汉邦审计安装与调试.ppt

汉邦信息安全综合强审计监控系统的安装与调试 河南山谷创新网络科技有限公司 2020年1月8日 安装步骤 安装环境 安装步骤 登录窗口 安装步骤 安装步骤 安装步骤 安装步骤 审计中心管理界面安装步骤 安装步骤 安装步骤 主机传感器安装步骤 查看资产风险信息 查看资产漏洞信息 客户端 客户端的安装 在线报表 客户端的安装 软件登录 地址 输入综合强审计监控系统中心 AuditCenter exe 所安装的机器的IP地址 用户名 和 密码 输入安装审计中心时要求用户输入超级用户名和密码 超级用户界面 汉邦信息安全综合强审计监控系统监控中心的用户界面根据用户的权限分不同而设置不同 下图为超级用户界面 基本功能介绍 a 主菜单主菜单包括4个子菜单 系统 视图 设置 帮助 1 系统 用户组管理 用于管理 添加 删除用户组信息 用户管理 用于管理 添加 删除超级用户 策略制定员 审计信息管理员 文件上传 用于上传文件到审计中心 SYSLOG设置 对审计中心SYSLOG的设置 报警信息 用于查看上传到审计中心的报警信息 报警设置 用于审计中心对不同模块功能的设置 退出系统 退出本系统 基本功能介绍 2 视图 工具栏 打开或关闭系统工具栏 实时报警 打开或关闭系统实时报警 控制面板 打开或关闭系统控制面板 基本功能介绍 3 设置 网络监管 用于对网络监管的规则设置 拨号监管 用于对拨号监管的规则设置 文件监管 用于对文件监管的规则设置 日志监管 用于对日志监管的规则设置 进程监管 用于对进程监管的规则设置 打印监管 用于对打印监管的规则设置 地址监管 用于对地址监管的规则设置 盘符监管 用于对盘符监管的规则设置 邮件监管 用于对邮件监管的规则设置 硬件监管 用于对硬件监管的规则设置 屏幕监管 用于对屏幕监管的规则设置 键盘监管 用于对键盘监管的规则设置 添加用户 U盘监管 用于对U盘监管的规则设置 软件监管 用于对软件监管的规则设置 文件扫描 用于对文件扫描的规则设置 文件发送 用于对文件发送的规则设置 U盘加密 用于对U盘加密的规则设置 入侵检测 用于对入侵检测的规则设置 MAC审计 用于对MAC审计的规则设置 流量审计 用于对流量的规则设置 协议审计 用于对协议审计的规则设置 数据库规则 用于对数据库审计的规则设置 用户组管理 汉邦信息安全综合强审计监控系统增加了用户组的管理 对不同的用户组提供了不同的管理权限 添加用户 点击后进入 增加用户组界面 输入组名和描述 在下面的不同模块中选择该组的使用权限 用户管理 增加用户在用户管理界面中 选择 增加 可以增加不同的用户 添加用户 点击后进入 增加用户 界面 输入用户名和密码 在下面的用户组中根据用户的权限分配不同的用户组 引擎管理界面 在默认状态下 引擎管理窗口将显示审计中心IP地址 主机子系统 网络子系统 数据库子系统 若存在审计分中心 则会显示审计分中心名字及IP地址 如下图所示 策略设置 a 设置子系统规则选择子系统 右击鼠标 点击 策略设置 主窗口中会显示该子系统的策略 策略设置 b 设置组规则选择工作组 右击鼠标 点击 设置组规则 主窗口中会显示该工作组的策略 策略设置 c 设置被审对象的规则选择工作组 右击鼠标 点击 设置节点规则 主窗口中会显示该对象的策略 指定审计中心 用户可以根据实际情况 将主机 或网络引擎或数据库引擎 指定到某一个审计中心 由该审计中心对它进行管理 选中主机 或网络引擎或数据库引擎 右击鼠标 点击 连接到中心 输入指定监控中心IP地址 主机审计监控子系统使用指南 在引擎管理窗口中单击 主机子系统 显示如下界面 下边以网络审计作为例子进行配置说明 网络审计 a 查看报警信息查看主机子系统 或某一工作组或指定主机 的网络审计实时信息时 首先在引擎管理窗口中点击 主机子系统 或某一工作组或指定主机 