H3C渠道工程师培训SecCenter产品培训-第二章 SecCenter A1000产品介绍.ppt

第二章SecCenterA1000产品介绍,日期：2009-05-17,作者：赵彪04708,杭州华三通信技术有限公司,了解SecCenterA1000功能掌握SecCenterA1000组网掌握SecCenterA1000操作管理,课程目标,学习完本课程，您应该能够：,IT管理面临的问题SecCenterA1000功能介绍SecCenterA1000组网SecCenterA1000管理及应用,目录,支出占营业收入的比例,100%,0%,典型的企业IT安全ROI（投资报酬率）,50%,成本功效,10%,IT安全投资,认证服务器,日志系统,IDS,安全路由交换机,防火墙,信息孤立,安全审计系统,安全客户端,流量整形网关,企业网络安全建设现状,安全投资回报,网络安全建设取得的成绩,IT投资管理最佳实践,端点准入防护,专业防护软件,内容过滤网关,FW/VPN,IDS/IPS,基于安全事件的需求部署,单点管理,以遏制安全事件为核心，无法监控和量化整网安全风险，整网安全状况无法量化，无法帮助企业作出恰当的决定,IT安全投资,病毒传播防护垃圾邮件过滤间谍软件过滤,攻击防御访问控制路由策略加密、认证与授权移动用户安全接入,用户准入认证服务策略实施,应用层威胁攻击防御流量监控,主机病毒防护主机防火墙主机应用审计,对攻击只能孤岛防御，无法实现全局监控,问题一：重局部、轻整体造成信息孤岛,设备间信息沟通不畅，形成信息孤岛,分别管理各种网络设备，获取安全信息,网络失衡,问题二：海量信息缺乏智能分析,海量信息：安全事件不断涌现，很难抓住重点，巨大的工作量也不能带来决策依据。,防火墙日志,IPS日志,安全客户端日志,病毒传播报警,网络设备日志,公安部安全等级保护,FISMA,公安部安全等级保护,GLPA,SOX法案,风险评估,HIPAA,ISO17799,公司的安全制度有没有人违反？最近有没有泄密公司资料？有没有上班时间下载电影？有没有发生过攻击事件？病毒防护措施做了没有？.,环境,问题三：法规遵从要求不断提高,人员,设备,信息,CIO的实际需求,从数字上对安全风险进行评估,实现风险规避,事件发生概率、损失,问题四：以反应性方法为核心,10.8%,10.4%,-0.5%,-4.1%,5.4%,反应性方法：当一个安全事件发生时，反应性方法就是遏制情形，指出发生了什么事情，并尽可能快地修复受影响的系统。前瞻性方法：与等待坏事情发生然后再做出响应不同，前瞻性方法防治结合，最大程度地降低坏事情发生的可能性。,安全风险,我们需要什么样的安全网络？,IT管理面临的问题SecCenterA1000功能介绍SecCenterA1000组网SecCenterA1000管理及应用,目录,安全管理中心系统架构,HIPPA,ISO17799,SOX,网络设备,安全设备,操作系统,应用系统,实时收集分析,安全管理中心分析引擎,管理、技术、业务规则,各种设备的日志与告警信息,制定信息安全管理政策,Report,Action,Notification,Compliance,文本,SecCenterA1000产品介绍,SecCenterA1000是H3C公司推出的安全管理解决方案中的重要组成部分，基于硬件的智能、高效的安全信息及事件管理（SIEM）系统。,收集&分析,数据,知识,Syslog,NetStream,二进制日志,WMI、API,H3CSecCenter,安全事件,网络事件,系统事件,应用事件,Netflow,文本,SecCenterA1000产品规格,支持近100家厂商的Firewalls/IDS/IPS/Routers/Anti-VirusServers/Proxy/WebSecurity/Hosts,可管理异构网络和多厂家设备,事件统计图,应用统计图,简洁的图形化管理界面,全网事件的统一收集与处理,事件过滤漏洞匹配锁定位置告警通知,支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,监控界面定制,仪表盘是SecCenterA1000的主监视界面，可集中显示系统中最常用的监视画面。