亚信安全服务器深度安全防护系统 9.6 管理员指南

Size: px

Start display at page:

Download "亚信安全服务器深度安全防护系统 9.6 管理员指南"

崇味井
7 years ago
Views:

2 亚科技 ( 成都 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利在安装及使用本软件之前, 请阅读自述文件发布说明和最新版本的适用用户文档, 这些文档可以通过亚科技的以下 Web 站点获得 : Deep Security Control Server Plug-in Damage Cleanup Services eserver Plug-in InterScan Network VirusWall ScanMail 和 ServerProtect 是第三方的商标或注册商标所有其他产品或公司名称可能是其各自所有者的商标或注册商标文档版本 :1.1 文档编号 :APCM97015/ 发布日期 :2015 年 8 月文档生成时间 :Jan 8, 2016 (15:22:19)

3 目录简介...6 概述... 7 产品功能... 8 用户指南...11 快速入门 : 系统配置快速入门 : 保护计算机系统保护亚安全服务器深度安全防护系统管理中心通定制控制台事件日志记录和数据收集电子邮件通知警报端口扫描设置 Syslog 集成 (SIEM) 中继组安全更新软件更新虚拟设备扫描缓存用户管理数据库备份和恢复添加计算机本地网络 Active Directory VMware vcenter 云帐户部署脚本部署防护基于客户端的防护无客户端防护防护模块防恶意软件 Web 誉防火墙放行规则入侵防御完整性监控日志审查

4 检查日志审查规则创建日志审查规则 SAP 漏洞扫描 ( 推荐设置 ) SSL 数据流事件警报和报告事件标记亚安全服务器深度安全防护系统通知程序多租户多租户 ( 高级 ) 保护便携式计算机参考高级日志记录策略模式命令行工具连接图计算机和客户端状态配置软件更新服务器在 Apache 中禁用 Diffie-Hellman 加密管理中心与数据库之间的通警报事件列表系统事件客户端事件防恶意软件事件入侵防御事件防火墙事件完整性监控事件日志审查事件完整性监控规则语言 DirectorySet FileSet GroupSet InstalledSoftwareSet PortSet ProcessSet RegistryKeySet RegistryValueSet ServiceSet UserSet WQLSet 手动停用 / 停止 / 启动客户端

5 多节点管理中心性能要求策略继承与覆盖使用的端口捆绑 NIC 亚安全服务器深度安全防护系统虚拟设备界面管理 Amazon Web 服务区域管理任证书支持隐私策略

6 简介

7 概述概述亚安全服务器深度安全防护系统为物理计算机虚拟计算机和基于云的计算机提供了无客户端防护和基于客户端的防护防护包括 : 防恶意软件 Web 誉防火墙入侵检测和防御完整性监控日志审查 7

8 产品功能产品功能亚安全服务器深度安全防护系统针对物理虚拟或云服务器提供了高级服务器安全无需紧急修补即可保护企业应用程序和数据免遭破坏和业务中断这种全面的集中管理平台可帮助您简化安全操作, 同时确保管理合规并加快推进虚拟化和云项目的 ROI 以下紧密集成的模块可轻松扩展此平台, 确保物理虚拟或云服务器以及虚拟桌面的服务器应用程序及数据安全性防护模块防恶意软件与 VMware 环境集成以进行无客户端防护, 或提供可保护物理服务器和虚拟桌面的客户端集成新的 VMware vshield Endpoint API 可为 VMware 虚拟机提供无客户端防恶意软件防护, 无需占用客户虚拟机帮助避免完全系统扫描和特征码更新过程中常见的安全漏洞另外, 还提供基于客户端的防恶意软件, 可在本地模式下保护物理服务器基于 Hyper-V 和 Xen 的服务器公共云服务器以及虚拟桌面协调无客户端和基于客户端的服务器规格的保护, 提供自适应安全防护, 以便在服务器在数据中心和公共云之间移动时保护虚拟服务器 Web 誉亚安全 Web 誉服务可阻止用户访问恶意 Web 站点亚安全会根据 Web 站点的存在时间变化历史以及通过恶意软件行为分析发现的可疑活动迹象等因素为其指定誉评分 Web 誉服务可以 : 阻止用户访问有危害或受感染的站点阻止用户与网络犯罪分子使用的通及控制服务器 (C&C) 进行通阻止访问网络犯罪分子为了实施网络犯罪而注册的恶意域名完整性监控实时检测并报告对文件和系统注册表的恶意及意外更改使管理员能够跟踪对实例进行的授权和未授权更改检测未授权更改的功能是云安全策略中的关键部分, 因为该功能可监视可能指示实例被损坏的更改防火墙减少物理和虚拟服务器的攻击面使用双向状态防火墙对服务器防火墙策略进行集中式管理支持虚拟机分区, 阻止拒绝服务攻击针对所有基于 IP 的协议和帧类型, 以及端口和 IP 及 MAC 地址的细粒度过滤提供广泛的覆盖范围入侵防御在已知漏洞修复之前, 屏蔽漏洞以免遭受无限制的入侵 8

9 产品功能帮助实现对已知和零时差攻击的及时防护使用入侵防御规则屏蔽已知漏洞 ( 例如 Microsoft 每月公布的漏洞 ), 以免遭受无限制的入侵针对 100 多个应用程序 ( 包括数据库 Web 电子邮件和 FTP 服务器 ) 提供现成的入侵防御规则自动提供屏蔽数小时内新发现漏洞的规则, 并在几分钟内将此规则推送至数千台服务器, 无需重新启动系统抵御 Web 应用程序漏洞确保符合 PCI 要求 6.6, 以保护 Web 应用程序及其处理的数据抵御 SQL 注入攻击跨站点脚本攻击以及其他 Web 应用程序漏洞屏蔽漏洞直到代码修复完成识别访问网络的恶意软件加强对访问网络的应用程序的监视或控制识别访问网络的恶意软件, 减少服务器的漏洞入侵日志审查显示日志文件中隐藏的重要安全事件优化对整个数据中心多个日志条目中隐藏的重要安全事件的识别功能将可疑事件转发到 SIEM 系统或集中式日志记录服务器, 以进行关联报告及归档利用并增强开放源代码软件的功能 ( 该软件位于 OSSEC) 亚安全服务器深度安全防护系统组件亚安全服务器深度安全防护系统包含以下一组组件, 这些组件协同起来提供防护 : 亚安全服务器深度安全防护系统管理中心是集中式的基于 Web 的管理控制台, 管理员可使用它配置安全策略以及为强制组件部署防护 : 亚安全服务器深度安全防护系统虚拟设备和亚安全服务器深度安全防护系统客户端亚安全服务器深度安全防护系统虚拟设备是针对 VMware vsphere 环境构建的安全防护虚拟机, 可提供防恶意软件和完整性监控亚安全服务器深度安全防护系统客户端是直接部署在计算机上的安全客户端, 可提供防恶意软件 Web 誉服务防火墙入侵防御完整性监控和日志审查防护中继 : 中继模块向其他客户端和虚拟设备分发更新在亚安全服务器深度安全防护系统 9.5 或更高版本中, Windows 和 Linux 客户端具有内置的中继功能 ( 较早版本的客户端不具备此功能, 中继以独立安装包的形式提供这些较旧版本的中继已内嵌客户端, 可在主机上提供本地防护 ) 亚安全服务器深度安全防护系统通知程序 : 亚安全服务器深度安全防护系统通知程序是 Windows 系统托盘应用程序, 可将亚安全服务器深度安全防护系统客户端和亚安全服务器深度安全防护系统中继的状态传达给本地计算机亚安全服务器深度安全防护系统管理中心亚安全服务器深度安全防护系统管理中心 ( 以下简称管理中心 ) 是一个强大的基于 Web 的集中式管理系统, 安全管理员可以通过它来创建和管理全面的安全策略, 跟踪威胁并记录针对这些威胁所采取的预防处理措施管理中心可与数据中心的不同部分 ( 包括 VMware vcenter 和 Microsoft Active Directory) 进行集成, 并具有 Web 服务 API 用于与数据中心自动化环境进行集成策略策略是指策略模板, 可指定要为一台或多台计算机自动配置和执行的安全规则这些易于管理的精简规则集可以轻松提供全面安全, 而无需费心去管理上千条规则缺省策略可提供大量常用计算机配置的必要规则控制台使用可定制的基于 Web 的 UI 可轻松地快速导航至特定并对其进行详细分析它将提供 : 大范围的系统事件和计算机报告, 包含详细分析功能 9

10 产品功能主要度量的图表, 包含趋势和详细分析详细的事件日志, 包含详细分析保存多个个性化控制台版面配置的功能内置安全通过基于角色的访问, 多个管理员 ( 或用户, 每个管理员或用户均拥有不同的访问权限集和编辑权限 ) 可编辑和监控系统的不同部分, 并收到相应的数字签名用于认证系统组件并验证规则的完整性会话加密可保护在组件之间交换的的机密性亚安全服务器深度安全防护系统客户端亚安全服务器深度安全防护系统客户端 ( 以下简称客户端 ) 是精巧型的高性能软件组件, 安装在计算机上可提供防护亚安全服务器深度安全防护系统虚拟设备亚安全服务器深度安全防护系统虚拟设备 ( 简称设备 ) 作为 VMware 虚拟机运行, 可以保护同一 ESXi Server 上的其他虚拟机, 而且每个虚拟机可以设置自己的安全策略亚安全服务器深度安全防护系统中继亚安全服务器深度安全防护系统中继是一台服务器, 用于将亚安全服务器深度安全防护系统更新从亚安全全球更新服务器中继到亚安全服务器深度安全防护系统通过使用多个中继, 可以将向所安装亚安全服务器深度安全防护系统的管理中心设备和客户端传送更新的任务分配给多个中继, 从而提高性能 Windows(64 位 ) 和 Linux(64 位 ) 版本的亚安全服务器深度安全防护系统 9.5( 或更高版本 ) 客户端具有内置的中继功能, 可通过计算机编辑器计算机编辑器窗口启用此功能亚安全服务器深度安全防护系统通知程序亚安全服务器深度安全防护系统通知程序是一个 Windows 系统托盘应用程序, 可将亚安全服务器深度安全防护系统客户端的状态传达给客户端计算机亚安全服务器深度安全防护系统客户端开始扫描时, 或者阻止恶意软件或阻止访问恶意 Web 页面时, 通知程序会显示弹出式用户通知该通知程序还提供了一个控制台工具, 方便用户查看事件和配置是否显示弹出通知该通知程序在客户端计算机上占用内存小, 所需磁盘空间不超过 1MB, 切内存也少于 1MB 10

11 用户指南

12 快速入门 : 系统配置快速入门 : 系统配置本快速入门指南介绍了在可以开始保护计算机资源之前所需的亚安全服务器深度安全防护系统初始基本系统配置要完成亚安全服务器深度安全防护系统的基本系统配置, 您将需要 : 1. 确保至少拥有一个已启用中继的客户端 2. 将亚安全服务器深度安全防护系统配置为从亚安全检索更新 3. 检查是否有预设任务来定期执行更新 4. 设置重要事件的电子邮件通知确保至少拥有一个已启用中继的客户端中继可负责从亚安全检索安全更新, 并将更新分发给受保护的计算机, 因此您必须至少安装有一个中继如果未安装, 请参阅安装指南, 以获取相关说明亚安全服务器深度安全防护系统客户端的 Windows(64 位 ) 和 Linux(64 位 ) 版本具有内置中继功能, 用户可从计算机编辑器窗口启用该功能中继会始终组织成中继组, 即使这是唯一的缺省中继组, 所有新中继也会全部分配到该中继组如果您拥有大量计算机并要创建分层中继结构, 或者如果您的计算机散布在较广的地理区域, 则可以创建多个中继组有关中继组的更多, 请参阅中继组 ( 第 50 页 ) 要查看您的亚安全服务器深度安全防护系统中继, 请转至管理 > 更新 > 中继组此时会在中继组中继组窗口中显示当前中继组通常, 您仅拥有单个缺省中继组缺省中继组双击缺省中继组以显示其中继组属性中继组属性窗口 : 12

快速入门 : 系统配置在中继组属性中继组属性窗口的成员区域中, 您将看到作为组成员的中继如果成员区域中没有任何计算机, 请参阅安装指南中的安装和配置已启用中继的客户端安装和配置已启用中继的客户端配置从亚安全检索更新的能力您确认具有中继之后, 检查它是否可以从亚安全检索更新转至管理 >

13 快速入门 : 系统配置在中继组属性中继组属性窗口的成员区域中, 您将看到作为组成员的中继如果成员区域中没有任何计算机, 请参阅安装指南中的安装和配置已启用中继的客户端安装和配置已启用中继的客户端配置从亚安全检索更新的能力您确认具有中继之后, 检查它是否可以从亚安全检索更新转至管理 > 更新 > 安全, 然后单击特征码更新特征码更新和规则更新规则更新下的检查更新并下载检查更新并下载按钮随即将显示下载特征码下载特征码或下载规则下载规则向导, 该向导将联系亚安全更新服务器下载最新的安全更新并将其分发至您的计算机如果向导在完成操作后显示成功消, 则表示您的中继计算机可以与更新服务器进行通 13

14 快速入门 : 系统配置如果中继无法更新其组件, 请参阅安装指南中的安装和配置已启用中继的客户端安装和配置已启用中继的客户端检查是否有预设任务来定期执行更新一旦获知中继可以与更新服务器进行通, 您应创建一个预设任务以定期检索和分发安全更新请转至管理 > 预设任务您应该会看见两个缺省的预设任务 : 每日检查是否存在安全更新和每日检查是否存在软件更新每日检查是否存在软件更新双击预设任务以查看其属性属性窗口 : 14

15 快速入门 : 系统配置如果您的列表中不存在缺省检查安全更新缺省检查安全更新预设任务, 则可以通过单击预设任务页面菜单栏上的新建新建并按照新建预设任务新建预设任务向导中的说明进行操作来创建该预设任务设置重要事件的电子邮件通知当出现需要特别注意的情况时, 会发出亚安全服务器深度安全防护系统警报发出警报可能是由于安全事件 ( 如在受保护的计算机上检测到恶意软件或异常的重新启动 ) 或系统事件 ( 如亚安全服务器深度安全防护系统管理中心在运行时磁盘空间不足 ) 造成的亚安全服务器深度安全防护系统可以配置为在发出特定警报时发送电子邮件通知要配置将生成电子邮件通知的警报, 请转至警报警报页面, 然后单击配置警报... 以显示亚安全服务器深度安全防护系统警报列表 : 双击警报可查看其属性属性窗口, 您可以在该窗口设置电子邮件通知的警报选项 : 15

16 快速入门 : 系统配置现在您需要将用户帐户配置为接收亚安全服务器深度安全防护系统将发出的电子邮件通知转至管理 > 用户管理 > 用户, 然后双击用户帐户显示其属性属性窗口请转至联系联系选项卡, 输入电子邮件地址, 然后选择接收警报电子邮件接收警报电子邮件选项 : 为了便于亚安全服务器深度安全防护系统发送电子邮件通知, 该防护系统必须能够与 SMTP 服务器进行通 ( 要发送电子邮件通知, 必须能够访问 SMTP 服务器 ) 要将亚安全服务器深度安全防护系统管理中心连接到 SMTP 服务器, 请转至管理 > 系统设置 > SMTP 选项卡 : 填写 SMTP 区域中的必填文本框, 完成后, 按页面底部的测试 SMTP 设置, 您会看到测试与 SMTP 服务器的连接成功消 : 16

17 快速入门 : 系统配置如果无法与 SMTP 服务器连接, 请确保管理中心可以与端口 25 上的 SMTP 服务器连接基本配置完成这将完成亚安全服务器深度安全防护系统的基本系统配置此时, 亚安全服务器深度安全防护系统会被配置为定期联系亚安全以获取安全更新并定期分发这些更新, 该防护系统将在发出警报时向您发送电子邮件通知您现在需要将亚安全服务器深度安全防护系统防护应用到计算机请参阅快速入门门 : 保护计算机 ( 第 18 页 ) 或保护便携式计算机 ( 第 153 页 ) 以获取有关保护这两种计算机资源的快速指南 17

18 快速入门 : 保护计算机快速入门 : 保护计算机下面介绍了使用亚安全服务器深度安全防护系统保护 Windows Server 2008 计算机所涉及的步骤将要涉及的步骤如下 : 1. 向亚安全服务器深度安全防护系统管理中心添加计算机 2. 运行漏洞扫描 ( 推荐设置 ) 3. 自动实施漏洞扫描 ( 推荐设置 ) 4. 创建预设任务定期执行漏洞扫描 ( 推荐设置 ) 5. 使用亚安全服务器深度安全防护系统管理中心监控活动我们将假定您已在计算机上安装了亚安全服务器深度安全防护系统管理中心, 并打算通过该计算机对整个网络的亚安全服务器深度安全防护系统客户端进行管理我们还将假定您已将客户端软件包 (.zip) 导入亚安全服务器深度安全防护系统管理中心, 并在要保护的计算机上已安装 ( 但未激活 ) 亚安全服务器深度安全防护系统客户端最后, 我们将假定您具有可用的已启用中继的客户端, 亚安全服务器深度安全防护系统可以通过该客户端下载最新的安全更新如果不满足上述任一要求, 请参考安装指南, 了解执行到此阶段的说明向亚安全服务器深度安全防护系统管理中心添加计算机只要计算机在端口 4120 上可以访问亚安全服务器深度安全防护系统管理中心, 您可以从任意位置向亚安全服务器深度安全防护系统管理中心添加此计算机您可以通过以下方式添加计算机 : 通过指定计算机的 IP 地址或主机名来从本地网络逐个添加计算机通过扫描网络来在本地网络中查找计算机连接到 Microsoft Active Directory 并导入计算机列表连接到 VMware vcenter 并导入计算机列表通过以下云提供程序服务连接到计算资源 : Amazon EC2 VMware vcloud Microsoft Azure 出于此练习的目的, 我们将从本地网络添加计算机, 但一旦将计算机添加到管理中心, 防护过程就会相同, 而不管计算机位置如何从本地网络添加计算机 : 1. 在亚安全服务器深度安全防护系统管理中心控制台中, 请转至计算机计算机页面, 单击工具栏中的新建, 然后从下拉菜单中选择新建计算机... 18

19 快速入门 : 保护计算机 2. 在新建计算机向导中, 输入计算机的主机名或 IP 地址, 并从下拉菜单的策略树中选择要应用的相应安全策略 ( 在此情况下, 我们将选择 Windows Server 2008 策略 ) 单击下一步下一步 3. 该向导将联系计算机, 将其添加到计算机页面, 检测未激活的客户端, 将其激活, 然后应用所选策略单击完成完成可以将客户端配置为在安装后自动启动自身的激活有关详细, 请参阅命令行工具 ( 第 164 页 ) 4. 添加计算机后, 该向导会显示一条确认消 : 19

20 快速入门 : 保护计算机 5. 取消选择在关闭时打开计算机详细选项, 然后单击关闭关闭此时, 计算机会显示在计算机计算机页面上亚安全服务器深度安全防护系统管理中心的被管理计算机列表中激活后, 亚安全服务器深度安全防护系统会自动将最新的安全更新下载到计算机同样, 已向计算机分配的 Windows Server 2008 策略会启用完整性监控, 以便可以开始生成计算机的完整性监控基线您可以在管理中心窗口的状态栏中看到当前正在进行的活动 : 亚安全服务器深度安全防护系统管理中心完成其初始的激活后任务之后, 计算机的状态状态应显示为被管理 ( 联机 ) 单击菜单栏中的支持支持链接可获得有关亚安全服务器深度安全防护系统管理中心各个页面的更多运行漏洞扫描 ( 推荐设置 ) 我们向计算机分配的安全策略由专用于运行 Windows Server 2008 操作系统的计算机的一组规则和设置组成但是, 静态策略可能会很快过期这可能是因为计算机上安装了新软件, 查找到了新的操作系统漏洞 ( 亚安全已针对这些漏洞创建了新的防护规则 ), 或者甚至是因为先前的漏洞已由某个操作系统或软件 Service Pack 更正由于对计算机的安全要求具有动态性, 因此您应定期运行漏洞扫描 ( 推荐设置 ), 这些扫描会评估计算机的当前状态并将该状态与最新亚安全服务器深度安全防护系统防护模块更新进行比较, 以查看是否需要更新当前安全策略漏洞扫描 ( 推荐设置 ) 只能在安装了亚安全服务器深度安全防护系统客户端的系统上执行漏洞扫描 ( 推荐设置 ) 会针对以下防护模块提出建议 : 20

21 快速入门 : 保护计算机入侵防御完整性监控日志审查在计算机上运行漏洞扫描 ( 推荐设置 ) : 1. 转至亚安全服务器深度安全防护系统管理中心控制台主窗口中的计算机页面 2. 右键单击计算机并选择操作 > 漏洞扫描 ( 推荐设置 ): 在漏洞扫描 ( 推荐设置 ) 期间, 计算机的状态会显示正在执行漏洞扫描 ( 推荐设置 ) 扫描完成后, 如果亚安全服务器深度安全防护系统提出了任何建议, 您会在警报窗口上看到一个警报 : 对 x 台计算机进行了建议查看漏洞扫描 ( 推荐设置 ) 的结果 : 1. 打开计算机的计算机编辑器 ( 计算机页面菜单栏或右键单击菜单中的详细...) 2. 在计算机编辑器窗口中, 请转至入侵防御入侵防御模块页面 21

快速入门 : 保护计算机在常规常规选项卡的建议建议区域, 您将看到扫描结果 : 当前状态告知我们当前已向此计算机分配了 179 个入侵防御规则最近执行的漏洞扫描 ( 推荐设置 ) 告知我们上次扫描于 2012 年 12 月 18 日 09:14 执行待解决的建议告知我们由于扫描的原因, 亚安全服务器深度安全防护系统建议另外再分配 28 个入侵防御规则并取消分配 111 个当前已分配的规则

22 快速入门 : 保护计算机在常规常规选项卡的建议建议区域, 您将看到扫描结果 : 当前状态告知我们当前已向此计算机分配了 179 个入侵防御规则最近执行的漏洞扫描 ( 推荐设置 ) 告知我们上次扫描于 2012 年 12 月 18 日 09:14 执行待解决的建议告知我们由于扫描的原因, 亚安全服务器深度安全防护系统建议另外再分配 28 个入侵防御规则并取消分配 111 个当前已分配的规则注意通知我们建议取消分配的规则中有 111 个 ( 所有建议取消分配规则 ) 已在策略级别 ( 而不是直接在此处的计算机级别 ) 进行分配在策略树以上级别分配的规则仅可以在对其进行分配所在的策略 ( 本案例中为 Windows Server 2008 策略 ) 中取消分配 ( 如果我们打开了 Windows Server 2008 策略编辑器, 则我们会看到相同的建议且会从此处对规则进行取消分配 ) 我们还被告知建议分配的规则中有 7 个无法自动分配通常这些规则需要进行配置或易于误报, 且其行为应该在仅检测模式下观察并在阻止模式下强制执行要查看建议分配的规则, 请单击分配 / 取消分配... 以显示 IPS 规则规则分配模式窗口然后从第二个下拉过滤列表中选择建议分配的项目 : 22

23 快速入门 : 保护计算机带有小型配置标记的图标 ( ) 可标识需要进行配置的规则要查看规则的可配置选项, 请双击规则, 以打开其属性窗口 ( 在本地编辑模式下 ), 然后转至配置配置选项卡要分配规则, 请选择其名称旁边的复选框要查看建议取消分配的规则, 请通过从同一下拉列表中选择建议取消分配的项目建议取消分配的项目来过滤规则列表要取消分配规则, 请取消选择其名称旁边的复选框在计算机上生效的规则无法在本地取消分配, 因为它们已在策略树以上的策略中进行分配取消分配此类规则的唯一方法是编辑最初对其进行分配所在的策略, 然后从该策略进行取消分配有关此种规则继承的更多, 请参阅策略继承和覆盖 ( 第 256 页 ) 自动实施漏洞扫描 ( 推荐设置 ) 您可以将亚安全服务器深度安全防护系统配置为在执行漏洞扫描 ( 推荐设置 ) 之后自动分配和取消分配规则要执行此操作, 请打开计算机或策略编辑器, 然后转至支持漏洞扫描 ( 推荐设置 ) 的各个防护模块页面 ( 入侵防御完整性监控和日志审查 ) 在常规选项卡的建议区域, 将自动实施入侵防御建议 ( 如果可能 ): 设置为是创建预设任务以定期执行漏洞扫描 ( 推荐设置 ) 定期执行漏洞扫描此任务 ( 推荐设置 ) 可确保计算机受最新相关规则集的保护且会移除不再需要的规则集您可以创建预设任务以自动执行创建预设任务 : 1. 在亚安全服务器深度安全防护系统管理中心主窗口中, 转至管理 > 预设任务 2. 在菜单栏中, 请单击新建新建以显示新建预设任务新建预设任务向导 23

24 快速入门 : 保护计算机 3. 选择扫描计算机上有无建议项目扫描计算机上有无建议项目作为扫描类型, 然后选择每周每周重复周期单击下一步下一步 4. 选择开始时间, 选择每周一次, 然后选择一周中的某一天单击下一步下一步 5. 当指定要扫描的计算机时, 选择最后一个选项 ( 计算机 ), 然后选择我们正在保护的 Windows Server 2008 计算机单击下一步 6. 为新建预设任务键入名称取消选中完成时运行任务 ( 因为我们仅运行了漏洞扫描 ( 推荐设置 ) ) 单击完成完成此时, 新的预设任务会显示在预设任务列表中该任务将一周运行一次, 以扫描计算机并为计算机提出建议如果已为支持该任务的上述每个防护模块设置自动实施建议, 则亚安全服务器深度安全防护系统会根据需要分配和取消分配规则如果规则标识为需要特别注意, 则会发出一条警报通知您对于基于客户端的防护, 预设任务使用与端点操作系统相同的时区对于无客户端防护, 预设任务使用与亚安全服务器深度安全防护系统虚拟设备相同的时区定期预设安全更新如果您按照快速入门 : 系统配置 ( 第 12 页 ) 中介绍的步骤执行操作, 则此时会使用亚安全的最新防护定期更新计算机使用亚安全服务器深度安全防护系统管理中心监控活动控制台在为计算机分配了策略并且运行一段时间后, 您将会查看该计算机上的活动检查活动的第一站是控制台控制台有许多面板 ("widget"), 可显示与亚安全服务器深度安全防护系统管理中心及其管理的计算机的状态有关的不同类型在控制台页面的右上方, 单击添加 / 移除 Widget, 查看显示的可用 widget 列表目前, 我们将从防火墙防火墙部分添加以下 widget: 防火墙活动 ( 已阻止 ) 防火墙 IP 活动 ( 已阻止 ) 24

25 快速入门 : 保护计算机防火墙事件历史记录 [2x1] 选择三个 widget 旁边的每个复选框, 然后单击确定确定这些 widget 将显示在控制台上 ( 生成数据可能需要一段时间 ) 防火墙活动 ( 已阻止 ) widget 可显示拒绝数据包 ( 即某计算机上的客户端阻止数据包到达该计算机 ) 最常见原因的列表, 以及被拒绝的数据包的数目列表中的项将为数据包拒绝或防火墙规则类型每个原因都是到受拒绝数据包相应日志的链接防火墙 IP 活动 ( 已阻止 ) widget 可显示受拒绝数据包最常见源 IP 的列表与防火墙活动 ( 已阻止 ) widget 相似, 每个源 IP 都是指向相应日志的链接防火墙事件历史记录 [2x1] widget 可显示一个条形图, 表示过去 24 小时内或七天内 ( 取决于所选择的视图 ) 所阻止的数据包数单击某个条块将显示该条块表示时间段的相应日志请注意防火墙活动 ( 已阻止 ) 和防火墙 IP 活动 ( 已阻止 ) widget 中数值旁边的趋势指示器正三角或倒三角表示指定时间段内是增加还是减少, 水平线表示没有明显变化防火墙和入侵防御事件日志现在下钻到拒绝数据包最常见原因对应的日志 : 在防火墙活动 ( 已阻止 ) widget 中, 单击拒绝数据包的首个原因这会将您带到防火墙事件页面防火墙事件页面将显示所有的防火墙事件, 其中原因列条目对应于防火墙活动 ( 已阻止 ) widget 中的首个原因 ( 不允许的策略 ) 日志经过过滤, 可只显示控制台查看时间段 ( 过去 24 小时或过去七天 ) 的那些事件关于防火墙事件和入侵防御事件页面的更多, 可在这些页面的帮助页面中找到有关不同数据包拒绝原因的含义, 请参阅 : 防火墙事件 ( 第 213 页 ) 入侵防御事件 ( 第 211 页 ) 报告用户通常期望更高级别的日志数据视图, 其中得到了汇总, 并且以更为浅显易懂的格式呈现报告报告填补了这一角色, 它允许您显示计算机防火墙和入侵防御事件日志事件警报等的详细摘要在报告报告页面中, 可以为要生成的报告选择各种选项我们将生成一个防火墙报告, 它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录从报告下拉菜单中选择防火墙报告单击生成生成以在新窗口中启动报告通过查看亚安全服务器深度安全防护系统管理中心以电子邮件形式发送给用户的预设报告登录到系统并咨询控制台对特定日志进行仔细分析来执行详细的调查, 以及通过配置通知用户关键事件的警报, 您可以随时了解网络的运行状况 25

26 系统系统保护亚安全服务器深度安全防护系统管理中心 ( 第 27 页 ) 介绍了如何通过客户端保护亚安全服务器深度安全防护系统管理中心通 ( 第 28 页 ) 介绍了亚安全服务器深度安全防护系统的不同组件之间如何进行通定制控制台 ( 第 30 页 ) 介绍了如何为自身或其他用户创建定制控制台布局电子邮件通知 ( 第 34 页 ) 介绍了如何将亚安全服务器深度安全防护系统配置为向不同用户发送亚安全服务器深度安全防护系统重要事件的电子邮件通知警报 ( 第 35 页 ) 介绍了如何配置会引发警报的事件这些警报的严重性如何, 以及警报的通知是否通过电子邮件发送端口扫描设置 ( 第 37 页 ) 介绍了如何设置在亚安全服务器深度安全防护系统其中的一个端口扫描期间要扫描的端口 Syslog 集成 (SIEM) ( 第 38 页 ) 介绍了如何将亚安全服务器深度安全防护系统配置为通过 Syslog 向 SIEM 发送事件中继组 ( 第 50 页 ) 介绍了如何配置和使用中继组来自动化通过亚安全最新安全和软件更新来更新亚安全服务器深度安全防护系统的过程安全更新 ( 第 54 页 ) 介绍了如何管理亚安全服务器深度安全防护系统的安全更新软件更新 ( 第 58 页 ) 介绍了如何管理亚安全服务器深度安全防护系统的软件更新虚拟设备扫描缓存 ( 第 59 页 ) 介绍了如何利用亚安全服务器深度安全防护系统设备的扫描缓存功能, 这一功能可显著提高虚拟机上恶意软件扫描和完整性扫描的性能用户管理 ( 第 61 页 ) 介绍了如何管理亚安全服务器深度安全防护系统的用户, 其中包括如何使用基于角色的访问控制来限制用户对亚安全服务器深度安全防护系统特定区域以及您网络的访问数据库备份和恢复 ( 第 66 页 ) 介绍了如何执行 ( 以及自动化 ) 亚安全服务器深度安全防护系统数据的备份 26

27 保护亚安全服务器深度安全防护系统管理中心保护亚安全服务器深度安全防护系统管理中心使用客户端保护亚安全服务器深度安全防护系统管理中心保护亚安全服务器深度安全防护系统管理中心的方法是, 在其主机计算机上安装客户端并应用亚安全服务器深度安全防护系统管理中心策略在亚安全服务器深度安全防护系统管理中心的计算机上配置客户端 1. 在管理中心所在的同一计算机上安装客户端 2. 在计算机计算机页面上, 添加管理中心的计算机此时不要选择应用策略 3. 双击计算机计算机页面中的新计算机显示其详细详细窗口, 然后转至入侵防御 > 高级 > SSL 配置 4. 将显示该计算机的 SSL 配置列表单击新建, 启动向导创建新的 SSL 配置 5. 指定管理中心所使用的接口单击下一步下一步 6. 在端口页面上, 选择通过 HTTPS 保护亚安全服务器深度安全防护系统管理中心 Web 应用程序 GUI 所使用的端口 ( 除非在安装过程中选择了其他端口, 否则缺省情况下为 4119 要确认管理中心目前所使用的端口, 请检查您用来访问该端口的 URL ) 单击下一步下一步 7. 指定 SSL 入侵防御分析应在此计算机的所有 IP 地址执行, 还是只在一个地址执行 ( 可使用此功能设置单个计算机上的多台虚拟计算机 ) 8. 接下来, 选择使用已内置到亚安全服务器深度安全防护系统管理中心内的 SSL 凭证 ( 仅在为管理中心计算机创建 SSL 配置时, 才显示此选项 ) 单击下一步下一步 9. 完成向导并关闭 SSL 配置页面 10. 返回计算机的详细详细窗口, 应用亚安全服务器深度安全防护系统管理中心策略, 该策略包含亚安全服务器深度安全防护系统管理中心所需的对端口 4119 起作用的防火墙规则和入侵防御规则目前已经保护了管理中心的计算机, 现在正过滤到达管理中心的流量 ( 包含 SSL) 将客户端配置为过滤 SSL 流量后, 您可能会注意到亚安全服务器深度安全防护系统客户端将返回多个续订错误事件这些是由管理中心计算机发布的新 SSL 证书导致的证书续订错误因此, 您应该重新启动管理中心的浏览器会话以从管理中心计算机获得新证书亚安全服务器深度安全防护系统管理中心策略已分配基本防火墙规则, 以实现远程使用管理中心如果管理中心计算机正用于其他用途, 则可能还需要分配其他防火墙规则策略还包括 Web Server Common 应用程序类型中的入侵防御规则可以根据需要分配其他入侵防御规则由于 Web Server Common 应用程序类型通常在 HTTP 端口列表中过滤且不包含端口 4119, 因此添加端口 4119 是为覆盖策略详细窗口的入侵防御规则入侵防御规则页面中的端口设置有关 SSL 数据审查的更多, 请参阅 SSL 数据流 ( 第 124 页 ) 27

28 通通启动通的程序在缺省设置 ( 双向 ) 下, 客户端 / 设备将会启动波动号, 但是仍会在客户端端口上侦听管理中心连接, 而管理中心可自由连接客户端 / 设备, 以便根据需要执行操作亚安全服务器深度安全防护系统虚拟设备仅能在双向模式下运行将虚拟设备的此设置更改为其他任何模式都将破坏功能管理中心已启动表示管理中心会启动所有通当管理中心执行预设更新执行波动号操作时 ( 见下文 ), 以及当您从管理中心界面选择激活 / 重新激活或发送策略发送策略选项时, 就会启动通如果要隔离计算机与远程资源所启动的通, 可以选择由客户端自身定期检查更新及控制波动号操作如果是这样, 请选择客户端 / 设备已启动已启动亚安全服务器深度安全防护系统管理中心和客户端 / 设备之间的通使用 FIPS 认可的对称加密算法 AES-256 和哈希函数 SHA-256 通过 SSL/TLS 进行管理中心在波动号过程中收集下列 : 驱动程序的状态 ( 联机或脱机 ) 客户端 / 设备的状态 ( 包括时钟时间 ) 自上次波动号以来的客户端 / 设备日志用来更新计数器的数据客户端 / 设备安全配置的指纹 ( 用来判断是否为最新 ) 您可以更改波动号发生的频率 ( 客户端 / 设备启动或者管理中心启动 ), 以及在触发警报之前可错过的波动号数量此设置 ( 和其他许多设置一样 ) 可按多个级别配置 : 在已分配策略的所有计算机上, 方法是在基本策略 ( 所有策略的父策略 ) 上对其进行配置在沿着指向您计算机的分支的策略树下的策略上对其进行设置 ; 或者在个别计算机上配置策略的通方向 : 1. 打开要配置其通设置的策略的策略编辑器 ( 详细窗口 ) 2. 转至设置 > 计算机 > 通方向 3. 在亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心到客户端 / 设备的通方向的通方向下拉菜单中, 选择管理中心已启动客户端 / 设备已启动或双向这三个选项中的一个, 或者选择已继承如果选择已继承, 策略将从其在策略层次结构中的父策略继承设置选择其他任一选项将会覆盖继承的设置 4. 单击保存保存应用更改配置特定计算机的通方向 : 1. 打开要配置其通设置的计算机的计算机编辑器 ( 详细窗口 ) 2. 转至设置 > 计算机 > 通方向 3. 在亚安全服务器深度安全防护系统管理中心到客户端 / 设备的通方向 : 下拉菜单中, 选择管理中心已启动客户端 / 设备已启动或双向这三个选项中的一个, 或者选择已继承如果选择已继承, 计算机将从已应用到其的策略继承设置选择其他任一选项将会覆盖继承的设置 4. 单击保存保存应用更改客户端 / 设备会根据亚安全服务器深度安全防护系统管理中心的主机名在网络中查找管理中心因此, 管理中心的主机名必须必须存在于您的本地 DNS 中, 才能实现客户端 / 设备启动的通或双向通 28

29 通另请参阅 : 策略继承与覆盖 ( 第 256 页 ) 29

定制控制台定制控制台控制台是登录到亚安全服务器深度安全防护系统管理中心后出现的第一个页面控制台的若干个部分都可以进行配置和定制, 当您登录时便会保存并显示所更改的布局 ( 您注销后, 不管其他用户是否在同时登录和更改他们的布局, 控制台都会显示您离开时的状态 ) 控制台显示的可配置项目为取用数据的时间段

30 定制控制台定制控制台控制台是登录到亚安全服务器深度安全防护系统管理中心后出现的第一个页面控制台的若干个部分都可以进行配置和定制, 当您登录时便会保存并显示所更改的布局 ( 您注销后, 不管其他用户是否在同时登录和更改他们的布局, 控制台都会显示您离开时的状态 ) 控制台显示的可配置项目为取用数据的时间段显示哪些计算机或计算机组的数据显示哪些 Widget 及这些 Widget 在页面上的布局等项目日期 / 时间范围控制台会显示过去 24 小时或过去七天的数据计算机和计算机组使用计算机 : 下拉菜单过滤显示的数据, 以只显示特定计算机上的数据例如, 仅显示使用 Linux 服务器安全策略的计算机上的数据 : 30

定制控制台按标记过滤在亚安全服务器深度安全防护系统中, 标记是可应用于事件的一组元数据, 以便为最初未包含在事件本身中的事件创建其他属性可以使用这些标记来对事件进行过滤, 以简化事件监控和管理任务标记的典型用法是区分需要执行操作的事件和经过调查发现为良好的事件可以按以下标记过滤控制台中显示的数据 : 有关标记的更多, 请参阅事件标记

31 定制控制台按标记过滤在亚安全服务器深度安全防护系统中, 标记是可应用于事件的一组元数据, 以便为最初未包含在事件本身中的事件创建其他属性可以使用这些标记来对事件进行过滤, 以简化事件监控和管理任务标记的典型用法是区分需要执行操作的事件和经过调查发现为良好的事件可以按以下标记过滤控制台中显示的数据 : 有关标记的更多, 请参阅事件标记 ( 第 132 页 ) 选择控制台 Widget 单击添加 / 移除 Widget... 以显示 Widget 选择窗口, 选择要显示的 Widget 更改布局可以拖动所选 Widget 的标题栏, 在控制台中移动 Widget 将 Widget 移到现有的 Widget 之上, 两者会交换位置 ( 将被取代的 Widget 会暂时变灰 ) 31

32 定制控制台保存和管理控制台布局您可以创建多个控制台布局并将其保存为单独的选项卡注销后, 您的控制台设置和布局对其他用户将不可见要创建新的控制台选项卡, 请单击控制台上最后一个选项卡右侧的加号符号 : 32

33 事件日志记录和数据收集事件日志记录和数据收集缺省情况下, 亚安全服务器深度安全防护系统管理中心会在每次有波动号时从客户端 / 设备收集事件收集的数据量取决于受保护的计算机数目计算机的活动状态和事件记录设置系统事件列出了亚安全服务器深度安全防护系统的所有系统事件, 并且可在管理 > 系统设置 > 系统事件选项卡上对这些事件进行配置可以设置是否记录单个事件以及是否将其转发给 SIEM 系统安全事件每个防护模块会在触发规则或满足其他配置条件时生成事件一些安全事件生成是可以配置的可对计算机上生效的防火墙状态配置进行修改, 以启用或禁用 TCP UDP 和 ICMP 事件日志记录要编辑防火墙状态配置的属性, 请转至策略 > 通用对象 > 其他 > 防火墙状态配置日志记录选项位于防火墙状态配置属性属性窗口的 TCP UDP 和 ICMP 选项卡中您可以通过入侵防御模块禁用单个规则的事件日志记录要禁用某个规则的事件日志记录, 请打开规则的属性属性窗口, 然后在入侵防御属性选项卡的事件事件区域中选择禁用事件日志记录禁用事件日志记录入侵防御模块可记录导致触发规则的数据因为不可能每次触发单个规则时都记录所有数据, 亚安全服务器深度安全防护系统将仅记录指定时间段 ( 缺省为五分钟 ) 内首次触发规则时的数据要配置亚安全服务器深度安全防护系统是否记录此数据, 请转至策略 / 计算机编辑器 > 入侵防御 > 高级 > 事件数据您可以通过在策略 / 计算机编辑器 > 设置 > 网络引擎 > 高级网络引擎设置中调整在期间内仅记录一个数据包的期间设置来配置时间段可将日志审查模块配置为仅在触发的日志审查规则包含的条件超出指定的严重性级别时才记录事件要设置开始记录日志审查事件的严重性级别, 请转至策略 / 计算机编辑器 > 日志审查 > 高级严重性剪辑以下是有助于最大化事件收集有效性的一些建议 : 对于不感兴趣的计算机, 减少或禁用日志收集考虑禁用防火墙状态配置属性窗口中的一些日志记录选项, 以减少防火墙规则活动的日志记录例如, 禁用 UDP 日志记录会消除未经请求的 UDP 日志条目对于入侵防御规则, 最佳的做法是只记录丢弃的数据包日志记录数据包修改可能会产生大量日志条目对于入侵防御规则, 当您想要调查攻击来源时, 只包含数据包数据即可 ( 入侵防御规则属性属性窗口中的一个选项 ) 否则若保持包含数据包数据, 日志大小将会增加许多 33

34 电子邮件通知电子邮件通知当触发选定警报时, 亚安全服务器深度安全防护系统管理中心会向特定用户发送电子邮件要启用电子邮件系统, 必须授予亚安全服务器深度安全防护系统管理中心访问 SMTP 邮件服务器的权限您必须配置 SMTP 设置, 并选择哪些警报触发向哪些用户发送的电子邮件配置 SMTP 设置可以在管理 > 系统设置 > SMTP 中找到 SMTP 配置面板请键入 SMTP 邮件的地址 ( 必要时加上端口 ) 请输入要发送电子邮件的发件人电子邮件地址可以选择键入退地址, 在无法向一个或多个用户发送警报电子邮件时, 会将失败通知发送到该地址如果 SMTP 邮件服务器需要传出认证, 请键入用户名和密码凭证输入必要的后, 请使用测试 SMTP 设置来测试设置配置应生成电子邮件的警报有 30 多种情况会触发警报, 而您可能不希望所有情况都触发发送电子邮件要配置哪些警报触发发送电子邮件, 请转到管理 > 系统设置 > 警报单击查看警报配置以显示所有警报的列表警报旁边的复选标记表示警报是否已开启如果已开启, 则表示若出现相应的情况将会触发警报, 但并不表示将会发送电子邮件双击某个警报, 以查看其警报配置警报配置窗口要让警报触发电子邮件, 必须开启电子邮件, 而且必须至少选中一个发送电子邮件复选框设置接收警报电子邮件的用户最后, 还需要设置接收警报电子邮件的用户转到管理 > 用户管理 > 用户双击某用户, 然后选择联系联系选项卡选中接收电子邮件警报复选框, 以使此用户接收通过电子邮件发送的警报通知 SIEM Syslog 和 SNMP 可以指示客户端 / 设备和管理中心二者将事件转发到 SIEM 系统客户端 / 设备会发送防护模块相关的安全事件, 管理中心则会发送系统系统事件可以通过 Syslog 或 SNMP 从管理中心转发要配置系统事件 Syslog 或 SNMP 设置, 请转至亚安全服务器深度安全防护系统管理中心中的管理 > 系统设置 > SIEM 或管理 > 系统设置 > SNMP 选项卡防护模块安全事件可以通过 Syslog 从客户端 / 设备转发要配置防护模块安全事件 Syslog 设置, 请转到策略 / 计算机编辑器 > 设置 > SIEM 选项卡有关配置 Syslog 的, 请参阅 Syslog 集成 (SIEM) ( 第 38 页 ) 34

35 警报警报警报的作用大致上是警告系统状态异常, 例如计算机脱机或规则过期, 不过有一些警报是警告您, 系统检测到指纹扫描和其他安全性相关的事件 ( 关于个别入侵防御和防火墙事件的通知, 可考虑设置一个 Syslog 服务器 ) 可通过转至警报警报页面并单击位于页面右上方的配置警报..., 或转至管理 > 系统设置 > 警报, 然后单击查看警报配置... 来查看警报打开警报的属性属性窗口, 可配置每个警报所引发的操作可以打开或关闭警报, 并可在警告和严重之间切换其严重程度不能为各个策略或计算机配置不同的警报警报属性的所有更改都是全局的 35

36 警报您可能还想要配置接收电子邮件警报的用户转至管理 > 用户, 双击单个用户, 单击联系选项卡, 然后选择或取消选择接收电子邮件警报选项还可以指定一个缺省电子邮件地址, 所有警报通知除了发送给配置为接收警报通知的用户之外, 还会发送至该地址此选项位于管理 > 系统设置 > 警报选项卡中请确保已在管理 > 系统设置 > SMTP 选项卡上配置 SMTP 设置如果警报条件在同一计算机上多次出现, 则警报将显示条件第一次出现的时间戳如果警报解除后条件重新出现, 则第一次出现的时间戳将消失 36

37 端口扫描设置端口扫描设置可以通过右键单击计算机并选择操作 > 扫描打开的端口, 或单击计算机编辑器窗口 ( 其中显示最新扫描结果 ) 的防火墙页面中的扫描打开的端口按钮, 来指示亚安全服务器深度安全防护系统管理中心扫描计算机上打开的端口 ( 还可以通过右键单击管理中心的计算机计算机页面中的现有计算机, 并选择扫描打开的端口, 启动端口扫描另一个启动端口扫描的方法是创建预设任务预设任务以在一列计算机上定期执行端口扫描 ) 缺省情况下, 扫描的端口范围是称为通用端口 (1-1024) 的范围, 不过您可以定义其他要扫描的端口组无论端口范围设置如何, 会始终扫描端口 4118 管理中心启动的通将被发送到客户端/ 设备上的这个端口如果计算机的通方向设置为客户端 / 设备已启动 ( 策略 / 计算机编辑器 > 设置 > 计算机 ), 则会关闭端口 4118 若要定义要扫描的新端口范围, 请执行下列步骤 : 1. 转至策略 > 通用对象 > 列表 > 端口列表, 然后单击菜单栏中的新建新建此时将出现新建端口列表新建端口列表窗口 2. 键入新端口列表的名称和描述, 再在端口文本框中使用接受的格式定义端口 ( 例如, 若要扫描端口和 110 至 120, 则应在第一行键入 100, 在第二行键入 105, 在第三行键入 ) 单击确定确定 3. 接着转至策略 / 计算机编辑器 > 设置 > 扫描, 并单击要扫描的端口下拉菜单您新定义的端口列表将成为选项之一 37

38 Syslog 集成 (SIEM) Syslog 集成 (SIEM) 亚安全服务器深度安全防护系统可以使用以下格式将事件转发到 syslog 服务器 : 公用事件格式 1.0:ArcSight ( 倡导的一种格式日志事件扩展格式 (LEEF) 2.0: 一种用于与 IBM QRadar 集成的格式基本 Syslog 格式 : 某些模块支持基本 Syslog 格式 ; 但是这些格式是为旧有安装准备的, 不应该用于新的 Syslog 集成项目系统只会为系统事件选项卡上选定的事件发送 Syslog 消用户可以在策略编辑器或计算机编辑器中为其他事件类型配置 syslog 通知在亚安全服务器深度安全防护系统管理中心内启用 Syslog 转发不会影响缺省的事件日志记录也就是说, 启用 syslog 并不会禁用正常的事件记录机制在 Red Hat Enterprise Linux 6 或 7 上设置 Syslog 以下步骤介绍了如何在 Red Hat Enterprise Linux 6 或 7 上配置 rsyslog, 以接收亚安全服务器深度安全防护系统的日志 1. 以 root 身份登录 2. 执行 : vi /etc/rsyslog.conf 3. 取消注释 rsyslog.conf 顶部旁边的下面各行以将其从 #$ModLoad imudp #$UDPServerRun 514 #$ModLoad imtcp #$InputTCPServerRun 514 更改为 $ModLoad imudp $UDPServerRun 514 $ModLoad imtcp $InputTCPServerRun 将以下两行文本添加到 rsyslog.conf 的末尾 : #Save Deep Security Manager logs to DSM.log Local4.* /var/log/dsm.log 5. 保存文件并退出 6. 通过键入 touch /var/log/dsm.log 创建 /var/log/dsm.log 文件 7. 设置 DSM 日志的权限, 以便 syslog 可以向其写入数据 8. 保存文件并退出 9. 重新启动 syslog: 在 Red Hat Enterprise Linux 6 上 :service rsyslog restart 在 Red Hat Enterprise Linux 7 上 :systemctl restart rsyslog 38

39 Syslog 集成 (SIEM) 当 Syslog 运行时, 您将在以下位置看到日志 : /var/log/dsm.log 在 Red Hat Enterprise Linux 5 上设置 Syslog 以下步骤介绍如何在 Red Hat Enterprise Linux 上配置 Syslog 来接收来自亚安全服务器深度安全防护系统的日志 1. 以 root 身份登录 2. 执行 : vi /etc/syslog.conf 3. 将以下两行文本添加到 syslog.conf 的末尾 : #Save Deep Security Manager logs to DSM.log Local4.* /var/log/dsm.log 4. 保存文件并退出 5. 通过键入 touch /var/log/dsm.log 创建 /var/log/dsm.log 文件 6. 设置 DSM 日志的权限, 以便 syslog 可以向其写入数据 7. 执行 : vi /etc/sysconfig/syslog 8. 修改 "SYSLOGD_OPTIONS" 并向选项添加 "-r" 9. 保存文件并退出 10. 重新启动 syslog: /etc/init.d/syslog restart 当 Syslog 运行时, 您将在以下位置看到日志 : /var/log/dsm.log 亚安全服务器深度安全防护系统管理中心设置您可以配置亚安全服务器深度安全防护系统管理中心, 以指示所有被管理的计算机发送日志至 Syslog 计算机, 或者可以独立配置个别计算机将管理中心配置为指示所有被管理的计算机使用 Syslog: 1. 转至管理 > 系统设置 > SIEM 选项卡 2. 在系统事件通知 ( 来自管理中心 ) 区域中, 设置将系统事件转发到远程计算机 ( 通过 Syslog) 选项 3. 键入 Syslog 计算机的主机名或 IP 地址 4. 输入要使用的 UDP 端口 ( 通常是 514) 5. 选择要使用的 Syslog 设备 ( 上面的 Red Hat 示例中为 Local4) 6. 选择要使用的 Syslog 格式公用事件格式 1.0 是 ArcSight ( 倡导的格式可在其 Web 站点上请求规范您现已配置亚安全服务器深度安全防护系统管理中心以指示所有现有和新的计算机缺省情况下使用远程 Syslog 有两个选项可指定从其发送 syslog 消的位置第一个选项 ( 直接转发 ) 直接从客户端或虚拟设备实时发送消第二个选项 ( 通过管理中心中继 ) 在收集有关波动号的事件之后从管理中心发送 syslog 消如果目标使用授权基于源的数量, 则可能需要从管理中心发送的选项如果从管理中心发送 syslog 消, 则存在若干差异为了保留原始主机名 ( 事件源 ), 提供了新的扩展名 ("dvc" 或 "dvchost") 如果主机名为 IPv4 地址, 则使用 "dvc";"dvchost" 用于主机名和 IPv6 地址此外, 如果标记了事件, 则使用扩展名 "TrendMicroDsTags"( 这仅适用于将来运行的自动标记, 因为仅当事件由管理中心收集时, 它们才通过 syslog 转发 ) 通过管理中心中继日志的产品仍将显示为亚安全服务器深度安全防护系统客户端 ; 但是, 其产品版本是管理中心的版本 39

40 Syslog 集成 (SIEM) 所有 CEF 事件都包括 dvc=ipv4 地址或 dvchost=hostname( 或 IPv6 地址 ) 以便确定事件的原始源这种扩展对于从虚拟设备或管理中心发送的事件很重要, 因为在这种情况下, 消的 syslog 发送者不是事件的发出者可针对特定策略以及在各台计算机上覆盖此缺省设置要在计算机上进行覆盖, 请找到要配置的计算机, 打开计算机编辑器, 转至设置, 然后单击 SIEM 选项卡如同计算机的许多其他设置一样, 您也可以指示它继承缺省设置, 或者覆盖缺省设置要指示此计算机忽略任何可继承的缺省设置, 请选择将事件转发到选项, 再输入另一个 syslog 服务器的详细, 或者根本不转发任何日志按照相同的过程覆盖策略的设置如果您在 SIEM 选项卡上为某个计算机选择了直接转发选项, 将无法选择日志事件扩展格式 2.0 作为 Syslog 格式亚安全服务器深度安全防护系统将仅使用 LEEF 格式通过管理中心发送事件解析 Syslog 消 (CEF) 基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展要确定日志条目到底来自亚安全服务器深度安全防护系统管理中心还是亚安全服务器深度安全防护系统客户端, 请查看设备产品文本框 : CEF 日志条目示例 : Jan 18 11:07:53 dsmhost CEF:0 AsiaInfo Security Deep Security Manager <DSM version> 600 Administrator Signed In 4 suser=master... 受虚拟设备保护但不具有客户虚拟机客户端的 VM 上发生的事件仍将标识为来自客户端要进一步确定触发事件的规则种类, 请查看签名 ID 和名称文本框 : 日志条目示例 : Mar 19 15:19:15 chrisds7 CEF:0 AsiaInfo Security Deep Security Agent <DSA version> 123 Out Of Allowed Policy 5 cn1=1... 以下签名 ID 值指示出已经触发的事件种类 : 签名 ID 描述 10 定制入侵防御规则 20 仅记录防火墙规则 21 拒绝防火墙规则 30 定制完整性监控规则 40 定制日志审查规则系统事件不允许的策略防火墙规则和防火墙状态配置入侵防御系统 (IPS) 内部错误 SSL 事件入侵防御规范化 1,000,000-1,999,999 亚安全入侵防御规则签名 ID 是入侵防御规则 ID + 1,000,000 2,000,000-2,999,999 亚安全完整性监控规则签名 ID 是入侵防御规则 ID + 2,000,000 3,000,000-3,999,999 亚安全日志审查规则签名 ID 是入侵防御规则 ID + 3,000,000 为亚安全防恶意软件事件保留签名 ID 是入侵防御规则 ID + 4,000,000 目前, 仅使用这些签名 ID: 4,000,000 4,000,001 4,000,002 4,000,000-4,999,999 4,000,003 4,000,010 4,000,011 4,000,012 4,000,013 5,000,000-5,999,999 为亚安全 Web 誉事件保留签名 ID 是入侵防御规则 ID + 5,000,000 目前, 仅使用这些签名 ID: 40

41 Syslog 集成 (SIEM) 签名 ID 描述 5,000,000 5,000,001 并非以下事件日志格式表中描述的所有 CEF 扩展都必须包括在每个日志条目中此外, 它们也可以不遵循以下所述的顺序如果使用正则表达式 (regex) 分析条目, 请确保您的表达式不依赖于存在每个键 / 值对或键 / 值对遵循特定顺序 Syslog 协议规范将 Syslog 消限制在 64K 字节以内在极少数情况下, 数据可能会被截断基本 Syslog 格式被限制为 1K 字节解析 Syslog 消 (LEEF 2.0) 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 2.0 日志条目示例 (DSM 系统事件日志示例 ): LEEF:2.0 AsiaInfo Security Deep Security Manager cat=system name=alert Ended desc=alert:cpu Warning Threshold Exceeded\nSubject: \nSeverity:Warning sev=3 src= usrname=system msg=alert:cpu Warning Threshold Exceeded\nSubject: \nSeverity:Warning TrendMicroDsTenant=Primary 亚安全服务器深度安全防护系统管理中心发起的事件系统事件日志格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 : CEF:0 AsiaInfo Security Deep Security Manager <DSM version> 600 User Signed In 3 src= suser=admin target=admin msg=user signed in from fe80:0:0:0:2d02:9870:beaa:fd41 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 2.0 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=system name=alert Ended desc=alert:cpu Warning Threshold Exceeded\nSubject: \nSeverity:Warning sev=3 src= usrname=system msg=alert:cpu Warning Threshold Exceeded\nSubject: \nSeverity:Warning TrendMicroDsTenant=Primary LEEF 格式使用预留的 "sev" 键表示严重性, 使用 "name" 表示名称值 CEF 扩展字段 LEEF 扩展字段名称描述示例 src src 源 IP 源亚安全服务器深度安全防护系统管理中心 IP 地地址址 src= suser usrname 源用户源亚安全服务器深度安全防护系统管理中心用户帐户 suser=masteradmin target target 目标实体事件目标实体事件的目标可能是登录到亚安全服务器深度安全防护系统管理中心的管理员帐户, 也可能是一台计算机 target=masteradmin target=server01 目标 targetid targetid 实体 ID 目标 targettype targettype 实体类型 msg msg 详细系统事件的详细可能包含事件的详细描述 msg=user password incorrect for username MasterAdmin on an attempt to sign in from

