在此页面上
开始
开始之前
在安装瞻博网络 ATP 设备产品之前,请确保您满足以下安装、设置、安全和现场要求:
阅读当前版本的瞻博网络 ATP 设备发行说明。
阅读特定于您产品的瞻博网络 ATP 设备快速入门指南,熟悉设备、AWS、SaaS 或虚拟机 OVA。
收集瞻 博网络 ATP 设备网络信息中概述的信息和设备,包括以下项目:
瞻博网络 ATP 设备信息
网络信息
客户端信息。
请遵循 访问瞻博网络 ATP 设备接口中列出的准则。
瞻博网络 ATP 设备网络信息
有关硬件规格和设置说明,请参阅 JATP700 Appliance Hardware Guide。
在连接和配置设备之前,请收集下面表 2-1 中概述的网络相关信息。
网络项 |
所需信息 |
---|---|
瞻博网络 ATP 设备 |
|
DNS(域名服务)服务(可选) |
一个或多个 DNS 服务器的 IP 地址 |
NTP(网络时间协议)服务(可选) |
一个或多个 NTP 服务器的 IP 地址 |
远程管理(可选) |
如果要远程访问瞻博网络 ATP 设备 CLI,远程系统必须具有以下条件之一:
注意:
如果使用 Putty 作为 SSH 客户端,请始终使用最新版本的 Putty 进行 SSH 操作。 |
CM (中央经理) |
|
管理网络
下表汇总了瞻博网络 ATP 设备和 CM 连接的所有端口和协议配置。请注意,默认情况下,所有设备上的管理界面均为 eth0。GSS的所有自动更新都由Core/CM或一体化系统专门处理。
在安装过程中,必须为内部和外部服务器和服务打开通信端口和协议。
重要说明:主核心/CM 和辅助核心/Mac 核心必须位于同一网络上,并允许所有端口,没有端口地址 (PAT) 或网络地址转换 (NAT)。
表 2 列出了所有内部和外部端口和协议。
内部服务器
描述 |
协议 |
源 |
目的地 |
港口 |
---|---|---|---|---|
CLI 管理 |
Tcp |
管理工作站 |
核心/收集器/辅助核心管理界面 |
22 |
CM 网页用户界面管理 |
Tcp |
管理工作站 |
CM 管理界面 |
443 |
DNS 查询 |
TCP/UDP |
核心/收集器/辅助核心管理界面 |
内部 DNS 服务器 |
53 |
Ntp |
Udp |
设备管理界面 |
NTP 服务器 |
123 |
Syslog |
Udp |
设备管理界面 |
SIEM/Syslog CEF 服务器 |
514 |
CM 连接 |
Tcp |
收集器和辅助核心管理界面 |
CM 管理界面 |
443 |
管理端口 eth0
使用管理端口 eth0 接口管理和使用分布式瞻博网络 ATP 设备。瞻博网络 ATP 设备通过此端口交换安全内容,并通过该端口管理与 CM 的集成。管理接口必须是可通过以下端口访问瞻博网络 ATP 设备 IP/主机名的网络路由接口:
DNS (UDP/53)
HTTPS (TCP/443)
SSL/TLS 端口 443 应在收集器和核心/CM 之间打开,以进行流量检查和恶意软件行为分析。
如果使用 Putty 作为 SSH 客户端,请始终使用最新版本的 Putty 进行 SSH 操作。
要为管理接口设置 IP 地址和 DNS,将使用名称管理接口(而不是 eth0)。
监控端口 eth1
使用网络分路器将网络流量的副本从网段发送到瞻博网络 ATP 设备收集器的 eth1 网络监控端口。水龙头不会干扰交通,如果关闭,则允许交通畅通无阻地通过。有关详细信息,请参阅 和 。
eth1 是唯一受支持的流量监控端口。
分析发动机排气口 eth2
该选项可用于配置备用接口,以在检测引爆过程中将分析引擎流量耗尽和 CnC 通信从管理网络 eth0 移至单独的接口 eth2。
可以为主内核+CM、一体式内核和 Mac Mini 辅助内核配置 eth2 接口。Mac Mini 需要 USB 到 NIC 适配器来设置备用接口。
端口扫描检测器和 SSH 蜜罐端口 eth3
还有一个选项可以为所有出站收集器流量配置 eth3 端口。
SSH 蜜罐横向检测配置需要瞻博网络 ATP 设备高级许可证。蜜罐接口始终枚举为 eth3。
外部服务器
表 3 列出了瞻博网络 ATP 设备系统需要其传出连接的每台外部服务器的端口和协议。有关详细信息,请参阅下面的警告和注释。
从 ATP 设备版本 5.0.7 开始,GSS 服务域已从 *.cloud.cyphort.com 更改为 *.gss.junipersecurity.net。您必须更改现有防火墙规则以允许流向新 *.gss.junipersecurity.net 域的出站流量。在过渡到新域期间,这两个域都将有效。*.cloud.cyphort.com 将在未来逐步淘汰。我们建议您尽快过渡到新域。
如果防火墙不支持域的通配符,则必须为以下服务打开端口 443:
gss.gss.junipersecurity.net
filestore.gss.junipersecurity.net
rep.gss.junipersecurity.net
update.gss.junipersecurity.net
rs.gss.junipersecurity.net
打开防火墙以访问新域 (*.gss.junipersecurity.net) 后,必须通过单击 ATP 设备 UI 中的 “重新启动服务 ”来重新启动所有服务,以便 ATP 设备核心可以连接到新域。为避免重新启动 ATP 设备服务,可以在升级到新版本之前同时打开新旧域的防火墙。升级成功后,您可以关闭旧域 (*.cloud.cyphort.com) 的防火墙。如果在升级期间无法访问新域,则在关闭旧域的防火墙 (*.cloud.cyphort.com) 后,必须通过单击 ATP 设备 UI 中的 “重新启动服务 ”来重新启动所有服务,以便 ATP 设备核心可以连接到新域 (*.gss.junipersecurity.net)。
如果升级后无法访问 *.gss.junipersecurity.net,ATP 设备核心会自动回退到旧域 (*.cloud.cyphort.com)。这样做是为了帮助您过渡到新域。
如果 ATP 设备核心无法访问 *.gss.junipersecurity.net 域,ATP 设备每 12 小时发送一次运行状况通知警报(前提是您已配置系统运行状况警报通知)。若要停止这些警报,必须打开防火墙以允许 443 从 ATP 设备核心进入新域 (*.gss.junipersecurity.net)。
相对于瞻博网络 ATP 设备核心或 vCore 的外部服务器说明 |
源 |
目标主机名/IP 地址 |
目的地港口 |
协议 |
---|---|---|---|---|
SIEM/系统日志服务器 |
|
SIEM/系统日志服务器的 IP 地址 |
514 |
Udp |
DNS 服务器 |
|
客户的 DNS 服务器 IP 地址 |
53 |
TCP/UDP |
Ping 测试 |
|
8.8.8.8 |
Icmp |
|
瞻博网络 ATP 设备软件和内容 |
|
gss.gss.junipersecurity.net update.gss.junipersecurity.net |
443 |
Tcp |
瞻博网络 ATP 设备 GSS 报表服务器 |
|
gss.gss.junipersecurity.net filestore.gss.junipersecurity.net |
443 |
Tcp |
信誉服务器瞻博网络 ATP 设备 |
|
rep.gss.junipersecurity.net |
443 |
Tcp |
瞻博网络 SRX 防火墙
注意:
通过 SRX 防火墙缓解 |
|
客户配置的 SRX 设备和安全策略 |
443 |
Tcp |
Palo Alto Networks PAN 设备或 Panorama、Cisco ASA、Checkpoint、Fortinet 或 FortiManager
注意:
通过集成防火墙缓解 |
|
客户配置的 PAN 设备 |
830 |
Tcp |
人群罢工和/或炭黑响应服务器
注意:
通过炭黑响应进行缓解/验证 |
|
客户配置的炭黑服务器 |
443 |
Tcp |
蓝衣代理SG
注意:
通过蓝衣代理进行缓解 |
|
客户配置的 BlueCoat 代理 |
443 |
Tcp |
总之,请务必将核心/CM 传出互联网连接配置为:
配置从瞻博网络 ATP 设备管理接口 eth0 到企业 SMTP 服务器、DNS 服务器和日志记录/SIEM 服务器的传出访问。
核心引擎使用 TCP 端口 22 连接到单独的 Mac Mini OSX 或其他辅助核心,安装分布式 Mac OS X 引擎时请务必打开此端口。所有通信均在 eth0 上进行。此版本中保留了其他端口(另请参阅 分析引擎排气端口 eth2 和 配置备用分析引擎接口)。
如果配置瞻博网络 ATP 设备电子邮件收集器,则还必须打开用于访问电子邮件服务器的端口。所有通信都通过 eth0 在瞻博网络 ATP 设备管理网络中进行。此版本中保留了其他端口(请参阅 分析引擎排气端口 eth2 和 配置备用分析引擎接口)。
主核心/CM 和辅助核心/Mac 核心必须位于同一网络上,并允许所有端口,没有端口地址 (PAT) 或网络地址转换 (NAT)。
管理接口 eth0 需要静态 IP 地址或保留的 DHCP 地址和网络掩码。但是,如果这是 CM 连接的设备,请仅使用静态 IP 地址和网络掩码。请参阅下面的其他中央管理器 (CM) 通信信息。
请勿在主接口上使用 ZeroConf。
如果使用 Putty 作为 SSH 客户端,请始终使用最新版本的 Putty 进行 SSH 操作。
瞻博网络 ATP 设备 Web UI 支持
瞻博网络 ATP 设备 Web UI 支持的浏览器如下:
Windows Users
Internet Explorer 11.0 或更高版本
FireFox® 31 或更高版本
谷歌浏览器 36 或更高版本
Mac Users
野生动物园 7.0.2
谷歌浏览器 36 或更高版本
FireFox® 31 或更高版本
屏幕分辨率支持
瞻博网络 ATP 设备 Web UI 支持使用以下屏幕分辨率:
|
|
|
|
|
|
|
|
|
|
|
访问瞻博网络 ATP 设备接口
您可以使用以下界面收集信息并与瞻博网络 ATP 设备进行交互:
命令行界面 (CLI)
瞻博网络 ATP 设备中央管理器 Web UI
有关 CLI 和 CLI 命令语法和用法的更多信息,请参阅瞻博网络 ATP 设备 CLI 命令参考。
启动配置向导
要启动配置向导,请输入 CLI 命令向导。
JATP# wizard
在 CLI 提示符下,输入您的用户名和密码。默认情况下,管理员用户名为 admin,密码为 1JATP234。
请务必在初始设置后更改管理员帐户的默认密码;密码长度必须至少为 8 个字符。
出现提示时,输入 yes 以使用配置向导,然后按如下所示进行响应。
配置向导
配置向导提示 |
客户回复来自 All-in-One |
来自或的客户 Core 回复 Mac Mini |
客户回复来自 Collector |
---|---|---|---|
使用 DHCP 获取管理接口的 IP 地址和 DNS 服务器地址(是/否)?
