H3C SecCenter A1000安全管理中心 快速入门V100.docx
《H3C SecCenter A1000安全管理中心 快速入门V100.docx》由会员分享,可在线阅读,更多相关《H3C SecCenter A1000安全管理中心 快速入门V100.docx(39页珍藏版)》请在冰豆网上搜索。
![H3C SecCenter A1000安全管理中心 快速入门V100.docx](https://file1.bdocx.com/fileroot1/2023-1/29/3f357d8d-8d93-434d-b8b2-f215b916be52/3f357d8d-8d93-434d-b8b2-f215b916be521.gif)
H3CSecCenterA1000安全管理中心快速入门V100
目录
第1章产品介绍1-1
1.1产品概述1-1
1.2产品外观1-1
1.2.1整机外观1-2
1.2.2背视图1-2
1.3SecCenterA1000的网络接口1-2
1.4SecCenterA1000的出厂网络配置1-3
第2章将SecCenterA1000接入网络2-1
2.1SecCenterA1000的部署位置2-1
2.2登录SecCenterA1000的远程桌面2-1
2.3设置千兆以太网口IP地址2-3
2.4Web方式登录SecCenterA10002-5
2.4.1SecCenterA1000的Web客户端的软件需求2-5
2.4.2使用浏览器登录SecCenterA1000的Web界面2-5
2.5SecCenterA1000的Syslog配置2-6
第3章功能快速浏览3-1
3.1SecCenterA1000应用界面介绍3-1
3.1.2Dashboard(主监视画面)3-1
3.1.3Alert(报警)3-1
3.1.4Policies(策略)3-1
3.1.5Profiles(定制报告)3-2
3.1.6SecurityCenter(安全中心)3-2
3.1.7Forensics(深度分析)3-2
3.1.8DeviceManager(设备管理)3-2
3.2Dashboard(主监视画面)3-2
3.2.1Dashboard介绍3-2
3.2.2缺省模板(DefaultDashboard)介绍3-3
3.2.3调整Dashboard各显示区域大小3-4
3.2.4定制自己的Dashboard模板3-5
3.3安全中心(SecurityCenter)3-9
3.3.1启动安全中心3-9
3.3.2实时监视器画面(Monitoring)3-10
3.3.3即时报告画面(Reporting)3-12
3.4策略与告警(Policies&Alert)3-17
3.4.1规则模板(RuleTemplates)3-17
3.4.2策略定义(Policies)3-18
3.4.3触发告警(Alert)3-19
3.4.4自定义事件(EventClass)3-21
3.5定制报告(Profiles)3-21
3.5.1定制报告(Profiles)功能画面3-21
3.5.2Profile的建立、修改、删除3-22
3.5.3使用Profile生成的报告3-22
3.6深度分析(Forensics)3-24
3.6.1功能简介3-24
3.6.2建立分析搜索模板3-24
3.6.3深度分析结果画面3-25
3.7设备管理(DeviceManager)3-29
3.7.1组管理(Groups)3-29
3.7.2设备管理(Devices)3-29
3.7.3主机管理(Hosts)3-31
第1章产品介绍
1.1产品概述
SecCenterA1000安全管理中心是杭州华三通信技术有限公司(以下简称H3C公司)推出的安全管理解决方案中的重要组成部分。
它提供了综合的安全智能、高效实施的安全信息和事件管理(SIEM)解决方案,能够对全网海量的安全事件、日志进行集中收集与统一分析,兼容异构网络中各厂商的多种设备,支持海量数据的高度聚合存储及归一化处理。
图1-1所示的是SecCenterA1000的系统结构。
图1-1SecCenterA1000的系统结构
1.2产品外观
SecCenterA1000按19英寸标准设计,支持19英寸标准机柜。
1.2.1整机外观
(1)挂耳
(2)面板
(3)键锁
(4)电源指示灯
(5)告警指示灯
(6)定位指示灯
整机外观图
1.2.2背视图
(1)交流电源输入
(2)电源模块
(3)鼠标、键盘接口
(4)串口1
(5)串口2
(6)USB接口(2个)
