系统配置
配置概述
配置页面可以,包含了事件检测、资产范围、黑白名单、追踪目标、用户管理等。各个功能模块。
其中由于页面的布局展示的一致,所以新增、编辑、删除的操作都是一致的。只有每个模块的配置项不一致。下面统一介绍后操作方法后,后面主要分别讲解一下配置的内容。
基本操作
新增
- 进入【配置/XXX】页面,在子导航区域选中配置类型。
- 点击配置列表区域的新增按钮,出现配置弹窗。
- 填入信息后,点击“下一步”。
- 二次确认后,点击“提交”。
编辑
- 进入【配置/XXX】页面,在子导航区域选中配置类型。
- 在配置列表区域,找到想要修改的配置条目,点击其操作列“更多”。
- 点击“修改”,触发编辑弹窗。
- 编辑配置内容后。点击“下一步”。
- 二次确认信息无误后,点击“提交”
删除
单条删除
- 进入【配置/XXX】页面,在子导航区域选中配置类型。
- 在配置列表区域中,找到想要删除的配置条目,点击其操作列按钮。
- 点击“删除”,触发删除确认框。
- 点击“确定”。
批量删除
- 进入【配置/xxx】页面,在子导航区域选中配置类型。
- 在配置列表区域中,通过选择框,选择所有要删除的条目。
- 点击表格上方的“批量删除”,出现删除确认框。
- 点击“确定”。
检测规则
事件的配置内容分为两部分。分别是基础配置和规则配置。所有事件类型的基础配置部分都一样,规则配置部分则不同。
基础配置
| 名称 | 必填 | 描述 |
|---|---|---|
| 数据源 | 是 | 规则生效的采集环境 |
| 事件级别 | 是 | 检测的安全事件级别,其中auto_loose和auto_tight都会自动计算告警阈值,不过auto_loose的级别变更灵敏性及较低。 |
| 事件状态 | 是 | 规则检测是否开启 |
| 监控星期 | 是 | 规则生效周期(天) |
| 开始时间 | 是 | 规则在一天中的生效开始时间。 |
| 结束时间 | 是 | 规则在一天中的生效结束时间。 |
| 描述 | 是 | 规则备注 |
黑名单事件
介绍
黑名单事件是在规则生效的时间内,探针检测到了主机有主动外连访问系统黑名单中的设备的行为,并且通讯量超过了设定的阈值。就会产生黑名单安全事件告警。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 最小值 | 是 | 最小阈值 |
| 最大值 | 否 | 最大阈值 |
| 阈值单位 | 是 | 字节量/秒、会话量/秒、包数量/秒。 |
包特征事件
介绍
包特征事件,是通过包内容检测的方式检测出安全事件,其内部包含SQL注入、XSS注入、Code注入、文件包含、CMD注入、WebShell注入、后门利用等多种安全子类型。
此部分由后端设置,前端不涉及配置。
DGA事件
介绍
通过AI模型对域名进行DGA域名相似度评估,当相似度评估值、单位时间内疑似DGA域名的数量超过设定的阈值后即产生告警事件。DGA事件一般是C2通讯的前置行为。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 源IP | 否 | 发起DNS查询的IP |
| 目的IP | 否 | DNS服务器 |
| 最小百分比 | 是 | 查询域名的疑似DGA的概率阈值 |
| 域名数量 | 是 | 5分钟内,疑似DGA域名的数量阈值 |
DNS事件
介绍
DNS事件是指设备存在查询威胁情报库中的危险域名的风险行为。当设备频繁发生查询危险域名时,说明该主机已被黑客控制,或者为内网用户的违规操作。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 查询DNS的IP | 否 | 查询DNS的设备,支持IP段的填写,多个目标可以通过英文逗号分割。 |
| 查询域名 | 否 | 查询的DNS域名,多个目标可以通过英文逗号分割。 |
| 查询次数 | 是 | DNS查询的阈值 |
DNS隧道事件
介绍
DNS隧道攻击是通过DNS查询的方式,建立传输信息的隧道,以躲避防火墙或其他安全防护设备的阻拦。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 查询DNS的IP | 否 | 发起DNS查询动作的IP |
| 域名长度 | 否 | 查询的域名长度阈值 |
| 父域名请求次数阈值 | 否 | 5分钟内,查询的父域名次数阈值 |
| 检出评估值 | 否 | 域名的信息熵阈值,默认值是4 |
DNS隧道机器学习检测事件
介绍
通过AI模型的方式识别DNS隧道行为。通过模型对DNS请求域名进行相似性评估得到评估值,当评估值超出相似度阈值后产生告警。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 查询DNS的IP | 是 | 发起DNS请求的IP,支持IP端的填写,多个IP使用英文逗号分割。 |
| DNS服务器IP | 是 | DNS服务器 |