42 Syslog 集成 (SIEM) CEF 扩展字段 TrendMicroDsTags TrendMicroDsTenant LEEF 扩展字段 TrendMicroDsTags TrendMicroDsTenant 名称描述事件标记租户名称租户 TrendMicroDsTenantId TrendMicroDsTenantId ID 无 sev 严重性事件的严重性 1 代表最低的严重性,10 代表最高的严重性 cat 类别类别, 例如系统 name 名称事件名称 desc 描述事件描述示例 msg=a Scan for Recommendations on computer (localhost) has completed... 亚安全服务器深度安全防护系统客户端发起的事件防火墙事件日志格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 : CEF:0 AsiaInfo Security Deep Security Agent <DSA version> 20 Log for TCP Port 80 0 cn1=1 cn1label=host ID dvc=hostname act=log dmac=00:50:56:f5:7f:47 smac=00:0c:29:eb:35:de TrendMicroDsFrameType=IP src= dst= out=1019 cs3=df MF cs3label=fragmentation Bits proto=tcp spt=49617 dpt=80 cs2=0x00 ACK PSH cs2label=tcp Flags cnt=1 TrendMicroDsPacketData=AFB... 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=firewall name=remote Domain Enforcement (Split Tunnel) desc=remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1label=host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=deny dstmac=67:bf:1b:2f:13:ee srcmac=78:fd:e7:07:9f:2c TrendMicroDsFrameType=IP src= dst= out=177 cs3= cs3label=fragmentation Bits proto=udp srcport=23 dstport=445 cnt=1 CEF 扩展字段 LEEF 扩展字段名称描述防火墙规则所采取的操作可包含 :Log 或 Deny 如果规则或网 act=log act act 操作络引擎是在分接模式下工作, 则操作值前会附加 "IDS:" act=deny cn1 cn1label cnt cs2 cs2label cs3 cs3label cn1 cn1label cnt cs2 cs2label cs3 cs3label 主机可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计标识算机内部标识符符主机文本框 cn1 的友好名称标签 ID 重复连续重复此事件的次数计数 TCP ( 仅针对 TCP 协议 ) 如果设置了 TCP 标头位, 则会显示有后跟 URG ACK PSH RST SYN 和 FIN 文本框的原始 TCP 标志字标志节如果选择了通过管理中心中继, 则此扩展的输出仅包含标志名称 TCP 文本框 cs2 的友好名称标签标志数据包片如果已设置了 IP "Dont Fragment" 位, 会有 "DF" 文本框如段果已设置了 "IP More Fragments" 位, 会有 "MF" 文本框片段文本框 cs3 的友好名称标签位示例 cn1=113 cn1label=host ID cnt=8 cs2=0x10 ACK cs2=0x14 ACK RST cs2label=tcp Flags cs3=df cs3=mf cs3=df MF cs3label=fragmentation Bits 42

43 Syslog 集成 (SIEM) CEF 扩展字段 cs4 LEEF 扩展字段 cs4 名称 ICMP 描述类型 ( 仅针对 ICMP 协议 ) 按其各自顺序存储的 ICMP 类型和代码和代 ( 以空格分隔 ) 码示例 cs4=11 0 cs4=8 0 cs4label cs4label ICMP 文本框 cs4 的友好名称标签 cs4label=icmp Type and Code dmac dpt dst in out proto smac spt src TrendMicroDsFrameType dstmac dstport dst in out proto srcmac srcport src TrendMicroDsFrameType 目标 MAC 地址目标计算机网络接口 MAC 地址目标 ( 仅针对 TCP 和 UDP 协议 ) 目标计算机连接端口端口目标 IP 地址读取目标计算机 IP 地址的入 ( 仅针对入站连接 ) 读取的入站字节数站字节读取的出 ( 仅针对出站连接 ) 读取的出站字节数站字节传输所用的连接传输协议的名称协议源 MAC 地址源计算机网络接口 MAC 地址源端 ( 仅针对 TCP 和 UDP 协议 ) 源计算机连接端口口源 IP 地址以太源计算机 IP 地址网帧连接以太网帧类型类型数据 ( 如果已设置了包括数据包数据 ) 数据包数据的 Base64 编码副据中继选项, 则不包括此扩展 dmac= 00:0C:29:2F:09:B3 dpt=80 dpt=135 dst= dst= in=137 in=21 out=216 out=13 proto=tcp proto=udp proto=icmp smac= 00:0E:04:2C:02:B3 spt=1032 spt=443 src= src= TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI TrendMicroDsPacketData TrendMicroDsPacketData 包数本转义等号字符例如 "\=" 如果选择了通过管理中心 TrendMicroDsPacketData=AA...BA\= dvc dvchost TrendMicroDsTags TrendMicroDsTenant TrendMicroDsTenantId 无 dvc dvchost TrendMicroDsTags TrendMicroDsTenant TrendMicroDsTenantId sev 事件标记租户名称租户 ID cn1 的 IP 地址如果地址是 IPv4 地址, 使用 dvc 如果地址是 IPv6 地址或主机名, 则使用 dvchost cn1 的 IP 地址如果地址是 IPv6 地址或主机名, 使用 dvchost 如果地址是 IPv4 地址, 则使用 dvc 严重事件的严重性 1 代表最低的严重性,10 代表最高的严重性性 cat 类别类别, 例如防火墙 name desc 名称事件名称描述事件描述防火墙事件没有事件描述, 因此使用事件名称 43

44 Syslog 集成 (SIEM) 入侵防御事件日志格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 : CEF:0 AsiaInfo Security Deep Security Agent <DSA version> Test Intrusion Prevention Rule 3 cn1=1 cn1label=host ID dvchost=hostname dmac=00:50:56:f5:7f:47 smac=00:0c:29:eb:35:de TrendMicroDsFrameType=IP src= dst= out=1093 cs3=df MF cs3label=fragmentation Bits proto=tcp spt=49786 dpt=80 cs2=0x00 ACK PSH cs2label=tcp Flags cnt=1 act=ids:reset cn3=10 cn3label=intrusion Prevention Packet Position cs5=10 cs5label=intrusion Prevention Stream Position cs6=8 cs6label=intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3... 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=intrusion Prevention name=sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1label=host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstmac=55:c0:a8:55:ff:41 srcmac=ca:36:42:b1:78:3d TrendMicroDsFrameType=IP src= dst= out=166 cs3= cs3label=fragmentation Bits proto=icmp srcport=0 dstport=0 cnt=1 act=ids:reset cn3=0 cn3label=dpi Packet Position cs5=0 cs5label=dpi Stream Position cs6=0 cs6label=dpi Flags CEF 扩展字段 LEEF 扩展字段名称描述入侵防御规则所采取的操作可包含 :Block Reset 或 Log 如果规则或网络引擎在仅检测模式下工作, 则操作值前会附加 "IDS:" ( 在亚安全服务器深度安全防护系统 7.5 SP1 前的版 act act 操作本中写入的 IPS 规则还可以执行 Insert Replace 和 Delete cn1 cn1label cn3 cn3label cnt cs1 cs1label cs2 cs2label cn1 cn1label cn3 cn3label cnt cs1 cs1label cs2 cs2label 操作现在不再执行这些操作如果触发了仍尝试执行这些操作的旧版 IPS 规则, 则事件将指示该规则是以仅检测模式应用的 ) 主机可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计标识算机内部标识符符主机文本框 cn1 的友好名称标签 ID 入侵防御数据触发事件的数据的数据包内部位置包位置入侵防御数据文本框 cn3 的友好名称标签包位置重复连续重复此事件的次数计数示例 act=block cn1=113 cn1label=host ID cn3=37 cn3label=intrusion Prevention Packet Position cnt=8 入侵 ( 可选 ) 包含与有效载荷文件相关联的简短二进制或文本注释的防御注释文本框如果注释文本框的值全部为可打印的 ASCII 字符, 过滤 cs1=drop_data 将会记录为文本, 并且会将空格转换为下划线如果此文本框包器注含二进制数据, 则会使用 Base-64 编码进行记录释入侵防御文本框 cs1 的友好名称标签注释 ( 仅针对 TCP 协议 ) 如果设置了 TCP 标头位, 则会显示有后跟 TCP URG ACK PSH RST SYN 和 FIN 文本框的原始 TCP 标志字标志节 TCP 文本框 cs2 的友好名称标签标志 cs1label=intrusion Prevention Note cs2=0x10 ACK cs2=0x14 ACK RST cs2label=tcp Flags 44

45 Syslog 集成 (SIEM) CEF 扩展字段 cs3 cs3label cs4 LEEF 扩展字段 cs3 cs3label cs4 名称数据描述包片如果已设置了 IP "Dont Fragment" 位, 会有 "DF" 文本框如段果已设置了 "IP More Fragments" 位, 会有 "MF" 文本框片段文本框 cs3 的友好名称标签位 ICMP 类型 ( 仅针对 ICMP 协议 ) 按其各自顺序存储的 ICMP 类型和代码和代 ( 以空格分隔 ) 码示例 cs3=df cs3=mf cs3=df MF cs3label=fragmentation Bits cs4=11 0 cs4=8 0 cs4label cs4label ICMP 文本框 cs4 的友好名称标签 cs4label=icmp Type and Code cs5 cs5label cs6 cs6label dmac dpt dst in out proto smac spt src cs5 cs5label cs6 cs6label dstmac dstport dst in out proto srcmac srcport src 入侵防御触发事件的数据的流内部位置流位置入侵防御文本框 cs5 的友好名称标签流位置入侵防御 1 - 已截短数据 - 无法记录数据过滤 2 - 日志溢出 - 日志在此日志后溢出器标 4 - 已抑制 - 在此日志后抑制了日志阈值志入侵包括以下标志值的和的组合值 : 8 - 包含数据 - 包含数据包数据 16 - 引用数据 - 引用先前已记录的数据防御文本框 cs6 的友好名称标签标志目标 MAC 地址目标计算机网络接口 MAC 地址目标 ( 仅针对 TCP 和 UDP 协议 ) 目标计算机连接端口端口目标 IP 地址读取目标计算机 IP 地址的入 ( 仅针对入站连接 ) 读取的入站字节数站字节读取的出 ( 仅针对出站连接 ) 读取的出站字节数站字节传输所用的连接传输协议的名称协议源 MAC 地址源计算机网络接口 MAC 地址源端 ( 仅针对 TCP 和 UDP 协议 ) 源计算机连接端口口源 IP 地址源计算机 IP 地址 cs5=128 cs5=20 cs5label=intrusion Prevention Stream Position 以下示例可能是 1( 已截短数据 ) 和 8( 包含数据 ) 的求和组合 : cs6=9 cs6=intrusion Prevention Filter Flags dmac= 00:0C:29:2F:09:B3 dpt=80 dpt=135 dst= dst= in=137 in=21 out=216 out=13 proto=tcp proto=udp proto=icmp smac= 00:0E:04:2C:02:B3 spt=1032 spt=443 src= src=

46 Syslog 集成 (SIEM) CEF 扩展字段 TrendMicroDsFrameType LEEF 扩展字段 TrendMicroDsFrameType 名称以太描述网帧连接以太网帧类型类型数据 ( 如果已设置了包括数据包数据 ) 数据包数据的 Base64 编码副据中继选项, 则不包括此扩展示例 TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI TrendMicroDsPacketData TrendMicroDsPacketData 包数本转义等号字符例如 "\=" 如果选择了通过管理中心 TrendMicroDsPacketData=AA...BA\= dvc dvchost TrendMicroDsTags TrendMicroDsTenant TrendMicroDsTenantId 无 dvc dvchost TrendMicroDsTags TrendMicroDsTenant TrendMicroDsTenantId sev 事件标记目标名称租户 ID cn1 的地址如果该地址是 IPv4 地址, 使用 dvc 否则使用 dvchost 严重事件的严重性 1 代表最低的严重性,10 代表最高的严重性性 cat 类别类别, 例如入侵防御 name desc 名称事件名称描述事件描述入侵防御事件没有事件描述, 因此使用事件名称日志审查事件格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 : CEF:0 AsiaInfo Security Deep Security Agent <DSA version> Microsoft Windows Events 8 cn1=1 cn1label=host ID dvchost=hostname cs1label=li Description cs1=multiple Windows Logon Failures fname=security src= duser=(no user) shost=win-rm6hm42g65v msg=winevtlog Security:AUDIT_FAILURE(4625):Microsoft-Windows-Security-Auditing:(no user):no domain:win-rm6hm42g65v:an account failed to log on.subject:.. 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=log Inspection name=mail Server - MDaemon desc=server Shutdown. sev=3 cn1=37 cn1label=host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=server Shutdown. cs1label=li Description fname= shost= msg= CEF 扩展字段 LEEF 扩展字段名称描述示例 cn1 cn1 主机标识符可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符 cn1=113 cn1label cn1label 主机 ID 文本框 cn1 的友好名称标签 cn1label=host ID 特定 cs1 cs1 子规则触发此事件的日志审查子规则 cs1=multiple Windows audit failure events cs1label cs1label LI 描述文本框 cs1 的友好名称标签 cs1label=li Description duser duser 用户 ( 如果存在可解析的用户名 ) 启动日志条目的目标用户的名称 duser=(no user) duser=network SERVICE fname fname 目标实体日志审查规则目标实体可能包含文件或目录路径注册表项等 fname=application fname=c:\program Files\CMS\logs\server0.log msg msg 详细日志审查事件的详细可能包含检测到的日志事件的详细描述 msg=winevtlog:application:audit_failure(20187):pgevent:(no user):no domain:server01:remote login failure for user 'xyz' 46

47 Syslog 集成 (SIEM) CEF 扩展字段 shost src dvc dvchost TrendMicroDsTags TrendMicroDsTenant LEEF 扩展字段 shost src dvc dvchost TrendMicroDsTags TrendMicroDsTenant 名称源主机名源 IP 地址事件标记租户名称租户 TrendMicroDsTenantId TrendMicroDsTenantId ID 无 sev 严重性描述源计算机主机名源计算机 IP 地址 cn1 的地址如果该地址是 IPv4 地址, 使用 dvc 否则使用 dvchost 事件的严重性 1 代表最低的严重性, 10 代表最高的严重性 cat 类别类别, 例如日志审查 name desc 名称事件名称描述事件描述示例 shost=webserver01.corp.com src= src= 完整性监控日志事件格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 : CEF:0 AsiaInfo Security Deep Security Agent <DSA version> 30 New Integrity Monitoring Rule 6 cn1=1 cn1label=host ID dvchost=hostname act=updated filepath=c:\\windows\\message.dll msg=lastmodified,sha1,size 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=integrity Monitor name=microsoft Windows - System file modified desc=microsoft Windows - System file modified sev=8 cn1=37 cn1label=host ID dvchost=laptop_adaggs TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated CEF 扩展字段 LEEF 扩展字段名称描述 act act 操作完整性规则检测到的操作可包含 : 创建更新检测或更名 cn1 cn1label filepath msg oldfilepath cn1 cn1label filepath msg oldfilepath 主机标识符主机 ID 目标实体属性更改旧目标实体可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符文本框 cn1 的友好名称标签完整性规则目标实体可能包含文件或目录路径注册表项等 ( 仅针对 "updated" 操作 ) 已更改的属性名称的列表如果选择了通过管理中心中继, 则所有事件操作类型都包括完整描述 ( 仅针对 "renamed" 操作 ) 要捕获从先前的目标实体到新目标实体的更名操作的先前完整性规则目标实体会记录在 filepath 文本框中 dvc dvc cn1 的地址如果该地址是 IPv4 地址, 使用 dvc 否则使用 dvchost dvchost TrendMicroDsTags TrendMicroDsTenant dvchost TrendMicroDsTags TrendMicroDsTenant 事件标记租户名称示例 act=created act=deleted cn1=113 cn1label=host ID filepath=c:\windows\ system32\drivers\etc\hosts msg=lastmodified,sha1,size oldfilepath=c:\windows\ system32\logfiles\ ds_agent.log 47

48 Syslog 集成 (SIEM) CEF 扩展字段 LEEF 扩展字段租户 TrendMicroDsTenantId TrendMicroDsTenantId ID 无 sev 名称描述严重性事件的严重性 1 代表最低的严重性,10 代表最高的严重性 cat 类别类别, 例如完整性监控程序 name 名称事件名称 desc 描述事件描述完整性监控程序事件没有事件描述, 因此使用事件名称示例防恶意软件事件格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 :CEF:0 AsiaInfo Security Deep Security Agent <DSA version> Eicar_test_file 6 cn1=1 cn1label=host ID dvchost=hostname cn2=205 cn2label=quarantine File Size filepath=c:\\users\\trend\\desktop\\eicar.txt act=delete msg=realtime 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=anti-malware name=spyware_keyl_active desc=spyware_keyl_active sev=6 cn1=45 cn1label=host ID dvchost=laptop_mneil TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs3=c:\\windows\\system32\\certreq.exe cs3label=infected Resource cs4=10 cs4label=resource Type cs5=50 cs5label=risk Level act=clean msg=realtime CEF 扩展字段 cn1 LEEF 扩展字段 cn1 名称主机标识符描述可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符 cn1label cn1label 主机 ID 文本框 cn1 的友好名称标签 cn1label=host ID cn2 cn2label filepath cn2 cn2label filepath 文件大小文件大小文件路 act act 操作径示例 cn1=1 隔离文件的大小仅当选择了从客户端 / 设备直接转发时才包括此扩 cn2=100 展文本框 cn2 的友好名称标签目标文件的位置防恶意软件引擎执行的操作可能的值有 : 拒绝访问隔离删除不予处理清除和未指定 msg msg 消扫描类型可能的值有 :Realtime Scheduled 和 Manual dvc dvchost TrendMicroDsTags TrendMicroDsTenant dvc dvchost TrendMicroDsTags TrendMicroDsTenant 事件标记租户名 TrendMicroDsTenantId TrendMicroDsTenantId 租户 ID 称 cn1 的地址如果该地址是 IPv4 地址, 使用 dvc 否则使用 dvchost 无 sev 严重性事件的严重性 1 代表最低的严重性,10 代表最高的严重性 cat 类别类别, 例如防恶意软件 name 名称事件名称 desc 描述事件描述防恶意软件事件没有事件描述, 因此使用事件名称 cn2label=quarantine File Size filepath=c:\\virus\\ei1.txt act=clean act=pass msg=realtime msg=scheduled Web 誉事件格式基本 CEF 格式 : CEF: 版本设备供应商设备产品设备版本签名 ID 名称严重性扩展 CEF 日志条目示例 :CEF:0 AsiaInfo Security Deep Security Agent <DSA version> WebReputation 5 cn1=1 cn1label=host ID dvchost=hostname request=site.com msg=blocked By Admin 48

49 Syslog 集成 (SIEM) 基本 LEEF 2.0 格式 :LEEF:2.0 供应商产品版本事件 ID ( 分隔符字符, 为 Tab 时可选 ) 扩展 LEEF 日志条目示例 : LEEF:2.0 AsiaInfo Security Deep Security Manager cat=web Reputation name=webreputation desc=webreputation sev=6 cn1=3 cn1label=host ID dvchost=hr_data2 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request= msg=suspicious CEF 扩展字段 cn1 LEEF 扩展字段 cn1 名称主机标识符描述可用来从所给 syslog 事件中唯一标识客户端计算机的客户端计算机内部标识符 cn1label cn1label 主机 ID 文本框 cn1 的友好名称标签 cn1label=host ID request request 请求请求的 URL request=site.com msg msg 消操作类型可能的值有 :Realtime Scheduled 和 Manual dvc dvc cn1 的地址如果该地址是 IPv4 地址, 使用 dvc 否则使用 dvchost dvchost dvchost TrendMicroDsTags TrendMicroDsTags 事件标记 TrendMicroDsTenant TrendMicroDsTenant 租户名称 TrendMicroDsTenantId TrendMicroDsTenantId 租户 ID 无 sev 严重性事件的严重性 1 代表最低的严重性,10 代表最高的严重性 cat 类别类别, 例如 Web 誉 name 名称事件名称 desc 描述事件描述 Web 誉事件没有事件描述, 因此使用事件名称示例 cn1=1 msg=realtime msg=scheduled 另请参阅 : 策略继承与覆盖 ( 第 256 页 ) 49

中继组中继组中继是亚安全服务器深度安全防护系统客户端内的一个模块, 负责安全更新和软件更新的下载和发布管理中心指示中继获取最新的更新 ; 新更新可用时, 会自动指示客户端和设备从中继提取其更新中继模块仅可用于 64 位 Windows 和 Linux 客户端缺省情况下是关闭的要启用客户端中的中继模块, 请打开计算机 ( 运行激活的 64 位 Windows 或 Linux 客户端 )

50 中继组中继组中继是亚安全服务器深度安全防护系统客户端内的一个模块, 负责安全更新和软件更新的下载和发布管理中心指示中继获取最新的更新 ; 新更新可用时, 会自动指示客户端和设备从中继提取其更新中继模块仅可用于 64 位 Windows 和 Linux 客户端缺省情况下是关闭的要启用客户端中的中继模块, 请打开计算机 ( 运行激活的 64 位 Windows 或 Linux 客户端 ) 的计算机编辑器窗口, 转至概述 > 操作 > 软件, 然后单击启用中继启用中继中继组织成中继组新启用的中继被分配给缺省中继组缺省中继组除非另外配置, 否则客户端 / 设备从缺省中继组检索更新亚安全建议特定地理区域或办公室内计算机上的客户端配置为从相同区域中的中继组下载更新中继组可能仅包含一个成员中继但是, 为了改进性能和冗余, 中继组可以配置为包含多个成员中继为了分发负载和故障影响, 未按优先级排列组中的中继 - 自动分配给中继组的每个客户端 / 设备将随机选择要连接到的成员中继客户端 / 设备尝试下载更新时, 如果初始中继无法响应, 则客户端 / 设备将从组中随机选择要从中更新的其他成员中继由于每个客户端 / 设备均随机选择列表, 因此它们会以不同顺序联系中继中继可从另一个中继组获取安全更新, 而不是从另一个中继 ( 即使它们两个都是同一中继组的一部分 ) 中继必须从另一层级较高的中继组或另一已配置的安全更新源处获取更新请注意, 当中继忙于对客户端 / 设备更新时, 它将会拒绝来自其他客户端 / 设备的新连接中继组可能会在层次结构中进行排列以优化带宽并提供更多冗余尽管您的环境 ( 可从亚安全更新服务器中下载安全更新 ) 中必须始终至少具有一个中继组, 但某个中继组可能会从其他中继组下载更新如果无法与已分配的中继组联系, 客户端 / 设备将切换到父中继组从那时起, 客户端 / 设备将尝试与父中继组中的成员中继联系以获取更新中继始终从在中继组层次结构中高一级的组或者从亚安全更新服务器中检索更新它们从不会从同一中继组中的其他中继检索更新可以指定如果已启用中继的客户端不可访问, 客户端 / 设备是否可以从主安全更新源下载特征码更新要更改设置, 请转至系统设置 > 更新, 并更改位于安全更新安全更新区域中的特征码特征码设置创建中继组 1. 安装并激活中继之后, 进入管理 > 更新 > 中继组 2. 单击新建, 并使用中继组中继组向导创建并命名您的中继组, 选择属于该组成员的中继 3. 对于主中继组, 在从以下位置下载更新部分, 选择主安全更新源此设置将从管理 > 系统设置 > 更新选项卡上的中继部分中配置的更新源 URL 中下载更新 4. 重复执行步骤 2 以创建更多中继组要创建层次结构, 请在从以下位置下载更新从以下位置下载更新中选择要使新中继组成为现有中继组的源尚未配置到任何中继组的中继会自动配置为缺省中继组的成员 50

51 中继组新激活的中继将由管理中心自动通知, 以便更新其安全更新内容将客户端 / 设备分配给中继组 1. 在计算机页面中, 右键单击选定计算机, 然后选择处理措施 > 分配中继组从下拉列表中选择要使用的中继组, 或从计算机详细窗口中使用从以下位置下载更新 : 以选择中继组 2. 要分配多台计算机, 请在计算机页面中按住 Shift 或 Ctrl 单击列表中的选定计算机选择处理措施 > 分配中继组从下拉列表中选择希望所有选定计算机使用的中继组选择多台计算机时, 如果分配中继组分配中继组处理措施可用于您选定的所有计算机, 则该处理措施只能用于选择 3. 要查看所有中继组分配, 请在管理 > 系统设置 > 更新中单击查看中继组... 按钮对于列表中的每个中继组, 单击鼠标右键并选择属性属性转到已分配给已分配给选项卡以查看已分配给该中继组的客户端 / 设备列表 ( 为了快速更改客户端 / 设备的分配, 单击已分配给列表上的链接将打开该客户端 / 设备的计算机详细计算机详细页面, 您可以从中选择其他中继组分配 ) 尚未分配给特定中继组的客户端 / 设备将自动分配给缺省中继组修改中继组后, 已向其 ( 包括子中继组 ) 分配的计算机上将自动更新配置还可以创建一个基于事件的任务, 该任务会在将计算机添加到管理中心的计算机计算机页面后自动向其分配中继组有关更多, 请参阅基于事件的任务仅更新防恶意软件特征码此选项在中继组仅包含 9.5 之前版本的亚安全服务器深度安全防护系统客户端时可用在某些情况下, 您可能希望仅应用防恶意软件特征码更新, 而将防恶意软件引擎更新排除在外为此, 请 1. 转至管理 > 更新 > 中继组 2. 双击某个中继组以打开其属性属性窗口 3. 在中继组属性中继组属性选项卡的更新更新区域中, 选择仅更新特征码仅更新特征码单击确定确定由于中继在组中运行, 因此, 只能在中继组 ( 而非各个中继 ) 上设置此选项如果中继组组织到层次结构中, 并且其中一个中继组启用了此设置, 则其下的中继组将不会接收或分发引擎更新, 不论是否为该组选中了此设置如果启用了此选项, 管理 > 更新 > 安全更新选项卡可能会指出您的某些计算机已过期这是因为管理中心通过将某个计算机上的更新状态与所有可分发的更新 ( 包括特征码更新 ) 进行比较来完成评估启动安全更新对于全系统更新, 请转至管理 > 更新 > 安全, 然后单击检查更新并下载... 按钮要对特定客户端 / 设备执行安全更新, 请从计算机计算机页面的计算机列表中选择客户端 / 设备, 然后右键单击并选择操作 > 下载安全更新要预设常规检查安全更新检查安全更新任务, 请转至管理 > 预设任务, 然后创建检查安全更新检查安全更新类型的新预设任务预设任务更新源中继组层次结构顶部的中继组内的中继连接至主安全更新源您可以在亚安全服务器深度安全防护系统管理中心的管理 > 系统设置 > 更新选项卡中配置主更新源 : 51

52 中继组中继组可以配置为从主更新源或者从其他中继组下载其安全更新要配置中继组的下载源, 请转至管理 > 更新 > 中继组页面, 然后打开中继组的属性属性窗口 52

53 中继组代理服务器每个中继组 ( 缺省中继组除外 ) 可以配置为使用单独的代理服务器连接至亚安全以检索安全更新缺省中继组与安全防护系统使用相同的代理服务器连接至 Internet 亚安全服务器深度将中继组配置为使用代理服务器 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 更新 > 中继组, 然后双击一个中继组以显示其属性属性窗口 2. 在代理服务器代理服务器选项卡上, 从主安全更新代理服务器主安全更新代理服务器下拉列表中选择代理服务器 3. 单击确定确定在管理 > 系统设置 > 代理服务器选项卡上维护可用代理服务器的列表 53

54 安全更新安全更新亚安全服务器深度安全防护系统需要定期更新, 以便包含最新的安全更新和软件更新以安全更新安全更新形式从亚安全检索更新包已启用中继的客户端以中继组中继组的形式进行组织 ( 也由亚安全服务器深度安全防护系统管理中心管理和配置 ), 用于从亚安全检索安全更新并将它们分发到客户端和设备 : 安全更新在配置安全更新前, 您必须已安装并激活客户端和设备 ( 以及将用于分发更新的已启用中继的客户端 ) 亚安全服务器深度安全防护系统安装指南中提供了所有亚安全服务器深度安全防护系统软件的安装说明要配置安全更新, 您将需要 : 1. 配置安全更新源 2. 将已启用中继的客户端组织成中继组 3. 将中继组分配给客户端 / 设备 4. 特例 : 在气隙环境中已启用中继的客户端上配置更新配置安全更新源要查看您的当前更新源设置, 请转至管理 > 系统设置 > 更新 : 54

55 安全更新在特征码更新已经从亚安全下载并可使用一小时以上但电脑仍未更新时, 会引发警报安全更新在安全更新区域中, 设置您的更新源缺省情况下, 更新源是通过 Internet 访问的亚安全更新服务器除非您的支持提供商已告知您进行更改, 否则, 请保留原设置您可能在并不始终与亚安全服务器深度安全防护系统管理中心或中继保持联系的漫游计算机上安装了客户端要在中继组不可用的情况下允许客户端使用上述更新源, 请选择如果中继不可用, 则允许客户端 / 设备从主安全更新源直接下载特征码更新从主安全更新源直接下载特征码更新选项要在客户端未与亚安全服务器深度安全防护系统管理中心联系的情况下允许客户端从中继或更新服务器进行更新, 请选择如果亚安全服务器深度安全防护系统管理中心无法访问, 则允许客户端 / 设备下载特征码更新 ( 如果您不希望在计算机没有与管理中心联系并因此可能远离任何支持服务的情况下进行存在潜在问题的安全更新, 您可能希望在该计算机上取消选中此选项 ) 自动将规则更新应用到策略 : 亚安全有时会发布对现有亚安全服务器深度安全防护系统规则的更新此设置决定是否在安全更新期间将已更新的规则发送到计算机更新现有规则可以改进此规则的效率, 或者修复缺陷因此, 尽管最好在将新规则部署到生产环境之前先对其进行测试 ( 仅检测模式下或在测试环境中 ), 但自动将更新应用到现有规则是一个安全选择在规则更新已经从亚安全下载并可使用三十分钟以上但电脑仍未更新时, 会引发警报代理服务器如果中继必须连接到代理服务器才能访问 Internet( 以及亚安全更新服务器 ), 您可以在管理 > 系统设置 > 代理服务器选项卡的代理服务器区域中定义代理服务器 55

56 安全更新启动安全更新对于全系统更新, 请转至管理 > 更新 > 安全, 然后单击检查更新并下载... 按钮要对特定客户端 / 设备执行安全更新, 请从计算机计算机页面的计算机列表中选择客户端 / 设备, 然后右键单击并选择操作 > 下载安全更新要预设常规检查安全更新检查安全更新任务, 请转至管理 > 预设任务, 然后创建检查安全更新检查安全更新类型的新预设任务预设任务将已启用中继的客户端组织成中继组亚安全服务器深度安全防护系统安装至少需要一个已启用中继的客户端将已启用中继的客户端组织成中继组 ( 即使组内只有一个已启用中继的客户端 ) 使用管理中心激活已启用中继的客户端后, 该客户端将添加到名为缺省中继组缺省中继组的组中此中继组将始终作为新的已启用中继客户端的首选中继组激活后, 您可以将新的已启用中继客户端从一个中继组移至另一个中继组要查看当前中继组或创建新中继组, 请转至管理 > 更新 > 中继组以组级别为已启用中继的客户端分配更新源缺省情况下, 将中继组配置为从管理 > 系统设置 > 更新选项卡上指定的更新源获取其更新但是, 可以将中继组配置为从其他中继组获取其更新, 从而创建了中继组的层次结构已启用中继的客户端可从另一个中继组获取安全更新, 而不是从另一个已启用中继的客户端 ( 即使这两个客户端属于同一中继组 ) 已启用中继的客户端必须从另一个层级较高的中继组或另一个已配置的安全更新源处获取更新有关中继组的更多, 请参阅用户指南中的中继组中继组 ( 第 50 页 ) 将中继组分配给客户端 / 设备建立中继组并将其配置为与更新源连接时, 您可以将中继组分配给客户端和设备要将中继组分配给客户端 / 设备, 请转至计算机页面, 右键单击计算机并选择操作 > 分配中继组... 此时将显示可用中继组的列表, 您可以从中进行选择特例 : 在气隙环境中已启用中继的客户端上配置更新在典型环境中, 至少配置一个已启用中继的客户端, 且该客户端可以从亚安全更新服务器下载更新, 其余已启用中继的客户端或客户端和设备连接到该已启用中继的客户端以分发更新但是, 如果环境要求不允许已启用中继的客户端通过 Internet 连接到已启用中继的客户端或更新服务器, 则还有一种替代方法, 可以将更新包导入已启用中继的客户端以分发给其他亚安全服务器深度安全防护系统软件组件使用已启用中继的客户端生成更新包如果已启用中继的客户端能够从亚安全更新服务器下载最新更新, 则可以指示该客户端生成可导出的安全更新包, 以便能够导入其他已启用气隙中继的客户端 56

57 安全更新要创建安全更新包, 请在已启用中继客户端上的命令行中输入 : dsa_control -b 命令行输出将显示生成的.zip 文件的名称和位置将更新导入已启用气隙中继的客户端在脱机环境下, 将命令行生成的.zip 文件复制到已启用中继的客户端的安装目录中 ( 在 Windows 上缺省目录为 "C:\Program Files\ AsiaInfo Security\Deep Security Agent" 在 Linux 上缺省目录为 "/opt/ds_agent" ) 从亚安全服务器深度安全防护系统管理中心启动安全更新下载 ( 预设或手动 ) 时, 如果任意已启用中继的客户端无法从已配置的更新源位置获取更新, 该客户端将自动检查其安装目录中是否存在中继更新.zip 文件如果找到压缩的更新包, 已启用中继的客户端将提取并导入更新不要重命名.zip 更新文件在成功将更新导入已启用中继的客户端后删除更新.zip 文件为已启用气隙中继的客户端配置更新源已启用气隙中继的客户端将尝试联系更新服务器以检查是否存在更新要避免更新失败警报, 已启用中继的客户端可以将自己设置为更新源 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 系统设置 > 更新 > 主安全更新源 2. 在安全更新安全更新区域中, 选择其他更新源其他更新源并输入 " 3. 单击确定确定 57

58 软件更新软件更新亚安全服务器深度安全防护系统软件更新由亚安全服务器深度安全防护系统管理中心管理和分发管理中心定期连接到亚安全更新服务器以检查可用的软件更新如果其确定存在更新, 它将发出警报以进行更新您将使用亚安全服务器深度安全防护系统管理中心下载和分发软件更新 : 在您接收到新软件可用警报时, 必须将该软件导入亚安全服务器深度安全防护系统管理中心将软件导入亚安全服务器深度安全防护系统管理中心 : 1. 转至管理 > 更新 > 软件 2. 检查页面的亚安全下载专区部分, 查看是否有任何新的软件更新如果没有新更新, 该部分将显示所有已导入的软件已是最新如果有更新, 请选择您需要的软件包然后单击导入导入单击时按住 Shift 或 Ctrl 键可选择多个软件包 3. 当已导入已导入列中出现绿色复选标记时, 说明软件包已经下载到亚安全服务器深度安全防护系统管理中心软件包还将出现在管理 > 更新 > 本地中 4. 经过一段时间后, 中继将复制这些软件包软件导入亚安全服务器深度安全防护系统管理中心中后, 即可升级亚安全服务器深度安全防护系统客户端设备和中继 : 要更新特定客户端, 请在计算机页面上右键单击该客户端, 然后选择操作 > 升级客户端 / 设备 / 中继软件要一次性升级所有客户端, 请转到管理 > 更新 > 软件, 然后单击升级客户端 / 设备软件 58

59 虚拟设备扫描缓存虚拟设备扫描缓存简介扫描缓存由虚拟设备用于最大限度地提高虚拟机防恶意软件扫描和完整性监控扫描的效率扫描缓存通过在大型 VMware 部署的多个 VM 中消除对相同内容进行不必要的扫描来提高扫描的效率扫描缓存包含亚安全服务器深度安全防护系统防护模块已扫描的文件和其他扫描目标的列表如果确定虚拟机上的扫描目标与已扫描的目标相同, 则虚拟设备不会再次扫描该目标用于确定实体是否相同的属性包括创建时间修改时间文件大小和文件名对于实时扫描缓存, 亚安全服务器深度安全防护系统将读取部分文件内容来确定两个文件是否相同有一个使用文件更新序列号 (USN, 仅限 Windows) 的选项设置, 但仅限于克隆的虚拟机扫描缓存通过在克隆虚拟机或类似虚拟机中共享完整性监控扫描结果来使完整性监控完整性监控受益扫描缓存通过加快后续扫描的速度来使克隆虚拟机或类似虚拟机的恶意软件手动扫描恶意软件手动扫描受益扫描缓存通过加快克隆虚拟机或类似虚拟机的启动过程扫描和应用程序访问扫描速度来使恶意软件实时扫描恶意软件实时扫描受益通过允许虚拟设备同时对多个虚拟机执行并发扫描, 这些效率方面的改进会进一步提高整体扫描性能扫描缓存配置扫描缓存配置是各种设置的集合, 用于确定到期时间更新序列号 (USN) 的使用要排除的文件以及要包括的文件使用相同扫描缓存配置的虚拟机还会共享相同的扫描缓存您可以查看现有扫描缓存配置的列表, 方法是转至管理 > 系统设置 > 高级 > 扫描缓存配置并单击查看扫描缓存配置置... 按钮亚安全服务器深度安全防护系统自带了多个预配置的缺省扫描缓存配置虚拟设备将根据受保护虚拟机的属性以及正在执行的扫描类型自动执行这些配置到期时间可确定扫描缓存中各个条目的期限缺省的建议设置为 : 手动 ( 按需 )/ 预设恶意软件扫描为一天, 实时恶意软件扫描为 15 分钟, 而完整性监控扫描为一天使用 USN ( 仅限 Windows) 指定是否利用 Windows NTFS 更新序列号, 该序列号是用于记录单个文件更改的 64 位号码此选项仅针对克隆的 VM 设置包括的文件和排除的文件排除的文件是正则表达式特征码以及要包括在扫描缓存中或从中排除的文件的列表要扫描的文件首先应该与包括列表匹配可以根据名称来标识各个文件和文件夹, 或使用通配符 ("*" 和 "?") 来引用具有单个表达式的多个文件和 / 或位置 ( 使用 "*" 表示零个或多个字符, 使用问号 "?" 表示任意单个字符 ) 包括列表和排除列表仅可以确定文件的扫描是否利用扫描缓存功能这些列表不会阻止文件以传统方法进行扫描恶意软件扫描缓存配置要选择虚拟机使用哪个扫描缓存配置, 请打开策略或计算机编辑器, 然后转至防恶意软件 > 高级 > VM 扫描缓存可以选择哪个扫描缓存配置用于恶意软件实时扫描, 哪个扫描缓存配置用于手动 / 预设扫描完整性监控扫描缓存配置要选择虚拟机使用哪个扫描缓存配置, 请打开策略或计算机编辑器, 然后转至完整性监控 > 高级 > VM 扫描缓存 59

60 虚拟设备扫描缓存扫描缓存设置扫描缓存设置不包含在扫描缓存配置设置中, 因为它们确定的是虚拟设备管理扫描缓存的方式, 而不是执行扫描缓存的方式扫描缓存设置在策略级别进行控制您可以通过打开策略编辑器并转至设置 > 扫描 > 虚拟设备扫描区域来查找扫描缓存设置最大并发扫描数可确定虚拟设备将同时执行的扫描数建议的数量为 5 如果您将此数量增加至 10 以上, 扫描性能可能会开始降低扫描请求由虚拟设备进行排队, 并按照到达的先后顺序执行该设置适用于手动 / 预设扫描恶意软件按需扫描的最大缓存条目数可确定恶意软件手动扫描或恶意软件预设扫描的最大记录数, 这些记录用于标识并描述要保存的文件或其他类型的可扫描内容一百万个条目将使用约 100MB 的内存恶意软件实时扫描的最大缓存条目数可确定恶意软件实时扫描的最大记录数, 这些记录用于标识并描述要保存的文件或其他类型的可扫描内容一百万个条目将使用约 100MB 的内存完整性监控扫描的最大缓存条目数可确定完整性监控的最大实体 ( 包括在完整性监控的基线数据中 ) 数量二十万个实体将使用约的内存 100MB 应该何时更改缺省配置或设置? 扫描缓存旨在避免重复扫描相同的文件亚安全服务器深度安全防护系统不会检查所有文件的全部内容来确定文件是否相同虽然配置为执行如此操作时, 亚安全服务器深度安全防护系统会检查文件的 USN 值, 但在实时扫描期间它只会读取部分文件内容, 通常是检查文件的属性来确定文件是否相同对于某些恶意软件而言, 更改文件然后将这些文件的属性恢复到文件修改之前的状态是很困难的, 但并非不可能亚安全服务器深度安全防护系统可通过建立较短的缺省缓存到期时间来限制此潜在漏洞为加强安全性, 您可以使用更短的缓存到期时间, 也可以使用 USN, 但这样做会降低性能和 / 或可能需要更大的缓存设置为让想要保持独立且从不共享扫描结果的 VM 达到最强的安全性, 您可以为这些 VM 创建专用策略, 例如将其保存在单独的区域中如果不同部门或组织之间共享相同的基础架构, 这可能非常适用 ( 将为不同租户自动执行此操作 ) 如果每台主机拥有大量 VM( 例如,VDI- 亚科技虚拟桌面支持 ), 则应该在扫描期间监控磁盘 I/O 和 CPU 使用情况如果扫描已花费很长的时间, 则可能需要增加缓存大小或调整缓存扫描设置以获取所需性能如果想要增加缓存大小, 则可能需要相应地调整虚拟设备系统内存 60

61 用户管理用户管理亚安全服务器深度安全防护系统具有用户用户角色角色和联系人, 它们位于管理 > 用户管理之下用户是亚安全服务器深度安全防护系统帐户持有者, 可以通过唯一的用户名和密码登录亚安全服务器深度安全防护系统管理中心用户分配有角色, 即用于在亚安全服务器深度安全防护系统管理中心中查看数据和执行操作的权限集合联系人不具有用户帐户, 并且也不能登录亚安全服务器深度安全防护系统管理中心, 但是可以将其指定为电子邮件通知和预设报告的收件人虽然联系人不能登录亚安全服务器深度安全防护系统管理中心, 但他们分配有定义发送给他们的的范围的角色例如, 三个联系人可能都列为每周摘要报告的收件人, 但对于每个联系人, 报告的内容可能完全不同, 具体取决于其角色向其分配查看权限所在的计算机基于角色的访问权限和编辑权限访问权限和编辑权限附加到角色, 而不附加到用户要更改单个用户的访问权限和编辑权限, 必须向用户分配不同角色, 或者编辑角色本身对计算机和策略的基于角色的访问角色具备的对计算机和策略的访问权限可限于部分计算机和策略可以非常详细地控制此操作例如, 可以允许用户查看所有现有的计算机, 但只允许用户修改特定组中的计算机要编辑角色, 请转至管理 > 用户管理 > 角色, 然后双击某个角色 ( 或单击新建... 按钮 ) 显示角色属性窗口 61

62 用户管理基于角色的编辑权限在角色的访问限制内, 角色可对其编辑权限进行限制用户权限角色可向用户授予其他用户的委派权限也就是说, 具有该角色的用户可以创建和修改只具有同等或较低访问权限的用户的属性 62

63 用户管理完全访问权限审计员和新角色的缺省设置下表介绍了完全访问权限完全访问权限角色和审计员审计员角色的缺省权限设置还列出了在角色角色页面的工具栏中单击新建新建创建新角色时提供的权限设置权限常规按角色分类的设置完全访问权限角色审计员角色新角色缺省值访问 DSM 用户界面已允许已允许已允许访问 Web 服务 API 已允许已允许不允许计算机权限完全访问权限角色审计员角色新角色缺省值查看允许, 所有计算机允许, 所有计算机允许, 所有计算机编辑允许, 所有计算机不允许, 所有计算机不允许, 所有计算机删除允许, 所有计算机不允许, 所有计算机不允许, 所有计算机解除警报允许, 所有计算机不允许, 所有计算机不允许, 所有计算机标记项目允许, 所有计算机不允许, 所有计算机不允许, 所有计算机允许查看未选定的计算机和数据 ( 例如, 事件报告 ) 已允许已允许允许, 所有计算机允许查看与计算机无关的事件和警报已允许已允许允许, 所有计算机允许在选定组中创建新的计算机已允许不允许不允许允许在选定组中添加或移除子组已允许不允许不允许允许导入计算机文件已允许不允许不允许允许添加移除和同步目录已允许不允许不允许允许添加移除和同步 VMware vcenter 已允许不允许不允许允许添加移除和同步云帐户已允许不允许不允许策略权限完全访问权限角色审计员角色新角色缺省值查看允许, 所有策略允许, 所有策略允许, 所有策略编辑允许, 所有策略不允许, 所有策略不允许, 所有策略删除允许, 所有策略不允许, 所有策略不允许, 所有策略查看未选定的策略已允许已允许已允许创建新策略已允许不允许不允许导入策略已允许不允许不允许用户权限 ( 请参阅下面的有关用户权限的注意事项 ) 完全访问权限角色审计员角色新角色缺省值查看用户已允许已允许不允许创建用户已允许不允许不允许编辑用户属性已允许不允许不允许删除用户已允许不允许不允许查看角色已允许已允许不允许创建角色已允许不允许不允许编辑角色属性已允许不允许不允许删除角色已允许不允许不允许委派授权已允许不允许不允许其他权限完全访问权限角色审计员角色新角色缺省值警报完全 ( 可以解除全局警报 ) 仅查看仅查看警报配置安全 ( 可以编辑警报配置 ) 仅查看仅查看 IP 列表端口列表时间表系统设置 ( 全局 ) 系统完全 ( 可以创建编辑删除 ) 完全 ( 可以创建编辑删除 ) 完全 ( 可以创建编辑删除 ) 完全 ( 可以查看编辑系统设置 ( 全局 )) 完全 ( 可以查看系统可以编辑和取消配置管理中心节点可以管理系统扩展 ) 诊断完全 ( 可以创建诊断数据包 ) 仅查看仅查看标记完全 ( 可以标记 ( 不属于计算机的项目 ) 可以删除标记可以更新非拥有的自动标记规仅查看仅查看仅查看仅查看仅查看仅查看仅查看仅查看仅查看隐藏隐藏仅查看 63

64 用户管理权限按角色分类的设置则可以运行非拥有的自动标记规则可以删除非拥有的自动标记规则 ) 任务完全 ( 可以查看添加编辑删除任务, 可执行任务 ) 仅查看隐藏多租户管理完全版隐藏仅查看扫描缓存配置管理完全版仅查看仅查看联系人完全 ( 可以查看创建编辑删除联系人 ) 仅查看隐藏使用授权完全 ( 可以查看更改使用授权 ) 仅查看隐藏完全 ( 可以添加编辑删除软件 ; 可以查看组件的更新 ; 更新可以下载导入应用更新组仅查看隐藏件 ; 可以删除亚安全服务器深度安全防护系统规则更新 ) 资产值完全 ( 可以创建编辑删除资产值 ) 仅查看仅查看证书完全 ( 可以创建删除 SSL 证书 ) 仅查看仅查看中继组完全版仅查看仅查看代理服务器完全版仅查看仅查看恶意软件扫描配置完全 ( 可以创建编辑删除恶意软件扫描配置 ) 仅查看仅查看隔离的文件完全 ( 可以删除下载隔离的文件 ) 仅查看仅查看 Web 誉配置完全版仅查看仅查看目录列表完全 ( 可以创建编辑删除 ) 仅查看仅查看文件列表完全 ( 可以创建编辑删除 ) 仅查看仅查看文件扩展名列表完全 ( 可以创建编辑删除 ) 仅查看仅查看防火墙规则完全 ( 可以创建编辑删除防火墙规则 ) 仅查看仅查看防火墙状态配置完全 ( 可以创建编辑删除防火墙状态配置 ) 仅查看仅查看入侵防御规则完全 ( 可以创建编辑删除 ) 仅查看仅查看应用程序类型完全 ( 可以创建编辑删除 ) 仅查看仅查看 MAC 列表完全 ( 可以创建编辑删除 ) 仅查看仅查看上下文完全 ( 可以创建编辑删除 ) 仅查看仅查看完整性监控规则完全 ( 可以创建编辑删除 ) 仅查看仅查看日志审查规则完全 ( 可以创建编辑删除 ) 仅查看仅查看日志审查解码器完全 ( 可以创建编辑删除 ) 仅查看仅查看有关用户权限的注意事项角色属性窗口的用户权限用户权限选项卡上的用户权限用户权限区域具有三个常规用户权限选项 ( 仅更改自身密码和联系创建和管理具有同等或较低访问权限的用户和完全控制所有角色和用户 ) 和一个定制定制选项 64

65 用户管理下表列出了与仅更改自身密码和联系仅更改自身密码和联系选项对应的定制设置 : 与仅更改自身密码和联系选项对应的定制设置用户可以查看用户可以创建新用户可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户角色可以查看角色可以创建新角色可以编辑角色属性 ( 警告 : 授予此权限可让此角色的用户编辑其自己的权限 ) 可以删除角色委派授权只能操控具有同等或较低权限的用户不允许不允许不允许不允许不允许不允许不允许不允许不允许下表列出了与创建和管理具有同等或较低访问权限的用户创建和管理具有同等或较低访问权限的用户选项对应的定制设置 : 与创建和管理具有同等或较低访问权限的用户选项对应的定制设置用户可以查看用户可以创建新用户可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户角色可以查看角色可以创建新角色可以编辑角色属性 ( 警告 : 授予此权限可让此角色的用户编辑其自己的权限 ) 可以删除角色委派授权只能操控具有同等或较低权限的用户已允许已允许已允许已允许不允许不允许不允许不允许已允许下表列出了与完全控制所有角色和用户完全控制所有角色和用户选项对应的定制设置 : 与完全控制所有角色和用户选项对应的定制设置用户可以查看用户可以创建新用户可以编辑用户属性 ( 用户始终可以编辑自身帐户的选定属性 ) 可以删除用户角色可以查看角色可以创建新角色可以编辑角色属性 ( 警告 : 授予此权限可让此角色的用户编辑其自己的权限 ) 可以删除角色委派授权只能操控具有同等或较低权限的用户已允许已允许已允许已允许已允许已允许已允许已允许 N/A 65

66 数据库备份和恢复数据库备份和恢复备份数据库备份可用于在灾难性故障事件中恢复亚安全服务器深度安全防护系统, 或者用于将亚安全服务器深度安全防护系统管理中心转移到其他计算机亚安全服务器深度安全防护系统管理中心无法启动 Oracle 数据库备份要备份 Oracle 数据库, 请查看 Oracle 文档内部数据库或 Microsoft SQL Server 数据库可使用预设任务界面执行数据库备份请转至管理 > 预设任务页面单击新建, 然后选择新建预设任务以显示新建预设任务向导为此任务提供一个名称, 然后从下拉列表中选择备份下一页面会提示您指定此任务执行的频率和时间要仅执行一次备份, 请选择仅一次并输入时间 ( 例如, 从现在起 5 分钟后 ) 下一页面会提示您指定备份文件的存储位置一直单击到最后以完成向导完成完整备份所花费的时间不应超过一分钟左右将在您所指定的备份位置创建按日期命名的文件夹如果您使用亚安全服务器深度安全防护系统管理中心内置的 Apache Derby 数据库 ( 该数据库供测试使用 ), 则将在其下创建一个文件夹结构, 该文件夹结构映射到亚安全服务器深度安全防护系统管理中心安装目录中的文件夹要恢复此数据库, 请关闭 "AsiaInfo Security Deep Security Manager" 服务 ( 使用 Microsoft 管理控制台服务 ), 将备份文件夹复制到安装目录的相应文件夹, 然后重新启动亚安全服务器深度安全防护系统管理中心如果使用 SQL Server 数据库, 则会将名为 [timestamp].dsmbackup 的 SQL Server 数据库备份文件写入预设任务中指定的备份文件夹中 ( 有关如何恢复 SQL Server 数据库的说明, 请参考您的 SQL Server 文档 ) 恢复亚安全服务器深度安全防护系统管理中心无法备份或恢复 Oracle 数据库要备份或恢复 Oracle 数据库, 请查看您的 Oracle 文档仅数据库 1. 停止亚安全服务器深度安全防护系统管理中心服务 2. 恢复数据库 ( 必须是来自相同版本号管理中心的数据库 ) 3. 启动 Deep Security Manager 服务 4. 验证恢复的内容 5. 更新所有计算机以确保其配置正确亚安全服务器深度安全防护系统管理中心和数据库 1. 移除已丢失 / 已损坏的管理中心和数据库的所有残余内容 2. 使用全新 / 空数据库安装全新的亚安全服务器深度安全防护系统管理中心 3. 停止亚安全服务器深度安全防护系统管理中心服务 4. 在全新安装的管理中心上恢复数据库, 必须使用相同的数据库名称 ( 必须是来自相同版本号管理中心的数据库 ) 66

67 数据库备份和恢复 5. 启动亚安全服务器深度安全防护系统管理中心服务 6. 验证恢复的内容 7. 更新所有计算机以确保其配置正确导出您可以以 XML 或 CSV 格式导出各种亚安全服务器深度安全防护系统对象 : 事件 : 转至某个事件页面, 然后使用高级搜索选项过滤事件数据例如, 您可以对计算机 > 便携式计算机计算机组中的计算机, 搜索最近 1 小时 ( 期间栏 ) 内记录的其原因原因列包含包含文字 "spoofed" 的所有防火墙事件 ( 搜索栏 ) 按提交按钮 ( 带有向右箭头 ) 执行查询然后按导出以 CSV 格式导出过滤后的数据 ( 您可以导出所有显示条目或者仅导出选定 / 突出显示的数据 )( 以这种格式导出日志主要用于与第三方报告工具的集成 ) 计算机列表 : 可以从计算机页面以 XML 或 CSV 格式导出计算机列表如果发现通过单个亚安全服务器深度安全防护系统管理中心管理的计算机太多, 打算再安装一个管理中心以管理一批计算机时, 您可能想要执行此操作导出选定计算机的列表将免去您再次重新发现所有计算机并将其整理到组中的麻烦策略防火墙规则和入侵防御规则设置将不包含在内您还必须导出防火墙规则入侵防御规则防火墙状态配置和策略, 然后将其重新应用到计算机策略 : 可以从策略策略页面以 XML 格式导出策略将选定的策略导出到 XML 时, 策略所拥有的任何子策略都将包含在导出的数据包内导出的数据包包含与策略相关联的所有实际对象, 以下各项除外 : 入侵防御规则日志审查规则完整性监控规则和应用程序类型防火墙规则 : 可以使用如上所述的搜索 / 过滤技术将防火墙规则导出到 XML 或 CSV 文件防火墙状态配置 : 可以使用如上所述的搜索 / 过滤技术将防火墙状态配置导出到 XML 或 CSV 文件入侵防御规则 : 可以使用如上所述的搜索 / 过滤技术将入侵防御规则导出到 XML 或 CSV 文件完整性监控规则 : 可以使用如上所述的搜索 / 过滤技术将完整性监控规则导出到 XML 或 CSV 文件日志审查规则 : 可以使用如上所述的搜索 / 过滤技术将日志审查规则导出到 XML 或 CSV 文件其他通用对象 : 可以使用相同的方法将所有可重用组件通用对象导出到 XML 或 CSV 文件导出到 CSV 时, 仅包含显示的列数据 ( 使用列... 同工具更改要显示的数据 ) 分组已忽略, 因此数据与窗口中显示的顺序可能有所不导入要将各种单个对象导入到亚安全服务器深度安全防护系统中, 请在对象各自的页面中从工具栏新建新建按钮旁边的下拉列表内选择从文件导入 67

68 添加计算机添加计算机要通过亚安全服务器深度安全防护系统保护计算机, 则必须先将这些计算机添加到亚安全服务器深度安全防护系统管理中心的计算机列表中通过以下操作可以将新的计算机添加到您的计算机列表 : 从本地网络导入计算机 ( 第 69 页 ) 如果是保护可本地访问的网络上的计算机, 您可以通过提供其 IP 地址或主机名, 或者执行查找操作来搜索对亚安全服务器深度安全防护系统管理中心可见的所有计算机, 从而分别添加这些计算机导入目录 ( 第 71 页 ) 您可以导入 Microsoft Active Directory 或任何其他基于 LDAP 的目录服务从 VMware vcenter 导入计算机 ( 第 74 页 ) 您可以导入 VMware vcenter, 并为托管 VM 提供基于客户端或无客户端的防护从云提供程序导入计算机 ( 第 75 页 ) 您可以导入在 VMware vcloud Amazon EC2 或 Microsoft Azure 基础架构中托管的虚拟机使用部署脚本 ( 第 80 页 ) 如果您要添加 / 防护大量计算机, 您可能希望自动执行安装和激活客户端的过程您可以使用亚安全服务器深度安全防护系统管理中心的部署脚本生成器生成可在计算机上运行的脚本, 这些脚本将安装客户端并选择性地执行后续任务 ( 例如激活和策略分配 ) 此外, 这些脚本还可以用作启动模板以创建您自己的定制脚本来执行各种其他可用的命令 68

69 本地网络本地网络客户端启动的激活如果亚安全服务器深度安全防护系统管理中心位于本地网络外, 并且无法启动与您网络上的计算机的通, 您将需要指示计算机执行客户端启动的激活要执行客户端启动的激活, 您必须在计算机上安装亚安全服务器深度安全防护系统客户端, 然后运行一系列命令行指令以通知客户端与亚安全服务器深度安全防护系统管理中心进行通在通期间, 亚安全服务器深度安全防护系统管理中心将激活客户端, 并且可根据指示进一步执行许多其他操作, 例如分配安全策略将计算机添加到计算机组等等如果要一次向亚安全服务器深度安全防护系统管理中心添加大量计算机, 可以使用命令行指令创建脚本以自动执行此过程有关客户端启动的激活脚本编写和命令行选项的更多, 请参阅命令行工具 ( 第 164 页 ) 直接输入 IP 地址或主机名您可以手动添加单个计算机手动添加计算机 : 1. 转到计算机计算机页面, 然后单击工具栏中的新建新建以显示新建计算机新建计算机向导 2. 输入新计算机的 IP 地址或主机名 3. 从下拉列表中选择要为其分配的策略 4. 选择新计算机将要从其下载安全更新的中继组 5. 单击下一步下一步开始搜索计算机如果检测到某计算机, 其上已安装客户端且客户端处于运行状态, 则会将该计算机添加到您的计算机列表并激活该客户端激活客户端意味着管理中心会与该客户端通并发送给它一个唯一指纹然后, 客户端将使用此指纹唯一识别亚安全服务器深度安全防护系统管理中心, 不会接受来自可能尝试联系它的任何其他管理中心的指令如果已为计算机分配了策略, 则会将策略部署到客户端, 且将使用构成策略的所有规则和配置来保护计算机缺省情况下, 中继组提供的安全更新包括新的恶意软件特征码如果您已启用了支持 9.0 ( 及较早版本 ) ( 在管理 > 系统设置 > 更新页面上 ), 则还将包括检测引擎的更新的客户端选项如果检测到计算机但不存在亚安全服务器深度安全防护系统客户端, 则会告知您以下情况 : 仍可将计算机添加到您的计算机列表, 但还需要在计算机上安装客户端在计算机上安装客户端后, 您需要在计算机列表中找到该计算机并右键单击它, 然后从上下文菜单中选择激活 / 重新激活如果未检测到计算机 ( 对管理中心不可见 ), 则会告知您以下情况 : 仍可添加计算机, 但当计算机对管理中心可见时, 您需要按如上所述激活它执行查找操作发现操作扫描网络中的可见计算机要启动查找操作, 请在计算机计算机页面的工具栏中单击查找... 将显示发现计算机发现计算机对话框系统提供多个用于限制扫描范围的选项您可以选择对每个已发现计算机执行端口扫描请谨慎使用此选项, 因为如果要发现 / 扫描大量计算机, 该选项会花费很长时间在发现计算机时, 您可以指定要将发现的计算机添加到的计算机组根据您已选择的组织计算机组的方式, 创建名为新找到的计算机或在网络区段 X 上新找到的计算机 ( 如果要扫描多个网络区段 ) 的计算机组可能会很方便然后, 您便可以将已发现的计算机基于其属性移到其他计算机组并将其激活 69

