H3C SecCenter A1000 产品快速配置及使用指导 V1.1

产品概述目录
目录
第1章快速入门 ....................................................................................................................... 1-1
1.1 SecCenter A1000产品介绍 ............................................................................................... 1-1
1.1.1 产品概述.................................................................................................................. 1-1
1.1.2 产品外观.................................................................................................................. 1-1
1.1.3 SCA1000的网络接口.............................................................................................. 1-2
1.1.4 SCA1000的出厂网络配置....................................................................................... 1-3
1.2 将SCA1000接入网络........................................................................................................ 1-3
1.2.1 SCA1000部署位置参考 .......................................................................................... 1-3
1.2.2 登录SCA1000的远程桌面...................................................................................... 1-4
1.2.3 设置千兆以太网口IP地址....................................................................................... 1-5
1.2.4 Web登录SCA1000 ................................................................................................. 1-7
1.2.5 设备的syslog配置 .................................................................................................. 1-8
1.3 功能快速浏览 ..................................................................................................................... 1-9
1.3.1 SCA1000的操作界面介绍....................................................................................... 1-9
1.3.2 Dashboard ............................................................................................................. 1-10
1.3.3 安全中心................................................................................................................ 1-16
1.3.4 策略与告警（Policies & Alert）............................................................................. 1-25
1.3.5 定制报告（Profiles）............................................................................................. 1-29
1.3.6 深度分析（Forensics）......................................................................................... 1-32
1.3.7 设备、主机管理（Groups,Devices,Hosts）.......................................................... 1-38
第1章快速入门
1.1 SecCenter A1000产品介绍
1.1.1 产品概述
SecCenter A1000是华为3Com公司推出的安全管理解决方案中的重要组成部分，是一款基于硬件的安全智能、高效实施的安全信息及事件管理（SIEM）系统。

它能够提供对全网海量的安全事件和日志的集中收集与统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。

SecCenter A1000支持以最小资金成本进行网络安全管理，以最好的投入产出比来减少企业支出。

它可以每秒分析高达上万条事件，能够满足大型的网络环境需要，通过使用SecCenter，用户可以减少防范网络安全威胁的工作和时间，可以预先满足政府要求的安全规范，并以多种实时安全智能显著减少网络故障响应时间，能够发现、了解并预先防范黑客和病毒的活动与安全威胁。

SeCenter A1000的高性能、多功能和合理的价格使其成为强有力的IT架构安全智能系统平台。

图1-1SCA1000 的系统结构
1.1.2 产品外观
SecCenter A1000按19英寸标准设计，支持19英寸标准机柜。

1. 整机外观
(1) 挂耳(2) 面板(3) 键锁
(4) 电源指示灯(5) 告警指示灯(6) 定位指示灯
图1-2整机外观图
2. 背视图
(1)
(2)(3)(4)(5)(6)(7)(8)(9)(10)(11)
(1) 交流电源输入(2) 电源模块(3) 鼠标、键盘接口
(4) 串口1 (5) 串口2 (6) USB接口（2个）
(7) 千兆网口1、2 (8) 千兆网口3、4 (9) 百兆网口
(10) 显示器接口(11) PCI-X扩展槽
图1-3背视图
1.1.3 SCA1000的网络接口
SCA1000共有5个以太网接口，包括4个千兆以太网接口（GE）和1个百兆以太网接口（FE）。

千兆以太网接口用于与设备通讯和Web客户端访问，百兆以太网接口用于管理SCA1000设备，相当于控制台（Console）接口。

图1-4SCA1000网络接口示意图
1.1.4 SCA1000的出厂网络配置
百兆以太网接口出厂时已经配置了IP地址192.168.0.1，掩码255.255.255.0，这个百兆网口设计是用来作控制台接口使用的，一般情况下建议用户不要修改这个地址，免得以后忘了不能登录。

SCA1000的另外4个千兆以太网接口出厂时都没有配置IP地址，用户可根据实际使用的情况自己配置IP地址。

1.2 将SCA1000接入网络
1.2.1 SCA1000部署位置参考
SecCenter A1000 在网络中部署的位置在防火墙后面，接收防火墙、IDS、内网的路由器、交换机、应用服务器发出的日志信息、NAT日志信息和NetStream信息。

