TSOCSA泰合信息安全运营中心系统日志审计系统V用户手册.pdf

1、泰合信息安全运营中心系统泰合信息安全运营中心系统泰合信息安全运营中心系统泰合信息安全运营中心系统-日志审计日志审计日志审计日志审计系统系统系统系统用户手册用户手册用户手册用户手册北京启明星辰信息安全技术有限公司2011 年 12 月安全源自未雨绸缪，诚信贵在风雨同舟第 2 页 共 72 页版权声明版权声明版权声明版权声明启明星辰公司版权所有，并保留对本手册及本声明的最终解释权和修改权。本文档是泰合信息安全运营中心系统-日志审计系统的用户手册，本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息安全技术有限公司。未经北

2、京启明星辰信息技术安全有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。本文档中的信息归北京启明星辰信息安全技术有限公司所有并受著作权法保护。“泰合”为北京启明星辰信息安全技术有限公司的注册商标，不得仿冒。免责声明免责声明本手册依据现有信息制作，其内容如有更改，恕不另行通知。启明星辰公司在编写该手册的时候已尽最大努力保证其内容准确可靠，但启明星辰公司不对本手册中的遗漏、不准确或错误导致的损失和损害承担责任。信息更新信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且

3、随时可由北京启明星辰信息安全技术有限公司（下称“启明星辰”）更改或撤回。出版时间出版时间本文档于 2011 年 12 月由北京启明星辰信息安全技术有限公司泰合中心编写。安全源自未雨绸缪，诚信贵在风雨同舟第 3 页 共 72 页客户服务与技术支持客户服务与技术支持客户服务与技术支持客户服务与技术支持如果您在使用泰合产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。启明星辰公司客户服务部的联系方式如下：地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦电话：010-82779160传真：010-82779151 接收者：服务支持部网站支持：

4、MAIL 支持：信函支持邮编：100193或者您可以拨打 800 热线：热线电话：800-810-6038（服务时段为周一至周五的 9:00-17:30，包括国家法定节假日）安全源自未雨绸缪，诚信贵在风雨同舟第 4 页 共 72 页目录1 1 1 1系统概述系统概述.8 8 8 81.1概述.81.2串口管理.81.3WEB 管理.81.4系统默认配置.101.5功能介绍.101.6名词解释.112 2 2 2首页首页.131313132.1导航栏.132.2管理面板.132.2.1默认面板.132.2.2自定义面板.142.3工具按钮.152.4模块最小化.163 3 3 3资产资产.171

5、717173.1资产拓扑.173.1.1资产域.173.1.2资产组.183.1.3资产.193.1.3.1资产操作.193.1.3.2设置资产图标.203.1.3.3查看资产事件.203.1.3.4查看资产告警.203.1.3.5自动添加资产.213.1.3.6查询资产.213.1.4拓扑连线.213.2资产分类.223.2.1设备分类.223.2.2属性分类.224 4 4 4审计审计.232323234.1监视策略.234.1.1策略组.234.1.2策略操作.244.1.3事件监视.264.1.3.1事件图.264.1.3.2事件列表.274.1.3.3事件详细信息.274.1.3.4

6、事件导出.28安全源自未雨绸缪，诚信贵在风雨同舟第 5 页 共 72 页4.1.3.5事件定位.284.1.3.6行为分析.284.1.3.7事件调查.294.2统计策略.294.2.1策略组.294.2.2策略操作.304.2.3事件统计.324.2.3.1统计图.334.2.3.2统计结果列表.334.2.3.3事件列表.344.2.3.4事件详细信息.344.3查询策略.344.3.1简单查询.344.3.2策略组.354.3.3策略.364.3.4查询结果.385 5 5 5规则规则.393939395.1规则组.395.2规则.405.2.1新增规则.405.2.2规则操作.436

7、6 6 6告警告警.454545456.1告警列表.456.1.1告警处理.456.1.2导出.456.1.3导入.466.1.4刷新.466.2告警查询.467 7 7 7报表报表/报告报告.474747477.1报表组.477.2系统内置报表.487.3自定义报表.487.4报表操作.507.4.1查看.507.4.2导出.507.4.3调度.517.4.4复制.517.4.5移动.527.5报告.528 8 8 8采集器采集器.535353538.1采集器列表.53安全源自未雨绸缪，诚信贵在风雨同舟第 6 页 共 72 页8.1.1注册采集器.538.1.2刷新列表.538.2采集参数配

