360天眼威胁分析平台上线指导

互联网安全中心360天眼-新一代未知威胁感知系统分析平台上线指导Version1.1目录1. 系统概述 32. 产品形态 33. 系统基本配置 43.1. 接口与IP 43.2. 连接方式 43.3. 网络配置-分析平台 53.4. 网络配置-分析平台拓展节点 63.5. 传感器联动配置 64. 部署需求 74.1. 机架空间 74.2. 设备连接互联网（建议） 75. 典型部署 75.1. 场景一：单台部署 75.2. 场景二：集群部署 85.3. 场景三：集群部署-传感器日志发送给拓展节点 96. 天擎联动 11

系统概述天眼新一代威胁感知系统TSS：ThreatSensitiveSystem（以下简称：天眼）是奇虎360面向下一代未知威胁的精确检测系统，通过动态行为检测、静态模式匹配、半动态行为分析、大数据分析等多项技术实现对APT攻击、0day漏洞利用攻击的精确检测与回溯。产品形态威胁分析平台：可对传感器发送过来的日志信息进行安全分析，发现网络流量中的可疑行为。分析平台前面板：分析平台接口面板：系统基本配置接口与IP分析平台在使用时，需要明确3个IP地址管理IP：用于通过web对分析平台进行管理ESIP：ES绑定的IP地址，该地址主要用于ES集群之间的相互通信日志接收IP：用于接收传感器发送日志的IP地址。可以使用分析平台所有接口上的任意IP地址，只要与传感器地址可达即可。三个地址之间并不需要进行严格区分，可以共用同一接口地址，也可以分别配置在不同的接口上。接口分析平台上的4个接口并没有功能区分，任意一个接口都可以用来配置管理IP或者ESIP，也可以用来与传感器联动。网卡顺序与硬件的对应关系如下图：连接方式使用网线将PC的网口与传感器的管理口eth0直连，在PC上使用360安全浏览器极速模式，在地址栏中输入“https://”并回车（请注意，该地址是以https开头，而非http），然后出现如下界面：威胁分析平台默认用户名/密码为：admin/admin。输入正确的用户名、密码及验证码，点击“登录”按钮即可进入分析平台web管理页面。首次登录会提示强制修改密码（建议更改为密码强度高，方便记忆的密码）。网络配置-分析平台接口及路由配置通过eth0口登录到设备管理页面后，点击页面右上角的配置图标，即可看到网络配置页面。在此页面可进行接口IP以及路由的修改。进行路由管理时，将目标网络/掩码改为/0，即可添加一条默认路由。DNS配置系统默认使用DNS地址为14，若想使用在线升级，请确保在分析平台上配置可用的DNS地址。ES配置在网络配置页面，配置ES前，请选好ES要绑定的IP，然后点击初始化按钮。时间同步分析平台使用在线升级时，若分析平台本地时间与服务器时间相差5min以上，那么会禁止升级。所以建议用户在使用在线升级功能时，开启时间同步功能。网络配置-拓展节点接口/路由/DNS配置使用默认地址登录到分析平台拓展节点的管理页面后，点击左侧导航栏的网络管理，即可跳转到网络配置页面。在这里可以修改接口地址，配置路由，DNS以及ES信息。ES配置客户端：用于指定拓展节点中，ES使用那个IP地址进行通信中心节点：用于指定ES集群的中心节点IP，此处应该填写分析平台ES所绑定的IP。配置好客户端及中心几点之后，点击保存，即可将拓展节点加入到集群中。传感器联动配置将传感器策略配置中的分析平台IP改为分析平台或拓展节点上的任意IP地址，只要确保传感器和的配置的ip地址可达，即可完成联动配置。默认的分析平台地址为，修改为部署的分析平台IP或拓展节点地址，点击保存即可。部署需求机架空间一套360天眼系统至少包括2台2U设备（分析平台+传感器），需要机架预留4U的空间（尺寸：高88mmx宽430mmx深660mm），并提供托盘。集群部署情况下需要更大的空间。设备连接互联网（建议）连接互联网后，分中心可以实时从360的云服务器上下载最新的威胁情报信息，达到实时更新的效果，为您提供最准确/最实时/最全面的保护。