70 本地网络在发现期间, 管理中心会在网络中搜索所有可见计算机找到计算机后, 管理中心会尝试检测是否存在客户端当发现完成时, 管理中心会显示已检测到的所有计算机并在状态状态列显示这些计算机的状态在发现操作之后, 计算机可能处于以下某种状态 : 已发现 ( 无客户端 ): 已检测到计算机, 但不存在客户端如果已安装客户端, 但之前已将其激活且已针对客户端启动的通进行配置, 则计算机也可能处于此状态在这种情况下, 您必须停用然后再重新激活客户端 ( 如果客户端已安装但没有运行, 也会报告无客户端 ) 已发现 ( 需要激活 ): 客户端已安装且正在侦听, 已被激活但尚未受管理中心管理此状态表示此管理中心曾经管理该客户端, 但客户端的公共证书已不再位于管理中心的数据库中如果计算机已从管理中心移除, 之后又被发现时, 可能会出现这种情况要在此计算机上开始管理客户端, 请右键单击计算机并选择激活 / 重新激活一旦重新激活, 状态将更改为联机已发现 ( 需要停用 ): 客户端已安装且正在侦听, 但已由其他管理中心激活在这种情况下, 必须先停用 ( 重置 ) 客户端, 然后再由此管理中心进行激活必须使用原来激活客户端的管理中心来停用客户端, 或者可以直接在计算机上重置客户端要通过管理中心停用客户端, 请右键单击计算机并选择操作 > 停用发现操作不会发现 vcenter 中作为虚拟机运行的计算机或目录 /Active Directory 中的计算机 70

71 Active Directory Active Directory 亚安全服务器深度安全防护系统管理中心支持使用 Microsoft Active Directory 查找计算机将根据 Active Directory 的结构将计算机导入到亚安全服务器深度安全防护系统管理中心, 并对这些计算机进行分组和显示导入 Microsoft Active Directory: 1. 在导航面板中右键单击计算机, 然后选择添加目录键入导入目录的名称和描述 ( 无需与 Active Directory 的名称和描述相匹配 ) Active Directory 服务器的 IP 和端口, 最后是访问方法和凭证必须将域名和用户名包括在用户名用户名文本框中单击下一步下一步继续 3. 新建目录向导的第二个页面要求输入架构详细 ( 可以保留缺省值 ) 亚安全服务器深度安全防护系统管理中心内每个计算机的详细详细窗口均有一个描述文本框要使用 Active Directory 的计算机对象类的属性填充描述文本框, 请在计算机描述属性文本框中键入此属性名称如果要使此亚安全服务器深度安全防护系统管理中心内的结构与 Active Directory 服务器自动保持同步, 请设置创建预设任务以同步此目录复选框如果选中此复选框, 将在您添加完目录后显示预设任务预设任务向导 ( 您可以稍后使用预设任务预设任务向导进行设置 : 管理 > 预设任务 ) 单击下一步下一步继续 4. 当管理中心导入目录完成后, 您会看到已添加计算机的列表单击完成完成现在, 目录结构显示在计算机计算机页面其他 Active Directory 选项通过右键单击 Active Directory 结构, 会显示不适用于计算机计算机下列出的普通计算机组的以下选项移除目录立即同步移除目录从亚安全服务器深度安全防护系统管理中心移除目录时, 可以使用以下选项 : 从 DSM 中移除目录和所有从属计算机 / 组 : 移除对目录的所有跟踪移除目录但保留计算机数据和组层次结构 : 将导入的目录结构转换为以相同方式组织的常规计算机组, 不再与 Directory 服务器相关联 Active 移除目录, 保留计算机数据, 但展平层次结构 : 移除指向 Active Directory 服务器的链接, 丢弃目录结构, 并将所有计算机放到同一计算机组中立即同步将亚安全服务器深度安全防护系统管理中心中的目录结构与 Active Directory 服务器同步您可以将此过程作为预设任务预设任务自动执行 71

72 Active Directory 亚安全服务器深度安全防护系统可以利用 Active Directory 进行计算机查找以及用户帐户和联系人创建端口要求根据 Active Directory 集成的性质, 可能需要以下端口 : 端口 389: 用于非基于 SSL 的访问方法端口 636: 用于基于 SSL 的访问方法要使用基于 SSL 的访问方法,Active Directory 服务器必须启用 SSL, 缺省情况下通常不会启用 SSL 服务器证书用法计算机查找可以使用基于 SSL 的方法和明文方法, 而用户和联系人限于使用非匿名 SSL 方法后者限制可确保用户帐户和用法受到保护基于 SSL 的访问方法将仅适用于启用 SSL 的 Active Directory 服务器, 因此用户和联系人只能从适当配置的服务器导入启用 SSL 的 Active Directory 服务器必须安装有服务器证书此证书可以是自签名证书, 也可以由第三方证书颁发机构创建要验证是否存在证书, 请打开 Active Directory 服务器上的 Internet 服务 (IIS) 管理器, 然后选择服务器证书服务器证书过滤 Active Directory 对象导入 Active Directory 对象时, 可使用搜索过滤器管理将返回的对象缺省情况下, 向导仅显示组可以向过滤器中添加其他参数, 以进一步细化选择有关搜索过滤器语法的其他, 请参考导入用户和联系人亚安全服务器深度安全防护系统可以从 Active Directory 导入用户帐户, 并创建相应的亚安全服务器深度安全防护系统用户或联系人这提供了以下优势 : 用户可以使用其在 Active Directory 中定义的网络密码管理员可以从 Active Directory 内集中禁用帐户通过利用 Active Directory 中已有的, 简化了联系人的维护工作 ( 例如, 电子邮件电话号码等等 ) 用户和联系人均可从 Active Directory 导入用户对亚安全服务器深度安全防护系统管理中心具有配置权限联系人仅可接收亚安全服务器深度安全防护系统管理中心通知通过同步向导, 可以选择哪些 Active Directory 对象要作为用户导入, 哪些对象要作为联系人导入要成功将 Active Directory 用户帐户导入到亚安全服务器深度安全防护系统作为亚安全服务器深度安全防护系统用户或联系人,Active Directory 用户帐户必须具有一个 userprincipalname 属性值 (userprincipalname 属性对应于 Active Directory 帐户持有者的用户登录名 ) 导入用户或联系人 : 1. 在导航面板中, 单击管理 > 用户管理 > 用户, 或单击管理 > 用户管理, 然后转至用户用户或联系人联系人窗口 2. 单击与目录同步与目录同步如果是首次导入用户或联系人, 向导将显示服务器页面 ( 有关如何在此页面中设置选项的, 请参阅上述有关导入计算机的部分 ) 否则, 将显示与目录同步向导 3. 选择适当的访问选项, 并提供登录凭据单击下一步下一步 4. 在选择要同步的组选择要同步的组页面中, 为每个组指定同步选项缺省选项为不同步要将组与亚安全服务器深度安全防护系统管理中心同步, 请选择作为用户同步或作为联系人同步 72

73 Active Directory 5. 在选择新用户 / 联系人的选项页面中, 定义赋予导入帐户的缺省用户角色选择具有最小访问权限的角色, 以避免意外授予个人不适当的权限单击下一步下一步 6. 同步后, 向导将生成报告, 指示导入的对象数量单击完成完成导入后, 无法更改帐户的常规, 可以根据此将这些帐户与基本的亚安全服务器深度安全防护系统帐户区分开保持 Active Directory 对象同步导入后,Active Directory 对象必须不断与其 Active Directory 服务器同步, 以反映这些对象的最新更新例如, 这样可确保在 Active Directory 中删除的计算机也已在亚安全服务器深度安全防护系统管理中心中删除要使已导入到亚安全服务器深度安全防护系统管理中心的 Active Directory 对象与 Active Directory 保持同步, 需要设置用于同步目录数据的预设任务主机导入向导包含用于创建这些预设任务的选项也可以使用预设任务向导创建此任务可以根据需要使用立即同步立即同步选项 ( 适用于主机 ) 和与目录同步与目录同步按钮 ( 适用于用户和联系人 ) 执行同步保持用户 / 联系人同步不需要创建预设任务登录时, 亚安全服务器深度安全防护系统管理中心将检查用户是否存在于 Active Directory 上如果用户名和密码有效, 且用户属于已启用同步的组, 则用户将添加到亚安全服务器深度安全防护系统管理中心并允许登录从亚安全服务器深度安全防护系统管理中心中移除 Active Directory 可以针对计算机查找以及用户和联系人移除亚安全服务器深度安全防护系统管理中心 -Active Directory 集成从计算机列表中移除 Active Directory 从计算机列表中移除目录时, 将显示以下选项 : 从亚安全服务器深度安全防护系统管理中心中移除目录和所有从属计算机 / 组 : 所有主机记录都将从计算机列表中移除移除目录但保留计算机数据和组层次结构 : 将保留现有 Active Directory 结构, 但不再与 Active Directory 同步由于结构未受到影响, 因此文件夹和主机的用户和角色访问权限将保持不变移除目录, 保留计算机数据, 但展平层次结构 : 主机记录将从其原始层次结构中去除, 但所有这些记录都将存储在一个以移除的目录命名的组中目录的用户和角色访问权限将转移到此组, 从而维持对所有主机的访问权限移除目录 : 1. 在计算机页面中, 右键单击目录, 然后选择移除目录移除目录 2. 在移除目录对话框中选择移除选项 3. 在接下来出现的对话框中确认该操作这就完成了目录移除操作移除 Active Directory 用户和联系人与目录移除操作 ( 提供可保留特定类型的选项 ) 不同, 移除用户和联系人会删除所有这些记录因此, 使用已导入用户的帐户登录亚安全服务器深度安全防护系统管理中心控制台时, 无法执行此操作执行此操作将产生错误移除用户和联系人 : 1. 在用户或联系人页面中, 单击与目录同步与目录同步 2. 选择停止同步, 然后单击确定确定向导显示将进行的更改的摘要页面 3. 单击完成完成 73

74 VMware vcenter VMware vcenter 亚安全服务器深度安全防护系统可以仅使用虚拟设备保护虚拟机, 您也可以使用组合模式, 同时使用虚拟设备和客户端来保护计算机使用虚拟设备时, 并非所有防护模块都可用有关详细 ( 包括所有安装和配置步骤的说明 ), 请参考亚安全服务器深度安全防护系统安装指南 (vshield) 或亚安全服务器深度安全防护系统安装指南 (NSX) 74

75 云帐户云帐户亚安全服务器深度安全防护系统支持对来自以下云提供程序服务的计算资源提供基于客户端的防护 : Amazon EC2 VMware vcloud Microsoft Azure 将资源从云提供程序帐户导入到亚安全服务器深度安全防护系统管理中心后, 就可以像管理本地网络上的任何计算机那样来管理该帐户中的计算机要将云资源导入其亚安全服务器深度安全防护系统管理中心, 亚安全服务器深度安全防护系统用户必须首先拥有一个能够访问该云提供程序服务资源的帐户对于要将云帐户导入亚安全服务器深度安全防护系统管理中心的每个亚安全服务器深度安全防护系统用户, 亚安全建议针对该亚安全服务器深度安全防护系统管理中心创建专用帐户, 供其访问云资源也就是说, 用户应拥有两个帐户, 一个帐户用于访问和控制虚拟机本身, 另一个单独的帐户用于将其亚安全服务器深度安全防护系统管理中心连接到这些资源具有针对亚安全服务器深度安全防护系统的专用帐户可确保您随时修正权限和撤销此帐户建议始终针对亚安全服务器深度安全防护系统提供一个具有只读权限的访问密钥 / 密钥亚安全服务器深度安全防护系统管理中心只需要只读访问权限即可导入云资源以及管理云资源的安全云帐户的代理服务器设置您可以将亚安全服务器深度安全防护系统管理中心配置为使用专门用于连接到云帐户中受保护的实例的代理服务器代理服务器设置位于管理 > 系统设置 > 代理 > 代理服务器使用 > 亚安全服务器深度安全防护系统管理中心 ( 云帐户 - 仅限 HTTP 协议 ) 部分针对亚安全服务器深度安全防护系统管理中心创建 Amazon Web 服务帐户创建一个由亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心访问的 Amazon Web 服务帐户 : 1. 登录 Amazon Web 服务控制台 2. 转至 IAM( 身份和访问管理 ) 3. 在左侧导航窗格中, 单击用户用户 4. 单击创建新用户创建新用户以打开创建用户创建用户对话框窗口 5. 输入用户名并选择为每位用户生成一个访问密钥为每位用户生成一个访问密钥选项 6. 记录生成的用户安全凭据 ( 访问密钥和密钥 ) 并关闭对话框窗口 7. 返回用户页面, 选择用户, 然后单击页面底部的权限权限选项卡 8. 单击窗口底部的附加用户策略附加用户策略以显示管理用户权限管理用户权限对话框窗口 9. 选择策略生成器策略生成器选项 10. 单击选择选择按钮以编辑要授予新用户的权限 11. 选择生效 : 允许 12. 选择 AWS 服务 :Amazon EC2 13. 选择以下处理措施 : DescribeImages DescribeInstances 75

76 云帐户 DescribeTags 14. 将 Amazon 资源名称设为 * 15. 单击添加语句添加语句 16. 单击继续继续以生成权限策略 17. 单击应用策略应用策略以将策略应用于用户帐户现在,Amazon Web 服务帐户即可由亚安全服务器深度安全防护系统管理中心进行访问要将 Amazon AWS 资源导入亚安全服务器深度安全防护系统管理中心, 系统会提示用户输入托管资源的区域 ( 如果在多个区域中托管资源, 则用户必须分别为每个区域添加资源 ) 访问密钥 ID 以及访问密钥访问密钥从 Amazon Web 服务帐户导入计算机导入 Amazon Web 服务云资源 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至计算机计算机部分, 在导航面板中右键单击计算机, 然后选择添加云帐户... 以显示添加云帐户添加云帐户向导 2. 选择 Amazon 作为云供应商类型 3. 选择托管云资源的区域 ( 如果在多个区域中托管资源, 则必须分别为每个区域添加资源 ) 4. 输入要添加的资源的名称名称和描述描述 ( 这些内容在亚安全服务器深度安全防护系统管理中心仅用于显示目的 ) 5. 输入由 AWS 管理员向您提供的访问密钥 ID 和访问密钥访问密钥单击下一步下一步 6. 亚安全服务器深度安全防护系统管理中心将验证与云资源的连接, 并显示导入操作的摘要单击完成完成 7. 成功导入云提供程序资源后, 向导将显示操作结果现在,Amazon AWS 资源显示在亚安全服务器深度安全防护系统管理中心导航面板中计算机计算机下的各自分支下如果列表中未显示托管您的云资源的 Amazon 区域, 您需要将该区域添加到亚安全服务器深度安全防护系统管理中心有关更多详细, 请参阅管理 Amazon Web 服务区域 ( 第 268 页 ) 针对亚安全服务器深度安全防护系统管理中心创建 VMware vcloud 组织帐户创建一个由亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心访问的 VMware vcloud 组织帐户 : 1. 登录 VMware vcloud Director 2. 在系统系统选项卡上, 转至管理和监控管理和监控 3. 在左侧导航窗格中, 单击组织组织 4. 双击希望亚安全服务器深度安全防护系统用户具有访问权限的组织 5. 在组织组织选项卡上, 单击管理管理 6. 在左侧导航窗格中, 转至成员 > 用户 7. 单击加号 ("+") 创建一个新用户 8. 输入新用户的凭据及其他, 然后选择组织管理员组织管理员作为用户的角色角色组织管理员是一个简单的预定义角色, 可以分配给新用户帐户, 但该帐户所需的唯一权限为所有权限 > 常规 > 管理员查看, 而您应考虑创建一个仅具有此权限的新 vcloud 角色有关为集成亚安全服务器深度安全防护系统而准备 vcloud 资源的更多详细, 请参阅安装指南 9. 单击确定确定以关闭新用户的属性窗口 76

77 云帐户现在,vCloud 帐户即可由亚安全服务器深度安全防护系统管理中心进行访问要将 VMware vcloud 资源导入到亚安全服务器深度安全防护系统管理中心, 系统将提示用户输入 vcloud 的地址他们的用户名用户名以及密码密码用户名中必须包含例如, 如果 vcloud 帐户的用户名为 kevin, 您授予其帐户访问权限的 vcloud 组织名为 CloudOrgOne, 则亚安全服务器深度安全防护系统用户在导入 vcloud 资源时必须输入作为其用户名 ( 对于 vcloud 管理员视图, ) 从 VMware vcloud 组织帐户导入计算机导入 VMware vcloud 组织资源 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至计算机计算机部分, 在导航面板中右键单击计算机, 然后选择添加云帐户... 以显示添加云帐户添加云帐户向导 2. 选择 vcloud 作为云供应商类型 3. 输入要添加的资源的名称名称和描述描述 ( 这些内容在亚安全服务器深度安全防护系统管理中心仅用于显示目的 ) 4. 输入 vcloud 的地址地址 (vcloud Director 主机的主机名 ) 5. 输入用户名用户名和密码密码用户名必须采用 username@vcloudorganization 形式 6. 单击下一步下一步 7. 亚安全服务器深度安全防护系统管理中心将验证与云资源的连接, 并显示导入操作的摘要单击完成完成现在,VMware vcloud 资源显示在亚安全服务器深度安全防护系统管理中心中计算机计算机页面的各自分支下从 VMware vcloud Air 虚拟数据中心导入计算机导入 VMware vcloud Air 数据中心 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至计算机计算机部分, 在导航面板中右键单击计算机, 然后选择添加云帐户... 以显示添加云帐户添加云帐户向导 2. 选择 vcloud 作为云供应商类型 3. 输入要添加的 vcloud Air 虚拟数据中心的名称和描述 ( 这些内容在亚安全服务器深度安全防护系统管理中心仅用于显示目的 ) 4. 输入 vcloud Air 虚拟数据中心的地址地址确定 vcloud Air 虚拟数据中心的地址 : 1. 登录 vcloud Air 门户 2. 在控制台控制台选项卡上, 单击要导入到亚安全服务器深度安全防护系统的数据中心此时将显示虚拟数据中心详细页面 3. 在虚拟数据中心详细页面的相关链接部分, 单击 vcloud Director API URL 此时将显示 vcloud Director API 的完整 URL 4. 仅使用主机名 ( 而非完整 URL) 作为正导入亚安全服务器深度安全防护系统的 vcloud Air 虚拟数据中心的地址 5. 输入用户名用户名和密码密码 77

78 云帐户用户名必须采用形式 6. 单击下一步下一步 7. 亚安全服务器深度安全防护系统管理中心将验证与虚拟数据中心的连接, 并显示导入操作的摘要单击完成完成现在,VMware vcloud Air 数据中心显示在亚安全服务器深度安全防护系统管理中心中计算机计算机页面的对应分支下为 Microsoft Azure 启用客户端启动的通亚安全服务器深度安全防护系统管理中心和客户端之间有三个通选项 : 双向通管理中心启动的通和客户端启动的通如果要将 Microsoft Azure 资源添加到亚安全服务器深度安全防护系统管理中心, 必须使用客户端启动的客户端启动的通启用客户端启动的通 : 1. 在亚安全服务器深度安全防护系统管理中心控制台中, 转至管理 > 系统设置 > 客户端 > 客户端启动的激活 2. 确保已选中允许客户端启动的激活允许客户端启动的激活 3. 单击保存保存生成用于 Microsoft Azure 的证书和密钥对在将 Microsoft Azure 资源添加到亚安全服务器深度安全防护系统管理中心之前, 您需要生成证书和密钥对生成所需文件后, 将证书 (.cer 文件 ) 导入 Azure Web 服务控制台添加 Microsoft Azure 资源后, 将密钥对 (.pem 文件 ) 上传至亚安全服务器深度安全防护系统管理中心创建证书和密钥对 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 系统设置 > 安全 2. 在密钥对生成密钥对生成下, 单击生成密钥对生成密钥对 3. 在密钥对密码密钥对密码和确认密码确认密码框中输入密码 4. 单击创建密钥对创建密钥对 5. 本地保存.pem 文件 6. 单击导出证书导出证书 7. 本地保存.cer 文件 8. 单击关闭关闭为亚安全服务器深度安全防护系统管理中心创建 Microsoft Azure 帐户创建一个由亚安全服务器深度安全防护系统管理中心访问的 Microsoft Azure 帐户 : 1. 登录 Azure Web 服务控制台 2. 在左侧导航窗格中, 单击设置设置 3. 单击订购 ID 4. 单击管理证书管理证书 5. 在页面底部, 单击上传上传并选择先前生成的.cer 文件从 Microsoft Azure 帐户导入计算机导入 Microsoft Azure 云资源 : 78

79 云帐户 1. 在亚安全服务器深度安全防护系统管理中心, 转至计算机计算机部分, 在导航面板中右键单击计算机, 然后选择添加云帐户... 以显示添加云帐户添加云帐户向导 2. 选择 Azure 作为云供应商类型 3. 输入要添加的资源的名称名称和描述描述 ( 这些内容在亚安全服务器深度安全防护系统管理中心仅用于显示目的 ) 4. 输入订购 ID, 然后单击浏览浏览以选择先前生成的.pem 文件如果尚未创建.pem 文件, 您可以单击生成新的密钥对, 再单击创建密钥对以创建可上传到亚安全服务器深度安全防护系统管理中心的新密钥对然后, 单击导出证书以创建可导入到 Azure Web 服务控制台中的自签名证书 (.cer 文件 ) 5. 单击下一步下一步 6. 亚安全服务器深度安全防护系统管理中心将验证与云资源的连接, 并显示导入操作的摘要单击完成完成现在,Azure 资源显示在亚安全服务器深度安全防护系统管理中心中计算机计算机页面的各自分支下管理云帐户要在云计算机上实施亚安全服务器深度安全防护系统防护, 必须像在网络中的其他任何计算机上一样, 在计算机上安装客户端并向其分配策略有关在您的计算机上安装亚安全服务器深度安全防护系统客户端的说明, 请参阅安装指南在云提供程序基础架构中运行的计算机由亚安全服务器深度安全防护系统管理, 与使用基于客户端的防护的任何其他计算机的管理方法没有差别如果已启用同步, 将每隔十分钟更新一次云提供程序帐户实例列表要启用或禁用定期同步, 请打开云提供程序帐户属性属性窗口, 方法是在导航面板中右键单击云提供程序帐户, 然后转至常规常规选项卡 ( 您可以将此过程作为管理管理部分中的预设任务预设任务自动执行来确定您自己的同步预设 ) 为云帐户配置软件更新中继是亚安全服务器深度安全防护系统客户端内部负责下载和分发安全更新和软件更新的模块通常, 当有新的更新可用时, 亚安全服务器深度安全防护系统管理中心会通知中继, 中继会从亚安全服务器深度安全防护系统管理中心获取更新, 然后客户端再从中继获取它们的更新但是, 如果亚安全服务器深度安全防护系统管理中心位于企业环境中, 并且您在云环境下管理计算机, 云中的中继可能无法与亚安全服务器深度安全防护系统管理中心通当中继无法连接到亚安全服务器深度安全防护系统管理中心时, 可以让中继直接从亚安全下载专区获取软件更新, 以这种方式解决此问题要启用此选项, 请转至管理 > 系统设置 > 更新, 然后在软件更新下选择允许中继在亚安全服务器深度安全防护系统管理中心无法访问时从亚安全下载专区下载软件更新管理中心无法访问时从亚安全下载专区下载软件更新移除云帐户从亚安全服务器深度安全防护系统管理中心移除云提供程序帐户会将该帐户从亚安全服务器深度安全防护系统数据库中永久移除您的云提供程序帐户不会受到影响, 实例上安装的任何亚安全服务器深度安全防护系统客户端将仍处于安装状态, 并且依旧会运行及提供防护 ( 虽然其不再接收安全更新 ) 如果决定重新从云提供程序帐户导入计算机, 亚安全服务器深度安全防护系统客户端将在下次预设期间下载最新安全更新从亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心移除云提供程序帐户 : 1. 转至计算机计算机页面, 在导航面板中右键单击云提供程序帐户, 然后选择移除云帐户确定要移除此帐户 3. 该帐户将从亚安全服务器深度安全防护系统管理中心移除 79

80 部署脚本部署脚本向亚安全服务器深度安全防护系统中受保护资源的列表中添加计算机并实施保护需要多个步骤才能完成几乎所有这些步骤都可以从计算机上的命令行执行, 因此也可以编写脚本亚安全服务器深度安全防护系统管理中心包含一个部署脚本编写助手, 用户可从管理中心的支持菜单访问该助手必须启用客户端启动的激活, 然后才能生成部署脚本转至管理 > 系统设置 > 客户端并选择允许客户端启动的激活允许客户端启动的激活生成部署脚本 : 1. 从亚安全服务器深度安全防护系统管理中心的支持菜单 ( 位于亚安全服务器深度安全防护系统管理中心窗口右上方 ) 中选择部署脚本, 启动部署脚本生成器 2. 选择要将软件部署到的平台 ( 下拉菜单中列出的平台将对应您从亚安全下载专区导入到亚安全服务器深度安全防护系统管理中心的软件有关导入亚安全服务器深度安全防护系统软件的, 请参阅管理 > 更新 ) 3. 选择安装后自动激活客户端安装后自动激活客户端 ( 亚安全服务器深度安全防护系统管理中心必须在实施保护策略前激活客户端 ) 4. 选择要在计算机上实施的策略 ( 可选 ) 5. 选择计算机组 ( 可选 ) 6. 选择中继组 ( 可选 ) 做出以下选择后, 部署脚本生成器将生成脚本, 您可以将该脚本导入到您选择的部署工具中亚安全服务器深度安全防护系统管理中心为 Windows 客户端部署生成的部署脚本需要安装 Windows Powershell 版本 2.0 或更高版本如果使用 Amazon Web 服务并部署新的 EC2 或 VPC 实例, 请复制生成的脚本并将其粘贴到用户数据文本框通过此操作, 您可以启动现有的 Amazon 计算机镜像 (AMI), 并在启动时自动安装和激活客户端新实例必须能够访问在生成的部署脚本中指定的 URL 这意味着亚安全服务器深度安全防护系统管理中心必须面向 Internet, 并通过 VPN/ 直接链接连接到 AWS, 或者必须在 Amazon Web 服务上部署亚安全服务器深度安全防护系统管理中心将部署脚本复制到用户数据文本框以进行 Linux 部署时, 请将部署脚本按原样复制到用户数据文本框,CloudInit 将作为 sudo 执行此脚本 ( 如果失败, 会记录在 /var/log/cloud-init.log 中 ) 用户数据文本框还用于其他服务, 如 CloudFormation 有关详细, 请参阅 : 如果您不打算在计算机上启用防恶意软件防护, 您可能希望完全阻止防恶意软件引擎的安装要执行此操作, 请从部署脚本中删除字符串 ADDLOCAL=ALL 80

81 部署防护部署防护基于客户端的防护 : 亚安全服务器深度安全防护系统客户端可在物理或虚拟机上提供防护此小软件组件已在计算机上部署并实施了您对其应用的安全策略无客户端防护 : 亚安全服务器深度安全防护系统虚拟设备可为 VMware vsphere 虚拟机提供防护, 而无需在这些虚拟机上安装亚安全服务器深度安全防护系统客户端虚拟设备安装在托管 VM 的同一 ESXi 上应用策略 : 无论是使用客户端还是虚拟设备保护计算机, 您都将为计算机分配安全策略, 这些策略是一组已定义的规则配置权限和时间表可以创建并保存策略以便在多台计算机上使用策略在层次结构中创建, 这样在创建子策略时便可使用父策略作为模板, 这些子策略可进行微调, 以便在具有特定要求的单个计算机上使用 81

82 基于客户端的防护基于客户端的防护手动部署您可以通过在计算机上运行相应的安装包来手动安装任意亚安全服务器深度安全防护系统客户端可以从亚安全下载专区下载客户端安装包 : 有关安装单个客户端软件包的说明, 请参阅安装指南安装客户端后, 您必须将计算机添加到被管理计算机列表并手动激活客户端有关添加计算机的, 请参阅添加计算机 ( 第 68 页 ) 部署脚本向亚安全服务器深度安全防护系统中受保护资源的列表中添加计算机并实施保护需要多个步骤才能完成几乎所有这些步骤都可以从计算机上的命令行执行, 因此也可以编写脚本亚安全服务器深度安全防护系统管理中心包含一个部署脚本编写助手, 用户可从管理中心的支持菜单访问该助手有关操作说明, 请参阅部署脚本 ( 第 80 页 ) 82

83 无客户端防护无客户端防护亚安全服务器深度安全防护系统虚拟设备为 VMware vsphere 环境中的虚拟机 (VM) 提供防护, 而无需存在亚安全服务器深度安全防护系统客户虚拟机客户端虚拟机像安装了客户端一样受管理相较于客户虚拟机客户端, 虚拟设备可提供以下一些特有的安全优势 : 设备与客户虚拟机隔离客户虚拟机可在仅安装最少所需软件的情况下运行可以简单快速的保护可能尚未为其分配安装安全软件的管理时间的新计算机和恢复的计算机可以保护不能直接访问其操作系统的虚拟机和其他设备, 即使这些计算机由其他管理员管理也是如此亚安全服务器深度安全防护系统虚拟设备易于部署无需在虚拟机上远程安装客户端软件甚至无需连接到虚拟机有关所有安装和配置步骤的详细说明, 请参考亚亚安全服务器深度安全防护系统安装指南 (vshield) 或亚安全服务器深度安全防护系统安装指南 (NSX) 83

84 防护模块防护模块描述了亚安全服务器深度安全防护系统防护模块的配置防恶意软件 ( 第 85 页 ) 模块保护您的计算机免受病毒特洛伊木马间谍软件和其他软件的攻击, 这些软件蓄意损害您的计算机或擅自执行操作 Web 誉 ( 第 89 页 ) 模块通过阻止访问恶意 URL 来抵御 Web 威胁亚安全服务器深度安全防护系统使用亚安全云安全智能防护网络源的 Web 安全数据库检查用户试图访问的网站的誉网站的誉与在计算机上强制执行的特定 Web 誉策略相关基于强制执行的 Web 誉安全级别, 亚安全服务器深度安全防护系统将阻止或允许访问此 URL 防火墙 ( 第 91 页 ) 是双向状态防火墙, 负责确保来自未经授权的来源的数据包不会访问主机上的应用程序入侵防御 ( 第 101 页 ) 模块可保护计算机免遭已知和零时差漏洞攻击 SQL 注入攻击跨站点脚本攻击和其他 Web 应用程序漏洞利用它可屏蔽漏洞, 直至代码修复完成它会识别恶意软件, 并提高对访问网络的应用程序的可见性或加强对这些应用程序的控制完整性监控 ( 第 103 页 ) 模块允许您监控计算机上特定区域的更改亚安全服务器深度安全防护系统能够监控已安装的软件运行的服务进程文件目录侦听端口注册表项和注册表值它通过对已分配规则中指定的计算机上的区域执行基线扫描, 然后定期重新扫描这些区域以查看其更改来发挥作用亚安全服务器深度安全防护系统管理中心随附有预定义的完整性监控规则, 并在安全更新中提供了新的完整性监控规则日志审查 ( 第 104 页 ) 模块允许您监控由计算机上运行的操作系统和应用程序生成的日志和事件可将日志审查规则直接分配给计算机, 或使其成为安全配置文件的一部分与完整性监控事件类似, 可以将日志审查事件配置为在亚安全服务器深度安全防护系统管理中心生成警报使用 SAP 集成 ( 第 120 页 ) 模块, 可将亚安全服务器深度安全防护系统与 SAP NetWeaver 集成起来 84

85 防恶意软件防恶意软件防恶意软件模块针对基于文件的威胁 ( 包括常称为恶意软件病毒特洛伊木马以及间谍软件的威胁 ) 同时提供实时保护和按需保护为识别威胁, 防恶意软件会使用综合的威胁数据库对文件进行检查, 该数据库的部分文件托管在服务器上或本地保存为可更新的特征码防恶意软件还检查文件是否有某些特征, 如压缩和已知的入侵代码为解决威胁, 防恶意软件会选择性地执行操作来包含和移除威胁, 同时最大程度地降低对系统的影响防恶意软件可以清除删除或隔离恶意文件它还可以终止进程并删除与已识别威胁关联的其他系统对象最新安装的亚安全服务器深度安全防护系统客户端无法提供防恶意软件保护, 直到连接到更新服务器并下载防恶意软件特征码和更新确保亚安全服务器深度安全防护系统客户端在安装后可以与亚安全服务器深度安全防护系统中继或亚安全更新服务器进行通恶意软件类型 : 防恶意软件针对基于文件的所有威胁类型提供保护, 包括以下几种类型病毒 ( 文件感染源 ) 病毒可以通过插入恶意代码感染正常文件通常, 只要打开受感染的文件, 恶意代码就会自动运行, 除了感染其他文件外, 还会传送有效载荷以下是一些比较常见的病毒类型 : COM 和 EXE 感染源感染扩展名通常为 COM 和 EXE 的 DOS 和 Windows 可执行文件宏病毒通过插入恶意宏感染 Microsoft Office 文件引导扇区病毒感染包含操作系统启动指令的硬盘驱动器部分防恶意软件使用不同技术识别和清除受感染文件最传统的方法是检测用来感染文件的实际恶意代码, 并从受感染的文件中剥离此代码其他方法包括监管对易受感染文件所做的更改, 或者只要对这些文件应用可疑修改, 就必须备份此类文件特洛伊木马和其他非感染源非感染源是指无法感染其他文件的恶意软件文件此类感染源数量众多, 包括以下几种恶意软件类型 : 特洛伊木马 : 不感染可执行文件的恶意软件文件, 没有后门程序或蠕虫病毒功能后门程序 : 恶意应用程序, 允许未授权的远程用户访问受感染的系统后门程序通过打开的端口连接到通服务器蠕虫病毒 : 恶意软件程序, 可以在系统之间传播, 通常称为蠕虫病毒蠕虫病毒利用社会工程学, 通过包装精美的电子邮件即时消或共享文件进行传播它们还可以复制自身到可访问的网络共享中, 然后通过利用漏洞传播到其他计算机网络病毒 : 属于蠕虫病毒, 但其程序仅限于内存或数据包 ( 不基于文件 ) 防恶意软件无法检测或移除网络病毒 Rootkit: 基于文件的恶意软件, 控制对操作系统组件的调用应用程序 ( 包括监控和安全软件 ) 需要进行此类调用以执行较基本的功能, 例如列出文件或标识正在运行的进程通过控制这些调用,rootkit 可以隐藏自身或隐藏其他恶意软件间谍软件 / 灰色软件间谍软件 / 灰色软件包含可收集要传送给单独系统或由其他应用程序收集的的应用程序和软件间谍软件 / 灰色软件检测 ( 尽管会展示潜在的恶意行为 ) 可能包含用于合法目的 ( 例如远程监控 ) 的应用程序间谍软件 / 灰色软件应用程序本质上是恶意软件, 包括那些通过已知恶意软件渠道分发的恶意软件在内, 通常都会被检测为其他特洛伊木马间谍软件 / 灰色软件应用程序通常归为以下几类 : 85

86 防恶意软件间谍软件 : 安装在计算机上的软件, 用于收集和传输个人拨号程序 : 恶意拨号程序旨在通过昂贵的付费号码进行连接, 从而导致意外费用一些拨号程序还传输个人并下载恶意软件黑客工具 : 程序或程序集, 设计用于在未获授权的情况下访问计算机系统广告程序 ( 支持广告的软件 ): 可以自动播放显示或下载广告材料的任何软件包 Cookie:Web 浏览器存储的文本文件 Cookie 包含与 Web 站点相关的数据, 例如身份验证和站点首选项 Cookie 不是可执行文件, 因此不受感染 ; 但它们可以用作间谍软件即使是从合法 Web 站点发送的 Cookie 也可用于恶意目的按键记录软件 : 记录用户键盘输入以窃取密码和其他私人的软件一些按键记录软件可将日志传送至远程系统什么是灰色软件? 尽管一些类似于间谍软件的应用程序会呈现入侵性行为, 但它们仍被视为是合法的例如, 一些具有商业用途的远程控制和监控应用程序可以跟踪和收集系统事件, 然后将关于这些事件的发送到另一个系统中系统管理员和其他用户可能会发现自己安装了这些合法应用程序这些应用程序就称为灰色软件要针对灰色软件的非法使用提供保护, 防恶意软件可以检测灰色软件, 但需要提供一个选项以批准已检测的应用程序并允许运行这些应用程序加壳软件加壳软件是压缩和 / 或加密后的可执行程序为避开检测, 恶意软件作者通常打包经多层压缩和加密的现有恶意软件 < 恶意软件保护 > 查可执行文件是否存在与恶意软件关联的压缩特征码检可能的恶意软件检测为可能的恶意软件的文件通常是未知的恶意软件组件缺省情况下, 将记录下这些检测, 并且文件将匿名发送回亚安全, 供分析使用其他威胁其他威胁包括未归类为任何恶意软件类型的恶意软件该类别包括显示错误通知或操控屏幕行为但通常无害的恶作剧程序恶意软件扫描类型亚安全服务器深度安全防护系统执行三种恶意软件扫描 : 完整扫描快速扫描实时扫描完整扫描会对计算机上的所有进程和文件执行完整系统扫描可通过专门或手动 ( 按需 ) 创建预设任务在预设时间运行完整扫描快速扫描仅扫描计算机重要系统区域中当前活动的威胁快速扫描将查找当前活动的恶意软件, 但它不会执行深度文件扫描来查找处于休眠状态或已存储的受感染文件在较大的驱动器中, 它的速度明显快于完整扫描快速扫描仅按需提供无法作为预设任务的一部分预设快速扫描实时扫描是对正在运行的进程和 I/O 事件的持续监控 86

87 防恶意软件基本配置在计算机上启用防恶意软件功能 : 1. 在策略 / 计算机编辑器中, 转至防恶意软件 > 常规 2. 在防恶意软件防恶意软件部分中, 将配置配置设置为打开 ( 或者已继承 ( 打开 )), 然后单击保存保存 3. 在实时扫描实时扫描手动扫描手动扫描或预设扫描预设扫描部分中, 设置恶意软件扫描配置恶意软件扫描配置和时间表, 或允许从父策略继承这些设置 4. 单击保存保存高级配置修改恶意软件扫描配置可通过编辑计算机上生效的恶意软件扫描配置恶意软件扫描配置控制恶意软件扫描范围恶意软件扫描配置恶意软件扫描配置确定扫描过程中要包括和排除的文件和目录, 以及如果在计算机上检测出恶意软件时应采取的操作 ( 例如清除隔离或删除 ) 有以下两种类型的恶意软件扫描配置: 手动 / 预设扫描配置实时扫描配置手动扫描配置或预设扫描配置预设扫描配置适用于完整扫描实时扫描配置实时扫描配置适用于实时扫描对于每种扫描类型, 亚安全服务器深度安全防护系统均自带了预配置的缺省恶意软件扫描配置这些缺省的恶意软件扫描配置用在安全服务器深度安全防护系统预配置的安全策略中亚更改恶意软件扫描配置 : 1. 在策略策略页面上, 转至通用对象 > 其他 > 恶意软件扫描配置 2. 编辑现有的恶意软件扫描配置或创建新的恶意软件扫描配置有关详细, 请参阅亚安全服务器深度安全防护系统管理中心帮助中的恶意软件扫描配置下表列出了每种类型的扫描过程中扫描出的对象, 并按照其被扫描到的顺序进行排列目标完整扫描驱动程序 1 1 特洛伊木马 2 2 进程镜像 3 3 内存 4 4 引导扇区 5 - 文件 6 5 间谍软件 7 6 快速扫描云安全扫描云安全扫描引用了亚安全服务器中存储的威胁签名启用云安全扫描后, 亚安全服务器深度安全防护系统将首先在本地扫描安全风险如果在扫描过程中, 亚安全服务器深度安全防护系统无法评估文件的风险, 请尝试连接至本地云安全服务器如果未检测到本地云安全服务器, 它们将尝试连接至亚安全 Internet 云安全服务器云安全扫描提供了以下功能和好处 : 减少了针对新出现的威胁提供防护的总体时间减少了特征码更新期间占用的网络带宽大部分特征码定义更新仅需发送到云, 而无需发送到多个计算机减少了与公司范围内的特征码部署相关的成本和开销 87

防恶意软件减少了计算机上的内核内存占用随着时间的推移占用的增加量达到最低在云中提供快速实时的安全状态查找功能要打开或关闭云安全扫描, 请转至策略 / 计算机编辑器 > 防恶意软件 > 云安全智能防护 NSX 安全标记一旦检测到恶意威胁, 亚安全服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM NSX 安全标记可与 NSX Service Composer 一起使用,

88 防恶意软件减少了计算机上的内核内存占用随着时间的推移占用的增加量达到最低在云中提供快速实时的安全状态查找功能要打开或关闭云安全扫描, 请转至策略 / 计算机编辑器 > 防恶意软件 > 云安全智能防护 NSX 安全标记一旦检测到恶意威胁, 亚安全服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM NSX 安全标记可与 NSX Service Composer 一起使用, 以自动执行某些任务, 例如隔离受感染的 VM 有关 NSX 安全标记和动态 NSX 安全组分配的更多, 请查看您的 VMware NSX 文档 NSX 安全标记是 VMware vsphere NSX 环境的一部分, 并且不能与亚安全服务器深度安全防护系统事件标记混淆有关亚安全服务器深度安全防护系统事件标记的更多, 请参阅事件标记 ( 第 132 页 ) 可以配置防恶意软件防恶意软件和入侵防御系统入侵防御系统防护模块以应用 NSX 安全标记要配置防恶意软件模块以应用 NSX 安全标记, 请转至计算机 / 策略编辑器 > 防恶意软件 > 高级 > NSX 安全标记您可以选择仅在防恶意软件引擎尝试的阻止操作不成功时才应用 NSX 安全标记 ( 阻止操作由生效的恶意软件扫描配置决定要查看生效的恶意软件扫描配置, 请转至计算机 / 策略编辑器 > 防恶意软件 > 常规选项卡, 然后检查实时扫描实时扫描手动扫描手动扫描和预设扫描预设扫描区域 ) 您也可以选择在后续恶意软件扫描未检测到任何恶意软件时, 移除安全标记应仅在所有恶意软件扫描都将是同一类型时使用此设置 88

89 Web 誉 Web 誉 Web 誉模块通过阻止访问恶意 URL 来抵御 Web 威胁亚安全服务器深度安全防护系统使用亚安全云安全智能防护网络源的 Web 安全数据库检查用户试图访问的网站的誉网站的誉与在计算机上强制执行的特定 Web 誉策略相关亚安全服务器深度安全防护系统将基于强制执行的 Web 誉安全级别阻止或允许访问此 URL 基本配置在计算机上启用 Web 誉功能 : 1. 在策略 / 计算机编辑器中, 转至 Web 誉 > 常规 2. 选择打开, 然后单击保存桥接和分接模式 Web 誉使用能够以下列两种模式之一运行的亚安全服务器深度安全防护系统网络引擎 : 桥接 : 活动数据包流直接通过亚安全服务器深度安全防护系统网络引擎因此, 所有规则将在继续协议堆栈前应用到网络流量分接模式 : 系统会复制活动数据包流并从主数据流中转移在分接模式下, 不会修改活动数据流所有操作均在复制的数据流上执行处于分接模式时, 除了提供事件记录之外, 亚安全服务器深度安全防护系统不会提供任何保护要在桥接模式和分接模式之间切换, 请打开策略或计算机编辑器并转至设置 > 网络引擎 > 网络引擎模式云安全智能防护服务器 Web 誉模块依靠亚安全云安全智能防护网络上维护的数据库亚安全服务器深度安全防护系统将会连接到本地安装的云安全智能防护服务器, 或者连接到全局云安全智能防护服务要配置与云安全智能防护网络的连接, 请转至策略 / 计算机编辑器 > Web 誉 > 云安全智能防护选项卡安全级别会向已知或怀疑包含恶意内容的 Web 地址分配以下风险级别可疑 : 与垃圾邮件相关或者可能有危害高度可疑 : 怀疑为欺诈性页面或者可能威胁源危险 : 经证实为欺诈性页面或者已知威胁源可以强制使用以下安全级别之一 : 高 : 阻止评估为以下级别的站点 : 危险高度可疑可疑中 : 仅阻止评估为以下级别的站点 : 89

90 Web 誉危险高度可疑低 : 仅阻止评估为以下级别的站点 : 危险安全级别确定亚安全服务器深度安全防护系统将允许还是阻止访问某 URL 例如, 如果将安全级别设置为低, 亚安全服务器深度安全防护系统将仅阻止已知为 Web 威胁的 URL 如果设置为较高的安全级别, 则会提高 Web 威胁检测率, 但误报的可能性也会增加您也可以选择阻止未经亚安全测试的 URL 要实施某个安全级别, 请转至策略 / 计算机编辑器 > Web 誉 > 常规选项卡例外可以使用您要阻止或允许的 URL 列表覆盖由云安全智能防护网络的评估指定的阻止 / 允许行为要创建这些阻止 / 允许例外列表, 请转至策略 / 计算机编辑器 > Web 誉 > 例外选项卡 90

91 防火墙防火墙亚安全服务器深度安全防护系统防火墙是双向状态防火墙, 负责确保来自未经授权的来源的数据包不会访问主机上的应用程序基本配置在计算机上启用防火墙功能 : 1. 在策略 / 计算机编辑器中, 转至防火墙 > 常规 2. 选择打开, 然后单击保存桥接和分接模式防火墙模块使用能够以下列两种模式之一运行的亚安全服务器深度安全防护系统网络引擎 : 桥接 : 活动数据包流直接通过亚安全服务器深度安全防护系统网络引擎因此, 所有规则将在继续协议堆栈前应用到网络流量分接模式 : 系统会复制活动数据包流并从主数据流中转移在分接模式下, 不会修改活动数据流所有操作均在复制的数据流上执行处于分接模式时, 除了提供事件记录之外, 亚安全服务器深度安全防护系统不会提供任何保护要在桥接模式和分接模式之间切换, 请打开策略或计算机编辑器并转至设置 > 网络引擎 > 网络引擎模式防火墙规则属性数据包源和数据包目标防火墙可使用以下条件确定流量源和目标 : IP 地址 MAC 地址端口 IP 地址以下选项可用于定义 IP 地址 : 任何 : 未指定地址, 因此任何主机均可以是源或目标单个 IP: 使用其 IP 地址标识特定计算机网络掩码 : 这会将规则应用于共享相同子网掩码的所有计算机范围 : 这会将规则应用于特定 IP 地址范围内的所有计算机 IP: 对不具有连续 IP 地址的多个计算机应用规则时使用此选项 IP 列表 : 此选项使用组件列表 ( 特别是针对 IP 地址的列表 ) 来定义主机 91

92 防火墙 MAC 地址以下选项可用于定义 MAC 地址 : 任何 : 未指定 MAC 地址, 因此, 规则适用于所有地址单个 MAC: 规则适用于特定 MAC 地址 MAC: 规则适用于此处指定的 MAC 地址 MAC 列表 : 规则适用于 MAC 列表中的 MAC 地址端口以下选项可用于定义端口地址 : 任何 : 规则适用于单个端口端口 : 规则适用于此处写入的多个端口端口列表 : 规则适用于端口列表传输协议如果规则专门针对 Internet 协议 (IP) 帧类型, 并且协议文本框已启用, 系统将要求管理员指定要分析的传输协议可供选择的协议选项有 : 任何 ( 将不会基于协议区分防火墙 ) ICMP ICMPV6 IGMP GGP TCP PUP UDP IDP ND RAW TCP+UDP 其他 ( 必须提供协议编号 ) 方向亚安全服务器深度安全防护系统防火墙是双向防火墙因此, 它可以对网络到亚安全服务器深度安全防护系统主机 ( 称为传入 ), 以及主机到网络 ( 称为传出 ) 的流量强制执行规则防火墙规则仅可用于一个方向, 因此特定类型的流量的防火墙规则通常成对出现 92

93 防火墙 TCP 标头标志处理 TCP 流量时, 管理员可以选择规则要应用到的 TCP 标志如果规则未应用到所有标志, 管理员可从以下选项进行选择 : 任何标志 URG ACK PSH RST SYN FIN 可使用多种方法将这些标志用于各种攻击中此处仅介绍一项选择 URG 标志表示该数据包十分紧急, 必须先于所有其他数据包进行处理 ;PSH 标志设置 TCP 堆栈以刷新其缓存并将所有发送到应用程序这两种标志都可用于名为 Xmas 扫描的类型端口扫描中, 通常为已启用 URG 和 PSH 标志的 FIN 数据包此扫描的名称由来是交替打开和关闭标志字节 ( ) 中的位, 类似圣诞树上的灯未受保护的计算机收到与 Xmas 扫描相关的数据包时, 将出现以下情况 : 条件关闭的端口打开的端口响应返回 RST 数据包无响应, 暴露了已打开端口的存在 RST 或 RESET 标志突然终止了 TCP 连接如上所述, 其合法使用还包括终止到指出连接不可行或未经允许的已关闭端口的连接但是, RST 标志还可以用作旨在破坏现有会话的 RESET 攻击的一部分下图举例说明了一种攻击情况, 其中主机 C 可以计算主机 A 期望从主机 B 的数据包获取的 TCP 序列号, 因此欺骗主机 A 相主机 B 已向其发送 RST 数据包最终结果是拒绝服务攻击 : 帧类型术语帧是指以太网帧, 提供的协议可指定帧包含的数据 Internet 协议 (IP) 地址解析协议 (ARP) 和反向地址解析协议 (REVARP) 是当代以太网网络上最常包含的协议, 但是通过从下拉列表中选择其他, 您可以通过其帧编号指定任何其他帧类型防火墙规则操作防火墙规则可以执行以下操作 : 允许 : 明确允许符合规则的流量通过, 隐式拒绝其他流量放行 : 允许流量绕开防火墙和入侵防御分析仅将此设置用于媒体密集协议放行规则可基于 IP 端口流量方向和协议 93

94 防火墙拒绝 : 明确阻止符合规则的流量强制允许 : 强制允许另外可能被其他规则拒绝的流量强制允许规则允许的流量仍要经过入侵防御模块的分析仅记录 : 流量将仅供记录不会采取任何其他操作关于允许规则的更多允许规则有两个功能 : 1. 允许明确允许的流量 2. 隐式拒绝所有其他流量将丢弃允许允许规则未明确允许的流量, 并记录为不允许的策略不允许的策略防火墙事件常用的允许允许规则包括 : ARP: 允许传入的地址解析协议 (ARP) 流量允许请求的 TCP/UDP 回复 : 确保主机计算机可以接收对其 TCP 和 UDP 消的回复这与 TCP 和 UDP 状态配置结合使用允许请求的 ICMP 回复 : 确保主机计算机可以接收对其 ICMP 消的回复这与 ICMP 状态配置结合使用关于放行规则的更多放行规则专用于媒体密集协议, 无需通过防火墙或入侵防御模块进行过滤放行放行规则具有以下显著特征 : 符合放行放行规则条件的数据包具有以下特点 : 不受状态配置设置条件的约束可绕开防火墙和入侵防御分析由于状态检查未应用于已绕开的流量, 因此绕开一个方向的流量不会自动绕开另一个方向的响应因此, 应始终成对创建和应用放行规则, 一个用于传入流量, 另一个用于传出流量不会记录放行规则事件这是不可配置的行为如果亚安全服务器深度安全防护系统管理中心使用受亚安全服务器深度安全防护系统客户端保护的远程数据库, 那么在亚安全服务器深度安全防护系统管理中心将入侵防御规则保存到数据库时, 将出现入侵防御相关的虚假警报规则内容本身将误报为攻击针对此情况的解决方法之一是为从亚安全服务器深度安全防护系统管理中心到数据库主机的流量创建放行规则亚安全服务器深度安全防护系统管理中心流量的缺省放行规则亚安全服务器深度安全防护系统管理中心自动实现优先级 4 放行规则, 将在运行亚安全服务器深度安全防护系统客户端的主机计算机上的端口 4118 打开传入的 TCP 流量优先级 4 可确保在所有拒绝规则之前先应用此规则, 放行可保证流量始终不会受到影响但是, 此规则接受来自任何 IP 地址和任何 MAC 地址的流量要稳定此端口的 DSA, 您可以为此端口创建更加严格的备用放行规则客户端实际上将禁用缺省管理中心流量规则以支持新定制规则, 前提是其具有以下特性 : 优先级 : 4 最高数据包流向 : 传入帧类型 : IP 协议 : TCP 94

95 防火墙数据包目标端口 : 4118 定制规则必须使用以上参数替换缺省规则实际管理中心的 IP 地址或 MAC 地址应用作规则的数据包源关于强制允许规则的更多强制允许选项排除了另外可能被拒绝操作覆盖的流量子集它与其他操作的关系如下所示强制允许与放行规则的效果是一样的但是, 和放行不同的是, 因此操作通过防火墙的流量仍要由入侵防御模块进行审查强制允许操作对于确保必要的网络服务能够与 DSA 计算机进行通特别有用这些缺省的强制允许规则通常会在实际应用中启用 : 允许拒绝强制允许在多节点排列中使用多个管理中心计算机时, 最好为这些计算机定义一个 IP 列表, 然后将此列表用于定制管理中心流量规则防火墙规则流程到达计算机的数据包会先按防火墙规则进行处理, 接着根据状态配置条件进行处理, 最后再按入侵防御规则进行处理以下是应用防火墙规则的顺序 ( 传入和传出 ): 1. 具有优先级 4( 最高 ) 的防火墙规则 1. 放行 2. 仅记录 ( 只能为仅记录仅记录规则分配优先级 4( 最高 )) 3. 强制允许 4. 拒绝 2. 具有优先级 3( 高 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 3. 具有优先级 2( 一般 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 4. 具有优先级 1( 低 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 5. 具有优先级 0( 最低 ) 的防火墙规则 1. 放行 2. 强制允许 3. 拒绝 4. 允许 ( 请注意, 允许规则只能分配优先级 0( 最低 )) 95

96 防火墙如果计算机上没有任何允许允许规则生效, 除非被拒绝拒绝规则特别阻止, 否则将允许所有流量创建单个允许允许规则后, 除非其满足允许规则的条件, 否则将阻止所有其他流量此情况有一个例外 : 除非拒绝规则明确阻止 ICMPv6 网络通, 否则始终允许该网络通在同一优先级上下文中, 拒绝规则会覆盖允许允许规则, 而强制允许强制允许规则将会覆盖拒绝拒绝规则通过使用规则优先级系统, 可以制订较高优先级的拒绝拒绝规则来覆盖较低优先级的强制允许强制允许规则考虑一个 DNS 服务器策略示例, 该策略使用强制允许规则, 从而允许所有经由 TCP/UDP 端口 53 的传入 DNS 查询创建优先级高于强制允许规则的拒绝拒绝规则, 则可以指定某特定范围的 IP 地址并必须禁止使用这些地址来访问同一个公共服务器通过基于优先级的规则集, 您可以设置应用规则时所要依据的顺序如果已设置具有最高优先级的拒绝拒绝规则, 而且同一优先级中没有强制允许规则, 则会自动丢弃匹配该拒绝拒绝规则的任何数据包, 并忽略其余的规则相反地, 如果具有最高优先级标志集的强制允许强制允许规则存在, 则会自动允许匹配该强制允许强制允许规则的任何传入数据包通过, 且不针对任何其他规则进行检查有关记录的注意事项放行规则从不生成事件此选项不可配置仅当符合规则的数据包后来没有被下列任一规则阻止时, 仅记录规则才会生成事件 : 拒绝规则, 或排除该数据包的允许允许规则如果数据包被上述两种规则中的一种阻止, 则这些规则 ( 但不是仅记录仅记录规则 ) 将生成事件如果没有后续规则停止数据包, 则仅记录仅记录规则会生成事件防火墙规则如何协作亚安全服务器深度安全防护系统防火墙规则既有规则处理措施, 又有规则优先级这两种属性配合使用可让您创建非常有弹性且功能强大的规则集其他防火墙使用的规则集可能要求依照运行时应有的顺序定义规则, 与此不同的是, 亚安全服务器深度安全防护系统防火墙规则是根据规则处理措施和规则优先级的确定顺序运行的, 与其定义或分配的顺序无关规则处理措施每个规则可以有五种处理措施之一 1. 放行 : 如果数据包符合放行放行规则, 则无论同一优先级级别的其他任意规则为何, 数据包均可通过防火墙和入侵防御引擎 2. 仅记录 : 如果数据包符合仅记录仅记录规则, 则该数据包会通过, 该事件将被记录 3. 强制允许 : 如果数据包符合强制允许强制允许规则, 则无论同一优先级级别的其他规则是什么, 数据包均可通过 4. 拒绝 : 如果数据包符合拒绝拒绝规则, 则会被丢弃 5. 允许 : 如果数据包符合允许允许规则, 则可以通过不符合允许允许规则之一的任何流量都会被拒绝实行允许规则将导致拒绝允许规则未特别覆盖的所有其他流量 : 96

97 防火墙拒绝规则可以优先于允许规则执行, 以阻止某些类型的流量 : 强制允许规则可以应用于被拒绝的流量之上, 以允许某些异常经过 : 规则优先级拒绝和强制允许类型的规则处理措施可以在 5 种优先级的任一种中加以定义, 以便进一步修正允许规则集所定义的允许流量规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行在特定的优先级级别中, 规则是根据规则操作的顺序 ( 强制允许拒绝允许仅记录 ) 得到处理的优先级上下文可让用户使用拒绝 / 强制允许组合依次修正流量控制, 以达到更大的灵活性在同一优先级上下文中, 可以使用拒绝拒绝规则否定允许允许规则, 也可以使用强制允许强制允许规则否定拒绝拒绝规则允许类型的规则处理措施只在优先级为 0 时运行, 而仅记录仅记录类型的规则处理措施只在优先级为 4 时运行组合使用规则处理措施和规则优先级规则以最高 ( 优先级 4) 到最低 ( 优先级 0) 的优先级顺序运行在特定的优先级级别中, 会根据规则处理措施的顺序处理规则优先级相同的规则处理顺序如下 : 放行仅记录强制允许拒绝允许请记住, 允许类型的规则处理措施只在优先级为 0 时运行, 而仅记录仅记录类型的规则处理措施只在优先级为 4 时运行请记住, 如果强制允许强制允许规则和拒绝拒绝规则处于同一优先级, 则强制允许强制允许规则比拒绝拒绝规则优先, 因此将会允许符合强制允许强制允许规则的流量 97

