支持联动深信服安全设备进行用户安全可视化和内网边缘安全管理。
对接SIP后可以看到控制器的在线离线状态,用户上下线情况。可以在SIP中手动的添加异常终端,并同步到NMC的黑名单中。但无法感知用户的终端流量情况。
同时对接安全感知平台(SIP)和探针设备(STA)后不仅可以看到控制器的在线离线状态,终端上下线情况。还能看到设备和终端的流量情况。SIP检测到终端流量异常时,可以点击响应来将该终端拉入NMC的黑名单中禁用终端所有流量。也可以在SIP中手动的添加异常终端,并同步到NMC的黑名单中。
NMC3.13.0、SW3.6
1、STA联动SIP
2、镜像流量到STA
3、NMC联动SIP
联动配置不影响当前业务
1、要求NMC和SIP平台之间网络可达。
2、要求NMC、STA和SIP平台之间需要网络互通。相关的设备、用户流量需要镜像到STA上进行数据采集。
1、登录到STA平台,在向导配置中点击向导进行配置。
2、在配置向导中配置到连接安全感知平台的步骤的时候填写SIP的IP地址。如果STA的网络和SIP能通信的话STA会直接在接入到SIP上。
3、此时登录SIP上可以看到STA已经上线。点击STA状态可以跳转到设备管理中查看详细状态。
默认情况下STA使用管理作为通信口。其他接口全部作为镜像区端口,可以连接多台交换机的镜像目的端口。
交换机在做镜像的时候建议将二层的数据镜像到STA上,如果跨了三层之后MAC地址变化后SIP在做分析时就容易出现误差。例如:核心交换机作为网关的话可以将STA接到核心上,并将所有下行接口的流量镜像到STA上。
1、登录到STA上,点击配置导向进行导向配置。在接口配置中设定管理接口的Ip地址和网关,添加镜像端口。
2、在定义内网中配置相关的业务和终端区域网段。可以精准识别内网访问关系以及重点分析情况。
3、此时登录SIP上点击STA状态可以跳转到设备管理中查看详细状态。在设备管理中可以看到STA设的信息中可以看到各项流量数据。
1、登录SIP,在监控中心点击信锐NAC的状态图标可以跳转到设备管理。
2、在设备管理中点击新增,填写NMC的IP地址,设备类型选择网络控制器(NMC),自行设定认证账户和认证密码(这个账户密码要和NMC上填写的一致)。此时完成SIP的配置。
3、登录到NMC,在【安全配置】-【联动响应】-【安全联动】中新增联动设备。填写SIP的IP地址,以及上述在SIP上设置的账户和密码。点击测试可以测试连通性的情况。
4、此时登录SIP上可以看到NMC已经上线。点击NMC状态可以跳转到设备管理中查看详细状态。(NMC对接成功后是看不到传输日志量)
4.1用户查看
当NMC上有用户上线时(各种认证方式上来的无线用户,以及有线认证上来的用户)可以在【首页】-【终端】-【终端列表】查看终端列表情况,在这里看到的用户信息都会同步到SIP上。
登录SIP在【资产中心】-【资产感知】-【资产管理】-【主机资产】中筛选数据来源【信锐NMC】可以看到NMC同步到SIP上的用户信息,可以通过IP和用户名来进行搜索。
注:由于NMC和SIP是每隔10分钟同步以一次信息,所以NMC上的用户信息同步到SIP上会有一定的延迟。
4.2联动测试
1、手动添加黑名单
在SIP中的【分析中心】中可以看到各项分析,如发现可疑终端但是并未被判定为需要处置时可以使用手动添加的方式。
登录SIP,在【更多】-【响应工具箱】里的联动响应,点击详情打开联动配置页面。
在联动响应的页面中点击【新增】-选择冻结终端。
输入需要拉黑的终端的MAC地址,选择对应的控制器。点击开始冻结,自定义冻结时长。
SIP上设置好之后SIP会将信息同步到NMC上,在NMC的【首页】-【终端】-【终端安全】-【终端黑名单】可以查看对应记录。
注:在使用该方法时需要注意如果SIP的用户列表中没有找到用户时无法使用该配置。SIP会提示返回错误。
2、SIP自动分析风险终端
登录SIP在【处置中心】中会显示各视角的安全风险,里面会显示出现风险的终端或服务器。
在自动响应策略中可以设置预设条件匹配上线的控制器针对预设条件可以自动进行联动响应。
