TA使用手册(V2.0专用版)
TopSEC安全审计综合分析系统
V2.0专用版
使用手册北京天融信公司
TopSEC安全审计综合分析系统使用手册
版权声明
TopSEC安全审计综合分析系统是由天融信公司自主
开发的专用信息安全产品,其版权受中华人民共和国版权
法保护。
天融信公司拥有本文的全部版权,未经本公司许可,
任何单位及个人不得对本文中的任何部分进行转印、影印
或复印。
信息反馈
天融信公司尽最大的努力保证本手册的准确性和完
整性。如果您在使用中发现问题,希望及时将情况反馈给
我们以完善产品,我们将非常感谢您的支持。
有关网络卫士防火墙最新信息以及防火墙相关技术
文档请登录本公司网站:
https://www.360docs.net/doc/1d15490420.html,
北京天融信公司
北京市海淀区知春路49号希格玛大厦4层,100080
电话:+8610-82611122
传真:+8610-62304552
服务热线:+8610-800,810,5119
https://www.360docs.net/doc/1d15490420.html,
目录
1前言 (1)
2产品概述 (1)
2.1系统组成 (1)
2.2主要功能 (2)
2.2.1 采集多种类型的日志数据 (2)
2.2.2 日志管理 (2)
2.2.3 日志查询 (2)
2.2.4 入侵检测 (3)
2.2.5 自动生成安全分析报告 (3)
2.2.6 网络状态实时监视 (3)
2.2.7 自动生成统计分析报表 (4)
2.2.8 事件响应机制 (4)
2.2.9 集中管理 (4)
3系统运行环境 (4)
3.1系统运行平台 (4)
3.2系统运行的网络环境 (5)
4TopSEC安全审计综合分析系统管理器 (5)
4.1系统 (6)
4.1.1 设置系统参数 (6)
4.1.2 登录系统 (6)
4.1.3 连接/断开服务器 (7)
4.1.4 设置当前用户信息 (7)
4.2功能 (8)
4.2.1 查询日志 (8)
4.2.1.1日志类型查询 (8)
4.2.1.2审计域日志查询 (14)
4.2.1.3日志格式查询 (14)
4.2.2 任务报表浏览 (15)
4.2.2.1导出报表 (18)
4.2.2.2删除报表 (20)
4.2.2.3查找报表 (20)
4.2.3 实时监视 (22)
4.2.3.1安全审计系统监视 (23)
4.2.3.2安全审计信息监视 (24)
4.2.4 本地管理策略 (26)
4.2.4.1用户 (26)
4.2.4.2用户组 (27)
4.2.4.3安全级别策略 (28)
4.2.4.4安全响应策略 (29)
4.2.4.5任务调度策略 (32)
4.2.4.6报表模板 (39)
4.2.5 域管理策略 (40)
4.2.5.1日志收集源 (40)
4.2.5.2日志代理策略 (41)
4.2.5.3安全级别对应关系 (44)
4.3查看 (45)
4.3.1 工具栏 (45)
4.3.2 关闭所有窗口 (45)
4.4工具 (45)
4.4.1 日志实时监控 (45)
4.4.2 历史数据库管理 (49)
4.5信息 (52)
4.5.1 审计系统信息 (52)
4.5.2 帮助手册 (52)
4.5.3 审计管理器信息 (52)
1 前言
在企业的安全解决方案中,通常会集成多种网络安全产品。这些安全系统在工作过程中将有针对性地记录各种网络运行日志,这些日志对于监控用户的网络安全状态,分析安全发展趋势,有着重要的意义,是用户网络安全管理的重要依据。但是,由于各网络安全产品一般独立工作、各自为战,产生的安全事件信息也是格式不一,内容不同,且数量巨大,导致安全管理员难于对这些信息进行综合分析,对网络中各种安全事件也就无法准确识别、及时响应,以致直接影响整个安全防御体系效能的有效发挥。