98 防火墙状态过滤状态配置在计算机上生效时, 会在流量历史记录 TCP 和 IP 标头值正确性, 以及 TCP 连接状态转换的上下文中分析数据包在无状态协议 ( 例如,UDP 和 ICMP) 情况下, 会根据历史流量分析执行假状态机制在亚安全服务器深度安全防护系统管理中心中, 可通过策略 > 通用对象 > 防火墙状态配置找到保存的状态配置它们通过策略编辑器或计算机编辑器应用至计算机, 方法为转到策略 / 计算机编辑器 > 防火墙 > 通用 > 防火墙状态配置如果数据包经由静态规则明确允许, 将会通过状态例程通过检查连接表检查数据包是否属于现有的连接检查 TCP 标头的正确性 ( 例如, 序号标志组合 ) 启用后, 状态引擎会应用至通过接口的所有流量缺省情况下,UDP 假状态检查会拒绝任意传入的未经请求的 UDP 数据包如果计算机运行的是 UDP 服务器, 则策略中必须包含强制允许规则, 以允许访问该服务例如, 如果在 DNS 服务器上启用了 UDP 状态检查, 则必须有允许 UDP 流量通往端口 53 的强制允许规则缺省情况下,ICMP 假状态检查会拒绝任何未经请求的传入 ICMP 的请求回复和错误类型数据包若要允许未经请求的 ICMP 数据包, 必须明确定义强制允许强制允许除非使用静态规则明确允许, 否则会丢弃其他所有 ICMP( 非请求回复或错误类型 ) 数据包将所有内容汇总设计防火墙策略一般而言, 定义计算机的防火墙策略有两种方法 : 禁止 : 禁止一切未明确允许的流量可以通过使用允许允许规则描述允许的流量, 使用拒绝拒绝规则进一步限制允许的流量, 将两种方法相结合以创建禁止策略允许 : 允许一切未明确禁止的流量可单独使用拒绝拒绝规则描述应丢弃的流量, 以创建允许策略一般而言, 应优先使用禁止策略, 而尽量避免使用允许策略强制允许规则应只与允许规则和拒绝规则结合使用, 以允许由允许规则和拒绝规则所禁止的流量子集当启用 ICMP 和 UDP 状态时, 还需要强制允许强制允许规则以允许未经请求的 ICMP 和 UDP 流量示例以下是如何为 Web 服务器创建简单防火墙策略的示例 1. 首先使用已启用 TCP UDP 和 ICMP 选项的全局防火墙状态配置启用这些选项的状态检查 2. 添加防火墙规则以允许回复来自工作站的请求的 TCP 和 UDP 数据包为实现此目的, 创建传入允许规则, 将协议设置为 "TCP + UDP", 并选择特定标志下的非复选框和 Syn 复选框此时, 该策略只允许回复由工作站上的用户启动的请求的 TCP 和 UDP 数据包例如, 结合步骤 1 中已启用的状态分析选项, 此规则允许此计算机上的用户执行 DNS 查询 ( 通过 UDP) 以及通过 HTTP (TCP) 浏览 Web 3. 添加防火墙规则以允许回复来自工作站的请求的 ICMP 数据包为实现此目的, 创建传入允许规则, 并将协议设置为 "ICMP", 并选择任何标志复选框这意味着此计算机上的用户可以 ping 其他的工作站并收到回复, 但是其他用户将无法 ping 此计算机 4. 添加防火墙规则, 选中特定标志部分下的 Syn 复选框, 以允许通往端口 80 和 443 的传入 TCP 流量这意味着外部用户可以访问此计算机上的 Web 服务器此时, 我们已拥有一个基本的防火墙策略, 该策略允许请求的 TCP UDP 和 ICMP 回复, 允许外部访问此计算机上的 Web 服务器, 并拒绝所有其他传入流量关于如何使用拒绝拒绝和强制允许强制允许规则处理措施进一步修正此策略的示例, 请考虑要如何限制来自网络中其他计算机的流量例如, 我们可能要允许内部用户访问此计算机上的 Web 服务器, 但是拒绝 DMZ 中的任意计算机进行访问通过添加拒绝规则, 禁止位于 DMZ IP 范围中的服务器进行访问即可实现此目的 98

99 防火墙 5. 接下来我们针对源 IP 为 /24 的传入 TCP 流量添加一个拒绝规则, 此 IP 位于分配给 DMZ 中计算机的 IP 范围此规则拒绝 DMZ 中的计算机与此计算机之间的任何流量但是, 我们可能要进一步修正此策略, 以允许从 DMZ 中的邮件服务器传入的流量 6. 为实现此目的, 我们对来自源 IP 的传入 TCP 流量使用强制允许规则此强制允许规则会覆盖在前一步骤创建的拒绝规则, 以允许来自 DMZ 中此计算机的流量务必要记住的重要事项所有流量都要先对照防火墙规则进行检查, 再由状态检查引擎进行分析如果流量通过了防火墙规则, 则状态检查引擎会接着对其进行分析 ( 前提条件是状态配置中已启用防火墙状态检查 ) 允许规则是禁止的未在允许允许规则中指定的任何流量都会自动丢弃这包括其他帧类型的流量, 因此您必须记住包含允许其他类型的必要流量的规则例如, 如果未使用静态 ARP 表, 别忘了包含允许 ARP 流量的规则如果启用了 UDP 状态检查, 则必须使用强制允许规则以允许未经请求的 UDP 流量例如, 如果在 DNS 服务器上启用了 UDP 状态检查, 则对端口 53 必须使用强制允许强制允许规则, 以允许服务器接受传入的 DNS 请求如果启用了 ICMP 状态检查, 则必须使用强制允许规则, 以允许未经请求的 ICMP 流量例如, 如果您要允许外部的 ping 请求, 则需要对 ICMP 类型 3(Echo 请求 ) 使用强制允许强制允许规则强制允许仅在相同的优先级上下文中才是最佳的做法如果您未配置 DNS 或 WINS 服务器 ( 在测试环境中很常见 ), 则必须为 NetBios 配置强制允许传入 UDP 端口 137 规则对新的防火墙策略进行故障排除时, 应做的第一件事是检查客户端 / 设备上的防火墙规则日志防火墙规则日志包含您需要的所有, 可以使您判断拒绝了哪些流量, 从而根据需要进一步修正策略 99

100 放行规则放行规则有一类特殊的防火墙规则, 称为放行规则它专用于使用媒体密集型的协议, 而这类协议可能不希望执行过滤要创建放行规则, 应在新建防火墙规则时选择放行做为规则的操作防火墙规则上的放行操作与强制允许规则有下列不同之处 : 符合放行的数据包不会由入侵防御规则处理与强制允许不同的是, 当防火墙状态配置开启时, 放行不会自动允许对 TCP 连接进行响应 ( 有关详细, 请参阅后面内容 ) 有些放行规则已经过优化, 流量会很有效率地流动, 客户端 / 设备就跟不存在一般 ( 有关详细, 请参阅后面内容 ) 在防火墙状态配置开启时使用放行如果您打算使用放行规则对通往 TCP 目的地端口 N 的传入流量跳过入侵防御规则处理, 而且防火墙状态配置已设置为对 TCP 执行状态检查, 则必须为源端口 N 创建匹配的传出规则, 以便允许 TCP 响应 ( 若是强制允许规则, 则不必如此操作, 因为状态引擎仍会处理强制允许流量 ) 所有放行规则都是单向的每个方向的流量都需要使用显式的规则优化放行规则旨在允许匹配的流量以尽可能快的速率通过采用下列 ( 全部 ) 设置可达到最大的吞吐量 : 优先级 : 最高帧类型 :IP 协议 :TCP UDP 或其他 IP 协议 ( 请勿使用任何选项 ) 源 IP 和 MAC 与目标 IP 和 MAC: 全部为任何如果协议为 TCP 或 UDP, 且流量方向为传入, 则目的地端口必须为一个或多个指定的端口 ( 不是任何 ), 而源端口则必须为任何如果协议为 TCP 或 UDP, 且流量方向为传出, 则源端口必须为一个或多个指定的端口 ( 不是任何 ), 而目的地端口则必须为任何时间表 : 无记录符合放行规则的数据包不会被记录此选项不可配置 100

101 入侵防御入侵防御入侵防御模块可保护计算机免遭已知和零时差漏洞攻击 SQL 注入攻击跨站点脚本攻击和其他 Web 应用程序漏洞利用屏蔽漏洞直到代码修复完成它可识别访问网络的恶意软件, 并增加对访问网络的应用程序的可见性, 或者增加对其的控制入侵防御通过检测网络流量中的恶意指令和丢弃相关数据包来阻止攻击入侵防御可用于以下功能 : 虚拟修补 : 入侵防御规则可以丢弃旨在利用某些应用程序或操作系统本身未修补漏洞的流量这可在等待应用相关 Patch 时保护主机协议清理 : 检测并阻止具有恶意指令的流量应用程序控制 : 此控制可用于阻止与特定应用程序 ( 例如 Skype 或文件共享工具 ) 相关的流量基本配置在计算机上启用入侵防御功能 : 1. 在策略 / 计算机编辑器中, 转至入侵防御 > 常规 2. 选择打开, 然后单击保存桥接和分接模式入侵防御模块使用能够以下列两种模式之一运行的亚安全服务器深度安全防护系统网络引擎 : 桥接 : 活动数据包流直接通过亚安全服务器深度安全防护系统网络引擎因此, 所有规则将在继续协议堆栈前应用到网络流量分接模式 : 系统会复制活动数据包流并从主数据流中转移在分接模式下, 不会修改活动数据流所有操作均在复制的数据流上执行处于分接模式时, 除了提供事件记录之外, 亚安全服务器深度安全防护系统不会提供任何保护要在桥接与分接模式间切换, 请打开策略或计算机编辑器, 然后转至设置 > 网络引擎 > 网络引擎模式阻止与检测如果亚安全服务器深度安全防护系统网络引擎处于桥接桥接模式, 将提供两个额外选项 : 阻止 : 入侵防御规则适用于流量, 并生成相关日志事件检测 : 仍会触发入侵防御规则, 并生成事件, 但不会影响流量您应当始终在检测模式下测试新的入侵防御设置和规则以确保可能的误报不会中断计算机上的服务一旦确不会触发任何误报 ( 通过在一段时间内监控入侵防御事件 ), 便可切换到阻止模式也可以将个别入侵防御规则应用于仅检测或阻止模式应用任何新入侵防御规则时, 最好在仅检测模式下先运行一段时间, 以确保其不会干扰合法流量亚安全发布的一些规则缺省情况下设置为仅检测例如, 邮件客户端入侵防御规则通常为仅检测, 因为它们将阻止所有后续邮件的下载仅当某条件在一定时期内出现多次或一定次数, 一些规则才会触发, 以在条件再次出现时不会阻止个别条件, 但会引发警报一些规则仅仅易受误报影响缺省情况下, 这些规则将在仅检测模式下传送, 在观察到未触发任何误报后是否将其切换为阻止模式的决定权在您手中 101

入侵防御 NSX 安全标记一旦检测到恶意威胁, 亚安全服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM NSX 安全标记可与 NSX Service Composer 一起使用, 以自动执行某些任务, 例如隔离受感染的 VM 有关 NSX 安全标记和动态 NSX 安全组分配的更多, 请查看您的 VMware NSX 文档 NSX 安全标记是 VMware vsphere NSX

102 入侵防御 NSX 安全标记一旦检测到恶意威胁, 亚安全服务器深度安全防护系统可将 NSX 安全标记应用于受保护的 VM NSX 安全标记可与 NSX Service Composer 一起使用, 以自动执行某些任务, 例如隔离受感染的 VM 有关 NSX 安全标记和动态 NSX 安全组分配的更多, 请查看您的 VMware NSX 文档 NSX 安全标记是 VMware vsphere NSX 环境的一部分, 并且不能与亚安全服务器深度安全防护系统事件标记混淆有关亚安全服务器深度安全防护系统事件标记的更多, 请参阅事件标记 ( 第 132 页 ) 可以配置防恶意软件防恶意软件和入侵防御系统入侵防御系统防护模块以应用 NSX 安全标记要配置入侵防御模块以应用 NSX 安全标记, 请转至计算机 / 策略编辑器 > 入侵防御 > 高级 > NSX 安全标记入侵防御事件具有一个严重性级别, 由造成该事件的入侵防御规则的严重性级别确定入侵防御规则的严重性级别可在规则属性规则属性 > 常规选项卡上进行配置入侵防御规则严重性级别与 NSX 标记的映射关系如下所示 : IPS 规则严重性严重高中低 NSX 安全标记 IDS_IPS.threat=high IDS_IPS.threat=high IDS_IPS.threat=medium IDS_IPS.threat=low 您可以指定将造成 NSX 安全标记应用到 VM 中的入侵防御规则的最低严重性级别, 从而配置标记机制的敏感度触发应用 NSX 安全标记的最低规则严重性设置的选项如下 : 缺省 ( 无标记 ): 未应用任何 NSX 标记严重 : 如果触发了严重性级别为严重严重的入侵防御规则,NSX 标记将应用于 VM 高 : 如果触发了严重性级别为高或严重严重的入侵防御规则,NSX 标记将应用于 VM 中 : 如果触发了严重性级别为中高或严重严重的入侵防御规则,NSX 标记将应用于 VM 低 : 如果触发了严重性级别为低中高或严重严重的入侵防御规则,NSX 标记将应用于 VM 为在阻止模式下运行的规则和在仅检测模式下运行的规则提供独立设置 IPS 规则是在阻止模式还是在仅检测模式下运行, 不仅取决于入侵防御模块设置 ( 计算机 / 策略编辑器 > 入侵防御 > 常规选项卡 ), 还取决于单个规则本身的配置 ( 规则属性 > 常规选项卡 > 详细 ) 102

103 完整性监控完整性监控完整性监控允许您监控计算机上特定区域的更改亚安全服务器深度安全防护系统能够监控已安装的软件运行的服务进程文件目录侦听端口注册表项和注册表值它通过对已分配规则中指定的计算机上的区域执行基线扫描, 然后定期重新扫描这些区域以查看其更改来发挥作用亚安全服务器深度安全防护系统管理中心随附有预定义的完整性监控规则, 并在安全更新中提供了新的完整性监控规则漏洞扫描 ( 推荐设置 ) 将建议计算机启用完整性监控规则以下是在计算机上启用完整性监控的典型过程 : 1. 打开完整性监控 ( 全局或在特定计算机上 ) 2. 在计算机上运行漏洞扫描 ( 推荐设置 ) 3. 应用建议的完整性监控规则 4. ( 可选 ) 应用自己为计算机编写的任何完整性监控规则 5. 打开计算机的详细详细窗口, 转至完整性监控完整性监控页面, 然后单击重新生成基线, 来生成计算机的基线 6. 定期扫描更改 ( 以手动方式或通过创建预设任务来扫描 ) 基本配置在计算机上启用完整性监控功能 : 1. 在策略 / 计算机编辑器中, 转至完整性监控 > 常规 2. 选择打开, 然后单击保存使用完整性监控完整性监控页面可打开或关闭完整性监控, 以及设置在执行漏洞扫描 ( 推荐设置 ) 后是否自动应用建议的完整性监控规则打开 : 预设完整性监控扫描可以按照与其他亚安全服务器深度安全防护系统操作相同的方式预设完整性监控扫描将标识对自上次扫描开始监控的实体所做的更改, 并记录事件不会跟踪两次扫描之间对受监控实体的多次更改, 只会检测最后一次更改要检测和报告对实体状态的多次更改, 请考虑增加预设扫描的频率 ( 例如, 每天替代每周 ) 或对频繁更改的实体选择实时完整性监控关闭 : 按需完整性监控扫描用于扫描更改的完整性监控扫描还可以由管理员启动, 其功能类似于预设完整性监控扫描实时 : 实时完整性监控实时完整性监控能够实时监控实体更改, 并在检测到更改时引发完整性监控事件这些事件会实时通过 syslog 转发给 SIEM, 或在与亚安全服务器深度安全防护系统管理中心的下次波动号通 ( 可配置 ) 发生时转发给 SIEM 计算机的详细详细窗口中的完整性监控完整性监控页面具有额外选项, 它们仅适用于特定计算机在此窗口中, 可启动扫描来扫描更改或重新生成计算机的基线数据还可以启动漏洞扫描 ( 推荐设置 ) 或清除现有的建议有关编写定制完整性监控规则的, 请参阅参考参考部分中的完整性监控规则完整性监控规则页面和完整性监控规则语言完整性监控规则语言 ( 第 218 页 ) 103

104 日志审查日志审查 OSSEC 日志审查引擎已集成到亚安全服务器深度安全防护系统中, 并为您提供了审查由计算机上运行的操作系统和应用程序生成的日志和事件的功能可将日志审查规则直接分配给计算机, 或使其成为安全配置文件的一部分与完整性监控事件类似, 可以将日志审查事件配置为在亚安全服务器深度安全防护系统管理中心生成警报亚安全编写的一些日志审查规则需要本地配置才能正常运行如果将这些规则之一分配给计算机或自动分配这些规则之一, 则将发出警报以通知您需要进行配置基本配置在计算机上启用日志审查功能 : 1. 在策略 / 计算机编辑器中, 转至日志审查 > 常规 2. 选择打开, 然后单击保存漏洞扫描 ( 推荐设置 ) 可以将客户端配置为执行定期漏洞扫描 ( 推荐设置 ), 漏洞扫描 ( 推荐设置 ) 会扫描计算机, 并对各种安全规则的应用提供建议选中该复选框将会将建议的日志审查规则自动分配给计算机, 并自动取消分配不需要的规则要打开或关闭建议引擎, 请转至策略 / 计算机编辑器 > 设置 > 扫描高级主题有关日志审查的更多, 请参阅检查日志审查规则 ( 第 105 页 ) 104

105 检查日志审查规则检查日志审查规则通过亚安全服务器深度安全防护系统中的日志审查功能, 可以实时分析第三方日志文件日志审查规则和解码器提供一个框架, 用于在各种系统间解析分析排序和关联事件与入侵防御和完整性监控一样, 日志审查内容采用安全更新中包含的规则的形式进行传送这些规则提供高级方法来选择要分析的应用程序和日志日志审查规则位于亚安全服务器深度安全防护系统管理中心中, 位置是策略 > 通用对象 > 规则 > 日志审查规则日志审查规则结构和事件匹配过程该窗口截图显示 "Microsoft Exchange" 日志审查规则属性窗口的配置配置选项卡的内容 : 以下是规则的结构 : Grouping of Exchange Rules - Ignore rcpt is not valid (invalid account) - Medium (4) Multiple attempts to an invalid account - High (9) Frequency - 10 Time Frame Ignore error code - Medium (4) error code (spam) - High (9) Frequency - 12 Time Frame Ignore 日志审查引擎将对此结构应用日志事件并查看是否发生匹配假定发生 Exchange 事件, 且此事件是电子邮件收件人帐户无效该事件将匹配行 3800( 因为它是 Exchange 事件 ) 之后, 该事件将应用于行 3800 的子规则 :3801 和

检查日志审查规则如果没有其他匹配, 则此匹配进阶将在 3800 处停止由于 3800 的严重性级别为忽略, 因此将不记录任何日志审查事件但是, 无效帐户的电子邮件收件人确实匹配一个 3800 的子规则 : 子规则 3801 子规则 3801 的严重性级别为中 (4) 如果匹配在此处停止, 将记录严重性级别为中 (4) 的日志审查事件但是, 仍有其他子规则要应用到事件 : 子规则

106 检查日志审查规则如果没有其他匹配, 则此匹配进阶将在 3800 处停止由于 3800 的严重性级别为忽略, 因此将不记录任何日志审查事件但是, 无效帐户的电子邮件收件人确实匹配一个 3800 的子规则 : 子规则 3801 子规则 3801 的严重性级别为中 (4) 如果匹配在此处停止, 将记录严重性级别为中 (4) 的日志审查事件但是, 仍有其他子规则要应用到事件 : 子规则 3851 如果在最近 120 秒内相同事件发生了 10 次, 则子规则 3851 及其三个属性将匹配如果是这样, 将记录严重性为高 (9) 的日志审查事件 ("Ignore" 属性指示子规则 3851 在接下来 120 秒内忽略匹配子规则 3801 的单个事件这对于减少无用数据非常有用 ) 假设已匹配子规则 3851 的参数, 现在将记录严重性为高 (9) 的日志审查事件查看 Microsoft Exchange 规则的选项选项卡, 会发现 : 如果已匹配严重性级别为中 (4) 的任意子规则, 亚安全服务器深度安全防护系统管理中心将发出警报由于在本示例中情况如此, 因此将发出警报 ( 如果已选择此规则记录事件时发出警报 ) 重复的子规则某些日志审查规则具有重复的子规则要查看示例, 请打开 Microsoft Windows 事件规则并单击配置选项卡请注意, 子规则 18125( 远程访问登录不成功 ) 显示在子规则和之下另请注意, 在这两种情况下, 子规则都不具备严重性值, 仅显示请参阅下面内容将在配置配置页底部列出规则一次, 而不是两次 : 106

107 创建日志审查规则创建日志审查规则通过亚安全服务器深度安全防护系统日志审查模块, 您可以收集并分析操作系统及应用程序日志以识别隐藏在数千日志条目中的重要安全事件可以将这些事件发送至安全和事件管理 (SIEM) 系统或集中式日志记录服务器, 以进行关联报告及归档同时集中在亚安全服务器深度安全防护系统管理中心安全收集所有事件通过亚安全服务器深度安全防护系统日志审查模块, 您可以 : 满足 PCI DSS 日志监控要求检测可疑行为在包含不同操作系统和多种应用程序的异构环境中收集事件查看事件, 如错误事件和性事件 ( 磁盘已满服务启动 / 关闭等 ) 创建和维护管理员活动的审计跟踪 ( 管理员登录 / 注销帐户锁定策略更改等 ) 亚安全服务器深度安全防护系统日志审查以多种方式自动收集重要安全事件 : 漏洞扫描 ( 推荐设置 ): 漏洞扫描 ( 推荐设置 ) 将对正在进行扫描的服务器建议日志审查规则 ( 即 Windows 日志审查规则与 Unix 日志审查规则等 ) 缺省日志审查规则 : 亚安全服务器深度安全防护系统附有许多预定义的规则, 涵盖了各种操作系统和应用程序自动标记 : 日志审查事件基于其在日志文件结构中的分组进行自动标记这样就可以更轻松地在亚安全服务器深度安全防护系统管理中心自动处理日志审查事件日志审查模块实时监控指定的日志文件, 并在发生文件更改时做出反应请务必记住, 如果关闭客户端一段时间后重新打开客户端, 则日志审查模块将无法检测到日志文件更改 ( 不同于完整性监控模块, 完整性监控模块先生成基线, 然后定期扫描指定的文件和系统组件, 再将这些文件和系统组件与基线作比较 ) 尽管亚安全服务器深度安全防护系统附带用于多种常见操作系统和应用程序的日志审查规则, 但是您仍可以选择创建自己的定制规则要创建定制规则, 您可以使用基本规则模板, 也可以采用 XML 格式编写新规则本文章将描述日志审查规则语言并提供定制编写规则的示例有关现有日志审查规则属性的描述, 请参阅参考参考部分的日志审查规则日志审查规则和检查日志审查规则 ( 第 105 页 ) 文档日志审查进程解码器日志审查规则由要监控更改的文件列表和触发规则要满足的一组条件组成当日志审查引擎在受监控日志文件中检测到更改时, 将由解码器解析该更改解码器将原始日志条目解析为以下文本框 : log: 事件的消部分 full_log: 整个事件 location: 日志的来源 hostname: 事件源的主机名 program_name: 程序名称它取自事件的 syslog 标头 srcip: 事件内的源 IP 地址 dstip: 事件内的目标 IP 地址 srcport: 事件内的源端口 dstport: 事件内的目标端口 protocol: 事件内的协议 107

108 创建日志审查规则 action: 在事件内采取的操作 srcuser: 事件内的发起用户 dstuser: 事件内的目标用户 id: 解码为来自事件的 ID 的任意 ID status: 事件内的已解码状态 command: 在事件内调用的命令 url: 事件内的 URL data: 从事件中提取的任意其他数据 systemname: 事件内的系统名称规则将检查这些已解码数据, 查找与规则中定义的条件相匹配的如果匹配项的严重性级别足够高, 则可以执行以下任意操作 : 可发出警报 ( 可在日志审查规则属性属性窗口的选项选项选项卡上进行配置 ) 可将事件写入 syslog ( 可在管理 > 系统设置 > SIEM 选项卡上的系统事件通知系统事件通知区域中进行配置 ) 可将事件发送至亚安全服务器深度安全防护系统管理中心 ( 可在策略 / 计算机编辑器 > 设置 > SIEM 选项卡上的日志审查事件转发区域中进行配置 ) 日志审查规则日志审查引擎将日志审查规则应用于计算机的日志条目, 以确定其中是否有条目可生成日志审查事件单个日志审查规则可包含多个子规则这些子规则有两种类型 : 原子或复合原子规则评估单个事件, 而复合规则检查多个事件并可评估事件间的频率重复和关联原子规则组必须在 <group></group> 元素内定义每个规则或规则分组属性名称必须包含希望成为该组一部分的规则在以下示例中, 已表明组包含 syslog 和 sshd 规则 : <group name="syslog,sshd,"> </group> 请注意组名中的尾随逗号如果要使用 <if_group></if_group> 标记有条件地将其他子规则附加到此规则, 则需要使用尾随逗号将一组日志审查规则发送到客户端之后, 客户端上的日志审查引擎将从每个分配的规则中提取 XML 数据, 并将这些数据组合到本质上为单个的长日志审查规则中某些组定义对于亚安全编写的所有日志审查规则是通用的为此, 亚安全提供了名为缺省规则配置的规则, 该规则定义这些组并始终随其他亚安全规则一起分配 ( 如果您选择一个规则进行分配且未选择缺省规则配置规则, 将出现一条通知, 告知您将自动分配此规则 ) 如果您创建了自己的日志审查规则, 并在未分配任何亚安全编写的规则的情况下将其分配给计算机, 则必须将缺省规则配置规则的内容复制到您的新规则, 或者同时选择缺省规则配置规则以将其分配给计算机规则 ID 和级别一个组可包含所需的任意数量的规则规则使用 <rule></rule> 元素定义, 且必须至少包含两个属性, 即 id 和 level id 是该特征的唯一标识符,level 是警报的严重性在以下示例中, 创建了两个规则, 每个规则都具有不同的规则 id 和级别 : 108

109 创建日志审查规则 <group name="syslog,sshd,"> <rule id="100120" level="5"> </rule> <rule id="100121" level="6"> </rule> </group> 定制规则的 ID 值必须大于等于 100,000 可以使用 <group></group> 标记在父组内定义其他子组该子组可引用下表列出的任意组 : 组类型侦察认证控制攻击 / 滥用访问控制网络控制系统监控组名 connection_attempt web_scan recon authentication_success authentication_failed invalid_login login_denied authentication_failures adduser account_changed automatic_attack exploit_attempt invalid_access spam multiple_spam sql_injection attack virus access_denied access_allowed unknown_resource firewall_drop multiple_drops client_misconfig client_error new_host ip_spoof service_start system_error system_shutdown logs_cleared invalid_request promisc policy_changed config_changed low_diskspace time_changed 描述连接尝试 Web 扫描常规扫描成功不成功无效拒绝登录多次不成功添加用户帐户更改或移除用户帐户蠕虫病毒 ( 无目标性攻击 ) 入侵特征码无效访问垃圾邮件多封垃圾邮件 SQL 注入常规攻击检测到病毒拒绝访问允许访问访问不存在的资源防火墙丢弃多个防火墙丢弃客户端配置错误客户端错误检测到新主机可能的 ARP 欺骗服务启动系统错误关闭日志已清除无效的请求接口已切换至混杂模式策略已更改配置已更改磁盘空间不足时间已更改如果启用事件自动标记, 将使用组名标记事件亚安全提供的日志审查规则使用转换表将组更改为更为用户友好的版本因此, 例如,"login_denied" 将显示为拒绝登录定制规则将按在规则中显示的组名列出描述包含 <description></description> 标记如果触发了规则, 将在事件中显示描述文本 109

110 创建日志审查规则 <group name="syslog,sshd,"> <rule id="100120" level="5"> <group>authentication_success</group> <description>sshd testing authentication success</description> </rule> <rule id="100121" level="6"> <description>sshd rule testing 2</description> </rule> </group> 解码为 <decoded_as></decoded_as> 标记指示日志审查引擎仅在已由指定解码器解码日志时应用规则 <rule id="100123" level="5"> <decoded_as>sshd</decoded_as> <description>logging every decoded sshd message</description> </rule> 要查看可用的解码器, 请转至日志审查 > 日志审查解码器右键单击缺省日志解码器, 然后选择属性... 转至配置选项卡并单击查看解码器... 匹配要在日志中查找特定字符串, 请使用 <match></match> 下面是一个 Linux sshd 密码不成功日志 : Jan 1 12:34:56 linux_server sshd[1231]:failed password for invalid user jsmith from port 1799 ssh2 使用 <match></match> 标记搜索 "password failed" 字符串 <rule id="100124" level="5"> <decoded_as>sshd</decoded_as> <match>^failed password</match> <description>failed SSHD password attempt</description> </rule> 请注意指示字符串开头的正则表达式插入符号 ("^") 虽然 "Failed password" 未显示在日志的开头, 但是日志审查解码器会将日志分解为多部分 ( 请参阅上面的解码器部分 ) 其中一个部分为日志, 它是日志的消部分 ( 相对于作为整个日志的 "full_log") 下表列出了支持的正则表达式语法 : 正则表达式语法描述 \w A-Z a-z 0-9 之间的单个字母和数字 \d 0-9 之间的单个数字 \s 单个空格 \t 单个制表符 \p ()*+,-.:;<=>?[] \W 非 \w \D 非 \d \S 非 \s \. 所有内容 + 匹配以上任意项中的一个或多个 ( 例如,\w+ \d+) * 匹配以上任意项中的零个或多个 ( 例如,\w* \d*) ^ 指示字符串的开头 (^somestring) $ 指定字符串的结尾 (somestring$) 110

111 创建日志审查规则正则表达式语法描述指示多个字符串之间的 "OR" 关系条件语句规则评估可有条件地基于已被评估为 true 的其他规则 <if_sid></if_sid> 标记指示日志审查引擎仅在标记中标识的规则已评估为 true 时评估此子规则以下示例显示三种规则 : 和已使用 <if_sid></if_sid> 标记将规则和修改为规则的子规则 : <group name="syslog,sshd,"> <rule id="100123" level="2"> <decoded_as>sshd</decoded_as> <description>logging every decoded sshd message</description> </rule> <rule id="100124" level="7"> <if_sid>100123</if_sid> <match>^failed password</match> <group>authentication_failure</group> <description>failed SSHD password attempt</description> </rule> <rule id="100125" level="3"> <if_sid>100123</if_sid> <match>^accepted password</match> <group>authentication_success</group> <description>successful SSHD password attempt</description> </rule> </group> 评估的层次结构 <if_sid></if_sid> 标记本质上创建了一组具有层次结构的规则也就是说, 通过在规则中包含 <if_sid></if_sid> 标记, 该规则成为 <if_sid></if_sid> 标记所引用的规则的子规则在对日志应用任何规则之前, 日志审查引擎将评估 <if_sid></if_sid> 标记并生成父 / 子规则的层次结构可使用层次结构父 / 子结构来提高规则的效率如果父规则未评估为 true, 则日志审查引擎将忽略该父规则的子规则虽然 <if_sid></if_sid> 标记可用于引用完全不同的日志审查规则中的子规则, 但是您应避免这样做, 因为这样会使以后查看规则非常困难下表显示了可用原子规则条件选项的列表 : 标记描述注意 match 特征码匹配事件 ( 日志 ) 的任意字符串 regex 正则表达式匹配事件 ( 日志 ) 的任意正则表达式 decoded_as 字符串任意预先匹配的字符串 srcip 源 IP 地址解码为源 IP 地址的任意 IP 地址使用 "!" 可否定 IP 地址 dstip 目标 IP 地址解码为目标 IP 地址的任意 IP 地址使用 "!" 可否定 IP 地址 srcport 源端口任意源端口 ( 匹配格式 ) dstport 目标端口任意目标端口 ( 匹配格式 ) user 用户名解码为用户名的任意用户名 program_name 程序名称从 syslog 进程名称解码的任意程序名称 hostname 系统主机名解码为 syslog 主机名的任意主机名 time 采用 hh:mm - hh:mm 或 hh:mm am - hh:mm pm 格式的时间范围为触发规则事件必须落入的时间范围 weekday 周内日期 ( 星期日星期一星期二等 ) 为触发规则事件必须落入的周内日期 111

112 创建日志审查规则标记描述注意 id ID 从事件解码的任意 ID url URL 从事件解码的任意 URL 使用 <if_sid>100125</if_sid> 标记可使此规则基于规则将仅针对已匹配成功登录规则的 sshd 消检查此规则 <rule id="100127" level="10"> <if_sid>100125</if_sid> <time>6 pm - 8:30 am</time> <description>login outside business hours.</description> <group>policy_violation</group> </rule> 日志条目的大小限制以下示例采用之前的示例并添加了 maxsize 属性, 该属性告知日志审查引擎仅评估字符数少于 maxsize 的规则 : <rule id="100127" level="10" maxsize="2000"> <if_sid>100125</if_sid> <time>6 pm - 8:30 am</time> <description>login outside business hours.</description> <group>policy_violation</group> </rule> 下表列出了可能的原子规则的树状结构选项 : 标记描述注意 if_sid 规则 ID 将此规则添加为与指定签名 ID 相匹配的规则的子规则 if_group 组 ID 将此规则添加为与指定组相匹配的规则的子规则 if_level 规则级别将此规则添加为与指定严重性级别相匹配的规则的子规则 description 字符串规则的描述 info 字符串关于规则的附加 cve CVE 编号要与规则关联的任意常见弱点和漏洞 (CVE) 编号选项 alert_by_ 指示警报是否应生成电子邮件 (alert_by_ ), 不生成电子邮件 (no_ _alert), 或者不生成任何内容 (no_log) 的附加规 no_ _alert 则选项 no_log 复合规则原子规则检查单个日志条目要关联多个条目, 必须使用复合规则复合规则应将当前日志与已接收的日志相匹配复合规则需要两个其他选项 :frequency 选项指定事件 / 特征码必须出现多少次后规则才会生成警报,timeframe 选项告知日志审查引擎查看之前日志应追溯到的时间范围 ( 以秒为单位 ) 所有复合规则都具有以下结构: <rule id="100130" level="10" frequency="x" timeframe="y"> </rule> 例如, 您可以创建一条符合规则, 该规则可在 10 分钟内输入密码 5 次均不成功后生成较高严重性级别的警报使用 <if_matched_sid></if_matched_sid> 标记, 可以指示在所需频率和时间范围内需要出现哪条规则, 新规则才会创建警报在以下示例中,frequency 属性设置为当发现 5 个事件实例时触发,timeframe 属性设置为将时间范围指定为 600 秒 <if_matched_sid></if_matched_sid> 标记用于定义复合规则将监视的其他规则 : <rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_sid>100124</if_matched_sid> <description>5 Failed passwords within 10 minutes</description> </rule> 存在多个可用于创建更详细的复合规则的其他标记通过这些规则 ( 如下表所示 ), 您可以指定事件的某些部分必须相同这样您可以优化复合规则并减少误报 : 112

113 创建日志审查规则标记 same_source_ip same_dest_ip same_dst_port same_location same_user same_id 描述指定源 IP 地址必须相同指定目标 IP 地址必须相同指定目标端口必须相同指定位置 ( 主机名或客户端名称 ) 必须相同指定已解码的用户名必须相同指定已解码的 ID 必须相同如果想要复合规则在每次认证不成功时都发出警报, 您可以将 <if_matched_sid></if_matched_sid> 标记替换为 <if_matched_ group></if_matched_ group> 标记, 而不是特定的规则 ID 这使您可以指定一个类别( 如 authentication_ failure) 来搜索整个基础架构中的认证不成功 <rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_group>authentication_failure</if_matched_group> <same_source_ip /> <description>5 Failed passwords within 10 minutes</description> </rule> 除了 <if_matched_sid></if_matched_sid> 和 <if_matched_group></if_matched_ <if_matched_regex></if_matched_regex> 标记指定正则表达式, 以便在接收到日志时搜索日志 <rule id="100130" level="10" frequency="5" timeframe="600"> <if_matched_regex>^failed password</if_matched_regex> <same_source_ip /> <description>5 Failed passwords within 10 minutes</description> </rule> group> 标记之外, 您还可以使用实际示例亚安全服务器深度安全防护系统包含许多常见和常用应用程序的缺省日志审查规则通过安全更新, 可定期添加新规则尽管日志审查规则支持的应用程序不断增多, 您可能会发现还是需要为不受支持或定制的应用程序创建定制规则在本节中, 我们将逐步完成 Microsoft Windows Server IIS.Net 平台上托管的定制 CMS( 内容管理系统 ) 的创建, 并将 Microsoft SQL 数据库作为数据存储库第一步是确定以下应用程序日志记录属性 : 1. 应用程序日志记录到什么位置? 2. 可使用哪个日志审查解码器来解码日志文件? 3. 日志文件消的常规格式是怎样的? 对于我们的定制 CMS 示例, 答案如下 : 1. Windows 事件查看程序 2. Windows 事件日志 (eventlog) 3. 具有以下核心属性的 Windows 事件日志格式 : 源 :CMS 类别 : 无事件 :< 应用程序事件 ID> 第二步是按应用程序功能确定日志事件的类别, 然后将这些类别组织成级联组层次结构以进行审查并非所有受审查的组都需要生成事件 ; 可将匹配项用作条件语句对于每个组, 确定规则可将其用作匹配条件的日志格式属性通过审查所有应用程序日志以了解其模式和日志事件的自然分组, 可反向执行此操作例如,CMS 应用程序支持将为其创建日志审查规则的以下功能特性 : CMS 应用程序日志 ( 源 :CMS) 113

114 创建日志审查规则认证 ( 事件 :100 到 119) 用户登录成功 ( 事件 : 100) 用户登录不成功 ( 事件 : 101) 管理员登录成功 ( 事件 : 105) 管理员登录不成功 ( 事件 : 106) 常规错误 ( 类型 : 错误 ) 数据库错误 ( 事件 :200 到 205) 运行时错误 ( 事件 : ) 应用程序审计 ( 类型 : ) 内容已添加新内容 ( 事件 :450 到 459) 现有内容已修改 ( 事件 :460 到 469) 现有内容已删除 ( 事件 :470 到 479) 管理用户已创建新用户 ( 事件 :445 到 446) 现有用户已删除 ( 事件 :447 到 449) 此结构将提供用于创建规则的良好基础现在, 在亚安全服务器深度安全防护系统管理中心中创建新的日志审查规则创建新的 CMS 日志审查规则 : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至策略 > 通用对象 > 规则 > 日志审查规则, 然后单击新建以显示新建日志审查规则属性窗口 2. 为新规则指定名称和描述, 然后单击内容内容选项卡 3. 创建新定制规则的最快方法是从基本规则模板开始创建选择基本规则基本规则单选按钮 4. 将使用大于等于 100,000 的未使用的 ID 编号 ( 为定制规则保留的 ID) 自动填充规则 ID 文本框 5. 将级别级别设置为低 (0) 6. 为规则指定相应的组名在本例中为 "cms" 7. 提供简短的规则描述 114

115 创建日志审查规则 8. 现在, 选择定制 (XML) 选项您为基本规则选择的选项将转换为 XML 9. 然后, 单击文件文件选项卡并单击添加文件添加文件按钮以添加任意应用程序日志文件和规则将应用到的日志类型在本例中为 "Application" 和 "eventlog"( 作为文件类型 ) Eventlog 是亚安全服务器深度安全防护系统中的独特文件类型, 因为不需要指定日志文件的位置和文件名只需要键入在 Windows 事件查看程序中显示的日志名称 eventlog 文件类型的其他日志名称可能是 "Security" "System" "Internet Explorer", 或 Windows 事件查看程序中列出的任何其他部分其他文件类型将需要日志文件的位置和文件名 (C/C++ strftime() 转换说明符可用于匹配文件名有关一些更有用说明符的列表, 请参阅下表 ) 10. 单击确定确定保存基本规则 11. 使用创建的基本规则定制 (XML), 可以基于之前确定的日志分组将新规则添加到组中我们将设置初始规则的基本规则条件在以下示例中,CMS 基本规则已标识 Source 属性为 "CMS" 的 Windows 事件日志 : <group name="cms"> <rule id="100000" level="0"> <category>windows</category> 115

116 创建日志审查规则 </rule> <extra_data>^cms</extra_data> <description>windows events from source 'CMS' group messages.</description> 12. 现在可从已标识的日志组生成后续规则以下示例标识认证和登录成功与不成功, 并按事件 ID 进行记录 <rule id="100001" level="0"> <if_sid>100000</if_sid> <id>^100 ^101 ^102 ^103 ^104 ^105 ^106 ^107 ^108 ^109 ^110</id> <group>authentication</group> <description>cms Authentication event.</description> </rule> <rule id="100002" level="0"> <if_group>authentication</if_group> <id>100</id> <description>cms User Login success event.</description> </rule> <rule id="100003" level="4"> <if_group>authentication</if_group> <id>101</id> <group>authentication_failure</group> <description>cms User Login failure event.</description> </rule> <rule id="100004" level="0"> <if_group>authentication</if_group> <id>105</id> <description>cms Administrator Login success event.</description> </rule> <rule id="100005" level="4"> <if_group>authentication</if_group> <id>106</id> <group>authentication_failure</group> <description>cms Administrator Login failure event.</description> </rule> 13. 现在使用已创建的规则添加任意复合或关联规则以下示例显示一个高严重性复合规则, 该规则适用于 10 秒内发生 5 次重复的登录不成功的情况 : <rule id="100006" level="10" frequency="5" timeframe="10"> <if_matched_group>authentication_failure</if_matched_group> <description>cms Repeated Authentication Login failure event.</description> </rule> 14. 查看所有规则是否具有相应的严重性级别例如, 错误日志的严重性级别应为 5 或更高性规则的严重性级别较低 15. 最后, 打开新创建的规则, 单击配置配置选项卡并将定制规则 XML 复制到规则文本框中单击应用应用或确定确定保存更改将此规则分配给策略或计算机后, 日志审查引擎应立即开始审查指定的日志文件完整的定制 CMS 日志审查规则 : <group name="cms"> <rule id="100000" level="0"> <category>windows</category> <extra_data>^cms</extra_data> <description>windows events from source 'CMS' group messages.</description> 116

117 创建日志审查规则 </rule> <rule id="100001" level="0"> <if_sid>100000</if_sid> <id>^100 ^101 ^102 ^103 ^104 ^105 ^106 ^107 ^108 ^109 ^110</id> <group>authentication</group> <description>cms Authentication event.</description> </rule> <rule id="100002" level="0"> <if_group>authentication</if_group> <id>100</id> <description>cms User Login success event.</description> </rule> <rule id="100003" level="4"> <if_group>authentication</if_group> <id>101</id> <group>authentication_failure</group> <description>cms User Login failure event.</description> </rule> <rule id="100004" level="0"> <if_group>authentication</if_group> <id>105</id> <description>cms Administrator Login success event.</description> </rule> <rule id="100005" level="4"> <if_group>authentication</if_group> <id>106</id> <group>authentication_failure</group> <description>cms Administrator Login failure event.</description> </rule> <rule id="100006" level="10" frequency="5" timeframe="10"> <if_matched_group>authentication_failure</if_matched_group> <description>cms Repeated Authentication Login failure event.</description> </rule> <rule id="100007" level="5"> <if_sid>100000</if_sid> <status>^error</status> <description>cms General error event.</description> <group>cms_error</group> </rule> <rule id="100008" level="10"> <if_group>cms_error</if_group> <id>^200 ^201 ^202 ^203 ^204 ^205</id> <description>cms Database error event.</description> </rule> <rule id="100009" level="10"> <if_group>cms_error</if_group> <id>^206 ^207 ^208 ^209 ^230 ^231 ^232 ^233 ^234 ^235 ^236 ^237 ^238 ^239^ 240 ^241 ^242 ^243 ^244 ^245 ^246 ^247 ^248 ^249</id> <description>cms Runtime error event.</description> </rule> <rule id="100010" level="0"> 117

118 创建日志审查规则 </rule> <if_sid>100000</if_sid> <status>^information</status> <description>cms General informational event.</description> <group>cms_information</group> <rule id="100011" level="5"> <if_group>cms_information</if_group> <id>^450 ^451 ^452 ^453 ^454 ^455 ^456 ^457 ^458 ^459</id> <description>cms New Content added event.</description> </rule> <rule id="100012" level="5"> <if_group>cms_information</if_group> <id>^460 ^461 ^462 ^463 ^464 ^465 ^466 ^467 ^468 ^469</id> <description>cms Existing Content modified event.</description> </rule> <rule id="100013" level="5"> <if_group>cms_information</if_group> <id>^470 ^471 ^472 ^473 ^474 ^475 ^476 ^477 ^478 ^479</id> <description>cms Existing Content deleted event.</description> </rule> <rule id="100014" level="5"> <if_group>cms_information</if_group> <id>^445 ^446</id> <description>cms User created event.</description> </rule> </rule> </group> <rule id="100015" level="5"> <if_group>cms_information</if_group> <id>^ </id> <description>cms User deleted event.</description> 日志审查规则严重性级别及其建议使用情况级别描述注意级别 0 忽略, 不执行操作主要用于避免误报对这些规则的扫描先于所有其他规则, 规则中包含与安全无关的事件级别 1 无预定义的使用级别 2 系统低优先级通知与安全无关的系统通知或状态消级别 3 成功 / 授权事件成功登录尝试防火墙允许事件等级别 4 系统低优先级错误与错误配置或未使用设备 / 应用程序相关的错误这些错误与安全无关, 通常由缺省安装或软件测试导致级别 5 用户生成的错误丢失密码拒绝操作等这些消通常与安全无关级别 6 级别 7 级别 8 级别 9 级别 10 级别 11 低关联攻击无预定义的使用无预定义的使用来自无效源的错误多个用户生成的错误无预定义的使用表示对系统无威胁的蠕虫病毒或病毒, 如攻击 Linux 服务器的 Windows 蠕虫病毒还包括频繁触发的 IDS 事件和常见错误事件包括以未知用户身份或从无效源登录的尝试该消可能与安全有关, 尤其是消重复出现时还包括有关 admin 或 root 帐户的错误包括多个错误密码多次登录不成功等可能表示攻击, 也可能只是用户忘记了自己的凭证 118

119 创建日志审查规则级别级别 12 级别 13 级别 14 级别 15 描述高重要性事件异常错误 ( 高重要性 ) 高重要性安全事件攻击成功注意包括来自系统内核等的错误或警告消可能表示对特定应用程序的攻击常见攻击特征码, 如缓存溢出尝试异常大的 syslog 消或异常大的 URL 字符串通常为多个攻击规则关联的结果, 表示攻击误报几率非常小需要立即引起注意 strftime() 转换说明符说明符描述 %a 缩写的周内日期名称 ( 如 Thu) %A 完整的周内日期名称 ( 如 Thursday) %b 缩写的月份名称 ( 如 Aug) %B 完整的月份名称 ( 如 August) %c 日期和时间表示 ( 如 Thu Sep 22 12:23: ) %d 月内某日 (01-31)( 例如 20) %H 24 小时制中的小时 (00-23)( 例如 13) %I 12 小时制中的小时 (01-12)( 例如 02) %j 年内某日 ( )( 例如 235) %m 以十进制计数的月份 (01-12)( 例如 02) %M 分钟 (00-59)( 例如 12) %p AM 或 PM 标记 ( 如 AM) %S 秒 (00-61)( 例如 55) %U 周数 ( 第一个星期日为一周的第一天 )(00-53)( 例如 52) %w 以十进制计数的周内日期 ( 星期日为 0)(0-6)( 例如 2) %W 周数 ( 第一个星期一为一周的第一天 )(00-53)( 例如 21) %x 日期表示 ( 如 02/24/79) %X 时间表示 ( 如 04:12:51) %y 年份, 后两位数 (00-99)( 例如 76) %Y 年份 ( 如 2008) %Z 时区名称或缩写 ( 如 EST) %% % 符号 ( 如 %) 可在以下 Web 站点找到更多 :

120 SAP SAP 亚安全服务器深度安全防护系统支持与 SAP NetWeaver 平台集成关于如何设置 SAP 集成的完整说明, 请参阅用于 SAP 的亚安全服务器深度安全防护系统管理中心集成指南激活亚安全服务器深度安全防护系统管理中心的 SAP 集成功能激活 SAP 集成功能 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 使用授权 2. 单击输入新的激活码输入新的激活码 3. 在 SAP 集成区域 ( 在其他功能其他功能下 ) 输入 SAP 激活码, 然后单击下一步, 并按提示执行操作现在,SAP 选项卡在计算机 / 策略编辑器中可用, 您可以在这里为各个计算机或策略启用 SAP 集成功能为使用 SAP 集成功能, 还必须激活防恶意软件和 Web 誉模块添加 SAP 服务器在亚安全服务器深度安全防护系统管理中心控制台中, 打开计算机页面并单击新建将 SAP 服务器添加到计算机列表的方法有多种有关详细, 请参阅添加计算机 ( 第 68 页 ) 在计算机或策略中启用 SAP 集成功能使用计算机 / 策略编辑器中的 SAP 页面, 可以为各个计算机或策略启用 SAP 集成模块要启用 SAP 集成功能, 请将配置设为打开或已继承 ( 打开 ) 120

121 漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) 亚安全服务器深度安全防护系统可以在计算机上运行漏洞扫描 ( 推荐设置 ) 以标识已知漏洞该操作不仅扫描操作系统, 还扫描安装的应用程序基于检测到的内容, 亚安全服务器深度安全防护系统会建议应该应用的安全规则在漏洞扫描 ( 推荐设置 ) 期间, 亚安全服务器深度安全防护系统客户端会扫描以下内容 : 操作系统安装的应用程序 Windows 注册表打开的端口目录列表文件系统正在运行的进程和服务用户对于大型部署, 亚安全建议在策略级别管理建议也就是说, 所有要扫描的计算机都应已分配策略这样, 您就可以从单个源 ( 策略 ) 进行所有规则分配, 而不必在各个计算机上管理各个规则可以手动启动漏洞扫描 ( 推荐设置 ), 也可以创建预设任务以定期在指定计算机上运行扫描限制在 Linux 上, 对于已经安装的具有所安装应用程序不支持的内核或软件库的应用程序, 漏洞扫描 ( 推荐设置 ) 引擎在检测时可能出问题使用标准安装包管理器安装的应用程序不会有问题亚安全服务器深度安全防护系统虚拟设备可以在虚拟机上执行无客户端漏洞扫描 ( 推荐设置 ), 但仅限于在 Windows 虚拟机上扫描以下内容 : 操作系统安装的应用程序 Windows 注册表文件系统运行漏洞扫描 ( 推荐设置 ) 手动启动漏洞扫描 ( 推荐设置 ) : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 选择要扫描的一台或多台计算机 3. 右键单击所选计算机并选择操作 > 漏洞扫描 ( 推荐设置 ) 创建漏洞扫描 ( 推荐设置 ) 预设任务 : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至管理 > 预设任务页面 2. 单击工具栏上的新建新建并选择新建预设任务, 以显示新建预设任务新建预设任务向导 3. 从类型类型菜单中选择扫描计算机上有无建议项目, 并选择要进行扫描的频率单击下一步下一步 4. 通过下一个页面, 您可以更具体地指定扫描频率, 具体取决于您在步骤 3 中的选择进行选择并单击下一步下一步 121

122 漏洞扫描 ( 推荐设置 ) 5. 现在, 选择将扫描的计算机并单击下一步下一步通常, 对于大型部署, 最好通过策略执行所有操作 6. 最后, 为新的预设任务指定名称, 选择是否在完成时运行任务, 并单击完成完成取消漏洞扫描 ( 推荐设置 ) 可以在漏洞扫描 ( 推荐设置 ) 开始运行前将其取消取消漏洞扫描 ( 推荐设置 ) : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至计算机计算机页面 2. 选择要取消扫描的一台或多台计算机 3. 单击处理措施 > 取消漏洞扫描 ( 推荐设置 ) 管理漏洞扫描 ( 推荐设置 ) 结果亚安全服务器深度安全防护系统可以配置为在合适的时候自动实施漏洞扫描 ( 推荐设置 ) 结果并非所有建议都可以自动实施例外包括 : 需要进行配置才可以应用的规则已根据以前的漏洞扫描 ( 推荐设置 ) 自动分配或取消分配, 但用户已覆盖的规则例如, 如果亚安全服务器深度安全防护系统自动分配一个规则, 而您随后将其取消分配, 则在下一次漏洞扫描 ( 推荐设置 ) 之后不会重新分配该规则在策略层次结构的较高级别分配的规则不能在较低级别取消分配在策略级别分配给计算机的规则必须在策略级别取消分配亚安全已发布, 但可能会引起误报风险的规则 ( 规则描述中将进行说明 ) 最新漏洞扫描 ( 推荐设置 ) 的结果将显示在策略 / 计算机编辑器中防护模块的常规常规选项卡上完成漏洞扫描 ( 推荐设置 ) 后, 打开分配给刚扫描的计算机的策略导航到入侵防御 > 常规单击分配 / 取消分配... 以打开规则分配窗口按应用程序类型对规则进行排序, 然后从显示过滤器菜单中选择显示建议分配的项目 : 122

123 漏洞扫描 ( 推荐设置 ) 将列出策略中包含的针对所有计算机提出的所有建议有两种绿色标志完整标志 () 和部分标志 () 建议的规则始终具有完整标志应用程序类型可能具有完整标志或部分标志如果标志为完整标志, 则表示建议分配为此应用程序类型一部分的所有规则如果标志为部分标志, 则表示仅建议分配为此应用程序类型一部分的某些规则另请注意以上窗口截图中的工具提示它显示 : 建议在为其分配此策略的 1 台 ( 共 1 台 ) 计算机上使用此入侵防御规则亚安全建议将所有建议的规则分配给策略涉及的所有计算机这可能表示会将某些规则分配给不需要这些规则的计算机但是, 使用策略带来的易于管理优势远大于对性能造成的轻微影响请记住, 漏洞扫描 ( 推荐设置 ) 将针对入侵防御规则日志审查规则和完整性监控规则提出建议漏洞扫描 ( 推荐设置 ) 运行后, 将在提出建议的所有计算机上发出警报漏洞扫描 ( 推荐设置 ) 的结果还可包含取消分配规则的建议如果卸载了应用程序, 应用了来自制造商的安全 Patch, 或已手动应用不必要的规则, 则可能会发生此情况要查看建议取消分配的规则, 请从显示过滤器菜单中选择显示建议取消分配的项目配置建议的规则某些规则需要进行配置才可以应用例如, 某些日志审查规则需要您指定要审查其更改的日志文件的位置如果是这样, 将在提出建议的计算机上发出警报警报的文本将包含配置规则需要的 123

124 SSL 数据流 SSL 数据流入侵防御模块支持过滤 SSL 流量 SSL 对话框允许用户针对一个或多个接口上指定的凭证 - 端口对创建 SSL 配置凭证可以使用 PKCS#12 或 PEM 格式导入, 而 Windows 计算机可以选择直接使用 CryptoAPI 只有亚安全服务器深度安全防护系统客户端支持过滤 SSL 流量, 亚安全服务器深度安全防护系统设备不支持客户端不支持过滤实行 SSL 压缩的 SSL 连接在计算机上配置 SSL 数据流过滤启动 SSL 配置向导在要配置的计算机上打开详细窗口, 转至入侵防御 > 高级 > SSL 配置, 然后单击查看 SSL 配置... 以显示 SSL 计算机配置窗口单击新建, 显示 SSL 配置向导的第一页 1. 选择接口指定此配置是应用到此计算机上所有接口, 还是只应用到一个接口 2. 选择端口输入要应用此配置的端口 ( 使用逗号隔开 ), 或者选择端口列表您还必须在计算机的详细详细窗口上更改端口设置 ( 请参阅下面内容 ) 3. IP 选择指定 SSL 入侵防御分析应在此计算机的所有 IP 地址执行, 还是只在一个地址执行 ( 可使用此功能设置单个计算机上的多台虚拟计算机 ) 4. 指定凭证来源指定您要自行提供凭证文件, 还是计算机上已有凭证 5. 指定凭证类型如果选择立即提供凭证, 请输入其类型位置和密码短语 ( 如果需要 ) 如果您指示计算机上已有凭证, 请指定要查找的凭证类型 6. 提供凭证详细如果是使用存储在计算机上的 PEM 或 PKCS#12 凭证格式, 请标识凭证文件的位置和文件的密码短语 ( 如果需要 ) 如果使用的是 Windows CryptoAPI 凭证, 请从计算机上找到的凭证列表中选择凭证下表包含支持的密码列表 : 124

125 SSL 数据流十六进制值 OpenSSL 名称 IANA 名称 NSS 名称 0x00,0x04 RC4-MD5 TLS_RSA_WITH_RC4_128_MD5 SSL_RSA_WITH_RC4_128_MD5 4.5 或更高版本 0x00,0x05 RC4-SHA TLS_RSA_WITH_RC4_128_SHA SSL_RSA_WITH_RC4_128_SHA 4.5 或更高版本 0x00,0x09 DES-CBC-SHA TLS_RSA_WITH_DES_CBC_SHA SSL_RSA_WITH_DES_CBC_SHA 4.5 或更高版本 0x00,0x0A DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA 4.5 或更高版本 0x00,0x2F AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA 4.5 或更高版本 0x00,0x35 AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA 4.5 或更高版本 0x00,0x3C AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA SP1 或更高版本 0x00,0x3D AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA SP1 或更高版本 0x00,0x41 CAMELLIA128-SHA TLS_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_RSA_WITH_CAMELLIA_128_CBC_SHA 9.5 SP1 或更高版本 0x00,0x84 CAMELLIA256-SHA TLS_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_RSA_WITH_CAMELLIA_256_CBC_SHA 9.5 SP1 或更高版本 0x00,0xBA TLS_RSA_WITH_CAMELLIA_128_CBC_SHA SP1 或更高版本 0x00,0xC0 DES-CBC3-MD5 TLS_RSA_WITH_CAMELLIA_256_CBC_SHA SP1 或更高版本 0x00,0x7C TLS_RSA_WITH_3DES_EDE_CBC_RMD 或更高版本 0x00,0x7D TLS_RSA_WITH_AES_128_CBC_RMD 或更高版本 0x00,0x7E TLS_RSA_WITH_AES_256_CBC_RMD 或更高版本亚安全服务器深度安全防护系统客户端版本下表包含支持的协议列表 : 协议 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2 亚安全服务器深度安全防护系统客户端版本 4.5 或更高版本 4.5 或更高版本 9.5 SP1 或更高版本 9.5 SP1 或更高版本 7. 命名和说明此配置为此 SSL 配置命名并提供描述 8. 仔细检查摘要并关闭 SSL 配置向导阅读配置操作的摘要, 再单击完成完成关闭向导更改计算机详细窗口上的端口设置以监控 SSL 端口最后, 您必须确保客户端在启用 SSL 的端口上执行适当的入侵防御过滤转至计算机详细窗口中的入侵防御规则, 查看应用到此计算机的入侵防御规则列表按应用程序类型对规则进行排序向下滚动列表, 查找在此计算机上运行的应用程序类型 ( 在此示例中将使用 Web Server Common ) 125

