SSIM日常维护.docx
- 文档编号:7099931
- 上传时间:2023-01-17
- 格式:DOCX
- 页数:12
- 大小:1.58MB
SSIM日常维护.docx
《SSIM日常维护.docx》由会员分享,可在线阅读,更多相关《SSIM日常维护.docx(12页珍藏版)》请在冰豆网上搜索。
SSIM日常维护
1概述
2运维角色和流程定义
2.1运维角色定义
SSIM划分为4个角色,具体角色和职能见下表:
角色类型
角色职能
人员
系统管理组(系统运维)
1.系统运行状态监控
2.系统定期健康检查
3.系统备份和恢复
4.应用运行状态监控
5.应用备份和恢复
6.日志采集有效性监控
7.规则运行有效性监控
8.报表和查询有效性监控
9.新设备日志接入
10.规则和报表的部署
11.基础数据维护(如黑白名单)
日常监控组(日常监控和量化计分)
1.事件监控
2.安全事件的告警通知、调查和跟踪处理,并负责关闭安全事件
3.量化计分
4.无法确认的安全事件转给“事件处置组”确认
规则管理与事件处置组(安全应用管理)
1.规则和报表的设计、优化、修改、删除等,提交系统管理组部署实施
2.调查、分析和跟踪处理已分配的安全事件,并负责关闭安全事件
3.无法处置的安全事件,需要“策略决策组”支持
策略决策组
1.策略规划
2.报表规划
3.流程规划
4.异常和应急事件处置决策
2.2运维流程定义
每种角色的运维工作和流程主要包括三个方面:
◆事件处置流程
◆规则和报表变更流程
◆日志采集流程
具体工作和流程如下:
3系统运维角色和用户创建
角色
权限
用户组
用户
帐号
系统管理
Dashboard
Intelligence
Incidents(只读)
Events
Tickets
Assets
Reports
Rules
System
Statistics
系统管理组
日常监控
Incidents(所属和所属组的事件读写)
Events
Tickets
Rules(黑白名单只读)
日常监控组
规则管理与事件处置
Incidents(所有事件只读,所属组的事件只读,所属事件读写)
Events
Tickets
Rules(只读)
规则管理和事件处置组
4SSIM客户端下载、安装和登录
4.1客户端下载
内网用户,通过IE登录SSIM服务器,登录方法:
https:
//10.112.15.10,点击“DownloadClient”下载SSIMJava客户端软件,如下图:
4.2客户端安装
双击Setup.exe安装程序运行安装过程,如下图:
4.3客户端登录
编辑c:
\windows\system32\drivers\etc\hosts文件,添加一行:
10.112.15.10ssim-server
双击“SSIMClient”图标,运行SSIM的Java客户端。
输入用户名和口令,登录SSIM应用系统。
5日常监控组运维操作
5.1安全事件监控和处理记录表
安全事件
类型
详细描述
原因分析
存在的问题
整改建议
举例一、下班后没有便闭办公电脑
人员安全
XX部门的XX人,下班后没有关闭办公电脑,IP地址为XXXX
已确认
N/A
N/A
举例二、外部攻击扫描
网络安全
XX时间,发现互联网IP地址XXXX,在对内网地址XXX进行扫描探测
需要网络组协助分析
规则参数设置不合理
需要调整规则检测阀值和条件
项目一期,重点对人员安全类事件进行分析和处理。
5.2安全事件的监控和处理
◆登录SSIM应用系统,进入到“Incidents”管理页面,Filter选择“MyOpenteamIncidents”,如下图:
◆监控是否有新分配过来的Incident,对其进行分析,必要时通过邮件、电话和相关事件责任人确认。
◆经过分析和处理,对该事件作出判断,结论有三个:
✧误报
✧正常行为
✧已确认(已处理)
如下图:
◆查看关闭后的安全事件
5.3安全事件的再分配
经过分析发现安全事件无法确认,可以在分配给“规则管理和事件处置组”进行进一步分析和判断。
选择该安全事件,在Assignee上选择需要再分配的对象用户,选择好后,点击保存,安全事件被分配到“规则管理与事件处理组”进行进一步分析和处理,如下图:
5.4提出规则修改要求和建议
在安全事件的处理过程中,发现由于规则设置的问题导致产生的安全事件告警不准确,或需要进行白名单的排除,需要提出相关的描述和需求提供给“规则管理与事件处置组”进行判断和确认。
6规则管理与事件处置组运维操作
6.1察看所有安全事件
登录SSIM应用系统,进入到“Incidents”管理页面,Filter选择“AllOpenInidents”,可以查看所有的安全事件,只查看,不处理。
6.2处理已分配的安全事件
◆登录SSIM应用系统,进入到“Incidents”管理页面,Filter选择“MyOpenIncidents”,可以看到“日常监控组”再分配的安全事件,如下图:
对分配过来的安全事件进行分析、调查和处理,最后关闭,关闭方法和“日常监控组”关闭方法相同。
6.3规则的设计和查看
◆根据“日常监控组”发现的规则问题和“策略决策组”提出的要求,进行规则的评估和设计,将设计好的规则需求提交给“系统管理组”进行测试和部署。
◆可以查看所有的规则部署情况,登录SSIM应用系统,进入到“Rules”管理页面,可以掺看所有规则列表和参数设置情况,可以进行规则的测试和重演。
如下图:
7系统管理组运维操作
Ø系统运行状态监控
Ø系统定期健康检查
Ø系统备份和恢复
Ø应用运行状态监控
Ø应用备份和恢复
Ø日志采集有效性监控
Ø规则运行有效性监控
Ø报表和查询有效性监控
Ø新设备日志接入
Ø规则和报表的部署
Ø基础数据维护(如黑白名单)
系统管理组日常运维检查表
检查项
CPU%
Mem%
HD%
服务和状态
平均EPS
规则运行状态
当天Incident情况
Agent\Collector\Sensor运行状态
周一
web
web
web
web
Javaclient
Javaclient
Javaclient
Javaclient
周二
20%
20%
本机20%
外部存储20%
XXX正常
XXX正常
….
500EPS
是否正常载入内存,可以在java管理控制台规则运行监控界面查看
Java管理控制台的incident页面,查看当天产生情况
Java管理控制台的system-〉图形化监控页面监控状态
周三
周四
周五
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SSIM 日常 维护