2022天眼平台使用指南

天眼平台使用指南——分析平台、流量传感器、文件威胁鉴定器2022-04-07. .1.天眼架构部署1.天眼架构部署2.天眼设备介绍-传感器3.天眼设备介绍-分析平台3.天眼设备介绍-文件威胁鉴定器天眼架构部署天眼新一代安全感知系统检测、溯源、响应检测检测精准事件威胁金字塔0day逃逸……已知威胁响应处置动作溯源调查分析天眼部署架构天眼部署架构云端威胁情报云端威胁情报文件威胁鉴定器文件威胁鉴定器静态检测威胁感知动态检测调查分析场景化分析流量传感器入侵攻击检测天擎联动文件还原 终端响应数据采集部署场景部署场景注：天眼威胁监测与分析系统(SkyEye)的各个组件均采取旁路部署的模式，组成一个独立的网络，不会和用户本身的网络产生交集天眼新一代安全感知系统天眼新一代安全感知系统数据源 检测事件分析数据源检测事件分析网络探针（传感器）全流量数据全流量日志还原文件原始PCAP网络探针（传感器）全流量数据全流量日志还原文件原始PCAP完整的威胁追踪溯源精准事件Web攻击APT攻击邮件攻击恶意软件…调查分析攻击链展示攻击序列场景化20多种机器学习行为分析模型新的事件线索异常行为未知威胁规则检测沙箱威胁情报天眼设备介绍-传感器天眼设备介绍-传感器流量采集

检测引擎DNSFTPDNSFTP流量采集HTTPSSLSMB……基于人工智能机器自学习的入侵检测nbt引擎威胁情报检测基于规则的网络入侵检测基于沙箱的webshell上传检测基于双向会话分析的Web入侵检测

