安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","对接配置")}}

对接配置

更新时间:2022-07-29

组件包含SIP、STA、CWPP、CSSP。

预制条件

产品 版本要求 端口使用说明
SIP SIP3.0.53及以上版本 SIP访问CSSP:TCP4430
STA 3.0.22及以上版本,建议适用与SIP对应的版本3.0.29 STA访问SIP:TCP443、4430、4488
CWPP 3.2.32到3.3.36之间版本

CWPP访问SIP:UDP8514

CWPP访问STA:TCP9981

CSSP 4.0.12 CSSP访问SIP:TCP7443

其他说明:

  • SIP访问CSSP的TCP 4430:用于在SIP上登录租户账号时,账号密码不保存在SIP本地,需要到CSSP上确认。

  • CSSP访问SIP的TCP 7443:用于CSSP将资产、租户、角色等信息推送给SIP。

  • CWPP访问SIP的UDP 8514:用于同步CWPP收集的主机日志到SIP。

  • CWPP访问STA的TCP 9981:用于同步CWPP收集的流量到SIP,TCP443端口做认证。

  • STA访问SIP的TCP(443、4430、4488):用于更新软件版本,同步日志,更新规则库。

配置步骤

配置步骤
  1. 各产品正常部署;

  2. SIP与CSSP对接;

  3. CWPP对接SIP/STA。

配置过程

  1. 各产品正常部署

SIP/STA的部署可参考:SIP《用户手册》

CSSP/CWPP的部署可参考:《CSSP4.0.12产品实施指导书》/ 《CWPP3.2.32产品实施指导书》

  1. SIP与CSSP对接

  1. 将SIP平台的场景模式切换成多租户云场景。

登录SIP控制台,在[系统设置/系统设置/通用配置/控制台配置]的页面下,将场景模式的标准场景切换成多租户云场景,点击<确定>保存生效,SIP会到CSSP的4430端口上拉取数据。

  1. CSSP配置对接SIP。

  • 登录CSSP控制台,在[系统/安全感知配置]页面下,添加SIP的地址,如下图所示。

其中:

安全感知平台IP地址:SIP的IP地址。

本段IP地址:用于CSSP与SIP通信的路由地址,客户自行配置可用IP地址。

说明:

接入前,需保证SIP已经部署上架完成,系统可用,授权充足,且CSSP上AF和EDR应用运行正常。

  • SIP能与CSSP的“安全应用管理IP池”进行通讯。

CSSP的安全应用将通报的管理IP网段与SIP进行通信,点击查看“安全应用管理IP池”地址段。

  1. SIP配置静态路由。

查看应用管理IP池的网段后,在SIP上配置静态路由,指向该网段及CSSP的本端IP网段,在[系统设置/系统设置/网络配置]页面下,选择路由配置,正常SIP单臂部署默认路由可达CSSP。

  • 若SIP与CSSP同网段,则下一跳地址为CSSP上本端IP地址,如下图所示。

  • 当SIP地址与本端IP不在同一网段时,可填写下一跳网关,保证可回包到SIP。由CSSP的内部机制保障安全应用管理IP池的IP可回包到SIP平台。

  • 若SIP与CSSP跨三层,SIP与CSSP的下一跳地址为对应网段的网关地址,并保证路由可达。

  1. SIP上配置接入CWPP。

登录SIP控制台,在[系统设置/设备管理]的页面下,点击<新增>,在设备类型中选择云工作负载保护平台CWPP,填写CWPP的管理IP,如下图所示。

  1. CWPP上配置接入SIP。

登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入SIP的管理IP,如下图所示。

  1. STA与CWPP对接。

登录STA控制台,在[系统/云工作负载保护平台]的页面下,勾选“启用”,开启云工作负载保护平台,接受CWPP的数据转发。

  1. CWPP配置接入STA。

登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入STA的管理IP,如下图所示。

  1. STA与SIP对接。

登录STA控制台,配置SIP的对接,勾选安全检测日志、访问检测日志、审计日志中至少:smb、http、dns(rdp默认同步)日志发送到SIP的tcp4430端口。