注意:
仅当 DHCP 响应为否时,在出现提示时输入以下信息:
是否重新启动管理界面(是/否)? |
我们强烈建议不要使用 DHCP 寻址,因为它会动态变化。首选静态 IP 地址。 建议:回复“否”:
Enter yes 以应用新的配置设置重新启动。 |
我们强烈建议不要使用 DHCP 寻址,因为它会动态变化。首选静态 IP 地址。 建议:回复“否”:
Enter yes 以应用新的配置设置重新启动。 |
我们强烈建议不要使用 DHCP 寻址,因为它会动态变化。首选静态 IP 地址。 建议:回复“否”:
Enter yes 以应用新的配置设置重新启动。 |
输入有效的主机名(输入唯一名称) |
出现提示时键入主机名;不包括域;例如: juniperatp1 |
出现提示时键入主机名;不包括域;例如: juniperatp1 |
出现提示时键入主机名;不包括域;例如: juniperatp1 |
[可选] 如果系统检测到具有 eth2 端口的辅助内核,则会显示备用 CnC 排气选项: 使用交替排气来分析发动机排气流量(是/否)? 输入备用排气 (eth2) 接口的 IP 地址: 输入备用排气 (eth2) 接口的网络掩码:(示例:255.255.0.0) 输入备用排气 (eth2) 接口的网关 IP 地址:(例如:10.6.0.1) 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址:(示例:8.8.8.8) 您是否有用于交替排气 (eth2) 接口的辅助 DNS 服务器? 是否要输入备用排气 (eth2) 接口的搜索域?
注意:
重新启动完整的网络接口可能需要 60 秒以上 |
有关更多信息,请参阅 配置备用分析引擎接口 。 输入 yes 以配置备用 eth2 接口。 输入 eth2 接口的 IP 地址。 输入 eth2 网络掩码。 输入网关 IP 地址。 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址。 输入是或否以确认或拒绝 eth2 辅助 DNS 服务器。 输入“是”或“否”以指示是否要输入搜索域。 |
有关更多信息,请参阅 配置备用分析引擎接口 。 输入 yes 以配置备用 eth2 接口。 输入 eth2 接口的 IP 地址。 输入 eth2 网络掩码。 输入网关 IP 地址。 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址。 输入是或否以确认或拒绝 eth2 辅助 DNS 服务器。 输入“是”或“否”以指示是否要输入搜索域。 |
[流量收集器不发送或接收核心分析引擎 CnC 网络流量,因此不需要 eth2 接口。 |
重新生成 SSL 自签名证书(是/否)? |
输入 yes ,为瞻博网络 ATP 设备服务器 Web UI 创建新的 SSL 证书。 如果通过输入 no拒绝自签名证书,请准备好安装证书颁发机构 (CA) 证书。 |
输入 yes ,为瞻博网络 ATP 设备服务器 Web UI 创建新的 SSL 证书。 如果通过输入 no拒绝自签名证书,请准备好安装证书颁发机构 (CA) 证书。 |
不适用于收集器。 |
输入以下服务器属性: 这是中央管理器设备吗: 设备名称:(必须唯一) 设备说明 设备密钥密码短语
注意:
请记住此密码短语并将其用于所有分布式设备! |
输入是;系统将自动将 IP 127.0.0.1 设置为一体式 IP 地址。 输入瞻博网络 ATP 设备收集器主机名;这将标识 Web UI 中的收集器。 输入设备说明 输入用户定义的密码短语,用于向中央管理器验证核心。 |
输入是;系统将自动将 IP 127.0.0.1 设置为一体式 IP 地址。 输入瞻博网络 ATP 设备 Mac mini 或 Core/CM 主机名;这将标识 Web UI 中的 Mac OS X 或核心引擎。 输入设备说明 输入用于向中央管理器验证 Core 或 Mac Mini 的相同密码短语。 |
输入否;系统将要求您立即输入 CM IP 地址。 输入瞻博网络 ATP 设备收集器主机名;这将标识 Web UI 中的收集器。 输入设备说明 输入用于向中央管理器验证收集器的相同密码短语。 |
[可选] 如果系统检测到具有 eth2 端口的辅助内核,则会显示备用 CnC 排气选项: 使用交替排气来分析发动机排气流量(是/否)? 输入备用排气 (eth2) 接口的 IP 地址: 输入备用排气 (eth2) 接口的网络掩码:(示例:255.255.0.0) 输入备用排气 (eth2) 接口的网关 IP 地址:(例如:10.6.0.1) 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址:(示例:8.8.8.8) 您是否有用于交替排气 (eth2) 接口的辅助 DNS 服务器? 是否要输入备用排气 (eth2) 接口的搜索域?