SecCenter A1000一般情况下不需要从外网访问，可以部署在防火墙后的信任区域，如果需要从外网的非信任区域访问，可将SCA1000部署在DMZ区域。

图1-5SCA1000典型组网
1.2.2 登录SCA1000的远程桌面
首次登录SCA1000需要一台运行Windows 2000或Windows XP的普通PC机。

使用一根直连网线或通过交换机、HUB连接PC机与SCA1000的百兆网口。

将PC机的网卡IP地址配置为与SCA1000百兆网口相同网段的IP地址。

SCA1000的百兆网口出厂的IP地址为192.168.0.1，掩码255.255.255.0，所以PC机的网卡IP地址可以是192.168.0.2～192.168.0.254，掩码为255.255.255.0。

图1-6PC机的IP地址配置界面
打开SCA1000的电源开关，大约2分钟后系统可启动完毕，确认PC机网口已经与SCA1000正常连接（可观察SCA1000的百兆网口，绿灯闪烁表示连接正常），这时就可以开始远程桌面连接了。

从PC机的Windows界面操作如下：
从“开始”按钮选择“程序”－》“附件”－》“通讯”程序组，在“通讯”程序组中选择“远程桌面连接”，“在计算机（C）”中输入192.168.0.1，按“连接”
按钮登录SCA1000桌面。

图1-7远程桌面连接程序界面
登录SCA1000后需要输入系统登录用户名和登录密码：
登录用户名为：Administrator
登录密码出厂设置为：sca1000@
登录成功后可出现SCA1000的系统桌面，SCA1000采用Windows Server 2003 Web版作为操作系统。

1.2.3 设置千兆以太网口IP地址
远程登录到SCA1000的桌面后可配置千兆以太网接口地址，SCA1000的千兆以太网接口用来与设备通讯和Web客户端访问，可根据具体组网情况选择一个部署SCA1000的位置，并配置相应的IP地址。

配置网卡IP地址操作步骤如下：
在SCA1000的远程桌面下打开控制面板（control panel）－》网络连接（Network Connections）对话框－》在对话框中选择要修改的网卡（作管理接口的百兆网卡下面有：Intel 8255xER PCI Adapter标注,千兆网卡下面有Brodcom NetXtreme Gigabit Ethernet标注）。

图1-8网络连接（Network Connections）对话框
用鼠标右键点击网卡图标弹出右键菜单，选择Properties菜单项弹出网卡属性设置对话框。

图1-9网卡属性设置对话框
双击列表中的Internel Protocol(TCP/IP)项弹出Internel Protocol(TCP/IP) Prpperties对话框，输出要修改的新的IP地址、网络掩码、默认网关，按OK按钮后完成修改。

图1-10IP地址配置对话框
1.2.4 Web登录SCA1000
设置好SCA1000的IP地址后就可以通过千兆以太网接口访问SCA1000的Web界面进行使用了。

SCA1000的Web界面可以从5个网络接口的任意一个登录，只要接口配置了IP并保证登录的PC机可以ping通这个网络接口就可以，我们建议用户使用千兆以太网接口登录SCA1000的Web入口。

登录SCA1000的Web客户端PC机配置要求：
运行Windows 2000或Windows XP操作系统，浏览器需要使用Internet Explorer 6.0以上版本，系统已经安装了Java运行环境（JRE）和Adobe Reader 6.0以上版本。

如果没有安装JRE和Adobe Reader，需要先安装这些软件：
a) Java运行环境（JRE）安装
通过Web浏览器访问ESA需要浏览器安装Java运行环境，版本为Java 2 Runtime Environment JRE v1.5 以上，浏览器需要使用Internet Explorer 6.0以上版本。

JRE 会在安装光盘中提供，执行jre-1_5_0_09-windows-i586-p.exe安装程序可安装JRE。

b) Adobe Reader浏览器插件安装
ESA可以生成多种格式的报表，通过安装相应的浏览器插件，可以在浏览器上直接打开这些报表。

对于PDF格式的报表，需要安装Adobe Reader 6.0以上版本；可在安装光盘AdobeReader目录中执行安装程序AdbeRdr60_enu_full.exe安装。

