2024网络安全态势感知管理平台乾安态势感知平台技术规范说明书

网络安全态势感知(关键信息基础网络安全防护）管理平台乾安态势感知平台技术规范说明书目录引言 4编目的 4术、定、符及缩语 4综描述 4产功能述 4运环境 4功需求 4功需求表 4功需求明 9门户 9爬管理 20IP搜索 21漏库管理 21Url信库 24恶软件本库 24黑信息库 26信泄露库 26攻可视化 27流管理 28子统管理 31任管理 31大据建设 31全搜索析 32日采集准化 33关分析 42网异常为分析 48监模块 48web安防护 62攻溯源 63资管理 63事管理 76安告警 81工管理 85报管理 86知库管理 97安配置 100系管理 1143外接口明 123PAGEPAGE4引言编写目的本文档为了规范此次项目开发的需求范围，以及需求的详细说明，特编写此文档。术语、定义、符号及缩略语综合描述产品功能概述产品主要涵盖态势感知的各个方面，包括28个大模块，110个子模块。运行环境产品主要用java开发，可以在能安装java虚拟机的各类操作系统上运行，包括windows，linux。功能需求功能需求列表门户首页首页门户，包括事件趋势，日志类型排行，采集协议排行，日志源排行，告警分布情况，告警排行等。个人中心针对每个用户展示用户关注的报表。监控墙对风险，攻击进行大屏展示爬虫门户重点网站配置针对需要爬虫的网站进行配置重点网站搜索对已经爬虫过的网站进行搜索爬虫处理爬虫过程处理搜索监控展示对爬虫的过程进行监控搜索统计报表搜索结果进行统计分析IP搜索IP地址管理对需要采集的IP地址段进行管理PAGEPAGE5ip地址采集ip地址采集ip地址差异分析对比，两次采集后的ip地址差异分析ip地址检索ip地址检索漏洞库漏洞库分类管理对漏洞库分类管理漏洞库采集处理对标准的漏洞库进行采集，比如CVE库等漏洞库统计报表对采集的漏洞库进行统计URL信誉库域名采集域名恶意域名进行采集域名分析域名分析，包括域名对应IP等域名检索域名检索，包括域名历史数据等恶意软件样本库恶意软件上报恶意软件上报处理恶意软件分析恶意软件分析恶意软件统计恶意软件的趋势、分类进行统计二进制分析二进制分析工具二进制报告二进制对别结果报告黑客信息管理黑客信息管理黑客信息录入维护根据国家统计根据国家，地区等维度对黑客进行统计信息泄露库信息泄露库分类对信息泄露库进行分类信息泄露库查询信息泄露库查询攻击可视化可视化攻击展示可视化攻击展示流量管理流量采集配置流量采集配置，配置采集的协议，端口，ip等流量采集通过端口镜像对流量进行采集流量统计分析流量统计分析，对非加密文件进行分析流量报表流量报表，根据ip，协议，端口，等进行统计分析流量索引流量索引，对流量数据进行建立索引流量查询对流量数据进行查询子系统管理web漏扫管理web漏扫设备的管理主机漏扫管理主机漏扫设备的管理任务管理任务配置任务配置，包括任务编号、执行时间等任务调度接口开发任务调度接口开发，下发到设备中任务调度执行触发任务调度执行任务调度监控对任务执行情况进行监控任务报告任务执行报告展示任务统计报表对任务进行统计报表，包括执行情况，是否失败等大数据建设hadoop建设搭建hadoop环境dadoop建模对大数据进行dadoop建模hive查询hive查询接口开发全文搜索分析全文搜索建模全文搜索建模，采用elasticsearch全文搜索入库全文搜索入库全文搜索查询全文搜索查询，可以设置多个查询条件日志采集标准化插件模型开发系统基于插件的采集器开发，主要由应用程序框架、插件接口、插件和公共函数库四部分组成多样化采集插件syslog,snmptrap,ftp,sftp,wmi,http,jdbc,jmx,file,rabbitmq,xmpp,httprest等协议日志的类型分析日志的类型，比如是普通文本类型的日志，还是JSON类型的日志，还是XML格式的日志解析规则分析Linux解析字段分析根据解析规则，从文本中解析日志字段，比如采集时间，用户名等信息。字段解析根据已经确定的解析字段，从文本中进行字段提取。信息补全根据已经解析的字段，结果系统的基础数据，然后对ip二次分析对已经解析好的字段进行二次分析，比如截取其中的一部分作为最终的数据。关联分析关联分析模型单条日志模型，多条日志模型，统计模型模式识别识别日志是否符合数据建模的场景匹配规则判断日志符合是否符合某一项或者多项告警规则。关联分析对日志进行关联分析。安全审计DENY访问控制监控内网安全域违规访问监控、绕堡垒机的运维行为发现互联网安全监控DDoSSQLTop10流量监控网络流量趋势分析、防火墙大流量事件监控、1分钟内触发3次严重性大于4的SYNFLOOD攻击用户安全暴力破解监控、生命周期过短账号监控、反复多次登录失败行为、失效帐号异常登录、缺省帐号登录行为、1IP154运维与业务连续性监控SESSION终端安全主机开启大量监听端口行为、对开启新的非正常监听端口行为的监控、对主机上已经禁止的服务还在运行行为的监控业务安全场景IP131515网络异常行为分析网络流量统计分析网络流量统计分析，发现其中的异常流量数据。乾安态势感知平台技术规范说明书乾安态势感知平台技术规范说明书PAGEPAGE100网络行为统计分析网络行为统计分析，尤其是内网的用户行为。监控模块网络监控网络监控，检查网络是否畅通，丢包率等硬件监控硬件监控，对交换机，主机进行监控中间件监控对中间件进行监控，中间件的状态情况网站监控网站监控，包括网页是否被篡改web安全防护安全防护配置安全防护配置，配置被保护的域名信息代理服务器设置代理服务器设置，配置cname等解析生效代理策略维护代理策略维护，对防护的策略进行管理安全防护执行安全防护执行，拦截异常攻击行为攻击溯源攻击溯源分析攻击溯源分析，尤其是ip溯源资产管理资产模型管理资产模型管理，资产业务，资产网络区域等资产信息采集通过扫描采集资产信息资产端口采集通过扫描，采集资产端口信息资产维护资产维护管理，对资产进行添加导出等资产报表根据业务情况，网络区域等进行统计资产漏洞管理通过漏扫对资产漏洞进行管理资产风险分析根据漏洞，端口，重要性确定资产风险。事件管理事件查询对安全事件进行查询事件采集事件采集，包括防火墙，ids上的事件等事件分析对事件进行分析告警管理告警查询对告警进行查询告警分析对确定的事件进行告警告警处理告警处理，解决告警。告警响应告警响应，包括工单，短信，微信等工单管理工单查询对工单查询工单处理工单处理，关闭工单工单报表对工单进行统计分析报表管理日志审计对日志进行分门别类的进行汇总。会话审计支持主机，数据库，业务操作的会话汇总，查询。防火墙报表防火墙趋势图，流量排行，协议分布等数据库审计报表数据库审计趋势图，操作类型排行，表操作排行等自定义报表手工自定义报表操作。知识库管理经验库维护对历史经验库进行维护经验库查询经验库查询，包括全文搜索系统管理人员管理对使用系统的人员进行管理角色管理系统角色管理组织管理系统组织管理菜单权限管理菜单权限管理菜单权限控制菜单权限控制系统日志管理系统日志管理个人中心设置个人中心设置功能需求说明门户登录DL001登录：输入用户名密码登录系统系统对用户名密码做校验。登录成功后，进入系统门户，即首页整体报表展示页面。界面按照左右结构布局，左侧为系统菜单，右侧为整体报表展示。