NetEye安全运维平台系统V50-培训讲义课件

NetEye安全运维平台系统V5.0培训讲义网络安全事业部东软集团股份有限公司NetEye安全运维平台系统V5.0目录1系统概述3安全管理模块2

系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理42综合监控运维管理平台共享经验统计分析决策支持全面直观的系统管理展示掌握运行质量效率合理利用资源强化监控集中管理定位故障快速恢复规范运行管理运维统一运维监管平台综合监控运维管理平台共享经验统计分析全面直观的系统掌握运行质3多视角落实安全策略制定任务计划出具分析报告提供统一信息安全态势与风险监测服务安全视角业务视角决策视角运维视角平台管理视角业务异常监测告警风险管理预警发布运维管理数据采集实时覆盖整体网络与业务可用性监测安全事件审计关键业务行为感知集中多源数据

统一研判提升预警监测准确率任务处理与响应为用户构建统一的监测预警风险感知多视角落实安全策略制定任务计划出具分析报告提供统一信4产品安装产品安装5单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络访问相应的监控对象即可。部署灵活安全监控运维管理平台局域网反垃圾邮件系统应用系统数据库系统主机系统身份认证系统Web防护系统漏洞扫描系统审计系统防病毒系统入侵检测系统路由器防火墙交换机单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络6分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集引擎的部署能够灵活扩充，平台对所有数据采集引擎进行统一管理。灵活扩展安全监控运维管理平台北京上海沈阳南京武汉广州分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集7重要术语原始日志：

是指从网络设备、安全设备等系统中发出的原始信息。安全事件：

是指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息。故障事件：

对设备自身故障的监控，如数据库没有启动、接口down等，生成故障事件。性能事件：

对设备的KPI监控，如内存利用率超过所系统所配置的阈值，生成性能事件。配置事件：

对Linux操作系统进程和端口的监控，如进程down。重要术语8重要术语（2）智能关联事件：

攻击行为触发预定义的攻击场景模型，系统自动分析日志的结果。脆弱性：

存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题。一般指扫描器上报的脆弱性。资产价值：

根据信息安全标准，把资产分级，以量化资产在系统中的重要性。风险：

风险=f(资产价值，脆弱性，事件)。重要术语（2）9重要术语（3）日志过滤策略：

在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息。事件生成策略：

根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。事件忽略策略：

对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和ip等条件进行过滤，忽略的事件不参与风险的计算。重要术语（3）10系统登录登录方式：

https://x.x.x.x/soc

支持IE7/8/9/10/11缺省账号：

超级管理员：admin/1

系统管理员：sysmanager/1

系统审计员：sysauditor/1系统登录11运维首页运维首页12快捷访问快捷访问13目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理414权限管理用户管理员运维管理员系统审计员自定义角色（细粒度）

权限管理15自定义权限自定义权限16数据权限数据权限17用户管理用户管理18用户锁定与解锁被锁定的用户不能登录SOC系统下面两种方式会将账号锁定超级管理员手工锁定连续6登录失败自动锁定用户锁定与解锁19安全域管理安全域管理20机构管理机构管理21资产管理-概览资产管理-概览22资产管理-添加资产管理-添加23资产管理-批量添加资产管理-批量添加24资产管理-文件导入资产管理-文件导入25资产管理-自动发现资产管理-自动发现26资产管理-导出资产管理-导出27资产管理-自定义资产属性资产管理-自定义资产属性28资产管理-报表统计资产管理-报表统计29报表生成报表生成30公告信息公告信息31目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理432Syslog报文

Syslog报文33日志发送配置（操作系统）

日志发送配置（操作系统）34日志发送配置（网络设备）

日志发送配置（网络设备）35日志接收配置

日志接收配置36多维度分析

多维度分析37安全事件

事件列表事件详细信息数据分布图攻击关联图安全事件事件列表事件详细信息数据分布图攻击关联图38基于攻击场景关联分析

攻击场景细粒度的规则定义支持图形和脚本两种定义方式时间窗特性基于攻击场景关联分析攻击场景细粒度的规则定义支持图形和脚本两39基于资产漏洞关联分析

与资产漏洞关联与资产操作系统关联与资产端口关联基于资产的攻击疑似度计算模型基于资产漏洞关联分析与资产漏洞关联与资产操作系统关联与资产端40脆弱性扫描

脆弱性扫描41脆弱性查看

脆弱性查看42事件策略

事件策略43事件策略2

事件策略244目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理445监控器

针对于同一设备上的不同监控内容，通过多种类型监控器进行监控服务器设备数据库中间件操作系统……中间件监控器数据库监控器操作系统监控器监控器针对于同一设备上的不同监控内容，通过多种类型监控器进行46健康度代表监控器不能进行监控，主要原因有设备不能联通或系统配置有误代表监控器工作正常，可以准确监控资产是否出现告警代表监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代理程序出现问题

