安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","对接配置")}}

对接配置

更新时间:2023-05-25

组件包含SIPSTACWPPCSSP

预制条件

产品

版本要求

端口使用说明

SIP

SIP3.0.53及以上版本

SIP访问CSSPTCP4430

STA

3.0.22及以上版本,建议适用与SIP对应的版本3.0.29

STA访问SIPTCP44344304488

CWPP

3.3.38及以上版本

CWPP访问SIPUDP8514

CWPP访问STATCP9981

CSSP

4.0.12

CSSP访问SIPTCP7443

其他说明:

SIP访问CSSPTCP 4430:用于在SIP上登录租户账号时,账号密码不保存在SIP本地,需要到CSSP上确认。

CSSP访问SIPTCP 7443:用于CSSP将资产、租户、角色等信息推送给SIP

CWPP访问SIPUDP 8514:用于同步CWPP收集的主机日志到SIP

CWPP访问STATCP 9981:用于同步CWPP收集的流量到SIPTCP443端口做认证。

STA访问SIPTCP44344304488):用于更新软件版本,同步日志,更新规则库。

配置步骤

配置步骤

  1. 各产品正常部署;
  2. SIPCSSP对接;
  3. CWPP对接SIP/STA

配置过程

步骤1.各产品正常部署

SIP/STA的部署可参考:SIP《用户手册》

CSSP/CWPP的部署可参考:《CSSP4.0.12产品实施指导书》/ CWPP3.2.32产品实施指导书》

步骤2.SIPCSSP对接

  1. SIP平台的场景模式切换成多租户云场景。

登录SIP控制台,在[系统设置/系统设置/通用配置/控制台配置]的页面下,将场景模式的标准场景切换成多租户云场景,点击<确定>保存生效,SIP会到CSSP4430端口上拉取数据。

 

  1. CSSP配置对接SIP

登录CSSP控制台,在[系统/安全感知配置]页面下,添加SIP的地址,如下图所示。

其中:

安全感知平台IP地址:SIPIP地址。

本段IP地址:用于CSSPSIP通信的路由地址,客户自行配置可用IP地址。

说明:

接入前,需保证SIP已经部署上架完成,系统可用,授权充足,且CSSPAFEDR应用运行正常。

SIP能与CSSP的“安全应用管理IP池”进行通讯。

CSSP的安全应用将通报的管理IP网段与SIP进行通信,点击查看“安全应用管理IP池”地址段。

  1. SIP配置静态路由。

查看应用管理IP池的网段后,在SIP上配置静态路由,指向该网段及CSSP的本端IP网段,在[系统设置/系统设置/网络配置]页面下,选择路由配置,正常SIP单臂部署默认路由可达CSSP

SIPCSSP同网段,则下一跳地址为CSSP上本端IP地址,如下图所示。

SIP地址与本端IP不在同一网段时,可填写下一跳网关,保证可回包到SIP。由CSSP的内部机制保障安全应用管理IP池的IP可回包到SIP平台。

SIPCSSP跨三层,SIPCSSP的下一跳地址为对应网段的网关地址,并保证路由可达。

  1. SIP上配置接入CWPP

登录SIP控制台,在[系统设置/设备管理]的页面下,点击<新增>,在设备类型中选择云工作负载保护平台CWPP,填写CWPP的管理IP,如下图所示。

  1. CWPP上配置接入SIP

登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入SIP的管理IP,如下图所示。

  1. STACWPP对接。

登录STA控制台,在[系统/云工作负载保护平台]的页面下,勾选“启用”,开启云工作负载保护平台,接受CWPP的数据转发。

  1. CWPP配置接入STA

登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入STA的管理IP,如下图所示。

  1. STASIP对接。

登录STA控制台,配置SIP的对接,勾选安全检测日志、访问检测日志、审计日志中至少:smbhttpdnsrdp默认同步)日志发送到SIPtcp4430端口。