SSIM日常维护.docx

1、SSIM日常维护1 概述2 运维角色和流程定义2.1 运维角色定义 SSIM划分为4个角色，具体角色和职能见下表：角色类型 角色职能 人员 系统管理组（系统运维） 1.系统运行状态监控 2.系统定期健康检查 3.系统备份和恢复 4.应用运行状态监控 5.应用备份和恢复 6.日志采集有效性监控 7.规则运行有效性监控 8.报表和查询有效性监控 9.新设备日志接入 10.规则和报表的部署 11.基础数据维护（如黑白名单） 日常监控组（日常监控和量化计分） 1.事件监控 2.安全事件的告警通知、调查和跟踪处理，并负责关闭安全事件 3.量化计分 4.无法确认的安全事件转给“事件处置组”确认 规则管理与

2、事件处置组（安全应用管理） 1.规则和报表的设计、优化、修改、删除等，提交系统管理组部署实施 2.调查、分析和跟踪处理已分配的安全事件，并负责关闭安全事件 3.无法处置的安全事件，需要“策略决策组”支持 策略决策组1.策略规划 2.报表规划 3.流程规划 4.异常和应急事件处置决策 2.2 运维流程定义每种角色的运维工作和流程主要包括三个方面：事件处置流程规则和报表变更流程日志采集流程具体工作和流程如下：3 系统运维角色和用户创建角色权限用户组用户帐号系统管理DashboardIntelligenceIncidents(只读)EventsTicketsAssetsReportsRulesSys

3、temStatistics系统管理组日常监控Incidents(所属和所属组的事件读写)EventsTicketsRules(黑白名单只读)日常监控组规则管理与事件处置Incidents(所有事件只读，所属组的事件只读，所属事件读写)EventsTicketsRules(只读)规则管理和事件处置组4 SSIM客户端下载、安装和登录4.1 客户端下载 内网用户，通过IE登录SSIM服务器，登录方法：https:/10.112.15.10，点击“Download Client”下载SSIM Java客户端软件，如下图：4.2 客户端安装 双击Setup.exe安装程序运行安装过程，如下图：4.3

4、客户端登录编辑c:windowssystem32driversetchosts文件，添加一行：10.112.15.10 ssim-server双击“SSIM Client”图标，运行SSIM的Java客户端。输入用户名和口令，登录SSIM应用系统。5 日常监控组运维操作5.1 安全事件监控和处理记录表安全事件类型详细描述原因分析存在的问题整改建议举例一、下班后没有便闭办公电脑人员安全XX部门的XX人，下班后没有关闭办公电脑，IP地址为XXXX已确认N/AN/A举例二、外部攻击扫描网络安全XX时间，发现互联网IP地址XXXX，在对内网地址XXX进行扫描探测需要网络组协助分析规则参数设置不合理需要

5、调整规则检测阀值和条件项目一期，重点对人员安全类事件进行分析和处理。5.2 安全事件的监控和处理登录SSIM应用系统，进入到“Incidents”管理页面，Filter选择“My Open team Incidents”，如下图：监控是否有新分配过来的Incident，对其进行分析，必要时通过邮件、电话和相关事件责任人确认。经过分析和处理，对该事件作出判断，结论有三个：误报正常行为已确认（已处理）如下图：查看关闭后的安全事件5.3 安全事件的再分配经过分析发现安全事件无法确认，可以在分配给“规则管理和事件处置组”进行进一步分析和判断。选择该安全事件，在Assignee上选择需要再分配的对象用户

6、，选择好后，点击保存，安全事件被分配到“规则管理与事件处理组”进行进一步分析和处理，如下图：5.4 提出规则修改要求和建议在安全事件的处理过程中，发现由于规则设置的问题导致产生的安全事件告警不准确，或需要进行白名单的排除，需要提出相关的描述和需求提供给“规则管理与事件处置组”进行判断和确认。6 规则管理与事件处置组运维操作6.1 察看所有安全事件登录SSIM应用系统，进入到“Incidents”管理页面，Filter选择“All Open Inidents”，可以查看所有的安全事件，只查看，不处理。6.2 处理已分配的安全事件登录SSIM应用系统，进入到“Incidents”管理页面，Filt

7、er选择“My Open Incidents”，可以看到“日常监控组”再分配的安全事件，如下图：对分配过来的安全事件进行分析、调查和处理，最后关闭，关闭方法和“日常监控组”关闭方法相同。6.3 规则的设计和查看根据“日常监控组”发现的规则问题和“策略决策组”提出的要求，进行规则的评估和设计，将设计好的规则需求提交给“系统管理组”进行测试和部署。可以查看所有的规则部署情况，登录SSIM应用系统，进入到“Rules”管理页面，可以掺看所有规则列表和参数设置情况，可以进行规则的测试和重演。如下图：7 系统管理组运维操作系统运行状态监控 系统定期健康检查 系统备份和恢复 应用运行状态监控 应用备份和恢

8、复 日志采集有效性监控 规则运行有效性监控 报表和查询有效性监控 新设备日志接入 规则和报表的部署 基础数据维护（如黑白名单）系统管理组日常运维检查表检查项CPU%Mem%HD%服务和状态平均EPS规则运行状态当天Incident情况AgentCollectorSensor运行状态周一webwebwebwebJava clientJava clientJava clientJava client周二20%20%本机 20%外部存储 20%XXX 正常XXX 正常.500EPS是否正常载入内存，可以在java管理控制台规则运行监控界面查看Java管理控制台的incident页面，查看当天产生情况Java管理控制台的system-图形化监控页面监控状态周三周四周五