,仪表盘的监视内容可定制，可以在系统预定义的监视器（Monitor）和报告（Report）中任意选择,70种预定义监视器，同时可自定义监视器,安全威胁的实时监控,上百种监控方式实时显示事件详情实时监控安全资产信息攻击、病毒、DDoS实时报警相关信息实时整合信息统计实时图表输出,Hackerpc,防火墙,ReverseBackdoor,实时攻击可视化,CorporateLAN,黑客利用反向联接技术穿透防火墙,网络流量的实时监控,实时监控每台设备流量实时监控带宽利用率实时按协议统计网络流量实时按应用查看流量实时按地址、按时间,海量事件的关联与分析,事件关联后,近10分钟内按不同级别划分的安全事件统计图,安全事件统计与关联,网络拓扑与网元可视化,快速定位攻击源和攻击路径,快速定位攻击源/路径,近千种报告输出,提供13种预定义视图，用户可根据需要自定义视图；,安全审计,通过安全审计分析可以根据历史信息追踪溯源，清晰的查看到攻击源和目的地址、端口、协议、时间等信息。同时可以清除的看到该事件是从哪个分支机构是何种设备发发生的事件。,快速查询与审计分析法规遵从要求：SOX、GLBA、HIPPA、FISMA,智能分析、联动、统一管理,安全联动流程介绍,IPS,防火墙,2、安全设备检测到安全异常,上报SecCenter。,2、SecCenter将安全事件根据预定策略汇聚分析，将需要联动的告警上报给iMC。,3、iMCSCC收到告警后查找攻击源，进行端口关闭、用户下线、告警、Email等联动策略。,汇聚交换机,核心交换机,服务器区,iMCSCC,SecCenter的作用：安全管理中心可对防火墙、IPS识别的攻击（如扫描攻击、smurf攻击、winnuke）进行展示并根据日志内容进行攻击源定位。,SecCenter安全管理中心,1、内网攻击者发起扫描等攻击，对网络造成威胁。,最完善的联动方案，业内唯一,IT管理面临的问题SecCenterA1000功能介绍SecCenterA1000组网SecCenterA1000管理及应用,目录,1-Tier集中式部署,交换机,控制台,交换机,SecCenter,集中式部署优点：适合中小型企业，成本低、管理简单、投资回报率高非在线部署，不会影响网络运行,管理区,办公区,N-Tier分布式部署,SecCenter,控制台,控制台,SecCenter,分布式部署优点：适合大型企业，不受地域限制、分级分权管理、事件天然备份安全事件二次关联，提高决策准确性非在线部署，不会影响网络运行,管理区,办公区,控制台,SecCenter,IT管理面临的问题SecCenterA1000功能介绍SecCenterA1000组网SecCenterA1000管理及应用,目录,SecCenter管理,设备管理方式帐号管理License管理,设备管理方式,设备默认情况下管理地址为：192.168.0.1管理端口为：9216登陆用户名/密码：admin/sca1000,管理PC环境要求：1、JRE1.5以上2、与Report相关软件（PDF等）,帐号管理（一）,Users选项卡可以对帐号进行管理，同时可以查看帐号相关日志,Groups选项卡可以管理组，并把帐号加入相应组,策略选项卡用来管理Policy直接影响组的权限,SecCenter帐号管理通过设备上的“用户管理”选项卡，通过这个界面可以创建、删除用户，把用户加入组，并针对用户设置相应的策略,帐号管理（二）,可单独控制用户对设备的访问权限,可单独控制用户对报告的访问权限,对于用户和策略可以单独指定权限,帐号管理（三）,使用“事件监视”策略的用户登录后只能看到安全分析中心（SecurityAnalysisCenter）界面中的Monitoring页面,使用“报告模板”策略的用户登录后只能看到安全分析中心（SecurityAnalysisCenter）界面中的Reporting页面,使用“通过Console访问”策略的用户登录后只能看到主界面中的Alert页面,不同级别的帐号只能看到与其权限相应