检测结果 产生准确的入侵告警产生准确的入侵告警告警信息存入分析平台，作为攻击取证及快速溯源的数据支撑告警信息存入分析平台，作为攻击取证及快速溯源的数据支撑天眼流量传感器界面状态监听状态监听状态监听包括：设备连接状态、设备列表、资源占用、系统信息、授权信息、攻击规则信息、威胁情报信息、网络流量、应用流量、数据采集、会话监控、文件类型统计、日志外发统计。威胁告警-告警列表威胁告警-告警列表【威胁告警】-【告警列表】展示网页漏洞利用、webshell上传、网络攻击、威胁情报4种类型的所有告警。解码小工具解码小工具在【威胁告警】-【详情】因为在告警详情中，对于url编码、base64编码、以及各种中文编码，浏览器不能提供直接的转义功能，导致部分告警分析存在困难，所以提供此小工具对各种编码内容进行转义。规则配置规则配置【规则配置】模块提供【网页漏洞利用】、【webshell上传】、【网络攻击】、【自定义规则】配置管理功能，支持查询、启停，自定义规则配置等操作。提供规则的规则编号、规则名称、威胁等级、规则分类、启用状态的筛选过滤，过滤查询字段之间可以进行组合查询。并支持单条规则启用、关闭以及对选中的规则进行批量启用、关闭的操作。同时提供了对每条规则详情的查看操作。【规则配置】-【自定义规则】分为两个模块，其中包含漏洞规则、威胁情报。 注：自定义威胁情报支持导入导出OPENIOCJSONSTIX用”则导出启用状态为启用的所有情报，选择“全部停用”则导出启用状态为停用的所有情报。策略配置-威胁检测策略配置-威胁检测【策略配置】-【威胁检测】模块提供了威胁检测开关的启停功能，及高级参数、弱口令、内部资产IP的配置功能。注：高级参数设定阈值后需要通过点击“保存”按钮使配置生效。策略配置-威胁检测-XFF策略配置-威胁检测-XFF因流量进过不同设备时，数据流中的IP可能会被替换。此功能是了为识别真正的源IP。策略配置-威胁检测-弱口令策略配置-威胁检测-弱口令httpWEB【弱口令字典】模块，用于在内置弱口令不能完全满足需求的情况下，补充自定义的弱口令，检测流量中存在使用口令字典中密码登录的情况。策略配置-流量记录策略配置-流量记录【流量记录】页面提供了三个功能，【启用流量负载记录】控制向分析平台发送数据中是否带payload数据及携带的上下行数据长度；【启用流量过滤】提供网络流量筛选功能；【自定义协议】支持用户根据端口配置协议信息。策略配置-文件还原策略配置-文件还原【文件还原】用于配置管理文件还原功能，支持启停文件还原功能，并支持配置还原的协议类型、文件类型及文件大小（最大值）。支持在【系统管理->联动管理->数据传输设置】页面配置传输规则，将还原的文件外发给文件威胁鉴定器。策略配置-抓包检测策略配置-抓包检测【PCAP文件检测】提供对用户手动导入pcap文件进行检测的功能，系统会分析pcap文件中的协议，还原协议传输中的文件，检测是否存在网络攻击。系统会将分析出来的协议日志、告警日志发送分析平台，将产生的网页漏洞利用、webshell上传、网络攻击、威胁情报告警、恶意文件在威胁感知-<告警列表页面进行展示，将还原出的文件和对应的流量日志发送文件威胁鉴定器。策略配置-旁路阻断策略配置-旁路阻断【策略配置】-【旁路阻断】其通过分析设备采集的流量数据包，再根据配置的阻断策略通过发rst报文或重定向的形式对满足条件的流量进行封禁操作，并统计阻断次数、记录阻断日志。支持配置管理阻断策略及封禁策略（人工规则）、阻断白名单信息。注：建议默认配置，不推荐配置策略配置-SSL解密策略配置-SSL解密【SSL解密】httpSSLhttpsSSLHTTPShttpshttp），注：建议默认配置，不推荐配置策略配置-白名单配置策略配置-白名单配置系统提供两大类白名单配置，配置规则与威胁情报白名单之后，命中白名单的告警不会入数据库存储，也不会进行展示和外发；配置文件白名单，命中文件MD5后不会进行检测。点击白名单类型下拉列表可以切换不同的类型。系统管理系统管理【基础配置】中包括系统证书配置、网络配置、时间配置、升级配置、运营配置、存储管理、系统维护、诊断工具、系统信息配置，配置完成后点击“保存”即可生效。【基础配置】-【升级配置】模块用于显示系统软件版本、引擎与规则库版本、威胁情报版本以及设置系统/规则的升级方式、升级周期和相关升级配置注：自动升级功能需要在系统能够访问天眼升级服务器的情况下使用，为了保证系统的及时更新，建议配置为自动升级。【数据传输设置】模块用于配置分析平台、文件威胁鉴定器、SYSLOG服务器、Hadoop平台、攻击诱捕系统5种平台的传输规则配置，同时提供了日志外发白名单功能，匹配白名单的日志将不再传输给其他平台。【SNMP管理】模块提供用户SNMP服务配置和SNMPTrap配置功能，用来对设备运行状态进行实时监测。