126 SSL 数据流右键单击 Web Server Common 应用程序类型标题, 再选择应用程序类型属性...( 而非应用程序类型属性 ( 全局 )...) 这将会显示应用程序类型的属性属性窗口 ( 以本地编辑模式 ) 我们不使用已继承的 HTTP 端口列表, 而是要覆盖它, 以包括 SSL 配置设置过程中定义的端口 ( 在此例中为端口 9090) 和端口 80 以逗号分隔值输入端口 9090 和 80, 然后单击确定关闭对话框 ( 由于您选择了应用程序类型属性..., 因此所做的更改只会应用到此计算机 "Web Server Common" 应用程序类型在其他计算机上将保持不变 ) 此计算机现在已配置好过滤 SSL 加密的数据流其他注意事项亚安全服务器深度安全防护系统客户端不支持在 Apache 服务器上使用 Diffie-Hellman 密码有关如何在 Apache Web 服务器上禁用 DH 密码的指导, 请参阅在 Apache 中禁用 Diffie-Hellman ( 第 176 页 ) 126

127 事件警报和报告事件警报和报告事件亚安全服务器深度安全防护系统将在触发防护模块规则或条件时记录安全事件, 并在发生管理或系统相关事件 ( 例如用户登录或客户端软件升级 ) 时记录系统事件事件在一天之内会多次发生, 无需分别关注如果通 ( 第 28 页 ) 设置允许中继 / 客户端 / 设备启动通, 计算机中发生的大部分事件将在下一次波动号操作期间发送到亚安全服务器深度安全防护系统管理中心, 但是以下事件会立即发送 : 云安全服务器脱机云安全服务器返回联机状态完整性监控扫描完成完整性监控基线已创建完整性监控规则中存在无法识别的元素完整性监控规则元素在本地平台上不受支持检测到异常的重新启动磁盘空间不足警告日志审查脱机日志审查返回联机状态检测到侦察扫描 ( 如果已在策略 / 计算机编辑器 > 防火墙 > 侦察中启用了此设置 ) 缺省情况下, 亚安全服务器深度安全防护系统管理中心会在每次有波动号时从客户端 / 设备收集事件日志这些事件数据用于填充亚安全服务器深度安全防护系统管理中心的各种报告图形及图表亚安全服务器深度安全防护系统管理中心收集事件后, 会将这些事件保留一段时间, 该时间可在管理 > 系统设置页面中的存储选项卡上设置在主页面上可以执行下列操作 : 查看 () 单个事件的属性过滤列表使用期间期间和计算机计算机工具栏来过滤事件列表将事件列表数据导出 () 为 CSV 文件查看现有的自动标记 () 规则搜索 () 特定事件另外, 右键单击事件可提供下列选项 : 为此事件添加标记 ( 请参阅事件标记 ( 第 132 页 ) ) 从此事件中移除标记移除标记查看生成日志条目的计算机的计算机详细窗口计算机详细窗口查看事件属性双击某个事件 ( 或从上下文菜单中选择查看 ) 会显示该条目的属性属性窗口, 这样将在一个页面上显示该事件的所有标记标记选项卡显示已附加到此事件的标记有关事件标记的更多, 请参阅策略 > 通用对象 > 其他 > 标记以及事件标记 ( 第 132 页 ) 127

128 事件警报和报告过滤列表和 / 或搜索事件从搜索下拉菜单中选择打开高级搜索, 可选择是否显示高级搜索选项使用期间期间工具栏可以过滤列表, 从而只显示在特定时间范围内发生的事件使用计算机计算机工具栏, 可以按照计算机组或计算机策略来组织事件日志条目的显示高级搜索功能 ( 搜索不区分大小写 ): 包含 : 选定列中的条目包含该搜索字符串不包含 : 选定列中的条目不包含该搜索字符串等于 : 选定列中的条目完全符合该搜索字符串不等于 : 选定列中的条目并不完全符合该搜索字符串在范围内 : 选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配不在范围内 : 选定列中的条目并未与任意逗号分隔的搜索字符串条目完全匹配按搜索栏右侧的加号按钮 (+) 将显示另一个搜索栏, 这样可将多个参数应用于搜索准备就绪后, 按提交按钮 ( 位于工具栏右侧, 带右向箭头 ) 导出单击导出..., 可将所有或选定的事件导出为 CSV 文件自动标记... 单击自动标记... 将显示现有自动标记规则的列表 ( 请参阅事件标记 ( 第 132 页 ) ) 警报将在需要用户注意的异常情况出现时 ( 例如用户发出的命令失败, 或者硬盘存储空间已用尽 ) 时创建警报存在一个预定义警报列表此外, 可将防护模块规则配置为在其触发时生成警报如果将亚安全服务器深度安全防护系统连接到 SMTP 服务器, 您可以在指定的警报引发时将电子邮件通知发送给用户警报页面会显示所有活动警报警报以摘要视图 ( 将类似警报分组显示 ) 显示, 或以列表视图 ( 逐一列出每个警报 ) 显示要在两个视图之间切换, 请使用页面标题中警报旁边的下拉菜单 128

129 事件警报和报告在摘要视图中, 展开警报面板 ( 单击显示详细 ) 可显示生成该特定警报的所有计算机 ( 和 / 或用户 ) ( 单击计算机将会显示计算机的详细详细窗口 ) 在摘要视图中, 如果计算机列表中的计算机超过五个, 则第五个计算机后面会出现省略号 ("...") 单击省略号可显示完整列表采取适当的操作处理警报后, 选中警报目标旁边的复选框, 然后单击解除解除链接, 即可解除警报 ( 在列表视图中, 右键单击警报即可查看上下文菜单中的选项列表 ) 无法解除的警报 ( 例如中继更新服务不可用 ) 将在条件不再存在时自动解除警报有两种 : 系统警报和安全警报系统警报由系统事件 ( 客户端脱机计算机上的时钟更改等 ) 触发安全警报由入侵防御规则防火墙规则完整性规则和日志审查规则触发可以通过单击配置警报... 来配置警报 (). 使用计算机过滤栏, 可以只查看在特定计算机组中具有特定策略等计算机的警报报告亚安全服务器深度安全防护系统管理中心可生成 PDF 或 RTF 格式的报告报告页面生成的大部分报告都含有可配置参数, 如日期范围或按计算机组生成报告不适用于报告的参数选项将被禁用单个报告报告各个报告可以输出为 PDF 或 RTF 格式, 安全模块使用情况报告除外, 该报告输出为 CSV 文件可能会提供以下报告, 具体取决于您使用的防护模块 : 用户和联系人报告 : 用户和联系人的内容及活动详细警报报告 : 最常见警报的列表防恶意软件报告 : 前 25 台受感染的计算机的列表攻击报告 : 包含分析活动的摘要表 ( 按模式划分 ) 防火墙报告 : 防火墙规则和状态配置活动的记录取证计算机审计报告 : 计算机上的客户端配置计算机报告 : 计算机选项卡上列出的每个计算机的摘要安全模块使用情况报告 : 防护模块的当前计算机使用情况完整性监控基线报告 : 特定时间的主机基线, 显示类型密钥和指纹采集日期完整性监控详细更改报告 : 有关检测到的更改的详细完整性监控报告 : 检测到的更改的摘要入侵防御报告 : 入侵防御规则活动的记录日志审查报告 : 已收集的日志数据的摘要日志审查详细报告 : 已收集的日志数据的详细建议报告 : 漏洞扫描 ( 推荐设置 ) 活动的记录摘要报告 : 亚安全服务器深度安全防护系统活动的合并摘要可疑应用程序活动报告 : 有关可疑恶意活动的系统事件报告 : 系统 ( 非安全 ) 活动的记录系统报告 : 计算机联系人和用户的概述 Web 誉报告 : 包含大多数 Web 誉事件的计算机列表 129

130 事件警报和报告标记过滤器选择包含事件数据的报告时, 可以选择使用事件标记过滤报告数据为所有事件选择所有, 仅为未标记的事件选择未标记, 或选择标记并指定一个或多个标记以仅包含那些具有所选标记的事件时间过滤器可以针对记录存在的任意期间设置时间过滤器这对安全审计非常有用时间过滤器选项 : 最近 24 小时内 : 包含最近 24 小时内的事件, 起止于整点例如, 如果在 12 月 5 日上午 10:14 生成报告, 则可以获取 12 月 4 日上午 10:00 到 12 月 5 日上午 10:00 之间发生的事件的报告最近 7 天内 : 包含上周的事件周起止于午夜 (00:00) 例如, 如果在 12 月 5 日上午 10:14 生成报告, 则可以获取 11 月 28 日午夜 00:00 到 12 月 5 日午夜 00:00 之间发生的事件的报告上个月 : 包含上一整月的事件, 起止于午夜 (00:00) 例如, 如果您在 11 月 15 日选择此选项, 则将收到从 10 月 1 日午夜到 11 月 1 日午夜的事件报告定制范围 : 允许为报告指定自己的日期和时间范围如果开始日期早于两天以前, 则报告中的开始时间可能会更改为午夜报告使用计数器中存储的数据计数器是从事件定期聚合的数据最近三天的计数器数据会每小时聚合一次当前这一小时的数据不包括在报告中三天前的数据将存储在按天聚合的计数器中基于此原因, 最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定, 但是, 如果超出三天, 此时间段只能以每天级别的粒度来指定计算机过滤器设置将其数据包含在报告中的计算机所有计算机 : 亚安全服务器深度安全防护系统管理中心中的每台计算机我的计算机 : 如果登录用户根据其用户角色的权限设置对计算机拥有受限的访问权限, 则这些计算机是登录用户拥有查看权限的计算机组中 : 亚安全服务器深度安全防护系统组中的计算机使用策略 : 使用特定防护策略的计算机计算机 : 单台计算机加密可以使用当前登录的用户的密码或者仅用于此报告的新密码来保护报告禁用报告密码 : 报告不受密码保护使用当前用户的报告密码 : 使用当前用户的 PDF 报告密码要查看或修改用户的 PDF 报告密码, 请转至管理 > 用户管理 > 用户 > 属性 > 设置 > 报告使用定制报告密码 : 为此报告创建一次性密码密码没有任何复杂性要求要在多个计算机组的特定计算机上生成报告, 请创建一个仅对所需计算机具有查看权限的用户, 然后再创建一个预设任务, 以为该用户定期生成所有计算机报告, 或者以该用户身份登录, 并运行所有计算机报告只有该用户具有查看权限的计算机才会包含在报告中 130

事件警报和报告定期报告定期报告只是定期为任意数量的用户和联系人生成和分发报告的预设任务大多数选项与单个报告的选项相同, 但时间过滤器除外, 该选项如下所示 : 最近 [N] 小时内 : 如果 [N] 小于 60, 开始时间和结束时间是指定小时的整点时间如果 [N] 大于 60, 在时间范围开始时不提供每小时数据, 因此报告中的开始时间将更改为开始日期的午夜 (00:00) 最近

131 事件警报和报告定期报告定期报告只是定期为任意数量的用户和联系人生成和分发报告的预设任务大多数选项与单个报告的选项相同, 但时间过滤器除外, 该选项如下所示 : 最近 [N] 小时内 : 如果 [N] 小于 60, 开始时间和结束时间是指定小时的整点时间如果 [N] 大于 60, 在时间范围开始时不提供每小时数据, 因此报告中的开始时间将更改为开始日期的午夜 (00:00) 最近 [N] 天内 : 包括 [N] 天前午夜到当前日期午夜的数据最近 [N] 周内 : 包含最近 [N] 周内的事件, 起止于午夜 (00:00) 最近 [N] 个月内 : 包含最近 [N] 个完整自然月内的事件, 起止于午夜 (00:00) 例如, 如果您在 11 月 15 日选择最近 1 个月内, 则将收到从 10 月 1 日午夜到 11 月 1 日午夜的事件报告报告使用计数器中存储的数据计数器是从事件定期聚合的数据最近三天的计数器数据会每小时聚合一次当前这一小时的数据不包括在报告中三天前的数据将存储在按天聚合的计数器中基于此原因, 最近三天的报告所涵盖的时间段能以每小时级别的粒度来指定, 但是, 如果超出三天, 此时间段只能以每天级别的粒度来指定有关预设任务的更多, 请参阅位于管理 > 预设任务的联机帮助 131

132 事件标记事件标记可使用亚安全服务器深度安全防护系统创建用于标识事件并对事件进行排序的标记例如, 可使用标记从需要进一步调查的事件中区分出良好事件可使用标记来创建定制控制台和报告虽然事件标记可用于各种目的, 但是它旨在减轻事件管理的负担分析某个事件并确定为良好之后, 可通过计算机 ( 以及任何其他以类似方式配置及分配任务的计算机 ) 的事件日志查找类似的事件, 并对其应用相同的标记, 因此无需单独分析每个事件标记自己不会更改事件中的数据, 也不允许用户删除事件它们只是管理中心提供的附加属性以下为可以执行标记的方式 : 手动标记可基于特定情况完成自动标记可让您使用现有事件作为模型以在同一台或其他计算机上自动标记类似事件要应用标记, 您通过选择必须匹配模型事件属性的事件属性来定义相似性参数可源标记可让您基于完整性监控事件与可源上的良好事件的相似性来自动标记前者标准标记和可源标记的重要区别是只能使用标准事件标记执行立即在现有事件上运行手动标记手动标记事件 : 1. 在事件事件列表中, 右键单击事件 ( 或者选择多个事件然后右键单击 ), 然后选择添加标记键入标记的名称 ( 亚安全服务器深度安全防护系统管理中心将建议键入的名称应与现有标记的名称匹配 ) 3. 选择选定选定 [ 事件类型 ] 事件单击下一步下一步 4. 输入一些可选注释并单击完成完成查看事件列表, 就可以看到该事件现已被标记自动标记可通过亚安全服务器深度安全防护系统管理中心, 定义将同一标记自动应用于类似事件的规则要查看现有的已保存自动标记规则, 请在任何事件事件页面上, 单击菜单栏中的自动标记... 您可以在此页面中手动运行已保存的规则创建自动标记规则 : 1. 在事件事件列表中, 右键单击一个代表性事件, 并选择添加标记键入标记的名称 ( 亚安全服务器深度安全防护系统管理中心将建议键入的名称应与现有标记的名称匹配 ) 3. 选择应用到选定和类似的 [ 事件类型 ] 事件, 然后单击下一步下一步 4. 选择要自动标记事件的计算机, 然后单击下一步下一步 5. 选择将要检查以确定事件是否类似的属性对于大部分事件而言, 属性选项与事件列表页面的列中显示的 ( 源 IP 原因严重性等 ) 相同已选择要包括在事件选择过程中的属性后, 单击下一步下一步 6. 在下一页中, 指定标记事件的时间如果选择现有 [ 事件类型 ] 事件, 可以选择是立即应用自动标记规则, 还是在后台以较低优先级运行它选择未来 [ 事件类型 ] 事件, 将自动标记规则应用于将来发生的事件上您也可以保存自动标记规则稍后, 您可以通过单击事件事件页面菜单栏中的自动标记... 来访问已保存的规则单击下一步下一步 7. 查看自动标记规则摘要, 然后单击完成完成查看事件列表, 就可以看到原始事件和所有类似事件都已被标记 132

133 事件标记仅当事件从客户端 / 设备被检索到亚安全服务器深度安全防护系统管理中心的数据库后, 才会进行事件标记创建自动标记规则后, 可为其分配优先顺序优先顺序值如果自动标记规则配置为在将来事件上运行, 则规则的优先顺序确定所有自动标记规则应用于传入事件的顺序例如, 您可以具有优先顺序值为 "1" 的规则, 将所有用户已登录事件标记为可疑, 优先顺序值为 "2" 的规则从目标 ( 用户 ) 为您的所有用户已登录事件中删除可疑标记优先顺序 "1" 规则将首先运行, 并将可疑标记应用于所有用户已登录事件优先顺序 "2" 规则随后运行, 并将可疑标记从用户为您的所有用户已登录事件中删除这将导致可疑标记应用于用户不是您的所有将来用户已登录事件设置自动标记规则的优先顺序 : 1. 在事件事件列表中, 单击自动标记..., 显示已保存的自动标记规则的列表 2. 右键单击某自动标记规则, 然后选择查看查看 3. 为该规则选择优先顺序优先顺序可源标记可源事件标记只能与完整性监控防护模块生成的事件一起使用完整性监控模块允许您监控计算机上系统组件和关联属性是否发生更改 ( 更改包括创建删除以及编辑 ) 在这些组件中, 您可以监控更改的目标包括文件目录组已安装软件侦听端口进程注册表项等可源事件标记旨在减少需要通过自动标记与授权更改关联的事件来进行分析的事件数量除了自动标记类似事件以外, 使用完整性监控模块还可以基于事件的相似性以及在可源可源上找到的数据来标记事件可源可以是 : 1. 本地可计算机, 2. 亚安全安全软件认证服务或 3. 可通用基线 ( 是指从一组计算机中收集的一组文件状态 ) 本地可计算机可计算机是将用作模型的计算机, 此计算机是您知道将只生成良好或无害事件的计算机目标计算机是您监控未授权或异常更改的计算机自动标记规则检查目标计算机上的事件, 并将他们与可计算机的事件进行比较如果有任何事件匹配, 则使用在自动标记规则中定义的标记来标记它们您可以建立自动标记规则, 该规则比较受保护计算机上的事件和可计算机上的事件例如,Patch 的推出计划可应用于可计算机与 Patch 的应用程序关联的事件可标记为 "Patch X" 其他系统上提出的类似事件可进行自动标记并确认为可接受的更改, 并进行过滤, 以减少需要评估的事件数量亚安全服务器深度安全防护系统如何判断目标计算机上的事件是否匹配可源计算机上的事件? 完整性监控事件包含有关从一个状态转换为另一个状态的也就是说, 事件包含之前和之后比较事件时, 自动标记引擎将寻找匹配的之前和之后状态 ; 如果两个事件共享相同的之前和之后状态, 则事件将被判断为匹配, 标记将应用于第二个事件这也适用于创建和删除事件请记住, 使用可计算机进行可源事件标记时, 被标记的事件是由亚安全服务器深度安全防护系统完整性监控规则生成的这意味着在目标计算机上生成事件的完整性监控规则还必须在可源计算机上运行必须首先扫描可源计算机对系统上 ( 例如,Linux 上的预链接 ) 的文件内容定期执行修改的工具会干扰可源事件标记基于本地可计算机标记事件 : 133

134 事件标记 1. 通过运行完整的防恶意软件扫描, 确保可计算机中没有恶意软件 2. 确保要在其上自动标记事件的计算机所运行的完整性监控规则与可源计算机所运行的规则相同 ( 或部分相同 ) 3. 在亚安全服务器深度安全防护系统管理中心中, 转至事件 & 报告 > 完整性监控事件, 然后单击工具栏中的自动标记在自动标记规则 ( 完整性监控事件 ) 窗口中, 单击新建可源... 以显示标记向导标记向导 5. 选择本地可计算机, 然后单击下一步下一步 6. 从下拉列表中, 选择将作为可源的计算机, 然后单击下一步下一步 7. 指定一个或多个标记, 以应用于目标计算机上与此可源计算机上的事件匹配的事件单击下一步下一步可以输入新标记的文本, 或从现有标记列表中进行选择 8. 标识将与可源上的事件匹配的事件所在的目标计算机单击下一步下一步 9. ( 可选 ) 为此规则提供一个名称, 然后单击完成完成安全软件认证服务安全软件认证服务是由亚安全维护的良好文件签名的白名单此可源标记类型将监控目标计算机上的文件相关完整性监控事件记录事件以后, 文件的签名 ( 更改后 ) 将与亚安全的良好文件签名列表进行比较如果找到匹配, 则将标记该事件基于亚安全安全软件认证服务标记事件 : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至事件 & 报告 > 完整性监控事件, 然后单击工具栏中的自动标记在自动标记规则 ( 完整性监控事件 ) 窗口中, 单击新建可源... 以显示标记向导标记向导 3. 选择安全软件认证服务, 然后单击下一步下一步 4. 指定一个或多个标记, 以应用于目标计算机上与安全软件认证服务匹配的事件单击下一步下一步 5. 标识将与安全软件认证服务匹配的事件所在的目标计算机单击下一步下一步 6. ( 可选 ) 为此规则提供一个名称, 然后单击完成完成可通用基线可通用基线方法将比较一组计算机内的事件系统将根据被组中计算机上生效的完整性监控规则监控的文件和系统状态, 标识一组计算机并生成通用基线该组内的计算机上发生完整性监控事件时, 系统会将更改后文件的签名与通用基线进行比较如果文件的新签名在基线中的其他位置处具有匹配, 系统会将一个标记应用于该事件在可计算机方法中, 系统将比较完整性监控事件的之前和之后状态, 而在可通用基线方法中, 系统仅比较之后状态此方法依赖于通用组内安全的没有恶意软件的所有计算机应先在组内的所有计算机上运行完整的防恶意软件扫描, 然后再生成通用基线为计算机生成完整性监控基线时, 亚安全服务器深度安全防护系统将首先检查该计算机是否属于可通用基线组的一部分如果是, 亚安全服务器深度安全防护系统将在该组的可通用基线中包含计算机的基线数据因此, 必须先将可通用基线自动标记规则准备就位, 然后再将任何完整性监控规则应用于通用基线组中的计算机基于可通用基线标记事件 : 1. 通过在将置于组成可通用基线的组中的所有计算机上运行完整的防恶意软件扫描, 确保这些计算机中没有恶意软件 2. 在亚安全服务器深度安全防护系统管理中心中, 转至事件 & 报告 > 完整性监控事件, 然后单击工具栏中的自动标记在自动标记规则 ( 完整性监控事件 ) 窗口中, 单击新建可源... 以显示标记向导标记向导 4. 选择可通用基线, 然后单击下一步下一步 5. 指定一个或多个标记, 以应用于在可通用基线中具有匹配的事件上, 然后单击下一步下一步 134

135 事件标记 6. 标识要包含在用于生成可通用基线的组中的计算机单击下一步下一步 7. ( 可选 ) 为此规则提供一个名称, 然后单击完成完成 135

136 亚安全服务器深度安全防护系统通知程序亚安全服务器深度安全防护系统通知程序亚安全服务器深度安全防护系统通知程序是一个 Windows 系统托盘应用程序, 可将亚安全服务器深度安全防护系统客户端和亚安全服务器深度安全防护系统中继的状态传达给客户端计算机亚安全服务器深度安全防护系统客户端开始扫描, 或者阻止恶意软件或访问恶意 Web 页面时, 通知程序将显示弹出式用户通知该通知程序还将提供控制台工具, 以便用户可以查看事件并配置是否显示弹出窗口该通知程序在客户端计算机上占用内存小, 所需磁盘空间不超过 1MB, 切内存也少于 1MB 当通知程序正在运行, 系统托盘中将显示通知程序图标 ( ) 缺省情况下, 在 Windows 计算机上, 该通知程序将自动随亚安全服务器深度安全防护系统客户端一起安装使用管理 > 更新 > 软件 > 本地页面可导入最新版本以进行分发和升级在运行已启用中继的客户端的计算机上, 该通知程序会显示正在分发到客户端 / 设备的组件, 而非在本地计算机上生效的组件可以在从亚安全服务器深度安全防护系统虚拟设备接收防护的虚拟机上下载并安装单机版的通知程序有关安装说明, 请参阅安装指南在受虚拟设备保护的 VM 上, 必须对防恶意软件模块进行授权和启用, 亚安全服务器深度安全防护系统通知程序才能显示通知程序的工作原理检测到恶意软件或阻止恶意站点时, 亚安全服务器深度安全防护系统客户端会将消发送到通知程序, 该通知程序将在系统托盘中显示弹出消如果检测到恶意软件, 通知程序会在类似如下的系统托盘弹出窗口中显示消 : 如果用户单击该消, 将显示具有关于防恶意软件事件的详细的对话框 : 136

137 亚安全服务器深度安全防护系统通知程序阻止恶意 Web 页面时, 通知程序会在类似如下的系统托盘弹出窗口中显示消 : 如果用户单击该消, 将显示具有关于 Web 誉事件的详细的对话框 : 该通知程序还将提供控制台工具, 以便查看当前防护状态和组件 ( 包括特征码版本 ) 通过控制台工具, 用户可以启用和禁用弹出式通知, 以及访问详细的事件 137

138 亚安全服务器深度安全防护系统通知程序当在托管亚安全服务器深度安全防护系统中继的计算机上运行通知程序时, 该通知程序会显示正在由该中继分发的组件, 而非在计算机上生效的组件 138

139 多租户多租户目的和要求通过多租户可使用单个亚安全服务器深度安全防护系统管理中心和数据库服务器安装创建多个不同的管理环境它将每个租户的设置策略和事件完全隔离, 并使用多个其他基础架构缩放选项多租户旨在对组织内的业务部门进行分割, 并在完整的生产部署之前加速分段环境中的测试还允许为某个服务模式中的客户配置亚安全服务器深度安全防护系统受管的安全服务提供商 (MSSP) 可能依然会首选基于角色的访问控制, 而非多租户, 因为前者可提供中央控制和报告功能亚安全服务器深度安全防护系统多租户的要求如下 : 亚安全服务器深度安全防护系统管理中心 9.0 或更高版本 Oracle Database 或 Microsoft SQL Server 数据库创建 / 删除操作需要的数据库帐户权限 ( 请参阅多租户 ( 高级 ) ( 第 147 页 )) ) 多租户激活码可选但建议 : 多节点管理中心 ( 多个亚安全服务器深度安全防护系统管理中心节点指向相同的数据库以获取可扩展性 ) SMTP 服务器体系结构亚安全服务器深度安全防护系统管理中心中的多租户的运行方式与虚拟机监控程序类似同一个亚安全服务器深度安全防护系统管理中心安装中存在多个租户, 但是其数据是高度隔离的所有管理中心节点均可处理任意租户的 GUI 波动号或作业请求为了进行后台处理, 每个租户均分配一个管理中心节点, 负责处理作业排队维护和其他后台任务添加管理中心节点或者管理中心节点脱机时, 分配的管理中心节点会自动进行重新平衡每个租户的大部分数据都存储在单独的数据库中此数据库可能与其他租户共存于同一个数据库服务器上, 或隔离在自己的数据库服务器上在所有情况下, 某些数据均仅存在于主数据库 ( 与亚安全服务器深度安全防护系统管理中心一同安装的数据库 ) 中当多个数据库服务器可用时, 仅用最少量的负载在数据库上创建租户单个租户多租户受管计算机 100,000 1,000,000 或以上亚安全服务器深度安全防护系统管理中心节点数据库 ,000 数据库服务器 1( 包含或不含复制 ) 启用多租户后, 您 ( 作为 " 主租户 ") 将保留亚安全服务器深度安全防护系统管理中心常规安装的所有功能但是, 随后创建的租户对亚安全服务器深度安全防护系统功能的访问权限因系统配置而异将每个租户的数据分割到数据库中带来了其他好处 : 数据销毁 : 删除租户将移除对租户数据的所有跟踪 ( 在产品中受支持 ) 备份 : 每个租户的数据可能遵循不同的备份策略这可能对用于分段和生产的租户十分有用, 其中分段环境对备份的要求不太严格 ( 设置亚安全服务器深度安全防护系统管理中心的管理员负责备份 ) 平衡 : 有助于日后重新平衡, 以在所有数据库服务器上保持负载均衡 139

140 多租户启用多租户启用多租户 : 1. 在亚安全服务器深度安全防护系统管理中心中, 转至管理 > 系统设置 > 高级并单击多租户选项区域中的启用多租户, 以显示多租户配置多租户配置向导 2. 输入销售代表提供的激活码, 然后单击下一步下一步 3. 选择要实施的使用授权模式 : 从主租户继承使用授权 : 为所有租户授予您 ( 主租户 ) 具有的相同使用授权如果您在分段环境中使用多租户测试, 或您打算为同一企业的不同部门设置租户, 则建议使用此选项每租户使用授权 : 提供亚安全服务器深度安全防护系统作为服务时, 建议使用此模式如果使用此方式配置, 需要在创建租户帐户 ( 使用 API) 时提供使用授权, 或租户自己在首次登录时输入使用授权 4. 单击下一步下一步完成在亚安全服务器深度安全防护系统管理中心中启用多租户 5. 将显示管理 > 系统设置 > 租户页面配置多租户的选项设置有关设置的详细, 请转至管理 > 系统设置 > 租户页面, 并参考该页面的联机帮助管理租户启用多租户模式后, 可在管理管理部分出现的租户租户页面对租户进行管理创建租户创建新租户 : 1. 转至管理 > 租户页面, 然后单击新建新建以显示新建租户新建租户向导 2. 输入租户帐户名称帐户名称可以是 Primary 之外的任意名称, Primary 用于主租户 3. 输入电子邮件地址需要电子邮件地址, 以便每个租户具有一个联系点还用于下一步中三个不同的用户帐户生成方法中的两种 4. 选择语言环境语言环境确定适用于该租户的亚安全服务器深度安全防护系统管理中心用户界面语言 5. 选择时区将向租户帐户时区中的租户用户显示所有与租户相关的事件 6. 如果亚安全服务器深度安全防护系统安装使用多个数据库, 您可以选择让亚安全服务器深度安全防护系统自动选择存储新租户帐户 ( 自动 -- 无首选项 ) 的数据库服务器, 您也可以指定特定服务器 140

141 多租户不再接受新租户的数据库服务器将不会包括在下拉列表中如果只有一个数据库, 将不显示这些选项完成选择后, 单击下一步下一步继续 7. 输入新租户帐户首个用户的用户名 8. 选择以下三个密码选项之一 : 无电子邮件 : 在此处定义租户首个用户的用户名和密码, 不发送电子邮件电子邮件确认链接 : 您设置租户首个用户的密码但是, 直到用户单击将通过电子邮件收到的确认链接后, 帐户才会被激活电子邮件生成的密码 : 这允许您在未指定密码的情况下生成租户手动创建您不需要访问权限的用户帐户时, 此选项最适用所有这三个选项均可通过 REST API 获得确认选项为开放公共注册提供了一个合适的方法建议使用 CAPTCHA, 以确保租户创建者是人, 而非自动化的机器人电子邮件确认可确保提供的电子邮件属于此用户, 然后才能访问帐户 9. 单击下一步下一步完成向导并创建租户创建新租户数据库并填充数据和示例策略可能需要 30 秒到 4 分钟发送给租户的邮件示例电子邮件确认链接 : 帐户确认请求欢迎使用亚安全服务器深度安全防护系统! 要开始使用您的帐户, 请单击以下确认 URL 然后, 您可以使用所选的密码访问控制台帐户名称 :AnyCo 用户名 :admin 单击以下 URL 激活您的帐户 : D451-05F B6F646&tenantAccount=AnyCo&username=admin 电子邮件生成的密码第一封电子邮件 : 帐户和用户名通知欢迎使用亚安全服务器深度安全防护系统! 已为您创建一个新帐户您的密码将生成, 并在一封单独的电子邮件中提供帐户名称 :AnyCo 用户名 :admin 可以使用以下 URL 访问亚安全服务器深度安全防护系统管理控制台 : 第二封电子邮件 : 密码通知这是为您的亚安全服务器深度安全防护系统帐户自动生成的密码您的帐户名用户名和用于访问亚安全服务器深度安全防护系统管理控制台的链接将在一封单独的电子邮件中提供密码 :z3igruq0jafi 141

多租户管理租户租户页面 ( 管理 > 租户 ) 显示所有租户的列表租户可处于以下任一状态 : 已创建 : 正在创建, 但尚未激活需要确认 : 已创建, 但尚未单击发送给租户用户的确认电子邮件中的激活链接 ( 您可以手动覆盖此状态 ) 活动 : 完全在线且受管已挂起 : 不再接受登录待删除 : 可将租户删除, 但未立即执行移除数据库之前,

142 多租户管理租户租户页面 ( 管理 > 租户 ) 显示所有租户的列表租户可处于以下任一状态 : 已创建 : 正在创建, 但尚未激活需要确认 : 已创建, 但尚未单击发送给租户用户的确认电子邮件中的激活链接 ( 您可以手动覆盖此状态 ) 活动 : 完全在线且受管已挂起 : 不再接受登录待删除 : 可将租户删除, 但未立即执行移除数据库之前, 租户将处于待删除状态约 7 天数据库升级失败 : 用于路径升级失败的租户数据库升级按钮可用于解决此问题租户属性双击租户可以查看租户的属性属性窗口常规可更改租户的语言环境时区和状态请注意, 更改时区和语言环境不影响现有的租户用户它将仅影响此租户中的新用户以及非用户特定的 UI 中的事件和其他部分数据库名称表示该租户所用的数据库的名称可通过超链接访问数据库运行的服务器 142

143 多租户模块模块选项卡提供了用于保护模块可见性的选项缺省情况下, 将隐藏所有未经授权的模块可通过取消选中始终隐藏未经授权的模块始终隐藏未经授权的模块来更改此设置此外, 可以每个租户为基础显示所选模块如果选中从主租户继承使用授权, 则授权给您 ( 主租户 ) 的所有功能将对所有租户可见所选的可见性可用于调整哪些模块对于哪些租户可见如果使用的是每租户使用授权, 则在缺省情况下将仅显示对每个租户授权的模块如果您在测试环境中评估亚安全服务器深度安全防护系统, 并希望查看完整的多租户安装, 您可以启用多租户演示模式处于演示模式时, 管理中心使用模拟租户计算机事件警报和其他数据填充其数据库最初生成七天的数据, 但会不断生成新数据以使用这些数据填充管理中心的控制台报告和事件页面演示模式不能不能用于生产环境! 统计统计选项卡显示当前租户的, 包括数据库大小处理的作业登录安全事件和系统事件火花谱线可快速显示过去 24 小时的 143

144 多租户客户端激活客户端激活选项卡显示了一个可从此租户计算机的客户端安装目录运行的命令, 此命令将在计算机上激活客户端以便租户可以分配策略并从亚安全服务器深度安全防护系统管理中心执行其他配置过程主要联系人租户帐户用户的亚安全服务器深度安全防护系统看法租户用户体验启用多租户后, 登录页面将显示另一个帐户名称帐户名称文本框 : 需要租户输入其帐户名称以及用户名和密码帐户名称允许租户使用重叠的用户名 ( 例如, 如果多个租户与同一台 Active Directory 服务器同步 ) 当您 ( 作为主租户 ) 登录时, 请将帐户名称留空或使用主当租户登录时, 安装环境与首次安装亚安全服务器深度安全防护系统管理中心时非常相似 UI 租户隐藏以下区域 : 中的某些功能对租户用户不可用已对 144

145 多租户管理中心节点 widget 多租户 widget 管理 > 系统管理 > 使用授权 ( 如果选中继承选项 ) 管理 > 管理中心节点管理 > 租户管理 > 系统设置 : 租户选项卡安全选项卡 > 登录消更新选项卡 > 允许租户使用主租户中继的设置高级选项卡 > 负载平衡器高级选项卡 > 插件部分帮助中的一些内容不适用于租户一些报告不适用于租户基于多租户选项的其他功能 ( 稍后讨论 ) 还将对租户隐藏某些警报类型 : 波动号服务器不成功磁盘空间不足管理中心脱机管理中心时间不同步现已推出较新版本的亚安全服务器深度安全防护系统管理中心计算机数量超过数据库限制当在所有使用授权相关警报中启用继承的使用授权时还要注意的重要一点是 : 租户无法查看主租户的任何多租户功能或任何其他租户的任何数据此外, 某些 API 受到限制, 因为他们只能用于主租户权限 ( 如创建其他租户 ) 有关租户用户可用与不可用的功能的更多, 请参阅管理 > 系统设置 > 租户所有租户均可在多个用户帐户中使用基于角色的访问控制, 以进一步细分访问权限此外, 他们可以将 Active Directory 集成用于用户, 以将认证委派到域每次进行租户认证时仍需要输入租户帐户名称客户端启动的激活缺省情况下, 为所有租户启用客户端启动的激活不同于主租户的客户端启动的激活, 需要密码和租户 ID 才能调用租户用户的激活租户可以查看客户端启动的激活需要的参数, 方法是单击管理 > 更新 > 软件 > 本地, 选择客户端软件, 然后单击生成部署脚本按钮例如,Windows 计算机上客户端启动的激活的脚本示例如下所示 : dsa_control -a dsm://manageraddress:4120/ "tenantid:7156cf5a-d130-29f4-5fe1-8afd12e0ec02" "tenantpassword: b e2a7197d0d5" 租户诊断由于软件包中包含敏感数据, 租户无法访问管理中心诊断包租户仍然可以通过打开计算机编辑器, 然后选择概述概述页处理措施处理措施选项卡上的客户端诊断来生成客户端诊断 145

146 多租户使用情况监控亚安全服务器深度安全防护系统管理中心记录关于租户使用情况的数据将在控制台的租户防护活动 widget 租户属性窗口的统计选项卡和退款报告中显示此另外, 也可通过状态监控 REST API 访问此转至管理 > 系统设置 > 高级 > 状态监控 API 可启用或禁用此 API 可定制此退款 ( 或审查 ), 以确定记录中包含哪些属性此配置旨在调整服务提供程序环境中可能需要的各种收费模式这在企业确定每个业务部门的使用情况方面十分有用多租户控制台 / 报告启用多租户后, 主租户用户可访问其他控制台 widget 以监控租户活动 : 与租户相关的 widget 的一些示例 : 在管理 > 租户页面 ( 有些在可选列中 ) 以及租户属性属性窗口的统计统计选项卡上会提供相同的此提供监控整个系统使用情况和查找异常活动指示的功能例如, 如果租户遇到安全事件活动安全事件活动急剧增多的情况, 则可能受到攻击退款报告 ( 位于事件 & 报告部分 ) 提供了更多此报告详细介绍了每个租户的防护时长当前数据库大小和计算机数量 ( 激活的和未激活的 ) 146

147 多租户 ( 高级 ) 多租户 ( 高级 ) 配置数据库用户帐户 SQL Server 和 Oracle 在如下所述的数据库概念中使用不同的术语 SQL Server Oracle 多个租户执行的进程数据库服务器数据库一个租户的数据集数据库表空间 / 用户以下部分在 SQL Server 和 Oracle 二者中都使用了 SQL Server 术语 SQL Server 由于多租户要求软件能够创建数据库, 因此在 SQL Server 上需要使用 dbcreator 角色例如 : 对于主租户的用户角色, 必须向主数据库分配 DB 所有者 : 147

148 多租户 ( 高级 ) 如果需要, 可以进一步细化权限, 以便仅包括修改架构和访问数据的能力使用 dbcreator 角色时, 同一个用户将自动拥有该帐户所创建的数据库例如, 下面是创建第一个租户后该用户的属性 : 148

多租户 ( 高级 ) 要在辅助数据库服务器上创建第一个帐户, 仅需要使用 dbcreator 服务器角色不必定义用户映射 Oracle Oracle 中的多租户与 SQL Server 类似, 但有几个重要区别其中,SQL Server 是每数据库服务器一个用户帐户,Oracle 是每租户一个用户帐户安装亚安全服务器深度安全防护系统的用户映射到主租户

149 多租户 ( 高级 ) 要在辅助数据库服务器上创建第一个帐户, 仅需要使用 dbcreator 服务器角色不必定义用户映射 Oracle Oracle 中的多租户与 SQL Server 类似, 但有几个重要区别其中,SQL Server 是每数据库服务器一个用户帐户,Oracle 是每租户一个用户帐户安装亚安全服务器深度安全防护系统的用户映射到主租户可以授予该用户分配其他用户和表空间的权限虽然 Oracle 允许在用引号括起来的数据库对象名称中使用特殊字符, 但亚安全服务器深度安全防护系统不支持在数据库对象名称中使用特殊字符 Oracle Web 站点上的以下页面介绍了不带引号的名称中允许使用的字符 : 亚安全服务器深度安全防护系统从主 ( 主租户 )Oracle 数据库衍生租户数据库名称例如, 如果主数据库是 "MAINDB", 则第一个租户的数据库名称将是 "MAINDB_1", 第二个租户的数据库名称将是 "MAINDB_2", 依此类推 ( 保持主数据库名称简短, 可使租户数据库名称更易读 ) 如果启用了多租户, 则必须分配下列 Oracle 权限 : 租户被创建为使用长随机密码的用户, 并授予下列权限 : 149

多租户 ( 高级 ) 对于辅助 Oracle 服务器, 必须创建第一个用户帐户 ( 启动用户帐户 ) 此用户将有一个本质上为空的表空间配置与主用户帐户相同 API 亚安全服务器深度安全防护系统管理中心包括一些 REST API, 可用于 : 1. 启用多租户 2. 管理租户 3. 访问监控数据 4. 访问费用分摊 ( 防护活动 ) 数据 5.

150 多租户 ( 高级 ) 对于辅助 Oracle 服务器, 必须创建第一个用户帐户 ( 启动用户帐户 ) 此用户将有一个本质上为空的表空间配置与主用户帐户相同 API 亚安全服务器深度安全防护系统管理中心包括一些 REST API, 可用于 : 1. 启用多租户 2. 管理租户 3. 访问监控数据 4. 访问费用分摊 ( 防护活动 ) 数据 5. 管理辅助数据库服务器此外, 旧版 SOAP API 包含一个新的身份验证方法, 可接受租户帐户名称作为第三个参数有关 REST API 的其他, 请参阅 REST API 文档升级与先前版本相比, 升级没有变化将执行安装程序, 并检测现有安装它会提供升级选项如果选择了升级, 安装程序先通知其他节点关闭, 再开始升级过程首先升级主租户, 然后并行升级其他租户 ( 一次 5 个 ) 一旦安装程序完成, 将对其余管理中心节点执行同一个安装包如果在租户升级期间出现问题, 租户的状态 ( 在管理 > 租户页面上 ) 将显示为数据库升级失败 ( 脱机 ) 可以使用租户界面强制执行升级过程如果强制执行升级不起作用, 请与技术支持人员联系支持租户在某些情况下, 主租户可能会要求访问租户的用户界面租户列表和租户属性页面提供了一个作为给定租户进行认证的选项, 授予其即时只读访问权限用户将使用前缀 "support_" 以租户特殊帐户的身份登录例如, 如果主租户用户 jdoe 以租户身份登录, 则会创建一个名为 "support_jdoe" 具有完全访问权限角色的帐户一旦支持用户超时或从帐户注销, 即会删除该用户租户可以在系统事件中看到此用户帐户的创建登录注销删除以及任何其他操作主租户中的用户还有其他诊断工具可供使用 : 1. 管理 > 系统页面包含有关租户内存使用和线程状态的其他此工具可以直接使用, 也可以为亚安全技术支持提供帮助 150

151 多租户 ( 高级 ) 2. 管理中心节点磁盘上的 server0.log 包含导致生成日志的租户 ( 和用户, 如果适用 ) 的名称的其他这有助于确定问题的根源在某些情况下, 租户需要使用 GUI 中尚不提供的定制调整这通常应亚安全技术支持的要求用于更改这些设置的命令行工具可接受参数 : -Tenantname "account name" 以便指示特定租户处的设置更改或其他命令行操作如果忽略, 则操作在主租户上执行负载平衡器缺省情况下, 多节点管理中心向所有客户端和虚拟设备提供所有管理中心节点的地址客户端和虚拟设备使用地址列表随机选择一个要联系的节点, 并继续尝试列表中的其余地址, 直到无法访问任何节点 ( 即全部忙 ) 如果它无法访问任何节点, 它将等待直到下一个波动号, 并重试这种方法在管理中心节点数固定的环境中非常有效, 不必在管理中心节点前端配置负载平衡器, 即可获得可用性和可伸缩性在多租户环境中, 可能需要按需添加和删除管理中心节点 ( 可能使用云环境的自动缩放功能 ) 在这种情况下, 添加和删除管理中心将导致更新环境中的每个客户端和虚拟设备要避免这种更新, 可以使用负载平衡器设置负载平衡器可配置为针对不同类型的网络通使用不同的端口, 或者, 如果负载平衡器支持端口重定向, 则可用于在端口 443 上使用三个负载平衡器来公开所有必需的协议 : 在所有情况下, 负载平衡器应配置为使用粘滞会话的 TCP 负载平衡器 ( 而非 SSL 终止 ) 这可确保一个给定的通交换自始至终在客户端 / 虚拟设备和管理中心之间进行下一个连接可能平衡到另一个节点使用亚安全服务器深度安全防护系统虚拟设备的多租户如果在 VMware 环境中部署了亚安全服务器深度安全防护系统, 则可以在主租户中配置 vcenter 和 vshield 连接器并在其他租户中配置 vcloud 连接器如果配置正确, 主租户可以看到 ESXi Server 亚安全服务器深度安全防护系统虚拟设备以及其他基础架构组件, 而租户只能看到在 vcloud 环境中属于他们的 VM 他们可以进一步激活这些 VM 而不部署任何客户端技术要启用此类环境, 必须转至管理 > 系统设置 > 客户端, 然后选中允许 vcloud VM 的设备保护复选框有关 vcloud 集成的更多, 请参阅安装指南 151

152 多租户 ( 高级 ) 技术详细每个租户数据库的开销大约为 100MB 磁盘空间 ( 归因于填充系统的初始规则策略和事件 ) 由于创建架构和填充初始数据, 租户的创建需要 30 秒至 4 分钟的时间这可确保每一个新租户有最新的配置, 并消除管理数据库模板的负担, 特别是在多个数据库服务器之间 152

153 保护便携式计算机保护便携式计算机以下内容介绍了使用亚安全服务器深度安全防护系统来保护便携式计算机的步骤这将涉及以下步骤 : 1. 向管理中心添加计算机 1. 添加各个计算机 2. 在网络中执行发现操作 3. 从 Microsoft Active Directory 导入计算机 2. 为便携式计算机创建新策略 1. 创建和命名新策略 2. 设置要监控的接口 3. 将网络引擎设置为桥接模式 4. 分配防火墙规则 ( 其中某些提供位置感知 ) 并启用防火墙状态配置 5. 分配入侵防御规则 6. 分配日志审查规则 7. 分配完整性监控规则 3. 将策略应用于计算机 4. 使用管理中心监控活动我们将假定您已在计算机上安装了管理中心, 并且打算通过该计算机对整个网络的亚安全服务器深度安全防护系统客户端进行管理我们还将假定您已经在希望保护的便携式计算机上安装了 ( 但未激活 ) 亚安全服务器深度安全防护系统客户端客户端如果您尚未做到这些, 请参考安装说明, 了解执行到此阶段的步骤向管理中心添加计算机您可以通过以下方式将计算机添加到亚安全服务器深度安全防护系统计算机计算机页面中 : 1. 通过指定计算机的 IP 地址或主机名来逐个添加计算机 2. 通过扫描网络来发现计算机 3. 连接到 Microsoft Active Directory 并导入计算机列表 4. 连接到 VMware vcenter 并导入计算机列表 ( 本部分不包含该内容, 因为此处涉及的是便携式计算机 ) 通过指定计算机的 IP 地址或主机名来逐个添加计算机要通过指定计算机的 IP 地址或主机名来添加单个计算机, 请转至计算机计算机页面, 然后单击工具栏中的新建新建在主机名文本框中键入新计算机的主机名或 IP 地址新建计算机向导找到新计算机并确定存在未激活的客户端后, 它还允许您指定要应用于该计算机的策略 ( 目前, 请不要选择策略 ) 单击下一步下一步时, 向导将找到计算机并激活客户端完成客户端激活后, 此向导会提供打开计算机编辑器计算机编辑器窗口 ( 详细窗口 ) 的选项, 通过此窗口可以配置很多客户端的设置目前请跳过详细详细窗口通过扫描网络来添加计算机 ( 发现 ) 通过扫描网络来发现计算机 : 1. 转至计算机计算机页面 153

154 保护便携式计算机 2. 单击工具栏中的查找... 以显示查找计算机查找计算机对话框 3. 键入要扫描的计算机的 IP 地址范围如有需要, 可以输入屏蔽的 IP 地址执行相同操作 4. 选择自动将 IP 解析为主机名, 以指示管理中心在执行发现操作时自动解析主机名 5. 您可以选择将发现的计算机添加到已创建的计算机组中目前, 请将将找到的计算机添加到以下组将找到的计算机添加到以下组下拉列表选项的设置保留为计算机 6. 最后, 清除自动执行发现的计算机的端口扫描自动执行发现的计算机的端口扫描复选框 ( 端口扫描会检测在发现的计算机上哪些端口处于打开状态 ) 7. 单击确定此时对话框会消失, 并且在浏览器底部的管理中心状态栏中显示查找正在进行中... ( 可以通过单击 "X" 取消查找进程 ) 几分钟后, 系统将检测到网络中所有可见的计算机, 并且管理中心会对安装有亚安全服务器深度安全防护系统客户端的那些计算机进行标识现在需要激活这些客户端 8. 右键单击某个客户端 ( 或多个选择的客户端 ), 然后从快捷方式菜单中选择激活 / 重新激活来激活客户端激活客户端后, 这些客户端的状态灯将变绿并且状态列中将显示被管理 ( 联机 ) 从 Microsoft Active Directory 导入计算机从 Active Directory 导入的计算机被视为与计算机计算机页面中的任何其他计算机相同从 Microsoft Active Directory 导入计算机 : 1. 单击计算机计算机页面工具栏中新建旁边的向下键头并选择添加目录..., 以启动添加目录添加目录向导可以从其他基于 LDAP 的目录同步计算机, 但需要对其执行一些自定义要获取相关帮助, 请联系您的支持提供商 2. 依次键入 Active Directory 服务器名称导入的目录 ( 将显示在管理中心中 ) 的名称和描述 ( 无需与 Active Directory 的名称和描述匹配 ) Active Directory 服务器的 IP 和端口以及您的访问方法和凭证单击下一步下一步必须将域名和用户名包括在用户名用户名文本框中 3. 如果选择 SSL 或 TLS 作为访问方法, 则向导将要求您接受安全证书转至管理 > 系统设置 > 安全并单击任证书区域中的查看证书列表..., 即可查看亚安全服务器深度安全防护系统管理中心接受的证书单击下一步下一步 4. 新建目录向导的第二个页面要求输入架构详细 ( 保留缺省值 ) 单击完成完成 5. 下一个页面将告知您是否存在错误单击下一步下一步 6. 最后一个页面允许您创建预设任务, 以便定期将管理中心的计算机页面与 Active Directory 进行同步现在, 请将此选项保留为清除状态单击关闭关闭现在, 目录结构显示在计算机计算机页面其他 Active Directory 选项通过右键单击 Active Directory 结构, 会显示不适用于计算机计算机下列出的普通计算机组的以下选项移除目录 : 从亚安全服务器深度安全防护系统管理中心移除目录时, 可以使用以下选项 : 从 DSM 中移除目录和所有从属计算机 / 组 : 移除对目录的所有跟踪移除目录但保留计算机数据和组层次结构 : 将导入的目录结构转换为以相同方式组织的常规计算机组, 不再与 Active Directory 服务器相关联 154

155 保护便携式计算机移除目录, 保留计算机数据, 但展平层次结构 : 移除指向 Active Directory 服务器的链接, 丢弃目录结构, 并将所有计算机放到同一计算机组中立即同步 : 将亚安全服务器深度安全防护系统管理中心的目录结构与 Active Directory 服务器同步 ( 请记住, 您可以将此过程作为预设任务自动执行 ) 既然客户端处于活动状态, 则可向其分配防火墙规则和入侵防御规则虽然可以将所有单个安全对象单独分配给客户端, 但将常见安全对象组合到一个策略中, 然后将该策略分配给一个或多个客户端会比较方便单击菜单栏中的支持支持链接可获得有关亚安全服务器深度安全防护系统管理中心各个页面的更多激活计算机上的客户端必须通过管理中心激活客户端, 才能将策略和规则分配给这些客户端激活过程包括在客户端和管理中心之间交换唯一的指纹这样可以确保仅有该亚安全服务器深度安全防护系统管理中心 ( 或其中一个节点 ) 能够向客户端发送指令可以将客户端配置为在安装后自动启动自身的激活有关详细, 请参阅命令行工具 ( 第 164 页 ) 要手动激活计算机上的客户端, 请右键单击一个或多个选中的计算机, 然后选择操作 > 激活 / 重新激活为便携式计算机创建策略既然客户端已激活, 便可以分配一些规则来保护计算机尽管能够直接将规则分配给计算机, 但更为有用的做法是创建包含这些规则的策略, 然后将其分配给多个计算机创建策略将涉及以下步骤 : 1. 创建和命名新策略 2. 设置要监控的接口 3. 将网络引擎设置为桥接模式 4. 分配防火墙规则 ( 其中某些提供位置感知 ) 并启用状态检查 5. 分配入侵防御规则 6. 分配完整性监控规则 7. 分配日志审查规则 8. 将策略分配给计算机创建和命名新策略创建和命名新策略 : 1. 转至策略策略部分, 单击左侧导航面板中的策略以转到策略策略页面 2. 单击工具栏中的新建新建以显示新建策略新建策略向导 3. 将新策略命名为我的新便携式计算机策略并从继承自 : 菜单选择基本策略基本策略单击下一步下一步 4. 下一个页面会询问是否要根据现有计算机的当前配置创建策略如果选择是, 系统将会要求您选择一台现有的被管理计算机, 向导会采用该计算机的所有配置, 并据此创建一个新策略这在下列情况中会十分有用 : 例如, 如果您对现有计算机的安全配置微调了一段时间, 而现在希望据此创建一个策略以便将其应用到功能相同的其他计算机上现在, 请选择否, 然后单击下一步 5. 最后一个页面将确认已创建新策略选择在关闭时打开策略详细选项, 然后单击关闭关闭 155

156 保护便携式计算机设置要监控的接口设置要监控的接口 : 1. 由于设置了在关闭时打开策略详细选项, 所以会显示新策略编辑器窗口 2. 要将该策略分配到的便携式计算机配备有两个网络接口 ( 一个本地连接, 一个无线连接 ), 而我们要调整安全配置以便将正在使用的接口考虑在内单击导航面板中的接口类型接口类型并选择规则可以应用于特定接口规则可以应用于特定接口选项输入接口的名称和客户端将用来与计算机上接口名称相匹配的字符串 ( 含可选通配符 ): 前两个接口类型区域中为 LAN 连接 * 和局域连接以及无线和无线网络连接 * 单击页面右下方的保存保存将网络引擎设置为桥接模式客户端的网络引擎可以采用桥接模式或分接模式运行以桥接模式运行时, 活动数据包流会经过网络引擎系统会维护状态表应用防火墙规则并执行网络通规范化, 以便可以将入侵防御规则应用到有效载荷内容以分接模式运行时, 系统会克隆活动数据包流并从主数据流中转移在分接模式下, 不会修改活动数据包流, 所有操作都将在克隆的数据流上执行现在, 我们将策略配置为指定引擎以桥接模式运行将网络引擎设置为桥接模式 : 1. 仍然是在我的新便携式计算机策略编辑器中, 转至设置, 然后单击网络引擎网络引擎选项卡 2. 将网络引擎模式设置为桥接缺省情况下, 该设置应该已经设置为已继承接, 因此新策略会从那里继承其设置 ( 桥接 ), 因为基本策略缺省模式为桥分配防火墙规则 ( 其中某些提供位置感知 ) 并打开状态检查分配防火墙规则 : 1. 在导航面板中单击防火墙, 在常规常规选项卡的防火墙防火墙区域中, 从防火墙状态防火墙状态下拉菜单中选择打开打开选择继承, 此策略的此设置将从父策略继承父策略上的此设置可能已经打开, 但是现在不管任何父策略设置, 您都将在此策略级别上强制实施设置有关继承的, 请参阅策略继承与覆盖 ( 第 256 页 ) 2. 现在我们将向该策略分配一些防火墙规则和防火墙状态配置规则单击防火墙规则防火墙规则以显示可用的预定义防火墙规则列表 ( 您可以创建自己的防火墙规则, 但对于该练习, 我们将从现有防火墙规则列表中选择 ) 选择下列防火墙规则集, 以允许基本通 : 允许请求的 ICMP 回复允许请求的 TCP/UDP 回复域客户端 (UDP) ARP 无线认证 Windows 文件共享 ( 这是一个强制允许规则, 允许传入的 Windows 文件共享流量 ) 请注意防火墙规则复选框旁边的灰色向下箭头如果在上一步定义了多个接口, 则会显示这些箭头通过这些箭头, 您可以指定是将防火墙规则应用于计算机上的所有接口, 还是仅应用到指定的接口现在, 请保持缺省设置单击保存保存按钮我们分配了允许 Windows 文件共享的防火墙规则 Windows 文件共享是 Windows 中一项非常有用的功能, 但它有一些安全问题当便携式计算机在安全的办公室环境中使用时最好限制该功能, 而当便携式计算机在办公室以外使用时禁止该功能当配合使用该策略来实施该策略时, 我们将位置感知应用到防火墙规则实施位置感知 : 156

157 保护便携式计算机 1. 在我的新便携式计算机策略策略编辑器中, 转至防火墙 > 常规 > 已分配防火墙规则, 右键单击 Windows 文件共享防火墙规则, 然后选择属性... 这将显示防火墙规则的属性属性窗口 ( 但是我们对其所做的更改将仅在其作为该新策略的一部分应用时才应用于防火墙规则 ) 2. 在属性属性窗口中, 单击选项选项选项卡 3. 在规则上下文规则上下文区域, 从下拉列表中选择新建... 此时会显示新建上下文新建上下文属性窗口我们将创建一个规则上下文, 仅在便携式计算机具有域控制器的本地访问时, 该上下文才会允许防火墙规则为活动状态 ( 也就是说, 当便携式计算机位于办公室中时 ) 4. 将新规则上下文命名为 In the Office 在选项区域, 设置执行域控制器连接检查选项并在其下选择本地然后单击确定 5. 在 Windows 文件共享防火墙规则属性属性窗口中单击确定确定现在, 仅在便携式计算机能本地访问其 Windows 域控制器时,Windows 文件共享防火墙规则方可生效 Windows 文件共享防火墙规则现在在策略详细详细窗口中以粗体字显示这表示该防火墙规则的属性仅对于该策略进行了编辑位置感知也可用于入侵防御规则防火墙部分的最后一步是启用状态检查启用状态检查 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略策略编辑器窗口中, 转至防火墙 > 常规 > 防火墙状态配置 2. 对于全局 ( 所有接口 ) 设置, 请选择启用状态检查启用状态检查 3. 单击保存保存以完成分配入侵防御规则将入侵防御规则分配到策略 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略编辑器窗口中, 在导航面板中单击入侵防御入侵防御 2. 在常规选项卡的入侵防御入侵防御区域中, 将入侵防御状态入侵防御状态设置为打开打开当网络引擎以桥接模式 ( 与分接模式相对 ) 运行时, 入侵防御可以设置为阻止或检测模式如果正尝试使用一组新的入侵防御规则, 但在确新规则正常工作之前不想冒丢失网络通的风险, 则检测模式非常有用在检测模式下, 通常丢弃的流量会生成事件, 但将能够通过将入侵防御设置为打开请注意建议区域可以指示亚安全服务器深度安全防护系统客户端运行漏洞扫描 ( 推荐设置 ) ( 在管理中心的计算机页面中, 右键单击一台计算机, 然后选择操作 > 漏洞扫描 ( 推荐设置 ) ) 建议引擎将扫描计算机上的应用程序, 并根据查找结果给出入侵防御规则建议漏洞扫描 ( 推荐设置 ) 的结果可以通过转至入侵防御 > 入侵防御规则 > 分配 / 取消分配... 并从第二个下拉过滤器菜单中选择建议分配的项目, 在计算机编辑器窗口中查看 3. 现在, 将建议 > 自动实施入侵防御建议 ( 如果可能 ): 选项的设置保留为已继承 ( 否 ) 4. 在已分配的入侵防御规则区域中, 单击分配 / 取消分配... 以打开规则分配窗口 5. 按应用程序类型组织入侵防御规则应用程序类型是对入侵防御规则进行分组的有效方法 ; 它们仅有三种属性 : 通方向协议和端口对于我们的新便携式计算机策略, 请分配下列应用程序类型 : 邮件客户端 Outlook 邮件客户端 Windows 恶意软件恶意软件 Web Microsoft Office Web 常用客户端 Web 客户端 Internet Explorer 157