使用浏览器登录SCA1000的Web界面：
打开与SCA1000连接的PC机的IE浏览器，在地址栏输入
https:// <SCA1000的IP地址> :9216
会出现SCA1000的登录界面
图1-11Web登录界面
在User Name中输入”admin”,在Password中输入”sca1000@”后可进入SCA1000的应用系统界面。

1.2.5 设备的syslog配置
将H3C的Sec Path防火墙、VPN网关、路由器、交换机的syslog server IP地址设置为与SCA1000相连接的网络接口的IP地址，这样Sec Path设备发出的日志就可以被SCA1000接收。

1.3 功能快速浏览
1.3.1 SCA1000的操作界面介绍
图1-12SCA1000的应用系统界面
① Dashboard（主监视画面）
SCA1000的主监控画面，实时显示当前的安全统计信息，通过Dashboard可以对网络中当前的安全状况有一个直观的了解。

Dashboard可以根据具体的需要自定义显示的内容组合并保存多个Dashboard画面，可以在这些自定义的画面间快速切换。

② Alert（报警）
Alert（报警）显示画面可显示由Policies（策略）产生的报警。

报警可定义几种动作：在报警列表中显示、发送包含报警内容的Email给预先定义的地址、发送包含报警内容的SNMP Trap报文到网管系统。

③ Policies（策略）
Policies（策略）是一些规则（Rules）的组合，通过策略的定义可以实时过滤出符合规则的重要事件，在海量的信息中发现重要的问题。

策略过滤出的事件可触发告警，也可以将符合策略的数据保存在SCA1000的报告数据库中产生报告。

④ Profiles（定制报告）
Profiles（定制报表）功能可以根据用户需要定制各种报告，用户可以在Profile 中定义生产报告的各种条件，如：报告源数据的时间范围、数据源设备选择、数据源过滤器设置、定期自动生成报告选择、报告的类型、输出报告的格式、报告风格等。

⑤ Security Center（安全中心）
Security Center（安全中心）提供一个快速而且风格统一的网络安全实时监视界面，提供常用的预定义安全监视模板，包含最常用的安全监视功能。

自定义功能可根据用户的实际需要灵活组合监视画面，满足用户的精细化需求。

安全中心包含近千个即时安全报告和几十个实时监视器（Monitor）画面，是集中了解网络安全状况的有力工具。

⑥ Forensics（深度分析）
Forensics（深度分析）功能，提供对事件进行深度分析的能力。

⑦ Device Manager（设备管理）
Device Manager（设备管理），包括组管理（Groups）、设备管理（Devices）、主机（Hosts）管理3部分。

集中管理设备和主机、提供将设备和主机分组管理的功能。

1.3.2 Dashboard
1. Dashboard介绍
Dashboard是登录SCA1000系统后出现的第一幅画面，Dashboard中显示用户最关心的网络安全信息内容，通常用户在不操作SCA1000界面时会使用Dashboard 作为长期监视的画面。

Dashboard提供了一个缺省显示内容模板（Default Dashboard），显示经统计比较活跃的端口、协议、各种级别事件比例等信息。

用户可根据实际情况定义自己的Dashboard显示模板，Dashboard模板可以定义成多个，并在这些模板之间快速切换。

图1-13Dashboard
2. 缺省模板（Default Dashboard）介绍
缺省模板（Default Dashboard）包括6个监视画面，显示以下内容：
事件接收趋势图（Events Graph）
事件接收趋势图会根据接收到的事件级别（从Debug到Emergency共8个级别）用不同颜色的曲线趋势图显示最近10分种内系统接收到的事件数量和趋势，可通过事件接收趋势图直观了解网络中各种级别事件的实时变化；
实时事件列表（Event Viewer）
这个窗口可以滚动显示SCA1000收到的所有事件，不同级别事件显示的的颜色也不同。