注意:
注意:完整的网络接口重新启动可能需要 60 秒以上 ...重新启动交替排气 (eth2) 接口 ...重新启动完整的网络接口可能需要 60 秒以上 ...重新启动os_engine_eth2接口 等待os_engine_eth2准备就绪(MAXWAIT 为 32 秒)。 |
有关更多信息,请参阅 配置备用分析引擎接口 。 输入 yes 以配置备用 eth2 接口。 输入 eth2 接口的 IP 地址。 输入 eth2 网络掩码。 输入网关 IP 地址。 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址。 no输入yes或以确认或拒绝 eth2 辅助 DNS 服务器。 输入 yes 或 no 以指示是否要输入搜索域。 |
有关更多信息,请参阅 配置备用分析引擎接口 。 输入 yes 以配置备用 eth2 接口。 输入 eth2 接口的 IP 地址。 输入 eth2 网络掩码。 输入网关 IP 地址。 输入备用排气 (eth2) 接口的主 DNS 服务器 IP 地址。 no输入yes或以确认或拒绝 eth2 辅助 DNS 服务器。 输入 yes 或 no 以指示是否要输入搜索域。 |
流量收集器不发送或接收核心分析引擎 CnC 网络流量。 |
回答完所有问题后,向导将汇总答案。要更改答案,请输入步骤编号。要保存更改并退出,请按 <enter>。
要返回到配置向导以更改配置,请使用以下 CLI 命令:
JATP# wizard
请务必使用特殊字符在 CLI 参数中使用双引号。
有关命令语法和用法,请参阅瞻博网络 ATP 设备 CLI 命令参考。
瞻博网络 ATP 设备 Web UI 访问
瞻博网络 ATP 设备 Web UI 是一个安全的基于 Web 的防御系统配置和恶意软件分析管理界面。您可以通过使用 HTTPS 将 Web 浏览器指向设备配置的 IP 地址来访问它。例如,如果设备配置的 IP 地址为 10.8.20.2,则可以通过将浏览器指向 https://10.8.20.2 来访问设备 GUI。
在登录屏幕(如下图所示)中,输入默认用户名和密码。
默认用户名为 admin,密码为瞻博网络。请务必在初始登录后重置此默认密码。
CM Web UI 支持最多 32 个字符和至少 8 个字符的密码。可以使用字母(大写/小写)、数字和特殊字符,但密码中的双引号 (“)、空格或反斜杠字符 (\) 除外。
瞻博网络 ATP 设备 Web UI 登录用户名和密码与 CLI 管理员用户名和密码是分开的。
使用 SAML 身份验证登录瞻博网络 ATP 设备
配置 SAML 设置后,为其分配了 SAML 身份验证的用户在尝试访问瞻博网络 ATP 设备时,会自动重定向到企业的 IdP 登录页面。有关 SAML 身份验证的详细信息,请参阅 配置 SAML 设置 和 配置用户帐户。
有关瞻博网络 ATP 设备中央管理器 Web UI 的详细信息,请参阅使用瞻博网络 ATP 设备 Web UI。
使用 AD 身份验证登录瞻博网络 ATP 设备系统
配置 AD 身份验证后,将使用客户网络中的 RADIUS 协议通过 Active Directory (AD) 服务器对用户进行身份验证。
有关 AD 身份验证的详细信息,请参阅 配置 RADIUS 服务器设置 和 配置 Active Directory。
使用瞻博网络 ATP 设备 Web UI
本节介绍如何导航设备 Web UI 及其选项卡:
导航 CM Web UI
选项卡摘要
瞻博网络 ATP 设备 Web UI 中的选项卡摘要
瞻博网络 ATP 设备中央管理器 Web UI
每个 Web UI 选项卡的用途如下所述:
Dashboard—显示装置状态信息以及检测到的威胁和事件趋势。“操作仪表板”和“研究仪表板”上的特定于上下文的威胁视图会根据您的配置确定对企业影响最大的威胁的优先级。系统仪表板和收集器仪表板(Web 和电子邮件)提供有关系统和收集器运行状况和趋势的信息。事件时间线仪表板显示给定供应商的每个事件的高级威胁分析 (ATA) 数据以及端点 IP、主机名、用户名或电子邮件。
Incidents- 显示网络中各个杀伤链阶段的恶意或可疑下载或感染的详细信息级别。另 请参阅导航事件页面 以获取更多信息。
File Uploads- 在一个 Web UI 位置提供有关所有文件上载恶意软件分析结果的详细信息,无论是恶意的还是良性的。中央管理器 Web UI 中的文件上载处理功能包括从新的“文件上载”选项卡上载。增强的文件上传 API 接受第三方集成(如炭黑响应)的其他元数据,以提供与事件的无缝集成。有关更多信息,请参阅 提交恶意软件文件进行分析。
Mitigation—为检测到的特定威胁提供缓解选项,例如自动缓解、阻止来自网关或 IPS/下一代防火墙的回调,或者部署瞻博网络 ATP 设备感染验证包 (IVP) 或炭黑响应集成以确认目标端点上的感染。有关更多信息,请参阅 配置防火墙自动缓解。
Reports- 允许您生成或计划合并和详细的执行摘要报告,或系统审核报告。有关更多信息,请参阅生成报告
Custom Rules— 在瞻博网络 ATP 设备中央管理器 Web UI 自定义规则选项卡中显示自定义 Snort 规则匹配项;“事件”选项卡上提供了相关的 Snort 规则匹配项。有关向系统添加规则的信息,请参阅 配置自定义 SNORT 规则 。
Config- 允许您配置设备和软件系统设置以及配置分析、通知和缓解设置。
刷新 - 执行 CM 浏览器显示的刷新。始终在软件或安全内容更新后执行刷新。
System Health—显示瞻博网络 ATP 设备静态和动态引爆引擎及分析系统的运行状况指示器检查。所有指示灯都应显示绿色复选标记,表示系统运行状况良好。如果显示红色指示器,则需要执行故障排除操作。
行为引擎 |
核心引爆引擎 |
|
静态引擎 |
静态分析 |
|
相关 |
事件关联引擎 |
|
网络收集器 |
已启用的 Web 收集器的连接状态 |
|
辅助内核 |
已配置辅助内核的连接状态 (Mac OSX) |
Log Out- 执行当前中央管理器 Web UI 用户的注销。
部署分布式瞻博网络 ATP 设备系统
以下章节介绍了如何部署瞻博网络 ATP 设备高级威胁防御系统:
有关验证瞻博网络 ATP 设备部署的信息,请参阅瞻博网络 ATP 设备CLI 命令参考。
部署方案
本节介绍三种瞻博网络 ATP 设备高级威胁防护部署方案:
瞻博网络 ATP 设备在企业总部的部署
分布式和/或群集企业环境中的瞻博网络 ATP 设备防御
瞻博网络 ATP 设备分布式 SaaS/OVA 或虚拟部署
企业总部的瞻博网络 ATP 设备防御
在此场景中(参见下面的图 5),核心|CM 系统安装在企业总部,部署了三个物理流量收集器,以实现广泛的流量覆盖和服务集成。
收集器 1 定位于数据中心覆盖范围
收集器 2 定位于 Web 流量覆盖
收集器 3 位于防火墙处,用于覆盖和缓解/阻止
在此部署方案中,流量收集器提供网络覆盖范围,并与现有基础架构和 Core|CM 提供 Web 和电子邮件事件检测,同时在防火墙处执行风险感知缓解和阻止。
分布式企业环境中的瞻博网络 ATP 设备防御
分布式企业需要分布式威胁防御场景(见下图)。在此方案中,各种物理和虚拟收集器远程部署在分支机构,以进行持续检查和扩展网络可见性。
流量分析在分布式收集器上进行,然后将对象传送到核心|CM,部署在企业总部,网络对象在其中接受多操作系统引爆室执行,以进行最终威胁评估和缓解。
或者,核心|此分布式部署中的 CM 也可以配置为 OVA VM 或 SaaS 部署。此外,补充的瞻博网络 ATP 设备核心可以部署在公共或私有企业云中。
瞻博网络 ATP 设备分布式 SaaS/OVA 部署
在分布式 SaaS/OVA 部署中,流量收集器部署在多个分支机构的关键监控位置,使用 Core|总部的 CM 和作为虚拟机 OVA 安装在云中的收集器,用于检查和分析所有内容,并在配置的强制服务器(例如 PAN 或 SRX 防火墙)上触发缓解措施。
瞻博网络 ATP 设备核心可以部署在公共云、混合云或私有云中。
部署准则
以下部分概述了成功部署分布式核心|CM 或一体化瞻博网络 ATP 设备系统。在部署设备和/或虚拟(仅软件或 OVA)设备之前,请查看这些准则,以避免在部署后排查问题。
获取估计的带宽流量,包括平均/峰值信息,以优化瞻博网络 ATP 设备高级威胁防御解决方案的规模。带宽可以从网络路径中的上游路由器或防火墙获取。与瞻博网络 ATP 设备客户支持讨论您的企业网络带宽和拓扑要求。
Web 流量收集器可以部署在任何总部或远程位置。
应可以使用具有交换机镜像 (SPAN) 或 TAP 端口的网络交换机连接到流量收集器。SPAN/TAP 源应承载实时 HTTP 和非 HTTP 最终用户网络流量。
如果环境中使用了隐藏原始 IP 地址的 NAT(网络地址转换)或 Web 代理,则流量收集器必须能够看到 NAT 或代理流量的内部端。
瞻博网络 ATP 设备核心或一体机可以部署在企业网络中的任何位置,但通常部署在管理 VLAN 中。
在远程管理系统上准备好 SSH 客户端,以便通过 CLI 远程 CLI 访问瞻博网络 ATP 设备流量收集器和核心或一体化系统。
