2022天眼平臺使用指南

天眼平臺使用指南——分析平臺、流量傳感器、文件威脅鑒定器2022-04-07. .1.天眼架構部署1.天眼架構部署2.天眼設備介紹-傳感器3.天眼設備介紹-分析平臺3.天眼設備介紹-文件威脅鑒定器天眼架構部署天眼新一代安全感知系統(tǒng)檢測、溯源、響應檢測檢測精準事件威脅金字塔0day逃逸……已知威脅響應處置動作溯源調查分析天眼部署架構天眼部署架構云端威脅情報云端威脅情報文件威脅鑒定器文件威脅鑒定器靜態(tài)檢測威脅感知動態(tài)檢測調查分析場景化分析流量傳感器入侵攻擊檢測天擎聯(lián)動文件還原 終端響應數(shù)據(jù)采集部署場景部署場景注：天眼威脅監(jiān)測與分析系統(tǒng)(SkyEye)的各個組件均采取旁路部署的模式，組成一個獨立的網(wǎng)絡，不會和用戶本身的網(wǎng)絡產(chǎn)生交集天眼新一代安全感知系統(tǒng)天眼新一代安全感知系統(tǒng)數(shù)據(jù)源 檢測事件分析數(shù)據(jù)源檢測事件分析網(wǎng)絡探針（傳感器）全流量數(shù)據(jù)全流量日志還原文件原始PCAP網(wǎng)絡探針（傳感器）全流量數(shù)據(jù)全流量日志還原文件原始PCAP完整的威脅追蹤溯源精準事件Web攻擊APT攻擊郵件攻擊惡意軟件…調查分析攻擊鏈展示攻擊序列場景化20多種機器學習行為分析模型新的事件線索異常行為未知威脅規(guī)則檢測沙箱威脅情報天眼設備介紹-傳感器天眼設備介紹-傳感器流量采集

檢測引擎DNSFTPDNSFTP流量采集HTTPSSLSMB……基于人工智能機器自學習的入侵檢測nbt引擎威脅情報檢測基于規(guī)則的網(wǎng)絡入侵檢測基于沙箱的webshell上傳檢測基于雙向會話分析的Web入侵檢測

檢測結果 產(chǎn)生準確的入侵告警產(chǎn)生準確的入侵告警告警信息存入分析平臺，作為攻擊取證及快速溯源的數(shù)據(jù)支撐告警信息存入分析平臺，作為攻擊取證及快速溯源的數(shù)據(jù)支撐天眼流量傳感器界面狀態(tài)監(jiān)聽狀態(tài)監(jiān)聽狀態(tài)監(jiān)聽包括：設備連接狀態(tài)、設備列表、資源占用、系統(tǒng)信息、授權信息、攻擊規(guī)則信息、威脅情報信息、網(wǎng)絡流量、應用流量、數(shù)據(jù)采集、會話監(jiān)控、文件類型統(tǒng)計、日志外發(fā)統(tǒng)計。威脅告警-告警列表威脅告警-告警列表【威脅告警】-【告警列表】展示網(wǎng)頁漏洞利用、webshell上傳、網(wǎng)絡攻擊、威脅情報4種類型的所有告警。解碼小工具解碼小工具在【威脅告警】-【詳情】因為在告警詳情中，對于url編碼、base64編碼、以及各種中文編碼，瀏覽器不能提供直接的轉義功能，導致部分告警分析存在困難，所以提供此小工具對各種編碼內(nèi)容進行轉義。規(guī)則配置規(guī)則配置【規(guī)則配置】模塊提供【網(wǎng)頁漏洞利用】、【webshell上傳】、【網(wǎng)絡攻擊】、【自定義規(guī)則】配置管理功能，支持查詢、啟停，自定義規(guī)則配置等操作。提供規(guī)則的規(guī)則編號、規(guī)則名稱、威脅等級、規(guī)則分類、啟用狀態(tài)的篩選過濾，過濾查詢字段之間可以進行組合查詢。并支持單條規(guī)則啟用、關閉以及對選中的規(guī)則進行批量啟用、關閉的操作。同時提供了對每條規(guī)則詳情的查看操作?！