左侧系统菜单有：首页，安全监控，审计报表，资产管理，安全配置，系统管理和系统监控。右侧为整体报表展示区域：选择时间区间 ，点击 进行整体报表查看。1个小时，支持以下时间区间。整体报表可以查看最近一段时间的日志数量趋势（折线图），日志类型排行（柱状图），采集类型排行（饼图），日志源排行（柱状图），攻击源分布（地图）IP排行（柱状图），攻击对象告警数量排行（柱状图），告警规则排行（柱状图）。SY001日志数量趋势（折线图）1小时内的采集到的日志数量变化趋势。横坐标表示时间，纵坐标表示采集到的日志数量。鼠标悬浮停留在某一时刻，可以看到该时刻日志具体数量。2016-06-2213:2731。SY002日志类型排行（柱状图）1小时内采集到的日志类型柱状图排行。可以展示采集到的日志数量最多10种日志类型。横坐标表示日志数量，纵坐标表示日志类型。鼠标悬浮停留在某一日志类型，可以看到该类型日志出现的具体次数。1syslog14次。点击syslog橙色条状图，可以链接查看具体的14条syslog。SY003采集类型排行（饼图）12小时内的日志采集类型饼图排行。可以展示前十种日志采集类型各自所占的比重。鼠标悬浮停留在某一采集类型，可以看到该采集类型日志具体数量和所占总量的百分比。12小时内，file69140.60%。file691file采集类型的日志。SY004日志源排行（柱状图）1IP地址。IP，纵坐标表示日志数量。IPIP1周内，2日志有969条。2969条日志。SY005攻击源分布（地图）IP，展示攻击源分布图。鼠标悬浮停留在某一地区，可以显示攻击次数。SY006IP排行（柱状图）1IPIP地址。IP，纵坐标表示攻击次数。IPIP1周内，02攻击目标8次。028次攻击。SY007攻击对象告警数量排行（柱状图）1个月内的攻击对象告警数量柱状图排行。可以展示前十个产生告警最多IP地址。IP，纵坐标表示被攻击次数。IPIP地址被攻击对象告警次数。如上图所示：表示在1个月内，05被攻击后有一次告警。051次告警。SY008告警规则排行（柱状图）上图展示的是自定义时间段告警规则柱状图排行。可以展示前十个触发次数最多的告警规则。横坐标表示告警规则，纵坐标表示告警次数。鼠标悬浮停留在某一柱状图，可以看到某告警规则的告警次数。如上图所示：表示在自32次。32次告警。日志搜索【安全监控->日志搜索】1小时内的所有日志。用户可以根据需要选择某个时间段内产生的日志进行搜索，包括：1小时内、12小时内、1天内、1周内、1月内。也可以自定义时间区间。搜索条件可以不填，默认返回查询时间区间内所有日志。搜索结果根据日志产生的时间进行倒序排列。爬虫管理网络爬虫（又被称为网页蜘蛛，网络机器人，在FOAF社区中间，更经常的称为网页追逐者），是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟程序或者蠕虫。网络爬虫按照系统结构和实现技术，大致可以分为以下几种类型：通用网络爬虫（GeneralPurposeWebCrawler）（FocusedWebCrawler）WebCrawler）（DeepWebCrawler）可以根据爬虫获取网站服务的分布情况。爬虫范围管理设定扫描IP地址的返回，本次返回主要限制在山东省的IP。爬虫处理IPIP80，8080，443，8443前两个是http端口，后两个是https同时根据title中的关键字匹配获取这个网站的分类。爬虫结果管理根据网站分类显示爬虫结果，左边是树结构显示网站的分类，右边是抓取后的网站首页的信息。针对网站信息，可以手工修改网站的分类。爬虫日志显示已经爬过地址的信息，同时显示正在爬虫的网站信息。爬虫统计每日爬虫数量图，占所有存货IP的比例。扫描任务下发根据爬虫后得到的结果，下发漏洞扫描任务，包括主机扫描和web扫描。IP搜索通过IP搜索可得到网络中活着的设备。IP地址管理根据国家设置全球所有IP地址段。Ip地址采集根据设置的IP地址，扫描全球IP地址是否存活。并记录入库。Ip地址对比根据两次扫描的结果分析，IP地址存活的对比，按照国家进行对比。IP地址检索根据国家，IP地址查询IP情况，包括是否存活，历史上存活的情况。漏洞库管理CVE、OVAL（CNNVD）\hMITRE的Master版CVE数据库，集成SecurityfocusAndroid(AVD)上线。后面需要集成SCAP框架协议中的CVE、CVSS、OVALCCE、、CWE6漏洞库分类管理漏洞库采集定时采集国内外的漏洞知识库，导入到系统中。漏洞统计漏洞日报，漏洞周报，漏洞月报。对漏洞每日变化情况进行统计分析。Url信誉库域名采集根据指定网站采集域名信息。可以导入域名信息。域名分析根据域名信息，分析域名内容，包括域名注册情况，所属人，域名对应IP地址等信息。然后对这些信息进行全文搜索入库。域名检索根据域名信息进行检索。恶意软件样本库恶意软件上报系统提供恶意软件文件上传页面。同时可以吧这些文件上报到互联网上的恶意软件检测平台，比如\h/language/zh-cn/，然后从中拿到软件检测报告。恶意软件分析恶意软件统计定时统计恶意软件分布，危害等报告。二进制分析报告通过二进制分析工具可以提供二进制分析报告。黑客信息库黑客信息库管理对黑客信息进行维护，包括增删改查等操作。黑客信息统计对黑客信息进行统计，比如按照年龄，国家等进行统计。信息泄露库信息泄露库分类对信息泄露库进行分类管理。信息泄露库导入可以对常用的泄露库进行导入，建立全文索引。攻击可视化流量管理网络中部署流量监控分析系统，必须具备如下对网络流量的分析能力：能够监控分析P2P长期流量统计分析能力能够针对IP流量信息采集配置配置流量采集信息，可以配置分析的协议种类。流量采集通过旁路端口镜像采集网络日志。流量统计分析实时得到数据链路层的分析如上图：数据链路层吞吐量历史分布曲线，可以按照每小时、每日、每周、每月之流量显示，或是使用者自定时间段显示，图中并同时显示基线，可以同时与利率历史数据比较，快速找出异常状况，并排除和解决故障。对错误情况监控如上图：数据链路层误码历史分布曲线。从曲线中可以看到在流量出现异常时，出现的误码也特别多。如上图：数据链路层的误码率历史分布柱形图。在图中，看到线路中出现的误码，都是Oversized(包过大，比1024字节为大)类型流量信息索引对流量数据进行建立全文索引，方便后面查询。子系统管理Web漏扫管理和weburl主机漏扫管理IP任务管理任务调度支持自动执行和手动干预。根据任务调度规则配置，在指定的时间点，调度服务器就把任务请求发送请求到相应的任务节点，各个任务节点上接到请求后，先返回一个响应，通知服务器是否能够启动任务，接着处理相应的任务，并根据执行的情况会返回执行结果，如有异常，可以返回异常结果，记录日志，运维人员前端进行日志下载，方便查找问题。手工调度：根据权限，业务任务可以手动干预任务，包括重跑任务、暂停任务、停止任务、安装、卸载任务、重新安装任务等。任务配置可以配置自动或者手动任务的设置。管理员对需要调度的任务进行注册维护，包括注册维护基本信息以及任务的调度规则和任务依赖关系。另外管理员可以卸载、停用或者重新安装指定的任务。任务调度接口开发任务需要和扫描系统进行交互，手动或者自动处罚扫描任务。