健康度4724小时健康度

24小时健康度48创建监控器

创建监控器49锐捷网络设备监控1、登陆锐捷网络设备，开启SNMP访问功能：

(config)#snmp-servercommunity

community

2、登陆统一运维监管平台，建立监控器

锐捷网络设备监控50锐捷网络设备监控（2）

锐捷网络设备监控（2）51锐捷网络设备监控（3）

锐捷网络设备监控（3）52Windows监控-添加SNMP组件打开开始>管理工具>服务器管理器，找到功能摘要标签：

Windows监控-添加SNMP组件53Windows监控-开启SNMP服务配置SNMP只读字符串和允许访问的地址，地址填写28，重新启动SNMP服务。

Windows监控-开启SNMP服务54Windows监控1、登陆Windows，开启SNMP访问功能：

2、登陆统一运维监管平台，建立监控器

Windows监控55Windows监控（2）

Windows监控（2）56Oracle数据库监控

Oracle数据库监控57Oracle数据库监控（2）

Oracle数据库监控（2）58Tomcat中间件监控1、修改Tomcat配置文件bin/catalina.bat，增加下列参数：

set

CATALINA_OPTS=%CATALINA_OPTS%

-Dcom.sun.management.jmxremote

-Dcom.sun.management.jmxremote.ssl=false

-Dcom.sun.management.jmxremote.authenticate=false

-Dcom.sun.management.jmxremote.port=8999

2、登陆统一运维监管平台，建立监控器

Tomcat中间件监控59Tomcat中间件监控（2）

Tomcat中间件监控（2）60监控器报表

监控器报表61性能/故障/配置事件报表

性能/故障/配置事件报表62应用拓扑

应用拓扑63应用拓扑配置

应用拓扑配置64目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5网络管理模块目录1系统概述3安全管理模块2系统管理465网络拓扑

网络拓扑66获取资产接口

获取资产接口67拓扑发现

拓扑发现68拓扑修改

拓扑修改69拓扑流量事件

性能事件：重点接口流量超出设定的阈值并连续达到设定的次数，将生成性能事件；故障事件：重点接口状态从UP至DOWN，将生成故障事件。

拓扑流量事件性能事件：重点接口流量超出设定的阈值并连续达到设70目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块目录1系统概述3安全管理模块2系统管理471拓扑流量事件

发现事件是安全监控运维管理平台的起点，合理处置事件是安全运维监控管理平台的目标。通过平台的工单功能，能够形成发现事件-〉跟踪事件-〉处置事件-〉关闭事件的流程。使得安全事件被真正处理，有效降低用户网络的安全风险。发现事件跟踪事件处置事件关闭事件确认

IT服务处置流程拓扑流量事件发现事件是安全监控运维管理平台的起点，合理处置事72工作流程

工作流程73事件处置类

事件处置类74运维服务类

运维服务类75资产管理类

资产管理类76工单流转举例-第一步工单申请

工单流转举例-第一步工单申请

77工单流转举例-第二步领导审批

工单流转举例-第二步领导审批

78工单流转举例-第三步执行

工单流转举例-第三步执行

79工单流转举例-第四步领导审核

工单流转举例-第四步领导审核

80工单流转监督

工单流转监督

81工单流转-待办功能

工单流转-待办功能

82工单流转-经验积累

工单流转-经验积累

83自动工单策略

自动工单策略

84谢谢！mailto:yuanjy@Tel:谢！mailto:yuanjy@85演讲完毕，谢谢观看！演讲完毕，谢谢观看！86NetEye安全运维平台系统V5.0培训讲义网络安全事业部东软集团股份有限公司NetEye安全运维平台系统V5.0目录1系统概述3安全管理模块2

系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理488综合监控运维管理平台共享经验统计分析决策支持全面直观的系统管理展示掌握运行质量效率合理利用资源强化监控集中管理定位故障快速恢复规范运行管理运维统一运维监管平台综合监控运维管理平台共享经验统计分析全面直观的系统掌握运行质89多视角落实安全策略制定任务计划出具分析报告提供统一信息安全态势与风险监测服务安全视角业务视角决策视角运维视角平台管理视角业务异常监测告警风险管理预警发布运维管理数据采集实时覆盖整体网络与业务可用性监测安全事件审计关键业务行为感知集中多源数据

统一研判提升预警监测准确率任务处理与响应为用户构建统一的监测预警风险感知多视角落实安全策略制定任务计划出具分析报告提供统一信90产品安装产品安装91单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络访问相应的监控对象即可。部署灵活安全监控运维管理平台局域网反垃圾邮件系统应用系统数据库系统主机系统身份认证系统Web防护系统漏洞扫描系统审计系统防病毒系统入侵检测系统路由器防火墙交换机单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络92分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集引擎的部署能够灵活扩充，平台对所有数据采集引擎进行统一管理。灵活扩展安全监控运维管理平台北京上海沈阳南京武汉广州分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集93重要术语原始日志：