天融信的TopSEC综合安全审计系统(TopSEC Auditor)是一个分布式、跨平台的网络安全审计系统。它可以对安全系统、网络设备、操作系统、应用系统等产品和系统的日志信息进行统一收集、集中存储,并采用先进的智能信息处理技术对各种日志信息进行综合分析。通过跨平台的日志收集、实时事件监控、自动威胁响应和全面的安全状态分析等手段,TA 系统为用户及时发现安全风险,掌握自身的安全态势,提高安全管理成效提供了有力的技术武器。
不仅如此,TopSEC安全审计综合分析系统还可为打击网络犯罪提供一种有效的信息取证依据。
TopSEC安全审计综合分析系统做为一个独立的软件,和公司防火墙系统等安全产品功能上互相独立,但是同时又能互相协调、补充,共同组成一个完善的安全体系。
2 产品概述
2.1 系统组成
TopSEC安全审计综合分析系统主要由安全审计中心、中央数据库、审计统管理器四个部分组成:
安全审计中心:管理系统的审计策略,监视、存储、统计、分析全网内各类日志数据。
中央数据库:集中存储各种日志数据的高性能数据仓库。
审计管理器:方便、直观的用户界面,为用户提供统一的全局安全审计视图。
2.2 主要功能
[注意]
TopSEC安全审计综合分析系统专用版是为收集防火墙设备日志专门设计的,所以专用版审计服务器只支持防火墙相关的功能,包括查询、报表、监视、响应策略等,请注意。如果需要更强大的审计功能,请购买TopSEC安全审计综合分析系统正式版,谢谢!
2.2.1 采集多种类型的日志数据
系统能采集多种日志类型,包括:
防火墙系统日志,
如天融信的NGFW系列产品、CISCO 的PIX系列防火墙、NETSCREEN的系列防火墙产品、NETFILTER和IPCHAINS免费防火墙等。
2.2.2 日志管理
多种日志格式的统一管理。TA可以自动将其收集到的各种日志格式转换为统一的TLF日志格式,便于对各种复杂日志信息的统一管理与处理
基于一定策略对日志数据进行分类、筛选,最大效率保存日志数据到数据库
支持日志数据从数据库的自动导出、导入存储日志记录到日志数据库、删除日志、备份日志、恢复日志、转发日志给上级审计中心。
2.2.3 日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
基本查询。根据用户、源、目的地址和端口、协议、事件类型、危险级别等字段简单查询日志数据
相关查询。根据一条日志记录,查询和这条日志记录相关联的其他日志记录。如:根据Web服务器日志中的一条安全事件记录,可以查询出同一攻击者主机在路由
器、防火墙、ids等系统上的相关安全记录。
基于连接的查询:还原TCP协议族中的HTTP、FTP、TELNET、SMTP基本服务会话的过程。直观地显示给管理员。
2.2.4 入侵检测
基于主机的入侵检测
针对特定平台的代理充分利用了基于主机的各种入侵检测技术来收集特定主机上
的安全事件信息,从而在应用级协议上达到对入侵行为进行检测。
基于特征检测的内容分析
使用工业界已经十分成熟的特征检测技术对各种设备及系统产生的日志内容进行
分析,发现其中隐含的安全事件。
基于分布式数据的相关性分析
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
2.2.5 自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件(如每隔一段时间)自动地产生、提交给管理员。报告的类型主要分下面几种:
按攻击来源者排列的安全报告
按被攻击者排列的安全报告
按时间、日期排列的安全报告
按危险级别排列的安全报告
按攻击类型排列的安全报告
按协议类型或端口号排列的安全报告
2.2.6 网络状态实时监视
主要监视的内容有:
日志数据库状态
日志数据库是否处于活动状态、数据库当前容量、磁盘空间使用状况、内存使用情
况、CPU使用状态
TopSEC安全审计综合分析系统自身的监视
和各个AGENT的连接是否正常,CPU、磁盘、内存的使用状态,数据库容量大小
等。
2.2.7 自动生成统计分析报表