任务调度执行通过任务执行组件，根据事先配置好的任务进行调度，执行任务。任务调度监控管理员在任务控制台查看任务的执行情况，包括任务的总体执行统计信息或者指定某个具体的任务，查看任务历史执行情况。任务报表对任务的执行情况，成功失败，结果进行统计。任务统计报表大数据建设随着系统的不断增加，日志的数量呈爆炸式的增长，系统在建设的技术选型上就要考虑海量数据的支持能力，海量数据的搜索能力，海量数据的分析统计能力。所以在技术选择上采用Hadoop加全文搜索的架构来支持含量数据。HadoopApacheHadoop：MapReduceHDFS。MapReduceHDFSHadoop（HadoopDistributedFileSystem）Hadoop由于Hadoop接口复杂，引入Hive作为对外接口，Hive是一个基于Hadoop的数据仓库平台。通过hive，可以方便地进行数据获取。hive定义了一个类似于SQL的查询语言：HQL，能够将用户编写的HQL转化为相应的Mapreduce程序基于Hadoop执行。全文搜索分析系统采用Elasticsearch进行全文搜索分析。Elasticsearch是一个基于Lucene构建的开源，分布式，RESTful全文搜索引擎。Elasticsearch还是一个分布式文档数据库，其中每个field均是被索引的数据且可被搜索，它能够扩展至数以百计的服务器存储及处理PB级的数据。它可以在很短的时间内存储，搜索和分析大量的数据。它通常作为具有复杂搜索场景情况下的核心发动机。Elasticsearch就是为高可用和可扩展而生的。扩展可以通过购置性能更强的服务器(垂直扩展或者向上扩展，VerticalScale/ScalingUp)，亦或是通过购置更多的服务器(水平扩展或者向外扩展，HorizontalScale/ScalingOut)来完成。尽管Elasticsearch能够利用更强劲的硬件，垂直扩展毕竟还是有它的极限。真正的可扩展性来自于水平扩展，通过向集群中添加更多的节点来分布负载，增加可靠性。在大多数数据库中，水平扩展通常都需要你对应用进行一次大的重构来利用更多的节点。相反，Elasticsearch天生就是分布式的：它知道如何管理多个节点来完成扩展和实现高可用性。这也意味着你的应用不需要做任何的改动。我们举几个例子来说明Elasticsearch能做什么？当你经营一家网上商店，你可以让你的客户搜索你卖的商品。在这种情况下，你可以使用Elasticsearch来存储你的整个产品目录和库存信息，为客户提供精准搜索，可以为客户推荐相关商品。LogStash些数据存储到ElasticsearchElasticsearch）Elasticsearch来存储你的数据，然后用KibanaElasticsearch的聚GitHub，GitHub的搜索是基于Elasticsearch在/searchissue、pullrequest2030TB日志采集标准化审计平台的采集模块，负责从安全设备、安全应用、系统设备、应用系统等被管对象采集原始安全数据，为后续的事件分析、处理、响应等提供数据来源。100%包括SYSLOG、LEASYSLOG-NGW3CFTP/SFTP、SNMPTRAP、JDBC、netflow协议。在windows上需要安装Agent可采集windows主机上安装Agent支持智能代理的集中部署和分布式部署，并可以定制代理，系统自动维护代理状态。这种模式，利用分布在网络的各处代理就可以收集到全网中需要管理的对象的安全事件，当需要增加某些被管理对象时，只需要在网络的某台主机上部署相应的采集适配器即可.数据在系统内的传输采用加密方式，保证数据的传输完整性和机密性。事件采集支持业界主流的安全设备，操作系统，网络设备，数据库等设备资产，同时针对目前不在列表中的设备支持定制开发。采集控制是安全综合审计平台与安全支撑系统、安全管理对象的交互平台。通过采集控制平台的采集单元实现安全资产管理所需要的资产信息、配置信息、安全漏洞和安全事件日志的采集，通过采集控制平台的控制单元实现对安全防护设备控制策略的下发执行。采集控制平台的功能逻辑划分为采集单元和控制单元。采集单元主要负责从各类被管安全资产采集原始数据，为后续的事件分析、处理、预警响应等提供数据来源。控制单元于对安全策略管控中心下发的网络控制策略进行转译并下发至安全设备。基于插件的采集器开发主要由应用程序框架、插件接口、插件和公共函数库四部分组成。应用程序框架负责应用程序的整体运作，它清楚程序整个流程，但并不知道每个过程具体要做什么。它在适当的时候调用一些插件，来完成真正的功能。插件接口是一个协议，可以用IDL、XML或者JSON格式来描述，插件按照这个协议实现出来，就可以加入到应用程序中来。插件接口有多个，每个接口具有各自独立的功能。插件是完成实际功能的实体，实现了要求的插件接口。在日志审计平台中，插件主要完成插件初始化，插件运行，任务加载，日志采集，接口通信，插件停止这几件事情。的JAR采集自管理采集自管理包含采集平台组件运行状态管理、采集平台日志管理。采集平台组件运行状态管理满足如下业务规则：具有采集平台具备对各类采集任务的启停管理功能。支持对各个采集探针工作状态的开启控制。支持对各个采集探针采集对象的添加、删除控制。自管理采集计划的时间安排。采集性能参数的设定等。采集日志管理具有如下业务规则：可按照时间段、被管对象等查询采集信息。提供日志按照单条和批量方式删除的功能。提供日志的导出、归档和备份等保存功能。按照设定的周期自动备份日志信息，并删除已备份的日志信息。采集调度管理采集调度管理主要用于实现对定时任务的调度，接收安全事件策略管理模块下发的采集任务，根据任务要求如采集间隔、采集参数、采集对象和适配协议接口方式，分解成多个子任务，进行任务调度，将这些子任务分别指定给采集平台采集适配层中的不同采集进程执行。采集调度管理功能如下：或文件。对于采集失败的情况，可根据规则进行重试，重试不成功进行采集告警。对采集超时或采集数据量超过限制需要进行采集告警。所有行为，记录执行日志。数据缓存转发数据缓存/转发是指对采集到的数据信息进行本地存储，并通过任务调度方式对上层模块的采集调用信息进行转发。数据缓存/转发管理功能如下：采集平台能够将采集完成的文件数据转发给安全综合审计平台的策略管控中心、安全事件分析模块、安全作业管理模块或安全符合性管理模块，并在转发失败时具备断点续传功能。TCP或UDP原始日志文件在采集平台完整保存，并可周期性转存至其它存储设备集中保存。数据转发失败保存在本地磁盘，文件大小可控，同时保障最小磁盘空间；当通信成功后，具备将历史数据重新发送给目标对象的功能。采集状态监测采集平台需要提供对自身运行状态的监控功能，能够监控采集平台的任务调度、采集数据缓存转发。采集平台运行状态监控功能如下：能够监控采集平台的控制接口适配、任务管理、数据缓存转发、数据存储功能模块组件的工作状态。能够实时监控采集进程的名称、ID、类型、通信状态（连接/断开）、运行状态（启动/停止）、已采集的数据量、已运行的时间以及其他实时信息等。存储管理系统可将已采集的安全事件和平台运行日志数据存放到原始事件库中。存储管理功能如下：采集适配采集平台可以根据采集策略自动加载正确的采集执行模块，以便按照给定的协议和参数进行数据的采集。