注意:如果使用 Putty 作为 SSH 客户端,请始终使用最新版本的 Putty 进行 SSH 操作。
检查瞻博网络 ATP 设备核心与远程管理系统之间的管理路径中的网络代理,然后相应地配置代理。有关从瞻博网络 ATP 设备 Web UI 配置和管理代理设置的信息,请参阅 为管理网络配置代理设置 ;有关从瞻博网络 ATP 设备 CLI 配置代理的信息,请参阅瞻博网络 ATP 设备 CLI 命令参考。
注意:由于恶意软件可能使用多种方法进行传播,而僵尸网络命令和控制 (C) 通道几乎可以使用任何端口,因此馈送到瞻博网络 ATP 设备设备的流量不应有特殊限制/ACL。
请务必为瞻博网络 ATP 设备电子邮件收集器配置电子邮件日记或 Gmail 密件抄送处理。
注意:查看产品中的所有部署先决条件 Juniper ATP Appliance Quick Start Guide 。
首次启动配置了两个磁盘的虚拟核心(AMI 或 OVA)时,设备需要时间来设置要使用的第二个磁盘。在此过程中,系统尚未准备好使用。此过程最多可能需要 10 分钟。
瞻博网络 ATP 设备提供与防火墙、安全 Web 网关和许多其他安全设备的集成。分布式防御的一大优势是瞻博网络 ATP 设备利用您现有的安全基础架构进行缓解和监控。请注意以下集成要求:
电子邮件收集器需要 Microsoft Exchange 2010+
适用于瞻博网络防火墙的 Junos 版本 12.1-X47.x
帕洛阿尔托防火墙版本 x 适用于帕洛阿尔托
思科 ASA 防火墙 - 请务必查看“思科 ASA 兼容性”文档的“ASA REST API 兼容性”部分,以确定特定 ASA 硬件平台是否支持 REST API。
Check Point 防火墙集成需要 Check Point GAiA 操作系统版本 R76、R77 或更高版本。不支持 GAiA 的前身 Check Point IPSO 和安全平台 (SPLAT)。
Fortinet 防火墙集成 - 最新版本。
炭黑响应 - 最新版本
迈克菲 ePO 和赛门铁克 - 最新版本
网络分接
分路器是一种设备,它允许通信畅通无阻,同时从全双工链路复制所有流量,并将信息发送到瞻博网络 ATP 设备收集器进行对象分析。分路模式使用外部光纤分路器(适用于 GBIC 端口)或内置内部分路器(适用于 10/100/1000 监控端口)。在分路模式下,瞻博网络 ATP 设备收集器会在数据包信息遍历全双工网段时对其进行监控。与 SPAN 模式一样,分路模式是被动的。
使用网络分路器将网络流量的副本从网段发送到瞻博网络 ATP 设备收集器的 eth1 网络监控端口。水龙头不会干扰交通,如果关闭,则允许交通畅通无阻地通过。
SPAN 端口镜像
交换机上的交换机端口分析器 (SPAN) 端口专为安全监控而设计。它允许连接的瞻博网络 ATP 设备接收来自通过交换机的所有传入和传出流量的每个数据包的副本。这是端口转发或端口镜像;一种被动非侵入式数据包捕获方法。
配置具有端口镜像功能的交换机,以将在选定端口之间传递的传入和传出流量副本转发到交换机上的 SPAN 端口。然后,将 SPAN 端口连接到瞻博网络 ATP 设备(标记为 eth1)。
瞻博网络 ATP 设备可以在 SPAN 模式下进行配置,方法是配置具有端口镜像功能的交换机,以便在选定端口之间传递的传入和传出流量副本转发到交换机上的 SPAN 端口。然后将 SPAN 端口连接到收集器(端口 eth1)。
使用 Web 代理的环境指南
以下附加准则适用于具有 Web 代理的环境:
有关从瞻博网络 ATP 设备 Web UI 配置和管理管理网络代理设置的信息,请参阅 为管理网络配置代理设置 ;有关从瞻博网络 ATP 设备 CLI 配置代理的信息,请参阅瞻博网络 ATP 设备 CLI 命令参考。
有关 SPAN-Traffic 代理配置的更多信息,请参阅 SPAN 流量代理数据路径支持 。
如果您的环境包含隐藏原始 IP 地址的 Web 代理或其他 NAT 设备,则瞻博网络 ATP 设备的部署方式必须能够看到来自代理内部(或 LAN)端的 Web 流量。如果配置不正确,设备会将恶意站点报告为代理的 LAN IP。如果端点的 LAN IP 地址对瞻博网络 ATP 设备不可见,则配置错误也可能使受损的端点变得模糊不清。如果您的 Web 代理支持 X-Forwarded-For (XFF) 标头,则瞻博网络 ATP 设备收集器可以放置在代理的前面或后面。您必须确保收集器通过 CLI 启用了 X 转发支持。默认情况下,对 X 转发标头的支持处于启用状态。
设备必须能够查看 Web (HTTP) 流量和其他网络协议的流量:
僵尸网络远程命令和控制流量以及某些类型的漏洞利用可能使用 HTTP 以外的协议,因此必须了解非 Web 流量。正在等待对此类代理的支持。
瞻博网络 ATP 设备收集器无法解密 SOCKS 隧道流量,因此,如果您在环境中使用 SOCKS 代理,瞻博网络 ATP 设备流量收集器应 SPAN 位于 SOCKS 代理之外的网段,以便监控非 HTTP 流量。
配置收集器电子邮件日记功能
安装瞻博网络 ATP 设备核心或一体式系统(这两个系统的核心组件中都包含一个电子邮件流量收集器)后,您需要配置一个 Exchange 服务器日志帐户供收集器轮询,并将 Postfix 设置为将所有邮件流量的 Gmail 密件抄送(密件抄送)转发到收集器作为默认转发机制。
为电子邮件收集器配置日记功能
- 电子邮件日记
- 在 Exchange 服务器上创建日记邮箱
- 配置邮箱数据库
- 配置 Microsoft Exchange Server 2013 日记功能
- 从 Web UI 配置 Exchange 服务器日志轮询
- 配置 Office 365 日记功能
- 配置 Gmail 日记功能
- 配置 Gmail 威胁缓解
- 将全网域权限下放给 Gmail 服务帐号
电子邮件日记
瞻博网络 ATP 设备流量收集器持续监控和检查所有网络流量中的恶意软件对象;提取对象并将其发送到核心,以便分发到 Windows 或 Mac 检测引擎。
对于 Windows 流量,可以将 Microsoft Exchange Server 日记配置为记录企业电子邮件的副本(日记),然后定期将它们发送到 Exchange Server 上的日记邮箱。
流量收集器上不会存储任何电子邮件或电子邮件数据。在瞻博网络 ATP 设备核心上,提取的对象和一些元数据(如源和目标电子邮件地址、时间戳数据等)将被存储,瞻博网络 ATP 设备会将电子邮件标头信息记录在日志文件中。不会保留电子邮件中的任何文本(用于恶意软件引爆和分析的附件除外)
Exchange Server 2010 可以配置为仅支持信封日记功能。这意味着将创建每个电子邮件正文及其传输信息的副本。传输信息本质上是一个包含电子邮件发件人和所有收件人的信封。
瞻博网络 ATP 设备电子邮件收集器轮询 Exchange 服务器以查找日记条目,并按计划将日志帐户中的所有电子邮件从 Exchange 服务器拉取到收集器。电子邮件收集器使用日记功能进行初始流量分析和电子邮件附件监控/检查。所有电子邮件流量(和电子邮件附件)都会从电子邮件收集器发送到瞻博网络 ATP 设备核心,以便在 Windows 或 Mac OS X 检测引擎中引爆。
当检测到基于电子邮件的恶意软件或恶意电子邮件附件时,瞻博网络 ATP 设备中央管理器会将日志条目合并到分析结果中,并作为通知发送给瞻博网络 ATP 设备管理员,并在中央管理器 Web UI 中详细说明相应的缓解和/或感染验证操作。
瞻博网络 ATP 设备支持 Exchange 2010 及更高版本的日记功能。
若要设置电子邮件收集器日记功能,请按照以下过程操作:
在 Exchange 服务器上创建日记邮箱
另请参阅配置 Microsoft Exchange Server 2013 日记功能。
启动 Microsoft Exchange 管理控制台。
展开“收件人配置”节点,然后单击“邮箱”节点。选择“新建邮箱...”从“操作”窗格中。
选择“新建邮箱...”从“操作”窗格中。
选择用户邮箱选项,然后单击下一步。
选择新建用户选项,然后单击下一步。
新用户邮箱详细信息
输入将向其分配新日记邮箱的收集器的“用户信息”详细信息,然后单击“下一步”。
输入日记邮箱的“别名”,然后单击下一步。
再次单击“下一步”并查看要创建的新邮箱的新邮箱摘要,然后单击“新建”。
创建日记邮箱后,请通过配置邮箱数据库来配置标准日记功能。
配置邮箱数据库
在 Microsoft Exchange 管理控制台>服务器配置中,单击“邮箱数据库”。
在“所选邮箱数据库的工具箱操作”中,单击“属性”。
在“邮箱数据库属性”页中,转到“常规”选项卡并选中“日记收件人”复选框,但是,在选中该复选框之前,请先单击“浏览”并选择将从邮箱数据库获取所有邮件的邮箱。选中日记收件人后,单击“确定”完成操作。
配置 Microsoft Exchange Server 2013 日记功能
登录到 MS Exchange Server 管理中心: https://exchnageserverip/ecp/
选择“发送连接器”选项卡。
图 6:Exchange 管理中心导航到邮件流>>发送连接器并输入发送连接器设置:
图 7:发送连接器设置保存连接器设置。
导航到“合规性管理>>日记规则”以配置日记规则。
在“将日记报告发送到”字段中提供邮箱名称和 IP 地址。
注意:这应与在瞻博网络 ATP 设备电子邮件收集器配置>系统配置文件>电子邮件收集器 Web UI 页面上配置的邮箱名称匹配。
图 8:设置日记规则
有关配置电子邮件收集器的信息,请参阅 配置电子邮件收集器 。
从 Web UI 配置 Exchange 服务器日志轮询
从瞻博网络 ATP 设备中央管理器配置>电子邮件导航到合规性管理 >>日记规则收集器页面,单击添加新的电子邮件收集器按钮,或单击当前电子邮件收集器表中列出的现有收集器的编辑。
在显示的配置字段中输入并选择电子邮件日记设置:电子邮件服务器 [IP]、协议、SSL、邮箱名称、密码、轮询间隔(以分钟为单位)、将邮件保留在服务器上和启用。[见下图]。
配置 Office 365 日记功能
若要为瞻博网络 ATP 设备设置电子邮件缓解的 Office 365 日记功能,请执行以下操作:
登录到 Microsoft Office 365 管理中心。
从 Office 365 管理中心中,选择“管理中心> Exchange”。
图 9:导航到 Microsoft Office 365 管理中心图 10:Microsoft Office 365 管理中心选择“合规性管理”>“日记规则”。
单击 + 号以添加新的日记规则。
填写新的日记规则表单域。
配置 Gmail 日记功能
请按下列步骤为 Gmail 配置电子邮件日记功能:
转到 Google 管理员主页网站,网址为 https://admin.google.com/AdminHome。
在 Google 管理控制台信息中心,导航到 Apps->G Suite->Gmail->Advanced Settings。
注意:要查看高级设置,请滚动到 Gmail 页面底部。
导航到“合规性”部分,然后单击“添加其他合规性规则”以设置交付到瞻博网络 ATP 设备 MTA。
图 11:Google Gmail 管理员家庭日记设置选择以下示例屏幕截图中显示的选项(设置 1 和 2):
图 12:瞻博网络 ATP 设备 MTA 要求的日记标准请务必添加收件人信息(这是瞻博网络 ATP 设备 MT);例如:JATP_mta@FQDN或JATP_mta@ip。
图 13:将瞻博网络 ATP 设备 MTA 设置为 Gmail 收件人:JATP_mta@FQDN
配置电子邮件检测缓解措施
您可以配置 Gmail 和/或 Office 365 瞻博网络 ATP 设备电子邮件威胁事件缓解措施。缓解密钥允许您隔离使用 Gmail API 或 Office 365 API 检测为恶意的电子邮件。
配置 Gmail 威胁缓解
对于使用 Google Apps 网域的企业环境,Google Apps 网域的管理员可以授权应用代表 Google Apps 网域中的用户访问用户数据。授权服务帐号代表网域中的用户访问数据有时也称为向服务帐号“委派全网域权限”。
将全网域权限下放给 Gmail 服务帐号
要将全网域权限下放给 Gmail API 服务帐号,请先在 Google API 服务帐号页面为现有服务帐号启用全网域授权,或者创建一个启用了全网域委派功能的新服务帐号。
要创建新的 Gmail 服务帐号,请执行以下操作:
导航到 Google API 服务帐号页面。
从左上角的“项目”下拉菜单下选择现有项目或创建新项目。
图 14:导航到 Google API 服务帐户页面图 15:创建新的 Google API 服务帐户接下来,转到 Google Apps 网域的管理控制台。
从控件列表中选择“安全性”。如果未列出“安全性”,请从页面底部的灰色栏中选择“更多控件”,然后从该控件列表中选择“安全性”。如果没有可用的控件,请确保您以域管理员身份登录。
从选项列表中选择“显示更多”,然后选择“高级设置”。
在“身份验证”部分中选择“管理 API 客户端访问”。
在“客户端名称”字段中,输入服务帐户的客户端 ID。您可以在“服务帐户”页面中找到服务帐户的客户端 ID。
在“一个或多个 API 作用域”字段中,输入应用程序应有权访问的范围列表。例如,如果您的应用需要全网域访问 GMAIL API,请输入: https:// mail.google.com/。
图 16:访问 Google API 仪表板单击授权。
注意:请务必启用 GMAIL API,方法是导航到管理控制台,然后点击相关项目的 API 管理器下信息中心的“启用 API”。选择 GMAIL API,然后单击启用。
使用仪表板视图
“仪表板”选项卡包括四个交互式图形子选项卡“仪表板”:
操作仪表板描述了受感染主机的恶意软件统计信息(气泡图威胁视图)和趋势,包括主机详细信息触发器、最佳配置映像危害(如果有)和主要受损终结点。
“研究仪表板”按名称和发现的恶意软件总数显示排名靠前的恶意软件,以及整个企业中感染和下载(HTTP“南北向”和 SMB“东西向”横向)的恶意软件进度,以及每个主机 IP 地址的完整威胁详细信息。
系统仪表板显示流量和性能信息,包括分析的协议流量、当前总流量、核心利用率、处理的对象、平均分析时间和恶意软件对象统计信息。
Web 和电子邮件收集器仪表板显示瞻博网络 ATP 设备 Web 和电子邮件流量收集器的趋势,以衡量当前总流量和 CPU 使用率。内存使用情况、分析的对象和整体威胁。它还显示每个收集器的图形统计信息图,包括收集器名称、IP 地址、内存、CPU、磁盘统计信息、当前总流量、分析的对象、威胁、上次看到的威胁、状态(联机/脱机)以及是否启用/禁用。
事件时间线仪表板显示高级威胁分析 (ATA) 数据,这些数据侧重于负责会审和调查恶意软件事件的第 1 层和第 2 层安全分析师的日常工作流程。主机和用户时间轴描述了主机或用户上发生的事件的详细信息和上下文。在几分钟内,非检测专家的 1 级分析师可以轻松确定事件所需的行动过程。借助 ATA,分析师可以获得全面的信息来确定威胁的确切性质,以及它是否是需要上报给第 2 层团队进行缓解的高级威胁。第 2 层分析师可以腾出时间来专注于经过审查的高级威胁,并使用 ATA 提供的时间线视图对主机和用户执行详细调查。这种整体信息视图有助于为响应团队提供丰富的数据,包括威胁上下文、主机标识和最终用户标识,而无需手动进行数据聚合和分析。
操作仪表板提供特定于上下文的图形威胁视图,其中包括威胁事件、指标、趋势和严重性评分的统计描述。“受感染的主机”部分报告在选择为气泡图的时间段内在受监视的网络上观察到的受感染主机总数和事件总数,其中每个气泡表示一个威胁,气泡大小表示威胁的数量。
仅当至少创建了一个区域时,才会显示操作仪表板上的“区域”下拉列表。所有收集器最初都指定为“默认区域”,但必须通过中央管理器 Web UI 配置>系统配置文件>Web 收集器页面正式分配。
使用操作仪表板威胁视图交互性向下钻取到所选主机或恶意软件事件的统计信息。
单击气泡可在气泡图右侧的部分中查看主机详细信息。
双击气泡 [host] 以打开事件选项卡,并将焦点放在所选主机上。
若要提交恶意软件文件进行分析,请使用“事件”页面上的“上传文件”选项。
与仪表板视图和组件交互
本节介绍仪表板选项卡的仪表板组件 — 操作、研究、系统和收集器仪表板选项卡,并介绍如何与各种视图以及可调整的统计信息和显示进行交互。
Operations Filter |
通过从下拉菜单中选择一个可用筛选器来筛选威胁视图结果:全部 |仅限新品 |确认和进行中 |完成 |
从下拉菜单中进行选择。 |
Time Period (操作仪表板、研究仪表板、系统仪表板收集器仪表板、事件时间线) |
所有仪表板图表都会按您从表格顶部的下拉菜单中选择的时间段进行同步。时间段选项包括: 过去 24 小时 上个星期 上个月 最近 3 个月 去年 |
从下拉菜单中进行选择。 |
Reset Charts (恶意软件仪表板和系统仪表板) |
将仪表板上的所有图形重置为所选时间段内的原始状态。 |
鼠标点击 |
Infected Hosts (操作仪表板) |
此气泡图是威胁视图的核心,描述了给定时间段内所有受感染的主机。一个气泡表示一个受感染的主机。 图表的 x 轴表示时间段。 y 轴表示确定的感染严重程度。 气泡的颜色表示主机上发现的恶意软件的分层严重性,具体范围如下: 高(红色)、中(橙色)、低(黄色) 气泡的大小表示在主机上发现的恶意软件总数。 |
将鼠标悬停在气泡“主机”上
“IP/名称(X 威胁)” 将鼠标悬停在气泡“主机”上
|
Host Details (操作仪表板) |
在威胁视图气泡图中选择单个气泡时,将显示该主机的主机详细信息数据,包括恶意软件目标、杀伤链阶段进度、事件摘要和触发器的数据。 杀伤链进程包含更多交互式数据。 |
鼠标点击:
单击“杀伤链进度”气泡时,将打开“事件”页面,显示特定漏洞利用、下载、执行、感染和/或网络钓鱼的数据。 |
Malware Trend (操作仪表板) |
显示给定时间范围内任何给定恶意软件的恶意软件趋势。 |
在威胁视图气泡图中选择一个气泡以调整趋势恶意软件时间线。 |
Total Malware Found (研究仪表板) |
