系统运行状态监控

2.系统定期健康检查

3.系统备份和恢复

4.应用运行状态监控

5.应用备份和恢复

6.日志采集有效性监控

7.规则运行有效性监控

8.报表和查询有效性监控

9.新设备日志接入

10.规则和报表的部署

11.基础数据维护（如黑白名单）

日常监控组（日常监控和量化计分）

1.事件监控

2.安全事件的告警通知、调查和跟踪处理，并负责关闭安全事件

3.量化计分

4.无法确认的安全事件转给“事件处置组”确认

规则管理与事件处置组（安全应用管理）

1.规则和报表的设计、优化、修改、删除等，提交系统管理组部署实施

2.调查、分析和跟踪处理已分配的安全事件，并负责关闭安全事件

3.无法处置的安全事件，需要“策略决策组”支持

策略决策组

1.策略规划

2.报表规划

3.流程规划

4.异常和应急事件处置决策

2.2运维流程定义

每种角色的运维工作和流程主要包括三个方面：

◆事件处置流程

◆规则和报表变更流程

◆日志采集流程

具体工作和流程如下：

3系统运维角色和用户创建

角色

权限

用户组

用户

帐号

系统管理

Dashboard

Intelligence

Incidents（只读）

Events

Tickets

Assets

Reports

Rules

System

Statistics

系统管理组

日常监控

Incidents（所属和所属组的事件读写）

Events

Tickets

Rules（黑白名单只读）

日常监控组

规则管理与事件处置

Incidents（所有事件只读，所属组的事件只读，所属事件读写）

Events

Tickets

Rules（只读）

规则管理和事件处置组

4SSIM客户端下载、安装和登录

4.1客户端下载

内网用户，通过IE登录SSIM服务器，登录方法：

https:

//10.112.15.10，点击“DownloadClient”下载SSIMJava客户端软件，如下图：

4.2客户端安装

双击Setup.exe安装程序运行安装过程，如下图：

4.3客户端登录

编辑c:

\windows\system32\drivers\etc\hosts文件，添加一行：

10.112.15.10ssim-server

双击“SSIMClient”图标，运行SSIM的Java客户端。

输入用户名和口令，登录SSIM应用系统。

5日常监控组运维操作

5.1安全事件监控和处理记录表

安全事件

类型

详细描述

原因分析

存在的问题

整改建议

举例一、下班后没有便闭办公电脑

人员安全

XX部门的XX人，下班后没有关闭办公电脑，IP地址为XXXX

已确认

N/A

N/A

举例二、外部攻击扫描

网络安全

XX时间，发现互联网IP地址XXXX，在对内网地址XXX进行扫描探测

需要网络组协助分析

规则参数设置不合理

需要调整规则检测阀值和条件

项目一期，重点对人员安全类事件进行分析和处理。

5.2安全事件的监控和处理

◆登录SSIM应用系统，进入到“Incidents”管理页面，Filter选择“MyOpenteamIncidents”，如下图：

◆监控是否有新分配过来的Incident，对其进行分析，必要时通过邮件、电话和相关事件责任人确认。

◆经过分析和处理，对该事件作出判断，结论有三个：

✧误报

✧正常行为

✧已确认（已处理）

如下图：

◆查看关闭后的安全事件

5.3安全事件的再分配

经过分析发现安全事件无法确认，可以在分配给“规则管理和事件处置组”进行进一步分析和判断。

选择该安全事件，在Assignee上选择需要再分配的对象用户，选择好后，点击保存，安全事件被分配到“规则管理与事件处理组”进行进一步分析和处理，如下图：

5.4提出规则修改要求和建议

　　在安全事件的处理过程中，发现由于规则设置的问题导致产生的安全事件告警不准确，或需要进行白名单的排除，需要提出相关的描述和需求提供给“规则管理与事件处置组”进行判断和确认。

6规则管理与事件处置组运维操作

6.1察看所有安全事件

登录SSIM应用系统，进入到“Incidents”管理页面，Filter选择“AllOpenInidents”，可以查看所有的安全事件，只查看，不处理。

6.2处理已分配的安全事件

◆登录SSIM应用系统，进入到“Incidents”管理页面，Filter选择“MyOpenIncidents”，可以看到“日常监控组”再分配的安全事件，如下图：

对分配过来的安全事件进行分析、调查和处理，最后关闭，关闭方法和“日常监控组”关闭方法相同。

6.3规则的设计和查看

◆根据“日常监控组”发现的规则问题和“策略决策组”提出的要求，进行规则的评估和设计，将设计好的规则需求提交给“系统管理组”进行测试和部署。

◆可以查看所有的规则部署情况，登录SSIM应用系统，进入到“Rules”管理页面，可以掺看所有规则列表和参数设置情况，可以进行规则的测试和重演。

如下图：

7系统管理组运维操作

Ø系统运行状态监控

Ø系统定期健康检查

Ø系统备份和恢复

Ø应用运行状态监控

Ø应用备份和恢复

Ø日志采集有效性监控

Ø规则运行有效性监控

Ø报表和查询有效性监控

Ø新设备日志接入

Ø规则和报表的部署

Ø基础数据维护（如黑白名单）

系统管理组日常运维检查表

检查项

CPU%

Mem%

HD%

服务和状态

平均EPS

规则运行状态

当天Incident情况

Agent\Collector\Sensor运行状态

周一

web

web

web

web

Javaclient

Javaclient

Javaclient

Javaclient

周二

20%

20%

本机20%

外部存储20%

XXX正常

XXX正常

….

500EPS

是否正常载入内存，可以在java管理控制台规则运行监控界面查看

Java管理控制台的incident页面，查看当天产生情况

Java管理控制台的system-〉图形化监控页面监控状态

周三

周四

周五