(7)千兆网口1、2
(8)千兆网口3、4
(9)百兆网口
(10)显示器接口
(11)PCI-X扩展槽
背视图
1.3SecCenterA1000的网络接口
SecCenterA1000共有五个以太网接口,包括四个千兆以太网接口(GE)和一个百兆以太网接口(FE),如图1-4所示。
千兆以太网接口用于与设备通讯以及供Web客户端访问,百兆以太网接口用于管理SecCenterA1000设备,相当于控制台(Console)接口。
图1-1SecCenterA1000网络接口示意图
1.4SecCenterA1000的出厂网络配置
百兆以太网接口出厂时配置的IP地址为192.168.0.1,掩码为255.255.255.0。
这个百兆以太网接口是作为控制台接口使用的,建议用户在一般情况下不要修改这些配置。
第2章将SecCenterA1000接入网络
2.1SecCenterA1000的部署位置
在网络中,SecCenterA1000部署在防火墙后面,接收防火墙、IDS、路由器、交换机和应用服务器发送的日志信息和NetStream信息等。
SecCenterA1000可以部署在防火墙后的信任区域,一般情况下不需要从外网访问。
如果需要从外网的非信任区域访问,可将SecCenterA1000部署在DMZ区域。
图2-1是SecCenterA1000的典型组网。
图2-1SecCenterA1000典型组网
2.2登录SecCenterA1000的远程桌面
第一次登录SecCenterA1000时,使用一台运行Windows操作系统(Windows2000、WindowsXP、WindowsServer2003)的普通PC机。
通过交换机、Hub或直连网线将PC机与SecCenterA1000的百兆网口相连。
配置PC机的网卡IP地址,使其与SecCenterA1000百兆网口的IP地址处于同一网段。
SecCenterA1000百兆网口出厂时配置的IP地址为192.168.0.1,掩码255.255.255.0,所以PC机的网卡IP地址可以是192.168.0.2~192.168.0.254,掩码为255.255.255.0,如图2-2所示。
图2-1PC机的IP地址配置界面
打开SecCenterA1000的电源开关,大约2分钟后系统启动完毕。
确认PC机网口已经与SecCenterA1000正常连接(观察SecCenterA1000的百兆网口,绿灯闪烁表示连接正常),这时就可以进行远程桌面连接了。
在PC机的Windows界面,点击[开始/程序/附件/通讯/远程桌面连接],出现远程桌面连接对话框,如图2-3所示。
输入SecCenterA1000的百兆网口的地址(192.168.0.1),点击<连接>按钮登录到SecCenterA1000桌面。
图2-2远程桌面连接程序界面
登录到SecCenterA1000后,需要输入系统登录用户名和密码。
登录用户名为Admin,登录密码出厂设置为sca1000@。
登录成功后出现SecCenterA1000的系统桌面,SecCenterA1000采用WindowsServer2003Web版作为操作系统。
2.3设置千兆以太网口IP地址
远程登录到SecCenterA1000的桌面后,可配置千兆以太网接口地址。
SecCenterA1000的千兆以太网接口用来与设备通讯和供Web客户端访问,根据具体组网情况选择一个部署SecCenterA1000的位置,并配置相应的IP地址。
配置网卡IP地址操作步骤如下:
在SecCenterA1000的远程桌面,打开[控制面板(controlpanel)/网络连接(NetworkConnections)],出现网络连接对话框,如图2-4所示。
选择要修改的网卡(作管理接口的百兆网卡下面有:
Intel8255xERPCIAdapter标注,千兆网卡下面有BrodcomNetXtremeGigabitEthernet标注)。
网络连接(NetworkConnections)对话框
用鼠标右键点击网卡图标弹出右键菜单,选择Properties菜单项弹出网卡属性设置对话框,如图2-5所示。
图2-1网卡属性设置对话框
双击列表中的InternelProtocol(TCP/IP)项,弹出InternelProtocol(TCP/IP)Prpperties对话框,如图2-6所示。
输入要修改的新的IP地址、网络掩码、默认网关,点击按钮完成修改。
IP地址配置对话框
2.4Web方式登录SecCenterA1000