以高(红色)、中(橙色)和低(黄色)显示恶意软件严重性百分比的饼图 |
无交互性 |
Top Malware Countries (研究仪表板) |
显示全球范围内当前检测到的恶意软件发生率的地理图表。 |
打开“事件详细信息”页 |
Top Compromised Endpoints (操作仪表板) |
显示每个受损端点的状态、风险、主机和威胁。. |
无交互性 |
Top Malware (研究仪表板) |
按恶意软件名称列出所选时间段内排名靠前的一组恶意软件事件。 x 轴表示感染数量;Y 轴是恶意软件名称。 |
鼠标点击: 突出显示“热门恶意软件”图表中的恶意软件名称,以查看每个端点主机的恶意软件的威胁进度显示。威胁进展包括:
|
Threat Progression (研究仪表板) |
显示每个恶意软件选择的感染和下载的交互式地图。 以下示例显示了下载到整个企业的连续主机。 |
鼠标点击次数:
|
Threat Details (研究仪表板) |
显示当前所选恶意软件的通用威胁详细信息。但是,当从威胁进展图中选择端点时,显示屏会进行调整以提供主机详细信息。 |
鼠标点击: 单击端点 IP 地址以显示该端点的主机详细信息。单击所选终结点的圆形项目符号将变为橙色。 |
Traffic (系统仪表板) |
显示所选时间段内相对于已分析协议流量(以 Kbps 为单位)处理的总网络流量。 x 轴表示以月为单位的时间段;y 轴表示 Kbps。 |
鼠标悬停: 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线:在图表内拖动鼠标以更改三个组件中每个组件的间隔(x 轴)。 |
Core Utilization (%) (系统仪表板) |
鼠标悬停: 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线:在图表内拖动鼠标以更改三个组件中每个组件的间隔(x 轴)。 |
|
Average Analysis Time (分钟)(系统仪表板) |
鼠标悬停: 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线:在图表内拖动鼠标以更改三个组件中每个组件的间隔(x 轴)。 |
|
Objects Processed (系统仪表板) |
显示在选定时间段内处理的网络对象。 x 轴表示以月为单位的时间段;Y 轴表示对象数。 |
鼠标悬停: 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线:在图表内拖动鼠标以更改三个组件中每个组件的间隔(x 轴)。 |
Malware Objects (系统仪表板) |
显示在选定时间段内处理的恶意软件对象。 x 轴表示以月为单位的时间段;Y 轴表示对象数。 |
鼠标悬停: 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线:在图表内拖动鼠标以更改三个组件中每个组件的间隔(x 轴)。 |
Trend (收集器仪表板) |
显示收集器活动和趋势的统计信息。 显示选项从趋势下拉菜单中选择,包括总流量、CPU 使用率、内存使用率、找到的对象和恶意软件对象 |
从图下方的汇总表中选择要跟踪的收集器。 每个收集器的值每 10 分钟更新一次。 单击“打印列”复选框以绘制选定收集器的图形信息。 |
Vendor (事件时间轴仪表板) |
从安全基础架构中选择供应商,并查看指定端点 IP、主机名、用户名或电子邮件的所有相关事件: |
重置威胁视图
通过单击重置图表,将仪表板重置为其原始的全主机、所有威胁状态。
提交恶意软件文件进行分析
“文件上传”选项卡提供上传恶意软件文件进行分析的机制。系统会生成并返回恶意软件分析结果,以显示在“详细信息上传”表中,该表还包括通过瞻博网络 ATP 设备 API 上传以进行恶意软件分析的所有文件的结果。
“文件上传”选项卡显示所有上传的文件和分析结果(恶意和良性)。
增强的文件上传 API 接受第三方集成(如炭黑)的其他元数据,以提供与事件的无缝集成。
有关文件上传 API 的更多信息,请参阅瞻博网络 ATP 设备 HTTP API 指南。
当元数据可用并与要分析的文件(目标 IP 地址、目标操作系统、源地址等数据点)一起上传时,可以在分析配置文件中使用此元数据来创建真实事件。在这种情况下,此类文件提交可以实例化下载类型的事件,如果流量收集器直接检查了下载,则其中包含所有可用信息。
上载文件进行分析
单击“文件上传”选项卡,然后在“提交文件以供分析”窗口中,选择要上传以供分析的文件,然后单击“提交文件”按钮。
注意:您可以上传以进行分析的最大文件大小为 32MB。
图 20:从“事件”选项卡 提交文件以进行恶意软件分析
提交文件后,将显示 SHA1。
上传文件功能调用“file_submit”API,然后,在分析之后,在中央管理器 Web UI 文件上传选项卡中显示从 API 返回的结果。结果也会显示在“事件”页表中,并带有“杀伤链进度”标识:UP 以及事件 sha1sum 和文件名。
您也可以直接使用瞻博网络 ATP 设备 HTTP API 提交文件进行分析,并通过 API JSON 输出获取结果和事件详细信息。有关详细信息,请参阅瞻博网络 ATP 设备 HTTP API 指南。
无论是从 HTTP API 还是通过中央管理器文件上传页面将文件提交到 Core 进行恶意软件分析,分析结果始终显示在“文件上传”页面上。
配置瞻博网络 ATP 设备以进行集成部署
瞻博网络 ATP 设备旨在集成并利用您现有的企业安全基础架构。将瞻博网络 ATP 设备配置与防火墙、代理、安全 Web 网关以及其他服务和设备集成,需要使用中央管理器 Web UI 配置选项卡选项以及访问其他设备或服务的 Web UI 或 CLI 来完成集成。
请参阅有关为所有基于瞻博网络 ATP 设备端基于 Web UI 的配置过程配置分布式防御的章节。
要将企业网段与瞻博网络 ATP 设备恶意软件分析和防御技术集成,请参阅 配置防火墙自动缓解。
有关防病毒静态分析集成,请参阅 配置防病毒集成。
要配置数据盗窃自定义规则,请参阅 配置防病毒集成。
有关 PAN 防火墙自动缓解集成,请参阅 配置防火墙自动缓解。
有关瞻博网络 SRX 防火墙集成,请参阅瞻 博网络 ATP 设备 Web UI 中的定义区域定义的 SRX 配置。
对于 Cisco ASA 防火墙自动缓解集成,请参阅配置防火墙自动缓解。
有关检查点防火墙自动缓解集成,请参阅 配置防火墙自动缓解。
有关代理集成,请参阅 配置 BlueCoat ProxySG 集成
有关炭黑端点缓解集成,请参阅 配置炭黑响应端点集成。
部署瞻博网络 ATP 设备 SaaS 虚拟收集器
瞻博网络 ATP 设备的可扩展部署选项包括虚拟收集器 (vCollector) 产品:在虚拟机中运行的开放式虚拟设备 (OVA)。具体而言,瞻博网络 ATP 设备 OVA 打包的映像可通过精简置备提供给 VMware Hypervisor for vSphere。其中包括瞻博网络 ATP 设备产品支持和服务提供的 50 Mbps、100 Mbps、500 Mbps、1.0 Gbps 和 2.5 Gbps 虚拟收集器型号。
另请参阅: 将 SaaS 虚拟核心部署为 OVA。
OVF 软件包包含单个目录中的多个文件,其中包含描述瞻博网络 ATP 设备虚拟机模板和软件包的 OVF 描述符文件:OVF 软件包的元数据和瞻博网络 ATP 设备软件映像。该目录作为 OVA 包(包含 OVF 目录的 tar 存档文件)分发。
建议:瞻博网络建议使用分配给 vCollector 的专用物理网卡,以获得最佳收集结果。
虚拟收集器部署选项
网络交换机 SPAN/TAP 支持两种类型的 vCollector 部署:
从物理交换机跨越到 vCollector 的流量。在这种情况下,流量从端口 A 跨越到端口 B。包含瞻博网络 ATP 设备 vCollector OVA 的 ESXi 已连接到端口 B。此部署方案如上图所示。
来自与收集器位于同一交换机上的虚拟机的流量。在此部署方案中,由于包含 vCollector 的 vSwitch 处于混合模式,因此默认情况下创建的所有端口组也将处于混合模式。因此,建议使用 2 个端口组,其中混合模式下的端口组 A (vCollector) 与 vCollector 关联,端口组 B (vTraffic) 表示未处于混合模式的流量。
注意:不支持来自与 vCollector 不在同一 vSwitch 上的虚拟机的流量。此外,vCollector 部署也需要 ; dedicated NIC adapter 将 NIC 连接到混合模式下的虚拟交换机(以收集所有流量)。如果 vSwitch 处于混合模式,则默认情况下所有端口组都将置于混合模式,这意味着其他常规虚拟机也会收到不必要的流量。解决方法是为其他 VM 创建不同的端口组,并在不使用混合模式的情况下进行配置。
提示:部署虚拟收集器(常规和小型收集器)有两个可用选项:(1) 使用 vCenter 的 OVA 安装方法;(2) 通过直接在 ESXi 上安装,在没有 vCenter 的情况下使用 OVF + VMDK。没有可用于使用第二种方法部署 vCollector 的向导;从 CLI 配置收集器。对于虚拟核心安装,只有 OVA/vCenter 方法可用。