采集适配模块满足功能如下：系统提供采集框架，根据配置自动适配，可以动态加载不同的采集执行模块。采集执行模块包括但不限于：Syslog、SnmpTrap、Ftp/Sftp、SSh、Jdbc、Http、Netflow等。若利用安全综合审计平台系统默认的采集器采集原始日志，格式化的过程由安全综合审计平台采集器自己处理，格式化过程是不可控的，解析过后的对应字段存入数据库中，若采用专用采集器采集数据，将采集到的原始日志，首先去除不合法的特殊字符，利用正则表达式或JavaScript语法解析原始日志，将拆分的每个字段信息放在数据库字段映射文件中即可。格式化过程主要是完成数据的拆分和不合法数据过滤的过程。事件格式化具有如下格式：原始日志不能为空。若采用专用采集器采集数据，原始日志各个字段应有分隔符来区分。各个厂家给出自己设备，系统的所有种类日志格式，在给定格式之外的数据则不能采集。各种日志源在其返回日志信息时并非都使用相同的命名约定，为了解决这种“语言不通”的情况，支持分析人员编写重复的规则并修改每个案例中的日志名，以检测相同日志的不同返回名称。这样的做法将导致灵活性和可用性都特别差。分类法通过广泛和灵活的日志映射，对日志做标准化处理，它将每条日志分配到相应的类别中，这消除了需要学习来自不同厂商的同类产品例如防火墙或IDS的信息差别的过程。新的分类法不仅仅提供一系列能满足报告、过滤器和关联的更丰富的资讯，而且还能够精确定义某日志资源的种类，即使该设备是一个诸如入侵防护设备的集多种功能集合体，它的日志资源也能被精确定义。即使客户日后扩容选用了新的系统，它的日志也很容易纳入到整个系统中来，无需更改相应关联规则、过滤器等。例如，若要分析攻击某服务中漏洞的所有尝试，可以组合这些日志类别：/Host/Application、/Service/Communicate和/Exploit/Vulnerability大多数的原始日志都是非结构化数据，通过全文搜索引擎是可以快速搜索到和定位到日志。但这是不够的，在很多的分析过程中，需要更多的维度信息来进行处理，比如人员信息，资产信息等；同时对非结构化数据进行关联分析的时候是比较困难，所以需要把非结构化数据转换成结构化数据。系统通过采集接口采集文本日志，得到日志后，根据采集的资产获取日志模板。然后根据模板进行处理。日志处理主要有几个步骤：JSON类型的日志，还是XML格Linux通过资产ip通过以上步骤解析完成后得到格式化数据，然后进入下一个环节。安全事件过滤对格式化的标准安全事件进行过滤，在采集中心配置过滤规则，主要是过滤掉我们不关心的事件，比如过滤掉低风险事件。具体过滤方式是根据格式化事件的某一个或多个字段进行匹配，若格式化事件中的字段符合过滤策略，则丢弃。过滤后可以提高系统处理效率，也能够滤出掉冗余数据。过滤规则如下：安全事件归并)()归并规则名称：对过滤规则的描述；归并字段：归并处理的事件字段，所列字段内容相同的事件才进行归并，比如安全事件的名称，设备地址等事件基本属性；归并时间T：归并事件的时间窗口，指多长时间进行一次归并；归并数目C：需要归并事件的数量，指多少事件进行一次归并。安全事件筛选分析事件筛选过程完成安全事件的事件可信度计算、可信筛选、关键资产筛选、关键事件筛选等功能，事件分析是根据关键资产事件库中的各类事件进行统计分析和关联分析。数据同步完成信息补全根据经过采集中心采集，格式化，过滤，归并等一系列操作入库之后的数据还仍然是一条标准事件，存在采集中心数据库中，没有和安全综合审计平台系统的资产做关联。在安全综合审计平台系统中存在一个告警表，可以通过syslog转发，告警同步的方式(目前采用此方式)等方法将采集中心数据库中的告警同步到安全综合审计平台系统中。约为0.5)[12:00:0012:30:00]，主要通过事件中的源地址、目标地址与资产的IP地址属性等进行匹配，并通过资产的关联关系获取该事件相关的资产ID、资产名称、系统版本、人员、所属业务系统、所属安全域等信息。在告警同步的过程中，还完成了可信计算，重要资产筛选，关键事件筛选，安全事件分类，安全事件分析操作。在以下将会对每种操作做出详细的说明。补全规则如下：采集中心数据库及其所在的主机和安全综合审计平台做在的主机时间要一致同步。需要通过事件中的源地址、目标地址与资产的IP地址做关联分析，补全事件内容。支持自定义的可信度计算规则。按照资产、端口、系统版本、漏洞、补丁、人员的顺序采用可信度计算规则计算事件的可信度。重要资产列表依据资产C、I、A属性赋值计算取得。重要资产筛选规则包含规则编号、规则名称、规则内容等属性。资产赋值F按照以下等级取值：级资产重要程度低级资产重要程度中级资产重要程度较高级资产重要程度高级资产重要程度非常高基于规则的关联分析条件为安全事件中某些属性的限制条件，即规则的激活条件，具有检测事实存在与否、比较事实、根据标志检验事实等功能。条件可以由单个检测属性组成，也可以由多个检测属性组成，且各属性用逻辑符号OR、AND、NOT来表示多属性的逻辑关系。结果是新证据的断言或某个用户行为的可疑度，具有产生一条高优先级关联事件的功能。关联分析安全事件管理中心收集到的安全事件种类多，数量大，为了更有效地对这些海量的安全事件进行分析和处理，确保能在第一时间对各种存在的安全问题采取措施，安全事件管理中心必须具有强大的安全事件处理和分析功能。目前对实践进行处理和分析最有效的方法就是安全事件的关联。关联分析通过关联规则实现。安全事件管理系统内置常用的关联规则，另外用户也应该能够根据自己的实际情况很容易地自定义规则，规则写作工具应具有如下重要特性：易用的GUI界面，以及用原始文本(XML)创建规则文件的能力能够在实时数据上或者从数据库获得的辨析数据上进行测试支持规则的导入和导出操作者在定义规则时应该能够应用到一个指定安全事件的任何域或所有域安全规则完全与厂商无关，这样即使更换设备也无需重写规则。除了布尔逻辑运算符外，关联引擎还提供其它不同的运算符，比如指定安全事件发生的日期时间段、以指定的字串开始、IP地址在指定网段中等等。在得到格式化后的日志后，系统对日志进行预警分析，即按照预先定义的审计策略，对接收到的审计信息进行准实时处理，一旦发现符合预警要求的高危安全事件、符合预警要求的业务行为特性等，立即向安全审计员自动发送预警信息，从而实现对高风险行为，用户异常行为，业务合规行为的全天候监控，促使系统使用人员及时响进行响应处理，从而使业务安全管理达到最优。审计行为分析分成以下几个过程：内置的关联规则有：策略类别策略安全审计主机高危命令监控核心防火墙DENY统计排名按正常地址通讯发现Deny告警访问控制监控内网安全域违规访问监控绕堡垒机的运维行为发现互联网安全监控DDoS攻击监控SQL注入监控跨站攻击监控网络爬虫监控网络安全攻击Top10统计端口扫描事件监控非批准活动端口事件监控流量监控网络流量趋势分析网络异常流量分析防火墙大流量事件监控高危端口访问监控1分钟内触发3次严重性大于4的SYNFLOOD攻击用户安全暴力破解监控生命周期过短账号监控反复多次登录失败行为失效帐号异常登录缺省帐号登录行为1小时内同一帐号不同IP地址登陆在1分钟内尝试5个以上不同账号登陆失败失败登陆4次报警运维与业务连续性监控生产系统核心主机SESSION连接状态监控网络设备故障监控设备系统错误日志监控主机长时间无人登录监控网络设备配置变更情况监控远程运维连接监控VPN登入登出日志审终端安全主机开启大量监听端口行为对开启新的非正常监听端口行为的监控对主机上已经禁止的服务还在运行行为的监控网络异常行为分析系统具有网络流量的基准线功能，可生成平均值、最大流量、90%等网络流量基准，并可将网络流量及基准在同一视图中展现，用户可以及时发现网络中的异常。