《网络安全设备原理与应用》 课件 22-安全感知平台功能说明-资产和报告中心；23-安全感知平台功能说明-监控和大屏

安全感知功能说明-资产和报告中心了解资产中心的资产感知和脆弱性感知了解报告中心的安全风险报告和安全告警熟悉联动响应的方式教学目标资产中心报告中心联动响应目录资产中心资产感知资产识别目是STA探针产品的一个重要功能，目的旨在帮助用户梳理资产，识别风险资产（如影子资产），为攻击检测提供辅助等。目前探针主要使用被动识别以及主动识别进行资产识别，被动识别主要根据网络流量镜像到探针，探针根据镜像流量进行内网识别，内网资产梳理；主动识别是探针进行发包主动探测内网资产，再进行数据汇总与分析。平台识别到的资产将定义为内网资产，在为后续识别横向、外连、外部威胁或访问关系定义方向，需要事先定义好内部IP组或者分支IP范围。资产中心资产感知界面资产中心资产感知----受监控内部IP组定义内网的受监控IP范围，用于平台更精准的识别出内网资产，当出现需要修改IP归属地时，也可以使用互联单位IP功能进行配置。资产中心资产感知----业务/服务器业务/服务器与终端，是在配置完成受监控内部IP组后，对应IP范围的IP按照IP属性会自动匹配到业务或者终端中。资产中心资产感知----分支当用户有分支单位时，可以通过IP范围以及设备模式配置分支信息。资产中心资产感知----安全域安全域是将内网划分为多个区域，检测每个区域的安全情况，用于分析区域的安全状况，加强薄弱区域的安全建设。资产中心脆弱性感知脆弱性总览：平台可以通过STA/AF/云眼/云镜以及第三方设备识别出来的漏洞，收集上来进行汇总展示。资产中心脆弱性感知----弱密码弱密码/web明文传输，可以检测出当前网络中使用的弱密码，以及web业务使用http协议将用户名/密码通过明文进行传输。资产中心脆弱性感知----配置风险SIP可通过流量检测到当前业务系统开放的风险端口以及授权配置不当的情况。资产中心报告中心联动响应目录报告中心报告中心包括两部分：安全风险报告：包括自动生成的预设报告以及手动导出的报告，也可以订阅报告，用于汇报，安全运维等方面。安全告警：当检测到安全事件时，会通过邮件或者短信的方式发送告警信息给管理员。报告中心安全告警配置策略后，当平台检测到对应的安全事件，可向管理员发送告警邮箱或短信。资产中心报告中心联动响应目录联动响应联动响应功能的引入：

大家都知道SIP只做为安全事件的检测，无法对检测到的安全问题进行闭环。当前的两类安全问题闭环方式。1、MDR服务，通过购买安全服务，由安服人员对安全问题进行处置闭环（培训中不进行说明）。2、通过与深信服其它产品进行联动，如AF/EDR等，在SIP上下发策略对问题进行处置闭环。联动响应分为三部分1、红线：服务器发起威胁访问，被AF或者STA审计到。2、绿线：AF或者STA将审计到的威胁访问日志上传到SIP，SIP上进行安全事件分析，识别到服务器存在风险。3、黄线：SIP上下发联动策略到AF，通过AF的联动封锁对存在威胁的服务器进行拦截，减少威胁。EDR与AF数据流程类似。联动响应联动端口使用说明AC版本SIP版本功能实现方式端口AC11_XSIP2.5.8及以上版本同步用户信息端口固定为1775、协议为UDP1775AC12.0R5版本+打上定制功能SIP2.5.12及以上版本联动：弹窗提醒、冻结账号https协议7433AC12.0R5版本+打上定制功能SIP3.0.9及以上版本联动：弹窗提醒优化（新增批量上网提醒、新增可配自动上网提醒）https协议7433AC12.0.7以及以上SIP3.0.30及以上版本联动：上网提醒、冻结账号https协议9998AC12.04以及以上SIP3.0.39及以上版本联动：AC对接SIP心跳https协议SIP:7443AF版本SIP版本功能实现方式端口AF7.3.0SIP2.3及以上版本同步日志：同步安全日志https协议4430AF7.5.0SIP2.5.3及以上版本同步日志：同步安全日志https协议4430SIP2.5.8及以上版本联动：封锁联动https协议7743AF8.0.2SIP3.0.2及以上版本同步日志：同步流量审计日志、同步cpu，内存，磁盘网口流量，日志上报认证https协议4430AF8.0.2、AF8.0.5、AF8.0.6打上对应的定制包SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.8正式版本SIP3.0.2及以上版本联动：联动应用控制策略https协议7743AF8.0.19正式版本SIP3.0.37及以上版本同步日志：同步blob类型日志https协议4430联动响应联动端口使用说明EDR支持版本SIP支持版本功能实现方式端口EDR2.0SIP2.5.8以及以上同步日志包括：wellshell日志爆破日志僵尸网络日志微隔离日志HTTPS请求7443EDR3.0.2SIP3.0.2以及以上同步日志包括：杀毒日志HTTPS请求7443SIP3.0.2以及以上联动：主机隔离禁止出站禁止入站HTTPS请求443EDR3.2.9SIP3.0.18以及以上联动：同步主机信息一键查杀文件隔离/忽略/信任单项部署HTTPS请求443EDR3.2.9SIP3.0.21以及以上联动：EDR上处理后，SIP产生的安全同步事件变成已处理HTTPS请求443EDR3.2.13SIP3.0.23以及以上联动：解决EDR与SIP之间做了地址转换问题HTTPS请求443EDR3.2.15SIP3.0.39以及以上联动：僵尸网络进程取证HTTPS请求443联动响应仅在接入了深信服NGAF、EDR、AC产品后，实现联动响应。