| 可疑程度 | 是 | 查询的域名有多像DNS隧道,取值为0-99 |
服务器外连事件
介绍
系统对指定服务器设备进行主动外连行为的监控,服务器作为C/S架构的S端,一般不会主动对外发起网络通讯。当发生了主动外连时,服务器很有可能已被控制。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 服务器IP | 是 | 服务器设备 |
| 外联通讯 | 否 | 外部设备 |
| 阈值 | 是 | 通讯流量阈值 |
ICMP隧道事件
介绍
系统检测到在ICMP通讯中,从频率以及包载荷内容中检测到异常,存在传递信息的行为。就会产生ICMP隧道告警。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 源IP | 否 | ICMP通讯的源端,不填写为所有 |
| 目的IP | 否 | ICMP通讯的对端,不填写为所有 |
| 异常载荷内容种类数 | 否 | 在一个5分钟内,一个ICMP通讯中,产生的异常通讯类型(type不等于0和8)的Payload中,不同内容的种类数量,默认为5 |
| 所有载荷种内容类数 | 否 | 在一个5分钟内,一个ICMP通讯中,产生所有的Payload中,不同内容的种类数量,默认为2 |
| 所有载荷长度种类数 | 否 | 在一个5分钟内,一个ICMP通讯中,产生的所有Payload中,其内容长度的种类数量,默认为5 |
| 描述信息 | 否 | 规则备注 |
IP扫描
介绍
IP扫描是信息收集阶段的攻击,攻击者探测一个具体IP的存活端口,寻找注入点。当IP扫描发生时,说明攻击者的目标很明确了。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 探测端口数量阈值 | 是 | 最小扫描端口数量 |
| 扫描源IP | 否 | 扫描源IP |
| 受害IP | 否 | 被扫描IP |
| 协议 | 否 | 支持TCP、UDP、ICMP等协议,默认是选择全部 |
追踪事件
介绍
系统提供对设置的追踪目标进行告警监控,当追踪目标在单位时间内产生的流量超出阈值后就会产生告警。追踪事件的应用场景非常的灵活,例如如果要监控总裁办公室的非工作时间的流出流量,就可以把“总裁办公司设备对外通讯”设置为追踪目标,然后添加到追踪事件中,配置好流量阈值以及规则生效时间即可。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 监控追踪条目 | 是 | 选择需要监控追踪目标 |
| 数据类型 | 是 | 阈值单位:字节量/秒、会话量/秒、包数量/秒 |
| 最小值 | 是 | 最小阈值 |
| 最大值 | 否 | 最大阈值 |
端口扫描
介绍
端口扫描,是信息收集阶段的攻击。针对于一个特定的端口,检测有哪些IP的该端口是存活的。有可能攻击者已经掌握了该端口的某个服务的漏洞。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 探测IP数量阈值 | 是 | 扫描源探测的IP数量阈值最小值。 |
| 被扫描端口 | 否 | 监控的端口 |
| 扫描源IP | 否 | 扫描源 |
| 协议 | 否 | 支持TCP、UDP、ICMP等协议,默认是选择全部。 |
异常服务
介绍
当某台服务器的某个服务一个时间切片内,提供服务的次数超过了设定的端口会话数阈值,就会产生告警事件。在一个稳定的网络环境中,服务的访问量应该也是稳定的,如果骤增则可能发生了攻击行为。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 服务会话数阈值 | 是 | 服务上5分钟内产生的会话量阈值 |
| 服务端口 | 否 | 不填写就是所有的端口 |
| 服务IP | 否 | 不填写就是所有的IP |
| 协议 | 否 | 支持TCP、UDP、ICMP等协议,默认是选择全部。 |
情报命中
介绍
情报事件系统检测到了主机有主动外连访问系统内置的威胁情报设备的行为,并且通讯量超过了设定的阈值。就会产生情报命中告警。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 最小值 | 是 | 最小阈值 |
| 最大值 | 否 | 最大阈值 |
| 阈值单位 | 是 | 字节量/秒、会话量/秒、包数量/秒。 |
URL内容识别
介绍
通过攻击行为的正则表达式与URL进行匹配来检测和防范API攻击、XSS、SQL注入等攻击。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 阈值 | 是 | 匹配的Flow数量 |
| 类型 | 是 | 威胁的类型,如SQL、XSS等。 |
| 正则 | 是 | 威胁语句的正则表达式 |
挖矿检测
介绍
挖矿事件是到在规则生效的时间内,探针检测到了设备存在访问数字货币交易平台、连接矿池、接收挖矿任务、提交任务等典型挖矿行为。
配置内容
无
事件忽略配置
介绍
