【導讀】本公司保留不預先通知客戶而修改本文檔所含內(nèi)容的權(quán)利。本公司僅就產(chǎn)品信息預先說明的范圍承擔責任，除此以外，無論明示或默示，不作其它任何擔保，包括。本手冊中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某種特定用途的擔保。本公司對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損害不負任何賠償責任，包括直接的、間接的、附加的個人損害、商業(yè)損失或任何其它損失。任何組織和個人對本公司產(chǎn)品的擁有、使用以及復制都必須經(jīng)過本公司書面的有效授權(quán)。介紹了SecFox-SAS安全管理中心的操作及使用，涉及如何配置安全管理中心服務器，如何使用管理中心控。握國家信息安全相關(guān)的法律法規(guī)。安全分析人員和安全運維人員需要掌握基本的安全設(shè)備日志等相關(guān)知識。SecFox-SAS安全審計系統(tǒng)以事件分析為核心，以國家各項安全標準以及公認的安全國際標準為線索，綜。絡(luò)安全管理力度的目的。管理人員快速識別安全事故。有“啟動SecFox-SAS服務器”及“卸載SecFox-SAS服務器”和“SecFox-SAS用戶手冊”、“啟動SecFox-SAS

　　

【正文】 性滿足設(shè)定的要求，方可以進行告警動作提示。 規(guī)則的【計數(shù)】設(shè)置不僅進一步的定義了規(guī)則的條件，并且也使得規(guī)則能夠更加明確的識別告警事件，方便了管理員更直接、快速的獲得某一類告警事件的信息。 四、動作頁面： 動作頁面的設(shè)置用于處理當事件滿足規(guī)則的約束條件時，所采取的通報管理員的方式。 目前的動作 提示包括：設(shè)置告警屬性、發(fā)送郵件、發(fā)送 SNMPTrap、發(fā)送短信、發(fā)送程序腳本、電話響鈴、黑白名單操作、案例操作。 選擇不同的屬性動作后，即會在該動作下方顯示動作設(shè)置窗口，用于設(shè)置某個動作的屬性。 設(shè)置告警屬性： 所謂設(shè)置告警屬性是指該條規(guī)則實現(xiàn)了，當事件滿足規(guī)則所設(shè)置條件時，顯示告警的屬性信息，該信息顯示在事件歸一化的告警事件屬性信息中。 告警屬性信息的設(shè)置，通過點擊下拉菜單，選擇相應的告警字段，再根據(jù)需求設(shè)置值，點擊“添加告警字段”按鈕，設(shè)置告警屬性信息。 發(fā)送郵件： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 36 所謂發(fā)送郵件，就是指當事件 滿足該條規(guī)則的設(shè)置條件時，系統(tǒng)將會以郵件的方式提示管理員，某一類 事件已經(jīng)發(fā)生了。在發(fā)送郵件的動作設(shè)置窗口中，需要設(shè)置郵件的收信人 Email 地址、發(fā)送方名稱、郵件主題以及郵件內(nèi)容。 發(fā)送 SNMPTrap： SNMP 的設(shè)置用于設(shè)置告警事件接受服務器。即，當某條告警事件滿足規(guī)則條件和計數(shù)要求時，由指定的服務器接收告警。 設(shè)置頁面如圖所示： 在 SNMP Trap 的字符串設(shè)置文本框中設(shè)置接受服務器的 IP 地址，接收端口和連接密碼。 服務器的相關(guān)信息需要在系統(tǒng)管理的系統(tǒng)配置的服務器配置中進行設(shè)置。 發(fā)送短信： 發(fā)送短信用于設(shè)置當事件滿足該條規(guī)則的條件時，發(fā)送短信信息響應提示。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 37 發(fā)送程序腳本： 當某條告警事件滿足規(guī)則的條件和計數(shù)要求時，服務器端會執(zhí)行設(shè)置的程序腳本動作，提示管理員告警事件的發(fā)生。 設(shè)置頁面如圖所示： 提示：設(shè)置的程序腳本應盡量避免使用對服務器系統(tǒng)有致命影響的腳本語言。 電話響鈴： 電話響鈴用于實現(xiàn)事件滿足規(guī)則條件時，采用電話響鈴的方式提示管理員。 