协议端口匹配，可快速发现采用特定协议的网络异常流量，如病毒。网络层通信对分析，可检测出网络中异常流量。例如，某个IP地址与多个IP地址进行网络会话，数据包为单向。数据包捕获分析，采用异常流量模板（过滤器），检测网络中异常流量。监控模块系统状态【系统监控-> 系统状态】系统状态主要是对安装的操作系统的状态和事件告警的信息进行展示。cpu，内存，硬盘的使用情况。同时对最新的日志数量和告警数量进行展示。日志数量显示每个集群节点的实时日志量。XTJK-XTZT001采集信息展示从系统开始运行以来的采集信息：采集的开始时间、采集天数、日志采集总数。XTJK-XTZT002实时日志采集总数实时监控系统日志采集的总数量以及变化情况。横坐标为时间，纵坐标为采集数量。XTJK-XTZT003CPU使用情况CPU使用情况。CPU使用百分比。XTJK-XTZT004内存使用情况监控系统主机内存使用情况。横坐标为时间，纵坐标为内存使用百分比。XTJK-XTZT005硬盘使用情况监控系统主机硬盘使用情况。包括各个分区的剩余容量和已用容量横坐标为硬盘空间大小，纵坐标为磁盘分区。XTJK-XTZT006实时日志监控各个日志源的实时日志情况。横坐标为日志源，纵坐标为日志数量。XTJK-XTZT007索引信息监控各个索引的存储信息，包括：索引创建的年月、日志条数、存储空间、索引中日志源主机的数量。XTJK-SJJK001事件监控【系统监控->事件监控】事件监控主要是对近一段时间内的每种采集类别的事件信息进行展示。主要展示实时告警、syslog采集状态，文件日志采集状态、snmptrap告警采集、远程日志采集状态、数据库日志采集等XTJK-CCJJK001采集器监控【系统监控->采集器监控】IP、协议、采集类型、采集路径、采集对象以及采集偏移量（当前采集进度）。IP、协议、采集类型对本地和远程采集的文件，远程采集的数据库内容的历史记录进行查询。对于大文件的处理会定时刷新，来掌握最新的日志处理情况。进入【系统监控->日志管理】主要是对日志进行管理，包括日志的删除和备份。由于日志是不停的增加，当磁盘不足的时候会严重的影响系统的运行。所以当磁盘空间80%的时候系统后台会强制删除日志。XTJK-RZGL001数据库日志可以查看保存在数据库中的告警条数和工单条数。XTJK-RZGL001文件日志本地上传系统进行采集的文件日志。包括文件名、上次修改时间以及文件大小。可以对列表文本日志进行删除。XTJK-RZGL001索引日志可以根据索引所在主机查看保存在索引中的日志。包括索引名称、日志条数和所占的存储空间。可以对索引进行删除。磁盘空间不够时，可以对列表中的索引进行删除。XTJK-RZGL001备份或删除点击【备份或删除】，进日志备份或删除界面点击【配置】按钮，可以跳转到【安全配置->三方接口->FTPftp服务器基本信息的配置。设置备份或删除日志的时间点。用户可以选择对日志进行【备份】还是【删除】。FTP主机上，或删除所有日志。ftp主机上面。也可以同时删除掉时间点之前的日志。在【备份】操作前确认$HOME/secilog-en/elasticsearch/config/elasticsearch.yml配置文件path下中已添加path.repo:["../elasticsearch/backup","/secislog/elasticsearch/backup"]XTJK-PZGL001配置管理【系统监控->配置管理】配置管理是对系统中的配置进行备份和恢复的管理。SQL文件，保存到本地进行离线备份。也可以在需要的时候点击【导入配置】导入之前备份的系统配置文件。XTJK-PZGL001系统命令行【系统监控->系统命令行】Linux系统命令，系统白名单中的命令有：ping、ps、netstat命令。XTJK-PZGL001设备管理【系统监控->设备管理】Linux主机的相关配置。网络配置点击【网络配置】，点击【编辑】，进入编辑页面。LinuxMACIP地址和子网掩码、网关、DNS服务器地址。路由配置点击【路由配置】，点击【增加】，进入增加页面。LinuxIP、子网掩码和网关。时间设置点击【时间设置】，进入时间设置页面。Linux主机的系统时间，可以重新设定时间和刷新。重启设备点击【重启设备】，进入重启设备页面。Linux主机或者点击【重启系统】重启主机。只需要输入日志中的一部分内容作为搜索条件，就可以检索出所有包含这部分内容的日志列表。可以内容、IP、时间段组合查询。可以鼠标选择事件内容，添加至搜索框进行查询。点击列表中的【查看详情】，可以查看日志具体信息。web安全防护搭建opendns和opencdnWeb攻击防护防攻击功能主要关注黑客攻击Web应用并试图入侵网络服务器的攻击事件过程。全面覆盖OWASPTOP10，如SQL注入攻击、XSS跨站攻击、CSRF跨站请求伪造攻击等。事前“SQL注入漏洞防护策略”、“XSS跨站攻击防护策略”、“Web应用缺陷防护策略”可避免黑客进行攻击前的安全性测试；事中“URL权限控制策略”可中断攻击行为，阻止每个恶意请求，“上传文件限制策略”可阻止黑客通过非法手段上传恶意程序，“Web应用缺陷防护策略”持续对抗攻击行为；事后“后门检测策略”可发现成功入侵的痕迹，通过“URL权限控制策略”限制黑客无法再次通过管理后台、后门进行入侵。防敏感信息泄露SecOnIPSecOn防扫描器爬虫与盗链SecOnWVS、Pangolin另外通过实现URL级别的访问控制，对客户端请求进行检测，如果发现图片、文件等资源信息的HTTP请求来自于其它网站，则阻止盗链请求，节省因盗用资源链接而消耗的带宽和性能。网页挂马防护HTMLIFrame、Javascript引用挂马源URL网页防篡改Cache抗拒绝服务研发基于网络层、应用层的抗拒绝服务攻击，通过云端流量牵引的方式缓解拒绝服务攻击。攻击溯源网络接入层根据是否存活IP进行判断IP是否为虚假IP，如果是真实IP的位置进行溯源，如果是虚假IP直接拒绝次IP访问系统。资产管理资产管理包括资产的管理，资产属性的管理，资产报表和日志导入安全资产进入【资产管理->安全资产】ZCGL-AQZC001资产管理基本操作IP的查询。可以查看资产端口。用户通过发送系统性能日志，可以对资产性能进行监控。可以修改和删除资产。点击【增加】，用户通过新增资产页面填写资产相关的参数进行新增资产。ZCGL-AQZC002资产扫描用户在tools目录下面安装nmap（），描资产界面中输入IP-10000100linuxnmap通过资产列表上的端口链接可以看到资产对外开放的服务和端口的信息。ZCGL-AQZC003资产导入点击【下载模板】将模板保存到本地。打开模板根据示例进行编辑。点击【选择文件】，上传已经编辑好的资产文件表格。点击【导入数据】，导入资产文件表格。