事件忽略配置是一种更精细化配置的告警白名单,可以指定设备五元组、域名以及事件类型来规避业务误报。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 发起IP | 是 | 攻击设备IP |
| 目标IP | 否 | 受害设备IP |
| 目标端口 | 否 | 受害设备端口 |
| 域名 | 否 | 查询域名 |
| 协议 | 否 | 告警通讯的协议 |
| 描述 | 否 | 描述信息 |
| 周期 | 否 | 忽略配置生效周期(天) |
| 开始时间 | 否 | 忽略配置在一天中的生效开始时间。 |
| 结束时间 | 否 | 忽略配置在一天中的生效结束时间。 |
资产配置
介绍
资产组便于在系统中进行资产轻量管理、标签展示、确认设备身份、设别资产相关事件等。并且只有在配置范围内的IP,才会识别资产信息。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| IP | 是 | 资产组IP范围 |
| 描述 | 否 | 资产组名称 |
| 数据源 | 否 | 资产组所属于的采集环境 |
黑白名单配置
介绍
黑名单配置后会检测黑名单的通讯,产生黑名单类别的安全事件告警。白名单中的设备配置后就不会产生安全事件了。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| IP | 是 | 黑/白名单设备IP |
| 端口 | 否 | 黑/白名单设备端口 |
| 描述 | 是 | 黑/白名单设备描述 |
追踪配置
追踪分组
介绍
追踪分组是方便用户分类管理不同的追踪目标。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 名称 | 是 | 分组名 |
追踪条目
介绍
系统支持对IP、端口以及通讯关系进行追踪观察,并且可以配置相关的安全事件告警,配置参考追踪事件。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 追踪目标IP | 与追踪目标端口必填一个 | 追踪的IP地址 |
| 追踪目标端口 | 与追踪目标IP必填一个 | 追踪的端口 |
| 对端IP | 否 | 追踪的通讯关系中的对端IP |
| 对端端口 | 否 | 追踪的通讯关系中的对端端口 |
| 协议 | 否 | 追踪目标的通讯协议 |
| 追踪分组 | 是 | 所属分组 |
| 方向 | 是 | 追踪通讯关系的流向。ALL:不关注通讯方向。IN:只关注对端 --> 追踪目标的通讯。OUT:只关注追踪目标 --> 对端的通讯。 |
| 数据源 | 是 | 监控目标所属采集环境 |
| 描述 | 否 | 标签描述 |
系统配置
用户配置
介绍
支持修改用户密码、权限、访问数据资源、锁定/解锁等操作。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 用户名 | 是 | 账号 |
| 密码 | 是 | 密码 |
| 重复密码 | 是 | 重复密码 |
| 注释 | 否 | 描述信息 |
| 角色 | 是 | 系统内部具有三种权限的用户:1) Viewer观察员。只能查看数据和修改自身密码。2) Analysis分析员,仅能调整事件的检出规则配置和修改自身密码。3) Admin管理员。拥有系统所有权限。 |
| 是否禁用 | 否 | 是否锁定账户 |
| 资源 | 否 | 用户能够访问的采集环境 |
数据节点配置
介绍
数据节点也就是采集节点的配置,系统部署后有一个默认的采集器配置。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 名称 | 是 | 数据节点名称 |
| 模型 | 否 | 填入IPv4或者IPv6 |
| 创建者 | 否 | 新建配置的人 |
| 注释 | 否 | 描述信息 |
| 端口 | 是 | 发送到分析节点哪个接收端口,注意端口占用 |
| 设备类型 | 否 | 采集流量设备属性描述信息。router: 路由器switch: 交换机mirror:镜像 |
| 数据类型 | 否 | netflow和sflow两种数据格式 |
| 分析节点 | 否 | 采集后的数据发到哪个分析节点 |
| 禁止使用 | 否 | 是否禁用采集器 |
分析节点配置
介绍
分析节点是系统架构中的数据分析层,用来接收采集器采集、解析的数据,并识别特征和告警事件,Server服务器来读取最终的结果数据。
配置内容
| 名称 | 必填 | 描述 |
|---|---|---|
| 名称 | 是 | 数据节点名称 |
| 创建者 | 否 | 填入IPv4或者IPv6 |
| 注释 | 否 | 新建配置的人 |
| IP地址 | 是 | 分析节点的地址,让Server用来读取数据的 |
| 状态 | 否 | disconnect:断开连接connect:连接 |
| 禁止使用 | 否 | 是否禁用分析节点。 |