黑白名單操作： 黑白名單操作用于設(shè)置當事件滿足當前規(guī)則的條件時，將該類事件添加到黑白名單中，備份為知識庫存 儲起來，或 者從黑白名單中刪除。 案例操作： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 38 案例操作用于設(shè)置當事件滿足當前規(guī)則的條件時，將該規(guī)則條件約束的這一類事件備份到案例中，存儲為知識庫。 修改規(guī)則 修改規(guī)則的操作與添加操作類似。 在規(guī)則列表頁面選定一條需要修改的規(guī)則，即將該條數(shù)據(jù)前的復選框打勾，點擊工具條中的【修改】按鈕，規(guī)則列表頁面及時更換為規(guī)則的修改頁面。 在規(guī)則的修改頁面，每一修改項的提示文字后都有一個文本框用于顯示該條規(guī)則的基本信息，用戶可以根據(jù)需要直接在相應的文本框中修改數(shù)據(jù)信息。完成頁面的修改設(shè)置后，點擊【確認】按鈕完成規(guī)則的 修改操作。 規(guī)則列表頁面會及時刷新，顯示修改后的規(guī)則信息。 刪除規(guī)則 在事件統(tǒng)計場景列表頁面選定一條需要刪除的事件統(tǒng)計場景，即將該條數(shù)據(jù)前的復選框打勾，點擊工具條中的【刪除】按鈕，彈出確認刪除窗口，頁面如圖所示： 點擊【確認】按鈕即完成該場景的刪除操作。 規(guī)則列表及時刷新，不再顯示已經(jīng)刪除的規(guī)則數(shù)據(jù)。 導出規(guī)則 在規(guī)則列表頁面選定一條需要導出的規(guī)則，即將該條數(shù)據(jù)前的復選框打勾，點擊工具條中的【導出】按鈕，彈出導出確認窗口，如圖所示： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 39 點擊【保存】按鈕，按照頁面提示，選擇保存路徑，將導出文件保存?zhèn)浞莸?當?shù)赜脖P上。 導入規(guī)則 在規(guī)則列表頁面，點擊【導入】按鈕，在規(guī)則列表的工具條和規(guī)則列表之間顯示規(guī)則導入窗口，如圖所示： 點擊“瀏覽”，選擇規(guī)則文件，導入到規(guī)則列表中。 規(guī)則列表及時刷新，列表上顯示新導入的規(guī)則數(shù)據(jù)。 過濾器 過濾器組管理 過濾器管理樹 過濾的左側(cè)顯示過濾器管理樹，過濾器管理用于顯示過濾器組的層次結(jié)構(gòu)。 添加過濾器組 點擊過濾器管理樹上方工具條的添加過濾器按鈕，在過濾器管理樹和工具條之間顯示過濾器組的添加頁面，頁面如圖所示： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 40 用戶按照頁面的文字提示，添加數(shù)據(jù)，點擊確定，完成過濾器組的 添加操作。 過濾器組及時刷新樹結(jié)構(gòu)，顯示新添加的過濾器組節(jié)點。 修改過濾器組 點擊過濾器管理樹上方工具條的修改過濾器按鈕，在過濾器管理樹和工具條之間顯示過濾器組的修改頁面，頁面如圖所示： 用戶按照頁面的文字提示，添加數(shù)據(jù)，點擊確定，完成過濾器組的修改操作。 過濾器組及時刷新樹結(jié)構(gòu)，顯示修改后的過濾器組節(jié)點。 刪除過濾器組 點擊過濾器管理樹上方工具條的刪除過濾器按鈕，完成過濾器組的刪除操作。 過濾器組及時刷新樹結(jié)構(gòu)，不再顯示已經(jīng)刪除的過濾器組節(jié)點。 導出過濾器組 導出過濾器組指將某一指定過濾器組中的全部過 濾器數(shù)據(jù)保存?zhèn)浞莸奖镜赜脖P上。 選定過濾器管理樹上的某一個準備導出的過濾器組節(jié)點，點擊過濾器管理樹上方的工具條中的【導出過濾器組】按鈕，頁面回彈出導出過濾器組提示窗口，如圖所示： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 41 點擊【保存（ S）】按鈕，將導出文件存放到指定位置上。即完成了過濾器組的導出備份操作。 過濾器管理 顯示過濾器列表 鼠標點擊過濾器組節(jié)點，右側(cè)功能顯示頁面顯示該過濾器組下的黑白名單列表。