NetEye安全运维平台系统V50_培训讲义

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2016/12/26,#,NetEye,安全运维平台系统,V5.0,培训讲义,网络安全事业部,东软集团股份有限公司,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运,维工作流模块,5,网络管理模块,综合监控运维管理平台,共享经验,统计分析,决策支持,全面直观的系统,管理展示,掌握运行质量,效率 合理,利用资源,强化监控集中管理,定位故障快速恢复,规范运行管理运维,统一运维监管平台,多视角,落实安全策略 制定任务计划 出具分析报告,提供统一信息安全态势与风险监测服务,安全视角,业务,视角,决策视角,运,维视角,平台管理视角,业务异常,监测告警,风险管理,预警发布,运,维,管理,数据采集实时覆盖整体网络与业务,可用性监测 安全事件审计 关键业务行为感知,集中多源数据,统一,研判,提升预警监测准确率 任务处理与响应,为用户构建统一的监测预警风险感知,产品安装,单机部署,软硬一体,设备，部署方式灵活，不受限制，只要能通过网络访问相应的监控对象即可。,部署灵活,安全监控运维,管理平台,局域网,反垃圾,邮件系统,应用系统,数据库系统,主机系统,身份认证,系统,Web,防护,系统,漏洞扫描,系统,审计系统,防病毒系统,入侵检测,系统,路由器,防火墙,交换机,分布式部署,当监控,资产数量较多时，平台支持分布式部署，数据采集引擎的部署能够灵活扩充，平台对所有数据采集引擎进行统一管理,。,灵活扩展,安全监控运维管理平台,北京,上海,沈阳,南,京,武汉,广州,重要术语,原始日志：,是指从网络设备、安全设备等系统中发出的原始信息,。,安全事件：,是,指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息,。,故障事件：,对,设备自身故障的监控，如数据库没有启动、接口,down,等，生成故障,事件。,性能事件：,对,设备的,KPI,监控，如内存利用率超过所系统所配置的阈值，生成性能,事件。,配置事件：,对,Linux,操作系统进程和端口的监控，如进程,down,。,重要术语（,2,）,智能关联事件：,攻击行为触发预定义的攻击场景模型，系统自动分析日志的结果,。,脆弱性：,存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题,。一般指扫描器上报的脆弱性,。,资产价值：,根据信息安全标准，把资产分级，以量化资产在系统中的重要性,。,风险：,风险,=,f,(,资产,价值，脆弱性,，,事件,),。,重要术语（,3,）,日志过滤策略：,在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息,。,事件生成策略：,根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。,事件忽略策略：,对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和,ip,等条件进行过滤，忽略的事件不参与风险的计算,。,系统登录,登录方式：,https:/x.x.x.x/soc,支持,IE7/8/9/10/11,缺省账号：,超级,管理员：,admin/1,系统管理员：,sysmanager/1,系统审计员：,sysauditor/1,运,维首页,快捷访问,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运维工作流模块,5,网络管理模块,权限,管理,用户管理员,运,维管理员,系统审计员,自定义角色（细粒度）,自定义权限,数据权限,用户,管理,用户锁定与解锁,被,锁定的用户不能登录,SOC,系统,下面两种方式会将账号锁定,超级管理员手工锁定,连续,6,登录失败自动锁定,安全域管理,机构管理,资产,管理,-,概览,资产,管理,-,添加,资产,管理,-,批量添加,资产,管理,-,文件导入,资产,管理,-,自动发现,资产,管理,-,导出,资产,管理,-,自定义资产属性,资产,管理,-,报表统计,报表,生成,公告,信息,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运维工作流模块,5,网络管理模块,Syslog,报文,日志发送配置（操作系统）,日志发送配置（网络设备）,日志接收,配置,多,维度分析,安全事件,事件列表,事件详细信息,数据分布图,攻击,关联图,基于攻击场景关联分析,攻击场景,细粒度的规则定义,支持图形和脚本两种定义方式,时间窗特性,基于资产漏洞关联分析,与资产漏洞关联,与资产操作系统关联,与资产端口关联,基于资产的攻击疑似度计算模型,脆弱性扫描,脆弱性查看,事件,策略,事件策略,2,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运维工作流模块,5,网络管理模块,监控器,针对于同,一,设备,上,的不同监控内容，通过多种类型监控器进行监控,服务器设备,数据库,中间件,操作系统,中间件监控器,数据库监控器,操作系统监控器,健康度,代表,监控器不能进行监控，主要原因有设备不能联通或系统配置有,误,代表,监控器工作正常，可以准确监控资产是否出现,告警,代表,监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代 理程序出现问题,24,小时健康度,创建监控器,锐捷网络设备监控,1,、登陆锐捷网络设备，开启,SNMP,访问功能：,(config,)#,snmp-server community,community,2,、登陆统一运维监管平台，建立监控器,锐捷网络设备监控（,2,）,锐捷网络设备监控（,3,）,Windows,监控,-,添加,SNMP,组件,打开,开始,管理工具,服务器,管理器,，,找到功能摘要标签,：,Windows,监控,-,开启,SNMP,服务,配置,SNMP,只读字符串和允许访问的地址，地址填写,150.100.1.128,，重新启动,SNMP,服务。,Windows,监控,1,、登陆,Windows,，开启,SNMP,访问功能：,2,、登陆统一运维监管平台，建立监控器,Windows,监控（,2,）,Oracle,数据库监控,Oracle,数据库监控（,2,）,Tomcat,中间件监控,1,、修改,Tomcat,配置文件,bin/catalina.bat,，增加下列参数：,setCATALINA_OPTS=%CATALINA_OPTS%-Dcom.sun.management.jmxremote-Dcom.sun.management.jmxremote.ssl=false-Dcom.sun.management.jmxremote.authenticate=false-Dcom.sun.management.jmxremote.port=8999,2,、登陆统一运维监管平台，建立监控器,Tomcat,中间件监控（,2,）,监控器报表,性能,/,故障,/,配置事件报表,应用拓扑,应用拓扑配置,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运维工作流模块,5,网络管理模块,网络,拓扑,获取,资产,接口,拓扑发现,拓扑修改,拓扑流量事件,性能事件：重点接口流量超出设定的阈值并连续达到设定的次数，将生成性能事件；,故障事件：重点接口状态从,UP,至,DOWN,，将生成故障事件。,目录,1,系统概述,3,安全管理模块,2,系统管理,4,主动监控模块,6,运维工作流模块,5,网络管理模块,拓扑流量事件,发现事件是安全监控运维,管理平台,的起点，合理处置事件是安全运维监控管理平台的目标。通过平台的工单功能，能够形成,发现事件,-,跟踪事件,-,处置事件,-,关闭事件,的流程。使得安全事件被真正处理，有效降低用户网络的安全风险。,发现事件,跟踪事件,处置事件,关闭事件,确认,IT,服务处置流程,工作流程,事件处置类,运维服务类,资产管理类,工单流,转举例,-,第一步工单申请,工单流,转举例,-,第二步领导审批,工单流,转举例,-,第三步执行,工单流,转举例,-,第四步领导审核,工,单流转监督,工,单流转,-,待办功能,工,单流转,-,经验积累,自动工单策略,谢谢！,mailto:,yuanjy,Tel:,024-83662015,