导入成功，进入【安全资产】进行查看。ZCGL-AQZC004资产导出点击【导出资产】excel表格保存到本地。ZCGL-ZCBB001资产报表【资产管理->资产报表】系统对资产生成了四种报表：业务排行、设备类型排行、操作系统排行、网络区域排行。业务排行（饼图），根据资产属性值【业务系统】进行分类排行。设备类别排行（饼图），根据资产属性值【设备类别】进行分类排行。操作系统排行（柱状图），根据资产属性值【操作系统】进行分类排行。5的操作系统类型。网络区域排行（柱状图），根据资产属性值【网络区域】进行分类排行。5的网络区域。ZCGL-RZDR001日志导入【资产管理->日志导入】日志导入是从机器上导入文本文件到服务器上进行分析。点击【点击选择文件】，打开本地选择文件对话框，然后选择一个或者多个文本文件。选择文件后，点击【开始上传】。系统会把文件上传到服务器中。10分钟检查是否有新的上传文件。10分钟内如果有新的文件，后台会分析最新上传的同名文件。ZCGL-ZCSX001资产属性【资产管理->资产属性】用户可以对资产的部分参数字典进行配置。系统预置了四种资产属性参数字典：操作系统、厂家、业务系统、网络区域。点击【修改】，可以修改属性规则的规则名称、规则值和备注。点击【删除】，可以删除该条规则。选择【业务系统】属性，点击【增加】。输入【规则名称】和【规则值】，点击【提交】，属性增加成功。事件管理AQJK-RZSS002字段报表可以在搜索条件下针对某一字段生成报表（包括柱状图、折线图和饼图、环形饼状图、南丁格尔玫瑰图、面积图）。点击【内容】前的 ，选择下拉列表中的任一字段类型，点击报表查看，进入报表查看页面。报表查看页面默认是柱状图。报表查看可以展示柱状图、折线图和饼状图、环形饼状图、南丁格尔玫瑰图、面积图。点击【保存】，也可以保存到自定义报表。AQJK-RZSS003搜索条件保存通过保存当前的搜索条件，将常用的查询保存起来，当需要使用的时候，可以通过读取保存过的搜索条件实现查询操作。点击【搜索】后的，点击【保存】，进入搜索保存页面。输入待保存的搜索条件的别名点击进行保存，保存成功。点击【搜索】后的，点击【历史】，进入历史条件搜索页面。点击【读取】，通过读取保存过的搜索条件实现查询操作。sourceIp=19最近一小时的日志。AQJK-RZSS004列显示选择对于需要显示的搜索结果字段可以自定义表格项，系统根据用户的设置展示结果数据。点击【搜索】后的，点击【自定义表格】，进入自定义表格页面。点击【提交】，自定义搜索结果字段表格成功。AQJK-RZSS005搜索结果导出可以把查询结果导出为Excel文档保存到本地。点击【搜索】后的，点击【搜索结果导出】Excel文档保存到本地。100万条日志，超过数量的日志导出时会被忽略。安全告警【安全监控->安全告警】，系统会根据内置的告警规则对日志内容进行审查，找出潜在的安全风险并实施相关的应对措施。告警管理对于日志中体现出来的异常状况，匹配到系统中的告警规则的时候，会产生安全告警。原告警删除后，日志行为符合告警规则，系统会自动生成新的告警。AQJK-AQGJ002告警查询IP、状态进行组合查询。code，可以链接查看具体的告警规则。点击【详情】，可以查看告警日志信息。AQJK-AQGJ003告警处理可以根据告警生成工单，进行人工干预。选择某条告警，点击【告警确认】。选择确认方式，点击【提交】。当选择了【生成工单】，会产生一条新的工单，后续在【安全监控->工单管理】中处理。选择其他几种确认类别，则关闭此告警。AQJK-AQGJ004告警删除可以选择多条告警，点击【批量删除】，进行告警信息的删除。也可以单条删除。AQJK-AQGJ005告警导出勾选部分告警或者不选，点击【告警导出】。不选默认全部导出。选择保存路径，点击【保存】。Excel文件。工单管理【安全监控->工单管理】，需要人工介入对告警进行处理的时候，可以使用系统生成工单，进行后续的相关操作。AQJK-GDGL001工单详情查看点击【详情】可以查看工单对应的告警信息和日志内容。AQJK-GDGL001工单处理选择一条工单，点击【工单确认】，进入工单确认页面。工单确认有处理中和处理完毕两种状态。选择【确认方式】，填写处理建议，点击提交。close。工单状态有待处理、处理中（process）、处理完毕（close）3种。报表管理系统可以对采集到的日志内容进行分析，生成审计和各种类型的报表。日志审计进入【审计报表->日志审计】系统内置了服务器和数据库的部分报表。IP和时间区间进行查询。excel文件到本地。表格类型的审计报表，点击日志审计列表中的【查看详情】，可以查看具体日志信息。SJBB-RZSJ001服务器日志审计WindowsLinux系统。审计内容包括一系列影响系统安全性的系统操作。IP、目标用户、结果、操作。支持自定义表格展示的列表项。SJBB-RZSJ002数据库日志审计dba登录和启动关闭进行审计审计结果以表格形式展示，默认展示：序号、系统名、事件类型、事件发生时间、源主IP、结果、操作。支持自定义表格展示的列表项。SJBB-RZSJ003自定义报表支持自定义报表，用户可以根据自己的实际需求配置参数生成报表。点击【系统】菜单右侧或者，可以自行添加子审计条目或者其他审计条目。点击柱状图审计审计条目配置如上图所示。过滤规则操作符支持=、!=、like、regex、in、notin点击【预览】，可以预览配置的报表。点击【提交】，保存报表配置。点击【重命名】，可以给分组字段重新命名。会话审计【审计报表->会话审计】Windows、ftp/sftp、Linux会话进行审计。审计结果包括一段会话从开始到结束的所有操作日志。可以时间区间进行查询。点击【查看详情】，可以查看具体日志信息。SJBB-HHSJ001windows会话审计windows会话进行审计。审计结果包括一段会话从开始到结束的所有操作日志。点击【查看详情】，可以查看具体日志信息。SJBB-HHSJ002Ftp/sftp会话审计ftp/sftp会话进行审计。审计结果包括一段会话从开始到结束的所有操作日志。点击【查看详情】，可以查看具体日志信息。SJBB-HHSJ002Linux会话审计ftp/sftp会话进行审计。审计结果包括一段会话从开始到结束的所有操作日志。点击【查看详情】，可以查看具体日志信息。报表专题系统支持登录报表、web日志报表、SFTP/FTP报表、防火墙报表、数据库报表等常用报表展示。SJBB-BBZT001登录报表【审计报表-->报表专题-->登录报表】，登录报表主要对一段时间内的登录日志进行分析生成报表，展示登录的情况。可以时间区间进行查询。IPIP登录失败排行，账号登录成功排行，账号登录失败IP登录排行等报表。除登录时间排行图表外，其余图表鼠标悬浮停留在柱状图或条状图上能显示不同的参数值。点击柱状图或者条状图的橙色区域，可以查看具体日志。SJBB-BBZT002Web日志报表进入【审计报表-->报表专题-->Web日志报表】，Web日志报表主要是系统对采集到的Web日志进行分析生成报表，进行展示。可以根据域名、路径（日志路径）和时间区间进行查询。pvIP统计、http状态码统计、流量统计、浏览器分布、操作系统分布、文件类型分布、爬虫分布、IP访问排行、访问页面等报表。