8、置.548.3采集任务配置.559 9 9 9系统系统.565656569.1系统配置.569.1.1服务器配置.569.1.1.1邮件配置.569.1.1.2短信配置.569.1.1.3用户认证配置.579.1.1.4GoogleMap 配置.579.1.1.5系统时间同步.579.1.2数据备份与维护.579.1.2.1数据备份.579.1.2.2数据维护.589.1.3产品授权与升级.599.1.4系统自身监控.599.1.5系统资源.609.1.5.1地址资源.609.1.5.2端口资源.609.1.5.3时间资源.609.1.6日志采集器.619.1.6.1Windows 日志代理.

9、619.1.6.2日志采集器.619.2字典表.629.3过滤器.629.3.1过滤器组.639.3.2过滤器.649.4合并规则.6610101010权限权限.6767676710.1内置角色与用户.6710.2用户管理.6810.2.1新增用户.6810.2.2编辑用户.6810.2.3删除用户.6810.2.4锁定和解锁用户.6910.3角色管理.6910.3.1新增角色.6910.3.2编辑角色.6910.3.3删除角色.70附录附录.71717171安全源自未雨绸缪，诚信贵在风雨同舟第 7 页 共 72 页附录 1 TSOC-SA 常见命令.71附录 2 需要开放端口列表.72安全源

10、自未雨绸缪，诚信贵在风雨同舟第 8 页 共 72 页1 1 1 1 系统概述系统概述1.1 概述概述泰合信息安全运营中心系统-日志审计系统（以下简称 TSOC-SA）是启明星辰信息安全技术有限公司泰合信息安全运营中心系统（TSOC）系列安全管理产品的重要成员。TSOC-SA 能够实时采集企业和组织中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息，并将数据信息汇集到审计中心，进行集中存储、展现、查询和审计。各种安全产品及设备的日志数据通常杂乱无序，同时也无法体现它们之间的相互关系。TSOC-SA 为解决这些问题建立起一个信息交换、信息存储、信息处理

11、的平台，通过该平台，可以对各类产品的日志、事件进行统一管理、分析。它适用于对日志管理要求较高的政府机关、运营商、金融机构及一些大中型企业。TSOC-SA 采用 B/S 架构设计，方便用户管理。TSOC-SA 硬件型和软件型都支持 WEB 管理方式，其中 TSOC-SA 硬件型还支持通过 Console 口进行基本的配置。WEB 访问推荐使用 IE7.0 及以上版本、Mozilla Firefox6 及以上版本浏览器，最佳显示分辨率为 1024768。1.2 串口管理串口管理TSOC-SA 硬件型可以通过超级终端连接设备的串口进行基本的设置，包括：配置设备的网络属性（IP 路由等）、启动停止、恢

12、复出厂设置等。详细使用方法参考泰合信息安全运营中心系统-日志审计系统安装手册。1.3 WEBWEBWEBWEB 管理管理在浏览器地址栏输入：http:/SERVER_IPSERVER_IP:8888/sa 即可以访问系统。如果系统支持 SSL，则在浏览器地址栏输入：https:/SERVER_IPSERVER_IP:8443/sa安全源自未雨绸缪，诚信贵在风雨同舟第 9 页 共 72 页访问系统。输入用户名、密码即可登录，登录后的界面结构如下：1.导航栏：系统导航栏，模块功能列表。2.配置按钮：点击可以配置管理面板。3.工具栏：全屏、告警提示框开关、换肤、帮助、当前用户信息、退出系统。4.管理