预配要求
下表详细介绍了 OVA vCollector 部署所需的资源和硬件置备。
虚拟机 vCenter 版本支持 |
推荐的 vCollector ESXi 硬件 |
虚拟收集器 CPU |
虚拟收集器内存 |
---|---|---|---|
VM vCenter Server 版本:5.5.0 vSphere Client 版本:5.5.0 ESXi 版本:5.5.0 和 5.5.1 |
处理器速度 2.3- 3.3 GHz 与虚拟 CPU 一样多的物理内核 超线程:启用或禁用 |
CPU 预留:默认 CPU 限制:无限制 超线程核心共享模式:无(如果在 ESXi 上启用了超线程) |
内存预留:默认 内存限制:无限制 |
此版本不支持 VDS 和 DVS。
OVA 虚拟收集器大小调整选项
下面提供了可用于 vCollector 部署的大小调整选项。
模型 |
性能 |
vCPU 数量 |
记忆 |
磁盘存储 |
---|---|---|---|---|
vC-v50M |
50 Mbps |
1 |
1.5 千兆字节 |
16 千兆字节 |
vC-v100M |
100 Mbps |
2 |
4 GB |
16 千兆字节 |
vC-v500M |
500 Mbps |
4 |
16 千兆字节 |
512 GB |
vC-v1G |
1 Gbps |
8 |
32 千兆字节 |
512 GB |
vC-v2.5G |
2.5 Gbps |
24 |
64 GB |
512 GB |
为任何虚拟部署保留 CPU 和内存非常重要。
请参阅瞻博网络 ATP 设备流量收集器快速入门指南,了解 OVA 部署 vSwitch 设置说明,以及有关将瞻博网络 ATP 设备 OVA 安装到虚拟机的信息。
安装 OVA 虚拟收集器后,请按照快速入门指南中的说明使用瞻博网络 ATP 设备 CLI 和配置向导配置 Web 或电子邮件虚拟收集器。
首次启动配置了两个磁盘的虚拟核心(AMI 或 OVA)时,设备需要时间来设置要使用的第二个磁盘。在此过程中,系统尚未准备好使用。此过程最多可能需要 10 分钟。
某些配置过程是可选的,可以跳过,因为在 VM vSwitch 的 OVA 部署期间会解决多个设置。
将 SaaS 虚拟核心部署为 OVA
瞻博网络 ATP 设备的可扩展部署选项现在包括虚拟核心 (vCore) 检测引擎产品,作为在虚拟机中运行的开放虚拟设备 (OVA)。具体而言,瞻博网络 ATP 设备 OVA 打包的映像可通过精简置备用于适用于 vSphere 5.1 和 5.5 的 VMware 虚拟机管理程序。此版本支持 500 Mbps 和 1.0 Gbps 虚拟核心模型,适用于瞻博网络 ATP 设备产品支持和服务。
OVF 软件包包含单个目录中的多个文件,其中包含描述瞻博网络 ATP 设备虚拟机模板和软件包的 OVF 描述符文件:OVF 软件包的元数据和瞻博网络 ATP 设备软件映像。该目录作为 OVA 包(包含 OVF 目录的 tar 存档文件)分发。
为任何虚拟部署保留 CPU 和内存非常重要。最初部署 OVA 时,默认情况下会配置较小大小的 OVA。使用大小调整指南根据需要将 CPU、内存等增加到更大的尺寸。上一页提供了大小调整信息。
有关占用空间较小的虚拟收集器选项的信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。
将瞻博网络 ATP 设备 OVA 安装到虚拟机的步骤
将瞻博网络 ATP 设备 OVA 文件从瞻博网络支持代表指定的位置下载到可以访问 VMware vCenter 的桌面系统。请参阅本节末尾的提示,有选择地避免使用 vCenter。
连接到 vCenter,然后单击“文件>部署 OVF 模板”。
浏览下载目录并选择 OVA 文件,然后单击下一步以查看 OVF 模板详细信息页面。
单击下一步以显示并查看最终用户许可协议页面。
接受 EULA,然后单击下一步以查看名称和位置页面。
虚拟核心的默认名称是瞻博网络 ATP 设备虚拟核心设备。如果需要,请输入虚拟核心的新名称。
选择要在其上部署 vCore 的数据中心,然后单击“下一步”查看“主机/群集”页。
选择 vCore 将驻留的主机/群集,然后单击“下一步”查看“存储”页。
选择 vCore 虚拟机文件的目标文件存储,然后单击“下一步”查看“磁盘格式”页。默认值为精简置备延迟归零,这需要存储设备上有 512GB 的可用空间。还支持使用精简磁盘置备来初始节省磁盘空间。
单击“下一步”查看“网络映射”页面。
设置 vCore 接口:
管理(管理):此接口用于管理以及与瞻博网络 ATP 设备流量收集器通信。将目标网络分配给已连接到 CM 管理网络 IP 地址的端口组。
单击下一步查看瞻博网络 ATP 设备属性页面。
可以为 DHCP 或静态寻址配置 IP 分配策略 -- 瞻博网络建议使用静态寻址。有关 DHCP 说明,请跳至步骤 12。对于静态的 IP 分配策略,请执行以下分配:
IP 地址:为 vCore 分配管理网络 IP 地址。
网络掩码:为 vCore 分配网络掩码。
网关:为 vCore 分配网关。
DNS 地址 1:分配 vCore 的主 DNS 地址。
DNS 地址 2:为 vCore 分配辅助 DNS 地址。
输入 vCore 的搜索域和主机名。
完成瞻博网络 ATP 设备 vCore 设置:
新的瞻博网络 ATP 设备 CLI 管理员密码:这是用于从 CLI 访问 vCore 的密码。
完成瞻博网络 ATP 设备 vCore 设置:
新的瞻博网络 ATP 设备 CLI 管理员密码:这是用于从 CLI 访问 vCore 的密码。
瞻博网络 ATP 设备中央管理器 IP 地址:如果虚拟核心是独立核心(未启用群集)或主核心(已启用群集),则 IP 地址为 127.0.0.1。如果虚拟核心是辅助核心,则中央管理器 IP 地址将是主核心的 IP 地址。
瞻博网络 ATP 设备设备名称:输入 vCore 的唯一设备名称。
瞻博网络 ATP 设备设备说明:输入 vCore 的说明。
瞻博网络 ATP 设备密钥密码:输入 vCore 的密码;它应与中央管理器中为核心/CM 配置的密码短语相同。 单击下一步查看即将完成页面。
请勿选中部署后打开电源选项,因为必须先(下一步)修改 CPU 和内存要求(具体取决于 vCore 型号 - 500Mbps 或 1Gbps;有关大小调整信息,请参阅 OVA vCollector 大小调整选项 )。
要配置 vCPU 和内存的数量,请执行以下操作:
关闭 vCore 的电源。
右键单击 vCore ->编辑设置
在硬件选项卡中选择内存。在右侧的内存大小组合框中输入所需的内存。
在硬件选项卡中选择 CPU。在右侧输入所需的虚拟 CPU 数量组合框。单击“确定”进行设置。
要配置 CPU 和内存预留:
对于 CPU 预留:右键单击“vCore->编辑设置”:
选择“资源”选项卡,然后选择“CPU”。
在“预留”下,为 VM 指定有保证的 CPU 分配。它可以根据 vCPU 数量 *处理器速度进行计算。
对于内存预留:右键单击“vCore ->编辑设置”。
在“资源”选项卡中,选择“内存”。
在“预留”下,指定要为 VM 预留的内存量。它应与大小调整指南指定的内存相同。
如果启用了超线程,请执行以下选择:
右键单击 vCore ->“编辑设置”。
在“资源”选项卡中,为“高级 CPU”选择“HT 共享: 无”。
打开虚拟核心 (vCore) 的电源。注意:为了将来参考,允许列表规则依赖于备份正常的服务关闭。直接关闭 VM 或虚拟核心的电源将失去当前的允许列表状态,因为在这种情况下无法保存规则。
登录 CLI 并使用服务器模式“显示 uuid”命令获取 UUID;发送到瞻博网络 ATP 设备以接收您的许可证。
将 OVA 克隆到创建另一个虚拟辅助核心时,默认情况下,中央管理器设备表中列“id”的值相同。管理员必须重置 UUID 才能使其唯一。新的虚拟核心 CLI 命令“set id”可用于从 CLI 的核心模式重置克隆虚拟核心上的 UUID。请参阅瞻博网络 ATP 设备 CLI 命令参考,查看新的核心模式 “set id
” 和 “show id
” 命令。
从中央管理器 Web UI 配置>系统设置>系统设置页面配置升级时,软件和安全内容的升级是自动的。
要启用自动升级,请选中“系统设置”页面上的“已启用软件更新”和/或“已启用内容更新”选项。
所有瞻博网络 ATP 设备组件的所有自动更新均由瞻博网络 ATP 设备核心协调和实施。持续更新会定期进行:
核心软件和内容更新(如果启用)每 30 分钟检查一次可用更新,并将新文件推送到收集器和/或辅助核心。
核心引爆引擎映像升级检查在每天午夜进行。
升级而不列入允许列表
瞻博网络 ATP 设备将继续减少其运营足迹,并且不再需要大量允许列表外部 IP 地址来进行升级、遥测、内容更新和其他服务。
之前为特定服务打开的防火墙端口可以在版本升级完成后关闭。
请注意,大多数新式防火墙都支持域允许列表。
客户可以选择只允许在 HTTPS(端口 443)上对核心/CM 设备*(不是收集器)进行出站访问;在这种情况下,不需要域允许列表。
