黑盾安全审计产品售后专题培训(ppt 141页).ppt

黑盾安全审计产品售后培训，福建海峡信息技术有限公司产品中心，索引，1 .简介2 .产品体系结构3。用户管理4。系统配置5。规则管理6。回应对象，7 .资源提取8。引擎配置9。最近访问10。审计浏览11。示例演示12。常见问题，使用1，1。简介，主要使用黑盾安全审核系统(HD-SAS)产品简介入门，体系结构、系统管理、基本配置方法、系统维护等注意事项：“黑盾安全审核系统”的名称将替换为HD-SAS。2 .产品体系结构，2.1。体系结构设计2.2。操作过程2.3。管理方法，2.1。体系结构设计，HD-SAS的审核引擎(代理)通过旁路监控进行网络访问，在核心交换机上设置端口镜像模式或使用TAP分流监控模式，所有生产HD-SAS的审核数据中心(DC)，安全审核引擎都允许所有用户通过交换机与数据库通信HD-SAS中的审核配置中心(CC)具有审核系统的集中配置和管理功能。HD-SAS的审核显示中心(VC)接受用户的查询和浏览命令，并集中输出审核结果，2.2。操作过程，操作过程，2.3。管理方法，当前HD-SAS的所有配置活动都是通过B/S体系结构模式、web进行管理的，只要管理主机具有主流浏览器并且与审核中心正常连接，就可以进行管理。示例：示例:如果在安全审计中心本地模型中进行管理，则只需在浏览器地址栏中输入地址。https:/1 注意:当前支持的浏览器类型包括IE6.0和更高版本、Firefox2.0和更高版本以及Google浏览器。注意:只要操作系统与安全中心通信并且安装软件包，就支持远程操作。3 .用户管理，3.1。权限分割3.2。使用者管理3.3。修改密码3.4。帐户安全性3.5。用户登录，3.1。权限分解，帐户管理员(ACC)系统配置器(sys)系统审计员(audit)系统安全人员(sec)，3.2。使用者管理，3.2.1。登录。用户组管理3.2.3。使用者管理，3.2.1。登录，用户管理员角色用户(acc/acc)，通过web登录，转到用户管理界面，3.2.2。管理用户组，单击用户组列表，删除用户组和执行权限分配任务，单击：添加用户组任务，3.2.2。在“管理用户组”、“输入用户组名称和说明”和“功能权限”下，选择允许用户组操作的功能权限模块。设置成功后，单击确定应用，或单击取消。如果添加成功，则提示框：3.2.2。用户组管理，3.2.3。管理用户(1)、单击用户列表、添加用户组删除和分配权限任务、查看该用户的启用状态，以及3.2.3。用户管理(2)，单击“添加用户”添加用户组任务：3.3。修改密码，登录成功后，用户可以修改自己的密码，然后单击GUI主界面右上角的图标。或者，您可以单击web界面中的图标。用户管理员角色您可以修改用户名和密码。通过web访问，您可以进入用户管理界面进行修改。3.4。帐户安全性，每个登录页面(GUI)可以显示当前登录的用户，以便及时检索。多次故障登录强制关闭锁定系统.，“超时注销时间”，3.5。用户登录(1)、web登录和在浏览器中输入审计中心地址即可。然后输入用户名/密码，用户名和密码请与用户管理员联系：3.5。输入用户登录(2)、GUI登录、需要通过客户端软件登录、审计中心的地址和端口以及用户名/密码。4 .系统管理，4.1。系统配置4.2。管理报告4.2管理预警4.4。备份配置4.5。升级管理，系统管理下的系统配置，4.1。单击“系统配置(1)”。如果右侧界面中的所有参数都已正确填写：则单击后生效。4.1。系统配置(2)，4.2。服务管理，进入“报告配置”，即可相关管理审计中心的审计报告。4.2 .您可以管理报告、转至警报设置和配置警报，如下图所示。4.3 .警报管理，选择，4.4。备份配置(1)，单击备份配置，4.4。备份配置(2)，4.4。备份配置(3)，选择输入说明信息：4.4。备份配置(4)，本地备份记录可以导入到系统中。4.4 .选择备份配置(5)，将备份的信息下载到本地计算机。要将备份的信息恢复回系统，请选择。要删除选定的备份记录，请选中。要将当前配置返回到系统默认状态，请选择。在web管理界面中，选择升级管理的版本升级。4.5 .升级管理，5 .