返回
天眼-威胁分析平台-上线指导

天眼-威胁分析平台-上线指导

ID:12645343

大小:1.11 MB

页数:12页

时间:2018-07-18

天眼-威胁分析平台-上线指导_第1页
天眼-威胁分析平台-上线指导_第2页
天眼-威胁分析平台-上线指导_第3页
天眼-威胁分析平台-上线指导_第4页
天眼-威胁分析平台-上线指导_第5页
资源描述:

《天眼-威胁分析平台-上线指导》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、360天眼-威胁分析平台-上线指导360互联网安全中心360天眼-新一代未知威胁感知系统分析平台上线指导Version1.12014/9/1812360天眼-威胁分析平台-上线指导目录1.系统概述32.产品形态33.系统基本配置43.1.接口与IP43.2.连接方式43.3.网络配置-分析平台53.4.网络配置-分析平台拓展节点63.5.传感器联动配置64.部署需求74.1.机架空间74.2.设备连接互联网(建议)75.典型部署75.1.场景一:单台部署75.2.场景二:集群部署85.3.场景三:集群部署-传

2、感器日志发送给拓展节点96.天擎联动1112360天眼-威胁分析平台-上线指导1系统概述天眼新一代威胁感知系统TSS:ThreatSensitiveSystem(以下简称:天眼)是奇虎360面向下一代未知威胁的精确检测系统,通过动态行为检测、静态模式匹配、半动态行为分析、大数据分析等多项技术实现对APT攻击、0day漏洞利用攻击的精确检测与回溯。2产品形态威胁分析平台:可对传感器发送过来的日志信息进行安全分析,发现网络流量中的可疑行为。分析平台前面板:分析平台接口面板:12360天眼-威胁分析平台-上线指导1

3、系统基本配置1.2.3.3.1.接口与IP◇分析平台在使用时,需要明确3个IP地址1.管理IP:用于通过web对分析平台进行管理2.ESIP:ES绑定的IP地址,该地址主要用于ES集群之间的相互通信3.日志接收IP:用于接收传感器发送日志的IP地址。可以使用分析平台所有接口上的任意IP地址,只要与传感器地址可达即可。三个地址之间并不需要进行严格区分,可以共用同一接口地址,也可以分别配置在不同的接口上。◇接口分析平台上的4个接口并没有功能区分,任意一个接口都可以用来配置管理IP或者ESIP,也可以用来与传感器联

4、动。网卡顺序与硬件的对应关系如下图:3.2.连接方式使用网线将PC的网口与传感器的管理口eth0直连,在PC上使用360安全浏览器极速模式,在地址栏中输入“https://192.168.0.1”并回车(请注意,该地址是以https开头,而非http),然后出现如下界面:12360天眼-威胁分析平台-上线指导威胁分析平台默认用户名/密码为:admin/admin。输入正确的用户名、密码及验证码,点击“登录”按钮即可进入分析平台web管理页面。首次登录会提示强制修改密码(建议更改为密码强度高,方便记忆的密码)。

5、1.1.网络配置-分析平台◇接口及路由配置通过eth0口登录到设备管理页面后,点击页面右上角的配置图标,即可看到网络配置页面。在此页面可进行接口IP以及路由的修改。进行路由管理时,将目标网络/掩码改为0.0.0.0/0,即可添加一条默认路由。◇DNS配置系统默认使用DNS地址为114.114.114.114,若想使用在线升级,请确保在分析平台上配置可用的DNS地址。12360天眼-威胁分析平台-上线指导◇ES配置在网络配置页面,配置ES前,请选好ES要绑定的IP,然后点击初始化按钮。◇时间同步分析平台使用在线

6、升级时,若分析平台本地时间与服务器时间相差5min以上,那么会禁止升级。所以建议用户在使用在线升级功能时,开启时间同步功能。1.1.网络配置-拓展节点◇接口/路由/DNS配置使用默认地址登录到分析平台拓展节点的管理页面后,点击左侧导航栏的网络管理,即可跳转到网络配置页面。在这里可以修改接口地址,配置路由,DNS以及ES信息。◇ES配置客户端:用于指定拓展节点中,ES使用那个IP地址进行通信中心节点:用于指定ES集群的中心节点IP,此处应该填写分析平台ES所绑定的IP。配置好客户端及中心几点之后,点击保存,即可

7、将拓展节点加入到集群中。12360天眼-威胁分析平台-上线指导1.1.传感器联动配置将传感器策略配置中的分析平台IP改为分析平台或拓展节点上的任意IP地址,只要确保传感器和的配置的ip地址可达,即可完成联动配置。默认的分析平台地址为127.0.0.1,修改为部署的分析平台IP或拓展节点地址,点击保存即可。2.部署需求2.1.机架空间一套360天眼系统至少包括2台2U设备(分析平台+传感器),需要机架预留4U的空间(尺寸:高88mmx宽430mmx深660mm),并提供托盘。集群部署情况下需要更大的空间。2.2

8、.设备连接互联网(建议)连接互联网后,分中心可以实时从360的云服务器上下载最新的威胁情报信息,达到实时更新的效果,为您提供最准确/最实时/最全面的保护。为了能够在线升级,建议将分析平台管理IP连接互联网,能够通过80端口访问360.cn(当然也需要能解析360.cn域名)。3.典型部署3.1.场景一:单台部署◇场景描述两台传感器,分别监控不同的网络流量,将日志发送给分析平台。分析平台使用单台部署。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。