13、面板：管理面板区域，点击导航栏时，不同模块的内容展示区域。导航栏配置工具按钮管理面板区域模块最小化图标服务器当前时间当前登录用户License 信息安全源自未雨绸缪，诚信贵在风雨同舟第 10 页 共 72 页5.模块最小化图标：以前查看过的模块的最小化图标，点击可以重新打开，列表中最多可以显示 10 个，点击右侧的关闭图标，可以关掉当前窗口。6.服务器时间及当前用户信息。7.License 信息：显示当前系统拥有的 License 信息。1.4 系统默认配置系统默认配置TSOC-SA 硬件型系统默认的设备管理 IP 地址为：10.0.0.1TSOC-SA 系统的默认登录用户名用口令为：root

14、/venus.root，请登录系统后及时修改。此外，系统还内置了以下三个角色与用户，登录后请首先修改口令：系统管理员:具备系统配置，日志审计操作的权限，对应的内置用户名与口令为：sysadmin/venus.sysadmin。用户管理员:具备用户管理和权限管理操作的权限，对应的内置用户名与口令为：useradmin/venus.useradmin。审计操作员:具备对系统操作进行审计的权限，对应的内置用户名与口令为：auditor/venus.auditor。注：系统目前推荐的客户端浏览器版本为:IE7/IE8。1.5 功能介绍功能介绍TSOC-SA 包含如下功能组件：1.首页：通过图表以图形化

15、的方式展示当前企业或组织的整体安全状况。用户可以从不同的角度了解各种实时信息。2.资产：对企业或组织中的所有设备资产进行统一管理。可以通过资产的详细视图查看资产最近的相关事件以及告警信息。3.审计：包含监视策略、统计策略、查询策略三部分。可对收集的日志进行实时的监视、统计分析和查询。1)监视策略：通过定义不同的策略，来实时地监视企业或组织内的设备、应用的事件，或者对其进一步分析。安全源自未雨绸缪，诚信贵在风雨同舟第 11 页 共 72 页2)统计策略：通过定义不同的策略，以统计图的方式实时展示企业或组织内的设备、应用的事件。3)查询策略：可以直接查询系统中存贮的海量事件、或者通过定义不同的策略

16、来查询相应的事件。4.规则：通过设置规则，可以将符合规则的事件生成告警，同时触发各种告警动作。5.告警：对系统中的告警信息进行查询、处理。6.报表：以统计报表或报告的方式对设备的日志进行分析、展示。系统预定义了一些常用的报表，同时用户可以根据自身业务和管理的需要来自定义报表。7.采集器：通过采集器，系统可以被动地接收设备发送的日志，也可以主动地去采集设备的日志。8.系统：配置一系列的系统运行环境参数，以供系统的其他组件使用。包括资源、过滤器、合并规则、字典表、邮件、短信、系统备份与恢复、日志采集器下载、以及系统自身监控等。9.权限：采用基于角色的权限管理机制，来支持对用户访问系统进行权限控制。

17、1.6 名词解释名词解释审计中心审计中心指泰合信息安全运营中心系统-日志审计系统(TSOC-SA)的管理中心日志日志指网络设备、安全设备、操作系统、数据库、中间件、Web 应用等监控对象运行过程中所产生的反映性能、故障等信息的原始记录。范式化范式化按照一定的规范，对设备日志进行分析、格式化的过程。告警告警由网络管理、系统管理或安全管理对日志进行范式化、分析、过滤、归并后，匹配某种规则或由阈值触发的事件。安全源自未雨绸缪，诚信贵在风雨同舟第 12 页 共 72 页安全事件安全事件由安全管理对告警事件、漏洞扫描结果、预警事件、脆弱性事件进行综合分析，有可能或已经对信息系统造成安全危害的告警。关联分

18、析关联分析从海量事件中有目的地发现和提取出特定事件的过程和做法。日志采集器日志采集器用于实现日志采集，并把事件转发给审计中心。采集方式包括主动采集数据库日志、文件日志、主机日志等，被动接收 Syslog、SNMPTrap、UDP、TCP 数据包等。日志采集器可以安装在被采集设备上，也可以独立部署在另外的服务器上。安全源自未雨绸缪，诚信贵在风雨同舟第 13 页 共 72 页2 2 2 2 首页首页2.1 导航栏导航栏导航栏显示系统各功能模块的图标，点击可以进入该功能模块并显示该功能模块的管理面板。系统预定义了一些功能模块，但用户可以自定义管理面板，并将其放在导航栏上，具体配置方法请参考下面的【管

