安全告警监控快速使用手册

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

安全监控系统快速使用手册

版本控制

状态标识:C – Created A - Added M - Modified D - Deleted

目录

版本控制 (2)

告警监控平台登陆 (4)

登陆帐号 (4)

WEB登陆方式 (4)

客户端登陆方式(仅监控班使用) (5)

告警分类 (6)

事件-威胁-风险-告警 (7)

漏洞-风险-告警 (9)

配置收集-脆弱性计算-告警 (12)

配置变更-变更状态计算-告警 (14)

告警监控平台登陆

登陆帐号

请各位使用自己帐号登陆后,点击系统右上角密码修改处修改自己帐号密码。

WEB登陆方式

http://10.213.47.5:8080/ISMP

点击首页左上部“信息概览”中的“告警监控”,弹出告警监控窗口,如下图所示:

告警监控分为未处理告警列表和已确认告警列表两个部分。

在告警列表中,点击告警名称,可查看告警的详细信息。

客户端登陆方式(仅监控班使用)

采用客户端方式进行安全监控,可以在告警发送到客户端的同时,产生声音告警。

登陆帐号和使用方法和WEB方式都是一致,

告警分类

事件-威胁-风险-告警

ISMPserver的事件来源是sem的核心引擎,ISMPserver通过其专用的事件端口3021接收并处理事件。

图:事件-威胁-风险-告警流程图

1)接收事件的主要流程:

接收到SEM事件对其进行解析

通过事件的源IP地址、目的IP地址、设备IP地址,去匹配关联到源资产、目的资产、设备资产。在这里,过滤掉未匹配到任何资产的威胁事件。

计算事件的资产风险。对于IDS事件,通过IDS事件中目的资产去关联相应资产上的漏洞,提高目的资产风险。

将事件暂时存放在全局缓冲中

发送事件到响应中心,以及向统计引擎发送实时事件

2)由定时器每5秒对缓冲区的事件进行处理一次。主要功能是将事件发送至KPI处理模块

并对事件进行备份。

3)在kpi处理模块中,首先经过过滤器过滤ISMP事件,且只保留与指标计算相关的事件,

具体主要是需过滤以下五类事件:

windows和unix类主机访问类日志(用户登录/注销,用户切换)

防火墙类配置,登入/登出类日志

入侵检测系统日志

安全网关类日志

APMS系统日志

然后实时评估其事件的风险(实时评估指标一般和事件、漏洞、配置脆弱性以及配置变更相关)。

4)将KPI风险发送到告警模块。如果此风险适合告警,是则添加到告警全局缓冲告警数据

中,由定时每一隔一分钟写一次告警信息到数据库,如果产生风险,则又定时器每分钟写一次数据到风险数据库。

5)在其设定的定时回调函数中对风险时间进行定时的处理。其处理流程和原则大致跟接收

事件中对风险的处理过程相似。

漏洞-风险-告警

进行漏洞扫描前需要对扫描引擎进行配置配置。

1)扫描漏洞通过定制任务实现,有两种实现,一种是通过前台与后台的消息通信实现的实

时扫描,一种是通过前台定制任务并写道数据库,后台通过定时刷新数据库实现的定时扫描。

2)ISMPserver里的漏洞是用扫描器扫描后写到数据库,ISMPserver通过定时刷新数据库来

获得最新的漏洞信息。目前只支持领信扫描器。

3)漏洞扫描必须配置扫描引擎,在一台安装了linux操作系统的机器安装引擎服务器上安

装并启动扫描器引擎。配置扫描器是通过cvms的系统管理的页面来添加的。新建一个扫描器需要配置内外网地址以及引擎的监听端口;通过地址区间可以配置扫描器的扫描的地址区间;通过扫描器参数提供的默认的选项可以配置扫描选项;通过插件升级可以对扫描引擎的插件进行升级,具体扫描器的详细配置可以参照有关的扫描器文档。

4)在cvms页面上通过系统管理的—〉任务调度中心—〉领信漏洞扫描计划,可以定制实

时和定时的任务。在漏洞管理—〉资产漏洞—〉资产列表中,可以定制实时的任务。见任务分解图如下。

5)在漏洞-风险-告警流程图中,在定时器调度漏洞风险计算任务中刷新资产的最新漏洞表。

然后判断资产是否有漏洞,如果没有则删除资产缓冲区中的漏洞信息;有则根据任务ID 和子任务ID号计算漏洞风险,然后发响应中心,并且将本次漏洞计算结果发送至KPI 模块。进KPI进行实时评估。由定时器5秒钟对保存KPI风险及其详细信息函数调用一次,其主要是对KPI信息进行处理然后与数据库进行数据交换更新。

图:任务分解图漏洞风险计算以及产生告警流程图如下:

图:漏洞-风险-告警流程图

配置收集-脆弱性计算-告警

配置收集执行前必须安装代理服务器和代理,并且配置相应的代理去收集。配置步骤如下:

1)启动相应的代理服务器和代理

2)在CVMS页面上系统管理---〉代理管理---〉代理--->新建,添加代理,添加代理时要选

择属于哪个代理服务器,即有哪个代理服务器来驱动此代理,

3)选择配置收集或者是路由器配置收集,输入需要收集的IP地址或IP地址段

4)配置完成之后可以进行检测,如果连接正常就可以定制配置收集任务了。

配置收集的任务分为定时和实时两种

定制配置收集任务,在CVMS页面上系统管理---〉任务调度中心---〉配置收集任务,配置要收集的机器的属于的子网名称以及IP地址,也可以配置资产的名称,之后选择收集类别,下面是任务的调度方式可以是实时也可以是定时。

详细流程:由定时器定时调度刷新获取配置任务。判断是否是定时任务,是定时任务的话则转化任务的执行间隔时间为秒。分析处理范围,主要范围分为两部分,即IP地址段和资产,生成相应的任务,加入任务列表数据中。判断指定的agent的ip地址是否在资产结合的ip 列表中。获取Agent Server相关信息,由任务网络编号和Agent server 网络编号均不为0的时才判断网络是否匹配。根据任务表中配置收集任务或及时完整性扫描请求消息刷新Agent 相关信息。写任务到数据库,向Agent Server发消息。更新其状态。在接收到Agent Server 完整性检查信息后,获取其本次结果的属性和配置项。判断当前的基线是否存在,如果存在则取当前基线的属性和配置项,然后比较本次收集和当前基线的属性,并置标志位,修改其数据的Type属性,通知KPI管理模块。

相关文档
最新文档