天阗入侵检测系统培训手册.pptVIP

* 启明星辰对针对新的入侵行为定义新的事件，只有将这些事件更新到我们的事件库中，并将其相应的策略应用到引擎上，才能检测出这种入侵行为。 事件库要及时更新。 第一次安装，保证事件库的事件定义为最新 也是日常维护的重要工作之一。 * * 主控制中心：下级设置 子控制中心：本级设置 * 攻击分析集比较全 陈旧事件集？ * 策略下发成功以后引擎就可以正常工作了 * * 查看事件：了解网络的状况，是否发生了安全事件。报警信息显示在显示中心。 添加树形窗口：如果事件很多时，想针对某些属性进行查看，就可以添加窗口，例如想查看某个增加信息的可显示性 树型窗口适合做验证,招标要求能够自动验证事件成功与失败 * 策略集的操作，例如现在有两个策略集：windows事件集，高级事件集。我如果想要windows事件集中的高级事件组成一个策略集，两集合的交，其他类同。 * 策略设置最好不要设置为无效（一次事件） * * 统计：包含各种管理统计报表的模板，包括：历史日志统计分析报表和今日日志统计分析报表。 提供多种缺省模板和方案文件 * * * * 用户可以看到数据库中的事件数，用户只需要点击“刷新再要”就可以看到在数据库中各类事件的事件数目 * 为了根据网络安全的需要；不断加大事件库中的内容；根据事件生成策略集；把策略集下发到各个引擎上使系统具有更好的性能。 注意：升级完毕后为了使引擎的事件库与策略一致，用户需要将新增事件集和引擎上正在使用的事件集进行合并操作，然后重新下发策略。 * * * 天阗6.0基本配置 进入用户管理与审计界面，用用户管理员帐号，添加一个管理员帐号； 用刚才添加的管理员帐号进入控制中心,序列号授权； 在控制中心中添加探测引擎,根据需求在控制中心中添加显示中心和子控，并进行设置； 启动探测引擎、各显示中心和子控制中心；连接成功； 配置通讯参数:显示中心的连接设置；(显示中心) 导入引擎授权文件； 升级天阗事件库； 选择策略下发至探测引擎. * 常用功能 查看事件 策略基本操作 报表输出 数据库维护 更新升级 * 查看事件 查看报警事件 添加窗口 系统设置 树型窗口 * 策略基本操作 策略衍生 策略集操作 策略向导 策略导入导出 * 策略基本操作 编辑策略 * 策略基本操作 策略下发 * 报表输出 管理统计分析报表 目标对象是管理人员 周期性统计报表类型模板 使用水晶报表，支持PDF、RPT、EXCEL、WORD、XML、RICH TEXT、文本文件等多种导出格式 * 报表输出 详细日志分析报表 目标对象是入侵检测分析人员 提供多种缺省模板和方案文件 强大的条件过滤功能 * 数据库维护 自动维护和手动维护 支持MSDE、SQL Server和其他以ODBC连接的数据库 * 数据库维护 自动备份 日志新增条数 自动维护 * 数据库维护 设定手动维护条件，然后手动完成数据库维护工作 手动删除、手动备份 数据库摘要 手动维护 * 更新升级 事件库升级(每周五下午更新事件库) 自动（需要能连接上互联网） 手动 * 天阗入侵检测系统 天镜的任务下发与配置 * 任务制定 导出任务 * 显示中心查看实时扫描结果 * 日常工作建议 每日查看天阗控制台工作是否启动或是否工作正常。 每日查看控制台连接引擎是否正常 每日早晚各一次查看报警信息。 对可疑事件进行及时分析。 及时调整并下发天阗工作策略。 根据情况及时上报事件。 * 日常维护建议 每周进行一次天阗事件库更新。 注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。 注意天阗控制中心和引擎的升级包。 定期查看日志数据库大小及进行数据库维护。 * 谢谢大家 谢谢大家 * 安装之前的准备事项 引擎监控范围由管理员确定而不是交换机，管理员在交换机上设置需要镜像哪些端口，引擎就可以监控哪些端口。 交换机配置：全端口镜像，在网络流量大时，会对交换机造成很大的压力 * 新添加用户自定义通讯端口 * * 控制中心从引擎或子控中接收事件，要求性能比较高一些 存储是为了存储日志信息的 控制中心、显示中心、日志中心对硬件软件配置要求相同 日志中心要求安装EXCEL * 重起是为了启动 控制中心、显示中心、日志中心对硬件软件配置要求相同 日志中心要求安装EXCEL * 因为最初给的ACCESS。做工程时通常建立两个文件夹，IDSDB(入侵检测系统当然工作的数据库文件夹)和IDSBAK（备份库文件夹） * 确定哪些关键服务器和网络需要监控。 配置探测引擎 1. 通过超级终端连接后面板串口 2. 配置探测引擎IP地址/子网掩码/路由设置 3. 退出设置 4. 正确插好监听端口和通信端口的网线 安装控制中心，显示中心，日志分析中心，水晶报表， * 策略下发成功以后引擎