NetEye安全运维平台系统V50_培训讲义.pptx

;;;多视角 ;产品安装 ;单机部署 ;分布式部署 ;重要术语 原始日志：是指从网络设备、安全设备等系统中发出的原始信息。 安全事件：是指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息。 故障事件：对设备自身故障的监控，如数据库没有启动、接口down等，生成故障事件。 性能事件：对设备的KPI监控，如内存利用率超过所系统所配置的阈值，生成性能事件。 配置事件：对Linux操作系统进程和端口的监控，如进程down。 ;重要术语（2） 智能关联事件：攻击行为触发预定义的攻击场景模型，系统自动分析日志的结果。 脆弱性：存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题 。一般指扫描器上报的脆弱性。 资产价值：根据信息安全标准，把资产分级，以量化资产在系统中的重要性。 风险：风险 = f ( 资产价值，脆弱性，事件)。 ;重要术语（3） 日志过滤策略：在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息。 事件生成策略：根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。 事件忽略策略：对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和ip等条件进行过滤，忽略的事件不参与风险的计算。 ;系统登录 登录方式：https://x.x.x.x/soc支持IE7/8/9/10/11 缺省账号：超级管理员：admin/1系统管理员：sysmanager/1系统审计员：sysauditor/1 ;运维首页 ;快捷访问 ;;权限管理 用户管理员 运维管理员 系统审计员 自定义角色（细粒度） ;自定义权限 ;数据权限 ;用户管理 ;用户锁定与解锁 被锁定的用户不能登录SOC系统 下面两种方式会将账号锁定 超级管理员手工锁定 连续6登录失败自动锁定 ;安全域管理 ;机构管理 ;资产管理-概览 ;资产管理-添加 ;资产管理-批量添加 ;资产管理-文件导入 ;资产管理-自动发现 ;资产管理-导出 ;资产管理-自定义资产属性 ;资产管理-报表统计 ;报表生成 ;公告信息 ;;Syslog报文  ;日志发送配置（操作系统）  ;日志发送配置（网络设备）  ;日志接收配置  ;多维度分析  ;安全事件  ;基于攻击场景关联分析  ;基于资产漏洞关联分析  ;脆弱性扫描  ;脆弱性查看  ;事件策略  ;事件策略2  ;;监控器  ;健康度 代表监控器不能进行监控，主要原因有设备不能联通或系统配置有误 代表监控器工作正常，可以准确监控资产是否出现告警 代表监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代 理程序出现问题  ;24小时健康度  ;创建监控器  ;锐捷网络设备监控 1、登陆锐捷网络设备，开启SNMP访问功能：(config)#snmp-server community community 2、登陆统一运维监管平台，建立监控器  ;锐捷网络设备监控（2）  ;锐捷网络设备监控（3）  ;Windows监控-添加SNMP组件 打开 开始管理工具服务器管理器，找到功能摘要标签：  ;Windows监控-开启SNMP服务 配置SNMP只读字符串和允许访问的地址，地址填写28，重新启动SNMP服务。  ;Windows监控 1、登陆Windows，开启SNMP访问功能：2、登陆统一运维监管平台，建立监控器  ;Windows监控（2）  ;Oracle数据库监控  ;Oracle数据库监控（2）  ;Tomcat中间件监控 1、修改Tomcat配置文件bin/catalina.bat，增加下列参数：set?CATALINA_OPTS=%CATALINA_OPTS%?-Dcom.sun.management.jmxremote?-Dcom.sun.management.jmxremote.ssl=false?-Dcom.sun.management.jmxremote.authenticate=false?-Dcom.sun.management.jmxremote.port=8999 2、登陆统一运维监管平台，建立监控器  ;Tomcat中间件监控（2）  ;监控器报表  ;性能/故障/配置事件报表  ;应用拓扑  ;应用拓扑配置  ;;网络拓扑  ;获取资产接口  ;拓扑发现  ;拓扑修改  ;拓扑流量事件  ;;拓扑流量事件  ;工作流程  ;事件处置类  ;运维服务类  ;资产管理类