安全告警监控快速使用册.docVIP

版本控制 版本号 日期 状态 变更说明 修订人 审核人 V1.0 2009/9/30 C 创建 俞加鸣 状态标识：C – Created A - Added M - Modified D - Deleted  目录 版本控制 2 告警监控平台登陆 4 登陆帐号 4 WEB登陆方式 4 客户端登陆方式（仅监控班使用） 5 告警分类 6 事件-威胁-风险-告警 7 漏洞-风险-告警 8 配置收集-脆弱性计算-告警 11 配置变更-变更状态计算-告警 13  告警监控平台登陆 登陆帐号 请各位使用自己帐号登陆后，点击系统右上角密码修改处修改自己帐号密码。 登陆帐号 密码 使用人 majin d7tskj 马进 kongqingchuan g2rbto 孔庆川 wangzhe 9f7a1t 王喆 wangjian q7vleu 王建 wangziliang tfiqwq 王自亮 liuwenjie sp3w7i 刘文杰 jiankong GszpiK 监控室 WEB登陆方式 :8080/ISMP 点击首页左上部“信息概览”中的“告警监控”，弹出告警监控窗口，如下图所示： 告警监控分为未处理告警列表和已确认告警列表两个部分。 在告警列表中，点击告警名称，可查看告警的详细信息。 客户端登陆方式（仅监控班使用） 采用客户端方式进行安全监控，可以在告警发送到客户端的同时，产生声音告警。 登陆帐号和使用方法和WEB方式都是一致， 告警分类 恶意软件类告警 计算机病毒 木马 蠕虫 僵尸软件 网页病毒 漏洞攻击代码 间谍软件 混合攻击 后门程序 其他 网络攻击类告警 拒绝服务攻击 后门攻击 漏洞攻击 网络扫描探测 口令攻击 非法访问 其他 信息破坏类告警 信息篡改 信息假冒 信息内容安全类告警 垃圾邮件 安全设备故障类告警 硬件故障 软件故障 配置违规类告警 日志类 用户类 网管类 路由配置类 访问控制类 补丁类 审计类 其他类 漏洞类告警 Windows漏洞 UNIX漏洞 网络设备漏洞 应用系统漏洞 数据库漏洞 其他漏洞 综合类 资产综合指标 防火墙指标 入侵检测指标 账号口令管理指标 操作审计指标 防毒管理指标 漏洞管理指标 配置审计和变更管理指标 其他 事件-威胁-风险-告警 ISMPserver的事件来源是sem的核心引擎，ISMPserver通过其专用的事件端口3021接收并处理事件。 图：事件-威胁-风险-告警流程图 接收事件的主要流程： 接收到SEM事件对其进行解析 通过事件的源IP地址、目的IP地址、设备IP地址，去匹配关联到源资产、目的资产、设备资产。在这里，过滤掉未匹配到任何资产的威胁事件。 计算事件的资产风险。对于IDS事件，通过IDS事件中目的资产去关联相应资产上的漏洞，提高目的资产风险。 将事件暂时存放在全局缓冲中 发送事件到响应中心，以及向统计引擎发送实时事件 由定时器每5秒对缓冲区的事件进行处理一次。主要功能是将事件发送至KPI处理模块并对事件进行备份。 在kpi处理模块中，首先经过过滤器过滤ISMP事件，且只保留与指标计算相关的事件,具体主要是需过滤以下五类事件： windows和unix类主机访问类日志(用户登录/注销,用户切换) 防火墙类配置,登入/登出类日志 入侵检测系统日志 安全网关类日志 APMS系统日志 然后实时评估其事件的风险（实时评估指标一般和事件、漏洞、配置脆弱性以及配置变更相关）。 将KPI风险发送到告警模块。如果此风险适合告警，是则添加到告警全局缓冲告警数据中，由定时每一隔一分钟写一次告警信息到数据库，如果产生风险，则又定时器每分钟写一次数据到风险数据库。 在其设定的定时回调函数中对风险时间进行定时的处理。其处理流程和原则大致跟接收事件中对风险的处理过程相似。 漏洞-风险-告警 进行漏洞扫描前需要对扫描引擎进行配置配置。 扫描漏洞通过定制任务实现，有两种实现，一种是通过前台与后台的消息通信实现的实时扫描，一种是通过前台定制任务并写道数据库，后台通过定时刷新数据库实现的定时扫描。 ISMPserver里的漏洞是用扫描器扫描后写到数据库，ISMPserver通过定时刷新数据库来获得最新的漏洞信息。目前只支持领信扫描器。 漏洞扫描必须配置扫描引擎，在一