管理员可通过SNMP客户端主动访问设备MIB库查询，也可通过配置SNMPTrap在客户端接收设备发出的Trap消息。【安全性配置】中包括登陆设置、数据传输加密、敏感操作密码、单点登录密钥配置。【登录设置】用来配置系统账号安全参数，提高账户安全性以及防破解能力【数据传输加密】提供与分析平台、Hadoop平台、文件威胁鉴定器联动时的数据加密功能及相关配置，可配置加密算法、加密密钥。注：对端的分析平台、Hadoop平台、文件威胁鉴定器需配置相同的加密算法、加密密钥，否则无法解密设备传送的数据。【敏感操作密码】模块可以查看密码的具体内容，并且提供于弱口令的明文展示，在弱口令展示的时候默认不明文展示，输入“验证敏感操作密码”可以查看明文弱口令。敏感操作密码的默认密码为随机生成，并且敏感操作密码可以进行修改，修改格式为：6-32位数字或字母或特殊字符。【单点登录密钥配置】模块提供分析平台单点登录到流量传感器时的登录密钥配置，涉及从分析平台单点登录流量传感器、联动处置查看/下发/删除流量传感器的阻断策略功能。流量传感器与分析平台【系统管理->设备管理->设备配置】页面该采集设备的“免密登录密钥”保持一致时，方可使用上述功能。账号管理是系统维护人员保证系统安全的一项措施，以控制系统维护人员对系统的使用、防止系统维护人员对系统的越权使用或误操作。【操作审计】模块主要用于对用户操作信息进行查询和导出。管理员可按照开始时间、结束时间、用户、登录IP、功能、操作类型等信息进行条件查询。导航导航天眼分析平台天擎检测引擎终端恶意行为侦察天擎检测引擎终端恶意行为传感器检测引擎流量中恶意行为入侵传感器检测引擎流量中恶意行为威胁情报命令控制威胁情报场景化分析流量中异常行为横向渗透场景化分析流量中异常行为数据外泄威胁鉴定器检测引擎文件的异常行为痕迹清理威胁鉴定器检测引擎文件的异常行为天眼分析平台-监测中心天眼分析平台-监测中心仪表板默认统计了8个维度的数据，包括告警统计、攻击者统计、受害主机统计、系统维护、文件威胁鉴定器、邮件威胁检测系统、网神云锁和自定义视图。全景图形式展现分析平台联动的设备信息监测工作台支持用户自定义配置重点监测数据到工作台，方便用户统一查看并使用重点关注的系统功能模块信息。包含：重点监测：失陷主机、外部攻击、横向攻击、越权访问、弱口令、挖矿行为、暴力破解、补天漏洞。威胁感知：告警列表，威胁情报，web安全，数据库安全，中间件安全，未授权行为，设备安全，攻击者视角和资产视角。分析中心：DNS服务分析，非常规服务分析，邮件行为分析，登录分析，web服务器行为分析，数据库行为分析，访问行为分析。资产感知：资产管理，资产发现，资产互访，脆弱性，配置核查。系统配置：证书配置，设备监控。注1：大屏支持分辨率2k（1920*1080）、4k（3840*2160），其他分辨率的屏幕可能会引起显示异常注2：访问大屏需使用谷歌67.0.3396.99及以上版本，低版本谷歌浏览器访问大屏可能会引起显示异常天眼威胁感知大屏持续监控攻击，且直观的展现攻击的总体状况，支持中国地图高交互下钻，安装胶囊客户端即可体验。主要由网络风险指数、告警总数、攻击概要、告警类型TOP5、告警变化趋势、攻击者TOP5、受害资产TOP5和实时告警组成。天眼分析平台-威胁感知天眼分析平台-威胁感知威胁感知》告警列表》接入的告警来源为流量传感器、文件威胁鉴定器、邮件威胁检测系统、服务器安全管理系统（云锁）、攻击诱捕系统、智慧管理分析系统（SMAC）、SOAR自动化编排场景和全部自定义检索场景支持置顶、重命名、删除检索场景、保存+另存为检索场景天眼分析平台-分析中心天眼分析平台-分析中心日志检索支持快捷模式、高级模式、专家模式。行为分析包括DNSWEBDNSDNS解析、DNSDNS包含了子场景可疑代理、远程工具、反弹shell天眼分析平台-相应处置天眼分析平台-相应处置天眼分析平台-资产感知天眼分析平台-资产感知天眼分析平台-报告报表天眼分析平台-报告报表天眼分析平台-更多天眼分析平台-更多天眼分析平台-重保天眼分析平台-重保重保演习主要为了护网事件所设定，用户可以自定义护网任务，根据用户所选择的资产组进行重点关注。护网任务一共包含三个阶段：备战阶段、实战阶段、战后任务列表。【自定义黑IPIPIPIP两种方式。IPIP天眼分析平台-全局导航天眼分析平台-全局导航天眼分析平台-系统管理天眼分析平台-系统管理【系统升级】提供了在线升级和离线升级系统软件版本、规则库版本和补天漏洞情报版本。注1：在线升级时，规则库版本自动后台升级，每小时的15分请求一次云端，如果规则有更新则自动进行升级。离线升级时，规则库版本同样使用“离线升级”入口进行手动升级04 天眼设备介绍-文件鉴定器天眼文件威胁鉴定器天眼文件威胁鉴定器云查杀 上传文件md5到云端，云端返回virus_level,等级从10-80数字签名引擎AVE引擎