列表數(shù)據(jù)包括過濾器名稱。創(chuàng)建時間、修改時間。 在過濾器列表頁面可以進行過濾器的添加、修改、刪除操作。頁面如圖所示： 添加過濾器 在過濾器列表 頁面，點擊添加按鈕，列表頁面變?yōu)檫^濾器的添加頁面。過濾器的添加頁面包含過濾器和網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 42 屬性兩個 tab 頁，用戶可以通過鼠標點擊選項卡切換不同的設(shè)置頁面。 過濾器的添加頁面如圖所示： 根據(jù)頁面的文字提示信息，輸入相應的數(shù)據(jù)，點擊確認按鈕完成添加操作，如圖所示： 過濾器列表及時刷新，顯示新添加的過濾器數(shù)據(jù)。 修改過濾器 在過濾器列表頁面，選定預備修改的過濾器數(shù)據(jù)，點擊修改按鈕，列表頁面變?yōu)檫^濾器的添加頁面。黑白名單的添加頁面包含過濾器和屬性兩個 tab 頁，用戶可以通過鼠標點擊選項卡切換不同的設(shè)置頁面。 根據(jù)頁面的文字提 示信息，輸入相應的數(shù)據(jù)，點擊確認按鈕完成修改操作 。 過濾器列表及時刷新，顯示修改后的過濾器數(shù)據(jù)。 刪除過濾器 在過濾器列表頁面，選定預備刪除的過濾器，點擊刪除按鈕，完成刪除操作。 過濾器列表及時刷新，不再顯示已經(jīng)刪除的過濾器數(shù)據(jù)。 導出過濾器 在過濾器列表頁面選定一條需要導出的過濾器，即將該條數(shù)據(jù)前的復選框打勾，點擊工具條中的【導出】按鈕，彈出導出確認窗口，如圖所示： 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 43 點擊【保存】按鈕，按照頁面提示，選擇保存路徑，將導出文件保存?zhèn)浞莸疆數(shù)赜脖P上。 導入過濾器 在過濾器列表頁面，點擊【導入】按鈕，在過濾 器列表的工具條和過濾器列表之間顯示過濾器導入窗口，如圖所示： 點擊“瀏覽”，選擇過濾器備份文件，導入到過濾器列表中。 過濾器列表及時刷新，列表上顯示新導入的過濾器數(shù)據(jù)。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 44 第 7 章 報表管理 安全管理人員可以將事件分析的結(jié)果生成報表，作為工作內(nèi)容匯報的一部分提交給相關(guān)部門。 SecFoxSAS 將報表分為 系統(tǒng)預定義報表 和 用戶自定義報表 兩大類。用戶可以方便地自己定義各種復雜的報表，包括報表的內(nèi)容、布局，以及運行調(diào)度設(shè)置，滿足企業(yè)和組織自身不斷業(yè)務發(fā)展的需要。 報表 組 管理 SecFoxSAS 系統(tǒng)的報表管理提供了內(nèi)置的系統(tǒng)預定義組和用戶自定義組兩個報表組。 在系統(tǒng)預定義組中，系統(tǒng)提供了部分內(nèi)置的報表，供用戶直接使用以查看一些通用 條件下 的報表數(shù)據(jù)。 用戶 也 可以在用戶自定組中 根據(jù)需要 定義自己的報表組以及報表數(shù)據(jù) ，以便查看一些特定條件下的報表數(shù)據(jù)。 添加 用戶自定義 組 點擊 用戶自定義 組管理樹上方 工具條中的【添加 用戶自定義 組】按鈕，會在 用戶自定義 管理樹和工具條之間顯示 用戶自定義 組的添加頁面 。 用戶可以根據(jù)文字提示，在提示文字后面的空白文本框中設(shè)置新數(shù)據(jù)信息。設(shè)置完成后，點擊【確認】按鈕完成添加 用戶 自定義 組的操作。 添加操作完成后， 用戶自定義 管理樹結(jié)構(gòu)會及時更新，樹結(jié)構(gòu)上顯示新添加的 用戶自定義 組節(jié)點。 修改 用戶自定義 組 修改 用戶自定義 組的操作類似于添加操作。 用戶需要先指定某一個 用戶自定義 組進行修改操作。 鼠標選定 某一個需要 修改的用戶自定義 組節(jié)點，然后點擊 用戶自定義 組管理樹上方的工具條中的【修改用戶自定義 組】按鈕，在 用戶自定義 管理樹和工具條之間會顯示該 用戶自定義 組的修改頁面。 頁面 中 提示文字后面的文本框 會 顯示該 用戶自定義 組節(jié)點的對應數(shù)據(jù)信息。