IDS管理员维护手册V1

IDS维护手册

二〇〇八年六月

北京安氏领信科技发展有限公司

目 录

第一篇运行维护篇3 第一节每日清晨操作 (3)

第二节每日/周定时观测 (3)

第三节每次进行配置变更后 (4)

第四节季度维护检测项目 (5)

第二篇策略调整篇 16 第一节误报分析的基本方法 (16)

2.1.1 报警信息的基本分析方法 (16)

2.1.2 误报的判定与归类 (17)

第二节检测规则调整的原则与方法 (18)

2.2.1 调整原则 (18)

2.2.2 调整方法 (18)

第三节常见误报与检测规则调整指导意见 (23)

第一篇运行维护篇

第一节每日清晨操作

从工位接入内网，ping各个传感器和控制台，看是否通，不通说明出现故障。第二节每日/周定时观测

序号 检测内容 周期 操作参考

1 检查操作系统工作状态 日登陆主机，查看

系统工作状态

2 在控制台上查看各个主机传感器工作状

态 日登陆管理控制

台，查看主机传

感器

3 检查控制台上能否收到安全告警 日查看事件显示窗

口

4 检查磁盘空间 周检查磁盘使用情

况

5 检查报表查看器工作状态 周生成报表

6 检查应用系统日志 周打开事件查看

器，查看日志 7 检查是否能够升级 周检查有无升级包

8 IDS运行及告警分析报告 周根据报表内容，

整理IDS运行及

告警事件分析报

告

第三节每次进行配置变更后

序号 检测内容 操作参考

1 检查操作系统工作状态 登陆主机，查看

系统工作状态

2 在控制台上查看各个主机传感器工作状

态 登陆管理控制台，查看主机传感器

3 检查控制台上能否收到安全告警 查看事件显示窗

口

4 检查磁盘空间 检查磁盘使用情

况

5 检查报表查看器工作状态 生成报表

6 检查应用系统日志 打开事件查看

器，查看日志

7 检查是否能够升级 检查有无升级包

8 IDS运行及告警分析报告 根据报表内容，

整理IDS运行及

告警事件分析报

告

第四节 季度维护检测项目

测试步骤 测试结果 用户管理

1） 使用默认管理帐户登陆管理控

制台。

2） 添加新帐户，赋予所有功能管理权。

3）

使用新帐户登陆，验证是否可使用所有功能。

用户管理

缺省审计账号

Admin/Admin 登陆成功。

添加帐户成功。

新帐户等了成功，获得所

有功能管理权限。

组件管理

1）

Logserver 已在安装IDS 管理平台的时候做好配置，无须做改动。

组件管理

1) 组件添加成功。 2) 数据库添加成功。 3) 传感器添加成功。

所有组件显示正常。

2）

再添加新组件，选择传感器，在弹出的窗口填写传感器配置信息。

3）

选择“连接测试”，成功后点击确定，开始同步签名，分发策略。

4） 然后会弹出传感器的属性配置窗口，输入传感器的名称，并选择应用的策略。

然后点击“确定”按钮，弹出任务处理状态进度条。

则新添加的传感器出现在组件及设备视图中相关适配器的节点下。

新的sensor 添加完毕后，就可以进行应用策略、同步签名库。

策略配置 1） 点击策略标签，观察策略管理界面。 2）

在左侧窗口点击鼠标右键，选择“编辑锁定”。在预定义策略组“”上点击右键，选择派生，填写新策略名称，生成新策略。

策略配置 1) 能够进行策略编辑。

2) 以原有策略为模板，能够派生新策略。

3) 对策略进行“编辑锁定”后，可以编辑www 策略选项。

4) 保存策略后，可以分发的传感器上。传感器能够立即应用新策略。

3）查看中间栏策略的信息，右侧窗口上方为响应信息，下方为每个签名的详细解释。

4）在中间栏选择添加“www”签名中的选项，保存修改好的策略，解除编辑锁定。

5）在组件窗口相应传感器上点击右键，选择分发策略，将编辑好的新策略分发到传感器

上。

6）查看传感器信息，新策略已经正常使用。

安全事件收集显示

1）进入安全事件窗口，左侧为事件，右上图表，右下详细信息。

安全事件收集显示

1）实时事件显示正常，统计信息显示正常。

2）事件详细信息显示正常。

2）点选左侧事件窗口的标签，查看显示是否正常。

3）双击右下的事件，查看弹出的详细信息。

报表

1）点击报表按钮，出现报表系统登陆界面，输入帐户登陆。

报表

1)能够登陆报表。

2)根据报表模板，能够生成报

表。

2） 点选各种报表，观察生成是否正常。

数据查询

1） 点击查询按钮，登陆数据库查询系统。

2） 选择添加数据库。

数据查询

1) 能够登陆数据查询。 2) 添加数据库正常。

3) 可以根据查询条件进行查询，能够得到查询结果。

3）添加查询，输入查询条件，在这里选择按时间查询。

4）观察查询结果。