*瞻博网络 ATP 设备始终建议允许 Core/CM 设备(或一体机)进行不受限制的出站通信,以便在沙盒引爆时实现杀伤链关联。
关注端口 443 上全面允许列表的客户可以将允许列表限制为仅 Amazon AWS 和 S3 CIDR - 但请注意,这仍然是一个相当大的 IP 地址范围。
关于瞻博网络 ATP 设备远程支持
启用远程支持后,瞻博网络技术支持可以通过 SSH 连接到客户站点的瞻博网络 ATP 设备,以执行故障排除活动。瞻博网络支持帐户可以通过中央管理器 Web UI(配置 > 系统配置文件 >远程支持)或通过 CLI(请参阅以下说明)禁用。
请注意以下有关瞻博网络支持帐户和远程支持的事项。
只有在产品安装期间从 CM Web IU 上传产品许可证密钥时,才会创建瞻博网络支持帐户。
手动添加许可证不会启用支持。
如果使用 Putty 作为 SSH 客户端,请始终使用最新版本的 Putty 进行 SSH 操作。
升级后,将保留现有的瞻博网络支持帐户;无需执行任何操作。
如果禁用已启用的瞻博网络支持帐户,更改将自动传播到连接的收集器和辅助核心 Mac OSX 检测引擎。
从 AMI、OVA 或 ISO 安装系统时,默认情况下不启用支持密码,而是在许可期间设置,然后手动启用。安装瞻博网络 ATP 设备 AMI、OVA 或 ISO 软件时,请先上传许可证,然后启用瞻博网络支持。
管理您的远程支持帐户
启用您的远程支持帐户
您可以从 UI 或 CLI 启用远程支持帐户。
从 UI 启用远程支持帐户
若要从 Web UI 启用支持帐户,请执行以下操作:
选择 配置 > 系统配置文件 >远程支持。
在“远程支持”页中,选择“ 启用远程支持 ”选项。
在“持续时间”字段中,输入会话的持续时间(以小时为单位)。
单击 启用支持。
支持密码是使用两个密钥生成的:
启用远程支持后,瞻博网络支持会自动从 ATP 设备获取一个密钥。
另一个密钥由瞻博网络提供。
启用远程支持后,UI 将刷新以显示新的密钥,如图 22 所示。密钥对于每个支持会话都是唯一的。
如果 ATP 设备处于私有模式,瞻博网络支持无法自动获取 ATP 设备设备密钥。密钥必须手动与瞻博网络支持团队共享。
如果在会话过期之前结束会话,或者会话自行过期,则有 15 分钟的宽限期,您可以使用同一密钥延长会话,但无法打开新会话。宽限期到期后,您将自动退出会话。
从 CLI 启用远程支持帐户
要从 CLI 启用支持帐户,请执行以下操作:
T 登录到 CLI,进入服务器模式,然后使用 设置 cysupport enable on 命令。
user:core# (server)# set cysupport enable on
输入远程支持持续时间(以小时为单位)。
Remote support duration (In Hours): 4 Juniper Support User account enabled successfully!
如果需要从 CLI 获取密钥,请使用 show 远程访问密钥 命令。
user:core# (server)# show remote-access-key
要从 CLI 检查瞻博网络支持状态,请使用 show support 命令。
user:core# (server)# show support
任何瞻博网络支持更改,例如启用、禁用或重置密码(即使是由新安装的许可证密钥触发的更改)最多可能需要 5 分钟才能在收集器或 Mac OSX 辅助核心上生效。
重置管理员密码
要恢复管理员密码,您必须对设备具有物理访问权限。您无法远程重置管理员密码。
名为“recovery”的用户可以在没有密码的情况下登录设备并输入有限数量的命令,包括重置管理员密码的命令。
要使用 CLI 恢复管理员密码,请执行以下操作:
当系统提示登录时,输入设备上的用户名恢复,然后按 Enter 键。
user login: recovery ******************************************************************* Juniper Networks Advanced Threat Prevention Appliance ******************************************************************* Welcome recovery. It is now Wed Jan 01 12: 00:00 PDT 2020 user:Core# exit help history reset-admin-password
由于不需要密码,恢复用户会自动登录到设备。
输入命令以
reset-admin-password
重置密码。user:Core# reset-admin-password
恢复用户可以使用的其他命令包括:退出、帮助和历史记录。
除了在审核日志中查看 UI 用户之外,现在还可以在审核日志中的 Web UI 中的“报告”下查看管理员和恢复管理员 CLI 用户。有关详细信息 ,请参阅审核日志显示 UI 或 CLI 访问 。
检查 ATP 设备的系统运行状况
本节介绍如何确定 ATP 设备是否存在任何运行状况问题。
要检查 ATP 设备系统运行状况,请执行以下操作:
登录到 ATP 设备用户界面。
单击页面右上角可用的 系统健康 选项。
将显示以下服务:
行为引擎
静态引擎
相关
互联网
网络收集器
辅助核心
检查是否有任何服务关闭(查找红色感叹号)。所有指示灯都应显示绿色复选标记,表示系统运行状况良好。如果显示红色指示器,则需要执行故障排除操作。
如果行为引擎、静态引擎或关联已关闭,请检查系统仪表板,了解核心利用率或处理的对象是否突然激增。此外,在自动更新期间,所有这些进程都会重新启动,因此,如果您看到运行状况为红色,请等待 10 分钟,然后重新登录以再次检查运行状况是否为绿色。
有时,行为引擎可能会由于兼容映像不可用、无法访问更新服务器或磁盘空间不足而关闭。您可以查看行为引擎的状态和图像下载。
在正常模式下,您可以看到镜像下载和行为引擎的状态。您还可以查看设备上启动行为引擎所需的图像的可用性。如果行为引擎由于兼容映像不可用而未启动,您可以选择通过单击 “开始更新 ”按钮立即启动映像升级( 如图 25 所示),或者按计划的时间间隔等待自动升级。
图 25:按需映像升级在私有模式下,客户可以使用 ATP 设备 UI 或 CLI 上传所需的映像。上传的镜像将被审核,并显示审核状态。示例状态消息如图 26 所示。
图 26:审核状态
要查看映像更新的日志,请导航到 “报告 ”部分,然后选择“报告类别”作为 “技术报告 ”,选择“报告名称”作为 “系统审核”,选择“事件类型”作为 “软件更新”。
如果互联网状态为红色,请确保 ATP 设备管理 IP 地址已向 *.cloud.cyphort.com 打开端口 443。
如果 Web 收集器的运行状况为红色,请检查收集器仪表板。单击每个收集器旁边的三角形以了解收集器上已关闭的服务。
如果辅助核心为红色,请确保它处于联机状态并且可以从 ATP 设备访问。
配置备用分析引擎界面
当网络对象在核心分析引擎的检测过程中被引爆时,其中一些会生成到恶意 CnC 服务器的网络流量。可以为主核心和/或辅助核心 (Mac Mini) 或虚拟核心配置可选的 eth2 接口,以便通过不同的网络传输特定于 CnC 的生成流量作为替代排气选项。
查看瞻博网络 ATP 设备快速入门指南中的所有部署先决条件,了解您的 SSH 蜜罐要求
SSH 蜜罐功能可检测连接到企业网络中 SSH 服务器的任何尝试。
部署在客户企业网络中的蜜罐可用于检测试图感染或攻击局域网中其他计算机的恶意软件生成的网络活动。尝试的 SSH 登录蜜罐用于补充横向传播检测。可以在客户流量收集器上部署多个蜜罐,事件信息将从这些收集器发送到瞻博网络 ATP 设备核心进行处理。客户可以在他们想要的任何本地网络上放置蜜罐。
瞻博网络 ATP 设备 SSH 蜜罐功能也会检测到试图执行暴力破解 SSH 条目或对“根”帐户执行定向 SSH 访问的恶意行为者。
“瞻博网络 ATP 设备中央管理器 Web UI 事件”选项卡包含 SSH 蜜罐功能的结果。
SSH 蜜罐检测的结果显示在中央管理器 Web UI 事件页面上,并包含在生成的报告中。发送到瞻博网络 ATP 设备 GSS 进行蜜罐检测事件的数据包括“威胁目标”和所有尝试的“SSH 会话”(包括用户名和密码)的详细信息以及时间戳。
设置 SSH 蜜罐横向检测的要求:
确保蜜罐收集器至少有四个接口(eth0、eth1、eth2、eth3 [honeypot])
将 SSH 服务器放置在网络上
记录任何连接到服务器的尝试
从瞻博网络 ATP 设备 CLI 启用 SSH 蜜罐功能
如果在瞻博网络 ATP 设备软件升级期间启用蜜罐功能,则必须执行两次升级,以确保虚拟化模拟器完全更新到正确的版本。
注意:SSH 蜜罐检测与 TAP 模式收集器部署无关。
要配置和监控 SSH 蜜罐事件,请执行以下操作:
有关配置 SSH 蜜罐的信息,请参阅瞻博网络 ATP 设备 CLI 命令参考。
有关将 eth3 端口用于所有出站收集器流量的信息,请参阅瞻博网络 ATP 设备流量收集器快速入门指南。