事件列表窗口缺省可显示1000条事件，通过修改配置可以改变显示事件数量，显示更多的事件；
端口统计饼图（Port Activity）
实时显示从设备日志中统计出来的目标端口命中（被攻击）次数，可通过饼图直观了解哪些端口被命中的次数最多；
事件级别统计饼图（Event Severities）
实时显示从设备日志中统计出来的各种级别事件的饼图，可通过饼图直观了解哪些事件最多，各级别事件分布情况；
协议统计直方图（Activity Per Protocol）
以直方图（BAR）形式实时显示从设备日志中统计出来的报文协议，可以直观了解日志中最活跃的报文类型和统计数量；
协议统计饼图（Protocol Activity）
以饼图（PIE）形式实时显示从设备日志中统计出来的报文协议，可以直观了解日志中的报文类型分布比例；
3. 调整Dashboard各显示区域大小
Dashboard 由两个以上的画面组成，缺省的Dashboard有6个画面，每个画面占整个Dashboard显示区域的大小可以通过打开设计模式（Design Mode）后自由调整。

模式切换按钮在Dashboard的右侧靠上的位置，如下图所示：
图1-14Dashboard的编辑模式按钮
Dashboard平时运行在运行模式（Run Mode）下，不能调整画面大小。

点击模式切换按钮可从运行模式（Run Mode）切换到设计模式（Design Mode），在设计模式（Design Mode）下可以按鼠标左键调整每个画面的大小。

从设计模式（Design Mode）再点击模式切换按钮则可以回到运行模式（Run Mode）‘
图1-15Dashboard在设计模式可调整各画面间的边界宽度
4. 定制自己的Dashboard模板
Dashboard内容可以定制，而且可以根据不同用途保存为多个模板，见下图中的Dashboard模板列表，使用时可在这些Dashboard模板之间快速切换。

SCA1000出厂时只定义了Default Dashboard一个Dshboard模板。

如果想增加新的Dashboard模板，点击Dashboard右侧上方的Dashboard管理按钮。

图1-16Dashboard管理按钮和Dashboard模板列表
点击Dashboard管理按钮后会弹出模板管理画面，如果要改变已有Dashboard模板显示内容，可在模板列表中选
择一个作为当前模板，然后可选择想要监视的画面。

选择多个画面时需要先按住键盘上的“Ctrl”键再用鼠标选择。

选择完画面后需要指定选择画面个数，选择画面个数只能是偶数而且要与实际选择的画面个数一致，最后根据选择的画面个数再确定画面在Dashboard中的行数和列数，全部设置完毕后按“Next”按钮。

图1-17Dashboard管理
按“Next”按钮后会出现Dashboard预览画面，画面中显示被选择的画面内容和排列方式，现在仍然可以更改显示的行数和列数。

完成所有修改和调整后按“Save”按钮可保存当前Dashboard模板的配置。

图1-18Dashboard配置预览和保存
如果想建立一个新的Dashboard模板，按左下方的“New”按钮后会出现一个新的Dashboard模板配置画面。

在“Dashboard Name”栏中输入一个新的Dashboard
模板名字，模板显示内容的设置和前面修改配置的一样。

图1-19新增加Dashboard模板
1.3.3 安全中心
Security Center（安全中心）提供一个快速而且风格统一的网络安全实时监视界面，提供常用的预定义安全监视模板，包含最常用的安全监视功能。

自定义功能可根据用户的实际需要灵活组合监视画面，满足用户的精细化需求。

安全中心包含近千个即时安全报告和几十个实时监视器（Monitor）画面，是集中了解网络安全状况的有力工具。

1. 启动安全中心
点击SCA1000应用界面中的“SecurityCenter”按钮可以启动安全中心（Security
Center）显示画面：
图1-20安全中心（Security Center）实时监视器画面（Monitoring）
安全中心包含两种类型的监视画面，一种是实时监视器画面（Monitoring），一种是即时报告画面（Reporting），可通过点击画面上面的Table页选择。