配置了SecCenterA1000的IP地址后,就可以通过千兆以太网接口访问SecCenterA1000的Web界面进行使用了。
SecCenterA1000的Web界面可以从五个网络接口的任意一个登录,只要该接口配置了IP并保证登录的PC机可以ping通这个网络接口即可。
建议用户使用千兆以太网接口登录SecCenterA1000的Web界面。
2.4.1SecCenterA1000的Web客户端的软件需求
●操作系统为Windows2000、WindowsXP、WindowsServer2003
●浏览器为InternetExplorer6.0以上版本
●安装Java运行环境(JRE)
通过Web浏览器访问SecCenterA1000需要浏览器安装Java运行环境,版本为Java2RuntimeEnvironmentJREv1.5以上。
JRE会在随机光盘中提供,执行jre-1_5_0_09-windows-i586-p.exe安装程序即可安装。
●AdobeReader浏览器插件安装
SecCenterA1000可以生成多种格式的报表,通过安装相应的浏览器插件,可以在浏览器上直接打开这些报表。
对于PDF格式的报表,需要安装AdobeReader6.0及以上版本的软件浏览;在随机光盘AdobeReader目录中执行安装程序AdbeRdr60_enu_full.exe进行安装。
2.4.2使用浏览器登录SecCenterA1000的Web界面
打开SecCenterA1000Web客户端的IE浏览器,在地址栏输入http:
//:
9216,会出现SecCenterA1000的Web登录界面,如图2-7所示。
图2-1Web登录界面
如果使用出厂设置,在UserName中输入“admin”,在Password中输入“sca1000@”,即可进入SecCenterA1000的应用系统界面。
2.5SecCenterA1000的Syslog配置
设置H3C的SecPath防火墙、VPN网关、路由器、交换机的SyslogServerIP地址为SecCenterA1000的IP地址,这样这些设备发出的Syslog就可以被SecCenterA1000接收。
第3章功能快速浏览
3.1SecCenterA1000应用界面介绍
主要介绍SecCenterA1000应用系统的七个部分内容,各部分在界面中的位置如图3-1所示。
图3-1SecCenterA1000的应用系统界面
3.1.2Dashboard(主监视画面)
SecCenterA1000的主监控画面,实时显示当前的安全统计信息。
通过Dashboard可以对网络中当前的安全状况有一个直观的了解。
Dashboard可以根据需要自定义显示的内容组合,可以保存多个Dashboard画面,还可以在这些自定义的画面间快速切换。
3.1.3Alert(报警)
Alert(报警)显示画面可显示由Policies(策略)产生的报警。
报警可定义几种动作:
在报警列表中显示、发送包含报警内容的E-mail给预先定义的地址、发送包含报警内容的SNMPTrap报文到网管系统。
3.1.4Policies(策略)
Policies(策略)是一些规则(Rules)的组合,通过策略的定义可以实时过滤出符合规则的重要事件,在海量的信息中发现重要的问题。
策略过滤出的事件可触发告警,也可以将符合策略的数据保存在SecCenterA1000的报告数据库中。
3.1.5Profiles(定制报告)
Profiles(定制报表)功能可以根据用户需要定制各种报告,用户可以在Profile中定义生成报告的各种条件,如报告源数据的时间范围、数据源设备选择、数据源过滤器设置、定期自动生成报告选择、报告的类型、输出报告的格式和报告风格等。
3.1.6SecurityCenter(安全中心)
SecurityCenter(安全中心)提供一个快速且风格统一的网络安全实时监视界面,提供常用的预定义安全监视模板,包含最常用的安全监视功能。
自定义功能可根据用户的实际需要灵活组合监视画面,满足用户的精细化需求。
安全中心包含近千个即时安全报告和几十个实时监视器(Monitor)画面,是集中了解网络安全状况的有力工具。
3.1.7Forensics(深度分析)
Forensics(深度分析)功能,提供对事件进行深度分析的能力。
3.1.8DeviceManager(设备管理)
DeviceManager(设备管理),包括组管理(Groups)、设备管理(Devices)和主机管理(Hosts)三部分。
集中管理设备和主机,提供将设备和主机分组管理的功能。
