首先将设备开机,用网线接设备的eth0口,将电脑网卡的IP配置成10.251.251.253,界面如下。
打开浏览器,输入https://10.251.251.252,即可到登录界面,输入设备出厂默认的账号密码admin/admin,界面如下。
检查序列号,若序列号授权开启不对,可联系深信服工程师。位置[系统设置/系统设置/序列号设置]。
配置网口ip用于管理及接收探针数据。(非eth0口需要先接上网线启用网口再配置ip地址,状态为启用)。位置[系统设置/系统设置/网络配置]。
配置路由信息,位置[系统设置/系统设置/网络配置]。
负责人新增。
在配置资产组前,先定义<人员>,用于配置资产组时可选择负责人信息。
定义资产入库、离线、退库等条件。
按需求,存在动态IP选择否,开启自动识别资产,入库审核选择所有资产组,开启风险识别,将设置超时时间为1小时。资产退库时间设置为1天指定的组为所有资产组。数据更新选择为立即更新。
配置[资产]定义内网的服务器IP范围和终端IP范围分配到资产组中。需要将内网的IP范围都配置完整,不在资产组或内网IP范围内部中的IP会通过探针的自动识别确认是否为内网IP地址,其余的会认为是互联网IP。不能配置0.0.0.0-255.255.255.255将所有IP地址都定义为内网IP段。
完成资产组的配置,将内网的资产都配置到资产组中,需要注意:标签,接入设备,IP属性以及IP范围的配置。
对STA_1的外网服务器区,配置接入设备为STA_1,IP属性为服务器,IP范围为192.168.200.0/24。
对STA_2的内网服务器区,配置接入设备为STA_2,IP属性为服务器,IP范围为192.168.100.0/24。
对STA_3的用户区,配置接入设备为STA_3,IP属性为终端,IP范围为192.168.10.0/24。
更多高级选项接场景需求配置。
其中:
地址位置:将为分支时,可以配置地理位置,用于在大屏展示使用;
责任人:资产组的负责人,当有安全事件时,可以用于联系;
访问权限:资产组的访问权限,仅可访问内网或仅可访问外网。
通过以上部署配置完成资产组,再新增配置业务的名称,定义业务的重要级别,责任人,主机名,操作系统等信息,配置完成后确定。正常情况下建议只配置完成资产组,后续将探针配置完成接入平台后进行自动发现资产,若客户已有资产信息,可以导入资产。
特征库升级设置
将接口IP、路由配置完成安全感知平台能连接互联网,或能连接升级服务器。
深圳服务器:update1.sangfor.net
上海服务器:update2.sangfor.net
备用服务器:update3.sangfor.net
必须将所有特征库更新到最新,否则可能影响检测效果。
其中文件威胁特征库(即病毒库)需要进行离线升级。下载地址:
路径:自助服务/软件下载/安全感知平台SIP/内置规则库
当有深信服设备AC,EDR,SSL,WAC,DAS,BBS,需要在SIP上进行配置。配置的具体部署可以参考帮助文档。
邮件或者短信告警
在[系统设置/系统设置/通用配置/邮件配置]中配置后续发送告警的邮箱信息,可支持加密或明文的邮件协议。
在[系统设置/系统设置/通用配置/短信配置]配置后续发送告警的短信信息,可支持阿里云,腾讯云与短信猫。
告警策略与报告推送配置
配置完成发送告警的邮件或短信配置后,再配置告警策略,接收告警的人员信息与资产中心人员信息复用。位置[全告警/告警策略]。
配置策略名称,检测的IP地址,可选择使用邮件告警或者短信告警,告警中,安全事件,外部高危攻击,脆弱性三者不能与接入设备告警同时配置,若需要使用接入设备告警,需要单独再配置一条策略。
告警中心不仅可以发送告警信息,还可以推送报表,包括日报,周报,月报,以及脆弱性感知报告和外部威胁感知报告。
若对告警信息需要详细配置,可点击<高级设置>进行配置。
其他注意事项:
SIP内置DNS,无需配置;
SIP的威胁情报库、特征库更新需要联网,建议开放设备的上网权限;
STA的特征库是通过SIP下载更新的,只需要保证SIP能连接外网即可;
探针内网IP识别机制:
IP访问DNS服务器的源IP和目的IP前两个网段相同。如192.168.0.0/16,前两个网段为192.168。
用户配的内网网段,该网段内的IP都为内网IP;
前三段网段相同 C->S的源IP与目的IP;
访问公有DNS服务器比如114和8网段的源IP;
访问TOP100网址的源IP;
已知私有IP网段,如192.168网段,10网段;
被搜索引擎爬取的IP;
Netbios,DHCP等内网协议的IP。
建议使用Chrome浏览器访问!