功能窗口中点击报警信息 点击主窗口左边的 网络审计 此时主窗口中会显示该子系统 或工作组中所有主机或指定主机 的网络审计实时信息 包括 传感器名 报警等级 审计类型 本地时间 中心时间 当前用户 进程名 远程IP地址 远程端口 本地端口 协议类型 是否主动 连接状态等等 如下图所示 网络审计 网络审计 b 删除所选实时信息选定任意一条实时信息 然后单击 处理单条 按钮 完成信息条的删除 注 删除 是指把报警信息中的数据删除 被删除的数据仍能在报表系统中查询 c 处理本页选定某一页的报警信息 然后单击 处理本页 按钮 完成对本页所有信息的删除 注 删除 是指把报警信息中的数据删除 被删除的数据仍能在报表系统中查询 d 全部清空实时信息单击 全部处理 按钮 此时主窗口中所显示的信息将清除掉 注 清空 并不是把信息从数据库中删除 它只是把屏幕显示的信息清除掉 网络审计 b 保存报警信息单击 另存为 按钮 弹出Windows通用对话框 输入 文件名 选择保存格式 格式包括 excel文件 文本文件 HTMl文件 WORD文件 所有文件 如下图所示 规则设置 a 说明规则设置分为 主机子系统规则设置 工作组规则设置 指定主机规则设置 主机子系统规则设置 所有工作组中的所有主机继承该策略 工作组规则设置 该工作组中的所有主机继承该策略 指定主机规则设置 指定主机继承该策略 规则设置 b 增加规则在引擎管理窗口中选择指定主机 功能窗口点击 网络审计 点击主窗口左上方的 增加规则 如下图所示 规则设置 规则包括 监控方式 日期 IP规则 监控方式 可设置为每天 每周 每月 日期 执行策略的开始时间和结束时间 IP规则 用户可根据实际情况将报警等级设为低 中 高 审计类型可设为允许和禁止 设为禁止后将根据设置阻断用户访问某一指定机器或所有机器的某一指定端口 记录 前必须打勾 否则不记录审计数据 指定端口 输入需审计监控的端口号 0 表示所有端口 排除 前打勾表示对输入的端口不进行审计监控 IP地址 输入需审计监控的被访问机器的IP地址 0 0 0 0 表示所有机器 排除 前打勾表示对输入的IP地址不进行审计监控 指定进程 输入需审计监控的进程 规则设置 c 修改规则在引擎管理窗口中选择指定主机 功能窗口点击 网络审计 在主窗口中选择需要修改的规则 点击 修改规则 规则的修改方法与规则的增加方法一样 d 删除规则在引擎管理窗口中选择指定主机 功能窗口点击 网络审计 在主窗口中选择需要删除的规则 点击 删除规则 e 提交规则增加规则 删除规则 修改规则后管理员应该点击 提交规则 保存最新的规则设置 综合报表系统使用指南 双击桌面上的HBAudit 报表系统的快捷方式或者单击 开始 程序 汉邦信息安全综合强审计监控系统管理界面 汉邦综合强审计系统管理界面 报表系统 后 将弹出如图的对话框 输入要登陆查询审计数据库的 IP地址 数据库名 数据库的 登陆用户 和 密码 如下图所示 综合报表系统使用指南 登陆报表系统数据库登陆成功后 弹出登陆报表系统的窗口 输入正确的 用户名 和 密码 按 确认 按钮登陆 如下图所示 综合报表系统使用指南 使用界面 综合报表系统使用指南 主菜单包括4个下拉菜单 文件 统计 查询 报表 1 文件 退出系统2 统计 报警等级概括统计 对审计到的各个功能模块的历史报警信息进行概括的统计 用户可以根据具体条件进行设置 3 查询 主机子系统 查询主机子系统各个模块的历史信息 网络子系统 查询网络子系统各个模块的历史信息 数据库子系统 查询数据库子系统的历史信息 4 报表 主机子系统 为主机子系统各个模块的历史信息做统计报表 网络子系统 为网络子系统各个模块的历史信息做统计报表 数据库子系统 为查询数据库子系统的历史信息做统计报表 综合报表系统使用指南 下面以文件审计日志信息查询为例 点击工作窗口