统计网络状况,并输出统计报告。报告的输出可以根据预先定义的条件(如每隔一段时间)自动地产生、提交给管理员。统计分析报表的类型主要有下面几种: 防火墙或VPN使用统计
用户行为统计
总体网络活动统计
2.2.8 事件响应机制
当检测到安全事件时,采用的响应方式有:
EMAIL告警
WINDOWS控制台告警
与支持TOPSEC协议的防火墙进行联动,同时将与支持OPSEC协议的防火墙进行联动做为一个可选项。
向外部支持SNMP协议的网络管理系统发送告警信息。
通过铃声、手机短消息告警等。
审计跟踪攻击者。例如查询对方的ISP信息,所在地理位置等。
2.2.9 集中管理
系统通过提供一个统一的集中管理平台,实现了对日志代理、安全审计中心、日志数据库的集中管理。
3 系统运行环境
3.1 系统运行平台
代理程序运行平台:各种被支持的主机及网络安全设备。
安全审计中心、日志数据库:WINDOWS NT/2K/XP
日志数据库系统:MS SQL SERVER2000以上版本。
TopSEC安全审计综合分析系统管理器运行平台:WIN98/NT/2K/XP操作系统平台上。
3.2 系统运行的网络环境
TopSEC安全审计综合分析系统作为天融信网络安全整体解决方案中的重要组成部分,可以与支持TOPSEC安全协议标准的各种网络设备及安全设备实现无缝整合,典型的应用环境如下:
WAN
密钥服务器
TA在TOPSEC安全解决方案中的作用
4 TopSEC安全审计综合分析系统管理器
系统通过提供一个统一的集中管理平台,实现了对安全审计中心、日志数据库的集中管理,具体包括:
集中管理本系统审计策略。添加、删除、修改、分发、保存审计策略。
系统中用户管理,包括登陆验证、权限管理等。
数据库系统的管理。
4.1 系统
4.1.1 设置系统参数
打开TOPSEC综合安全审计系统管理器,点击“系统”-“设置服务器参数”,或者点击工具栏中的“设置”快捷按钮,如下图所示:
在弹出的“设置服务器”窗口中输入审计中心的IP地址,以及审计中心端口(默认为5001,可以根据用户服务器端口的配置而更改),点击【确定】即完成设置。
4.1.2 登录系统
设置完系统参数后,点击“系统”-“连接服务器”,或者点击工具栏中的“连接”快捷按钮:
在弹出的如下窗口中输入系统预设的管理员用户名/密码:superman / talent :
点击【确定】后,管理员就可以成功登录到系统中了,如下图,工具栏的所有快捷按钮变为彩色可用。各快捷按钮的详细列表请参见4.3.1工具栏章节
在管理器屏幕的右下角,显示了当前用户的名称,例如“管理员:superman”。
4.1.3 连接/断开服务器
在管理器的主界面中,点击“系统”-“断开服务器”,或者点击工具栏中的“断开”快捷按钮,如下图:
当前管理器与服务器的连接断开,管理员自动注销。
4.1.4 设置当前用户信息
点击“系统”-“当前用户信息”,弹出如下窗口:
用户可以查看和修改其中的信息,包括:
用户名称
隶属组(这项不能修改,查看信息需点击“!?*”标记按钮。有关隶属组更多设置信息请查阅4.2.4.2用户组章节)
email地址
手机
登录IP地址范围:用户的IP地址只有在该地址范围内,才有登录权限。
描述信息
设置密码
【注意】修改过的信息在该用户下一次登录时生效。
有关用户设置更多信息请查阅4.2.4.1用户章节
4.2 功能
4.2.1 查询日志
系统提供按日志类型、日志格式两种方式查询日志。
要使系统能收集并查询到相关设备的日志,必须先设定日志收集源(具体操作请参见4.2.5.1日志收集源部分)和日志代理策略(具体操作请参见4.2.5.2日志代理策略部分)。
4.2.1.1 日志类型查询
目前,系统提供对防火墙日志和审计系统日志共十种日志类型的查询。
点击系统主菜单中的“功能”,在其下拉菜单中点击“日志查询”,如下图:
在左边工作区出现日志查询的菜单界面,如下图:
双击要查询的日志类型,例如,双击防火墙日志,右边工作区就会成为Windows event 日志查询区域。如下图:
当然要调出右边工作区,也可在点击主菜单中的“日志查询”,从下拉菜单中选择需要查询的日志类型。例如选择防火墙日志,结果如上图。
在防火墙日志查询区域中点击鼠标右键,在弹出的如下框中,点击“查询日志”:
系统会弹出如下图的“查询条件”窗口:
用户可以按照查询界面提供的各种条件进行组合查询。每次查询完成,查询条件都会被保存,也就是说下次再查询此类日志时系统,弹出的查询条件界面将显示上一次输入的查询条件。
这里需要【注意】的是:
1、因日志类型不同其查询条件也不径相同;
2、为减轻服务器负担,查询的记录范围一次不要超过10000条;
3、选择“全封闭时间段条件”进行查询,是指查询出“起始日期:起始时间”到“结束日期:结束时间”闭区间段内的所有记录;如果不选择该项,查询出的记录是“起始日期”到“结束日期”区间段内的从“起始时间”到“结束时间”这时间段内的所有记录。
如上图,选择“全封闭时间段条件”进行查询,结果如下:
在查询结果中选择一条记录,双击鼠标或点击鼠标右键,在以下窗口,点击“详细信息”,如下图:
日志详细信息显示在日志详细信息窗口:
用户可以查看到当前日志的“日志详细信息”,也可通过点击上下箭头,查看上一条或者下一条日志的详细信息。
若需再次查询日志,可以在日志查询区域任一处点击鼠标右键,在弹出的如下窗口中点击“查询日志”,旧的查询结果将会被新的查询结果所覆盖。也可先在如下窗口中点击“清空列表”,清空旧的查询结果后,再点击“查询日志”,得到新的查询结果。
在日志查询中,系统还提供了“相关查询”功能。使用该功能,可以引用时间和空间上的关联性,使管理员能了解到更多的信息。
比如:一个攻击者可能同时对多个网络中的服务器攻击,如果单个地分析每个服务器上的日志信息,不但工作量大,而且很难发现攻击;如果,将多个服务器上的日志关联起来,很容
易就发现攻击的行为。
选中一条记录,点击鼠标右键,在弹出的如下窗口,点击“连接查询”,可以查询出与当前日志相关的所有日志:
4.2.1.2 审计域日志查询
在此可按审计域进行日志的查询。
点击系统主菜单中的“功能”,在下拉菜单中点击“日志查询”,或者点击快捷方式中的“日志查询”图标,系统弹出日志查询的左边工作区。
在日志查询左边工作区点击“审计域”页签,如下图:
按审计域查询日志的具体方法同日志类型查询,请参考4.2.1.1日志类型查询部分。
4.2.1.3 日志格式查询
在此可按日志格式进行日志的查询。
目前,系统支持的日志查询类型有:安全产品包中的Topsec防火墙日志。
点击系统主菜单中的“功能”,在其下拉菜单中点击“日志查询”,或者点击快捷方式中
的“日志查询”图标,系统弹出日志查询的左边工作区。
点击“日志格式”页签后左边工作区会变成日志格式查询区域,如下图所示:
按日志格式查询日志的具体方法同日志类型查询,请参考4.2.1.1日志类型查询部分。
4.2.2 任务报表浏览
在此可浏览任务调度中生成的统计报表。
要生成统计报表,需在“4.2.4.5任务调度策略”建立任务,待任务成功执行后,就可以在此浏览到相关报表。
下面我们详细介绍此部分的具体操作方法。
在TA管理器“功能”菜单中点击“任务报表浏览-统计报表”或在工具栏中点击“任务报表浏览”快捷按钮,即可进入“任务报表浏览”界面。
系统提供了按任务名称、报表类型、日志源三种方式来分类浏览报表。
按任务分类浏览:列出系统已执行完的全部报表任务名,选择一个任务后列出此任务的所有报表结果。
如下图,在“任务报表浏览”界面左侧的“任务分类浏览”窗口列表显示了系统已执行完成的所有报表任务名,点击其中一个任务,在“任务报表浏览”界面右侧的“报表浏览”窗口显示了该任务对应的所有报表。
按报表类型分类浏览:TA在本版本中只提供防火墙日志类型的所有报表结果。
如下图,在“任务报表浏览”界面左侧的“日志类型分类浏览”窗口列表显示了系统当前支持的所有日志类型,点击其中一类日志类型,在“任务报表浏览”界面右侧的“报表浏览”窗口显示了该日志类型对应的所有报表。