规则管理，5.1。审计规则5.2。入侵检测规则5.3编码策略5.4系统日志警报，单击管理规则。您可以从5.1审计规则(1)、添加规则接口、5.1审计规则(2)、审计规则实例(例如设置客户机地址)1、此行的下拉菜单中选择现有地址对象，如下所示。2，然后单击添加。3，如果需要多个对象，可以选择前面的对象逻辑预算方法，然后再次添加对象。(如下页所示)4，单击进入更多内容设置。5.设定已确认，返回有效，规则会显示在规则清单中。6.继续添加更多规则。导航到5.1审计规则(3)、现有规则、选择相应规则条目、选择和修改规则界面。5.1审计规则(4)，为现有规则选择相应的规则项目第二次单击确定应用，返回。5.1审核规则(5)，通过web界面选择规则，不释放鼠标，拖动以完成规则排序。5.1审核规则(6)，选择一个或多个规则，然后单击并输入备份信息。单击完成使其有效，然后关闭返回。按一下5.1稽核规则(7)、选取汇入规则、浏览备份档案选取视窗显示、决定备份档案位置，然后按一下汇入完成。5.1审计规则(8)，对于配置的规则，可以选择将此规则应用于其他引擎。单击部署规则时，可用引擎条目将弹出。单击“确定”应用。在规则列表中，您可以看到规则已应用。打开5.2入侵检测规则(1)，在下图5.2入侵检测规则(2)、引擎：中选择相应的引擎，选择相应的攻击规则，然后单击应用规则按钮，将入侵检测规则应用于引擎。打开5.3编码策略(1)，编码策略，然后在右侧界面中，单击“添加”按钮，如下图所示。在5.3编码策略(2)、目标IP中存在乱码问题的审计记录的目标IP信息输入说明中，输入自定义说明性信息。在“协议类型”下，输入有关具有乱码问题的审计记录的协议类型字段的信息。对于“编码类型”，请选择相应的编码类型。5.4系统日志预警(1)，打开系统日志预警页，选择5.4系统日志预警(2)，选择记录，然后单击编辑以选择预警任务组。6 .物件管理，6.1。响应对象6.1.1预警策略6.2基本对象6.2.1支持对象类型6.2.2对象管理任务、6.1响应对象、输入对象管理接口对象管理包括响应对象和基本对象、6.1.1预警策略设置、预警行为组添加：启动、6.2基本对象、基本对象管理接口基本对象包括支持对象类型和对象管理任务。6.2.1支持对象类型并进入主对象管理界面。目前支援的物件类型：您可以选取6.2.2物件管理作业，然后选取要管理的物件(例如位址集区)，来检视位址集区清单。选择7资源提取(1)，这是显示当前业务网络中所有数据库资源的自动提取并设置中文映射的功能。进入界面。7.资源提取(2)以“程序名提取”为例，7 .单击以在每页上显示特定信息横幅，如资源提取(3)。7.资源提取(4)、设置、单击：您可以双击每个信息的中文映射，如应用或取消。可以在其他导航信息界面中查看此字段。7.提取数据库名称(5)，单击“提取数据库用户名”以进入界面：7。提取系统用户名(6)，单击提取系统用户名以进入界面。7.运行结果代码提取(7)，然后单击“提取代码结果”以进入界面。8.引擎管理，5.1。引擎列表5.2。引擎管理，8.1。引擎列表，从web界面中的引擎管理转至引擎列表：添加引擎：实际使用几个引擎添加多个引擎。点击，8.2引擎管理，8.2.1。引擎配置向导8.2.2。引擎网络配置8.2.3。引擎系统管理8.2.4。还原默认配置8.2.5。设定接收网路卡8.2.6。设置传入数据库8.2.7行为审核配置8.2.9查看引擎信息，8.2.1引擎配置向导(1)，打开引擎配置边界，8.2.1引擎配置向导(2)，选择配置向导后，您可以选择引擎网络配置(1)、现有引擎图标以管理该引擎。例如：sas42此引擎转至管理页。8.2.2 .选择引擎网络配置(2)，网络管理。您可以转到网卡列表以添加IP地址。选择任意网卡，8.2.2 .进入引擎网络配置(3)，选择网卡，然后单击，将出现IP成功运行的消息。8.2.3。引擎系统管理、进入“引擎配置”的“系统管理”可以通过这几个按钮远程启动和/或停止引擎的服务状态，以及关闭/重新启动引擎硬件。注意：停止服务或关闭引擎可能会导致审计包丢失，因此请小心。8.2.4。还原默认配置，单击还原默认配置以还原系统默认配置，8.2.5。