19、理面板】部分。2.2 管理面板管理面板管理面板是当点击导航栏上的不同模块时，该模块的内容展示区域。管理面板可以将多个不同的组件组合起来，在同一个页面进行展示。系统内置了一些预定义的管理面板，用户还可以自定义管理面板。2.2.1 默认面板初始化的系统预定义了一个默认的管理面板，在导航栏中的名称为【首页】。首页的内容包括：1.最近 30 分钟告警状态以预警事件图的方式显示最近 30 分钟的告警状态。预警雷达圆形区域中的点表示告警的 IP 地址，采用 IP 地址子网地址和主机地址来定位具体位置，实际按照 IP 地址的最后两位来定位。圆周角度和半径值分别表示定位的两个坐标，圆周的角度作为横坐标，半径作

20、为纵坐标，将圆周角度等分为 255 份，将 IP 地址的倒数第二位的值作为横坐标，圆形区域的 Y 轴坐标（半径）分为 9 等份，每一等份的点表示 30 个 IP 地址，因此从内到外的 9 个点分别表示的数值为 1-30，31-60，.，240-255。例如 10.50.10.1，10 对应圆周 X 轴，1 对应圆形半径 Y 轴，这样同一子网内的地址就会显示在同一个半径的区域内。安全源自未雨绸缪，诚信贵在风雨同舟第 14 页 共 72 页以点的颜色表示在 30 分钟内相关设备的最高的告警等级。鼠标移动到点上，会以 tooltips 的方式显示该点相关的设备的最近 10 条告警信息。2.24 小时

21、内最近 10 条告警显示 24 小时内最近发生的 10 条告警。3.最近 24 小时资产告警排行 Top10以柱状图的方式显示最近 24 小时内告警最多的 10 个资产。4.最近 1 小时事件趋势左侧按照事件等级显示最近 1 小时内的事件总数，右侧以趋势图的方式显示最近一小时内的事件趋势。5.最近 5 分钟事件一览左侧第一个图显示最近 5 分钟内最高的告警等级，第二个图显示最近 5 分钟内的事件总数（单位为 K），右边显示最近 5 分钟内每个事件分类的事件总数。2.2.2 自定义面板系统除了内置的管理面板外，还可以自定义管理面板，并将其放到导航栏上，或者放到内置的分类区域上。管理面板的配置步骤

22、如下：1.点击导航栏右侧的图标，会以分类区域的方式显示当前已经配置的管理面板项，分类区域是按功能划分的逻辑区域，比如审计面板、监视面板等，如下图：2.点击第一栏中的“+”号图标，可以新增管理面板，如下图：安全源自未雨绸缪，诚信贵在风雨同舟第 15 页 共 72 页1)基本信息包括：名称：管理面板的名称图样：管理面板在栏目中显示的图标栏目：管理面板放在哪个栏目2)部件选择包括：样式：以标签的方式展示，还是以门户的方式展示；以门户的方式展示时，需要设置分几列展示，每栏占整体页面的百分比。不需要设置分几行展示，根据您选择的部件的数目会自动设置分几行展示。部件树：可在管理面板中显示的部件，选中后，显示

23、在管理面板中。图片：可以显示在管理面板中，以 URL 的方式输入页面：可以显示在管理面板中，以 URL 的方式输入3.点击确定，可以将新增的管理面板放入管理面板栏目中，此处，你可以直接拖动管理面板将其拖入导航栏或别的栏目，然后点击保存按钮保存。目前系统不支持编辑自定义的管理面板，只能先删除旧的面板，再重新定义面板。将欲删除的管理面板图标，拖动到右下角的垃圾框里，即可删除。当修改了管理面板所在的位置时，只有点击保存图标，才会将修改保存。2.3 工具按钮工具按钮工具按钮栏位于首页的右上角，包括的操作有：全屏开关：切换系统是否全屏显示（全屏显示不会使 IE 全屏，IE 全屏请按 F11）告警提示框开