为了能够在线升级，建议将分析平台管理IP连接互联网，能够通过80端口访问360.cn（当然也需要能解析360.cn域名）。典型部署场景一：单台部署场景描述两台传感器，分别监控不同的网络流量，将日志发送给分析平台。分析平台使用单台部署。Ip地址配置如下：分析平台IP配置Web管理IPeth0:ES绑定IPeth0:与传感器联动IPeth0:传感器IP配置1Web管理IPeth0:分析平台IP传感器IP配置2Web管理IPeth0:分析平台IP拓扑图配置过程修改分析平台eth0的IP在网络配置中，ESIP配置选择eth0上的IP，并点击初始化传感器上，将分析平台的IP配置为1中分析平台的IP场景二：集群部署场景描述由一个分析平台和2个分析平台拓展节点组成ES集群，两台传感器将日志发送给集群中的主节点。分析平台eth0口配置公网IP作为管理口，eth1用来接收传感器日志，eth2配置内网IP用来绑定ES与集群之间的通信，IP配置如下：分析平台IP配置Web管理IPeth0:x.x.x.xES绑定IPeth2:与传感器联动IPeth1:分析平台拓展节点1Web管理IPeth0:ES客户端IPeth0:中心节点IPeth0:分析平台拓展节点2Web管理IPeth0:ES客户端IPeth0:中心节点IPeth0:传感器1Web管理IPeth0:分析平台IP传感器2Web管理IPeth0:分析平台IP拓扑图配置步骤分别配置分析平台的三个接口IP，并将ES绑定在eth2上，初始化ES配置分析平台拓展节点接口IP，ES客户端IP选择eth0口地址，中心节点IP填写1中分析平台ES绑定的IP地址。点击保存。在传感器上，将分析平台的IP地址配置为分析平台eth1口地址。场景三：集群部署-传感器日志发送给拓展节点场景描述如果有多台传感器同时产生日志并发送给集群，在日志量比较大的情况下，建议将传感器的日志分别发送给集群中不同的节点，这样可以达到负载均衡，提升集群对日志的接收能力。由一个分析平台和2个分析平台拓展节点组成ES集群，一台传感器将日志发送给分析平台，另外一台传感器将日志发送给分析平台拓展节点。分析平台eth0口配置公网IP作为管理口，eth1用来接收传感器日志，eth2配置内网IP用来绑定ES与集群之间的通信；拓展节点1的eth0用来绑定ES与集群进行通信，eth1用来接收传感器日志。IP配置如下：分析平台IP配置Web管理IPeth0:x.x.x.xES绑定IPeth2:与传感器联动IPeth1:分析平台拓展节点1Web管理IPeth0:ES客户端IPeth0:中心节点IPeth0:与传感器联动IPeth1:分析平台拓展节点2Web管理IPeth0:ES客户端IPeth0:中心节点IPeth0:传感器1Web管理IPeth0:分析平台IP传感器2Web管理IPeth0:分析平台IP拓扑图配置步骤分别配置分析平台的三个接口IP，并将ES绑定在eth2上，初始化ES配置分析平台拓展节点接口IP，ES客户端IP选择eth0口地址，中心节点IP填写1中分析平台ES绑定的IP地址。点击保存。在传感器1上，将分析平台的IP地址配置为分析平台eth1口地址。在传感器2上，将分析平台的IP地址配置为拓展节点1的eth1口地址。天擎联动分析平台版本开始支持接收天擎终端产生的日志，天擎的日志采集器可以将日志发送给分析平台或者是拓展节点。在开启天擎联动功能前，需要手动登录到分析平台的后台，修改iptables，开放redis6379端口。然后修改天擎日志采集器的配置文件，将日志发送给分析平台。配置步骤如下：登录到分析平台的后台，假设天擎采集器的ip地址为，修改/etc/sysconfig/iptables文件，针对天擎的ip地址开放6379端口。注：请注意添加注：请注意添加iptables的位置，可以添加在22端口策略前面。且一定要明确天擎采集器的ip地址，不能使用任意地址，否则会引入严重安全问题。修改成功后，执行serviceiptablesrestart，然后通过iptables-L查看iptables的6379端口是否已对外开放。配置天擎采集器在天擎采集器