除访问页面图表外，其余图表鼠标悬浮停留在柱状图或条状图上能显示不同的参数值。点击柱状图或者饼图区域，可以查看具体日志。SJBB-BBZT003Ftp日志报表进入【审计报表-->报表专题-->Ftp日志报表】，Ftp日志报表主要是系统对采集到的ftp日志进行分析生成报表，进行展示。可以根据时间区间进行查询。 Ftpftp登录，下载等进行了报表统计。包括上传用户排行，ftp服务器排行，请IP分布，下载文件名称排行。除下载文件名称图表外，其余图表鼠标悬浮停留图上能显示不同的参数值。点击条状图区域，可以查看具体日志。SJBB-BBZT004防火墙报表进入【审计报表->防火墙报表】，防火墙报表主要是系统对采集到的防火墙日志进行分析生成报表，进行展示。可以根据时间区间进行查询。IPIP排行。图表鼠标悬浮停留图上能显示不同的参数值。点击柱状图或饼图区域，可以查看具体日志。SJBB-BBZT005数据库报表进入【审计报表->数据库报表】，数据库报表主要是系统对采集到的数据库日志进行分析生成报表，进行展示。可以根据时间区间进行查询。数据库报表包括整体访问量趋势图，用户访问排行，操作类型统计，数据库访问排行，客户端请求排行，表操作排行。图表鼠标悬浮停留图上能显示不同的参数值。点击柱状图、条状图或饼图区域，可以查看具体日志。SJBB-XTBB001系统报表进入【审计报表->系统报表】Windows审计日报。基础审计中的系统日报、系统周报、系统月报。sysdate之前的任何一天。周报表默认选择日期的前一周，月报表默认选择日期的前一个月。Windows审计报表支持展示账户登录、账户管理、详细的跟踪、DS访问、登录/注销、对象访问、策略更改、特权使用、系统报表等。、Excel、Pdf、Html、Image。知识库管理系统中的接收了大量的日志，每种日志都有不同的含义，当日志产生的时候，很多时候，对日志的含义不理解，这个时候需要对日志进行知识库关联，这样对事件的处理和分析就会有很大的帮助。在知识库获取的时候，包括厂家手册分析，互联网情报数据，预警自定义设置知识库几种方式。厂家手册分析：在厂家手册分析知识库中，首先确定系统厂家，然后根据厂家的系统型号得到系统的用户手册，然后系统根据用户手册去分析知识库的内容。docpdf格式或者chmHash/TTP（战）1、HASH值：SHA1或MD5/2、IP地址：这是最常见的指标，因为IP数量太大，在收到攻击的时候，攻击者会使用Tor或者类似的匿名代理服务，或者频繁的改变IP地址。但IP地址高危名单在很多时候还是有参考价值。3、域名：域名的使用必须注册、支付并且进行托管。他们一般情况下不太会发生变化，新域名可能需要1-2天时间就可以在互联网上进行访问。User-AgentHTTPUser-Agent5、攻击工具：很多攻击工具有自己的特征，在系统中如果能识别常用的工具工具，可以及时的发现攻击的行为，例如知识库可以包括AV或者Yara签名。6、TTPs（Tactics、Techniques&Procedures）：互联网知识库模型的顶点的是TTP。这种知识库是攻击行为模型，需要时时收集最新型的攻击模型并加以分析，比如APT攻击特征。通过以上互联网知识库的建设，结合预警规则分析，可以更准确的识别攻击行为。可以减少误报，提高系统的使用效果。安全配置对系统功能所需的相关配置进行管理操作。AQPZ-CJQPZ001采集器服务配置【安全配置->采集器配置】与系统关联的采集器会自动添加到数据库里，无需手工添加。只有一个采集器的时候，不能做删除操作。点击【编辑】点击【编辑】，配置采集器对外开放的服务，包括：syslog、snmp、ftpserver。10分钟内生效。采集器根据开放的服务采用相关协议的日志进行采集。AQPZ-CJQPZ002配置采集器采集任务用户可以配置采集器的采集任务，对某一类型的日志进行指定采集。点击【增加】，进入日志采集器编辑页面Common、、tomcatsftp、ftp、local。ftpsftpip，端口，用户名，密码，日志路径和日志名称。并且可以测试能否登录服务器。local的时候，需要输入日志路径和名称。jdbc的时候需要选择数据库类型（oraclemysql数据库），数据库实例名，ip，端口，账号，密码。配置好后，点击【测试】，来验证配置是否正确。点击【提交】。可以对日志采集器进行编辑、删除操作。点击【进度查看】，链接到采集器监控，可以直接查看日志处理情况。日志采集器任务增加成功后立即生效。AQPZ-RZPZ001日志配置日志配置是对系统中支持的日志格式进行配置，对每种格式的日志设置过滤或者归并，归并的意思是满足条件的相同日志合并成一个事件入库。【安全配置-日志配置】可以输入产品编码、产品名称进行查询。点击查询列表中的【编辑】按钮，进入日志配置规则编辑界面配置修改：是对选中的配置进行修改操作。配置修改中有过滤规则和合并规则。过滤规则是指满足条件的日志直接忽略掉，不进行入库操作。合并规则是指，同时多条日志中，满足相同条件的日志合并成一条日志记录到数据库中点击【增加】按钮，进入日志配置增加界面：可以增加数据库采集配置信息，用于数据库采集。参数包括：产品名称，sql语句，主键列(主键必须是数字类型的)。告警规则告警规则主要展示此产品的告警规则信息，常用规则系统预置。AQPZ-GJGZ001告警规则基本操作【安全配置->告警规则】系统预置常用告警规则，可以输入规则编码、规则名称进行查询。点击【编辑】可以修改告警规则可以自定义告警规则，点击【添加告警规则】可以新增告警规则可以修改规则名称、规则条件、日志合并字段、告警显示、备注、后续处理、是否有效等信息。修改规则条件时，点击【增加同级节点】或【增加子节点】，弹出下面对话框。可以选择操作符。like和正则表达式也可以自定义告警规则，点击【添加告警规则】可以新增告警规则。告警规则增加页面同告警规则编辑页面。可以编辑规则名称，合并字段，显示内容，备注，后续处理和是否有效。合并字段：根据字段判断是否生成新的告警。日志合并字段相同，就不生成新的告警。后续处理：目前后续处理有邮件，syslog，snmptrapip。ip邮件：当此告警产生的时候，会发送邮件给相关人。可以配置邮箱地址。SyslogsyslogSnmptrapsnmptrapv2cipsshiptableip，此种方式只linuxiptablesAQPZ-GJGZ002导入告警规则支持告警规则导入。选择本地文件，上传后导入配置。AQPZ-GJGZ003导出告警规则支持告警规则导出。AQPZ-CSPZ001参数配置【安全配置->参数配置】参数配置主要是配置告警用到的信息。界面可以配置：非上班时间、上班地点、敏感文件、高危命令、合法端口、全屏布局、日志过滤、IP地址维护。AQPZ-CSPZ001非上班时间配置非上班时间登录告警中需要使用。规则值里注意填写的值是和零点之间相差的秒数。AQPZ-CSPZ002上班地点配置对应非工作地点登录告警。IP信息。AQPZ-CSPZ003敏感文件配置定义系统中重要的敏感文件，所有对文件进行的操作都需要引起管理员的重视，系统会对敏感文件的操作日志进行告警。AQPZ-CSPZ004高危命令配置定义对系统影响较大的危险命令，对系统执行这些命令需要引起管理员的重视。