当威胁发生后，可通过联动响应方式快速封锁问题IP或攻击源，主机隔离、病毒查杀，避免势态升级。点击对风险服务器可以选择联动AF和EDR，对于风险终端可以选择联动AF、AC、EDR联动响应仅在接入了深信服NGAF、EDR、AC产品后，实现联动响应。当威胁发生后，可通过联动响应方式快速封锁问题IP或攻击源，主机隔离、病毒查杀，避免势态升级。联动响应可在【更多】->【联动响应】进行联动，或查找已经下发的策略。可以查看已添加的策略，以及联动封锁配置步骤。联动响应可在【更多】->【联动响应】进行联动，或查找已经下发的策略。可以查看已添加的策略，以及联动封锁配置步骤。资产感知的作用联动响应的工作过程总结安全感知平台功能说明-监控和大屏了解安全感知平台的监控中心了解安全感知平台的安全可视教学目标监控中心大屏可视目录监控中心监控中心用途：监控中心用于显现全网的安全事件总览，并呈现存在的主机或安全事件的数据统计情况，并可查看主要功能模块存在问题的top5情况。监控中心接入设备状态综合安全感知业务安全感知终端安全感知威胁感知资产感知安全播报监控中心可通过首页查看接入设备的情况，当发现设备不线时，查看是否网络能接通，或查看是否有数据上传SIP的CPU，内存、磁盘运行情况。监控中心查看设备接入平台的位置：【系统设置】->【设备管理】监控中心设备的运行天数全网安全情况综合评分30天内检测出来的安全事件统计情况需要进行处置的主机数量用于检索追踪风险主机行为近期网络的热点流行事件，标红为当前网络存在监控中心风险服务器的统计情况统计以下四类风险存在的风险主机数量风险等级最高的top5服务器，可点击“更多”查看所有的风险服务器监控中心风险终端的统计情况风险等级最高的top5终端，可点击“更多”查看所有的风险终端监控中心威胁态势可选统计7天或30天的外部威胁、、外连威胁的数量对比情况横向威胁。安全事件统计可选统计7天或30天中全网出现次数最多的top5安全事件。监控中心将服务器配置为业务的总数，可以定义业务是否为核心业务平台上识别到的服务器数量情况业务开放服务TOP5需要进行三周的机器学习得出服务器的行为画像监控中心分为日报、周报、月报，报表只展示在该时间范围内的安全事件，如昨天发生了安全事件当天进行了处置，导出昨天的日报会展示安全事件，今天不再报新的安全事件时日报为空。当报表为空时，可以通过【处置中心】->【安全事件视角】点击“最近发生时间”进行排序，查看周期内是否有安全事件生成。监控中心最近发生的时间监控中心安全检测清单：用于对当前SIP检测出来的安全事件，统计出各类安全事件当前存在多少风险主机，以及处理进度情况如何。监控中心挖矿专项检测：黑客可以通过挖矿获得收益，所以挖矿事件也较多，该功能模块可以对全网出现挖矿的安全事件进行统一展示，检测当前存在挖矿各阶段的主机数量，更直观了解挖矿的安全态势，及时进行处置。监控中心大屏可视目录大屏可视SIP的大屏种类丰富，可以直观的查看到网络中存在的问题。大体可以分为以下几类（一）安全类综合安全态势大屏分支安全态势大屏通报预警大屏安全事件态势大屏网络攻击态势大屏网络攻击态势大屏-3D（需要独显支持）外连风险监控大屏横向威胁监控大屏脆弱性态势大屏大屏可视SIP的大屏种类丰富，可以直观的查看到网络中存在的问题。大体可以分为以下几类（二）访问关系类正常横向访问监控大屏正常外连监控大屏资产&接入设备类资产态势大屏设备运行态势大屏重保类重大活动网络安全指挥调度大屏大屏可视大屏可视大屏用途说明综合安全态势大屏：全局总览整体安全态势，包括“事前”资产态势、脆弱性态势，“事中”攻击态势，以及“事后”安全事件态势等；同时，也能以安全域的视角直观地看清风险所在区域。大屏可视——大屏用途说明大屏用途说明分支安全态势大屏：在多分支单位场景时，直观地、全局地监控各健的安全态势以及排行。大屏可视——大屏用途说明大屏用途说明安全事件态势大屏：监控内网发生安全事件的情况，对近期网络安全行业中发生的风险进行监控。大屏可视——大屏用途说明大屏用途说明网络攻击态势大屏：监控来自外部的攻击，直观展示内部网络在全球范围内面临的攻击威胁，攻击源地理位置、攻击手段，被攻击业务一目了然。大屏可视——大屏用途说明大屏用途说明外连风险监控大屏：监控业务的风险外连情况态势，业务系统对外部发起的攻击、C&C通信、违规访问等。大屏可视——大屏用途说明大屏用途说明横向攻击大屏：监控内部