是指从网络设备、安全设备等系统中发出的原始信息。安全事件：

是指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息。故障事件：

对设备自身故障的监控，如数据库没有启动、接口down等，生成故障事件。性能事件：

对设备的KPI监控，如内存利用率超过所系统所配置的阈值，生成性能事件。配置事件：

对Linux操作系统进程和端口的监控，如进程down。重要术语94重要术语（2）智能关联事件：

攻击行为触发预定义的攻击场景模型，系统自动分析日志的结果。脆弱性：

存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题。一般指扫描器上报的脆弱性。资产价值：

根据信息安全标准，把资产分级，以量化资产在系统中的重要性。风险：

风险=f(资产价值，脆弱性，事件)。重要术语（2）95重要术语（3）日志过滤策略：

在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息。事件生成策略：

根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。事件忽略策略：

对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和ip等条件进行过滤，忽略的事件不参与风险的计算。重要术语（3）96系统登录登录方式：

https://x.x.x.x/soc

支持IE7/8/9/10/11缺省账号：

超级管理员：admin/1

系统管理员：sysmanager/1

系统审计员：sysauditor/1系统登录97运维首页运维首页98快捷访问快捷访问99目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理4100权限管理用户管理员运维管理员系统审计员自定义角色（细粒度）

权限管理101自定义权限自定义权限102数据权限数据权限103用户管理用户管理104用户锁定与解锁被锁定的用户不能登录SOC系统下面两种方式会将账号锁定超级管理员手工锁定连续6登录失败自动锁定用户锁定与解锁105安全域管理安全域管理106机构管理机构管理107资产管理-概览资产管理-概览108资产管理-添加资产管理-添加109资产管理-批量添加资产管理-批量添加110资产管理-文件导入资产管理-文件导入111资产管理-自动发现资产管理-自动发现112资产管理-导出资产管理-导出113资产管理-自定义资产属性资产管理-自定义资产属性114资产管理-报表统计资产管理-报表统计115报表生成报表生成116公告信息公告信息117目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理4118Syslog报文

Syslog报文119日志发送配置（操作系统）

日志发送配置（操作系统）120日志发送配置（网络设备）

日志发送配置（网络设备）121日志接收配置

日志接收配置122多维度分析

多维度分析123安全事件

事件列表事件详细信息数据分布图攻击关联图安全事件事件列表事件详细信息数据分布图攻击关联图124基于攻击场景关联分析

攻击场景细粒度的规则定义支持图形和脚本两种定义方式时间窗特性基于攻击场景关联分析攻击场景细粒度的规则定义支持图形和脚本两125基于资产漏洞关联分析

与资产漏洞关联与资产操作系统关联与资产端口关联基于资产的攻击疑似度计算模型基于资产漏洞关联分析与资产漏洞关联与资产操作系统关联与资产端126脆弱性扫描

脆弱性扫描127脆弱性查看

脆弱性查看128事件策略

事件策略129事件策略2

事件策略2130目录1系统概述3安全管理模块2系统管理4主动监控模块6

运维工作流模块5

网络管理模块目录1系统概述3安全管理模块2系统管理4131监控器

针对于同一设备上的不同监控内容，通过多种类型监控器进行监控服务器设备数据库中间件操作系统……中间件监控器数据库监控器操作系统监控器监控器针对于同一设备上的不同监控内容，通过多种类型监控器进行132健康度代表监控器不能进行监控，主要原因有设备不能联通或系统配置有误代表监控器工作正常，可以准确监控资产是否出现告警代表监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代理程序出现问题

健康度13324小时健康度

24小时健康度134创建监控器

创建监控器135锐捷网络设备监控1、登陆锐捷网络设备，开启SNMP访问功能：

(config)#snmp-servercommunity

community

2、登陆统一运维监管平台，建立监控器

锐捷网络设备监控136锐捷网络设备监控（2）

锐捷网络设备监控（2）137锐捷网络设备监控（3）

锐捷网络设备监控（3）138Windows监控-添加SNMP组件打开开始>管理工具>服务器管理器，找到功能摘要标签：

Windows监控-添加SNMP组件139Windows监控-开启SNMP服务配置SNMP只读字符串和允许访问的地址，地址填写28，重新启动SNMP服务。

Windows监控-开启SNMP服务140Windows监控1、登陆Windows，开启SNMP访问功能：

2、登陆统一运维监管平台，建立监控器

Windows监控141Windows监控（2）

Windows监控（2）142Oracle数据库监控

Oracle数据库监控143Oracle数据库监控（2）

Oracle数据库监控（2）144Tomcat中间件监控1、修改Tomcat配置文件bin/catalina.bat，增加下列参数：

set

CATALINA_OPTS=%CATALINA_OPTS%

-Dcom.sun.management.jmxremote

-Dcom.sun.management.jmxremote.ssl=false

-Dcom.sun.management.jmxremote.authenticate=false

-Dcom.sun.management.jmxremote.port=8999

2、登陆统一运维监管平台，建立监控器

Tomcat中间件监控145Tomcat中间件监控（2）

Tomcat中间件监控（2）146监控器报表

监控器报表147性能/故障/配置事件报表

性能/故障/配置事件报表148应用拓扑

应用拓扑149应用拓扑配置

应用拓扑配置1