的功能项,License管理（一）,SecCenter能正常工作的前提是设备上有License，通过License选项卡可以增加、更新License；对设备授予License；生成License请求,指定设备上可用的DevicesLicense,指明License的种类（超时时间）,指定设备上可用的HostsLicense,License管理（二）,通过AddDevice及AddHost选项给设备或者主机授予License,License管理（三）,设备第一次写入License时使用,设备更新License时使用,根据生成的License文件选择合适的位置输入,License管理（四）,通过License选项卡下面的Options选项，可以导出用来生成License的特征码或者特征文件,系统标识码，通过它可以用来生成License,通过导出的两个文件也可以生成License,SecCenter应用,定制Dashboard收集主机信息收集设备信息使用Monitoring和Reporting使用策略和报警使用深度查询和报表,定制仪表盘,安全分析中心中的安全信息告示板可显示系统中最近被触发的报警、端口活动情况统计、协议活动情况统计、源目的地址及端口活动情况统计、系统实时事件浏览器。,更改显示的设备及显示的方式,选择显示的报表项,调整报表大小,定制仪表盘,通过报表管理项可以定制Dashboard显示报表的个数、种类及显示方式,收集设备信息,收集主机信息,选择添加主机方式及添加相应主机,收集主机信息,勾选需要加入的主机,设置主机名及用户名,选择主机种类，有两类,选中应用后，设备会添加主机到本地,收集主机信息,此项勾选标识收集,这里标识主机当前策略,通过策略来决定主机可收集的信息,收集主机信息,收集设备信息,SCA通过接收设备发来的SysLog日志，自动添加设备到Device列表中。也可以手动添加被管理的设备。,通过策略选项更改对于设备使用的策略,标识当前是否收集设备信息,表示当前对于设备的收集策略,监听和报告,监视器（Monitor）列表，系统提供70种预定义的监视器，也可以根据实际需要自定义新的监视器；,被选中监视器（Monitor）的显示输出,安全分析中心功能可提供70种预定义监视器，并支持自定义监视器,选择监视（Monitoring）页面,监听和报告,报告（Report）列表，系统提供近千种预定义的报告；,被选中报告（Report）的显示输出,安全分析中心可提供近千种分析报告,选择报告（Reporting）页面,策略和报警,对于安全信息事件管理系统来说，有一个强大的过滤功能是至关重要的，因为通常系统需要接收处理的安全事件信息数量非常大，过滤功能可在海量的事件信息中找到用户真正重要的信息提醒用户注意，避免重要信息被海量信息淹没SecCenterA1000提供了一些予定义的常用过滤规则模板，可直接使用。用户也可以根据实际需要通过自定义过滤规则来定制自己需要的过滤规则,用来定义新的策略,策略和报警,预定义的过滤规则模板可直接使用，提供一些常用的过滤规则,过滤模板自定义功能可使用所有SecCenterA1000标准日志格式中的字段作为过滤模板定义的条件，包括描述字段中的字符串匹配，可以定义出非常精确的过滤规则，找出用户关心的重要事件信息,定义策略时都是与相应的规则绑定在一起的,策略和报警,选择报警策略动作事件分类模式可根据需要对事件进行详细分类,报警策略的事件分类能力可根据实际情况将过滤出来的事件进行详细的分类并重新设定级别，发送相应的日志,符合条件的报警将被重定义事件级别,符合条件的报警更新选择的报告数据,策略和报警,选择报警策略动报警触发模式,报警触发模式可让符合条件的事件触发报警，被触发非报警在报警页面被集中显示；报警可以被设定级别也可以被转发；,设定被触发报警的级别,设定报警转发方式和参数,深度查询和报表,深度查询和报表功能是相似的，都是根据所列条件生成相关的报表两种查询之间的不同是：深度查询是基于原始日志文件的；报表统计的是经过SecCenter处理后存入数据库的文件,深度查询和报表,根据向导生成报表,深度查询和报