158 保护便携式计算机 Web 客户端 Mozilla Firefox Windows 服务 RPC 客户端 Windows 服务 RPC 服务器确保前两个下拉过滤器菜单显示所有所有且第三个排序过滤器菜单按应用程序类型按应用程序类型排序如果右键单击规则列表并选择全部折叠, 则可轻松翻阅应用程序类型应用程序类型 ( 和入侵防御规则 ) 数量很多, 因此必须使用页面右下方的分页控件来查看全部, 或使用页面右上方的搜索功能在应用程序类型名称旁边进行勾选来选择应用程序类型有些入侵防御规则取决于其他规则如果分配了一个需要分配另一个规则 ( 但尚未分配 ) 的规则, 则系统会显示一个弹出式窗口, 提示您分配必需的规则将任意种类的规则分配到计算机时, 不要让自己受到特别安全的诱惑而将所有可用的规则都分配到计算机这些规则是为各种操作系统应用程序和漏洞设计的, 可能不适用于您的计算机流量过滤引擎将因查找永不会出现的病毒码而徒然浪费 CPU 时间保护计算机时, 要有所选择! 6. 单击确定确定和保存保存将应用程序类型分配到策略分配完整性监控规则为策略分配完整性监控规则 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略编辑器窗口中, 在导航面板中单击完整性监控完整性监控 2. 在常规常规选项卡上, 将完整性监控状态完整性监控状态设置为打开打开 3. 将自动实施完整性监控建议 ( 如果可能 ): 设置为否 4. 现在在已分配的完整性监控规则已分配的完整性监控规则区域中单击分配 / 取消分配在页面右上方的搜索框中键入文字 "Windows" 并按 Enter 键应用到 Microsoft Windows 的所有规则都将显示在规则列表中右键单击其中一个规则并选择全选, 然后再次单击右键并选择分配规则这样, 便会将搜索结果中列出的所有规则分配给策略分配日志审查规则为策略分配日志审查规则 : 1. 仍然是在我的新便携式计算机策略我的新便携式计算机策略编辑器窗口中, 在导航面板中单击日志审查日志审查 2. 取消选择继承继承并将日志审查设置为打开打开 3. 将自动实施日志审查规则建议 ( 如果可能 ): 设置为否 4. 现在在已分配的日志审查规则已分配的日志审查规则区域中单击分配 / 取消分配选择缺省规则配置规则 ( 所有其他日志审查规则正常运行所需的规则 ) 以及 Microsoft Windows 事件规则 ( 此操作会对 Windows 审计功能任何时候在便携式计算机注册的事件进行记录 ) 6. 单击确定确定和保存保存将规则应用到策略我们现在完成了新策略的编辑现在可以关闭我的新策略详细窗口编辑域控制器 IP 列表最后, 由于新策略包括三个使用域控制器 IP 列表的防火墙规则, 我们将必须编辑该 IP 列表, 以将本地 Windows 域控制器的 IP 地址包含在内编辑域控制器 IP 列表 : 158

159 保护便携式计算机 1. 在亚安全服务器深度安全防护系统管理中心控制台的主窗口中, 转至策略 > 通用对象 > IP 列表 2. 双击域控制器 IP 列表以显示其属性属性窗口 3. 键入域控制器的 IP 4. 单击确定确定将策略应用于计算机现在我们可以将策略应用于计算机将策略应用于计算机 : 1. 转至计算机计算机页面 2. 右键单击将要为其分配策略的计算机, 然后选择操作 > 分配策略从分配策略分配策略对话框中的下拉列表中选择我的新便携式计算机策略 4. 单击确定单击确定确定后, 管理中心将向客户端发送策略计算机状态状态列和管理中心的状态栏将显示客户端正在进行更新的消计算机上的客户端完成更新后, 状态列将显示被管理 ( 联机 ) 配置 SMTP 设置通过配置亚安全服务器深度安全防护系统管理中心的 SMTP 设置, 可以向用户发送电子邮件警报要配置 SMTP 设置 : 1. 转至管理 > 系统设置并单击 SMTP 选项卡 2. 键入配置, 然后单击测试 SMTP 设置, 以确认亚安全服务器深度安全防护系统管理中心能够与邮件服务器进行通 3. 转至警报警报选项卡 4. 在警报事件转发 ( 来自管理中心 ) 部分中, 键入您想要将通知发送到的缺省电子邮件地址 5. 单击保存保存可以在用户的属性窗口 ( 管理 > 用户管理 > 用户 ) 中配置用户是否可以获取以电子邮件形式发送的警报可以在特定警报的属性属性窗口中配置该警报是否生成以电子邮件形式发送的通知使用亚安全服务器深度安全防护系统管理中心监控活动控制台在为计算机分配了策略并且运行一段时间后, 您将会查看该计算机上的活动检查活动的第一站是控制台控制台有许多面板 ("widgets"), 可显示与亚安全服务器深度安全防护系统管理中心及其管理的计算机的状态有关的不同类型在控制台页面的右上方, 单击添加 / 移除 Widget, 查看显示的可用 widget 列表目前, 我们将从防火墙防火墙部分添加以下 widget: 防火墙计算机活动 ( 已阻止 ) 防火墙事件历史记录 [2x1] 防火墙 IP 活动 ( 已阻止 ) 159

160 保护便携式计算机选择三个 widget 旁边的每个复选框, 然后单击确定确定这些 widget 将显示在控制台上 ( 生成数据可能需要一段时间 ) 防火墙计算机活动 ( 已阻止 ) widget 可显示数据包被拒绝 ( 即某计算机上的客户端阻止数据包到达该计算机 ) 的最常见原因的列表, 以及被拒绝的数据包的数目列表中的项将为数据包拒绝或防火墙规则类型每个原因都是到受拒绝数据包相应日志的链接防火墙事件历史记录 [2x1] widget 可显示一个条形图, 表示过去 24 小时内或七天内 ( 取决于所选择的视图 ) 所阻止的数据包数单击某个条块将显示该条块表示时间段的相应日志防火墙 IP 活动 ( 已阻止 ) widget 可显示受拒绝数据包最常见源 IP 的列表与防火墙活动 ( 已阻止 ) widget 相似, 每个源 IP 都是指向相应日志的链接请注意防火墙计算机活动 ( 已阻止 ) 和防火墙 IP 活动 ( 已阻止 ) widget 中数值旁边的趋势指示器正三角或倒三角表示指定时间段内是增加还是减少, 水平线表示没有明显变化防火墙和入侵防御事件日志现在下钻到拒绝数据包最常见原因对应的日志 : 在防火墙活动 ( 已阻止 ) widget 中, 单击拒绝数据包的首个原因这会将您带到防火墙事件页面防火墙事件页面将显示所有的防火墙事件, 其中原因列条目对应于防火墙活动 ( 已阻止 ) widget 中的首个原因 ( 不允许的策略 ) 日志经过过滤, 可只显示控制台查看时间段 ( 过去 24 小时或过去七天 ) 的那些事件关于防火墙事件和入侵防御事件页面的更多, 可在这些页面的帮助页面中找到有关不同数据包拒绝原因的含义, 请参阅 : 防火墙事件 ( 第 213 页 ) 入侵防御事件 ( 第 211 页 ) 报告用户通常期望更高级别的日志数据视图, 其中得到了汇总, 并且以更为浅显易懂的格式呈现报告报告填补了这一角色, 它允许您显示计算机防火墙和入侵防御事件日志事件警报等的详细摘要在报告报告页面中, 可以为要生成的报告选择各种选项我们将生成一个防火墙报告, 它将显示在可配置日期范围内防火墙规则和防火墙状态配置活动的记录从报告下拉菜单中选择防火墙报告单击生成生成以在新窗口中启动报告通过查看亚安全服务器深度安全防护系统管理中心以电子邮件形式发送给用户的预设报告登录到系统并咨询控制台对特定日志进行仔细分析来执行详细的调查, 以及通过配置通知用户关键事件的警报, 您可以随时了解网络的运行状况另请参阅 : 策略继承与覆盖 ( 第 256 页 ) 160

161 参考

162 高级日志记录策略模式高级日志记录策略模式要减少记录的事件数, 可以将亚安全服务器深度安全防护系统管理中心配置为在若干高级日志记录策略模式之一下运行可在设置 > 网络引擎 > 高级网络引擎设置区域的策略和计算机编辑器中设置这些模式下表列出了将在以下四种较复杂的高级日志记录策略模式下被忽略的事件类型 : 模式状态和规范化抑制状态规范化和片段抑制状态片段和验证程序抑制被忽略的事件连接断开标志无效序列无效 ACK 无效未经请求的 UDP 未经请求的 ICMP 不允许的策略丢弃的重新传送量连接断开标志无效序列无效 ACK 无效未经请求的 UDP 未经请求的 ICMP 不允许的策略 CE 标志 IP 无效 IP 数据报长度无效片段化片段偏移量无效第一个片段太小片段超出界限片段偏移量太小 IPv6 数据包最大传入连接数最大传出连接数已发出的最大 SYN 数使用授权已过期 IP 版本未知数据包无效最大 ACK 重新传送量已关闭的连接上的数据包丢弃的重新传送量连接断开标志无效序列无效 ACK 无效未经请求的 UDP 未经请求的 ICMP 不允许的策略 CE 标志 IP 无效 IP 数据报长度无效片段化片段偏移量无效第一个片段太小片段超出界限片段偏移量太小 IPv6 数据包最大传入连接数 162

163 高级日志记录策略模式模式分接模式被忽略的事件最大传出连接数已发出的最大 SYN 数使用授权已过期 IP 版本未知数据包无效数据偏移量无效无 IP 标头不可读的以太网标头未定义源 IP 和目标 IP 相同 TCP 标头长度无效不可读的协议标头不可读的 IPv4 标头未知 IP 版本最大 ACK 重新传送量已关闭的连接上的数据包丢弃的重新传送量连接断开标志无效序列无效 ACK 无效最大 ACK 重新传送量已关闭的连接上的数据包丢弃的重新传送量 163

164 命令行工具命令行工具亚安全服务器深度安全防护系统客户端 dsa_control 用法 dsa_control [-a <str>] [-b] [-c <str>] [-d] [-g <str>] [-s <num>] [-m] [-p <str>] [-r] [-R <str>] [-t <num>] [-- buildbaseline] [--scanforchanges] [ 其他关键字 : 激活 / 有波动号期间发送到管理中心的值数据...] -a <str>, --activate=<str> 以指定的 URL 使用管理中心激活客户端 URL 格式必须为 "dsm://hostorip:port/", 其中 port 是管理中心的波动号端口 ( 缺省端口为 4120) -b, --bundle 创建更新包 -c <str>, --cert=<str> 标识证书文件 -d, --diag 生成客户端诊断数据包 -g <str>, --agent=<str> 客户端 URL 缺省情况下为 " -m, --heartbeat 要求客户端立即联系管理中心 -p <str>, --passwd=<str> 认证密码使用 "*" 提示输入密码单独使用 "-p" 参数, 紧随其后以明文形式输入密码使用 "-p" 参数后跟 "*", 提示按 Enter 键后输入密码键入密码时, 密码使用 "*" 遮盖 -r, --reset 重置客户端配置 -R <str>, --restore=<str> 恢复隔离文件 -s <num>, --selfprotect=<num> 通过防止本地最终用户卸载停止或以其他方式控制客户端, 在客户端上启用自我防护启用自我防护时, 命令行指令必须包含认证密码 (1: 启用,0: 禁用 ) 此功能仅限于 Windows 在亚安全服务器深度安全防护系统 9.0 和较早版本中, 此选项是 -H <num>, --harden=<num> -t <num>, --retries=<num> 如果 dsa_control 无法与亚安全服务器深度安全防护系统客户端服务联系以执行附带的指令, 此参数将指示 dsa_control 重试 <num> 次各重试之间暂停一秒 --buildbaseline 生成完整性监控基线 --scanforchanges 扫描以发现完整性监控的更改客户端启动的激活 ("dsa_control -a") 必须激活在计算机上安装的客户端, 管理中心才能分配规则和策略, 以保护计算机激活过程包括在客户端和管理中心之间交换唯一的指纹这样可以确保仅有一个亚安全服务器深度安全防护系统管理中心 ( 或其中一个管理中心节点 ) 能够向客户端发送指令并与其进行通通过右键单击计算机窗口中的计算机并选择操作 > 激活 / 重新激活, 可以从亚安全服务器深度安全防护系统管理中心手动激活客户端亚安全服务器深度安全防护系统客户端可使用本地运行的命令行工具启动激活过程向亚安全服务器深度安全防护系统安装添加许多台计算机, 并希望编写脚本以自动完成激活过程时, 这非常有用为了让客户端启动的激活正常进行, 必须在管理 > 系统设置 > 客户端选项卡上启用允许客户端启动的激活允许客户端启动的激活选项 164

命令行工具最低激活指令包含激活命令和管理中心的 URL( 包括端口号 ): dsa_control -a dsm://[managerurl]:[port]/ 其中 : -a 是激活客户端的命令, dsm://managerurl:4120/ 是将客户端指向亚安全服务器深度安全防护系统管理中心的参数 ("managerurl" 是亚安全服务器深度安全防护系统管理中心的 URL,"4120"

165 命令行工具最低激活指令包含激活命令和管理中心的 URL( 包括端口号 ): dsa_control -a dsm://[managerurl]:[port]/ 其中 : -a 是激活客户端的命令, dsm://managerurl:4120/ 是将客户端指向亚安全服务器深度安全防护系统管理中心的参数 ("managerurl" 是亚安全服务器深度安全防护系统管理中心的 URL,"4120" 是客户端与管理中心之间的缺省通端口 ) 管理中心 URL 是激活命令唯一必需的参数其他参数也可用 ( 请参阅下面的可用参数表 ) 必须以键值对形式输入 ( 使用冒号作为分隔符 ) 您可以输入任意数量的键值对, 但必须用空格隔开各个键值对例如 : dsa_control -a dsm://sec-op-john-doe-3:4120/ hostname:abcwebserver12 "description:long Description With Spaces" ( 仅当您的值包含空格或特殊字符时才需要使用引号 ) 通过代理服务器在专用网络上进行客户端启动的激活专用网络上的客户端可以通过代理服务器与亚安全服务器深度安全防护系统管理中心进行客户端启动的通允许通过代理服务器在专用网络上进行客户端启动的激活 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 系统设置 > 客户端页面 2. 在客户端启动的激活客户端启动的激活区域 : 选择允许客户端启动的激活允许客户端启动的激活 3. 单击保存保存选择允许客户端指定主机名允许客户端指定主机名在如果同名计算机已存在如果同名计算机已存在列表中, 选择激活具有相同名称的新计算机使用以下命令行选项来指示客户端通过代理服务器与亚安全服务器深度安全防护系统管理中心进行通 : 165

166 命令行工具语法 dsa_control -x "dsm_proxy://<proxyurl>/" dsa_control -x "" dsa_control -u "<username:password>" dsa_control -u "" 示例注意设置代理服务器的地址, 客户端使用该代理服务器来与管理中心进行通清除代理服务器地址设置代理服务器用户名和密码清除代理服务器用户名和密码 dsa_control -x "dsm_proxy:// :808/" 代理服务器使用 IPv4 dsa_control -x "dsm_proxy://winsrv2k3-0:808/" dsa_control -x "dsm_proxy://[fe80::340a:7671:64e7:14cc]:808/" dsa_control -u "root:passw0rd!" 代理服务器使用主机名代理服务器使用 IPv6 代理服务器认证为 "root", 密码为 "Passw0rd!"( 仅支持基本认证, 不支持摘要和 NTLM) 在客户端启动的激活的上下文中使用时, 必须首先发出代理服务器命令, 然后再发出客户端启动的激活命令以下示例显示了设置代理服务器地址设置代理服务器凭证和激活客户端的完整顺序 : dsa_control -x "dsm_proxy:// :808/" dsa_control -u "root:passw0rd!" dsa_control -a "dsm://seg-dsm-1:4120/" 亚安全服务器深度安全防护系统管理中心中所需的设置客户端启动的波动号命令 ("dsa_control -m") 客户端启动的波动号命令将指示客户端立即对亚安全服务器深度安全防护系统管理中心执行波动号操作虽然就其本身而言该操作可能十分有用, 但与上述激活命令一样, 波动号命令可用于将更多组参数传递给亚安全服务器深度安全防护系统管理中心下表列出了可供激活和波动号命令使用的参数请注意, 一些参数只能与激活或波动号一起使用密钥 description displayname externalid 描述设置 description 值设置 displayname 值 ( 显示在主机名旁边的圆括号中 ) 示例 "description:extra information about the host" 可在激活期间执行 "displayname:the_name" 是是设置 externalid 值 "externalid:123" 是是是可在波动号期间激活后执行是值格式字注意符最大长度 2000 个字符串字符最大长度 2000 个字符串整此值可用于唯一标识客户端可使用 SOAP Web 服数务 API 来访问该值每个层次结构级别的每个组名的最大长度为 254 个字符 group 设置计算机页面上计算机所属的组 "group:zone A/Webservers" 是是 groupid "groupid:33" 是是 hostname "hostname:abwebserver1" 是否字符串整数字符串正斜杠 ("/") 表示组层次结构 group 参数可以读取或创建组层次结构此参数只能用于将计算机添加到主计算机根分支下的标准组中无法用于将计算机添加到属于目录 (MS Active Directory) VMware vcenters 或云提供程序帐户的组中最大长度 254 个字符主机名可以指定最适合用于联系亚安全服务器深度安全防护系统管理中心的计算机计算机列表中计算机的 IP 地址主机名或 FQDN 166

167 命令行工具密钥描述示例可在激活期间执行可在波动号期间激活后执行值格式注意最大长度 254 个字符 policy "policy:policy Name" 是是 policyid "policyid:12" 是是字符串整数策略名称在不区分大小写时与策略列表匹配如果找不到策略, 将不会分配策略由基于事件的任务分配的策略将覆盖在客户端启动的激活期间分配的策略最大长度 254 个字符 relaygroup 将计算机链接到特定中继组 "relaygroup:custom Relay Group" 是是 relaygroupid "relaygroupid:123" 是是 relayid "relayid:123" 是是 tenantid 和 tenantpassword RecommendationScan UpdateComponent RebuildBaseline UpdateConfiguration AntiMalwareManualScan AntiMalwareCancelManualScan IntegrityScan RebuildBaseline 在计算机上启动漏洞扫描 ( 推荐设置 ) 指示亚安全服务器深度安全防护系统管理中心执行安全更新操作 "tenantid:12651adc-d4d5" 和 "tenantpassword: d-56ee" "RecommendationScan:true" 否是 "UpdateComponent:true" 否是在计算机上重新生成完整性监控基线 "RebuildBaseline:true" 否是指示亚安全服务器深度安全防护系统管理中心执行发送策略操作 "UpdateConfiguration:true" 否是在计算机上启动防恶意软件手动扫描 "AntiMalwareManualScan:true" 否是取消计算机上当前正在进行的防恶意软件手动扫描在计算机上启动完整性扫描是 "AntiMalwareCancelManualScan:true" 否 "IntegrityScan:true" 否是在计算机上重新生成完整性监控基线 "RebuildBaseline:true" 否是是是字符串整数整数字符串布尔值布尔值布尔值布尔值布尔值布尔值布尔值布尔值中继组名称在不区分大小写时与现有中继组名称匹配如果找不到中继组, 将使用缺省中继组这不会影响在基于事件的任务期间分配的中继组使用此选项或基于事件的任务, 不可同时使用两者如果将客户端启动的激活作为租户, 则需要同时使用 tenantid 和 tenantpassword 可通过部署脚本生成工具获得 tenantid 和 tenantpassword 167

168 命令行工具 dsa_query dsa_query 工具提供以下 : 每个组件的使用授权状态扫描进度安全更新组件的版本用法 dsa_query [-c <str>] [-p <str>] [-r <str>] -p,--passwd <string>: 认证密码启用客户端自我防护时需要使用对于一些查询命令, 会直接绕过认证, 在这种情况下不需要使用密码 -c,--cmd <string>: 根据 ds_agent 执行查询命令支持以下命令 : "GetHostInfo": 查询哪个身份在波动号期间返回到亚安全服务器深度安全防护系统 "GetAgentStatus": 查询哪些防护模块被启用以及其他杂项 "GetComponentInfo": 查询防恶意软件特征码和引擎的版本 -r,--raw <string>: 返回与 "-c" 相同的查询命令, 但使用原始数据格式进行第三方软件解释特征码 : 用于过滤结果的通配符特征码 ( 可选 ) 示例 : dsa_query -c "GetComponentInfo" -r "au" "AM*" 亚安全服务器深度安全防护系统管理中心 dsm_c 用法 dsm_c -action actionname 操作名称 changesetting viewsetting 描述更改设置查看设置值用法 dsm_c -action changesetting -name NAME -value VALUE [-computerid COMPUTERID] [-computername COMPUTERNAME] [-policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME] dsm_c -action viewsetting -name NAME [-computerid COMPUTERID] [-computername COMPUTERNAME] [- policyid POLICYID] [-policyname POLICYNAME] [-tenantname TENANTNAME] 创建插入语句 ( 用于导出到 dsm_c -action createinsertstatements [-file FILEPATH] [-generateddl] [-databasetype createinsertstatements 其他数据库 ) sqlserver oracle] [-maxresultfromdb count] [-tenantname TENANTNAME] diagnostic 创建系统的诊断数据包 dsm_c -action diagnostic fullaccess 为管理员提供完全访问权限 dsm_c -action fullaccess -username USERNAME [-tenantname TENANTNAME] 角色 reindexhelp 重新编制帮助系统的索引 dsm_c -action reindexhelp resetcounters resetevents 重置计数器表 ( 重置回空状 dsm_c -action resetcounters [-tenantname TENANTNAME] 态 ) 重置事件表 ( 重置回空状态 ) dsm_c -action resetevents -type all am wrs fw dpi im li [-tenantname TENANTNAME] 168

169 命令行工具 setports trustdirectorycert unlockout 设置亚安全服务器深度安 dsm_c -action setports [-managerport port] [-heartbeatport port] 全防护系统管理中心端口任目录的证书解锁用户帐户 dsm_c -action trustdirectorycert -directoryaddress DIRECTORYADDRESS -directoryport DIRECTORYPORT [-username USERNAME] [-password PASSWORD] [-tenantname TENANTNAME] dsm_c -action unlockout -username USERNAME [-newpassword NEWPASSWORD] [-tenantname TENANTNAME] addregion 添加私有云提供程序区域 dsm_c -action addregion -region REGION -display DISPLAY -endpoint ENDPOINT listregions 列出私有云提供程序区域 dsm_c -action listregions removeregion 移除私有云提供程序区域 dsm_c -action removeregion -region REGION addcert 添加任证书 dsm_c -action addcert -purpose PURPOSE -cert CERT listcerts 列出任证书 dsm_c -action listcerts [-purpose PURPOSE] removecert 移除任证书 dsm_c -action removecert -id ID 169

170 连接图连接图 170

171 计算机和客户端状态计算机和客户端状态亚安全服务器深度安全防护系统管理中心计算机计算机页中的状态状态列显示计算机及其客户端 / 设备的当前状态状态列通常显示网络中计算机的状态, 紧跟着在圆括号中显示提供防护的客户端或设备 ( 如果存在 ) 的状态如果计算机或客户端 / 设备处于错误状态, 也会在状态列显示该状态当操作正在进行时, 操作的状态将显示在状态状态列以下三个表列出了可能会显示在计算机计算机页的状态列的状态和错误消除了显示下列值之外, 状态列还可能显示系统或客户端事件有关事件的列表, 请参阅参考部分的客户端 / 设备事件 ( 第 207 页 ) 和系统事件 ( 第 185 页 ) 计算机状态计算机状态已发现未被管理被管理正在更新更新未决 ( 时间表 ) 更新未决 ( 波动号 ) 更新未决 ( 脱机 ) 扫描打开的端口正在激活正在激活 ( 已延迟 ) 已激活正在停用停用未决 ( 波动号 ) 多个错误多个警告正在升级客户端漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) 未决 ( 时间表 ) 漏洞扫描 ( 推荐设置 ) 未决 ( 波动号 ) 描述已通过发现过程将计算机添加到计算机列表激活之前, 不受亚安全服务器深度安全防护系统管理中心管理未激活并且无法与之通客户端存在且已激活, 无未决操作或错误正在使用新配置设置和安全更新的组合更新客户端 / 设备一旦计算机的访问时间表允许, 就使用新配置设置和安全更新的组合更新客户端 / 设备将在发出下一个波动号时执行更新管理中心当前无法与客户端 / 设备进行通已准备好在客户端 / 设备返回联机状态后立即应用更新管理中心正在扫描计算机中打开的端口管理中心正在激活客户端 / 设备客户端 / 设备的激活延迟了在基于事件的相关任务中指定的时间客户端 / 设备已激活管理中心正在停用客户端 / 设备这表示该客户端 / 设备可供另一个亚安全服务器深度安全防护系统管理中心激活并管理将在下一个波动号期间从管理中心发送停用指令在此计算机上已发生多个错误请参阅计算机的系统事件以了解详细在此计算机上多个警告已生效请参阅计算机的系统事件以了解详细此计算机上的客户端软件正在升级到较新版本漏洞扫描 ( 推荐设置 ) 正在进行中计算机的访问时间表允许后, 将立即启动漏洞扫描 ( 推荐设置 ) 管理中心将在发出下一个波动号时启动漏洞扫描 ( 推荐设置 ) 漏洞扫描 ( 推荐设置 ) 未决 ( 脱机 ) 客户端 / 设备当前处于脱机状态管理中心将在重新建立通时启动漏洞扫描 ( 推荐设置 ) 完整性扫描未决完整性扫描正在进行中完整性扫描未决 ( 脱机 ) 基线重新生成未决基线重新生成正在进行中基线重新生成未决 ( 脱机 ) 正在检查状态正在获取事件启动完整性扫描的指令在排队等待发送完整性扫描当前正在进行中客户端 / 设备当前处于脱机状态管理中心将在重新建立通时启动完整性扫描为完整性监控重新生成系统基线的指令在排队等待发送完整性监控引擎当前正在重新生成系统基线客户端 / 设备当前处于脱机状态完整性监控引擎将在重新建立管理中心和此计算机之间的通时重新生成系统基线正在检查客户端状态管理中心正在从客户端 / 设备检索事件已准备 ESXi 已准备好安装虚拟设备 ( 已安装过滤器驱动程序 ) ESXi 未准备 ESXi 尚未准备好安装虚拟设备 ( 尚未安装过滤器驱动程序 ) ESXi 过滤器驱动程序脱机 ESXi 上的过滤器驱动程序处于脱机状态 ESXi 建议升级恶意软件手动扫描未决恶意软件手动扫描已排队客户端或设备有较新版本可用建议升级软件执行手动启动的恶意软件扫描的指令尚未发送执行手动启动的恶意软件扫描的指令在排队注意 171

172 计算机和客户端状态计算机状态恶意软件手动扫描正在进行中恶意软件手动扫描已暂停取消恶意软件手动扫描未决取消恶意软件手动扫描正在进行中取消恶意软件手动扫描未决 ( 脱机 ) 恶意软件预设扫描未决恶意软件预设扫描已排队恶意软件预设扫描正在进行中恶意软件预设扫描已暂停取消恶意软件预设扫描未决取消恶意软件预设扫描正在进行中取消恶意软件预设扫描未决 ( 脱机 ) 恶意软件手动扫描未决 ( 脱机 ) 恶意软件预设扫描未决 ( 脱机 ) 更新防恶意软件组件未决 ( 脱机 ) 更新防恶意软件组件未决 ( 波动号 ) 更新防恶意软件组件未决 ( 时间表 ) 更新防恶意软件组件未决更新防恶意软件组件正在进行中描述手动启动的恶意软件扫描正在进行中手动启动的恶意软件扫描已暂停取消手动启动的恶意软件扫描的指令在排队等待发送取消手动启动的恶意软件扫描的指令已发送设备处于脱机状态将在重新建立通时发送取消手动启动的恶意软件扫描指令取消预设的恶意软件扫描的指令尚未发送取消预设的恶意软件扫描的指令在排队预设的恶意软件扫描正在进行中预设的恶意软件扫描已暂停取消预设的恶意软件扫描的指令在排队等待发送取消预设的恶意软件扫描的指令已发送客户端 / 设备处于脱机状态将在重新建立通时发送取消预设的恶意软件扫描指令客户端 / 设备处于脱机状态将在重新建立通时发送启动手动启动的恶意软件扫描指令客户端 / 设备处于脱机状态将在重新建立通时发送启动预设的恶意软件扫描指令客户端 / 设备处于脱机状态客户端 / 设备将在重新建立通时使用最新防恶意软件组件进行更新客户端 / 设备将在发出下一个波动号时使用最新防恶意软件组件进行更新计算机的访问时间表允许后, 将立即更新防恶意软件组件更新防恶意软件组件的指令在排队等待发送正在使用最新防恶意软件组件更新客户端 / 设备注意客户端状态客户端状态已激活需要激活描述客户端 / 设备已成功激活, 且已准备好由亚安全服务器深度安全防护系统管理中心管理在目标计算机上检测到未激活的客户端 / 设备客户端 / 设备必须先激活, 然后才能由亚安全服务器深度安全防护系统管理中心管理 VM 已停止虚拟机处于已停止状态 VM 已暂停虚拟机处于已暂停状态无客户端 / 在计算机上未检测到客户端 / 设备设备未知需要停用需要重新激活联机脱机未尝试确定客户端 / 设备是否存在管理中心尝试激活已由另一个亚安全服务器深度安全防护系统管理中心激活的客户端 / 设备必须在原始亚安全服务器深度安全防护系统管理中心停用该客户端 / 设备后, 它才能由新的管理中心激活客户端 / 设备已安装且正在侦听, 正等待亚安全服务器深度安全防护系统管理中心重新激活客户端 / 设备处于联机状态并按预期运行在策略 / 计算机编辑器 > 设置 > 计算机选项卡中指定的波动号数内未与客户端进行通注意计算机错误错误状态通错误没有到计算机的路由无法解析主机名需要激活无法与客户端 / 设备通协议错误需要停用描述常规网络错误通常, 由于干扰防火墙或中间路由器关闭, 无法访问远程主机未解析的套接字地址当客户端 / 设备尚未激活时向其发送了指令无法与客户端 / 设备通在 HTTP 层发生通不成功客户端 / 设备当前已由另一个亚安全服务器深度安全防护系统管理中心激活注意 172

173 计算机和客户端状态错误状态无客户端 / 设备软件版本无效发送软件不成功内部错误重复的计算机 VMware 工具未安装描述在目标上未检测到客户端 / 设备表示找不到用于请求的平台 / 版本的安装程序向计算机发送二进制软件包时出现错误内部错误请联系支持提供商管理中心的计算机列表中有两个计算机使用同一个 IP 地址 VMware 工具 ( 包括 VMware Endpoint 驱动程序 ) 未安装在客户虚拟机上 VMware Endpoint 驱动程序是提供亚安全服务器深度安全防护系统防恶意软件和完整性监控保护所必需的此错误状态将仅在亚安全服务器深度安全防护系统部署在 VMware NSX 环境中时才会显示注意防护模块状态将鼠标悬停在计算机计算机页面中的某个计算机名称上时, 将显示预览预览图标 ( ) 单击该图标可显示计算机防护模块的状态打开 / 关闭状态 : 状态打开关闭未知描述模块已在亚安全服务器深度安全防护系统管理中心配置, 并且已在亚安全服务器深度安全防护系统客户端上安装和运行模块未在亚安全服务器深度安全防护系统管理中心配置, 或未在亚安全服务器深度安全防护系统客户端上安装和运行, 或者既未在管理中心配置也未在客户端上安装和运行指示防护模块出错安装状态 : 状态未安装安装未决正在安装已安装未找到匹配的模块插件不支持 / 不支持更新描述亚安全服务器深度安全防护系统管理中心已下载包含该模块的软件包, 但该模块尚未在亚安全服务器深度安全防护系统管理中心打开, 或者未在客户端上安装模块已在亚安全服务器深度安全防护系统管理中心配置, 但未在客户端上安装正在客户端上安装模块模块已安装在客户端上仅当模块的打开 / 关闭状态为关闭时, 才显示此状态 ( 如果打开 / 关闭状态为打开, 则意味着客户端上已安装该模块 ) 包含已导入到亚安全服务器深度安全防护系统管理中心的模块的软件包版本与客户端报告的版本不匹配在客户端上找到一个匹配软件包, 但该软件包不包含此模块显示不支持还是不支持更新取决于客户端上是否已安装此模块的某个版本 173

174 配置软件更新服务器配置软件更新服务器亚安全服务器深度安全防护系统软件更新通常由已启用中继的客户端托管和分发要在计算机上部署亚安全服务器深度安全防护系统客户端, 必须先将平台的软件包导入到亚安全服务器深度安全防护系统管理中心实际客户端安装包最初只在计算机上安装核心客户端功能安全模块所需的插件 ( 入侵防御防火墙等 ) 仅在需要时才安装到客户端上开启防护模块后, 亚安全服务器深度安全防护系统将通过亚安全服务器深度安全防护系统中继将所需的插件部署到计算机上这样做是为了降低客户端在受保护计算机上所占的内存如果您已部署了 Web 服务器, 可能更希望让这些服务器执行软件更新分发任务, 而不是部署中继来执行此任务要执行该操作, 必须在 Web 服务器上反映亚安全服务器深度安全防护系统中继的软件存储库尽管可以指示亚安全服务器深度安全防护系统客户端从新更新的 Web 服务器获取其软件更新, 您还需要至少一个亚安全服务器深度安全防护系统中继来分发安全更新以下描述如何在本地 web 服务器上设置自己的软件存储库 Web 服务器要求磁盘空间 :8GB 端口 4122: 用于客户端 / 设备与中继之间的通 (TCP) 4123: 用于内部中继与本地主机之间的通 (TCP) 文件夹结构您必须在将反映亚安全服务器深度安全防护系统中继的软件存储库文件夹结构的软件 Web 服务器上创建文件夹反映文件夹的步骤取决于您的 IT 环境, 不在本文档的讨论范围之内 Windows 中继上软件存储库文件夹的缺省位置为 : C:\ProgramData\AsiaInfo Security\Deep Security Agent\relay\www\dsa\ Linux 中继上软件存储库文件夹的缺省位置为 : /var/opt/ds_agent/relay/www/dsa/ 文件夹的结构如下 : -- dsa -- < 平台 >.< 体系结构 > -- < 文件名 > -- < 文件名 > < 平台 >.< 体系结构 > -- < 文件名 > -- < 文件名 > 例如 : -- dsa -- CentOS_6.x86_64 174

175 配置软件更新服务器 -- Feature-AM-CentOS_ x86_64.dsp -- Feature-DPI-CentOS_ x86_64.dsp -- Feature-FW-CentOS_ x86_64.dsp -- Feature-IM-CentOS_ x86_64.dsp RedHat_EL6.x86_64 -- Agent-Core-RedHat_EL x86_64.rpm -- Feature-AM-RedHat_EL x86_64.dsp -- Feature-DPI-RedHat_EL x86_64.dsp -- Feature-FW-RedHat_EL x86_64.dsp Plugin-Filter_2_6_32_131_0_15_el6_x86_64-RedHat_EL x86_64.dsp -- Plugin-Filter_2_6_32_131_12_1_el6_x86_64-RedHat_EL x86_64.dsp Windows.x86_64 -- Agent-Core-Windows x86_64.msi -- Agent-Core-Windows x86_64.msi -- Feature-AM-Windows x86_64.dsp -- Feature-AM-Windows x86_64.dsp -- Feature-DPI-Windows x86_64.dsp -- Feature-DPI-Windows x86_64.dsp Plugin-Filter-Windows x86_64.dsp -- Plugin-Filter-Windows x86_64.dsp 中继上的其他文件和文件夹亚安全服务器深度安全防护系统中继上的 dsa 文件夹包含的文件和文件夹比上述示例多, 但只有为了托管运行的软件存储库而需要反映的文件夹包含与正在使用的客户端平台和结构相关的文件 ( 但是反映整个 dsa 文件夹并没有害处, 实际上可能会更方便 ) 将亚安全服务器深度安全防护系统配置为使用新的软件存储库由于 Web 服务器正在托管软件存储库, 因此您必须将亚安全服务器深度安全防护系统配置为使用该软件存储库配置亚安全服务器深度安全防护系统以将定制的 Web 服务器用作软件更新存储库 : 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 系统设置 > 更新选项卡 2. 在更新 Web 服务器区域中, 在包含反映的软件存储库内容的 Web 服务器上输入文件夹的 URL 3. 单击保存保存亚安全服务器深度安全防护系统客户端将会从新的软件存储库位置获取其软件更新如果亚安全服务器深度安全防护系统客户端无法与服务器通, 将缺省为亚安全服务器深度安全防护系统中继 175

176 在 Apache 中禁用 Diffie-Hellman 在 Apache 中禁用 Diffie-Hellman Apache Web 服务器可能会使用 Diffie-Hellman (DH) 公共密钥加密协议作为密钥交换算法和认证方法此协议不受亚安全服务器深度安全防护系统客户端 / 设备的支持, 因此必须在 Apache Web 服务器上禁用此协议, 这样 SSL 过滤才能正常进行密匙交换算法和认证方法参数是在 httpd-ssl.conf 文件中出现的 "SSLCipherSuite" 变量的前两个文本框要指示 Apache 不使用 Diffie-Hellman, 必须将 "!ADH" 添加到这些文本框中以下示例显示了在 Apache 中禁用 DH 密钥交换和认证方法所需的语法 SSLCipherSuite!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL 对于禁用 ADH, 仅涉及前两个文本框 "!" 会指示 Apache 不使用 ADH 配置文件可能位于不同的位置, 具体取决于 Apache Build 例如 : RHEL4 上的缺省安装 : /etc/httpd/conf.d/ssl.conf Apache 2.2.2: /apache2/conf/extra/httpd-ssl.conf 参考有关更多, 请访问位于上的 SSLCipherSuite 的 Apache 文档 176

177 加密管理中心与数据库之间的通加密管理中心与数据库之间的通缺省情况下, 亚安全服务器深度安全防护系统管理中心与数据库之间的通是不加密的这是考虑到了性能原因, 因为管理中心和数据库之间的通道可能已经是安全的 ( 它们运行在同一台计算机上, 或者由交叉电缆专用网段连接或通过 IPSec 进行隧道连接 ) 但是, 如果亚安全服务器深度安全防护系统管理中心与数据库间的通通道不安全, 则应当对它们之间的通进行加密用户可通过编辑位于 \Deep Security Manager\webclient\webapps\ROOT\WEB-INF\ 的 dsm.properties 文件来进行此加密操作如果在多节点模式中运行亚安全服务器深度安全防护系统管理中心, 则必须对每个节点做这些更改 Microsoft SQL Server (Linux) 加密亚安全服务器深度安全防护系统管理中心与 Microsoft SQL Server 数据库之间的通 : 1. 停止亚安全服务器深度安全防护系统管理中心服务 : # service dsm_s stop 2. 编辑 /opt/dsm/webclient/webapps/root/web-inf/dsm.properties 以添加以下行 : database.sqlserver.ssl=require 3. 在 /opt/dsm 下, 创建一个名为 dsm_s.vmoptions 的包含以下行的文件 : -Djsse.enableCBCProtection=false 4. 在 SQL Server 配置管理器中, 在实例的协议属性中启用强制加密 : 5. 启动亚安全服务器深度安全防护系统管理中心服务 : # service dsm_s start 有关其他, 请参阅 Microsoft MSDN 站点上的启用数据库引擎的加密连接 177

$编辑 \Program Files\AsiaInfo Security\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\ dsm.properties 以添加以下行 : database.sqlserver.ssl=require 3.$

178 加密管理中心与数据库之间的通 Microsoft SQL Server (Windows) 加密亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心与 Microsoft SQL Server 数据库之间的通 : 1. 停止亚安全服务器深度安全防护系统管理中心服务 2. 编辑 \Program Files\AsiaInfo Security\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\ dsm.properties 以添加以下行 : database.sqlserver.ssl=require 3. 在 \Program Files\AsiaInfo Security\Deep Security Manager 下, 创建名为 Deep Security Manager.vmoptions 且包含以下行的文件 : -Djsse.enableCBCProtection=false 4. 在 SQL Server 配置管理器中, 在实例的协议属性中启用强制加密 : 5. 启动 Deep Security Manager 服务有关其他, 请参阅 Microsoft MSDN 站点上的启用数据库引擎的加密连接 Oracle 数据库加密亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统管理中心与 Oracle 数据库之间的通 : 1. 将下面各行添加到 dsm.properties( 示例 ): database.oracle.oracle.net.encryption_types_client=(aes256) database.oracle.oracle.net.encryption_client=required database.oracle.oracle.net.crypto_checksum_types_client=(sha1) database.oracle.oracle.net.crypto_checksum_client=required 178

179 加密管理中心与数据库之间的通 2. 保存并关闭该文件停止并重新启动亚安全服务器深度安全防护系统管理中心服务 ( 所有前缀为 database.oracle. 的参数都将传递到 Oracle 驱动程序 ) encryption_types_client 的可能值有 : AES256 AES192 AES128 3DES168 3DES112 DES56C DES40C RC4_256 RC4_128 RC4_40 RC4_56 crypto_checksum_types_client 的可能值有 : MD5 SHA1 有关其他选项, 请参阅 : 在数据库服务器上运行客户端如果要使用客户端来保护数据库, 则应启用加密执行安全更新时, 亚安全服务器深度安全防护系统管理中心会将新的入侵防御规则存储到数据库中如果数据未加密, 则客户端对规则名称进行解析时, 规则名称本身几乎肯定会生成误判结果 179

180 警报警报警报检测到异常的重新启动激活不成功客户端配置数据包太大客户端安装不成功建议升级客户端 ( 与设备不兼容 ) 建议升级客户端 / 设备建议升级客户端 / 设备 ( 安全更新不兼容 ) 建议升级客户端 / 设备 ( 推出了新版本 ) 要求升级客户端 / 设备规则存在可用更新防恶意软件警报防恶意软件组件故障防恶意软件组件更新不成功防恶意软件引擎脱机防恶意软件保护不存在或已过期针对存储限制的防恶意软件隔离警报应用程序类型配置不正确应用程序类型建议安全软件认证服务脱机检测到时钟更改检测到通问题计算机不接收更新要求重新启动计算机缺省严重性警告严重警告严重警告警告警告警告警告警告警告严重警告严重警告警告警告警告警告警告警告警告警告可解除是描述在计算机上检测到异常的重新启动这种情况可能是由各种条件导致的如果怀疑客户端 / 设备是根本原因, 则应该调用诊断软件包 ( 位于计算机详细对话框的支持部分 ) 否无法激活可能表示客户端 / 设备存在问题请检查受影响的计算机是是否否否否否否这通常是由于分配的防火墙和 DPI 规则过多而导致的在计算机上运行漏洞扫描 ( 推荐设置 ) 以确定是否可以安全取消分配任何规则无法在一台或多台计算机上成功安装客户端这些计算机当前不受保护您必须重新启动这些计算机, 然后它们将自动重新启动客户端安装程序亚安全服务器深度安全防护系统管理中心检测到计算机具有与设备不兼容的客户端版本设备将在此配置中始终过滤网络流量, 这会产生冗余防护 ( 在 9.5 中已弃用 ) 亚安全服务器深度安全防护系统管理中心在此计算机上检测到一个不支持所有可用功能的旧客户端 / 设备版本建议升级客户端 / 设备软件 ( 在 9.5 中已弃用 ) 亚安全服务器深度安全防护系统管理中心检测到计算机具有与一个或多个为其分配的安全更新不兼容的客户端 / 设备版本建议升级客户端 / 设备软件亚安全服务器深度安全防护系统管理中心检测到一台或多台计算机具有比导入到管理中心的最新版本更早的客户端 / 设备版本建议升级客户端 / 设备软件亚安全服务器深度安全防护系统管理中心检测到计算机具有与此版本的管理中心不兼容的客户端 / 设备版本需要升级客户端 / 设备软件更新规则已下载, 但是尚未应用到您的策略要应用这些规则, 请转至管理 > 更新 > 安全并在规则更新规则更新列中单击将规则应用到策略是为警报配置的恶意软件扫描配置已在一台或多台计算机上引发事件是一台或多台计算机上的防恶意软件组件不成功有关具体详细, 请参阅各台计算机上的事件描述否一个或多个客户端 / 中继更新防恶意软件组件不成功有关更多, 请参阅受影响的计算机否客户端 / 设备已报告防恶意软件引擎未响应请检查计算机的系统事件以确定不成功原因否此计算机上的客户端未收到其初始防恶意软件保护软件包, 或者其防恶意软件保护已过期请确保中继可用且客户端已正确配置为与其进行通要配置中继和其他更新选项, 请转至管理 > 系统设置 > 更新是防恶意软件无法隔离文件, 因为已达到存储限制否应用程序类型配置不正确可能会阻止正确的安全覆盖范围是否亚安全服务器深度安全防护系统管理中心已确定应为某个计算机分配某个应用程序类型这可能是因为新计算机上已安装客户端且检测到有漏洞的应用程序, 或者是因为在以前认为安全的已安装应用程序中发现了新的漏洞要将应用程序类型分配给计算机, 请打开计算机详细对话框, 单击入侵防御规则, 然后分配应用程序类型亚安全服务器深度安全防护系统管理中心节点无法连接到亚安全安全软件认证服务, 无法对完整性监控模块执行文件签名比较直到连接恢复后才会使用本地缓存数据库请确保该管理中心节点能够连接到 Internet, 且代理服务器设置 ( 如果有 ) 正确是在此计算机上检测到时钟更改意外的时钟更改可能表示计算机出现问题, 应该在解除警报之前进行调查是在此计算机上检测到通问题通问题表示, 计算机由于网络配置或负载原因无法启动与亚安全服务器深度安全防护系统管理中心之间的通除了验证是否可以建立从计算机到亚安全服务器深度安全防护系统管理中心的通外, 请检查系统事件应该在解除警报之前调查问题产生的原因否这些计算机已停止接收更新可能需要手动干预是客户端软件更新成功, 但必须重新启动计算机才能完成安装在警报解除之前, 应该手动更新计算机 180

181 警报警报防恶意软件保护需要重新启动计算机需要进行配置连接到过滤器驱动程序不成功已超出 CPU 严重阈值已超出 CPU 警告阈值检测到重复的计算机检测到重复的唯一标识符分配了空的中继组已抑制事件已截短事件无法扫描文件以查找恶意软件防火墙引擎脱机防火墙规则警报防火墙规则建议波动号服务器不成功客户端 / 设备版本不兼容客户端 / 设备 (DSA/ DSVA) 的磁盘空间不足完整性监控引擎脱机完整性监控集合已延迟完整性监控规则警报完整性监控规则编译错误完整性监控规则建议完整性监控规则需要配置未启用完整性监控可平台模块已更改完整性监控可平台模块注册值缺省严重性警告警告严重严重警告警告警告严重警告警告警告严重警告警告警告警告警告严重警告警告严重警告警告警告警告可解除描述否客户端上的防恶意软件保护已报告计算机需要重新启动请检查计算机的系统事件以确定重新启动的原因否一台或多台计算机正在使用定义了多个接口类型的策略, 但并非所有接口均已映射否设备已报告连接到过滤器驱动程序不成功这可能表示 ESXi 上运行的过滤器驱动程序出现配置问题或设备出现配置问题设备必须能够连接到过滤器驱动程序才能保护客户虚拟机应该调查该问题的原因并解决该问题否已超出 CPU 严重阈值否已超出 CPU 警告阈值是已激活或导入重复的计算机请移除重复的计算机, 然后重新激活原始计算机 ( 如有必要 ) 否有关管理云提供程序资源和对重复 UUID 进行故障排除的, 请参考亚安全服务器深度安全防护系统联机帮助或指南文档否已向这些计算机分配了空的中继组请将其他中继组分配给这些计算机或者将中继添加到空的中继组是是否客户端 / 设备出现了数量异常多的事件因此, 为阻止潜在的拒绝服务, 一个或多个事件未被记录 ( 抑制 ) 请检查防火墙事件以确定抑制原因由于数据文件增长到太大而使客户端 / 设备无法存储, 导致某些事件丢失这可能是由于所生成的事件数量异常增加, 或客户端 / 设备无法将数据发送给亚安全服务器深度安全防护系统管理中心有关更多, 请参阅计算机上的已截短事件系统事件的属性无法扫描文件以查找恶意软件, 因为文件路径超过了最大文件路径长度限制, 或者目录深度超过了最大目录深度限制请检查计算机的系统事件以确定原因否客户端 / 设备已报告防火墙引擎脱机请检查客户端 / 设备上的引擎状态是一台或多台计算机上出现了为警报选择的防火墙规则是否否是亚安全服务器深度安全防护系统管理中心已确定, 应该为网络上的计算机分配防火墙规则这可能是因为新计算机上已安装客户端且检测到有漏洞的应用程序, 或者是因为在以前认为安全的已安装应用程序中发现了新的漏洞要将防火墙规则分配给计算机, 请打开计算机详细对话框, 单击防火墙规则节点, 然后分配防火墙规则波动号服务器无法正确启动这可能是由于端口冲突导致的在解决此问题之前, 客户端 / 设备将无法联系管理中心要解决此问题, 请确保其他服务没有使用为波动号服务器预留的端口, 然后重新启动亚安全服务器深度安全防护系统管理中心服务如果不希望使用波动号, 则可以在警报配置部分中关闭此警报亚安全服务器深度安全防护系统管理中心在计算机上检测到与此版本的管理中心不兼容的较新客户端 / 设备版本建议升级管理中心软件客户端 / 设备已报告, 为了给新的日志文件释放磁盘空间, 被迫删除了一个旧日志文件请立即释放磁盘空间, 以防止入侵防御防火墙和客户端 / 设备事件丢失否客户端 / 设备已报告完整性监控引擎未响应请检查计算机的系统事件以确定不成功原因否由于完整性监控数据量的增加, 已临时延迟了收集完整性监控的速率在此期间, 对于一些计算机, 基线视图和完整性事件视图的内容可能不是当前内容此警报将在完整性监控数据不再被延迟时自动解除是一台或多台计算机上出现了为警报选择的完整性监控规则否在计算机上编译完整性监控规则时出错这可能导致完整性监控规则不能按预期运行是否亚安全服务器深度安全防护系统管理中心已确定, 应该为网络上的计算机分配完整性监控规则要将完整性监控规则分配给计算机, 请打开计算机详细对话框, 单击完整性监控 > 完整性监控规则节点, 然后分配完整性监控规则在使用前需要进行配置的完整性监控规则已分配给一台或多台计算机此规则将不会发送到这些计算机打开完整性监控规则属性, 然后选择配置选项卡, 以获取更多是未启用可平台模块请确保已安装硬件且 BIOS 设置正确是已更改可平台模块注册值如果未修改 ESXi 虚拟机监控程序配置, 这可能是一次攻击 181

182 警报警报入侵防御引擎脱机入侵防御规则警报入侵防御规则建议入侵防御规则移除建议入侵防御规则需要配置日志审查引擎脱机日志审查规则警报日志审查规则建议日志审查规则需要进行配置磁盘空间不足管理中心脱机管理中心时间不同步已超出内存严重阈值已超出内存警告阈值检测到多个已激活的设备网络引擎模式不兼容新的特征码更新已下载并可用新的规则更新已下载并可用现已推出较新版本的亚安全服务器深度安全防护系统管理中心推出了较新版本的软件计算机数量超过数据库限制防护模块的使用授权已过期防护模块的使用授权即将过期建议缺省严重性严重警告警告警告警告严重警告警告警告警告警告严重严重警告警告警告警告警告警告警告警告警告警告警告可解除描述否客户端 / 设备已报告入侵防御引擎脱机请检查客户端 / 设备上的引擎状态是一台或多台计算机上出现了为警报选择的入侵防御规则是是否亚安全服务器深度安全防护系统管理中心已确定, 应该为网络上的计算机分配入侵防御规则这可能是因为新计算机上已安装客户端且检测到有漏洞的应用程序, 或者是因为在以前认为安全的已安装应用程序中发现了新的漏洞要将入侵防御规则分配给计算机, 请打开计算机详细对话框, 单击入侵防御规则, 然后分配入侵防御规则亚安全服务器深度安全防护系统管理中心已确定, 为网络上的计算机分配了不必要的入侵防御规则这可能是因为卸载了有漏洞的应用程序对现有漏洞打上了补丁, 或开始时不必分配规则要从计算机取消分配入侵防御规则, 请打开计算机详细对话框, 单击入侵防御 > 入侵防御规则, 然后清除入侵防御规则旁边的复选框在使用前需要进行配置的入侵防御规则已分配给一台或多台计算机此规则将不会发送到这些计算机打开入侵防御规则属性, 然后选择配置选项卡, 以获取更多否客户端 / 设备报告日志审查引擎初始化不成功请检查计算机的系统事件以确定不成功原因是一台或多台计算机上出现了为警报选择的日志审查规则是否否否否亚安全服务器深度安全防护系统管理中心已确定, 应该为网络上的计算机分配日志审查规则要将日志审查规则分配给计算机, 请打开计算机详细对话框, 单击日志审查 > 日志审查规则节点, 然后分配日志审查规则在使用前需要进行配置的日志审查规则已分配给一台或多台计算机此规则将不会发送到这些计算机打开日志审查规则属性, 然后选择配置选项卡, 以获取更多亚安全服务器深度安全防护系统管理中心节点剩余的磁盘空间不足 10% 请通过删除旧文件或不需要的文件来释放空间, 或添加更多的存储容量亚安全服务器深度安全防护系统管理中心节点脱机有可能计算机的硬件或软件出现问题, 或者只是计算机的网络连接已断开请检查管理中心计算机的状态每个管理中心节点上的时钟都必须与数据库上的时钟同步如果这些时钟不同步的程度太高 ( 大于 30 秒 ), 则管理中心节点将不会正确执行其任务将管理中心节点上的时钟与数据库上的时钟同步否已超出内存严重阈值否已超出内存警告阈值是否否否否设备已报告在同一 ESXi 上对过滤器驱动程序进行了多个连接这表明同一个 ESXi 上可能正在运行多个已激活的设备, 而这是不支持的应该在解除警报之前调查问题产生的原因只有客户端版本为 5.2 或更高版本时才可以将网络引擎模式设置为分接查看和更新客户端的配置或升级客户端, 以解决不兼容问题新的特征码可用作安全更新的一部分特征码已下载至亚安全服务器深度安全防护系统, 但尚未应用到您的计算机要将更新应用到您的计算机中, 请转到管理 > 更新 > 安全页面新的规则可用作安全更新的一部分规则已下载至亚安全服务器深度安全防护系统, 但是尚未应用到策略, 也没有发送到您的计算机要应用更新并将已更新的策略发送到您的计算机中, 请转到管理 > 更新 > 安全页面现已推出新版本的亚安全服务器深度安全防护系统管理中心可以从亚安全下载专区下载最新版本, 网址为否推出了新软件可从下载专区下载软件否激活的计算机数量已超过嵌入式数据库的建议限制如果增加更多的计算机, 性能将会迅速降低, 所以强烈建议此时考虑其他数据库选项 (Oracle 或 SQL Server) 有关升级数据库的更多, 请与亚安全联系是防护模块的使用授权已过期否防护模块的使用授权即将过期您可以通过在管理 > 使用授权页面上更改您的使用授权来解除此警报是亚安全服务器深度安全防护系统管理中心已确定, 应该更新一台计算机的安全配置要查看建议的更改, 请打开计算机的编辑器窗口, 然后浏览模块页面, 以查看对未解析建议的警告在已分配规则区域中, 单击分配 / 取消分配... 以显示可用规则的列表, 然后使用显示建议分配的项目查看过滤器选项对其进行过滤 ( 选择显示建议取消分配的项目以显示可以安全取消分配的规则 ) 182