疽?guī)則配置】-【自定義規(guī)則】分為兩個模塊，其中包含漏洞規(guī)則、威脅情報。 注：自定義威脅情報支持導入導出OPENIOCJSONSTIX用”則導出啟用狀態(tài)為啟用的所有情報，選擇“全部停用”則導出啟用狀態(tài)為停用的所有情報。策略配置-威脅檢測策略配置-威脅檢測【策略配置】-【威脅檢測】模塊提供了威脅檢測開關的啟停功能，及高級參數(shù)、弱口令、內(nèi)部資產(chǎn)IP的配置功能。注：高級參數(shù)設定閾值后需要通過點擊“保存”按鈕使配置生效。策略配置-威脅檢測-XFF策略配置-威脅檢測-XFF因流量進過不同設備時，數(shù)據(jù)流中的IP可能會被替換。此功能是了為識別真正的源IP。策略配置-威脅檢測-弱口令策略配置-威脅檢測-弱口令httpWEB【弱口令字典】模塊，用于在內(nèi)置弱口令不能完全滿足需求的情況下，補充自定義的弱口令，檢測流量中存在使用口令字典中密碼登錄的情況。策略配置-流量記錄策略配置-流量記錄【流量記錄】頁面提供了三個功能，【啟用流量負載記錄】控制向分析平臺發(fā)送數(shù)據(jù)中是否帶payload數(shù)據(jù)及攜帶的上下行數(shù)據(jù)長度；【啟用流量過濾】提供網(wǎng)絡流量篩選功能；【自定義協(xié)議】支持用戶根據(jù)端口配置協(xié)議信息。策略配置-文件還原策略配置-文件還原【文件還原】用于配置管理文件還原功能，支持啟停文件還原功能，并支持配置還原的協(xié)議類型、文件類型及文件大小（最大值）。支持在【系統(tǒng)管理->聯(lián)動管理->數(shù)據(jù)傳輸設置】頁面配置傳輸規(guī)則，將還原的文件外發(fā)給文件威脅鑒定器。策略配置-抓包檢測策略配置-抓包檢測【PCAP文件檢測】提供對用戶手動導入pcap文件進行檢測的功能，系統(tǒng)會分析pcap文件中的協(xié)議，還原協(xié)議傳輸中的文件，檢測是否存在網(wǎng)絡攻擊。系統(tǒng)會將分析出來的協(xié)議日志、告警日志發(fā)送分析平臺，將產(chǎn)生的網(wǎng)頁漏洞利用、webshell上傳、網(wǎng)絡攻擊、威脅情報告警、惡意文件在威脅感知-<告警列表頁面進行展示，將還原出的文件和對應的流量日志發(fā)送文件威脅鑒定器。策略配置-旁路阻斷策略配置-旁路阻斷【策略配置】-【旁路阻斷】其通過分析設備采集的流量數(shù)據(jù)包，再根據(jù)配置的阻斷策略通過發(fā)rst報文或重定向的形式對滿足條件的流量進行封禁操作，并統(tǒng)計阻斷次數(shù)、記錄阻斷日志。支持配置管理阻斷策略及封禁策略（人工規(guī)則）、阻斷白名單信息。注：建議默認配置，不推薦配置策略配置-SSL解密策略配置-SSL解密【SSL解密】httpSSLhttpsSSLHTTPShttpshttp），注：建議默認配置，不推薦配置策略配置-白名單配置策略配置-白名單配置系統(tǒng)提供兩大類白名單配置，配置規(guī)則與威脅情報白名單之后，命中白名單的告警不會入數(shù)據(jù)庫存儲，也不會進行展示和外發(fā)；配置文件白名單，命中文件MD5后不會進行檢測。點擊白名單類型下拉列表可以切換不同的類型。系統(tǒng)管理系統(tǒng)管理【基礎配置】中包括系統(tǒng)證書配置、網(wǎng)絡配置、時間配置、升級配置、運營配置、存儲管理、系統(tǒng)維護、診斷工具、系統(tǒng)信息配置，配置完成后點擊“保存”即可生效?！