安全告警监控快速使用手册

安全监控系统快速使用手册

版本控制

状态标识：C – Created A - Added M - Modified D - Deleted

目录

版本控制 (2)

告警监控平台登陆 (4)

登陆帐号 (4)

WEB登陆方式 (4)

客户端登陆方式（仅监控班使用） (5)

告警分类 (6)

事件-威胁-风险-告警 (7)

漏洞-风险-告警 (9)

配置收集-脆弱性计算-告警 (12)

配置变更-变更状态计算-告警 (14)

告警监控平台登陆

登陆帐号

请各位使用自己帐号登陆后，点击系统右上角密码修改处修改自己帐号密码。

WEB登陆方式

http://10.213.47.5:8080/ISMP

点击首页左上部“信息概览”中的“告警监控”，弹出告警监控窗口，如下图所示：

告警监控分为未处理告警列表和已确认告警列表两个部分。

在告警列表中，点击告警名称，可查看告警的详细信息。

客户端登陆方式（仅监控班使用）

采用客户端方式进行安全监控，可以在告警发送到客户端的同时，产生声音告警。

登陆帐号和使用方法和WEB方式都是一致，

告警分类

事件-威胁-风险-告警

ISMPserver的事件来源是sem的核心引擎，ISMPserver通过其专用的事件端口3021接收并处理事件。

图：事件-威胁-风险-告警流程图

1)接收事件的主要流程：

接收到SEM事件对其进行解析

通过事件的源IP地址、目的IP地址、设备IP地址，去匹配关联到源资产、目的资产、设备资产。在这里，过滤掉未匹配到任何资产的威胁事件。

计算事件的资产风险。对于IDS事件，通过IDS事件中目的资产去关联相应资产上的漏洞，提高目的资产风险。

将事件暂时存放在全局缓冲中

发送事件到响应中心，以及向统计引擎发送实时事件

2)由定时器每5秒对缓冲区的事件进行处理一次。主要功能是将事件发送至KPI处理模块

并对事件进行备份。

3)在kpi处理模块中，首先经过过滤器过滤ISMP事件，且只保留与指标计算相关的事件,

具体主要是需过滤以下五类事件：

windows和unix类主机访问类日志(用户登录/注销,用户切换)

防火墙类配置,登入/登出类日志

入侵检测系统日志

安全网关类日志

APMS系统日志

然后实时评估其事件的风险（实时评估指标一般和事件、漏洞、配置脆弱性以及配置变更相关）。

4)将KPI风险发送到告警模块。如果此风险适合告警，是则添加到告警全局缓冲告警数据

中，由定时每一隔一分钟写一次告警信息到数据库，如果产生风险，则又定时器每分钟写一次数据到风险数据库。

5)在其设定的定时回调函数中对风险时间进行定时的处理。其处理流程和原则大致跟接收

事件中对风险的处理过程相似。

漏洞-风险-告警

进行漏洞扫描前需要对扫描引擎进行配置配置。

1)扫描漏洞通过定制任务实现，有两种实现，一种是通过前台与后台的消息通信实现的实

时扫描，一种是通过前台定制任务并写道数据库，后台通过定时刷新数据库实现的定时扫描。

2)ISMPserver里的漏洞是用扫描器扫描后写到数据库，ISMPserver通过定时刷新数据库来

获得最新的漏洞信息。目前只支持领信扫描器。

3)漏洞扫描必须配置扫描引擎，在一台安装了linux操作系统的机器安装引擎服务器上安

装并启动扫描器引擎。配置扫描器是通过cvms的系统管理的页面来添加的。新建一个扫描器需要配置内外网地址以及引擎的监听端口；通过地址区间可以配置扫描器的扫描的地址区间；通过扫描器参数提供的默认的选项可以配置扫描选项；通过插件升级可以对扫描引擎的插件进行升级，具体扫描器的详细配置可以参照有关的扫描器文档。

4)在cvms页面上通过系统管理的—〉任务调度中心—〉领信漏洞扫描计划，可以定制实

时和定时的任务。在漏洞管理—〉资产漏洞—〉资产列表中，可以定制实时的任务。见任务分解图如下。

5)在漏洞-风险-告警流程图中，在定时器调度漏洞风险计算任务中刷新资产的最新漏洞表。

然后判断资产是否有漏洞，如果没有则删除资产缓冲区中的漏洞信息；有则根据任务ID 和子任务ID号计算漏洞风险，然后发响应中心，并且将本次漏洞计算结果发送至KPI 模块。进KPI进行实时评估。由定时器5秒钟对保存KPI风险及其详细信息函数调用一次，其主要是对KPI信息进行处理然后与数据库进行数据交换更新。

图：任务分解图漏洞风险计算以及产生告警流程图如下：

图：漏洞-风险-告警流程图

配置收集-脆弱性计算-告警

配置收集执行前必须安装代理服务器和代理，并且配置相应的代理去收集。配置步骤如下：

1)启动相应的代理服务器和代理

2)在CVMS页面上系统管理---〉代理管理---〉代理--->新建，添加代理，添加代理时要选

择属于哪个代理服务器，即有哪个代理服务器来驱动此代理，

3)选择配置收集或者是路由器配置收集，输入需要收集的IP地址或IP地址段

4)配置完成之后可以进行检测，如果连接正常就可以定制配置收集任务了。

配置收集的任务分为定时和实时两种

定制配置收集任务，在CVMS页面上系统管理---〉任务调度中心---〉配置收集任务，配置要收集的机器的属于的子网名称以及IP地址，也可以配置资产的名称，之后选择收集类别，下面是任务的调度方式可以是实时也可以是定时。

详细流程：由定时器定时调度刷新获取配置任务。判断是否是定时任务，是定时任务的话则转化任务的执行间隔时间为秒。分析处理范围，主要范围分为两部分，即IP地址段和资产，生成相应的任务，加入任务列表数据中。判断指定的agent的ip地址是否在资产结合的ip 列表中。获取Agent Server相关信息，由任务网络编号和Agent server 网络编号均不为0的时才判断网络是否匹配。根据任务表中配置收集任务或及时完整性扫描请求消息刷新Agent 相关信息。写任务到数据库，向Agent Server发消息。更新其状态。在接收到Agent Server 完整性检查信息后，获取其本次结果的属性和配置项。判断当前的基线是否存在，如果存在则取当前基线的属性和配置项，然后比较本次收集和当前基线的属性，并置标志位，修改其数据的Type属性，通知KPI管理模块。