入侵检测运维指南

入侵检测设备 运维指南 V1 00 i 修 改 记 录 时间时间版本版本修改内容修改内容 1 一 每日例行维护一 每日例行维护 1 1 系统管理员职责 系统管理员职责 为保证入侵检测设备的正常运行 系统管理员需要在每日对设备进行例 行检查 系统管理员每日在上班后 在入侵检测管理程序主界面查看 显示 中心 网络引擎 是否处于连接状态 确保 综合显示中心 窗口 已打开 若 网络引擎 处于断开状态 需要检查入侵检测设备面板上的通 讯端口的指示灯是否为绿色 如果通讯端口指示灯熄灭 通知网络 管理员 配合查看交换机与入侵检测设备通讯口之间的端口链路是 否正常 如交换机及线路都正常的情况下 重启入侵检测引擎 如果还存在问题请及时电话联系厂商工程师 查看设备面板抓包口的指示灯状态 网络接口指示灯正常情况下是 绿色 如果工作端口出现接口灯不亮的情况下 需要及时通知网络 管理员 配合查看交换机与入侵检测设备抓包口之间的端口链路是 否正常 如交换机及线路都正常的情况下 重启入侵检测引擎 如果还存在问题请及时电话联系厂商工程师 2 2 安全员职责 安全员职责 安全员每天定时 每日至少 2 次 9 点 17 点 查看综合显示中心的 告警信息 如果出现高风险事件 如 DDOS 攻击 缓冲区漏洞攻击等入侵行为事件 按照以下步骤处理 通知防火墙安全管理员 查看防火墙日志 是否对该攻击行为已自 动进行阻断 如已进行了阻断 组织系统管理员 网络管理员 定位攻击源 IP 源攻击 IP 定位后 安排相关技术人员处理该 IP 机器 查明该 IP 机器发起攻击的原因 2 对该 IP 机器处理后 形成报告并送阅主管领导 如需要 可报安 全管理处备案 如防火墙未对该攻击进行阻断 除通过防火墙紧急手工阻断该连接 会话外 可初步判断为入侵事件成功 需紧急启动入侵事件预案程 序 每天对运行入侵检测控制台的 PC 服务器进行运行状态进行检查 确保 PC 服务器上 SQL SERVER 数据处于正常运行状态 如 SQL SERVER 服务运行状态不正常 重启 SQL 服务或服务器 对于无法解决的故障或者问题 及时通知厂商技术人员 二 周期性维护工作二 周期性维护工作 在入侵检测设备的运行过程中 需要定期对设备进行维护 1 1 系统管理员职责 系统管理员职责 系统管理员每周需要通过互联网络从启明星辰公司的网站上下载最 新的事件库进行手动升级 在升级完成后 生成最新的策略文件 并将策略文件下发到网络引 擎 系统管理员每周对入侵检测设备的升级及变动情况进行汇总 形成 报告后 提交主管领导 系统管理员每月对入侵检测设备的升级及变动情况进行汇总 形成 报告后 提交主管领导 2 2 安全管理员职责 安全管理员职责 安全员应定期登陆系统 每周一次 查询本周系统日志 通过报 表工具对出现的高级的告警信息统计汇总 并形成报告 送阅主管 领导 安全管理员在每个日志备份周期到期的后一天应查看日志的自动备 份工作是否正常 如果出现不正常的情况 应及时对日志进行手动备份 并查找无法 自动备份的原因 是否是由于磁盘空间不足无法备份 如果不是由于磁盘空间不足造成 则有可能是由于 PC 服务器时间 3 运行造成日志服务器相关进程异常造成的 需要重启日志服务器 安全员应每月通过报表工具对出现的高级的告警信息统计汇总 分 析后形成报告 送阅主管领导 3 3 审计员职责 审计员职责 审计员应定期查看审计日志 每月查询所有系统管理员的操作行为 记录并形成报告 送阅相关领导 三 不定期维护工作三 不定期维护工作 安全系统管理员在对策略文件进行修改后 需要将需改后的策略下 发到网络引擎 以使修改后的策略生效 1 四 运维检查记录表四 运维检查记录表 安全产品 入侵检测 周常检查记录单安全产品 入侵检测 周常检查记录单 设备名称 入侵检测系统管理员 检查日期安全管理员 检查内容 系统管理员 检查内容 系统管理员 序号检查项正常值正常不正常处理办法 1 显示中心 网络引擎 已连接 2 综合显示 中心 已打开 3 抓包口绿色 4 通讯端口绿色 故障处理记录故障处理记录 记录 记录 1 1 网络引擎无法正常工作 显示为黄色 提示 网络引擎无法正常工作 显示为黄色 提示 TIODTIOD 进程无法启动 需要确认系统时进程无法启动 需要确认系统时 间是否有变更或者在系统控制菜单里重启系统引擎即可 间是否有变更或者在系统控制菜单里重启系统引擎即可 检查内容 安全管理员 检查内容 安全管理员 序号检查项正常值正常不正常处理办法 1 告警信息 无高风险告 警事件 2 管理控制台 SQL 数据库 正常运行 异常处理记录异常处理记录 记录 记录 1 1 如发现 如发现 WindowsWindows 系统下系统下 MSSQLMSSQL SlammerSlammer 蠕虫攻击 则需定位目标主机和攻击源地蠕虫攻击 则需定位目标主机和攻击源地 址情况 可能是内网中存在大量蠕虫病毒 建议杀毒处理 址情况 可能是内网中存在大量蠕虫病毒 建议杀毒处理 1 五 运维报告 月报 五 运维报告 月报 绿盟入侵检测系统 IDS 11 月没有高危事件产生 产生中危事件 17048 次 一般连接性事件 19450 次 下面是产生的安全事件饼状图 IDS 报警事件级别对比饼状图 中级安全事件特征分类图 IDS 系统报警事件数量对比直方图 中危事件分类表 序号中危事件类型发生次数源地址产生原因 1 SCAN UDP 端口扫描 23 正常事件 2 TCP MS Windows 终端 29192 168 27 管理员进行远程操作造 2 服务连接请求 16 成 此事件为正常