净A配置】-【升級配置】模塊用于顯示系統(tǒng)軟件版本、引擎與規(guī)則庫版本、威脅情報版本以及設置系統(tǒng)/規(guī)則的升級方式、升級周期和相關升級配置注：自動升級功能需要在系統(tǒng)能夠訪問天眼升級服務器的情況下使用，為了保證系統(tǒng)的及時更新，建議配置為自動升級?！緮?shù)據(jù)傳輸設置】模塊用于配置分析平臺、文件威脅鑒定器、SYSLOG服務器、Hadoop平臺、攻擊誘捕系統(tǒng)5種平臺的傳輸規(guī)則配置，同時提供了日志外發(fā)白名單功能，匹配白名單的日志將不再傳輸給其他平臺?！維NMP管理】模塊提供用戶SNMP服務配置和SNMPTrap配置功能，用來對設備運行狀態(tài)進行實時監(jiān)測。管理員可通過SNMP客戶端主動訪問設備MIB庫查詢，也可通過配置SNMPTrap在客戶端接收設備發(fā)出的Trap消息?！景踩耘渲谩恐邪ǖ顷懺O置、數(shù)據(jù)傳輸加密、敏感操作密碼、單點登錄密鑰配置?！镜卿浽O置】用來配置系統(tǒng)賬號安全參數(shù)，提高賬戶安全性以及防破解能力【數(shù)據(jù)傳輸加密】提供與分析平臺、Hadoop平臺、文件威脅鑒定器聯(lián)動時的數(shù)據(jù)加密功能及相關配置，可配置加密算法、加密密鑰。注：對端的分析平臺、Hadoop平臺、文件威脅鑒定器需配置相同的加密算法、加密密鑰，否則無法解密設備傳送的數(shù)據(jù)?！久舾胁僮髅艽a】模塊可以查看密碼的具體內(nèi)容，并且提供于弱口令的明文展示，在弱口令展示的時候默認不明文展示，輸入“驗證敏感操作密碼”可以查看明文弱口令。敏感操作密碼的默認密碼為隨機生成，并且敏感操作密碼可以進行修改，修改格式為：6-32位數(shù)字或字母或特殊字符?！締吸c登錄密鑰配置】模塊提供分析平臺單點登錄到流量傳感器時的登錄密鑰配置，涉及從分析平臺單點登錄流量傳感器、聯(lián)動處置查看/下發(fā)/刪除流量傳感器的阻斷策略功能。流量傳感器與分析平臺【系統(tǒng)管理->設備管理->設備配置】頁面該采集設備的“免密登錄密鑰”保持一致時，方可使用上述功能。賬號管理是系統(tǒng)維護人員保證系統(tǒng)安全的一項措施，以控制系統(tǒng)維護人員對系統(tǒng)的使用、防止系統(tǒng)維護人員對系統(tǒng)的越權使用或誤操作?！静僮鲗徲嫛磕K主要用于對用戶操作信息進行查詢和導出。管理員可按照開始時間、結束時間、用戶、登錄IP、功能、操作類型等信息進行條件查詢。導航導航天眼分析平臺天擎檢測引擎終端惡意行為偵察天擎檢測引擎終端惡意行為傳感器檢測引擎流量中惡意行為入侵傳感器檢測引擎流量中惡意行為威脅情報命令控制威脅情報場景化分析流量中異常行為橫向滲透場景化分析流量中異常行為數(shù)據(jù)外泄威脅鑒定器檢測引擎文件的異常行為痕跡清理威脅鑒定器檢測引擎文件的異常行為天眼分析平臺-監(jiān)測中心天眼分析平臺-監(jiān)測中心儀表板默認統(tǒng)計了8個維度的數(shù)據(jù)，包括告警統(tǒng)計、攻擊者統(tǒng)計、受害主機統(tǒng)計、系統(tǒng)維護、文件威脅鑒定器、郵件威脅檢測系統(tǒng)、網(wǎng)神云鎖和自定義視圖。全景圖形式展現(xiàn)分析平臺聯(lián)動的設備信息監(jiān)測工作臺支持用戶自定義配置重點監(jiān)測數(shù)據(jù)到工作臺，方便用戶統(tǒng)一查看并使用重點關注的系統(tǒng)功能模塊信息。包含：重點監(jiān)測：失陷主機、外部攻擊、橫向攻擊、越權訪問、弱口令、挖礦行為、暴力破解、補天漏洞。