接收网卡设置，开始设置引擎配置的接收网卡：注意:接收网卡是连接交换机镜像或TAP端口的网络端口。8.2.6。接收数据库设置作为引擎配置的“监听数据库设置”:根据提示信息和网络实际情况设置应监听的数据IP地址和端口信息。注意:无需设置用户名/密码，后台已设置。注：“保存”是在规则匹配的数据存储检入处理、规则匹配的数据丢弃处理、8.2.7行为审计设置、移动到“行为审计设置”的“IP设置”过滤器规则中收集默认规则的操作。应监听的行为审核IP地址和端口信息根据提示和网络物理情况进行设置。注意：要侦听多个IP或多个端口，请输入多个端口或IP地址(以逗号分隔)。查看/24或，8.2.9引擎信息，查看系统信息，流程管理，9。最近访问，在web管理界面中，单击保存最近操作的快捷方式“最近访问”下的快捷方式连接即可。10.1。审计浏览，10.1。数据库审计10.2。审计报告10.3。行动审计10.4。攻击审计10.5。系统说明、10.1资料库稽核、10.1.1即时稽核10.1.2联合查询、10.1资料库稽核介面、10.1.1即时稽核(1)，此功能主要完成稽核结果的及时复查，例如警示结果、目前资料库阶段作业、检视稽核资料等。登录到审计导航时，默认情况下将打开实时审计页面。您还可以通过单击左侧参考栏中的“实时审计”(live audit)切换到实时审计页面，如下图所示。10.1.1实时审计(2)、手动刷新当前数据或通过刷新时间自动刷新的起始设置。默认情况下为每个页面显示的信息栏数。【注意：为了获得更好的性能，最好不要将每页的显示栏值设置得太大，一半设置为50个左右。】。10.1.1实时审核(3)使用户可以查看警报级别，如果审核规则中未定义警报规则，则默认情况下警报级别为“中”。如图所示，在10.1.1实时审计(4)中，为10.1.1。您可以选择演示结果(如实时审核(5)，然后双击每个SQL语句以显示该语句的详细信息提示框。10.1.2。查询审计中心后台库中所有数据审计数据的合并查询(1)。10.1.2合并查询(2)，将底部的查询结果导出到excel，以便于数据分析和管理。您可以在10.1.2合并查询(3)、右侧详细列表记录中所需的记录上双击鼠标左键，弹出该记录的“详细信息”，如图：10.1.2合并查询(4)所示。在上述查询条件下，您可以输入审核数据的常规查询条件。作业事件范围：通过下拉菜单选择数据库作业发生的日期/时间范围。“源IP”:填充发生数据库活动的源IP地址。10.1.2。联合查询(5)，“目标IP”:填充发生数据库操作的相应目标IP地址。表格名称：植入与资料库工作发生相对应的表格名称。作业基础：填充与数据库作业相对应的作业方法。数据库用户名：填充发生数据库活动的数据库用户名。工作内容：填入资料库工作的特定内容关键字。10.1.2。合并查询(6)或高级查询选项10.1.2。合并查询(7)，数据库名称：输入与数据库操作相对应的数据库名称。计算机名：填充与数据库操作相对应的计算机名。程序名：填充与数据库操作相对应的程序名。执行时间：填充与数据库活动相对应的程序名。影响栏：填充与数据库操作相对应的SQL操作相对应的影响栏。10.1.2。联合查询(8)、“执行结果”:填充与数据库操作相对应的SQL操作结果(成功、失败、未知等)。引擎别名：填入资料库作业的引擎别名。数据库类型：填充与数据库操作相对应的数据库类型。返回代码：选择数据库服务器返回的错误代码信息。10.1.2。联合查询(9)，“相关表数”:与合成作业内容相关联的表数；返回结果大小：填充数据库服务器响应客户端操作时返回的内容的大小。 source MAC :输入发生警示事件的对应来源MAC位址目的地MAC位址：发生警示事件的对应目的地来源MAC位址，10.1.2。填写合并查询(10)。此外，输出信息栏中显示的字段列、每页显示的栏数、随时间的升序/降序、是否显示绑定变量值、10.2。审计报告、10.2.1报告任务显示10.2.2报告、10.2.1报告任务(1)、报告任务是根据用户需要设置报告结果中包含的内容的时间表。此时间表可以是一次性的，也可以是周期性的，结果报告结果可以是趋势报告或统计排名报告。10.2