更新时间:2023-05-25
组件包含SIP、STA、CWPP、CSSP。
预制条件
产品 |
版本要求 |
端口使用说明 |
SIP |
SIP3.0.53及以上版本 |
SIP访问CSSP:TCP4430 |
STA |
3.0.22及以上版本,建议适用与SIP对应的版本3.0.29 |
STA访问SIP:TCP443、4430、4488 |
CWPP |
3.3.38及以上版本 |
CWPP访问SIP:UDP8514 CWPP访问STA:TCP9981 |
CSSP |
4.0.12 |
CSSP访问SIP:TCP7443 |
其他说明:
• SIP访问CSSP的TCP 4430:用于在SIP上登录租户账号时,账号密码不保存在SIP本地,需要到CSSP上确认。
• CSSP访问SIP的TCP 7443:用于CSSP将资产、租户、角色等信息推送给SIP。
• CWPP访问SIP的UDP 8514:用于同步CWPP收集的主机日志到SIP。
• CWPP访问STA的TCP 9981:用于同步CWPP收集的流量到SIP,TCP443端口做认证。
• STA访问SIP的TCP(443、4430、4488):用于更新软件版本,同步日志,更新规则库。
配置步骤
配置步骤 |
- 各产品正常部署;
- SIP与CSSP对接;
- CWPP对接SIP/STA。
|
配置过程
步骤1.各产品正常部署
SIP/STA的部署可参考:SIP《用户手册》
CSSP/CWPP的部署可参考:《CSSP4.0.12产品实施指导书》/ 《CWPP3.2.32产品实施指导书》
步骤2.SIP与CSSP对接
- 将SIP平台的场景模式切换成多租户云场景。
登录SIP控制台,在[系统设置/系统设置/通用配置/控制台配置]的页面下,将场景模式的标准场景切换成多租户云场景,点击<确定>保存生效,SIP会到CSSP的4430端口上拉取数据。
- CSSP配置对接SIP。
• 登录CSSP控制台,在[系统/安全感知配置]页面下,添加SIP的地址,如下图所示。
其中:
安全感知平台IP地址:SIP的IP地址。
本段IP地址:用于CSSP与SIP通信的路由地址,客户自行配置可用IP地址。
• 说明:
接入前,需保证SIP已经部署上架完成,系统可用,授权充足,且CSSP上AF和EDR应用运行正常。
• SIP能与CSSP的“安全应用管理IP池”进行通讯。
CSSP的安全应用将通报的管理IP网段与SIP进行通信,点击查看“安全应用管理IP池”地址段。
- SIP配置静态路由。
查看应用管理IP池的网段后,在SIP上配置静态路由,指向该网段及CSSP的本端IP网段,在[系统设置/系统设置/网络配置]页面下,选择路由配置,正常SIP单臂部署默认路由可达CSSP。
• 若SIP与CSSP同网段,则下一跳地址为CSSP上本端IP地址,如下图所示。
• 当SIP地址与本端IP不在同一网段时,可填写下一跳网关,保证可回包到SIP。由CSSP的内部机制保障安全应用管理IP池的IP可回包到SIP平台。
• 若SIP与CSSP跨三层,SIP与CSSP的下一跳地址为对应网段的网关地址,并保证路由可达。
- SIP上配置接入CWPP。
登录SIP控制台,在[系统设置/设备管理]的页面下,点击<新增>,在设备类型中选择云工作负载保护平台CWPP,填写CWPP的管理IP,如下图所示。
- CWPP上配置接入SIP。
登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入SIP的管理IP,如下图所示。
- STA与CWPP对接。
登录STA控制台,在[系统/云工作负载保护平台]的页面下,勾选“启用”,开启云工作负载保护平台,接受CWPP的数据转发。
- CWPP配置接入STA。
登录CWPP控制台,在[系统管理/转发配置]的页面下,新增转发设备,填入STA的管理IP,如下图所示。
- STA与SIP对接。
登录STA控制台,配置SIP的对接,勾选安全检测日志、访问检测日志、审计日志中至少:smb、http、dns(rdp默认同步)日志发送到SIP的tcp4430端口。