3.2Dashboard(主监视画面)
3.2.1Dashboard介绍
Dashboard是SecCenterA1000系统的欢迎界面,Dashboard中显示用户最关心的网络安全信息内容,如图3-2所示。
通常用户在不操作SecCenterA1000界面时会使用Dashboard作为长期监视的画面。
Dashboard提供了一个缺省显示内容模板(DefaultDashboard),显示经过统计分析后的比较活跃的端口、协议、各种级别事件比例等信息。
用户可根据实际情况定义自己的Dashboard显示模板,Dashboard模板可以定义为多个,并可在这些模板之间快速切换。
图3-1Dashboard界面
3.2.2缺省模板(DefaultDashboard)介绍
缺省模板(DefaultDashboard)包括6个监视画面,显示内容以下:
●事件接收趋势图(EventsGraph)
根据接收到的事件级别(从Debug到Emergency共8个级别)用不同颜色的曲线趋势图表示最近10分种内系统接收到的事件数量和趋势,用户可通过事件接收趋势图可以直观地了解到网络中各种级别事件的实时变化。
●实时事件列表(EventViewer)
该列表可以滚动显示SecCenterA1000收到的所有事件,不同级别事件显示的的颜色也不同。
事件列表缺省可显示1000条事件,通过修改配置可以改变显示事件的数量。
●端口统计饼图(PortActivity)
实时显示从设备日志中统计出来的目标端口被命中(被攻击)的次数,可通过饼图直观地了解哪些端口被命中的次数最多。
●事件级别统计饼图(EventSeverities)
实时显示从设备日志中统计出来的各种级别事件的饼图,可通过饼图直观地了解哪些事件最多以及各级别事件分布情况。
●协议统计直方图(ActivityPerProtocol)
以直方图(BAR)形式实时显示从设备日志中统计出来的报文协议,可以直观地了解日志中最活跃的报文类型和统计数量。
●协议统计饼图(ProtocolActivity)
以饼图(PIE)形式实时显示从设备日志中统计出来的报文协议,可以直观地了解日志中的报文类型分布比例。
3.2.3调整Dashboard各显示区域大小
Dashboard的每个画面占整个Dashboard显示区域的大小可以通过设计模式(DesignMode)自由调整。
模式切换按钮在Dashboard的右侧靠上的位置,如图3-3所示。
Dashboard的编辑模式按钮
通过模式切换按钮可以使Dashboard在运行模式(RunMode)和设计模式(DesignMode)之间切换,在运行模式下点击模式切换按钮可以进入设计模式,在设计模式下点击模式切换按钮可以进入运行模式。
Dashboard在运行模式下不能调整画面大小,在设计模式下可以调整画面大小,如图3-4所示。
Dashboard在设计模式下可调整各画面间的边界宽度
3.2.4定制自己的Dashboard模板
用户可以定制Dashboard的内容,还可以根据不同用途保存多个模板,见图3-5中的Dashboard模板列表,这些模板之间可以快速切换。
SecCenterA1000出厂时只定义了DefaultDashboard一个Dashboard模板。
如果想增加新的Dashboard模板,点击Dashboard右侧上方的Dashboard管理按钮,位置见图3-5。
Dashboard管理按钮和Dashboard模板列表
点击Dashboard管理按钮后会弹出模板管理画面,如图3-6所示。
如果要改变已有Dashboard模板显示内容,可在模板列表中选择一个作为当前模板,然后可选择想要监视的画面。
选择多个画面时需要先按住键盘上的“Ctrl”键再用鼠标选择。
选择完画面后需要指定选择画面个数,选择画面个数只能是偶数,而且要与实际选择的画面个数一致。
最后根据选择的画面个数确定画面在Dashboard中的行数和列数,全部设置完毕后点击按钮。
Dashboard管理
点击按钮,会出现Dashboard预览画面,画面中显示被选择的画面内容和排列方式。
这时仍然可以更改显示的行数和列数。
完成所有修改和调整后点击按钮可保存当前Dashboard模板的配置,如图3-7所示。
Dashboard配置预览和保存
如果想建立一个新的Dashboard模板,点击左下方的按钮后会出现一个新的Dashboard模板配置画面,如图3-8所示。
在“DashboardName”栏中输入一个新的Dashboard模板名字,模板显示内容的设置和前面修改配置的一样。