183 警报警报检测到侦察 : 计算机操作系统指纹探测检测到侦察 : 网络或端口扫描检测到侦察 :TCP Null 扫描检测到侦察 :TCP SYNFIN 扫描检测到侦察 :TCP Xmas 扫描中继更新服务不可用恶意软件预设扫描已丢失发送策略不成功云安全智能防护服务器连接不成功找不到软件包可供导入的软件更新无法进行通无法升级客户端软件建议升级亚安全服务器深度安全防护系统管理中心软件 ( 安全更新不兼容 ) 建议升级过滤器驱动程序 ( 推出了新版本 ) 用户已被锁定用户密码即将过期虚拟设备与过滤器驱动程序不兼容虚拟机接口不同步虚拟机已移动至未受保护的 ESXi Server 虚拟机在移动到其他 ESXi 之后不受保护 VMware 工具未安装 Web 誉事件警报缺省严重性警告警告警告警告警告严重警告严重警告严重警告严重警告警告警告警告警告警告警告警告警告严重警告可解除是是是是是否否描述客户端 / 设备检测到通过指纹探测来识别计算机操作系统的尝试此类活动通常是以特定漏洞为目标的攻击的先行试探活动请检查计算机事件, 以查看此探测的详细客户端 / 设备检测到网络或端口扫描特有的网络活动此类活动通常是以特定漏洞为目标的攻击的先行试探活动请检查计算机事件, 以查看此扫描的详细客户端 / 设备检测到 TCP "Null" 扫描此类活动通常是以特定漏洞为目标的攻击的先行试探活动请检查计算机事件, 以查看此扫描的详细客户端 / 设备检测到 TCP "SYNFIN" 扫描此类活动通常是以特定漏洞为目标的攻击的先行试探活动请检查计算机事件, 以查看此扫描的详细客户端 / 设备检测到 TCP "Xmas" 扫描此类活动通常是以特定漏洞为目标的攻击的先行试探活动请检查计算机事件, 以查看此扫描的详细如果中继本身正在从更新服务器 ( 或从其他中继组 ) 下载安全更新, 则该中继的更新服务将不可用如果该情况持续存在, 请尝试使用下载安全更新选项在中继上手动启动更新如果更新服务器不可用或更新软件包已损坏, 则中继将无法成功检索安全更新恶意软件预设扫描任务在已有未决扫描任务的计算机上启动这可能表示扫描频率过高请考虑降低扫描频率, 或者在每个预设扫描作业期间选择更少的计算机进行扫描否无法发送策略可能表示客户端 / 设备存在问题请检查受影响的计算机是无法连接到云安全智能防护服务器这可能是由于配置问题或网络连接所导致否需要客户端软件包才能对一个或多个虚拟设备进行正确操作请为每台设备导入正确版本的 Red Hat Enterprise Linux 6(64 位 ) 客户端软件包如果所需版本不可用, 请导入最新软件包并将设备升级到匹配版本否推出了新软件要将新软件导入亚安全服务器深度安全防护系统, 请转至管理 > 更新 > 软件 > 下载专区否亚安全服务器深度安全防护系统管理中心无法在配置的期间内查询客户端 / 设备的状态请检查您的网络配置和受影响计算机的连接是亚安全服务器深度安全防护系统管理中心无法在此计算机上升级客户端软件否否亚安全服务器深度安全防护系统管理中心检测到有一台计算机使用的安全更新与亚安全服务器深度安全防护系统管理中心的当前版本不兼容建议升级亚安全服务器深度安全防护系统管理中心软件亚安全服务器深度安全防护系统管理中心检测到一台或多台 ESXi Server 具有与最新可用版本不匹配的过滤器驱动程序版本建议升级过滤器驱动程序否如果用户密码过期, 或者这些密码已导入但尚未解锁, 可以通过重复进行不正确的登录尝试来手动锁定用户否密码期限设置已启用, 有一个或多个用户的密码将在 7 天内过期否设备与过滤器驱动程序不兼容请确保这两者已同时升级到最新版本否亚安全服务器深度安全防护系统虚拟设备监控的一个或多个虚拟机报告其接口与过滤器驱动程序不同步这意味着设备可能未正确监控虚拟机的接口虚拟机可能需要手动干预 ( 例如, 配置更改或重新启动 ) 来纠正此问题是虚拟机已移动至不含有已激活亚安全服务器深度安全防护系统虚拟设备的 ESXi Server 中是受设备保护的虚拟机在其移动至另一个 ESXi 期间或之后不再受保护这可能是由于在移动期间设备重新引导或断电, 或者可能表示出现配置问题应该在解除警报之前调查问题产生的原因是 NSX 环境中受保护的虚拟机未安装 VMware 工具需要 VMware 工具才能保护 NSX 环境中的虚拟机是一台或多台选定发出警报的计算机上遇到 Web 誉事件 183

184 事件列表事件列表客户端 / 设备事件 ( 第 207 页 ) 防恶意软件事件 ( 第 210 页 ) 防火墙事件 ( 第 213 页 ) 完整性监控事件 ( 第 216 页 ) 入侵防御事件 ( 第 211 页 ) 日志审查事件 ( 第 217 页 ) 系统事件 ( 第 185 页 ) 184

185 系统事件 ID ID 严重性事件事件注释注释 0 错误未知错误 100 已启动亚安全服务器深度安全防护系统管理中心 101 使用授权已更改 102 亚安全服务器深度安全防护系统客户帐户已更改 103 警告检查更新不成功 104 警告软件自动下载不成功 105 警告预设的规则更新下载和应用不成功 106 已下载并应用了预设的规则更新 107 已下载并应用规则更新 108 已执行脚本 109 错误脚本执行不成功 110 已导出系统事件 111 已导出防火墙事件 112 已导出入侵防御事件 113 警告预设的规则更新下载不成功 114 预设的规则更新已下载 115 已下载规则更新 116 已应用规则更新 117 已关闭亚安全服务器深度安全防护系统管理中心 118 警告亚安全服务器深度安全防护系统管理中心处于脱机状态 119 亚安全服务器深度安全防护系统管理中心已返回联机状态 120 错误波动号服务器不成功管理中心内侦听传入客户端波动号的服务器无法启动请检查管理中心的传入波动号端口 ( 默认为 4120) 是否未被管理中心服务器上的其他应用程序使用端口开放后, 管理中心应当与该端口绑定, 而此错误也会被修复 121 错误计划程序不成功 122 错误管理中心消线程不成功内部线程失败此错误目前没有解决方法如果问题仍然存在, 请联系客户支持人员 123 亚安全服务器深度安全防护系统管理中心被强行关闭亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 185

186 ID ID 严重性事件事件注释注释 124 已删除规则更新 130 已生成凭证 131 警告凭证生成不成功 140 查找计算机 141 警告查找计算机不成功 142 已请求查找计算机 143 已取消查找计算机 150 已保存系统设置 151 已添加软件 152 已删除软件 153 已更新软件 154 已导出软件 155 已更改软件平台 160 认证不成功 161 已导出规则更新 162 已导出日志审查事件 163 已导出防恶意软件事件 164 安全更新成功 165 错误安全更新不成功 166 已成功检查新软件 167 错误检查新软件不成功 168 手动安全更新成功 169 错误手动安全更新不成功 170 错误管理中心可用磁盘空间太低管理中心已确定没有足够的可用磁盘空间而无法继续工作, 即将关闭发生此错误时, 管理中心将关闭解决方法是释放磁盘空间并重新启动管理中心 171 已导出防恶意软件间谍软件项 172 已导出 Web 誉事件 173 已导出防恶意软件隔离文件 180 已更新警报类型亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 186

187 系统事件 ID 严重性警告错误警告错误事件警报已开始警报已更改警报已结束已发送警报电子邮件警报电子邮件发送不成功警报处理不成功软件更新 : 已请求禁用中继软件更新 : 已请求启用中继已创建计算机已删除计算机已更新计算机策略已分配给计算机已移动计算机已请求激活已请求发送策略已锁定已解锁已请求停用扫描打开的端口扫描打开的端口不成功已请求扫描打开的端口已取消扫描打开的端口已请求客户端软件升级已取消客户端软件升级已清除警告 / 错误已请求检查状态已请求获取事件计算机创建不成功注释发出了已配置向一个或多个用户生成电子邮件通知但电子邮件无法发送的警报请确保 SMTP 设置配置无误请查看管理 > 系统设置 > SMTP 处理警报不成功这可能意味着当前警报状态不准确此错误目前没有解决方法如果问题仍然存在, 请联系客户支持人员 187

188 系统事件 ID 严重性警告事件客户端软件升级超时设备软件升级超时安全更新 : 已请求安全更新检查和下载安全更新 : 安全更新还原已请求重复的计算机更新 : 摘要已导出计算机已导入计算机已导出计算机日志中继组已分配给计算机已添加组已移除组已更新组已更名接口已更名计算机网桥已删除接口已删除接口 IP 已请求漏洞扫描 ( 推荐设置 ) 已清除建议资产值已分配给计算机漏洞扫描 ( 推荐设置 ) 已完成已请求客户端软件部署已请求客户端软件移除已更名计算机已请求扫描完整性已请求重新生成基线已请求取消更新完整性监控规则编译问题注释 188

189 系统事件 ID 严重性错误错误事件已解决完整性监控规则编译问题已添加目录已移除目录已更新目录目录同步目录同步已完成目录同步不成功已请求目录同步已取消目录同步用户同步用户同步已完成用户同步不成功已请求用户同步已取消用户同步已创建 SSL 配置已删除 SSL 配置已更新 SSL 配置已创建策略已删除策略已更新策略已导出策略已导入策略漏洞扫描 ( 推荐设置 ) 已取消已添加 VMware vcenter 已移除 VMware vcenter 已更新 VMware vcenter VMware vcenter 同步 VMware vcenter 同步已完成注释用户列表与 Active Directory 的同步已启动用户列表与 Active Directory 的同步已完成 189

190 系统事件 ID 严重性错误警告警告警告警告错误警告警告警告错误错误错误事件 VMware vcenter 同步不成功已请求 VMware vcenter 同步已取消 VMware vcenter 同步接口不同步接口已同步过滤器驱动程序已安装过滤器驱动程序已移除已升级过滤器驱动程序已部署虚拟设备已升级虚拟设备虚拟设备升级不成功虚拟机已移动至未受保护的 ESXi 虚拟机已移动至受保护的 ESXi 虚拟机在移动到其他 ESXi 之后不受保护已解决虚拟机在移动到其他 ESXi 之后不受保护的问题过滤器驱动程序脱机过滤器驱动程序已返回联机状态已请求过滤器驱动程序升级已请求设备升级 ESXi 准备不成功过滤器驱动程序升级不成功从 ESXi 中移除过滤器驱动程序不成功连接到过滤器驱动程序不成功成功连接到过滤器驱动程序检测到多个已激活的设备已解决检测到的多个已激活设备网络设置与 vcenter 全局设置不同步网络设置与 vcenter 全局设置同步注释这表示设备报告的接口与 vcenter 报告的接口不同这通常可通过重新启动虚拟机解决 ESXi 已恢复到安装过滤器驱动程序软件之前的状态 VM 已移动到不受保护的 ESXi 给定 ESXi 上的过滤器驱动程序脱机请使用 VMware vcenter 控制台解决虚拟机监控程序和 / 或 ESXi 的问题 190

191 ID ID 严重性事件事件注释注释 393 错误防恶意软件引擎脱机防恶意软件引擎脱机, 且防恶意软件防护模块未正确工作这可能是由于 VMware 环境不符合安装指南中指定的要求 394 防恶意软件引擎已返回联机状态 395 错误虚拟设备与过滤器驱动程序不兼容 396 已解决虚拟设备与过滤器驱动程序不兼容的问题 397 警告 VMware NSX 回调认证不成功 398 错误 VMware 工具未安装 399 已解决 VMware 工具未安装的问题 410 已创建防火墙规则 411 已删除防火墙规则 412 已更新防火墙规则 413 已导出防火墙规则 414 已导入防火墙规则 420 已创建防火墙状态配置 421 已删除防火墙状态配置 422 已更新防火墙状态配置 423 已导出防火墙状态配置 424 已导入防火墙状态配置 460 已创建应用程序类型 461 已删除应用程序类型 462 已更新应用程序类型 463 已导出应用程序类型 464 已导入应用程序类型 470 已创建入侵防御规则 471 已删除入侵防御规则 472 已更新入侵防御规则 473 已导出入侵防御规则 474 已导入入侵防御规则 480 已创建完整性监控规则亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 191

192 ID ID 严重性事件事件注释注释 481 已删除完整性监控规则 482 已更新完整性监控规则 483 已导出完整性监控规则 484 已导入完整性监控规则 490 已创建日志审查规则 491 已删除日志审查规则 492 已更新日志审查规则 493 已导出日志审查规则 494 已导入日志审查规则 495 已创建日志审查解码器 496 已删除日志审查解码器 497 已更新日志审查解码器 498 已导出日志审查解码器 499 已导入日志审查解码器 505 已创建上下文 506 已删除上下文 507 已更新上下文 508 已导出上下文 509 已导入上下文 510 已创建 IP 列表 511 已删除 IP 列表 512 已更新 IP 列表 513 已导出 IP 列表 514 已导入 IP 列表 520 已创建端口列表 521 已删除端口列表 522 已更新端口列表 523 已导出端口列表亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 192

193 系统事件 ID 严重性错误警告警告事件已导入端口列表已创建扫描缓存配置已导出扫描缓存配置已创建 MAC 列表已删除 MAC 列表已更新 MAC 列表已导出 MAC 列表已导入 MAC 列表已创建代理服务器已删除代理服务器已更新代理服务器已导出代理服务器已导入代理服务器已创建时间表已删除时间表已更新时间表已导出时间表已导入时间表已创建预设任务已删除预设任务已更新预设任务已手动执行预设任务已启动预设任务备份已完成备份不成功正在发送未决警报摘要发送未决警报摘要不成功注释电子邮件发送不成功无法发送电子邮件通知请确保 SMTP 设置配置无误 ( 管理 > 系统设置 > SMTP ) 193

194 ID ID 严重性事件事件注释注释 570 正在发送报告 571 警告发送报告不成功 572 错误报告 Jar 无效 573 已创建资产值 574 已删除资产值 575 已更新资产值 576 错误报告卸载不成功 577 错误已卸载报告 580 警告应用程序类型端口列表配置不正确 581 警告已解决应用程序类型端口列表配置不正确的问题 582 警告入侵防御规则需要配置 583 已解决入侵防御规则需要配置的问题 584 警告完整性监控规则需要配置 585 已解决完整性监控规则需要配置的问题 586 警告日志审查规则需要配置 587 已解决日志审查规则需要配置的问题 588 警告日志审查规则需要日志文件 589 已解决日志审查规则需要日志文件的问题 590 警告预设任务未知类型 591 已创建中继组 592 已更新中继组 593 已删除中继组 594 已创建基于事件的任务 595 已删除基于事件的任务 596 已更新基于事件的任务 597 已触发基于事件的任务 600 用户已登录 601 用户已注销亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 194

195 ID ID 严重性事件事件注释注释 602 用户已超时 603 用户已被锁定 604 用户已被解锁 608 错误用户会话验证不成功管理中心无法确认用户会话是否为由成功的用户登录 / 认证发起的会话管理中心会将该用户返回至登录页面用户将被迫重新进行认证 609 错误用户进行了无效的请求管理中心收到访问审核数据的无效请求 ( 事件 ) 已拒绝访问审核数据 610 已验证用户会话 611 用户已查看防火墙事件 613 用户已查看入侵防御事件 615 用户已查看系统事件 616 用户已查看完整性监控事件 617 用户已查看日志审查事件 618 用户已查看隔离的文件详细 619 用户已查看防恶意软件事件 620 用户已查看 Web 誉事件 621 用户以租户的身份登录 622 已启用从主租户访问 623 已禁用从主租户访问 624 已允许从主租户访问 625 从主租户访问已吊销 626 从主租户访问已过期 650 已创建用户 651 已删除用户 652 已更新用户 653 已设置用户密码 660 已创建角色 661 已删除角色 662 已更新角色 663 已导入角色亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 195

196 系统事件 ID 严重性错误错误错误警告错误错误错误错误警告警告警告警告事件已导出角色已创建联系人已删除联系人已更新联系人已安装客户端软件客户端软件安装不成功已生成凭证凭证生成不成功已激活激活不成功软件更新 : 已升级客户端软件软件更新 : 客户端软件升级不成功已停用停用不成功已检索事件已部署客户端软件客户端软件部署不成功已移除客户端软件客户端软件移除不成功已更改客户端 / 设备版本策略已发送发送策略不成功获取接口不成功已解决获取接口不成功的问题客户端 / 设备 (DSA/DSVA) 的磁盘空间不足已抑制事件获取客户端 / 设备事件不成功已解决获取客户端 / 设备事件不成功的问题注释客户端 / 设备已更新客户端报告磁盘空间不足请释放客户端主机上的磁盘空间管理中心无法从客户端 / 设备检索事件此错误并不意味着客户端 / 设备上丢失了数据发生此错误的原因一般是传输事件时网络出现中断清除此错误并运行检查状态重试操作 196

197 系统事件 ID 严重性错误错误错误警告警告错误错误错误警告警告警告错误警告警告警告警告警告警告事件获取事件不成功已解决获取事件不成功的问题脱机返回联机状态防火墙引擎脱机防火墙引擎已返回联机状态计算机时钟更改已检测到配置不正确已解决检查状态不成功的问题检查状态不成功入侵防御引擎脱机入侵防御引擎已返回联机状态客户端 / 设备错误检测到异常的重新启动通问题通问题已解决已截短事件日志审查引擎脱机日志审查引擎已返回联机状态最后一次自动重试已解决亚安全服务器深度安全防护系统管理中心版本不兼容的问题建议升级亚安全服务器深度安全防护系统管理中心 ( 安全更新不兼容 ) 客户端 / 设备版本兼容性问题已解决建议升级客户端 / 设备要求升级客户端 / 设备客户端 / 设备版本不兼容建议升级客户端 / 设备 ( 安全更新不兼容 ) 注释管理中心无法从客户端 / 设备检索审计数据此错误并不意味着客户端 / 设备上丢失了数据发生此错误的原因一般是传输事件时网络出现中断清除此错误并运行立即获取事件重试操作管理中心无法与计算机通此错误并不意味着客户端 / 设备所提供的保护处于非活动状态有关更多, 请参阅计算机和客户端 / 设备状态防火墙引擎已脱机且流量的流动未过滤这通常是由于在计算机操作系统平台上安装或验证驱动程序过程中出现错误请检查计算机网络驱动程序的状态以确保其已正确加载计算机上的时钟更改超过了策略 / 计算机编辑器 > 设置 > 计算机 > 波动号区域中指定的最大允许值调查导致计算机上时钟更改的原因客户端的配置与管理中心记录中的配置不匹配这通常是因为近期对管理中心或客户端执行了备份恢复操作应当对意外的配置不正确警告进行调查入侵防御引擎已脱机且流量的流动未过滤这通常是由于在计算机操作系统平台上安装或验证驱动程序过程中出现错误请检查计算机网络驱动程序的状态以确保其已正确加载客户端将其状态传送给管理中心时出现问题这通常表明从客户端到管理中心的方向存在网络或负载拥塞如果该情况持续存在, 则应当进一步调查 197

198 系统事件 ID 严重性警告警告警告警告警告警告警告警告警告警告警告警告警告警告警告警告警告警告事件要求重新启动计算机网络引擎模式配置不兼容网络引擎模式版本不兼容已解决网络引擎模式不兼容的问题已拒绝客户端 / 设备波动号通过无法识别的客户端联系已解决漏洞扫描 ( 推荐设置 ) 不成功的问题漏洞扫描 ( 推荐设置 ) 不成功已解决重新生成基线不成功的问题重新生成基线不成功安全更新 : 安全更新检查和下载成功安全更新 : 安全更新检查和下载不成功已解决扫描更改不成功的问题扫描更改不成功已请求客户端启动的激活客户端启动的激活不成功已解决恶意软件手动扫描不成功的问题恶意软件手动扫描不成功已解决恶意软件预设扫描不成功的问题恶意软件预设扫描不成功已丢失恶意软件预设扫描任务已解决取消恶意软件扫描不成功的问题取消恶意软件扫描不成功恶意软件扫描已停止已解除警报已消除错误检测到侦察 : 计算机操作系统指纹探测检测到侦察 : 网络或端口扫描注释恶意软件扫描不成功请使用 VMware vcenter 控制台检查在其上扫描未成功的 VM 的状态恶意软件预设扫描不成功请使用 VMware vcenter 控制台检查在其上扫描未成功的 VM 的状态当恶意软件预设扫描在前一次扫描仍然未决的计算机上启动时会出现此情况这通常表示恶意软件扫描预设过于频繁取消恶意软件扫描不成功请使用 VMware vcenter 控制台检查在其上扫描未成功的 VM 的状态恶意软件扫描已停止请使用 VMware vcenter 控制台检查停止扫描的 VM 的状态 198

199 系统事件 ID 严重性警告警告警告警告错误错误警告警告警告警告事件检测到侦察 :TCP Null 扫描检测到侦察 :TCP SYNFIN 扫描检测到侦察 :TCP Xmas 扫描已启动亚安全服务器深度安全防护系统管理中心审计已关闭亚安全服务器深度安全防护系统管理中心审计已安装亚安全服务器深度安全防护系统管理中心使用授权相关配置更改已生成诊断数据包已导出诊断数据包已上传诊断数据包自动诊断数据包错误已成功删除隔离文件删除隔离文件不成功已成功下载隔离文件下载隔离文件不成功已成功下载隔离文件管理工具找不到隔离文件已生成使用已导出使用数据包已上传使用数据包使用数据包错误防恶意软件隔离不成功 ( 已超出 VM 限制 ) 防恶意软件隔离不成功 ( 已超出隔离限制 ) 已断开与用于云安全扫描的云安全智能防护服务器的连接已连接到用于云安全扫描的云安全智能防护服务器恢复隔离文件成功恢复隔离文件不成功已接受证书注释无法隔离受感染文件已超过虚拟设备上为存储此 VM 的隔离文件而分配的最大空间无法隔离受感染文件已超过虚拟设备上为存储所有隔离文件而分配的最大空间 199

200 系统事件 ID 严重性警告错误警告错误错误错误错 1101 误 1102 错 1103 误 1104 错 1105 误错 1106 误事件已删除证书已断开与用于 Web 誉的云安全智能防护服务器的连接已连接到用于 Web 誉的云安全智能防护服务器软件更新 : 防恶意软件 Windows 平台更新成功软件更新 : 防恶意软件 Windows 平台更新不成功已创建自动标记规则已删除自动标记规则已更新自动标记规则已删除标记已创建标记已启动命令行工具命令行工具不成功命令行工具已关闭已导出系统已添加管理中心节点已取消配置管理中心节点已更新管理中心节点已恢复与安全软件认证服务的连接无法连接到安全软件认证服务标记错误系统事件通知错误软件内部错误插件安装不成功已安装插件插件升级不成功已升级插件插件启动不成功插件卸载不成功注释 200

201 ID ID 严重性事件事件注释注释 1107 已卸载插件 1108 已启动插件 1109 已停止插件 1110 错误找不到软件包 1111 已找到软件包 1500 已创建恶意软件扫描配置 1501 已删除恶意软件扫描配置 1502 已更新恶意软件扫描配置 1503 已导出恶意软件扫描配置 1504 已导入恶意软件扫描配置 1505 已创建目录列表 1506 已删除目录列表 1507 已更新目录列表 1508 已导出目录列表 1509 已导入目录列表 1510 已创建文件扩展名列表 1511 已删除文件扩展名列表 1512 已更新文件扩展名列表 1513 已导出文件扩展名列表 1514 已导入文件扩展名列表 1515 已创建文件列表 1516 已删除文件列表 1517 已更新文件列表 1518 已导出文件列表 1519 已导入文件列表 1520 恶意软件手动扫描未决 1521 恶意软件手动扫描已启动 1522 恶意软件手动扫描已完成亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 201

202 ID ID 严重性事件事件注释注释 1523 恶意软件预设扫描已启动 1524 恶意软件预设扫描已完成 1525 取消恶意软件手动扫描正在进行中 1526 取消恶意软件手动扫描已完成 1527 取消恶意软件预设扫描正在进行中 1528 取消恶意软件预设扫描已完成 1529 恶意软件手动扫描已暂停 1530 恶意软件手动扫描已恢复 1531 恶意软件预设扫描已暂停 1532 恶意软件预设扫描已恢复 1533 防恶意软件清理任务需要重新启动计算机 1534 防恶意软件保护需要重新启动计算机 1536 恶意软件快速扫描未决 1537 恶意软件快速扫描已启动 1538 恶意软件快速扫描已完成 1539 取消恶意软件快速扫描正在进行中 1540 取消恶意软件快速扫描已完成 1541 恶意软件快速扫描已暂停 1542 已解决恶意软件快速扫描不成功的问题 1543 警告恶意软件快速扫描不成功 1544 恶意软件快速扫描已恢复 1545 无法扫描文件以查找恶意软件 1550 已更新 Web 誉设置 1551 已更新恶意软件扫描配置 1552 已更新完整性配置 1553 日志审查配置已更新 1554 已更新防火墙状态配置 1555 已更新入侵防御配置亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 202

203 ID ID 严重性事件事件注释注释 1600 已请求中继组更新 1601 中继组更新成功 1602 错误中继组更新不成功 1603 安全更新 : 安全更新还原成功 1604 警告安全更新 : 安全更新还原不成功 1650 警告防恶意软件保护不存在或已过期 1651 防恶意软件模块准备就绪 1660 已启动重新生成基线 1661 已暂停重新生成基线 1662 已恢复重新生成基线 1663 警告重新生成基线不成功 1664 警告已停止重新生成基线 1665 已完成重新生成基线 1666 已启动扫描完整性 1667 已暂停扫描完整性 1668 已请求扫描完整性 1669 警告扫描完整性不成功 1670 警告已停止扫描完整性 1671 已完成扫描完整性 1675 错误完整性监控引擎脱机 1676 完整性监控引擎已返回联机状态 1677 错误可平台模块错误 1678 已加载可平台模块注册值 1679 警告已更改可平台模块注册值 1680 已禁用可平台模块检查 1681 可平台模块不可靠 1700 未检测到客户端 1800 错误亚安全服务器深度安全防护系统防护模块故障亚安全服务器深度安全防护系统 9.6 管理员指南系统事件 203

204 系统事件 ID 严重性错 1905 误错 1957 误警 2202 告警 2205 告警 2302 告事件已添加云帐户已移除云帐户已更新云帐户云帐户同步正在进行中云帐户同步已完成云帐户同步不成功云帐户同步已请求云帐户同步已取消已创建租户已删除租户已更新租户已创建租户数据库服务器已删除租户数据库服务器已更新租户数据库服务器租户初始化失败已更新租户功能扫描缓存配置对象已添加扫描缓存配置对象已移除扫描缓存配置对象已更新软件更新 : 防恶意软件模块安装已开始软件更新 : 防恶意软件模块安装成功软件更新 : 防恶意软件模块安装不成功软件更新 : 防恶意软件模块下载成功安全更新 : 客户端 / 设备上的特征码更新成功安全更新 : 客户端 / 设备上的特征码更新不成功软件更新 :Web 誉模块安装已开始软件更新 :Web 誉模块安装成功软件更新 :Web 誉模块安装不成功注释 204

205 系统事件 ID 严重性警 2402 告警 2502 告警 2602 告警 2702 告错 2801 误错 2802 误警 2902 告 2903 事件软件更新 :Web 誉下载成功软件更新 : 防火墙模块安装已开始软件更新 : 防火墙模块安装成功软件更新 : 防火墙模块安装不成功软件更新 : 防火墙模块下载成功软件更新 : 入侵防御模块开始安装软件更新 : 入侵防御模块安装成功软件更新 : 入侵防御模块安装不成功软件更新 : 入侵防御模块下载成功软件更新 : 完整性监控模块安装已开始软件更新 : 完整性监控模块安装成功软件更新 : 完整性监控模块安装不成功软件更新 : 完整性监控模块下载成功软件更新 : 日志审查模块安装已开始软件更新 : 日志审查模块安装成功软件更新 : 日志审查模块安装不成功软件更新 : 日志审查模块下载成功软件更新 : 软件已自动下载软件更新 : 无法检索下载专区清单软件更新 : 无法从下载专区下载软件联机帮助更新已开始联机帮助更新已结束联机帮助更新成功联机帮助更新不成功软件更新 : 中继模块安装已开始软件更新 : 中继模块安装成功软件更新 : 中继模块安装不成功软件更新 : 中继模块下载成功注释 205

206 系统事件 ID 严重性 2904 错 2905 误错 3002 误错 3005 误事件 VMware NSX 同步已完成 VMware NSX 同步不成功软件更新 :SAP 模块安装已开始软件更新 :SAP 模块安装成功软件更新 :SAP 模块安装不成功软件更新 :SAP 模块下载成功 SAP VSA 已安装 SAP VSA 未安装 SAP VSA 是最新的 SAP VSA 不是最新的 SAP VSA 通通道已就绪 SAP VSA 通通道未就绪注释 206

207 客户端事件客户端事件 ID 特殊事件严重性事件 0 错误客户端 / 设备事件未知驱动程序相关事件 1000 错误无法打开引擎 1001 错误引擎命令不成功 1002 警告引擎列表对象错误 1003 警告移除对象不成功 1004 警告引擎返回了错误的规则数据 1005 警告正在升级驱动程序 1006 警告驱动程序升级需要重新启动 1007 警告驱动程序升级成功 1008 错误不支持的内核配置相关事件 2000 策略已发送 2001 警告防火墙规则分配无效 2002 警告防火墙状态配置无效 2003 错误保存安全配置不成功 2004 警告接口分配无效 2005 警告接口分配无效 2006 警告操作无效 2007 警告数据包流向无效 2008 警告规则优先级无效 2009 警告 IP 格式无法识别 2010 警告源 IP 列表无效 2011 警告源端口列表无效 2012 警告目标 IP 列表无效 2013 警告目标端口列表无效 2014 警告时间表无效 2015 警告源 MAC 列表无效 2016 警告目标 MAC 列表无效 2017 警告时间表长度无效 2018 警告时间表字符串无效 2019 警告 IP 格式无法识别 2020 警告找不到对象 2021 警告找不到对象 2022 警告规则分配无效 2050 警告找不到防火墙规则 2075 警告找不到网络通流 2076 警告找不到入侵防御规则 2077 警告找不到特征码列表 2078 警告入侵防御规则转换错误 2080 警告找不到条件防火墙规则 2081 警告找不到条件入侵防御规则 2082 警告入侵防御规则为空 2083 警告入侵防御规则的 XML 规则转换错误 2085 错误安全配置错误 2086 警告 IP 匹配类型不受支持 2087 警告 MAC 匹配类型不受支持 2088 警告 SSL 凭证无效 2089 警告缺少 SSL 凭证硬件相关事件注释 207

208 客户端事件 ID 严重性事件 3000 警告 MAC 地址无效 3001 警告获取事件数据不成功 3002 警告接口太多 3003 错误无法运行外部命令 3004 错误无法读取外部命令输出 3005 错误操作系统调用错误 3006 错误操作系统调用错误 3007 错误文件错误 3008 错误特定于计算机的密钥错误 3009 错误异常的客户端 / 设备已关闭 3010 错误客户端 / 设备数据库错误注释 3300 警告获取事件数据不成功 Linux 错误 3302 警告获取安全配置不成功 Linux 错误 3303 错误文件映射错误 Linux 错误文件类型错误 3600 错误获取 Windows 系统目录不成功 3601 警告读取本地数据错误 Windows 错误 3602 警告 Windows 服务错误 Windows 错误 3603 错误文件映射错误 Windows 错误文件大小错误 3700 警告检测到异常的重新启动 Windows 错误 3701 系统上次启动时间更改 Windows 错误通相关事件 4000 警告协议标头无效内容长度超出范围 4001 警告协议标头无效内容长度丢失 4002 已启动命令会话 4003 已启动配置会话 4004 已收到命令 4011 警告无法联系管理中心 4012 警告波动号不成功客户端相关事件 5000 已启动客户端 / 设备 5001 错误线程异常 5002 错误操作已超时 5003 已停止客户端 / 设备 5004 警告时钟已被更改 5005 已启动客户端 / 设备审计 5006 已停止客户端 / 设备审计 5007 设备保护更改 5008 警告过滤器驱动程序连接不成功 5009 过滤器驱动程序连接成功 5010 警告过滤器驱动程序事件 5100 已启动防护模块部署 5101 防护模块部署成功 5102 错误防护模块部署不成功 5103 防护模块下载成功 5104 已启动防护模块禁用 5105 防护模块禁用成功 5106 错误防护模块禁用不成功日志记录相关事件 6000 日志设备打开错误 6001 日志文件打开错误 6002 日志文件写入错误 6003 日志目录创建错误 6004 日志文件查询错误 6005 日志目录打开错误 6006 日志文件删除错误 6007 日志文件更名错误 208

209 客户端事件 ID 严重性事件 6008 日志读取错误 6009 警告由于空间不足, 已删除日志文件 6010 警告事件已被抑制 6011 警告已截短事件 6012 错误客户端 / 设备 (DSA/DSVA) 的磁盘空间不足 6013 警告客户端配置数据包太大攻击 / 扫描 / 探测相关事件 7000 警告计算机操作系统指纹探测 7001 警告网络或端口扫描 7002 警告 TCP Null 扫描 7003 警告 TCP SYNFIN 扫描 7004 警告 TCP Xmas 扫描下载安全更新事件 9050 在客户端上更新防恶意软件组件成功 9051 错误在客户端上更新防恶意软件组件不成功 9100 安全更新成功 9101 错误安全更新不成功 9102 错误安全更新不成功已在错误消中记录特定中继事件 9103 已禁用中继 Web 服务器 9104 已启用中继 Web 服务器 9105 错误启用中继 Web 服务器不成功 9106 错误禁用中继 Web 服务器不成功 9107 错误中继 Web 服务器不成功 9108 无法连接到更新源 9109 错误组件更新不成功 9110 错误防恶意软件使用授权已过期 9111 安全更新还原成功 9112 错误安全更新还原不成功 9113 中继已复制所有软件包 9114 错误中继复制所有软件包不成功完整性扫描状态事件 9201 已启动完整性扫描 9203 完整性扫描异常终止 9204 完整性扫描已暂停 9205 已恢复完整性扫描 9208 警告无法启动完整性扫描 9209 警告已停止完整性扫描云安全智能防护服务器状态事件 9300 警告已断开与用于 Web 誉的云安全智能防护服务器的连接 9301 已连接到用于 Web 誉的云安全智能防护服务器注释 209

210 防恶意软件事件防恶意软件事件 ID 严重性事件 9001 防恶意软件扫描已启动 9002 防恶意软件扫描已完成 9003 防恶意软件扫描异常终止 9004 防恶意软件扫描已暂停 9005 防恶意软件扫描已恢复 9006 防恶意软件扫描已取消 9007 警告取消防恶意软件扫描不成功 9008 警告启动防恶意软件扫描不成功 9009 警告防恶意软件扫描已停止 9010 错误防恶意软件隔离不成功 ( 已超出 VM 限制 ) 9011 错误防恶意软件隔离不成功 ( 已超出设备限制 ) 9012 警告已断开与用于云安全扫描的云安全智能防护服务器的连接 9013 已连接到用于云安全扫描的云安全智能防护服务器 9014 警告防恶意软件保护需要重新启动计算机 9016 防恶意软件组件更新成功 9017 错误防恶意软件组件更新不成功 210

211 入侵防御事件入侵防御事件 ID 事件注释 200 区域太大区域 ( 编辑区域 URI 等 ) 超过允许的最大缓存大小 (7570 字节 ) 而没有被关闭这通常是由于数据未符合协议 201 内存不足无法正确处理数据包, 因为资源已耗尽这是因为过多并发连接同时需要缓存 ( 最大 2048) 或匹配资源 ( 最大 128), 或因为单个 IP 数据包中的匹配过多 ( 最大 2048), 或只是因为系统内存不足 202 已超过最大编辑量已超过数据包单个区域中的最大编辑数 (32) 203 编辑量太大编辑尝试将区域大小增加至超过允许的最大大小 (8188 字节 ) 超过数据包中的最 204 大匹配数 205 引擎调用堆栈太深 206 运行时错误运行时错误数据包中有超过 2048 个位置出现特征码匹配将返回此限制的错误并将断开连接, 因为这通常表示这是垃圾或规避数据包 207 数据包读取错误读取数据包数据时的低级问题 300 不支持的密码已请求未知或不支持的密码组合 301 生成主密钥时出错无法从主密钥中推导出加密密钥 Mac 密钥和初始化向量记录层消 ( 未就 302 绪 ) 握手消 ( 未就 303 绪 ) SSL 状态引擎在会话初始化之前已遇到 SSL 记录 SSL 状态引擎在已协商握手之后已遇到握手消 304 无序握手消格式良好的握手消已遇到乱序 305 内存分配错误无法正确处理数据包, 因为资源已耗尽这是因为过多并发连接同时需要缓存 ( 最大 2048) 或匹配资源 ( 最大 128), 或因为单个 IP 数据包中的匹配过多 ( 最大 2048), 或只是因为系统内存不足 306 不支持的 SSL 版本客户端尝试协商 SSL V2 会话解密预主密钥时出 307 错无法从 ClientKeyExchange 消解开预主密钥 308 客户端已尝试还原客户端尝试回滚至比 ClientHello 消中所指定更早的 SSL 协议版本 309 续订错误已使用无法定位的缓存会话密钥请求 SSL 会话 310 密钥交换错误服务器正在尝试使用临时生成的密钥建立 SSL 会话生成预主请求时出 311 错尝试对预主密钥进行排队以解密时出现错误 312 密钥太大主密钥大于协议标识符所指定的大小 313 握手中的参数无效尝试解码握手协议时遇到无效或不合理的值 314 超出可用会话数 315 压缩方法不受支持应用程序层协议不 316 受支持已超过 URI 路径深 500 度请求的 SSL 应用程序层协议未知或不受支持 / 分隔符过多最大路径深度 : 遍历无效已尝试在 root 上使用../ 502 URI 中的字符非法 URI 中使用了非法字符 503 UTF8 序列不完整 URI 在 UTF8 序列中间结束 504 UTF8 编码无效无效 / 非规范的编码尝试 505 十六进制编码无效 %nn, 其中 nn 不是十六进制数字 506 URI 路径长度太大路径长度大于 512 个字符 507 字符使用无效使用了已禁用的字符 508 利用了双重解码尝试利用双重解码 (%25xx %25%xxd 等 ) 700 Base64 内容无效预期以 Base64 格式编码的数据包内容未正确编码压缩 /GZIP 内容已 710 损坏压缩 /GZIP 内容不 711 完整压缩 /GZIP 校验和 712 错误不支持的压缩 /GZIP 713 词典预期以 Base64 格式编码的数据包内容未正确编码压缩 /GZIP 内容不完整压缩 /GZIP 校验和错误不支持的压缩 /GZIP 词典 211

212 入侵防御事件 ID 事件不支持的 GZIP 标 714 头格式 / 方法已超过协议解码搜 801 索限制注释不支持的 GZIP 标头格式 / 方法协议解码规则定义了搜索或 pdu 对象的限制, 但达到限制前未找到对象 802 协议解码约束错误协议解码规则已解码不符合协议内容约束的数据协议解码引擎内部 803 错误 804 协议解码结构太深协议解码规则已遇到导致超过最大类型嵌套深度 (16) 的类型定义和数据包内容 805 协议解码堆栈错误规则编程错误尝试引起递归或用于多嵌套过程调用 806 无限数据循环错误 212

213 防火墙事件防火墙事件 ID 事件注释 100 连接断开已收到未与现有连接关联的数据包 101 标志无效数据包中设置的标志无效这可能是由于标志在当前连接 ( 若有 ) 上下文中无意义, 或由于标志的无意义组合 ( 待评估的连接上下文的防火墙状态配置必须打开 ) 102 序列无效遇到具有无效序列号或数据大小过大的数据包 103 ACK 无效遇到具有无效确认号的数据包 104 内部错误 105 CE 标志已设置 CWR 或 ECE 标志, 且防火墙状态配置指定了应拒绝这些数据包 106 IP 无效数据包的源 IP 无效 107 IP 数据报长度无效 IP 数据报的长度小于 IP 标头中指定的长度 108 片段化已遇到片段数据包, 且已启用不允许拒绝片段数据包 109 片段偏移量无效 110 第一个片段太小已遇到片段数据包, 片段大小小于 TCP 数据包 ( 无数据 ) 的大小 111 片段超出界限片段数据包序列中指定的偏移量处于数据报最大大小的范围外 112 片段偏移量太小已遇到片段数据包, 片段大小小于 TCP 数据包 ( 无数据 ) 的大小 113 IPv6 数据包已遇到 IPv6 数据包, 且已启用 IPv6 阻止 114 最大传入连接数传入连接数已超过允许的最大连接数 115 最大传出连接数传出连接数已超过允许的最大连接数 116 最大半开放连接数来自单台计算机的半开放连接数已超过防火墙状态配置中指定的数量 117 试用版已到期 118 IP 标头长度无效 119 数据包无效 120 内部引擎错误资源不足 121 未经请求的 UDP 已拒绝未由计算机请求的传入 UDP 数据包 122 未经请求的 ICMP 已 ( 在防火墙状态配置中 ) 启用 ICMP 状态, 且已收到未匹配任何强制允许规则的未经请求数据包 123 不允许的策略数据包未匹配任何允许或强制允许规则, 因此已隐式拒绝 124 端口命令无效已在 FTP 控制通道数据流中遇到无效 FTP 端口命令 125 SYN Cookie 错误 SYN cookie 保护机制已遇到错误 126 数据偏移量无效数据偏移量参数无效 127 无 IP 标头不可读的以太网标 128 头 129 未定义源 IP 和目标 IP 130 相同 131 TCP 标头长度无效此以太网帧中包含的数据小于以太网标头源 IP 和目标 IP 相同 132 不可读的协议标头数据包包含不可读的 TCP UDP 或 ICMP 标头不可读的 IPv4 标 133 头数据包包含不可读的 IPv4 标头 134 未知 IP 版本 IP 版本无法识别 135 适配器配置无效已收到无效的适配器配置 136 重叠片段此数据包片段重叠了之前发送的片段最大 ACK 重新传送 137 量已关闭的连接上的 138 数据包此重新传送的 ACK 数据包超过了 ACK 风暴防护阈值已收到属于已关闭连接的数据包 139 丢弃的重新传送量丢弃的重新传送量不允许的策略 ( 打 141 开的端口 ) 142 新建连接 143 校验和无效 144 使用的 hook 无效 213

214 防火墙事件 ID 事件 145 IP 零有效载荷 146 IPv6 源是多播 147 IPv6 地址无效 148 IPv6 片段太小 149 传输标头长度无效 150 驱动程序内存故障 151 最大 TCP 连接数 152 最大 UDP 连接数注释 200 区域太大区域 ( 编辑区域 URI 等 ) 超过允许的最大缓存大小 (7570 字节 ) 而没有被关闭这通常是由于数据未符合协议 201 内存不足无法正确处理数据包, 因为资源已耗尽这是因为过多并发连接同时需要缓存 ( 最大 2048) 或匹配资源 ( 最大 128), 或因为单个 IP 数据包中的匹配过多 ( 最大 2048), 或只是因为系统内存不足 202 已超过最大编辑量已超过数据包单个区域中的最大编辑数 (32) 203 编辑量太大编辑尝试将区域大小增加至超过允许的最大大小 (8188 字节 ) 超过数据包中的最 204 大匹配数 205 引擎调用堆栈太深 206 运行时错误运行时错误数据包中有超过 2048 个位置出现特征码匹配将返回此限制的错误并将断开连接, 因为这通常表示这是垃圾或规避数据包 207 数据包读取错误读取数据包数据时的低级问题 300 不支持的密码已请求未知或不支持的密码组合 301 生成主密钥时出错无法从主密钥中推导出加密密钥 Mac 密钥和初始化向量记录层消 ( 未就 302 绪 ) 握手消 ( 未就 303 绪 ) SSL 状态引擎在会话初始化之前已遇到 SSL 记录 SSL 状态引擎在已协商握手之后已遇到握手消 304 无序握手消格式良好的握手消已遇到乱序 305 内存分配错误无法正确处理数据包, 因为资源已耗尽这是因为过多并发连接同时需要缓存 ( 最大 2048) 或匹配资源 ( 最大 128), 或因为单个 IP 数据包中的匹配过多 ( 最大 2048), 或只是因为系统内存不足 306 不支持的 SSL 版本客户端尝试协商 SSL V2 会话解密预主密钥时出 307 错无法从 ClientKeyExchange 消解开预主密钥 308 客户端已尝试还原客户端尝试回滚至比 ClientHello 消中所指定更早的 SSL 协议版本 309 续订错误已使用无法定位的缓存会话密钥请求 SSL 会话 310 密钥交换错误服务器正在尝试使用临时生成的密钥建立 SSL 会话生成预主请求时出 311 错尝试对预主密钥进行排队以解密时出现错误 312 密钥太大主密钥大于协议标识符所指定的大小 313 握手中的参数无效尝试解码握手协议时遇到无效或不合理的值 314 超出可用会话数 315 压缩方法不受支持应用程序层协议不 316 受支持已超过 URI 路径深 500 度请求的 SSL 应用程序层协议未知或不受支持 / 分隔符过多最大路径深度 : 遍历无效已尝试在 root 上使用../ 502 URI 中的字符非法 URI 中使用了非法字符 503 UTF8 序列不完整 URI 在 UTF8 序列中间结束 504 UTF8 编码无效无效 / 非规范的编码尝试 505 十六进制编码无效 %nn, 其中 nn 不是十六进制数字 506 URI 路径长度太大路径长度大于 512 个字符 507 字符使用无效使用了已禁用的字符 508 利用了双重解码尝试利用双重解码 (%25xx %25%xxd 等 ) 700 Base64 内容无效预期以 Base64 格式编码的数据包内容未正确编码压缩 /GZIP 内容已 710 损坏压缩 /GZIP 内容不 711 完整预期以 Base64 格式编码的数据包内容未正确编码压缩 /GZIP 内容不完整 214

215 防火墙事件 ID 事件压缩 /GZIP 校验和 712 错误不支持的压缩 /GZIP 713 词典不支持的 GZIP 标 714 头格式 / 方法已超过协议解码搜 801 索限制注释压缩 /GZIP 校验和错误不支持的压缩 /GZIP 词典不支持的 GZIP 标头格式 / 方法协议解码规则定义了搜索或 pdu 对象的限制, 但达到限制前未找到对象 802 协议解码约束错误协议解码规则已解码不符合协议内容约束的数据协议解码引擎内部 803 错误 804 协议解码结构太深协议解码规则已遇到导致超过最大类型嵌套深度 (16) 的类型定义和数据包内容 805 协议解码堆栈错误规则编程错误尝试引起递归或用于多嵌套过程调用 806 无限数据循环错误 215

216 完整性监控事件完整性监控事件 ID 严重性事件 8000 已创建完整基线 8001 已创建部分基线 8002 已完成更改扫描错完整性监控规则中存 8003 误在未知环境变量错完整性监控规则中存 8004 误在错误的基准错完整性监控规则中存 8005 误在未知实体错完整性监控规则中存 8006 误在不支持的实体错完整性监控规则中存 8007 误在未知功能错完整性监控规则中存 8008 误在不支持的功能错完整性监控规则中存 8009 误在未知属性错完整性监控规则中存 8010 误在不支持的属性错完整性监控规则的实 8011 误体集中存在未知属性错完整性监控规则中存 8012 误在未知注册表字符串使用了无效的错 8013 WQLSet 缺少命名空误间或 WQL 查询使用了无效的错 8014 WQLSet 使用了未知误的提供程序值警完整性监控规则不适 8015 告用警已检测到非最优的完 8016 告整性规则无法编译正则表达错 8050 式使用了无效通配误符注释当已请求客户端生成基线, 或者完整性监控规则的数量从 0 到 n( 将生成基线 ) 时创建此事件包含扫描时间 ( 毫秒 ) 和已编录实体数的相关当客户端的安全配置中有一个或多个完整性监控规则发生更改时创建此事件包含扫描时间 ( 毫秒 ) 和已编录实体数的相关当请求客户端执行完整或部分按需扫描时创建此事件包含扫描时间 ( 毫秒 ) 和已编录更改次数的相关 ( 正在进行的针对文件系统驱动程序或通知的更改扫描不会生成 8002 事件 ) 当规则使用 ${env.environmentvar} 且 "EnvironmentVar" 为未知环境变量时创建此事件包含出现该问题的完整性监控规则的 ID 名称以及未知环境变量的名称当规则包含的基本目录 / 密钥无效时创建例如, 指定包含基准 "c:\foo\d:\bar" 的 FileSet 将生成此事件, 或者产生错误值的环境变量替换会导致值无效此事件包含出现该问题的完整性监控规则的 ID 名称以及错误基准值当完整性监控规则中遇到未知实体集时创建此事件包含出现该问题的完整性监控规则的 ID 名称以及遇到的未知实体集名称列表 ( 以逗号分隔 ) 当完整性监控规则中遇到已知但不受支持的实体集时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称以及出现的不支持的实体集名称的逗号分隔列表某些实体集类型 ( 如 RegistryKeySet) 是特定于平台的当完整性监控规则中遇到未知功能时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称实体集类型 ( 例如 FileSet) 以及遇到的未知功能名称的逗号分隔列表有效的功能值示例包括 "wherebaseinotherset" "status" 和 "executable" 当完整性监控规则中遇到已知但不受支持的功能时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称实体集类型 ( 例如 FileSet) 以及遇到的但不受支持的功能名称的逗号分隔列表某些功能值 ( 例如用于 Windows 服务状态的 "status") 是特定于平台的当完整性监控规则中遇到未知属性时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称实体集类型 ( 例如 FileSet) 以及遇到的未知属性名称的逗号分隔列表有效的属性值示例包括 "created" "lastmodified" 和 "inodenumber" 当完整性监控规则中遇到已知但不受支持的属性时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称实体集类型 ( 例如 FileSet) 以及遇到的但不受支持的属性名称的逗号分隔列表某些属性值 ( 例如 "inodenumber") 是特定于平台的当完整性监控规则中遇到未知实体集 XML 属性时创建此事件包含有问题的完整性监控规则的 ID 完整性监控规则的名称实体集类型 ( 例如 FileSet) 以及遇到的未知实体集属性名称的逗号分隔列表如果您编写的是 <FileSet dir="c:\foo">, 而非 <FileSet base="c:\foo">, 将出现此事件当规则引用的注册表项不存在时创建此事件包含出现该问题的完整性监控规则的 ID 名称以及未知注册表字符串的名称表示 WQL 查询缺少命名空间, 因为完整性规则 XML 的格式不正确只有在包含使用和监控 WQL 查询的定制完整性规则的高级情形中才会出现可能由多种原因导致, 例如平台不匹配目标目录或文件不存在或者功能不受支持 216

217 日志审查事件日志审查事件 ID 严重性事件 8100 错误日志审查引擎错误 8101 警告日志审查引擎警告 8102 日志审查引擎已初始化注释 217

218 完整性监控规则语言完整性监控规则语言完整性监控规则语言是一种基于 XML 的声明性语言, 用于描述应该受亚安全服务器深度安全防护系统监控的系统组件和关联属性此语言还提供一种方法来指定一组数量较大的组件中应免于监控的组件创建新完整性监控规则的方式有两种 : 如果只是希望监控文件中是否发生未授权更改, 则可以使用基本规则模板有关使用基本规则模板的说明, 可以在完整性监控规则属性窗口的文档中找到如果要创建用来监控计算机上其他实体 ( 目录注册表值服务等 ) 的规则, 则必须使用完整性监控规则语言来编写规则 ( 要使用完整性监控规则语言创建新的完整性监控规则, 请转至策略 > 通用对象 > 规则 > 完整性监控规则 > 新建 > 新建完整性监控规则 > 内容并选择定制 (XML) ) 实体集完整性监控规则中包括的系统组件称为实体每种类型的组件便是一个实体类例如, 文件注册表项和进程分别是不同的实体类完整性监控规则语言为每种实体类提供一种标记, 用于描述该组实体 ( 实体集 ) 以下实体集实体集类型可用于规则中 : DirectorySet: 规则将扫描目录的完整性 FileSet: 规则将扫描文件的完整性 GroupSet: 规则将扫描组的完整性 InstalledSoftwareSet: 规则将扫描已安装软件的完整性 PortSet: 规则将扫描侦听端口的完整性 ProcessSet: 规则将扫描进程的完整性 RegistryKeySet: 规则将扫描注册表项 RegistryValueSet: 规则将扫描注册表值 ServiceSet: 规则将扫描服务的完整性 UserSet: 规则将扫描用户的完整性 WQLSet: 规则将监控 Windows Management Instrumentation WQL 查询语句结果的完整性单个完整性规则可以包含多个实体集例如, 这允许您使用单个规则监控多个文件和注册表项来保护应用程序 ( 本节概括介绍了实体集有关各实体集的详细, 请参阅其各自页面 :DirectorySet ( 第 226 页 ) FileSet ( 第 228 页 ) GroupSet ( 第 231 页 ) InstalledSoftwareSet ( 第 232 页 ) PortSet ( 第 234 页 ) ProcessSet ( 第 237 页 ) RegistryKeySet ( 第 239 页 ) RegistryValueSet ( 第 241 页 ) ServiceSet ( 第 243 页 ) UserSet ( 第 245 页 ) 和 WQLSet ( 第 248 页 ) ) 层次结构和通配符对于代表层次结构数据类型 ( 如 FileSet 和 RegistryKeySet) 的实体集, 支持基于部分的特征码匹配 : / ( 正斜杠 ): 划分要应用于层次结构各级别的特征码部分 ** ( 两个星号 ): 匹配零个或多个部分支持以下通配符 :? ( 问号 ): 匹配一个字符 * ( 一个星号 ): 匹配零个或多个字符还支持转义字符 : 218

219 完整性监控规则语言 \(( 反斜杠 ): 转义下一个字符使用 "/" 字符可以将特征码分成几个部分, 只要每部分特征码连续匹配, 便可以将其应用于层次结构的多个连续级别例如, 如果将特征码 : /a?c/123/*.java 应用到以下路径 : /abc/123/test.java 则 : "a?c" 匹配 "abc" "123" 匹配 "123" "*.java" 匹配 "test.java" 如果将特征码应用到以下路径 : /abc/123456/test.java 则 : "a?c" 匹配 "abc" " 123" 无法匹配 "123456", 因此不会执行更多匹配操作 "**" 符号特征码匹配零个或多个部分, 因此 : /abc/**/*.java 既匹配 "abc/123/test.java", 又匹配 "abc/123456/test.java" 它还匹配 "abc/test.java" 和 "abc/123/456/test.java" 语法和概念本节将提供一些完整性监控规则示例这些示例将使用 FileSet 实体集, 但所述的主题和组件对于所有实体集都是通用的最小完整性监控规则可能如下所示 : <FileSet base="c:\program Files\MySQL"> </FileSet> "base" 属性指定 FileSet 的基本目录关于此规则的其他所有都是相对于该目录的如果未向规则添加其他内容, 则 "base" 下的所有内容 ( 包括子目录 ) 的更改情况都将受到监控 "*" 和 "?" 通配符可用于 "base" 属性字符串, 但仅限基本目录的最后一个路径组件因此, 以下形式有效 : base="c:\program files\companyname * Web Server" 但以下形式则是无效的 : base="c:\* files\microsoft Office" 在实体集内,"include" 和 "exclude" 标记可用于控制特征码匹配这些标记都具有 "key" 属性, 用于指定要匹配的特征码 key 的源因实体集而异例如, 对于文件和目录, 源为其路径 ; 对于端口, 源为唯一的协议 /IP/ 端口号元组如果包含 / 排除规则中提供的路径从语法角度讲无效, 则客户端将生成完整性监控规则编译问题客户端事件, 并提供规则 ID 和路径 ( 扩展后 ) 作为参数无效路径的示例为 C:\test1\D:\test2, 因为文件名不可以包含两个卷标识符 219

220 完整性监控规则语言 Include include 标记实质上是一张白名单使用此标记意味着仅包括由此标记 ( 或其他 include 标记 ) 匹配的实体通过添加 include 标记, 以下规则现在仅监控对 "C:\Program Files\MySQL" 文件夹和子文件夹中名为 "*.exe" 的文件所进行的更改 : <FileSet base="c:\program Files\MySQL"> <include key="**/*.exe"/> </FileSet> 可以对 "Includes" 进行组合以下规则将监控对 "C:\Program Files\MySQL" 文件夹和子文件夹中名为 "*.exe" 和 "*.dll" 的文件所进行的更改 : <FileSet base="c:\program Files\MySQL"> <include key="**/*.exe"/> <include key="**/*.dll"/> </FileSet> 还可以将多个条件组合到单个 include 块中, 其中对于要包含的给定实体而言, 所有条件都必须满足以下 "include 标记要求包含以 ".exe" 结束且以 "sample" 开头的实体虽然可以更简洁地表达此要求, 但在主要特征码与实体的其他功能结合时, 此表达方式的实用性会更加明显, 如以下功能部分中所述 <include> <key pattern="**/*.exe"/> <key pattern="**/sample*"/> </include> 下面是同一要求的另一种表达方式 : <include key="**/*.exe"> <key pattern="**/sample*"/> </include> Exclude exclude 标记用作文件黑名单, 用于从集中移除文件, 否则将返回这些文件以下 ( 不太可能 ) 示例将使除临时文件之外的所有内容都受到监控 <FileSet base="c:\program Files\MySQL"> <include key="**"/> <exclude key="**/*.tmp"/> </FileSet> 以下规则用于从 EXE 和 DLL 集中排除 "MySQLInstanceConfig.exe": <FileSet base="c:\program Files\MySQL"> <include key="**/*.exe"/> <include key="**/*.dll" /> <exclude key="**/mysqlinstanceconfig.exe"/> </FileSet> 与 "include" 标记相同, 可编写 "exclude" 标记以要求多个条件以下示例显示了一个多条件 "exclude" 标记 <exclude> <key pattern="**/mysqlinstanceconfig*" /> <key pattern="**/*.exe" /> </exclude> 220

221 完整性监控规则语言区分大小写可以使用 "casesensitive" 属性控制 include/exclude 标记的特征码匹配是否区分大小写该属性具有三个允许值 : true false platform 该属性的缺省值为 "platform", 表示特征码是否区分大小写将视运行该特征码的平台而定在以下示例中, 在 Windows 系统上将返回 "Sample.txt" 和 "sample.txt", 但在 Unix 系统上仅返回 "Sample.txt": <FileSet base="c:\program Files\MySQL"> <include key="**/*sample*"/> </FileSet> 在此示例中,Windows 和 Unix 系统上都只返回 "Sample.txt": <FileSet base="c:\program Files\MySQL"> <include key="**/*sample*" casesensitive="true"/> </FileSet> 对于大多数对象名称, 区分大小写设置 "true" 在不区分大小写的平台上 ( 如 Windows) 的使用是受限制的功能对于某些实体类型, 也支持基于功能 ( 而不是 "key") 包含和排除实体功能集因实体类型而异以下示例将包括所有可执行文件与前一个示例使用文件扩展名不同, 此示例不依赖文件扩展名, 而是将检查文件的前几百个字节以确定该文件是否可以在给定的操作系统上执行 <FileSet base="c:\program Files\MySQL"> <include key="**" executable="true"/> </FileSet> 功能属性必须显示在 "include" 或 "exclude" 标记中要将这些功能属性用作多条件 include/exclude 的一部分, 必须将其指定为封闭 include/exclude 标记的属性以下示例包括名称中含有字符串 "MySQL" 的所有可执行文件 : <include executable="true"> <key pattern="**/*mysql*"/> </include> 前一个示例可以更简洁地表示为 : <include key="**/*mysql*" executable="true"/> 某些功能属性仅仅与其中一个实体属性值相匹配在这种情况下, 有时会支持使用 "*" 和 "?" 的通配符匹配各实体集的帮助页面指示哪些属性可以此方式用于 include/exclude 规则, 以及这些属性是支持通配符匹配还是支持简单字符串匹配当支持通配符匹配时, 要注意此匹配针对属性的字符串值并且没有执行任何规范化, 这很重要适用于实体项匹配 ( 如 "**") 的构造以及用来分隔层次结构组件的 "/" 并不适用匹配 Windows 上的路径名称需要使用 "\", 因为该字符是出现在正被测试的属性值中的字符, 而 Unix 系统将在路径值中使用 "/", 所以匹配 Unix 路径需要使用 "/" 下面是使用 "state" 属性的功能匹配的示例 : <ServiceSet> <include state="running"/> </ServiceSet> 221

