安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.65
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","STA_1配置步骤")}}

STA_1配置步骤

更新时间:2022-07-29
  1. 首先将设备开机,用网线接设备的EHT0,将电脑网卡的IP配置成10.251.251.253,界面如下。

1

  1. 打开chrome浏览器,输入https://10.251.251.251,即可到登录界面,输入设备出厂默认的账号密码admin/admin,界面如下。

  1. 网口配置

包括管理网口,与镜像网口,管理网口的类型必须选择“路由”区域为管理区,并配置对应STA的IP地址,用于管理以及上数据到SIP。STA需要连接SIP的TCP(443,4430,4488)三个端口。

镜像口,类型需要选择“旁路镜像”,所属区域需要配置为“镜像区”,当未配置为镜像区时将检测不到日志。

  1. 路由配置

探针的路由用于与SIP跨网段通信以及运维管理。

  1. 配置自动识别功能。

STA可上将日志与资产信息到SIP,开启自动识别时,STA将识别资产,并上传到SIP,若关闭自动识别,SIP若在资产配置中勾选了自动识别功能,也可以通过日志识别资产。是否为资产最终是由SIP上的配置决定。

建议探针上的自定义内网服务器IP组与自定义内网终端IP组留空。如下图。

  1. 违规访问

违规访问中包括白名单和黑名单两类,其中白名单主要是非白即黑的模式,对于目标IP(组)已开放的服务,只允许白名单列表中的IP(组)在指定的时间内访问,其他范围外的访问均被识别为违规访问,在管理严格安全控制措施清晰的场景下推荐先配置白名单在配置黑名单;黑名单属于非黑即白的模式,对于明确对目标IP(组)已开放的服务,禁止黑名单IP(组)在指定的时间内访问,在管理一般安全控制措施不清晰的场景下,推荐先配置黑名单再配置白名单。

命中白名单的会产生正常访问日志,命中黑名单的会产生违规访问日志,违规访问列表中的黑白名单按照自上而下的匹配顺序单次命中,即匹配了上一条就不会继续往下匹配。其中STA默认有一个白名单。可以根据实际情况再定义合法的访问(白名单)和非法的访问(黑名单)。

  1. 安全策略配置

必需要启用否则不记录安全日志,对使用非标准端口的协议,需要手动定义,如http使用了81端口。ftp、mysql、telnet、ssh协议相似。

若需要使用“主动IP扫描”时需要与客户进行确认,是否可以发起扫描,避免被通报。

  1. 对接SIP配置,在性能足够时,建议使用高级模式接入到SIP,可有更多的原数据进行安全事件分析。

若客户有https协议需要审计时,需要导入对应https的私钥,对流量数据进行解密。

说明:

在镜像流量时,尽量与客户沟通镜像交换机的下联口,才可检测到主机之间的横向流量。