新增加Dashboard模板
3.3安全中心(SecurityCenter)
SecurityCenter(安全中心)提供一个快速而且风格统一的网络安全实时监视界面,还有常用的预定义安全监视模板,具有最常用的安全监视功能。
安全中心的自定义功能可根据用户的实际需要灵活组合监视画面,满足用户的精细化需求。
安全中心包含近千个即时安全报告和几十个实时监视器(Monitor)画面,是集中了解网络安全状况的有力工具。
3.3.1启动安全中心
点击SecCenterA1000应用界面中的按钮,可以启动安全中心(SecurityCenter)显示画面,如图3-9所示。
安全中心(SecurityCenter)实时监视器画面(Monitoring)
安全中心包含两种类型的监视画面,一种是实时监视器画面(Monitoring),一种是即时报告画面(Reporting),可通过点击画面上面的Table页选择。
3.3.2实时监视器画面(Monitoring)
实时监视画面(Monitoring)包含视图(Views)和监视器(Monitors)两部分。
监视器(Monitors)是一个单独的监视画面,而视图(Views)是由若干个监视器(Monitor)组成的。
●预定义的监视器(Monitors)
SecCenterA1000中有很多预定义的监视器(Monitors),而且已经按功能作了分组,使用树形结构管理,预定义监视器(Monitors)可以直接通过鼠标点击使用。
预定义监视器(Monitors)包括以下几个组:
设备监视器(DeviceMonitors)、主机监视器(HostMonitors)、性能监视器(PerformanceMonitors)、网流监视器(NetStreamMonitors)和数据审计监视器(DBAuditMonitors)。
另外还有一些没有分组的监视器。
预定义监视器(Monitors)基本上可以满足大多数应用的需要。
监视器也可以自定义,详细定义方法可参考用户使用手册。
●预定义的视图(Views)
SecCenterA1000预定义了一些最常用的视图(Views),可以直接使用。
表3-1预定义视图(Views)
视图名
说明
AllEventsView
按事件级别分组的事件和攻击视图
AllSysEvents
系统类事件视图
AttacksView
病毒、攻击和被触发的告警视图
DBAuditHostView
最近的SQLServer审核事件视图
DashBoard
最近被触发的告警、事件浏览窗口、活跃的端口及协议视图
EventViewerView
事件浏览窗口、按事件组分类的最近60分钟事件统计视图
EventsActivity
按事件组分类的最近60分钟事件统计、活跃的端口及协议视图
MiscView
最近被触发的规则、最近允许和拒绝的事件、攻击的源地址、客户端协议、端口、目的地址、活跃的源目的端口协议视图
NetStreamView
网流相关视图
PerformanceCounters
主机相关的性能参数视图,包括网络、CPU、内存、硬盘等
Ports
活跃的源目的端口、最高会话数应用、网流统计的流量和端口视图
ProtocolView
活跃的协议、客户端协议视图
SourceActivityView
活跃的源目的端口、客户端事件优先级、客户端目的端口、客户端协议视图
●自定义视图(Views)
SecCenterA1000可以自定义视图(Views),点击在安全中心(SecurityCenter)监视(Monitoring)中的视图管理(ManageViews)按钮,位置如图3-10所示。
可进入视图管理画面,如图3-11所示。
使用视图管理可增加新的视图(Views)到现有的视图列表(MonotoringTOC)中。
视图(Views)管理按钮
视图(Views)管理
3.3.3即时报告画面(Reporting)
安全中心(SecurityCenter)启动后缺省显示的页面是实时监视器画面(Monitoring),要切换到即时报告画面(Reporting)需要点击上面的(Reporting)Table页。
与前面的实时监视(Monitoring)画面不同,即时报告(Reports)中显示的图表和数据是SecCenterA1000系统经过一定时间的数据采集后统计出来的信息。
SecCenterA1000的内置数据库会保存生成报表的统计数据,所以报表数据在系统重新启动后不会丢失。
即时报告中显示的内容如图3-12所示。
即时报告(Reporting)画面
●