24、关：当用户在规则的告警动作中设置了弹出对话框时，如果有告警，首页会弹出提示框，此处可以选择是否不再弹出对话框安全源自未雨绸缪，诚信贵在风雨同舟第 16 页 共 72 页 换肤：系统换肤功能(换肤后需要重新登录)帮助：在线帮助 帐户：可以修改当前用户的个人信息 退出登录：退出当前系统，进入重新登录页面2.4 模块最小化模块最小化模块最小化区域位于系统的左下角，用户以前查看过的模块，系统并不会关掉，只会以图标的方式显示在此处，点击图标可以重新打开。点击右侧的关闭图标，可以关掉当前窗口。注：列表中最多可以显示 10 个最小化图标。安全源自未雨绸缪，诚信贵在风雨同舟第 17 页 共 72 页3 3 3

25、 3 资产资产资产管理实现了对企业或组织中的 与审计相关的 IP 设备的管理。资产管理分为两个部分：资产拓扑、资产分类。3.1 资产拓扑资产拓扑资产拓扑主要是采用可视化的拓扑图界面对资产进行管理，包括划分管理域、添加资产、修改资产、删除资产等，同时通过拓扑图的方式展示资产的分布、关联关系、事件及告警状态等信息。在 TSOC-SA 中，资产以资产域的方式进行分区管理，物理区域或者管理区域中的一些特性，如资产范围、所属区域、所属网络，所属部门等，均可以作为资产域。在使用资产时，通常首先规划并创建资产域；其次，根据需要在资产域中进一步划分资产组；最后，在相关的资产域或资产组中创建资产。3.1.1 资

26、产域资产域通常代表网络的一个逻辑部分，不要求单独的、具有连续的 IP 地址块。如果网络中存在有相同 IP 地址的机器，可以创建不同的区域，将资产分类以免冲突。资产域可以按照物理或者逻辑的实际需求来划分。【资产拓扑】首页面以资产域门户的形式显示了当前系统中的管理域。在这里可以进行管理域的添加、修改、删除、查看、查询操作，对于不同的管理域，您可以选择不同的图标来表示。系统中有一个预定义的默认资产域，对于这个资产域，用户可以在其中增加、编辑、删除资产，但不可以编辑、删除此资产域。1、新增资产域点击资产拓扑首页面的“+”号图标，即可以新增资产域。新增资产域时，可以输入：域名称、域描述、域图标。安全源自

27、未雨绸缪，诚信贵在风雨同舟第 18 页 共 72 页2、编辑资产域当鼠标挪动到资产域上时，资产域的右上角会显示编辑与删除按钮，点击编辑按钮，可以编辑当前资产域的信息。3、删除资产域当鼠标挪动到资产域上时，资产域的右上角会显示编辑与删除按钮，点击删除按钮，可以删除当前资产域。删除资产域前，会弹出确认删除的提示信息，点击确定，删除资产域。如果资产域中包含资产组或资产，在弹出的确认删除提示信息中，还需要选中确认删除资产或资产子目录，才能删除。一旦删除，不能恢复，请小心删除。4、查看资产域双击资产域，可以进入资产域，查看资产域包含的资产或资产组。进入资产域后，默认的显示方式为资产拓扑，可以点击【列表显

28、示】，以列表的方式显示资产。点击【返回】按钮，可以返回上一级资产拓扑视图。注：列表显示只显示当前资产域包含的资产，不会显示当前资产域包含的资产组。5、显示方式资产域在资产拓扑中默认以普通视图的方式显示，点击资产拓扑视图上方的【显示方式】按钮，可以选择以动态视图或普通视图的方式显示资产域，在动态视图中，仍然可以进行资产域的增加、编辑、删除等操作。3.1.2 资产组管理域中可以用资产组对资产进行再次划分。资产组支持父子嵌套，即一个资产组中还可以包含另一个资产组（注：除非必须，不建议使用太多的资产组嵌套，资产组层次过多不便于资产管理）。资产组以拓扑图节点的形式显示在资产拓扑中。在界面上双击资产组，可