威脅感知：告警列表，威脅情報，web安全，數(shù)據(jù)庫安全，中間件安全，未授權行為，設備安全，攻擊者視角和資產(chǎn)視角。分析中心：DNS服務分析，非常規(guī)服務分析，郵件行為分析，登錄分析，web服務器行為分析，數(shù)據(jù)庫行為分析，訪問行為分析。資產(chǎn)感知：資產(chǎn)管理，資產(chǎn)發(fā)現(xiàn)，資產(chǎn)互訪，脆弱性，配置核查。系統(tǒng)配置：證書配置，設備監(jiān)控。注1：大屏支持分辨率2k（1920*1080）、4k（3840*2160），其他分辨率的屏幕可能會引起顯示異常注2：訪問大屏需使用谷歌67.0.3396.99及以上版本，低版本谷歌瀏覽器訪問大屏可能會引起顯示異常天眼威脅感知大屏持續(xù)監(jiān)控攻擊，且直觀的展現(xiàn)攻擊的總體狀況，支持中國地圖高交互下鉆，安裝膠囊客戶端即可體驗。主要由網(wǎng)絡風險指數(shù)、告警總數(shù)、攻擊概要、告警類型TOP5、告警變化趨勢、攻擊者TOP5、受害資產(chǎn)TOP5和實時告警組成。天眼分析平臺-威脅感知天眼分析平臺-威脅感知威脅感知》告警列表》接入的告警來源為流量傳感器、文件威脅鑒定器、郵件威脅檢測系統(tǒng)、服務器安全管理系統(tǒng)（云鎖）、攻擊誘捕系統(tǒng)、智慧管理分析系統(tǒng)（SMAC）、SOAR自動化編排場景和全部自定義檢索場景支持置頂、重命名、刪除檢索場景、保存+另存為檢索場景天眼分析平臺-分析中心天眼分析平臺-分析中心日志檢索支持快捷模式、高級模式、專家模式。行為分析包括DNSWEBDNSDNS解析、DNSDNS包含了子場景可疑代理、遠程工具、反彈shell天眼分析平臺-相應處置天眼分析平臺-相應處置天眼分析平臺-資產(chǎn)感知天眼分析平臺-資產(chǎn)感知天眼分析平臺-報告報表天眼分析平臺-報告報表天眼分析平臺-更多天眼分析平臺-更多天眼分析平臺-重保天眼分析平臺-重保重保演習主要為了護網(wǎng)事件所設定，用戶可以自定義護網(wǎng)任務，根據(jù)用戶所選擇的資產(chǎn)組進行重點關注。護網(wǎng)任務一共包含三個階段：備戰(zhàn)階段、實戰(zhàn)階段、戰(zhàn)后任務列表。【自定義黑IPIPIPIP兩種方式。IPIP天眼分析平臺-全局導航天眼分析平臺-全局導航天眼分析平臺-系統(tǒng)管理天眼分析平臺-系統(tǒng)管理【系統(tǒng)升級】提供了在線升級和離線升級系統(tǒng)軟件版本、規(guī)則庫版本和補天漏洞情報版本。注1：在線升級時，規(guī)則庫版本自動后臺升級，每小時的15分請求一次云端，如果規(guī)則有更新則自動進行升級。離線升級時，規(guī)則庫版本同樣使用“離線升級”入口進行手動升級04 天眼設備介紹-文件鑒定器天眼文件威脅鑒定器天眼文件威脅鑒定器云查殺 上傳文件md5到云端，云端返回virus_level,等級從10-80數(shù)字簽名引擎AVE引擎

檢查文件的簽名信息，返回簽名的廠商和簽名MD5PE靜態(tài)引擎靜態(tài)檢測

QEX引擎AVM引擎AQVM引擎BD引擎QVM引擎