2. 实时监视器画面（Monitoring）
实时监视画面（Monitoring）包含视图（Views）和监视器（Monitors）两部分。

监视器（Monitors）是一个单独的监视画面，而视图（Views）是由若干个监视器（Monitor）组成的。

预定义的监视器（Monitors）：
SCA1000中有很多预定义的监视器（Monitors），而且已经按功能作了分组，使用树形结构管理，预定义监视器（Monitors）可以直接通过鼠标点击使用。

预定义监视器（Monitors）包括以下几个组：设备监视器（Device Monitors）、主机监视器（Host Monitors）、性能监视器（Performance Monitors）、网流监视器（NetFlow Monitors）、数据审计监视器（DBAudit Monitors）。

另外还有一些没有分组的监视器。

预定义监视器（Monitors）基本上可以满足大多数应用的需要。

监视器也可以自定义，详细定义方法可参考用户使用手册。

预定义的视图（Views）：
SCA1000预定义了一些最常用的视图（Views），可以直接使用：
AllEventsView 按事件级别分组的事件和攻击视图
AllSysEvents 系统类事件视图
AttacksView 病毒、攻击和被触发的告警视图
DBAuditHostView 最近的SQL Server审核事件视图
DashBoard 最近被触发的告警、事件浏览窗口、活跃的端口及协议视图EventViewerView 事件浏览窗口、按事件组分类的最近60分钟事件统计视图Events Activity 按事件组分类的最近60分钟事件统计、活跃的端口及协议视图
MiscView 最近被触发的规则、最近允许和拒绝的事件、攻击的源地址、客户端协议、端口、目的地址、活跃的源目的端口协议视图
NetFlowView 网流相关视图
Performance
Counters
主机相关的性能参数视图，包括网络、CPU、内存、硬盘等
Ports 活跃的源目的端口、最高会话数应用、网流统计的流量和端口视图Protocol View 活跃的协议、客户端协议视图
Source Activity View 活跃的源目的端口、客户端事件优先级、客户端目的端口、客户端协议视图
图1-21预定义视图（Views）
自定义视图（Views）：
SCA1000可以自定义视图（Views），在安全中心（Security Center）监视（Monitoring）Table页下点击视图管理（Manage Views）按钮可启动视图管理画面。

使用视图管理可增加新的视图（Views）到现有的视图列表（MonotoringTOC）中。

图1-22视图（Views）管理按钮
图1-23视图（Views）管理
3. 即时报告画面（Reporting）
安全中心（Security Center）启动后缺省显示的页面是实时监视器画面（Monitoring），要切换到即时报告画面（Reporting）需要点击上面的（Reporting）Table页。

与前面的实时监视（Monitoring）画面不同，即时报告（Reports）中显示的图表和数据是SCA1000系统经过一定时间的数据采集后统计出来的，SCA1000的内置数据库会保存生成报表的统计数据，所以报表数据在重新启动系统后不会丢失。

即时报告可以选择按月度、季度和年度显示统计数据结果，缺省情况下按月度显示数据。

即时报告可以直接打印输出，也可以直接生成PDF格式的文档，启动这些功能的工具条按钮在每个报告的右上方。

通常即时报告直接选择使用，直接点击左边报告列表中的报告名字即可在右侧的显示区域显示报告内容。

图1-24即时报告（Reporting）画面
报告视图功能：
用户可以自己组合多个报告到一个报告视图中，报告视图可提供将多个报告同时显示的能力，在即时报告画面Table页右上方点击“Manage Views”按钮，可弹出报
告视图管理（Manage Views）画面，按“New”按钮可建立一个新的报告视图：
图1-25报告视图管理画面
即时报告画面（Reporting）包含丰富的报告，分为以下几类：Summary Reports（摘要报告）
包含主机和设备的两个摘要报告：
Device Based General Summary
Host Based General Summary
Device-Based Reports（基于设备的报告）
包含230个与设备相关的报告，报告分类如下图：
图1-26基于设备的报告（Device-based Reports）分类Host-Based Reports（基于主机的报告）
包含271个于主机相关的报告，报告的分类如下图：
图1-27基于主机的报告（Host-based Reports）分类Application Reports（应用程序报告）
包含223个应用程序报告，报告的分类如下图：
图1-28应用程序报告（Application Reports）分类Vulnerabilities Reports（弱点报告）
包含33个弱点报告，全部报告的名称如下：
图1-29弱点报告（Vulnerabilities Reports）NetFlow Reports（网流报告）
包含14个网流报告（NetFlow Reports），全部报告的名称如下：
图1-30网流报告（NetFlow Reports）
Assets（资产报告）
包含5个资产报告（Assets），全部报告的名称如下：
图1-31资产报告（Assets）
Compliance Reports（法规遵从报告）
包含126个法规遵从报告（Compliance Reports），报告的分类如下图：
图1-32法规遵从报告（Compliance Reports）
1.3.4 策略与告警（Policies & Alert）
1. 规则模板（Rule Templates）
规则（Rule）是一个过滤器，可选择任何日志字段作为匹配条件，如源IP地址、目的IP地址、报文协议类型、攻击类型、事件ID甚至事件信息中的字符串匹配。

