CISCO安全监控分析和响应系统测试报告.docVIP

MARS实施报告 目录 1 MARS概述 4 2 MARS功能简介及配置 4 2.1 MARS拓朴自动发现 4 2.2 添加安全设备 6 2.3 配置Netflow信息 8 2.4 创建自定义规则 9 2.5 创建自定义报告 12 3 MARS管理 15 3.1 拓朴结构及设备查看 15 3.2 系统统计信息 17 3.3 安全事件操作 17 3.3.1 查看Incident 17 3.3.2 攻击分析 20 3.3.3 攻击缓解 22 3.4 常用报表查看 23 4 MARS的报表功能 26 4.1 MARS实用报表示例 26 4.1.1 自定报告清单 26 4.1.2 最多报告事件设备统计 28 4.1.3 最大命中规则统计 28 4.1.4 DoS事件报告 30 4.1.5 过去1天最大访问目的IP端口报告 31 4.1.6 过去7天最大被拒绝源IP报告 31 4.1.7 过去7天DoS攻击报告 32 4.1.8 过去7天最大连接数网络报告 33 4.1.9 过去7天最多病毒源报告 35 4.1.10 过去30天最多P2P主机报告 35 4.1.11 过去60天入侵报告 36 4.2 MARS对富士康部分园区的安全分析 37 4.2.1 防火墙相关分析 37 4.2.2 IPS相关分析 38 4.2.3 其他安全问题分析 39 5 MARS测试总结 39 5.1 总体评价 39 5.2 Netflow信息的分析功能对未知攻击发现的作用 40 5.3 MARS的设计和部署建议 41 MARS概述 CISCO安全监控分析和响应系统(CS-MARS),简单的说CS-MARS的功能就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击80 登進MARS之后（缺省用户名密码pnadmin/pnadmin）,点进ADMIN页面。 点 Community String and Networks 选项，填入要发现的拓扑IP 网段和Community string之后，按ADD，填完相关IP网段之后，按Submit。（图2.1） 图2.1 输入网络设备的Community属性 按Back 返回主菜单按Vaild Network(选择有效的发现网络)，填入有效的发现网络之后，按ADD，单击 Discover now进行设备发现，最后按Submit完成配置。（图2.2） 图2.2 输入有效网络 配置定时发现设备。选择 ADMIN－》Toplogy/Monitored Device Update Scheduler －》选择default Discovery Group -edit (选择定时发现的时间段和发现的有效网段)。完成后，按Run now。（图2.3） 图2.3 输入定时发现网络设备参数 返回 Admin Vaild network 按一下Discover now ，发现完成后按click here。（结果如图2.4） 图2.4发现结果 检查新发现的设备列表。选择Admin－》Security Monitor Devices，可以看到发现的设备清单。（图2.5） 图2.4发现的可管理安全设备 添加安全设备 点击ADMIN-》Security Monitor Devices，添加需要增加管理的设备。一个添加设备的范例如图2.5所示： 图2.5添加安全设备范例：ASA 在添加安全设备时，MARS上需要添加设备的软件版本要与设备的版本一致，而且被管理的设备的软件版本需要满足MARS的需求（软件版本请查阅MARS的Release Notes）。为了让MARS了解网络详细拓扑，需要把每台要加入的设备的 login password ,enable password 和snmp community配置对。填完之后，按Discovery，此时设备已经添加完毕。（图2.6为已管理安全设备清单） 注：如果添加设备不成功，MARS会提供添加设备错误的原因，可根据原因改正。 图2.6已管理安全设备清单 配置被管理安全设备 要使CS-MARS收集的安全设备的数据，还必须都将安全设备的日志信息发给CS-MARS。因为每种安全设备的日志设置不完全一样，这里以PIX的设置为例说明： logging enable logging trap warnings logging history notifications logging host campus 80 配置Netflow信息 当需要分析Netflow信息时，还应为MARS配置Netflow。 配置MARS的Netflow配置。选择Admin－》Netflow Configuration，配置Netflow使用的UDP端口，并加入需要分析的Net