非PE靜態(tài)檢測引擎，已知漏洞檢測APK移動應用檢測引擎APK機器學習檢測引擎Bitdefender引擎-可檢測PE、非PE機器學習引擎行為行為文件異常沙箱策略環(huán)境靈活的流程控制，可基于策略進行樣本歸檔、靜態(tài)-動態(tài)檢測流程自定義。策略設定；并在此基礎上設置處置策略支持威脅情報匹配異常檢測：異常開啟、異常關閉、檢測沙箱環(huán)境等相關行為支持4套環(huán)境（包括WINXP,WIN7;搭載Office03/07等環(huán)境）主機行為：文件、注冊表、進程、互斥體、服務等網(wǎng)絡行為：外鏈域名、外鏈主機等多文件來源：流量還原目錄服務器（FTP&SMB)手動提交API接口檢測能力檢測能力云查殺引擎數(shù)字簽名檢測QEX啟發(fā)式引擎QVM人工智能引擎安卓文件檢測引擎BitDefender檢測引擎

模擬文件真實運行分析文件行為基本功能基本功能傳感器傳感器云檢測云檢測文件威脅鑒定器引擎文件日志QVM引擎靜態(tài)檢測QEX引擎AVM引擎動態(tài)檢測AQVM引擎BD引擎分析平臺威脅情報行為分析展示功能管理功能系統(tǒng)登錄-WEB系統(tǒng)登錄-WEB導入證書后，首次登錄必須修改密碼進程監(jiān)控進程監(jiān)控狀態(tài)監(jiān)控狀態(tài)監(jiān)控文件告警文件告警告警查詢提交檢測提交檢測本地文件提交URL提交FTP提交文件對應大于50M的文件不會拉取到沙箱進行處理通過zmq進行push操作。相同MD5文件不重復提交SMB提交文件提交檢測記錄提交檢測記錄樣本查詢樣本查詢可輸入時間范圍（最多30天）和文件MD5值查詢樣本，點擊操作欄按鈕可跳轉檢測策略檢測策略檢測策略系統(tǒng)配置系統(tǒng)配置常規(guī)配置系統(tǒng)時間系統(tǒng)時間提供兩種矯正方式：默認自動與時間服務器進行同步，設備會在每天的凌晨00:00進行時間同步；關閉自動同步后，用戶可以手動更改系統(tǒng)時間和時區(qū)。網(wǎng)絡管理網(wǎng)絡管理代理服務器配置服務默認是關閉狀態(tài)，開啟后展示代理服務器服務相關配置選項安全性設置安全性配置模塊包含登錄設置和數(shù)據(jù)傳輸加密兩部分。用戶登錄的安全配置，包含登錄異常帳號鎖定、登錄密碼強度要求、登錄密碼長度要求、頁面登錄超時時間、是否強制密碼更換和首次登錄更改密碼；數(shù)據(jù)傳輸加密配置后可保證數(shù)據(jù)傳輸過程中的安全性，支持AES256和SM4，默認使用AES256，秘鑰要求必須為6-32位字母和數(shù)字。保存后生效。用戶管理系統(tǒng)管理員權限：狀態(tài)監(jiān)控、文件報警、檢測策略、審計日志、統(tǒng)計分析、系統(tǒng)配置操作管理員權限：狀態(tài)監(jiān)控、文件報警、檢測策略、統(tǒng)計分析審計日志權限：審計日志admin用戶名：32密碼：8~16位；超時時間：1-60分鐘以內(nèi)；審計日志注：系統(tǒng)授權即將過期時，請聯(lián)系服務人員重新制作系統(tǒng)授權文件，得到新的授權文件后，在此接口導入即可；商用授權過期后，系統(tǒng)可繼續(xù)工作，但升級功能將無法使用；試用授權過期后，系統(tǒng)不可繼續(xù)工作。證書管理注：系統(tǒng)授權即將過期時，請聯(lián)系服務人員重新制作系統(tǒng)授權文件，得到新的授權文件后，在此接口導入即可；商用授權過期后，系統(tǒng)可繼續(xù)工作，但升級功能將無法使用；試用授權過期后，系統(tǒng)不可繼續(xù)工作。設備升級用于配置系統(tǒng)軟件版本、規(guī)則庫版本的升級周期及升級方式，并記錄詳細升級日志【版本信息】模塊展示了系統(tǒng)當前軟件、引擎與規(guī)則的版本信息【系統(tǒng)升級】模塊是針對系統(tǒng)軟件版本的升級配置，用