检查文件的签名信息，返回签名的厂商和签名MD5PE静态引擎静态检测

QEX引擎AVM引擎AQVM引擎BD引擎QVM引擎

非PE静态检测引擎，已知漏洞检测APK移动应用检测引擎APK机器学习检测引擎Bitdefender引擎-可检测PE、非PE机器学习引擎行为行为文件异常沙箱策略环境灵活的流程控制，可基于策略进行样本归档、静态-动态检测流程自定义。策略设定；并在此基础上设置处置策略支持威胁情报匹配异常检测：异常开启、异常关闭、检测沙箱环境等相关行为支持4套环境（包括WINXP,WIN7;搭载Office03/07等环境）主机行为：文件、注册表、进程、互斥体、服务等网络行为：外链域名、外链主机等多文件来源：流量还原目录服务器（FTP&SMB)手动提交API接口检测能力检测能力云查杀引擎数字签名检测QEX启发式引擎QVM人工智能引擎安卓文件检测引擎BitDefender检测引擎

模拟文件真实运行分析文件行为基本功能基本功能传感器传感器云检测云检测文件威胁鉴定器引擎文件日志QVM引擎静态检测QEX引擎AVM引擎动态检测AQVM引擎BD引擎分析平台威胁情报行为分析展示功能管理功能系统登录-WEB系统登录-WEB导入证书后，首次登录必须修改密码进程监控进程监控状态监控状态监控文件告警文件告警告警查询提交检测提交检测本地文件提交URL提交FTP提交文件对应大于50M的文件不会拉取到沙箱进行处理通过zmq进行push操作。相同MD5文件不重复提交SMB提交文件提交检测记录提交检测记录样本查询样本查询可输入时间范围（最多30天）和文件MD5值查询样本，点击操作栏按钮可跳转检测策略检测策略检测策略系统配置系统配置常规配置系统时间系统时间提供两种矫正方式：默认自动与时间服务器进行同步，设备会在每天的凌晨00:00进行时间同步；关闭自动同步后，用户可以手动更改系统时间和时区。网络管理网络管理代理服务器配置服务默认是关闭状态，开启后展示代理服务器服务相关配置选项安全性设置安全性配置模块包含登录设置和数据传输加密两部分。用户登录的安全配置，包含登录异常帐号锁定、登录密码强度要求、登录密码长度要求、页面登录超时时间、是否强制密码更换和首次登录更改密码；数据传输加密配置后可保证数据传输过程中的安全性，支持AES256和SM4，默认使用AES256，秘钥要求必须为6-32位字母和数字。保存后生效。用户管理系统管理员权限：状态监控、文件报警、检测策略、审计日志、统计分析、系统配置操作管理员权限：状态监控、文件报警、检测策略、统计分析审计日志权限：审计日志admin用户名：32密码：8~16位；超时时间：1-60分钟以内；审计日志注：系统授权即将过期时，请联系服务人员重新制作系统授权文件，得到新的授权文件后，在此接口导入即可；商用授权过期后，系统可继续工作，但升级功能将无法使用；试用授权过期后，系统不可继续工作。证书管理注：系统授权即将过期时，请联系服务人员重新制作系统授权文件，得到新的授权文件后，在此接口导入即可；商用授权过期后，系统可继续工作，但升级功能将无法使用；试用授权过期后，系统不可继续工作。设备升级用于配置系统软件版本、规则库版本的升级周期及升级方式，并记录详细升级日志【版本信息】模块展示了系统当前软件、引擎与规则的版本信息【系统升级】模块是针对系统软件版本的升级配置，用