NetEye安全运维平台系统V5.0_培训讲义

1、NetEye安全运维平台系统V5.0培训讲义网络安全事业部东软集团股份有限公司目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块统一运维监管平台多视角落实安全策略 制定任务计划 出具分析报告提供统一信息安全态势与风险监测服务安全视角业务视角决策视角运维视角平台管理视角业务异常监测告警风险管理预警发布运维管理数据采集实时覆盖整体网络与业务可用性监测 安全事件审计 关键业务行为感知集中多源数据 统一研判提升预警监测准确率 任务处理与响应为用户构建统一的监测预警风险感知产品安装单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络访问相应的监控对象即

2、可。部署灵活局域网路由器防火墙交换机分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集引擎的部署能够灵活扩充，平台对所有数据采集引擎进行统一管理。灵活扩展北京上海沈阳南京武汉广州重要术语原始日志：是指从网络设备、安全设备等系统中发出的原始信息。安全事件：是指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息。故障事件：对设备自身故障的监控，如数据库没有启动、接口down等，生成故障事件。性能事件：对设备的KPI监控，如内存利用率超过所系统所配置的阈值，生成性能事件。配置事件：对Linux操作系统进程和端口的监控，如进程down。重要术语（2）智能关联事件：攻击行为触发预定义的

3、攻击场景模型，系统自动分析日志的结果。脆弱性：存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题 。一般指扫描器上报的脆弱性。资产价值：根据信息安全标准，把资产分级，以量化资产在系统中的重要性。风险：风险 = f ( 资产价值，脆弱性，事件)。重要术语（3）日志过滤策略：在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息。事件生成策略：根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。事件忽略策略：对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和

4、ip等条件进行过滤，忽略的事件不参与风险的计算。系统登录登录方式：https:/x.x.x.x/soc支持IE7/8/9/10/11缺省账号：超级管理员：admin/1系统管理员：sysmanager/1系统审计员：sysauditor/1运维首页快捷访问目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块权限管理用户管理员运维管理员系统审计员自定义角色（细粒度）自定义权限数据权限用户管理用户锁定与解锁被被锁定的用户不能登录锁定的用户不能登录SOC系统系统下面两种方式会将账号锁定下面两种方式会将账号锁定超级管理员手工锁定超级管理员手工锁定连续连续6登录

5、失败自动锁定登录失败自动锁定安全域管理机构管理资产管理-概览资产管理-添加资产管理-批量添加资产管理-文件导入资产管理-自动发现资产管理-导出资产管理-自定义资产属性资产管理-报表统计报表生成公告信息目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块Syslog报文日志发送配置（操作系统）日志发送配置（网络设备）日志接收配置多维度分析安全事件事件列表事件详细信息数据分布图攻击关联图基于攻击场景关联分析攻击场景细粒度的规则定义支持图形和脚本两种定义方式时间窗特性基于资产漏洞关联分析与资产漏洞关联与资产操作系统关联与资产端口关联基于资产的攻击疑似度计算模

6、型脆弱性扫描脆弱性查看事件策略事件策略2目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块监控器 针对于同一设备上的不同监控内容，通过多种类型监控器进行监控服务器设备数据库中间件操作系统中间件监控器数据库监控器操作系统监控器健康度 代表监控器不能进行监控，主要原因有设备不能联通或系统配置有误 代表监控器工作正常，可以准确监控资产是否出现告警 代表监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代 理程序出现问题24小时健康度创建监控器锐捷网络设备监控1、登陆锐捷网络设备，开启SNMP访问功能：(config)#snmp-server com

7、munity community 2、登陆统一运维监管平台，建立监控器锐捷网络设备监控（2）锐捷网络设备监控（3）Windows监控-添加SNMP组件打开 开始管理工具服务器管理器，找到功能摘要标签：Windows监控-开启SNMP服务配置SNMP只读字符串和允许访问的地址，地址填写28，重新启动，重新启动SNMP服务。服务。Windows监控1、登陆Windows，开启SNMP访问功能：2、登陆统一运维监管平台，建立监控器Windows监控（2）Oracle数据库监控Oracle数据库监控（2）Tomcat中间件监控1、修改Tomcat配置文件bin/catalina.

8、bat，增加下列参数：set CATALINA_OPTS=%CATALINA_OPTS% -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.port=8999 2、登陆统一运维监管平台，建立监控器Tomcat中间件监控（2）监控器报表性能/故障/配置事件报表应用拓扑应用拓扑配置目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块网络拓扑获取资产接口拓扑发现拓扑修改拓扑流量事件性能事件：重点接口流量超出设定的阈值并连续达到设定的次数，将生成性能事件；故障事件：重点接口状态从UP至DOWN，将生成故障事件。目录1 系统概述3 安全管理模块2 系统管理4 主动监控模块6 运维工作流模块5 网络管理模块拓扑流量事件发现事件是安全监控运维管理平台的起点，合理处置事件是安全运维监控管理平台的目标。通过平台的工单功能，能够形成发现事件-跟踪事件-处置事件-关闭事件的流程。使得安全事件被真正处理，有效降低用户网络的安全风险。发现事件跟踪事件处置事件关闭事件确认