系统会对高危命令的执行进行告警。AQPZ-CSPZ005合法端口配置定义系统对外开放的合法端口，系统开放了额外的端口通常是危险的行为，系统会对合法端口之外的开放端口进行告警。AQPZ-CSPZ006全屏布局用来定义【审计报表-自定义报表】大屏展示所需的页面布局和需要展示的报表。配置完成后，点击【保存】，然后点击页面右上角的【全屏页面】可以全屏查看自定义报表。AQPZ-CSPZ007日志过滤用来定义采集入库日志的过滤规则。点击【增加】，进入规则配置界面。点击【提交】成功后，日志过滤规则即时生效。符合过滤规则的日志不再入库。AQPZ-CSPZ008IP地址维护IP点击【增加】，进入编辑页面。点击【提交】成功后，即时生效。IPAQPZ-SFJK001三方接口三方接口主要是配置系统和其他第三方系统进行交互的接口，目前主要包括邮件接口，syslog接口，snmptrap接口和FTP服务器接口。SMTPsyslogsysLogsnmptrapSNMPTrapSNMPTrapFTPftp系统管理对系统的权限和存储的日志进行管理。XTGL-ZZGL001组织管理【系统管理->组织管理】定义登录系统的用户所在组织机构。可以输入组织名称进行查询。点击【修改】，可以进行修改操作。修改页面同增加页面。点击【删除】，可以删除该组织。点击【增加】，进入增加页面。填写组织名称，选择上级部门。如果是一级组织，可以不选择上级部门。点击【提交】，增加成功。角色管理定义登录系统的用户拥有的角色。进入【系统管理->角色管理】XTGL-JSGL001角色基本信息管理系统预置了部分角色：admin、system、audit、safe、normal。可以自定义角色，点击【增加】输入角色类型、角色名称，点击【提交】，新增成功。新增角色默认有效。点击【修改】，可以修改角色类型和角色名称。点击【删除】，可以删除该角色。XTGL-JSGL002角色授权角色授权用来定义用户角色可以访问的系统菜单权限。点击【角色授权】，进入角色授权页面。勾选菜单，来进行授权角色的权限。点击【提交】，授权成功。用户管理【系统管理->用户管理】管理用户登录系统的用户。可以新增用户：界面逐条添加或者导入用户。可以对已有的用户进行查询、修改、删除。用户的系统菜单访问权限通过指定用户角色进行限制。XTGL-YHGL001用户基本信息管理可以对用户进行增删改查操作。点击【增加】，进入用户编辑页面输入登录名、用户名、密码和确认密码。密码输入会做一致性校验。选择所在部门、选择用户权限。角色分配：页面列出角色管理中所有状态为有效的角色，用于指定用户角色，。点击【提交】，新增用户成功。XTGL-YHGL002导入用户点击【导入用户】，进入用户导入页面。点击【下载模板】，将模板下载到本地，打开编辑。按照模板所提供的格式进行填写账号以及账号的一些基本的信息。填写完毕完成后，点击【选择文件】，选择刚才所填写的文件。点击【导入数据】，即可完成用户的导入。XTGL-XTRZ001系统日志【系统管理->系统日志】可以查看系统的登录、登出情况以及各种系统数据库表的操作情况。可以根据操作人对系统日志进行搜索Excel文件中。点击【导出】，可以将系统日志信息导出到本地。打开systemlog.xlsx，导出系统日志信息格式如下：3外部接口说明系统需要和外部系统做交互，主要包括web漏扫和主机漏扫。目前确定的漏扫是铱讯的漏扫。接口使用配置：调用API接口需要做如下配置，打开[参数配置]，[API配置]，[添加]如让9网段设备可以访问扫描结果同步和漏扫联动接口，可做如下配置：IP地址支持多种格式，如,-255,/24等接口名称详情可看下面的使用说明。假设访问设备地址为：\h创建扫描任务接口使用说明：接口名称：漏扫联动1.创建扫描任务时访问：\h/vulscan.php传递方法：POST参数说明：action动作类型，目前只有一个create,代表创建一个扫描任务task_name任务名称target扫描目标1.单个ip:2.IP段:-55，中间用"-"隔开IP起始地址3.多个IP段:-55,-55中间用逗号隔开不同的IP段起始URL#策略Id###真实IPID3()"|",如/www1/|/www2/真实IP主要是有些网站配置了CDN，需要扫描真实主机漏洞(不需要留白)常用策略ID如下：id为1：快速扫描，只扫描当前配置域名，如：\h/index.php#1##http#id为2：完整扫描，扫描当前域名和二级域名，如\h/index.php#2##http#id为3：扫描配置的子目录，如\h/index.php#3#/test/#http#,如：#1##http#,\h/index.php#3#/www1/#http#port_enable是否开启端口扫描，0关闭，1开启，默认为关闭host_enable是否开启主机扫描，0关闭，1开启，默认为关闭web_enable是否开启web扫描，0关闭，1开启，默认为关闭weak_enable是否开启弱密码扫描，0关闭，1开启，默认为关闭port_timeout端口扫描超时，默认为5秒port_thread端口扫描线程数，默认为5个port_policy端口扫描策略，1快速扫描，2详细扫描，默认为快速扫描enable_ddos是否允许DDOS扫描，0关闭，1开启，默认为关闭host_thread主机扫描线程数，默认为5个host_max_script主机扫描执行脚本数，默认为200个web_getdomain_enable是否开启域名反查，0关闭，1开启，默认为关闭web_threadWeb扫描线程数，默认为5个web_timeoutWeb扫描超时，默认为5秒web_url_count爬虫抓取URL数量，默认为2000，站点较大，需调大web_getdomain_timeout获取域名超时，默认为120秒web_exp_try_times通信异常请求次数，默认为3次web_exp_try_interval通信异常请求间隔，默认为5分钟web_policyWeb扫描策略ID，内置2条策略，1快速扫描策略，2全部Web策略weak_thread弱密码扫描线程数，默认为5个weak_timeout弱密码扫描超时，默认为300秒weak_policy弱密码扫描策略ID，默认为1(全部弱密码漏洞)下面是post提交的数据例子：action=create&task_name=testtask&target=-55&host_enable=1表示新建了个一个名为testtask的任务，扫面目标是网段，只开启了主机漏扫。\ht_enable=1&web_enable=1表示新建了一个名为testcom的任务，开启了主机和Web扫描，扫描起始URL为\h/index.php，扫描策略为3，且只扫描/admin/子目录。返回值{success:true,msg:'successstart'}，表示任务创建成功并开始执行扫描结果同步接口使用说明：接口名称：扫描结果同步获取任务列表时访问：\h/html/gettaskinfo需要传递的参数：不需要任何参数获取数据例如：[{"Id":"1","Name":"\h","Target":"\h","State":"3","En_host":"1","En_web":"