SCA1000中预定义了一些常用的规则模板（Rule Templates），可以直接使用，如果这些模板不能满足需要，用户也可以自己定义规则（Rule）模板。

在主界面的策略（Policies）Table页面中点击“Rule Templates”按钮，可弹出规则模板（Rule Templates ）管理画面，通过该功能画面可以新建和修改规则模板（Rule Templates）。

图1-33规则模板（Rule Templates）管理
2. 策略定义（Policies）
策略是规则的集合和符合规则后相关动作的组合，也就是说策略先用若干个规则过滤日志信息，这些规则用与或非逻辑运算生成一个表达式，完全符合这些表达式后策略会触发相关动作。

策略的动作包括触发告警和生成自定义级别事件。

在主界面的策略（Policies）Table页面中点击“New Policy”按钮，可弹出策略建立（Create Policy ）画面，通过该功能画面可以新建策略。

在主界面的策略（Policies）Table页面中选择一个已经定义的策略再点击“Edit Policy”按钮，可弹出策略编辑画面（Edit Policy），通过该功能画面可以修改一个已有策略。

图1-34策略建立（Create Policy）
3. 触发告警（Alert）
告警查询和显示：
告警被触发后可以在告警信息窗口中显示（On Screen），察看当前由策略定义的
告警信息，可点击主界面上工具条中的“Alerts”按钮。

图1-35告警查询（Alerts）
告警确认：
点击告警列表中的未确认告警数字（在Unacknowledged Events列下）可弹出告警
确认画面，可确认或清除告警，确认表示用户已经注意到了告警信息。

图1-36告警确认（Alerts）
告警转发（Alert Delivery）：
告警被策略触发后可向指定的IP地址发送SNMP Trap信息，信息中包括完整的告警信息，可通过网管系统解析后使用。

告警被触发后还可以通过SMTP服务器（需要设置SMTP服务器和账户信息）向指定的Email地址发送Email信息，信息中包括告警的相关信息。

告警转发可在建立策略时定义：
图1-37告警转发（Alert Delivery）
4. 自定义事件（Event Class）
策略（Policy）中定义的动作（Action）可以是触发告警也可以是产生自定义事件，自定义事件是一种高级的事件关联技术，因为自定义事件是通过多个规则（Rule）匹配后过滤出的更高层次的事件，通过策略的定义可以屏蔽很多无用告警，直接反映出真实的问题。

1.3.5 定制报告（Profiles）
Profiles（定制报告）功能可以根据用户需要定制各种报告，用户可以在Profile 中定义生产报告的各种条件，如：报告源数据的时间范围、数据源设备选择、数据源过滤器设置、定期自动生成报告选择、报告的类型、输出报告的格式、报告风格等。

与安全中心（Security Center）中的即时报告相比，用Profile定制的报告功能更为强大。

可支持定期自动生成报告，支持数据源过滤器，可以生成多种格式的报告（包括MS Word、MS Excel、PDF、Html、Txt），可自定义报告组合，可任意将多个报告组合成一个报告在同一个报告文档中，支持报告数据源的精确时间范围定义（安全中心中的即时报告只能选择月度、季度、年度时间范围）。