用戶根據(jù)需要在文本框 直接進行修改，并點擊【確認】按鈕即可完 成修改操作。 完成 用戶自定義 組的修改后， 用戶自定義 管理樹結(jié)構(gòu)會及時刷新，樹結(jié)構(gòu)上修改后的節(jié)點會顯示為新修改的名稱。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 45 刪除 用戶自定義 組 在進行刪除 用戶自定義 組操作前，用戶需要先指定某一個 用戶自定義 組。 鼠標選定該 用戶自定義 組節(jié)點，點擊 用戶自定義 組管理樹上方的工具條中的【刪除 用戶自定義 組】按鈕，完成 用戶自定義 組的刪除操作。 用戶自定義 管理樹結(jié)構(gòu)及時刷新，不再顯示已經(jīng)刪除的 用戶自定義 組節(jié)點。 報表管理 實時分析場景就是管理員根據(jù)不同的需要設(shè)置的實時分析統(tǒng)計條件。在實時分析管理樹上顯示為葉子節(jié)點。通過鼠標點擊場 景，可以在功能顯示頁面查看不同設(shè)置條件下的事件實時分析統(tǒng)計數(shù)據(jù)。 除了系統(tǒng)內(nèi)置的五個實時分析場景外，其他的場景都可以在場景列表中進行添加、修改、刪除操作。 顯示報表列表 所謂報表列表即指某一個報表組節(jié)點下的所有報表 條件 數(shù)據(jù)。 鼠標點擊某個預備查看報表組節(jié)點，右側(cè)功能 頁面 將會以列表的形式及時顯示該 報表 組下的所有 報表 條件 數(shù)據(jù)。 在 報表 列表頁面可以進行 報表條件 數(shù)據(jù)的添加、修改、刪除操作。 添加報表 在規(guī)則列表頁面，點擊工具條上的【添加】按鈕，規(guī)則列表頁面及時更換為規(guī)則的添加頁面。規(guī)則頁面包含【基本信息 】 、【布局信 息】和【內(nèi)容信息】三個分頁， 用戶可以通過鼠標點擊分頁卡實現(xiàn)這三個頁面的切換顯示。 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 46 基本信息： 【基本信息】頁面用于設(shè)置報表的基本屬性信息 ，如上圖所示 。 布局信息： 【布局信息】頁面用于設(shè)置報表的顯示布局，如 下 圖所示： 內(nèi)容信息： 【內(nèi)容信息】頁面用于設(shè)置 事件 報表的顯示內(nèi)容。 是設(shè)置報表數(shù)據(jù)的核心部分，同時也是整個系統(tǒng)的一個非常重要的功能。 在報表的內(nèi)容設(shè)置頁面可以定義報表的 顯示 數(shù)據(jù) 內(nèi)容 ，數(shù)據(jù) 顯示格式，排列順序等。 頁面如圖所示 ： 報表的內(nèi)容設(shè)置的具體操作步驟如下： 選擇預備顯示的數(shù)據(jù)字段，將該 字段前的復選框選中； 網(wǎng)御神州科技 （北京） 有限公司 SecFox 安全審計系統(tǒng)用戶幫助手冊 47 根據(jù)下表要求，在選中的屬性字段行上進行該字段的設(shè)置，定義該字段的值，該字段的名稱，通過設(shè)置列排序，設(shè)置該字段將在列表中顯示的位置，即將在列表的第幾列顯示，是否需要根據(jù)該字段排序，如何排序，是否需要設(shè)置組合等。 用戶根據(jù)自己的特定要求在表中完成設(shè)置即可完成報表的內(nèi)容信息設(shè)置。 報表設(shè)置完畢后，點擊【 確認】按鈕完成操作，報表列表頁面及時刷新，顯示新條件的報表數(shù)據(jù)。 修改報表 修改報表的操作與添加操作類似。 在 報表 列表頁面選定一條需要修改的 報表 ，即將該條數(shù)據(jù)前的復選框打勾，點擊工具條中的【修 改】按鈕， 或者在報表管理樹上直接點擊該報表節(jié)點，報表 列表頁面及時更換為 報表 的修改頁面。 在 報表 的修改頁面，每一修改項的提示文字后都有一個文本框用于顯示該條 報表 的基本信息，用戶可以根據(jù)需要直接在相應的文本框中修改數(shù)據(jù)信息。完成頁面的修改設(shè)置后，點擊【確認】按鈕完成 報表 的修改操作。 報表 列表頁面會及時刷新，顯示修改后的 報表數(shù)據(jù) 信息。 用戶自定義 管理樹及時刷新，顯示修改