222 完整性监控规则语言在状态匹配中不支持通配符以下示例匹配二进制文件路径以 "\notepad.exe" 结束的任何进程 : <ProcessSet> <include path="*\notepad.exe"/> </ProcessSet> 以下示例匹配命令行以 "/sbin/" 开头的任何进程 : <ProcessSet> <include commandline="/sbin/*"/> </ProcessSet> 请慎重使用通配符通配符表达式 ( 如 "**") 将查看 "base" 下每个子目录中的各个文件为此类表达式创建基线会消耗很多时间和资源 AND 和 OR 可通过使用多条件 include/exclude 和多个 include/exclude 来表示逻辑 AND 和 OR 使用多条件 include/exclude 来表示 AND 的方式有多种最直接的方式是将多个条件包括在单个封闭标记内以下示例显示了一个简单的多条件 AND 过程 : <include> <key pattern="**/*mysql*" /> <key pattern="**/*.exe"/> </include> 同样, 作为多条件要求的一部分, 表示为包括标记属性的任意条件将会与封闭条件进行组合以下示例显示了前一个以此方式重写的多条件 "include": <include key="**/*.exe"> <key pattern="**/*mysql*" /> </include> 最后, 如果多个条件被表示为 include/exclude 的属性, 则会将这些条件视为 AND: <include executable="true" key="**/*mysql*" /> OR 可以通过包含多个 include/exclude 标记简单地进行表达以下代码可包括扩展名为 ".exe" 或 ".dll" 的文件 : <include key="**/*.dll" /> <include key="**/*.exe" /> 评估顺序无论规则中表面顺序如何, 都会先处理所有 "includes" 如果一个对象名称匹配至少一个 "include" 标记, 则会针对 "exclude" 标记对此名称进行测试如果此对象名称匹配至少一个 "exclude" 标记, 则系统会从受监控的对象集中移除此对象实体属性给定的实体具有一组可以监控的属性如果没有为实体集指定任何属性 ( 例如不存在属性包装标记 ), 则假定该实体具有 STANDARD 属性集 ( 有关各实体集的, 请参阅速记属性部分 ) 但是, 对于给定的实体集, 只有特定的实体属性才用于完整性监控例如, 最可能认为有必要并允许的是对日志文件内容的更改但是, 应该报告对权限或所有权进行的更改 222

223 完整性监控规则语言实体集的 "attributes" 标记允许表达此内容 "attributes" 标记包含一组枚举有用属性的标记允许的 "attribute" 标记集会发生变化, 具体取决于应用这些标记的实体集如果 "attributes" 标记存在, 但不包含任何条目, 则系统只监控是否存在由规则定义的实体以下示例监控 "C:\Program Files\MySQL" 中名称包含 "SQL" 的可执行文件的上次修改时间权限以及所有者属性所发生的更改 : <FileSet base="c:\program Files\MySQL" > <include key="**/*sql*" executable="true"/> <attributes> <lastmodified/> <permissions/> <owner/> </attributes> </FileSet> 以下示例监控 "C:\Program Files\MySQL" 中日志文件的权限和所有者属性 : <FileSet base="c:\program Files\MySQL" > <attributes> <permissions/> <owner/> </attributes> <include key="**/*.log" /> </FileSet> 在以下示例中,STANDARD 属性集将会受到监控 ( 请参阅下面的速记属性 ) <FileSet base="c:\program Files\MySQL" > <include key="**/*.log" /> </FileSet> 在以下示例中, 没有任何属性将受到监控仅跟踪实体的存在是否发生更改 <FileSet base="c:\program Files\MySQL" > <attributes/> <include key="**/*.log" /> </FileSet> 速记属性速记属性提供了一种使用单个更高级别属性指定一组属性的方式与常规属性相似, 允许的值集会发生变化, 具体取决于应用这些值的实体集速记属性在以下情况下会非常有用 : 一组属性自然组合到一起, 完全列出一组属性将变得冗长, 以及由高级别属性表示的属性集可能会随时间或系统配置发生更改每种情况的示例分别如下所示 : 属性描述用于监控实体集的属性集这不同于实体集的每个可能的属性例如, 此属性集不包括每个可能的哈希算法, 仅包括被认为足以满足功能的哈希算 STANDARD 法有关每个实体集的 "standard" 属性列表, 请参阅各实体集的相关部分 CONTENTS 这是文件内容的哈希或哈希集速记缺省值为 SHA-1 onchange EntitySet 可能会被设置为实时监控更改如果将 EntitySet 的 onchange 属性设置为 true( 缺省值 ), 则由 EntitySet 返回的实体的更改情况将受到实时监控当检测到更改时, 系统会立即根据实体基线对实体进行对比, 以找出变化如果将 EntitySet 的 onchange 属性设置为 false, 仅当生成基线或通过预设任务 ( 或根据亚安全服务器深度安全防护系统管理中心需求 ) 触发基线时, 才运行此实体集 223

224 完整性监控规则语言以下示例实时监控 MySQL 二进制文件 : <FileSet base="c:\program Files\MySQL" onchange="true"> <include key="**/*.exe"/> <include key="**/*.dll" /> </FileSet> 环境变量环境变量可以包含在实体集中所使用的基值中这些变量括在 "${}" 内变量名称本身的前缀为 "env." 以下示例将 FileSet 的基本目录设置为 PROGRAMFILES 环境变量中存储的路径 : <FileSet base="${env.programfiles}"/> 引用的环境变量的值由亚安全服务器深度安全防护系统客户端在客户端启动时读取并存储如果环境变量的值发生更改, 则必须重新启动客户端才能注册更改如果未找到引用的环境变量, 则不会扫描或监控引用此变量的实体集, 但使用其余配置触发警报表示变量不存在客户端使用客户端事件完整性监控规则编译问题来报告无效的环境变量完整性监控规则的 ID 和环境变量名称将作为参数提供给事件注册表值注册表值可以包含在实体集中所使用的基值中这些注册表值括在 ${} 内注册表值本身的路径前缀为 "reg." 以下示例将 FileSet 的基本目录设置为 "HKLM\Software\AsiaInfo Security\Deep Security Agent\InstallationFolder" 注册表值中存储的路径 : <FileSet base="${reg.hklm\software\asiainfo Security\Deep Security Agent\InstallationFolder}"/> 上述示例将 FileSet 的基本目录设置为 "HKLM\Software\AsiaInfo Security\Deep Security Agent\InstallationFolder" 注册表值中存储的路径客户端收到新的或已更改的规则时, 会读取引用的注册表值客户端还会在启动时检查所有规则, 如果任何引用的注册表值发生更改, 客户端将针对受影响的规则重新生成基线如果未找到引用的注册表值, 则不会扫描 / 监控引用此注册表值的实体集, 但使用其余配置会引发警报, 通知您变量不存在客户端使用客户端事件 8012 来报告无效的环境变量扩展完整性监控规则的 ID 和注册表值路径将作为参数提供给事件通配符只可在基本名称的最后一个层次结构组件中使用例如,base="HKLM\Software\ATI*" 有效, 并且将找到 "HKLM\ Software\ATI" 和 "HKLM\Software\ATI Technologies"; 但 "base="hklm\*\software\ati*" 无效使用 ".." 在客户端的所有当前版本中, 支持使用 ".." 来引用父目录的惯例客户端将通过解析 ".." 引用并将 Windows 短名称转换为长名称来尝试规范化 FileSet 和 DirectorySet 元素的基本目录名称例如, 在 Vista 上, 以下 FileSet 的基本目录将为 "C:\Users" 在 Vista 之前的 Windows 版本上, 基本目录则为 "C:\Documents and Settings" <FileSet base="${env.userprofile}\.."> <include key="*/start Menu/Programs/Startup/*"/> </FileSet> 最佳做法编写规则时应使其仅包含有意义的对象和属性这将确保在对象的其他属性发生更改时不报告任何事件例如, 更改监控策略可能会给 "/bin" 中的文件的权限和所有权设置限制完整性监控规则应该监控所有者组和权限, 而非其他属性 ( 如上次修改时间或哈希值 ) 224

225 完整性监控规则语言使用完整性监控规则检测恶意软件和可疑活动时, 监控服务观察 NTFS 数据流的使用情况, 并留意特殊位置 ( 如 "/tmp" 或 "${env.windir}\temp") 中的可执行文件指定要在规则中包括的对象时, 尽可能具体一点包括的对象越少, 则创建基线以及扫描更改所花费的时间就越少排除预料中会发生更改的对象, 仅监控关心的属性请勿执行以下操作 : 从层次结构的顶级 ( 如 "/" "C:\" 或 "HKLM\Software") 使用 "**/..." 使用多个内容哈希类型 ( 除非绝对必要 ) 引用用户特定的位置, 如 HKEY_CURRENT_USER ${env.userprofile} 或 ${env.home} 在完整性监控规则中使用任何这些语句都将导致性能问题, 因为亚安全服务器深度安全防护系统客户端会搜索许多项以匹配指定的特征码 225

226 DirectorySet DirectorySet DirectorySet 标记介绍了一组目录标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性 base onchange 描述设置 DirectorySet 的基本目录必缺省需值标记中的其他是 N/A 所有内容都是相对于此目录的是否应当实时允许值解析为语法有效的路径 ( 并不要求路径存在 ) 的字符串值注意 :Windows 客户端允许使用 UNC 路径, 但要求客户端计算机的 "LocalSystem" 帐户能够访问远程系统此客户端是一种以 LocalSystem( 又称为 NT AUTHORITY\SYSTEM) 身份运行的 Windows 服务当访问网络资源时,LocalSystem 使用计算机的凭证, 即名为 DOMAIN\MACHINE$ 的帐户由于提供给远程计算机的访问令牌还包含此计算机的管理员组, 因此远程共享必须向客户端计算机的帐户客户端计算机的管理员组或每个成员授予读权限有关测试对 UNC 路径的访问权限, 请使用此技术启动在 LocalSystem 帐户下作为服务运行的 Windows 命令提示符这样, 您便可以尝试访问网络和本地资源, 或启动将在 LocalSystem 帐户下运行的其他应用程序监控返回的目否 false true false 录此 DirectorySet followlinks 否 false true false 是否将要遵循符号链接如果基本值的语法无效, 将不会处理 FileSet 但会评估其余配置实体集属性以下是可能受完整性监控规则监控的实体的属性 Created: 创建目录的时间戳 LastModified: 上次修改目录的时间戳 LastAccessed: 上次访问目录的时间戳在 Windows 上, 不会立即更新此值, 并且记录上次访问的时间戳会因性能增强而遭到禁用有关详细, 请参阅文件时间关于此属性的其他问题为 : 执行扫描目录需要客户端打开目录, 这将更改上次访问的时间戳 Permissions: 在 Windows 上, 是目录的安全描述符, 格式为 SDDL; 或在支持 ACL 的 Unix 系统上, 是 Posix 样式的 ACL, 否则将会是数字 ( 八进制 ) 格式的 Unix 样式 rwxrwxrwx 文件权限 Owner: 目录所有者的用户 ID( 在 Unix 上通常指 "UID") Group: 目录所有者的组 ID( 在 Unix 上通常指 "GID") Flags: 仅限 Windows 由 GetFileAttributes() Win32 API 返回的标志 Windows 资源管理器将以下内容称为文件的属性 : 只读已归档已压缩等 SymLinkPath: 如果目录是符号链接, 则链接的路径存储在此处在 Windows 上, 使用 SysInternal "junction" 工具创建与符号链接等效的 Windows 链接 InodeNumber( 仅限 Linux): DeviceNumber( 仅限 Linux): 磁盘的设备编号, 此磁盘存储与目录关联的 inode 226

227 DirectorySet 速记属性以下是速记属性及其映射到的属性 STANDARD:Created LastModified Permissions Owner Owner Flags( 仅限 Windows) SymLinkPath "Key" 的含义 Key 是一种模式, 用于匹配与 "dir" 指定的目录相对的目录路径这是一种层次结构模式, 其中, 用 "/" 隔开的模式各部分与用给定操作系统的文件分隔符隔开的路径各部分匹配子元素 Include Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 ( 第 218 页 ) 此处仅包含与该 EntitySet 类相关的 include/exclude 的特定 227

228 FileSet FileSet FileSet 标记介绍了一组文件标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性 base onchange 描述设置 FileSet 的基本目录标记中的其他所有内容都是相对于此目录的是否应当实时监控返回的文件此 FileSet 是否将要遵 followlinks 循符号链接必缺省需值是 N/A 允许值解析为语法有效的路径 ( 并不要求路径存在 ) 的字符串值注意 :Windows 客户端允许使用 UNC 路径, 但要求客户端计算机的 "LocalSystem" 帐户能够访问远程系统此客户端是一种以 LocalSystem( 又称为 NT AUTHORITY\SYSTEM) 身份运行的 Windows 服务当访问网络资源时,LocalSystem 使用计算机的凭证, 即名为 DOMAIN\MACHINE$ 的帐户由于提供给远程计算机的访问令牌还包含此计算机的管理员组, 因此远程共享必须向客户端计算机的帐户客户端计算机的管理员组或每个成员授予读权限有关测试对 UNC 路径的访问权限, 请使用此技术启动在 LocalSystem 帐户下作为服务运行的 Windows 命令提示符这样, 您便可以尝试访问网络和本地资源, 或启动将在 LocalSystem 帐户下运行的其他应用程序如果基本值的语法无效, 将不会处理 FileSet 但会评估其余配置否 false true false 否 false true false 实体集属性以下是可能受完整性监控规则监控的 FileSet 的属性 Created: 创建文件的时间戳 LastModified: 上次修改文件的时间戳 LastAccessed: 上次访问文件的时间戳在 Windows 上, 不会立即更新此值, 并且记录上次访问的时间戳会因性能增强而遭到禁用有关详细, 请参阅文件时间关于此属性的其他问题为 : 执行扫描文件需要客户端打开文件, 这将更改上次访问的时间戳在 Unix 上, 如果打开文件时 O_NOATIME 标志可用, 则客户端将使用此标志, 这将阻止操作系统更新上次访问的时间戳并提高扫描速度 Permissions: 在 Windows 上, 是文件的安全描述符, 格式为 SDDL; 或在支持 ACL 的 Unix 系统上, 是 Posix 样式的 ACL, 否则将会是数字 ( 八进制 ) 格式的 Unix 样式 rwxrwxrwx 文件权限 Owner: 文件所有者的用户 ID( 在 Unix 上通常指 "UID") 组 : 文件所有者的组 ID( 在 Unix 上通常指 "GID") Size: 文件的大小 Sha1:SHA-1 哈希 Sha256:SHA-256 哈希 Md5:MD5 哈希标志 : 仅限 Windows 由 GetFileAttributes() Win32 API 返回的标志 Windows 资源管理器将以下内容称为文件的属性 : 只读已归档已压缩等 SymLinkPath( 仅限 Unix): 如果文件是符号链接, 则链接的路径存储在此处 Windows NTFS 支持类似于 Unix 的符号链接, 但仅限目录, 并不包括文件 Windows 快捷方式对象并不是真的符号链接, 因为操作系统未处理这些对象 ;Windows 资源管理器处理快捷方式文件 (*.lnk), 但打开 *.lnk 文件的其他应用程序将只看到此 lnk 文件的内容 228

229 FileSet InodeNumber( 仅限 Unix) DeviceNumber( 仅限 Unix): 磁盘的设备编号, 此磁盘存储与文件关联的 inode BlocksAllocated( 仅限 Unix) Growing: 如果文件的大小保持不变或在扫描之间增加, 则 (DSA 7.5+) 包含值 "true", 否则包含值 "false" 此属性主要对附加了数据的日志文件有用注意, 滚动日志文件将导致此属性发生更改 Shrinking: 如果文件的大小保持不变或在扫描之间减少, 则 (DSA 7.5+) 包含值 "true", 否则包含值 "false" 速记属性以下是速记属性及其映射到的属性 CONTENTS: 解析为在策略 / 计算机编辑器 > 完整性监控 > 高级中设置的内容哈希算法 STANDARD:Created LastModified Permissions Owner Group Size Contents Flags( 仅限 Unix) SymLinkPath( 仅限 Unix) 作为目录装入的驱动器除非作为目录装入的驱动器是网络驱动器 ( 此情况下忽略这些驱动器 ), 否则可将其视为任意其他目录替换数据流基于 NTFS 的文件系统支持替换数据流的概念使用此功能时, 其行为在概念上类似于文件中的各文件要演示此过程, 请在命令提示符中键入以下内容 : echo plain > sample.txt echo alternate > sample.txt:s more < sample.txt more < sample.txt:s 第一个 "more" 仅显示文本 "plain", 如果使用标准文本编辑器 ( 如记事本 ) 打开文件, 将显示相同文本而第二个 "more"( 访问 sample.txt 的 "s" 流 ) 将显示字符串 "alternate" 对于 FileSet, 如果未指定任何流, 则所有流都会包括在内每个流都是基线中的一个独立实体条目流的可用属性包括 : size Sha1 Sha256 Md5 Contents 以下示例包括上述介绍的两个流 : <include key="**/sample.txt" /> 要包括或排除特定流, 请使用 ":" 符号以下示例仅匹配 sample.txt 上的 "s" 流, 而非主要 sample.txt 流 : <include key="**/sample.txt:s" /> 流符号支持特征码匹配以下示例将包括 sample.txt, 但排除其所有替换流 : 229

230 FileSet <include key="**/sample.txt" /> <exclude key="**/sample.txt:*" /> "Key" 的含义 Key 是一种模式, 用于匹配 "base" 指定的目录相对的文件路径这是一种层次结构模式, 其中, 用 "/" 隔开的模式各部分与用给定操作系统的文件分隔符隔开的路径各部分匹配子元素 Include Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 ( 第 218 页 ) 此处仅包含与该 FileSet 实体集类相关的 include/exclude 的特定 FileSet 的 Include/Exclude 特殊属性 : executable 确定文件是否可执行但这并不意味着文件权限允许执行此文件反而会检查文件的内容 ( 相对于平台而言 ), 以确定文件是否是可执行文件这是个开销相对较大的操作, 因为此操作需要客户端打开文件并检查文件内容的前一千或前两千个字节, 以查找有效的可执行映像标头打开和读取每个文件的开销比仅扫描目录和基于通配符特征码匹配文件名的开销大很多, 所以如果任何包括 / 排除规则使用 "executable", 将导致扫描次数比不使用 "executable" 的包括 / 排除规则少 230

231 GroupSet GroupSet GroupSet 表示一个组集注意, 这些组仅仅是本地组标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可监控的实体属性 : 描述 :( 仅限 Windows) 组的文字描述 Group: 组 ID 和名称虽然组名称是实体密钥的一部分, 但在重命名组并给定新 ID 的情况下, 能够监控组 ID/ 名称配对仍然很重要操作系统通常会基于其 ID 强制执行安全策略 Members: 组成员的逗号分隔列表 SubGroups:( 仅限 Windows) 组的各子组的逗号分隔列表速记属性 Standard: Group Members SubGroups "Key" 的含义 Key 是组的名称这并不是层次结构实体集模式仅适用于组名称因此,"**" 模式并不适用以下示例监控管理员组的添加 / 删除情况 ( 由于 "Member" 属性是 STANDARD 集的一部分, 所以会隐式包含此属性, 但不会显式列出任何属性 ) <GroupSet> <include key="administrators" /> </GroupSet> 子元素 Include 和 Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 231

232 InstalledSoftwareSet InstalledSoftwareSet 表示一组已安装的软件用于唯一标识已安装应用程序的 "key" 的组成是特定于平台的, 但它通常是应用程序名称或唯一数值的速记版本在 Windows 上,key 可以是可读的内容 ( 如 "FogBugz Screenshot_is1"), 也可以是 GUID( 如 "{ D3-8CFE C9}") 您可以通过查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall 的子项来检查以上在 Linux 上,key 是 RPM 软件包名称, 如以下命令所示 : rpm -qa --qf "%{NAME}\n" 在 Solaris 上,key 是软件包名称, 如 pkginfo 命令所示在 HPUX 上,key 是应用程序名称, 如以下命令所示 : /usr/sbin/swlist -a name 标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可由完整性监控规则监控的实体的属性是否存在这些属性取决于平台和应用程序本身, 安装程序没有必要填充所有的属性 Manufacturer: 应用程序的出版商和制造商 Name: 应用程序的友好名称或显示名称 ( 不适用于 Linux ) InstalledDate: 安装日期 ( 不适用于 AIX) 正常情况下, 此日期格式为 YYYY-MM-DD [HH:MM:SS], 但 Windows 上的许多安装程序会以另外一种方式设置日期字符串格式, 所以不保证一定是此格式 InstallLocation: 安装应用程序的目录 ( 仅适用于 Windows Solaris 和 HPUX) Parent: 对于 Patch 和更新, 此属性给出了该项的父项的项名称仅适用于 Windows Size: 估计的应用程序大小 ( 如果可用 ) 在 Windows 上, 此属性是从 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Uninstall\* 下的 "EstimatedSize" 注册表值中读取的此位置中的值以 KB 表示, 因此在返回此值之前客户端会将其乘以 1024 注意, 并不是所有的 Windows 应用程序都会填充注册表中的 EstimatedSize 文本框 ( 此属性不适用于 AIX ) Version: 已安装的应用程序的版本在 Windows 上, 可从 "DisplayVersion" 注册表值中获知版本速记属性以下是实体的速记属性及其要解析为的属性 STANDARD:InstalledDate Name Version 232

233 InstalledSoftwareSet "Key" 的含义 Key 是已安装软件的名称这并不是层次结构键, 因此 ** 模式并不适用在 Windows 上,key 通常是 GUID, 尤其是对于通过 Windows 安装程序 ( 又称为 MSI) 安装的软件如果需要基于显示名称而非 GUID 来包括 / 排除, 请使用 name="xxx" 功能以下示例将监控新软件的添加和删除情况 <InstalledSoftwareSet> <include key="*"/> <attributes/> </InstalledSoftwareSet> 子元素 Include Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 ( 第 218 页 ) 此处仅包含与该 EntitySet 类相关的 include/exclude 的特定 InstalledSoftwareSet 的 Include/Exclude 特殊属性 : name( 仅限 Windows) 允许在应用程序显示名称 ( 实体的 "name" 属性 ) 中使用? 和 * 通配符匹配例如 : <InstalledSoftwareSet> <include name="microsoft*"/> <InstalledSoftwareSet> 将匹配显示名称 ( 如控制面板所示 ) 以 "Microsoft" 开头的所有已安装应用程序 manufacturer 允许在应用程序的出版商或制造商中使用? 和 * 通配符匹配例如 : <InstalledSoftwareSet> <include manufacturer="* Company "/> <InstalledSoftwareSet> 将匹配制造商以 "Company" 结尾的所有已安装应用程序 233

234 PortSet PortSet 代表一组侦听端口标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可由完整性监控规则监控的实体的属性 Created: 仅限 Windows 需要安装 XP SP2+ 和 Server 2003 SP1+ 由 GetExtendedTcpTable() 或 GetExtendedUdpTable() API 返回表示创建此 TCP/UDP 链接的绑定操作发生的时间 Listeners:( 自版本起 ) 此协议 / 地址 / 端口组合上的活动侦听器数这反映了绑定到且侦听给定端口的套接字数, 该数量可能大于侦听端口的进程数 ( 如果这些进程将多个套接字绑定到端口 ) 如果只有一个套接字绑定到给定端口, 则该属性没有值 Path: 仅限 Windows 需要安装 XP SP2+ 和 Server 2003 SP1+ 指定拥有相应端口的模块的简短名称( 如果可用 ) 在 Windows 上, 该名称来自 GetOwnerModuleFromXxxEntry() API 根据 Microsoft 文档, 最佳做法是将连接表条目解析为所有者模块在少数情况下, 返回的所有者模块名称可以是进程名称 ( 如 "svchost.exe") 服务名称( 如 "RPC") 或组件名称 ( 如 "timer.dll") Process:( 仅限 Windows 需要安装 XP SP2+ 和 Server 2003 SP1+ ) 指定拥有相应端口的模块的完整路径 ( 如果可用 ) 在 Windows 上, 该名称来自 GetOwnerModuleFromXxxEntry() API 根据 Microsoft 文档, 最佳做法是将连接表条目解析为所有者模块 ProcessId:( 仅限 Windows 需要安装 XP SP2+ 和 Server 2003 SP1+ ) 指定执行此端口绑定的进程的 PID User:( 仅限 Linux) 指定拥有相应端口的用户 "Key" 的含义 Key 的格式如下 : < 协议 >/<IP 地址 >/< 端口 > 例如 : tcp/ /80 udp/ /68 IPV6 如果 IP 地址为 IPv6, 则 key 的格式相同, 但协议为 TCP6 或 UDP6 且 IP 地址为 getnameinfo API 返回的 IPv6 地址时,key 的格式为 : tcp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/80 udp6/3ffe:1900:4545:3:200:f8ff:fe21:67cf/68 234

235 PortSet 键的匹配这不是层次结构键, 因此 ** 不适用使用 * 和? 可执行 Unix 风格的全局匹配以下模式匹配 IP 地址为到上的端口 80: */ ?/80 以下模式在 IP 地址到以及到上匹配端口 80: */ */80 以下模式在任意 IP 上匹配端口 80 */80 以下示例将监控侦听端口中的所有更改, 但忽略协议为 TCP 且地址格式为 IPV4 和 IPV6 的端口 80: <PortSet> <include key="*"/> <exclude key="tcp*/*/80"/> </PortSet> 子元素 Include Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 ( 第 218 页 ) 此处仅包含与该 EntitySet 类相关的 include/exclude 的特定 PortSets 的 Include/Exclude 的特殊属性 : 可将端口的各种其他属性用于 include/exclude 功能测试这些测试将某个值与端口的属性值作比较 ; 请注意各种属性的平台支持在平台 ( 或甚至平台修订版 ) 间并非所有属性均可用, 因此在 include/exclude 标记中使用这些测试是受限制的功能测试支持带有通配符 * 和? 的 Unix 全局样式, 且不存在规范化的路径分隔符或其他字符是与属性值的简单匹配 Path 检查与端口的路径属性的通配符匹配以下示例将监控由运行主 IIS 二进制文件的进程拥有的端口 : <PortSet> <include path="*\system32\inetsrv\inetinfo.exe"/> </PortSet> Process 检查与端口的进程属性的通配符匹配以下示例将监控由在 svchost.exe 或 outlook.* 二进制文件中运行的任何内容拥有的端口 : <PortSet> <include process="svchost.exe"/> <include process="outlook.*"/> </PortSet> User 检查与端口的用户属性的通配符匹配以下示例将监控 Unix 系统上由超级用户 (root 用户 ) 拥有的端口 : 235

236 PortSet <PortSet> <include user="root"/> </PortSet> 236

237 ProcessSet ProcessSet 代表一组进程标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可由完整性监控规则监控的实体的属性 CommandLine: 由 "ps -f" (Unix) "ps w" (Linux) 或 Process Explorer (Windows) 显示的完整命令行 Group: 在之下运行进程的组在 Unix 下, 该属性指进程的有效组 ID, 可以随时间更改 ( 如果进程丢弃权限或者切换其有效组凭证 ) 在 Windows 上, 该属性是由 Win32 API GetTokenInformation( 带有 TokenPrimaryGroup 的 TokenInformationClass) 返回的进程的当前主组这是新创建的对象的缺省主组 SID 除主组之外, 进程通常具有一个或多个组凭证与之关联客户端不监控这些附加的组凭证可以在 Process Explorer 的 process 属性的安全选项卡上查看这些凭证 Parent: 创建此进程的进程的 PID Path: 进程的二进制文件的完整路径在 Solaris 8 和 9 或 HP-UX 上不可用在 Windows 上, 该路径来自 GetModuleFileNameEx() API 在 Linux 和 Solaris 10 上, 它来自分别读取符号链接 /proc/{pid}/exe 或 /proc/{pid}/path/a.out Process: 进程二进制文件的简短名称 ( 无路径 ) 例如, 对于 "c:\windows\notepad.exe", 该属性为 "notepad.exe", 对于 "/usr/local/bin/httpd", 为 "httpd" Threads: 当前在进程中执行的线程数在 HP-UX 上不可用 User: 在之下运行进程的用户在 Unix 下, 该属性指进程的有效用户 ID, 可以随时间更改 ( 如果进程丢弃权限或者切换其有效用户凭证 ) 速记属性 STANDARD:CommandLine Group Parent Path( 如果可用 ) Process User "Key" 的含义 Key 是 "Process" 属性 ( 可执行文件的简短名称 ) 和 PID 的组合将 PID 附加到中间带有路径分隔符的名称, 例如,Windows 上的 notepad.exe\1234 和 Unix 上的 httpd/1234 使用路径分隔符是为了使 key="abc/*" 的 include/exclude 匹配能够按预期工作子元素 Include Exclude 237

238 ProcessSet 请参阅 include 的概述 ( 第 218 页 ), ) 了解其允许的属性和子元素此处仅包含与该 EntitySet 类相关的 include/exclude 的特定 ProcessSets 的 Include/Exclude 的特殊属性 : 以下示例将监控正在运行的进程集是否具有 notepad.exe( 不论 PID. 如何 ): <ProcessSet> <include key="notepad.exe\*" /> </ProcessSet> 可将进程的各种其他属性用于 include/exclude 功能测试功能测试支持带有通配符 * 和? 的 Unix 全局样式, 且不存在规范化的路径分隔符或其他字符它是与属性值的简单全局样式匹配 CommandLine 检查与进程的 commandline 属性的通配符匹配以下示例将监控命令行匹配 "*httpd *" 的所有进程 : <ProcessSet> <include commandline="*httpd *" /> </ProcessSet> Group 检查与进程的 group 属性的通配符匹配使用组名的文本版本, 而不是数字形式 : 使用 "daemon" 而不是 "2" 来测试 Linux 上的 daemon 组以下示例将监控以组 root daemon 或 lp 身份之一运行的所有进程 : <ProcessSet> <include group="root" /> <include group="daemon" /> <include group="lp" /> </ProcessSet> Path 检查与进程的 path 属性的通配符匹配 path 属性在某些平台上不可用以下示例将监控二进制文件位于 System32 下的所有进程 : <ProcessSet> <include path="*\system32\*" /> </ProcessSet> User 检查与进程的 user 属性的通配符匹配使用用户名的文本版本, 而不是数字形式 : 使用 "root" 而不是 "0"( 零 ) 来测试 Unix 上的超级用户以下示例将监控以内置系统用户身份 ( 例如,NT AUTHORITY\SYSTEM NT AUTHORITY\LOCAL SERVICE NT AUTHORITY\NETWORK SERVICE) 之一运行的所有进程 : <ProcessSet> <include user="nt AUTHORITY\*" /> </ProcessSet> 238

239 RegistryKeySet RegistryKeySet RegistryKeySet 标记描述了注册表中的一组项 ( 仅限 Windows) 标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述设置 RegistryKeySet 的基本项该标记中的所有其他内容都与此项有关基本项必须以下列注册表分支名称之一开头 : HKEY_CLASSES_ROOT( 或 HKCR) base HKEY_LOCAL_MACHINE( 或 HKLM) HKEY_USERS( 或 HKU) HKEY_CURRENT_CONFIG( 或 HKCC) 必需是缺省值 N/A 允许值解析为语法上有效的注册表项路径的字符串值实体集属性以下是可由完整性监控规则监控的实体的属性 Owner Group Permissions LastModified(Windows 注册表术语中的 "LastWriteTime") Class SecurityDescriptorSize 速记属性 STANDARD:Group Owner Permissions LastModified "Key" 的含义注册表项以层次结构形式存储在注册表中, 与文件系统中的目录非常相似就该语言而言, 某项的项路径可理解为相当于目录的路径例如, 客户端的亚安全服务器深度安全防护系统客户端项的项路径为 : HKEY_LOCAL_MACHINE\SOFTWARE\AsiaInfo Security\Deep Security Agent RegistryValueSet 的 include/exclude "key" 值与项路径匹配这是一种层次结构模式, 其中由 "/" 分隔的模式部分与由 "\" 分隔的项路径部分相匹配子元素 Include Exclude 239

240 RegistryKeySet 请参阅 include 的概述 ( 第 218 页 ), ) 了解其允许的属性和子元素 240

241 RegistryValueSet RegistryValueSet 一组注册表值 ( 仅限 Windows) 标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述设置 RegistryValueSet 的基本项该标记中的所有其他内容都与此项有关基本项必须以下列注册表分支名称之一开头 : HKEY_CLASSES_ROOT( 或 HKCR) base HKEY_LOCAL_MACHINE( 或 HKLM) HKEY_USERS( 或 HKU) HKEY_CURRENT_CONFIG( 或 HKCC) 必需是缺省值 N/A 允许值解析为语法上有效的注册表项的字符串值实体集属性以下为可由完整性监控规则监控的实体的属性 : Size Type Sha1 Sha256 Md5 速记属性 CONTENTS: 解析为在策略 / 计算机编辑器 > 完整性监控 > 高级中设置的内容哈希算法 STANDARD:Size Type Contents "Key" 的含义注册表值是存储在注册表项下的名称 / 值对存储注册表值的项可能会存储在其他项下, 与文件系统中的文件和目录非常相似就该语言而言, 某值的项路径可理解为相当于文件的路径例如, 客户端的 InstallationFolder 值的项路径为 : HKEY_LOCAL_MACHINE\SOFTWARE\AsiaInfo Security\Deep Security Agent\InstallationFolder RegistryValueSet 的 include/exclude "key" 值与项路径匹配这是一种层次结构模式, 其中由 "/" 分隔的模式部分与由 "\" 分隔的项路径部分相匹配缺省值每个注册表项都具有未命名值或缺省值以下适用于旧版支持 : 241

242 RegistryValueSet 可通过在模式中使用尾随的 "/" 明确为 inclusion/exclusion 指定此值例如,"**/" 将匹配所有下级未命名值,"*Agent/**/" 将匹配与 "*Agent" 匹配的项下的所有未命名值注册表值名称可包含任意可打印字符, 包括引号反斜线符号等客户端将实体项名称中的反斜线作为转义符, 但仅转义反斜线本身这样, 客户端即可区分包含反斜线的值名称和作为注册表路径一部分出现的反斜线之间的差异这表示, 以反斜线字符结尾的值名称将与旨在匹配缺省 / 未命名值的规则相匹配有关示例注册表值名称和生成的实体项, 请参阅下表值转义格式示例 Hello Hello HKLM\Software\Sample\Hello "Quotes" "Quotes" HKLM\Software\Sample\"Quotes" back\slash back\\slash HKLM\Software\Sample\back\\slash trailing\ trailing\\ HKLM\Software\Sample\@ 子元素 Include Exclude 有关 include/exclude 的允许属性和子元素, 请参阅 include/exclude 的一般说明 ( 第 218 页 ) 242

243 ServiceSet ServiceSet ServiceSet 元素代表一组服务 ( 仅限 Windows) 服务按服务名称标识, 与服务管理工具中显示的名称列不同服务名称可在服务属性中看到, 通常比名称列显示的值简短, 名称列中实际上是服务的显示名称例如, 客户端的服务名称为 "ds_agent", 显示名称为亚安全服务器深度安全防护系统客户端标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可由完整性监控规则监控的实体的属性 Permissions: 采用 SDDL 格式的服务的安全描述符 Owner: 服务所有者的用户 ID Group: 服务所有者的组 ID BinaryPathName:Windows 用于启动服务的路径和可选命令行自变量 DisplayName: 服务属性面板中显示的服务的显示名称 Description: 服务面板中显示的描述 State: 服务的当前状态以下状态之一 : 已停止正在启动正在停止正在运行继续挂起暂停挂起已暂停 StartType: 服务的启动方式以下状态之一 : 自动已禁用手动 LogOnAs: 服务进程运行时将登录的帐户名称 FirstFailure: 服务首次不成功时执行的操作格式为 "delayinmsec,action", 操作为 None Restart Reboot RunCommand 之一 SecondFailure: 服务第二次不成功时执行的操作格式为 "delayinmsec,action", 操作为 None Restart Reboot RunCommand 之一 SubsequentFailures: 服务第三次或随后几次不成功时执行的操作格式为 "delayinmsec,action", 操作为 None Restart Reboot RunCommand 之一 ResetFailCountAfter: 在无故障情况下将故障计数重置为 0 之前经过的时间 ( 以秒为单位 ) RebootMessage: 重新启动以响应 "Reboot" 服务控制器操作之前广播至服务器用户的消 RunProgram: 为响应 RunCommand 服务控制器操作要执行的进程的完整命令行 DependsOn: 服务所依赖的组件的逗号分隔列表 LoadOrderGroup: 此服务所属的加载顺序组系统启动程序使用加载顺序组按指定顺序 ( 相对于其他组 ) 加载服务的组加载顺序组列表包含在以下注册表值中 :HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder ProcessId: 这是托管服务的进程的数字 ID 单个 Windows 进程中可能存在多个服务, 但对于在自身进程中运行的服务, 监控此属性将允许系统记录服务重新启动速记属性以下是实体的速记属性及其要解析为的属性 243

244 ServiceSet STANDARD:Permissions Owner Group BinaryPathName Description State StartType LogOnAs FirstFailure SecondFailure SubsequentFailures ResetFailCountAfter RunProgram DependsOn LoadOrderGroup ProcessId "Key" 的含义 Key 是服务的名称, 未必与服务管理工具中显示的名称列相同 ( 该工具显示服务的显示名称 ) 服务名称可在服务属性中看到, 通常比名称列显示的值简短这并不是层次结构实体集模式仅适用于服务名称因此,** 模式并不适用子元素 Include Exclude 请参阅 include 的概述 ( 第 218 页 ), ) 了解其允许的属性和子元素此处仅包含特定于与此实体集类相关的 include/exclude 的 ServiceSets 的 Include/Exclude 的特殊属性 : 状态 Include/exclude 可以基于任意服务的状态 ( 已停止正在启动正在停止正在运行继续挂起暂停挂起已暂停 ) 以下示例将监控正在运行的服务集中的更改 : <ServiceSet> <include state="running"/> </ServiceSet> 244

245 UserSet UserSet UserSet 元素代表一组用户在 Windows 系统上, 该元素在系统中的本地用户上工作与本地用户和组 MMC 嵌入式管理单元显示的用户相同请注意, 只有当 DSA 在除域控制器外的设备上运行时, 这些才是本地用户在域控制器上,UserSet 元素将枚举所有域用户, 这可能不适用于极大型的域在 Unix 系统上, 受监控的用户为 "getpwent_r()" 和 "getspnam_r()" API 已配置为要返回的用户标记属性相对于完整性监控规则所监控的实体的属性, 以下属性是标记本身的 XML 属性属性描述必需缺省值允许值 onchange 将受实时监控否 false true false 实体集属性以下是可监控的实体属性 : 通用属性 cannotchangepassword:true/false, 表示是否允许用户更改其密码 disabled:true/false, 表示是否已禁用帐户在 Windows 系统上, 这反映用户的已禁用复选框在 Unix 系统上, 如果用户的帐户已过期, 或密码过期且已超出更改密码的非活动宽限期, 则该属性为 true fullname: 用户的显示名称 groups: 用户所属的组的逗号分隔列表 homefolder: 主文件夹或目录的路径 lockedout:true/false, 表示用户是否已被锁定 ( 明确锁定或由于密码尝试不成功次数过多 ) passwordhasexpired:true/false, 表示用户密码是否已过期请注意, 在 Windows 上, 此属性仅在 Windows XP 更高版本的操作系统上可用 ( 不适用于 AIX) passwordlastchanged: 上次更改用户密码的时间戳此属性由 DSA 记录为 1970 年 1 月 1 日 (UTC) 以来的毫秒数亚安全服务器深度安全防护系统管理中心基于该值按本地时间呈现时间戳请注意, 在 Unix 平台上, 此属性解析为一天, 因此所呈现时间戳的时间部分没有意义 ( 在 AIX 中,N/A) passwordneverexpires:true/false, 表示密码是否不过期 user: 操作系统已知用户的名称例如,"Administrator" 或 "root" 仅限 Windows 的属性 description: 用户所属的主组 homedriveletter: 网络共享作为用户主文件夹映射到的驱动器盘符 logonscript: 用户每次登录时执行的脚本的路径 profilepath: 使用漫游或强制 Windows 用户配置文件时的网络路径 245

246 UserSet 仅限 Linux 的属性 group: 用户所属的主组 logonshell: 用户的 shell 进程的路径 passwordexpireddaysbeforedisabled: 用户密码过期后到禁用帐户之间经过的天数 ( 在 AIX 中,N/A) passwordexpiry: 用户帐户过期且被禁用的日期 passwordexpiryindays: 必须更改用户密码前经过的天数 passwordmindaysbetweenchanges: 更改密码所允许的最小间隔天数 passwordwarningdays: 用户密码过期之前开始警告用户的天数速记属性标准型 :cannotchangepassword disabled groups homefolder passwordhasexpired passwordlastchanged passwordneverexpires user logonscript( 仅限 Windows) profilepath( 仅限 Windows) group( 仅限 Linux) logonshell( 仅限 Linux) passwordexpiryindays( 仅限 Linux) passwordmindaysbetweenchanges( 仅限 Linux) "Key" 的含义 Key 代表用户名这并不是层次结构实体集模式仅适用于用户名因此,"**" 模式并不适用以下示例监控所有用户创建或删除 ( 请注意, 属性被明确排除, 因此将不跟踪组成员集 ): <UserSet> <Attributes/> <include key="*" /> </UserSet> 以下示例将跟踪 "jsmith" 帐户的创建和删除, 以及该帐户的 STANDARD 属性的更改 ( 因为如果未包含特定属性列表, 则自动包含此 EntitySet 的 STANDARD 集 ): <UserSet> <include key="jsmith" /> </UserSet> 子元素 Include 和 Exclude 请参阅 include 的概述, 了解其允许的属性和子元素 UserSets 的 Include/Exclude 的特殊属性可将用户的各种其他属性用于 include/exclude 功能测试这些测试将某个值与用户的属性值作比较 ; 请注意各种属性的平台支持在平台 ( 或甚至平台修订版 ) 间并非所有属性均可用, 因此在 include/exclude 元素中使用这些测试是受限制的功能测试支持带有通配符 * 和? 的 Unix 全局样式, 且不存在规范化的路径分隔符或其他字符是与属性值的简单匹配 Disabled: 与用户的 disabled 属性进行 true/false 匹配以下示例将监控主组为 "users" 或 "daemon" 的用户 : 246

247 UserSet <UserSet> <include disabled="true"/> </UserSet> Group: 与用户的主组进行通配符匹配此测试仅在 Unix 系统上可用以下示例将监控主组为 "users" 或 "daemon" 的用户 <UserSet> <include group="users"/> <include group="daemon"/> </UserSet> LockedOut: 与用户的 lockedout 属性进行 true/false 匹配 PasswordHasExpired: 与用户的 passwordhasexpired 属性进行 true/false 匹配 PasswordNeverExpires: 与用户的 passwordneverexpires 属性进行 true/false 匹配 247

248 WQLSet WQLSet WQLSet 元素描述了来自 Windows Management Instrumentation WQL 查询语句的结果集通过 WQL, 可以对多种不同的对象类进行类似于 SQL 的查询, 查询结果将形成包含多行的表, 其中每一行代表一个对象, 每一列代表特定对象属性的值许多 WMI 查询占用大量时间和计算机资源一不小心就会执行需要几分钟才能完成并返回数千行的查询强烈建议在 WQLSet 中使用查询之前使用程序 ( 如 PowerShell 或 WMI Explorer) 测试所有查询属性描述设置 WMI 查 namespace 询的命 wql onchange 名空间 WQL 查询字符串是否应当实时监控返回的文件必缺省需值是 N/A 是 N/A 允许值代表有效 WMI 命名空间的字符串值 "root\cimv2" 是查询 Windows 操作系统对象时最常用的命名空间, 但也可使用其他命名空间, 如 "root\directory\ldap" 和 "root\microsoft\sqlserver\computermanagement" 请参阅此处, 了解枚举给定主机上可用 WMI 命名空间的小脚本 ( 名为 GetNamespaces.vbs) 一个有效的 WQL 字符串查询必须包含每个返回的对象的 Path 属性 ; 客户端在存储和报告结果时将 Path 属性用作实体键, 因此每个返回的 WMI 对象都必须包含 Path 如果使用诸如 "SELECT * FROM..." 的查询字符串, 将提供 Path 属性 ; 但是, 如果使用更具选择性的查询, 如 "SELECT Name FROM...", 您必须通过将查询编写为 "SELECT Path,Name FROM..." 明确包含 Path 否 false true false RsopLoggingModeProvider 选择性目前, 只有组策略查询需要 / 支持此属性, 且 "RsopLoggingModeProvider" 是唯一支持的值组策略查询是特殊的查询, 因为建指定要议使用 RsopLoggingModeProvider 创建计算机上的策略数据的快照如果创建策略数据的快照, 则可以在系统刷新策略期间覆盖使用的或删除一组一致性数据之前根据该数据执行查询创建快照实际上创建了新的 WMI 命名空间, 因此在 WQLSet 中使用 provider 备用 WMI 命否无 provider="rsoploggingmodeprovider" 时,namespace 属性应指定要添加到所创建命名空间的后缀例如, 由 RsopLoggingModeProvider 创建的典型的临时命名空间为 "\\.\Root\Rsop\NS71EF4AA3_FB96_465F_AC1C_DFCF9A3E9010" 指定名空间 namespace="computer" 以查询 "\\.\Root\Rsop\NS71EF4AA3_FB96_465F_AC1C_DFCF9A3E9010\Computer" 提供程序由于临时命名空间是一次性值, 因此在实体键中显示该值会阻碍客户端检测更改的功能为避免此情况, 客户端将在使用 RsopLoggingModeProvider 时移除 \Rsop\ 后到下一个反斜线之间的返回的 Path 值部分因此, 实体键将具有如 "\\.\Root\ Rsop\Computer" 的前缀, 而不是 "\\.\Root\Rsop\NS71EF4AA3_FB96_465F_AC1C_DFCF9A3E9010\Computer" 指定每 timeout 行超时 ( 毫否 5000 WMI 查询在半同步模式下执行, 每次获取一个结果行, 且获取单个行时出现超时如果未指定此参数, 则将 5000(5 秒 ) 用作超秒 ) 时值实体集属性由 WQL 查询返回的每行均被视为用于进行完整性监控的单个实体, 返回的列代表该实体的属性由于 WMI/WQL 是开放型规范, 因此不存在固定的可用 / 支持属性列表查询和正在查询的 WMI 对象的架构将决定受监控的属性例如,WQLSet: 将返回属性 : ErrorCode GPOID KeyName SOMID Setting Status id precedence 然而查询网络适配器的如下 WQLSet: 将返回如下属性 : 248

249 WQLSet AdapterType AdapterTypeId Availability Caption ConfigManagerErrorCode ConfigManagerUserConfig CreationClassName Description DeviceID Index Installed MACAddress Manufacturer MaxNumberControlled Name PNPDeviceID PowerManagementSupported ProductName ServiceName SystemCreationClassName SystemName TimeOfLastReset 为了减少客户端上的负载, 建议仅明确包含需要监控的属性, 而不是在查询中使用 "select *..." 这样做的另一个好处是 : 除非属性是正在监控的集的一部分, 否则对 WMI 架构所做的添加或移除属性的更改将不报告为对象更改使用 "select * from Win32_Foobar", 将新属性添加到 Win32_Foobar 对象类的 Windows 的 Patch 将导致下一次完整性扫描报告该类的每个对象均发生更改 ( 因为出现了新属性 ) 下面是返回需要的 Windows 系统实体的一些示例 WMI 查询 Windows 挂载的存储设备的查询 :( 选择 * 通常会导致 80% 返回的属性为空或为重复值 ) 要进一步执行上述查询, 可指定 DriveType 以仅找出某些类型的已挂载逻辑存储设备, 例如为可移动磁盘的类型 2:( 类似于可移动 USB 存储设备 ) ( 有关 Win32_LogicalDisk 类的详细, 请参阅此处 ) USB 存储设备注释 :U3 USB 设备将挂载类型 2 可移动磁盘设备和类型 3 光盘设备此外, 以上查询仅适用于存储设备将不包含 USB 非存储设备 USB 内存卡适配器可能显示为类型 1 无根目录设备无效的或 Windows 不兼容的 USB 存储设备可能显示为类型 1 未知设备查询驱动器为 "F:" 的所有已知系统目录的相关属性 : 查询驱动器为 "F:" 的所有已知系统文件的相关属性 : Key 的含义 Key 为返回的 WMI 对象的 " Path" 属性, 其一般形式为 : SystemName\Namespace:WmiObjectClass.KeyAttribute=Value[,KeyAttribute=Value...] 一些示例 : \\TEST-DESK\root\cimv2:Win32_QuickFixEngineering.HotFixID="KB IE7",ServicePackInEffect="SP0" \\TEST-DESK\ROOT\Rsop\NSF49B36AD_10A3_4F20_9541_B4C471907CE7\Computer:RSOP_RegistryValue. Path="MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LegalNoticeText",precedence=1 \\TEST-DESK\root\cimv2:BRCM_NetworkAdapter.DeviceID="8" 子元素 Include 和 Exclude 有关 "include" 和 "exclude" 的允许属性和子元素, 请参阅它们的一般说明对于 WQLSet, 通常应不需要 "include" 和 "exclude" 子元素建议使用 WQL 指定要监控的确切对象集, 因为这样可限制由客户端和主机的 WMI 操作执行的工作量使用任意 include/exclude 子元素只能减少由查询返回的对象集 ; 要返回其他对象, 必须更改 WQL 如果需要使用 include/exclude 元素进一步限制 WQL 结果, 可以使用 "*" 和 "?" 字符作为简单通配符来匹配实体键的值 249

250 手动停用 / 停止 / 启动客户端手动停用 / 停止 / 启动客户端停用客户端 / 设备通常可以通过当前管理客户端 / 设备的亚安全服务器深度安全防护系统管理中心停用客户端 / 设备如果亚安全服务器深度安全防护系统管理中心无法与客户端 / 设备通, 您可能需要手动执行停用要运行以下命令, 必须在本地计算机上拥有管理员权限在 Windows 上停用客户端 : 1. 从命令行中, 转到客户端目录 ( 缺省为 C:\Program Files\AsiaInfo Security\Deep Security Agent) 2. 运行以下命令 :dsa_control -r 在 Linux 上停用客户端 : 1. 运行以下命令 :/opt/ds_agent/dsa_control -r 停止或启动客户端在 Windows 上启动或停止客户端 : 停止 : 从命令行运行以下命令 :sc stop ds_agent 开始 : 从命令行运行以下命令 :sc start ds_agent 在 Linux 上启动或停止客户端 : 停止 : 运行以下命令 :/etc/init.d/ds_agent stop 开始 : 运行以下命令 :/etc/init.d/ds_agent start 停止或启动设备仅可在主机计算机上本地停止或启动设备在 Linux 上启动或停止设备 : 停止 : 运行以下命令 :/etc/init.d/ds_agent stop 开始 : 运行以下命令 :/etc/init.d/ds_agent start 250

251 多节点管理中心多节点管理中心可将亚安全服务器深度安全防护系统管理中心作为使用单个数据库并行工作的多个节点运行将管理中心作为多节点运行可提供更高的可靠性冗余可用性几乎无限的可扩展性以及更好的性能每个节点均能执行所有任务, 且所有节点的重要性相同用户可登录任意节点以执行任务任意一个节点出现故障不会导致任何任务无法执行任意一个节点出现故障不会导致任何数据丢失每个节点必须运行相同版本的管理中心软件执行管理中心软件升级时, 要升级的第一个管理中心将接管所有亚安全服务器深度安全防护系统管理中心职责, 并关闭所有其他亚安全服务器深度安全防护系统管理中心节点它们将在系统系统页面的系统活动系统活动面板中的带有活动表的网络拓扑图中显示为脱机, 并表明需要升级在其他节点上执行升级后, 这些节点会自动返回联机状态, 并开始分担管理中心任务查看节点系统页面上系统活动系统活动面板中的带有活动表的网络拓扑图带有活动表的网络拓扑图显示所有亚安全服务器深度安全防护系统管理中心节点, 及其状态组合活动和正在处理的作业亚安全服务器深度安全防护系统管理中心在由所有联机管理中心节点执行的分布式池中处理多个并发活动所有非源自用户输入的活动被打包为作业, 因此在任意管理中心均可运行 ( 在每个节点上执行的本地作业例外, 如缓存清除 ) 带有活动表的网络拓扑图带有活动表的网络拓扑图显示所有安装的管理中心节点其当前状态以及节点在最近 1 小时内的相关活动的地图节点可处于以下状态 : 联机脱机脱机 ( 需要升级 ) 所有亚安全服务器深度安全防护系统管理中心节点都可以定期检查所有其他亚安全服务器深度安全防护系统管理中心节点的运行状况如果与任何亚安全服务器深度安全防护系统管理中心节点断开连接的时间超过三分钟, 则会将该节点视为脱机, 并在其余节点之间重新分发其任务按节点的作业此图表按每个节点对最近 1 小时内执行的作业数进行细分 251

252 多节点管理中心按类型的作业此图表按类型对最近 1 小时内执行的作业进行细分按节点和类型的作业总计此图表显示最近 1 小时内每个节点的作业类型数添加节点要将亚安全服务器深度安全防护系统管理中心节点添加到系统, 请在新计算机上运行管理中心安装包出现提示时, 键入使用的数据库的位置和登录凭证当安装程序连接到数据库后, 就可以继续将节点添加到系统必须使用 MS SQL Server 或 Oracle Database 才能运行多个节点在任何时候都不应同时运行多个安装程序实例这样做会导致不可预测的结果, 包括数据库损坏 252

253 多节点管理中心取消配置节点取消配置节点 : 节点必须处于脱机状态 ( 已卸载或服务已停止 ) 才能取消配置 1. 在亚安全服务器深度安全防护系统管理中心, 转至管理 > 管理中心节点 2. 双击要取消配置的管理中心节点, 以显示其属性窗口 3. 单击选项选项区域中的取消配置取消配置按钮 253

254 性能要求性能要求以下准则提供了不同规模的亚安全服务器深度安全防护系统部署的一般基础架构要求磁盘空间每台计算机需要的空间量是所记录的日志 ( 事件 ) 数和它们的保留时间的函数要控制多种设置, 如事件日志文件的最大大小以及在任意给定时间要保留的日志文件数, 请转至计算机或策略页面, 双击要编辑的计算机或策略, 然后单击设置 > 网络引擎同样, 通过防火墙状态配置属性属性窗口上的 TCP UDP 和 ICMP 选项卡, 您可以配置执行防火墙状态配置事件日志记录的方式可以在策略和单个计算机级别微调这些事件收集设置 ( 请参阅策略继承与覆盖 ( 第 256 页 ) ) 在缺省级别保留日志记录时, 平均每台计算机将需要约 50 MB 的数据库磁盘空间 1000 台计算机将需要 50 GB,2000 台计算机将需要 100 GB, 依此类推在缺省设置中, 以下模块使用的磁盘空间通常最多, 按降序顺序为 : 防火墙完整性监控日志审查专用服务器如果最终部署预期不超过 1000 台计算机 ( 实体或虚拟 ), 则可以在同一计算机上安装亚安全服务器深度安全防护系统管理中心和数据库如果您认为可能会超过 1000 台计算机, 则应在专用服务器上安装亚安全服务器深度安全防护系统管理中心和数据库数据库和亚安全服务器深度安全防护系统管理中心位于同一地点也很重要, 这样可确保两者之间的通顺畅同样的情况适用于其他亚安全服务器深度安全防护系统管理中心节点 : 同一地点的专用服务器不论是否具有 1000 台被管理计算机, 出于冗余原因, 最好运行多个管理中心节点亚安全服务器深度安全防护系统虚拟设备本节仅在运行 9.6 之前版本的亚安全服务器深度安全防护系统虚拟设备和过滤器驱动程序的情况下适用可以使用单个 ESXi Server 上的虚拟设备保护数量不限的虚拟机您需要将过滤器驱动程序中堆内存的最大大小设置为适合虚拟机数量的大小缺省的堆内存大小为 256 MB 要永久增加过滤器驱动程序中堆内存的最大大小, 请登录控制台并发出 "esxcfg-module" 命令, 然后提供最大堆大小 ( 以字节为单位 ) 例如, 要配置多达 32 台虚拟机, 请执行以下操作 : 公式为 : <VM 数量 > x 3MB + <VM 数量 > x 512 字节 x <UDP 连接数 + TCP 连接数 > + 10MB( 对于 vmotion 状态配置 ) 因此, 对于 50 台 VM 以及 5000 次 UDP 和 5000 次 TCP 连接 : 50x3=150MB 50x512x10000= 字节 ( 或 256MB) 150M+256MB=10MB=416MB 416x = 字节 ( 估计的所需堆内存 ) 设置该值的命令为 : % esxcfg-module -s DSAFILTER_HEAP_MAX_SIZE= dvfilter-dsa 254

255 性能要求要验证该设置, 请执行命令 : % esxcfg-module -g dvfilter-dsa 重新加载驱动程序后, 此设置才会生效重新卸载需要重新启动 ESXi Server( 最佳选项 ) 或通过执行以下命令退出 / 加载驱动程序 : % esxcfg-module -u dvfilter-dsa % esxcfg-module dvfilter-dsa 以上退出 / 加载操作需要关闭所有受保护的 VM( 在 ESXi Server 上 ) 和 DSVA 255

策略继承与覆盖策略继承与覆盖大多数亚安全服务器深度安全防护系统元素和设置可作用于多个层次结构级别, 这些级别以父基本策略级别开头, 下分多个子策略级别, 最后以分配了最终策略的计算机级别结束亚安全服务器深度安全防护系统提供了一个策略集合, 在设计为您环境定制的策略时可以将其用作初始模板 : 继承子策略从其父策略继承设置这允许您创建一个策略树,

256 策略继承与覆盖策略继承与覆盖大多数亚安全服务器深度安全防护系统元素和设置可作用于多个层次结构级别, 这些级别以父基本策略级别开头, 下分多个子策略级别, 最后以分配了最终策略的计算机级别结束亚安全服务器深度安全防护系统提供了一个策略集合, 在设计为您环境定制的策略时可以将其用作初始模板 : 继承子策略从其父策略继承设置这允许您创建一个策略树, 该树以配置有将应用于所有计算机的设置和规则的基本父策略开头这样, 此父策略便会有一组子策略及后代策略, 这些策略具有越来越多的针对性设置您可以根据适合您环境的任意种类的分类系统构建策略树例如, 亚安全服务器深度安全防护系统策略树中的亚安全服务器深度安全防护系统亚安全服务器深度安全防护系统分支具有两个子策略, 一个专用于托管亚安全服务器深度安全防护系统管理中心的服务器, 另一个专用于亚安全服务器深度安全防护系统虚拟设备这是一个基于角色的树结构亚安全服务器深度安全防护系统还具有三个专用于特定操作系统 (Linux Solaris 和 Windows) 的分支 Windows 分支具有后续子策略, 可适用于各种子类型的 Windows 操作系统在概述页面的 Windows 策略编辑器中, 您可以看到 Windows 策略被创建为基本策略的子策略策略的防恶意软件设置为已继承 ( 关闭 ): 256

展开

趋势科技服务器深度安全防护系统 9.5 管理员指南

趋势科技服务器深度安全防护系统 9.5 管理员指南趋势科技 ( 中国 ) 有限公司保留对本文档以及此处所述产品进行更改而不通知的权利在安装及使用本软件之前, 请阅读自述文件发布说明和最新版本的适用用户文档, 这些文档可以通过趋势科技的以下 Web 站点获得 : http://www.trendmicro.com/download/zh-cn/ Trend Micro Trend Micro t- 球徽标 Deep Security Control