1. 定制报告（Profiles）功能画面
在主界面中选择（Profiles）Table页面可显示已经定制的Profiles：
图1-38定制报告（Profiles）功能画面
2. Profile的建立、修改、删除
Profile的建立：
在定制报告功能画面中点击“New Profile”按钮可弹出新建Profile的向导（Wizard）对话框，按指导操作就可以完成Profile的建立。

Profiles的修改：
在定制报告功能画面中先选择一个要修改的Profile，然后点击“Edit Profile”按钮可弹出Profile编辑对话框，使用Edit Profile对话框就可以完成Profile的修改。

Profile的删除：
在定制报告功能画面中先选择一个要删除的Profile，然后点击“Delete Profile”按
钮可删除不需要的Profile。

3. 使用Profile生成的报告
图1-39使用Profile生成的报告（Html格式）
图1-40使用Profile生成的报告（PDF格式）
1.3.6 深度分析（Forensics）
1. 功能简介
深度分析（Forensics）功能基于SCA1000完整的数据保存能力，SCA1000会保存所有接收到的日志数据，这些原始数据可以通过深度分析（Forensics）中设置的过滤功能将用户感兴趣的部分过滤出来，然后利用这些数据统计输出多个安全统计报告。

在主界面中选择（Forensics）Table页面可将操作界面切换到深度分析（Forensics）
功能画面：
图1-41深度分析（Forensics）功能画面
2. 建立分析搜索模板
要建立一个新的Forensic分析搜索模板，在Forensics画面中点击“New Search”按钮会启动搜索定义向导画面，按照向导画面提示输入搜索条件可建立新的搜索模板。

建立搜索模板需要输入以下内容：
搜索模板名称
选择分析类型（分析设备还是主机）
事件的时间范围，可精确到分钟
是否设定定时生成搜索报告
选择数据源设备
设定日志内容过滤器（包括事件ID、协议类型、事件级别、源地址、目的地址等）选择搜索结果的显示字段（在SCA1000的通用日志字段中选择）
选择输出结果格式（txt或html）
选择输出结果是否通过Email或FTP传送到远程
图1-42针对设备的Forensic分析输出
3. 深度分析结果画面
在深度分析（Forensics）功能画面点击列表中搜索模板右边的“Generate Report”按钮可以弹出深度分析结果画面。

分析结果画面包含3个部分：
(1) 右侧上方显示的是符合搜索模板定义条件的全部事件的列表，这个列表是分页
显示的，画面中会显示一共找到了多少条记录，当前显示记录的范围。

(2) 左侧的树形目录显示了深度分析（Forensic Analysis）功能中定义的统计报告
目录，分析类型是设备时报告有25种，分析类型是主机时有13种。

这些分析报告的数据全部是来自当前搜索模板的输出。

(3) 右侧下方的内容是当前选中的报告内容显示。

针对设备的深度分析（Forensic Analysis）输出：
针对设备的深度分析（Forensic Analysis）包含的统计报告：
图1-44设备Forensic分析输出中包含的统计报告针对主机的深度分析（Forensic Analysis）输出：
针对主机的深度分析（Forensic Analysis）包含的统计报告：
图1-46主机Forensic分析输出中包含的统计报告
1.3.7 设备、主机管理（Groups,Devices,Hosts）
1. 组管理（Groups）
SCA1000可以从设备（Devices）和主机（Hosts）获取数据进行分析，在实际使用时会同时从多个主机和设备接收数据。

为了方便管理这些设备和数据分析，SCA1000提供将主机和设备分组管理的能力，用户可根据实际使用的需求将设备和主机分组管理。

在主界面中选择“Groups” Table页面可将操作界面切换到组管理（Groups）功能画面，可以对SCA1000的组进行增加、删除、修改操作。

图1-47组管理（Groups）功能画面
2. 设备管理（Devices）
通常SCA1000对于支持的设备是自动发现的，只要该设备可以正确向SCA1000发送syslog日志，SCA1000就可以自动识别出设备类型并添加到设备管理（Devices）列表中。

SCA1000也支持手动增加设备，主要是针对当时不再线的设备考虑的，手动增加设备时需要选择设备类型。