neteye安全运维平台系统v50-培训讲义

NetEye安全运维平台系统培训讲义网络安全事业部东软集团股份目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块综合监控运维管理平台共享经验统计分析决策支持全面直观的系统管理展示掌握运行质量效率合理利用资源强化监控集中管理定位故障快速恢复规范运行管理运维统一运维监管平台多视角落实安全策略制定任务计划出具分析报告提供统一信息安全态势与风险监测服务安全视角业务视角决策视角运维视角平台管理视角业务异常监测告警风险管理预警发布运维管理数据采集实时覆盖整体网络与业务可用性监测安全事件审计关键业务行为感知集中多源数据

统一研判提升预警监测准确率任务处理与响应为用户构建统一的监测预警风险感知产品安装单机部署软硬一体设备，部署方式灵活，不受限制，只要能通过网络访问相应的监控对象即可。部署灵活安全监控运维管理平台局域网反垃圾邮件系统应用系统数据库系统主机系统身份认证系统Web防护系统漏洞扫描系统审计系统防病毒系统入侵检测系统路由器防火墙交换机分布式部署当监控资产数量较多时，平台支持分布式部署，数据采集引擎的部署能够灵活扩充，平台对所有数据采集引擎进行统一管理。灵活扩展安全监控运维管理平台北京上海沈阳南京武汉广州重要术语原始日志：

是指从网络设备、安全设备等系统中发出的原始信息。安全事件：

是指经平台分析后，确认该信息会对系统、网络造成威胁和影响的信息。故障事件：

对设备自身故障的监控，如数据库没有启动、接口down等，生成故障事件。性能事件：

对设备的KPI监控，如内存利用率超过所系统所配置的阈值，生成性能事件。配置事件：

对Linux操作系统进程和端口的监控，如进程down。重要术语（2）智能关联事件：

攻击行为触发预定义的攻击场景模型，系统自动分析日志的结果。脆弱性：

存在于被威胁的客体上（可能是天生就存在的），可被威胁所利用而导致安全性问题。一般指扫描器上报的脆弱性。资产价值：

根据信息安全标准，把资产分级，以量化资产在系统中的重要性。风险：

风险=f(资产价值，脆弱性，事件)。重要术语（3）日志过滤策略：

在收集日志信息的时候，通过定义一组过滤规则，搜集符合规则的日志信息。事件生成策略：

根据归并规则，对于按某些属性值大量重复出现的事件进行合并，在一段时间内，或达到一定数量时，只报告一条归并事件，其中携带归并数目的信息。事件忽略策略：

对于上报的一些对系统没有影响的安全事件，可以采用忽略策略的时间、事件名称和ip等条件进行过滤，忽略的事件不参与风险的计算。系统登录登录方式：

支持IE7/8/9/10/11缺省账号：

超级管理员：admin/1

系统管理员：sysmanager/1

系统审计员：sysauditor/1运维首页快捷访问目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块权限管理用户管理员运维管理员系统审计员自定义角色（细粒度）

自定义权限数据权限用户管理用户锁定与解锁被锁定的用户不能登录SOC系统下面两种方式会将账号锁定超级管理员手工锁定连续6登录失败自动锁定安全域管理机构管理资产管理-概览资产管理-添加资产管理-批量添加资产管理-文件导入资产管理-自动发现资产管理-导出资产管理-自定义资产属性资产管理-报表统计报表生成公告信息目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块Syslog报文

日志发送配置（操作系统）

日志发送配置（网络设备）

日志接收配置

多维度分析

安全事件

事件列表事件详细信息数据分布图攻击关联图基于攻击场景关联分析

攻击场景细粒度的规则定义支持图形和脚本两种定义方式时间窗特性基于资产漏洞关联分析

与资产漏洞关联与资产操作系统关联与资产端口关联基于资产的攻击疑似度计算模型脆弱性扫描

脆弱性查看

事件策略

事件策略2

目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块监控器

针对于同一设备上的不同监控内容，通过多种类型监控器进行监控服务器设备数据库中间件操作系统……中间件监控器数据库监控器操作系统监控器健康度代表监控器不能进行监控，主要原因有设备不能联通或系统配置有误代表监控器工作正常，可以准确监控资产是否出现告警代表监控器异常，无法获取监控数据，主要原因有监控器被停止或监控代理程序出现问题

24小时健康度

创建监控器

锐捷网络设备监控1、登陆锐捷网络设备，开启SNMP访问功能：

(config)#snmp-servercommunity

community

2、登陆统一运维监管平台，建立监控器

锐捷网络设备监控（2）

锐捷网络设备监控（3）

Windows监控-添加SNMP组件打开开始>管理工具>服务器管理器，找到功能摘要标签：

Windows监控-开启SNMP服务配置SNMP只读字符串和允许访问的地址，地址填写，重新启动SNMP服务。

Windows监控1、登陆Windows，开启SNMP访问功能：

2、登陆统一运维监管平台，建立监控器

Windows监控（2）

Oracle数据库监控

Oracle数据库监控（2）

Tomcat中间件监控1、修改Tomcat配置文件，增加下列参数：

set

CATALINA_OPTS=%CATALINA_OPTS%

-Dcom.sun.management.jmxremote

-Dcom.sun.management.jmxremote.ssl=false

-Dcom.sun.management.jmxremote.authenticate=false

-Dcom.sun.management.jmxremote.port=89992、登陆统一运维监管平台，建立监控器

Tomcat中间件监控（2）

监控器报表

性能/故障/配置事件报表

应用拓扑

应用拓扑配置

目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块网络拓扑

获取资产接口

拓扑发现

拓扑修改

拓扑流量事件

性能事件：重点接口流量超出设定的阈值并连续达到设定的次数，将生成性能事件；故障事件：重点接口状态从UP至DOWN，将生成故障事件。

目录1系统概述3安全管理模块2系统管理4主动监控模块6运维工作流模块5网络管理模块拓扑流量事件

发现事件是安全监控运维管理平台的起点，合理处置事件是安全运维监控管理平台的目标。通过平台的工单功能，能够形成发现事件-〉跟踪事件-〉处置事件-〉关闭事件的流程。使得安全事件被真正处理，有效降低用户网络的安全风险。

IT服务处置流程工作流程

事件处置类