安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","金融态势感知平台对接")}}

金融态势感知平台对接

更新时间:2024-02-01

SIP检测到的安全事件作为数据上报金融态势感知信息,实现数据更大价值。金融态势感知平台包含上报数据管理、机构管理、自动上报策略和共享情报接入。

上报数据管理  

[响应工具箱]的页面,选择金融态势感知平台对接,点击<查看详情>,跳转至金融态势平台对接页面。

上报数据的查看

[上报数据管理/总览]页面下,管理员可以查看当前已上报数据条数、待上报总数、上报趋势以及数据统计等,如下图所示。

[上报数据管理/数据详情],可以查看上报数据的详细信息,包括上报的数据类型、上报时间、上报状态、攻击源目IP/端口等。

点击<…>,可以设置当前页面展示的所有列,可以根据客户需求进行页面展示的编辑。

上报数据的筛选

支持通过支持筛选功能,进行上报数据的查看与编辑,支持以下方式筛选:

  1. 支持不同数据类型进行筛选,当前支持网络攻击数据、DDOS攻击数据、病毒感染数据、防病毒安装数据、恶意邮件数据、反垃圾邮件数据、钓鱼网站/假冒APP数据进行筛选,展示在不同的页面。

  1. 支持通过时间进行筛选,当前支持最近30天、最近7天、最近24小时以及自定义。
  2. 点击<更多筛选>,支持通过字段进行筛选,如下图所示。

  1. 若勾选“显示脱敏数据”,开启后,页面上将明文显示已脱敏的数据,但不影响上报时的脱敏。

上报数据的编辑与处置

  1. 选择对应的上报数据,点击<编辑>,可以进行编辑的操作,如下图所示。

  1. 点击<发送>,可对勾选的上报数据进行上报处理,支持批量处置;点击<全部发送>,可以上报全部数据。

  1. 点击<删除>,可以对上报数据进行删除的操作,支持批量处置。

  1. 点击<日志>跳转到“日志检索”查看详细的日志内容。

上报数据的导入与导出

管理员可以点击<导入>,下载示例文件,进行数据编辑后,选择文件进行数据的导入,导入的数据会在列表展示,如下图所示。

管理员点击<导出>,可以导出上报数据,默认导出所有数据,格式为xlsx

机构管理  

机构管理包含本机机构、上级机构和下级机构。按配置步骤如下:

本机机构

在进行其他配置之前需要先配置本机机构,如下图所示。

本机构编码:按人行要求,配置本机构编码(必填);

本机构简称:按本机构的名称如实填写(必填);

机构所属地区:配置当前机构所在的地理位置;

本机构类型:确认当前机构属于总部还是分部。

启用人行数据转换:将安全日志转化为人行规定的七类数据格式,若关闭,则不转换,并且关闭自动上报。

上级机构

SIP检测到的安全事件数据进行上传,仅支持配置一个上级机构,不仅支持下级将数据上报给上级,还支持下级拉取上级的数据,如下图所示。

上级机构类型:可按项目需求进行选择“**银行总行”或“**分行或其他机构”;

数据上报配置:主要是将数据上报给上级,当上级为“**银行总行”时,支持Https APIkAFka两种方式上报;当上级为“人行分行或其他机构”也支持Https APIkAFka两种方式上报。

需要填写对接机构的地址与端口信息。包括对接的IP地址,对应的主机名可以自定义,选择kAFka方式上报的时候默认端口使用tcp9092端口,可以新增多个接收服务器(比如集群场景),并支持删除;;选择HttpsAPI方式上报的时候默认端口使用tcp7443,用户名和密码与上级机构保持一致。

数据下拉配置:主要是获取上级数据,当上级为“**银行总行”时,支持Https APIkAFka两种方式拉取;当上级为“**分行或其他机构”且为其他厂商设备时,支持Https APIkAFka两种方式拉取;当上级为“**分行或其他机构”且为SIP时,仅支持Https API方式拉取,不支持kAFka方式。

需要填写对接机构的地址与端口信息。包括对接的IP地址,对应的主机名可以自定义,选择kAFka方式上报的时候默认端口使用tcp9092端口,可以新增多个接收服务器(比如集群场景),并支持删除;;选择HttpsAPI方式上报的时候默认端口使用tcp7443,用户名和密码与上级机构保持一致。

下级机构

如果本级机构需要接入下级机构的时候,需要添加下级机构,点击<新增>,分别输入“下级机构简称”、“下级机构编码”、“下级机构IP”、“内置认证账号”、“内置认证密码”,选择“传输协议”,勾选“接收的数据类型”等内容。如下图所示。

其中,

下级机构简称:按下级机构的名称如实填写(必填);

下级机构编码:按人行要求,配置下级构编码(必填);

下级机构IP要接入的下级机构SIPIP地址(必填)

传输协议:选择Https API或者kAFka,注意1U设备暂时不支持通过kAFka接收下级数据;

设置认证账号:使用Https API时预分配的认证账号;

设置认证密码:使用Https API时预分配的认证账号密码;

接收数据类型:可以按需勾选包括:网络攻击数据、DDOS攻击数据、病毒感染数据、防病毒安装数据、恶意邮件数据、反垃圾邮件数据、钓鱼网站/假冒APP数据、资产数据等。

自动上报策略  

当配置好机构管理时,可再通过上报策略配置精细的策略,建议开启。管理员在[自动上报策略]页面下,点击“开启”。当前支持的上报数据类型包括网络攻击数据、DDOS攻击数据、病毒感染数据、防病毒安装数据、恶意邮件数据、反垃圾邮件数据、钓鱼网站/假冒APP数据以及资产数据。

点击<配置>,可以对策略进行编辑,如下图所示。

上报内容:可以设置攻击类型、攻击等级、攻击方向、攻击源目IP、是否封禁、是否阻断等信息;

数据来源机构:若本平台有接入下级平台,可以选择需要上报的下级平台;

数据来源平台:可以选择数据来源包括“第三方日志”、“安全检测日志”建议选择全部;

上报设置:上报数据上限,为空表示对上传总数不做限制;

上报时间:按带宽情况,选择实时上报或者定时上报,定时上报可选择上传时间段;

其他:可以根据情况选择同一小时不上报重复数据,也可以选择脱敏字段。

上报数据管理

当配置好“机构管理”与“自动上报策略”后可以到上报数据管理查看到已上报的数据。

若出现上报数据问题,可先查看SIP是否有日志生成,若有日志生成,再抓9092端口的数据包,检查是否有数据上传。

指挥预警 

在上级机构配置中,下级平台能拉取上级平台的站内信数据,其中站内信数据包括:安全漏洞-舆情漏洞、安全漏洞-安全漏洞工单、安全事件-人行下发、安全事件-假冒网站、行业安全管理、运行监控工单等六大类数据,可以在指挥预警模块展示,如下图所示。

共享情报接入 

在上级机构配置中,下级平台能拉取上级平台的威胁情报(IP信誉库)、威胁情报(域名信誉库)等两大类数据,并在共享情报接入部分展示,如下图所示。

共享情报拉取配置在[金融态势感知平台对接/机构管理/上级机构]页面,勾选<数据下拉配置>,在这里填写数据接收服务器信息,如下图所示。