汉邦审计安装与调试.pptVIP

策略设置 a) 设置子系统规则 选择子系统－右击鼠标－点击“策略设置”，主窗口中会显示该子系统的策略。 策略设置 b）设置组规则 选择工作组－右击鼠标－点击“设置组规则”，主窗口中会显示该工作组的策略。 策略设置 c)设置被审对象的规则 选择工作组－右击鼠标－点击“设置节点规则”，主窗口中会显示该对象的策略。 指定审计中心 用户可以根据实际情况，将主机（或网络引擎或数据库引擎）指定到某一个审计中心，由该审计中心对它进行管理。 选中主机（或网络引擎或数据库引擎）－右击鼠标，点击“连接到中心”－输入指定监控中心IP地址。 主机审计监控子系统使用指南 在引擎管理窗口中单击“主机子系统”，显示如下界面。 下边以网络审计作为例子进行配置说明 网络审计 a) 查看报警信息 查看主机子系统（或某一工作组或指定主机）的网络审计实时信息时，首先在引擎管理窗口中点击“主机子系统”（或某一工作组或指定主机），功能窗口中点击报警信息，点击主窗口左边的“网络审计”，此时主窗口中会显示该子系统（或工作组中所有主机或指定主机）的网络审计实时信息（包括：传感器名、报警等级、审计类型、本地时间、中心时间、当前用户、进程名、远程IP地址、远程端口、本地端口、协议类型、是否主动、连接状态等等），如下图所示： 网络审计 网络审计 b) 删除所选实时信息 选定任意一条实时信息，然后单击“处理单条”按钮，完成信息条的删除。 （注：“删除”是指把报警信息中的数据删除，被删除的数据仍能在报表系统中查询。） c) 处理本页 选定某一页的报警信息，然后单击“处理本页”按钮，完成对本页所有信息的删除。 （注：“删除”是指把报警信息中的数据删除，被删除的数据仍能在报表系统中查询。） d) 全部清空实时信息 单击“全部处理”按钮，此时主窗口中所显示的信息将清除掉。 （注：“清空”并不是把信息从数据库中删除，它只是把屏幕显示的信息清除掉。） 网络审计 b)保存报警信息 单击“另存为”按钮，弹出Windows通用对话框，输入“文件名”，选择保存格式（格式包括： excel文件、文本文件、HTMl文件、WORD文件、所有文件），如下图所示： 规则设置 a) 说明 规则设置分为：主机子系统规则设置、工作组规则设置、指定主机规则设置。 ●主机子系统规则设置：所有工作组中的所有主机继承该策略。 ●工作组规则设置：该工作组中的所有主机继承该策略。 ●指定主机规则设置：指定主机继承该策略 规则设置 b) 增加规则 在引擎管理窗口中选择指定主机－功能窗口点击“网络审计”－点击主窗口左上方的“增加规则”，如下图所示： 规则设置 规则包括：监控方式、日期、IP规则。 ● 监控方式：可设置为每天、每周、每月。 ●日期：执行策略的开始时间和结束时间。 ● IP规则 ①用户可根据实际情况将报警等级设为低、中、高； ②审计类型可设为允许和禁止，设为禁止后将根据设置阻断用户访问某一指定机器或所有机器的某一指定端口。“记录”前必须打勾，否则不记录审计数据。 ③指定端口：输入需审计监控的端口号，“0”表示所有端口。“排除”前打勾表示对输入的端口不进行审计监控。 ④IP地址：输入需审计监控的被访问机器的IP地址，“0.0.0.0”表示所有机器。“排除”前打勾表示对输入的IP地址不进行审计监控。 ⑤指定进程：输入需审计监控的进程。 规则设置 c) 修改规则 在引擎管理窗口中选择指定主机－功能窗口点击“网络审计”－在主窗口中选择需要修改的规则－点击“修改规则”，规则的修改方法与规则的增加方法一样。 d)删除规则 在引擎管理窗口中选择指定主机－功能窗口点击“网络审计”－在主窗口中选择需要删除的规则－点击“删除规则” e) 提交规则 增加规则、删除规则、修改规则后管理员应该点击“提交规则”，保存最新的规则设置。 综合报表系统使用指南 双击桌面上的HBAudit—报表系统的快捷方式或者单击“开始”－“程序”－“汉邦信息安全综合强审计监控系统管理界面”－“汉邦综合强审计系统管理界面-报表系统”后，将弹出如图的对话框－输入要登陆查询审计数据库的“IP地址”、“数据库名”、数据库的“登陆用户”和“密码”，如下图所示。 综合报表系统使用指南 登陆报表系统 数据库登陆成功后，弹出登陆报表系统的窗口，输入正确的“用户名”和“密码” 按“确认”按钮登陆，如下图所示： 综合报表系统使用指南 使用界面 综合报表系统使用指南 主菜单包括4个下拉菜单：文件、统计、查询、报表。 1）文件 ● 退出系统 2）统计 ● 报警等级概括统计：对审计到的各个功能模块的历史报警信息进行概括的统计，用户可以根据具体条件进行设置。 3) 查询 ● 主机子系统：查询主机子系统各个模块的历史信息。 ● 网络子系统：查询网络子系统各个模块的历史信息。 ● 数据库子系统：查询