29、以查看资产组内的资产或子组。点击工具栏的“返回”按钮，可以返回上一级资产组。安全源自未雨绸缪，诚信贵在风雨同舟第 19 页 共 72 页1、新增资产组进入资产域，点击【新增组】，即可以新增资产组。新增资产组时，可以输入：名称、描述。2、编辑资产组选中资产组，点击【编辑】按钮，即可以编辑选中的资产组。3、删除资产组选中资产组，点击【删除】按钮，会弹出确认删除的提示，点击确定，即可以删除选中的资产组。注意：删除资产组，会将资产组下的资产同时全部删除，请谨慎删除。3.1.3 资产3.1.3.1资产操作1、新增资产资产可以手动创建或者根据接收事件的设备地址自动添加，默认不自动添加，如果需要配置请在资产

30、拓扑首页工具栏的【策略配置】中设置。进入资产域或资产组，点击【新增】按钮，即可以新增资产。新增资产时，可以输入基本属性与分类属性。资产的基本属性包括：必备属性：名称、IP、资产类型可选属性：MAC、地理位置、联系人、描述资产的分类属性，可以将资产分类中定义的分类，作为属性赋给资产。系统预定义了一个操作系统分类属性，用户可以在【资产分类】中新增分类属性。2、编辑资产进入资产域或资产组，选中欲编辑的资产，点击【编辑】按钮，即可以编辑选中的资产。资产的所有属性均可编辑。3、删除资产进入资产域或资产组，选中欲删除的资产，点击【删除】按钮，弹出确认删除提示框，点击确认，即可以删除选中的资产，一经删除，不

31、可恢复。安全源自未雨绸缪，诚信贵在风雨同舟第 20 页 共 72 页4、移动资产进入资产域或资产组，选中欲移动的资产，点击【移动】按钮，在显示的对话框中选择一个资产域或资产组，点击【确定】，可以将资产移动到选定的资产域或资产组中。同时刷新当前资产域的页面。系统支持批量移动资产。3.1.3.2设置资产图标资产节点的图标显示模式支持默认、详图、略图三种模式：默认即是资产图标模式。详图模式采用较大的区域显示资产的更详细信息，包括 IP 地址，资产类型，最近 5 分钟的事件数量及告警状况。略图仅仅显示资产的告警状态，主要用于背景图模式，您可以将自行绘制的资产域拓扑作为背景图放置到资产拓扑，把资产图标的

32、略图作为标签放置到背景图中该资产的位置，这样就可以在背景图中显示该资产的告警状态。选中资产，点击工具栏中的【设置图标】按钮，即可以更改资产的图标显示模式。在资产拓扑中，资产图标的右上角会显示此资产最近 5 分钟的事件趋势图，右下角会显示此资产最近 5 分钟的告警状态。3.1.3.3查看资产事件选中资产，点击工具栏中的【查看事件】按钮，即可以查看该资产最近 5 分钟内的相关事件列表，点击列表中的事件，可以查看该事件的详细信息。3.1.3.4查看资产告警选中资产，点击工具栏中的【查看事件】按钮，即可以查看该资产最近 5 分钟内的相关告警列表，点击列表中的告警名称，可以查看该告警的详细信息。安全源自

33、未雨绸缪，诚信贵在风雨同舟第 21 页 共 72 页3.1.3.5自动添加资产在资产拓扑的首页面中，点击【策略配置】按钮，可以启用资产的自动添加功能，自动添加是指当系统接收到事件时，会将设备地址作为资产的 IP 地址，自动生成一个资产，并放入资产库，同时显示在资产拓扑的默认资产域中。3.1.3.6查询资产在资产拓扑的首页面中，点击【查询资产】按钮，可以以列表的方式分页显示当前系统中的所有资产。在列表页面中，可以按资产名称、资产 IP、或资产类型查询资产。3.1.4 拓扑连线1、新增连线选中资产组或资产，然后点击【连线】按钮，鼠标会变成“+”字，用鼠标在想要连接的两个设备或组之间划线，即可以将它们连接起来，默认的连线不带箭头。2、编辑连线点击拓扑视图右上角的图标，可以弹出拓扑操作工具栏，通过工具栏可以对当前拓扑进行如下操作：显示当前拓扑的略图，并可以放大、缩小；更换当前拓扑的背景图；更换当前