Network Security Platform 7.0 Manager Administration Guide - McAfee

Manager 管理手册 

McAfee ® Network Security Platform 7.0

版权 

Copyright © 2012 McAfee, Inc. 未经许可不得复制。 

商标特性 

McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee AppPrism、McAfee Artemis、McAfee CleanBoot、McAfee DeepSAFE、ePolicy Orchestrator、McAfee 

ePO、McAfee EMM、McAfee Enterprise Mobility Management、Foundscore、Foundstone、McAfee NetPrism、McAfee Policy Enforcer、Policy Lab、McAfee QuickClean、 

Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、SmartFilter、McAfee Stinger、McAfee Total Protection、TrustedSource、VirusScan、 

WaveSecure 和 WormTraq 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。 

许可信息 

许可协议 

致全体用户:请仔细阅读与您所购买的许可相关的法律协议,以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类,请查看软件包装盒中或购买产品 

时单独提供的销售文档以及其他相关的许可授权或订单文档,这些文档既可以是小册子、产品光盘上的文件,也可以是软件包下载网站提供的文件。如果您不接受该协议规定的 

所有条款和条件,请勿安装本软件。根据情况,您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。 

2 McAfee ® Network Security Platform 7.0 Manager 管理手册

目录 

前言 7 

关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 

1 熟悉 Network Security Manager 9 

Network Security Manager 主页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

菜单栏 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

摘要显示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

查看服务器/客户端日期和时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

“Configuration(配置)”页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

访问配置页时出错 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 

资源树 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

查看联机帮助 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

工作状态页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 

未确认的警报摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

报告页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

2 配置和管理管理域 33 

Object Missing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

子域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

查看管理域的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

对管理域进行管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

创建管理域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

编辑子域配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 

如何编辑域的详细信息,或者向现有子管理域分配其他接口或收回已分配给现有子管理域的接口 . . . . 38 

更改根管理域名称 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 

删除管理域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 

管理用户和用户角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 

管理用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 

向用户分配角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

定义角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 

查看用户帐户信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

管理系统信息日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

查看和导出 Manager 活动日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 

生成用户活动审核 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 

管理长时间运行的进程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

查看来自 McAfee 的消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 

设置故障通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 

查看故障通知的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

将故障转发给 SNMP 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

将故障转发给 Syslog 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 

故障通知的常见设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 

通过电子邮件或寻呼机发送警报 . . . . . . . . . . . . . . . . . . . . . . . . . . 63 

McAfee ® Network Security Platform 7.0 Manager 管理手册 3

目录 

指定故障通知脚本参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 

管理审核通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 

配置 Syslog 转发程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 

自定义 Syslog 消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 

3 Manager 服务器配置 71 

查看 Manager 摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 

从更新服务器获取更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 

下载软件更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

使用 TFTP 服务器进行 Sensor 软件升级 . . . . . . . . . . . . . . . . . . . . . . . 73 

下载特征码集更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 

自动更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 

手动导入软件映像或特征码集 . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 

指定用于 Internet 连接的代理服务器 . . . . . . . . . . . . . . . . . . . . . . . . . 79 

为 Manager 灾难恢复 (MDR) 做准备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 

MDR 通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 

查看 MDR 的当前详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 

配置 MDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 

MDR 操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 

通过 CLI 验证 MDR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 

查看 MDR 切换历史记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 

与 Central Manager 建立通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 

查看 Central Manager 详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . 90 

管理 Central Manager 详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . 90 

管理 Network Security Manager 数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 

Manager 数据库的容量规划 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

数据库维护和优化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

数据库备份和恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 

维护系统数据和文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 

使用数据库管理工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 

配置外部身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 

查看身份验证详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 

在 Manager 中配置 RADIUS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . 116 

配置 LDAP 服务器/Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 118 

指定其他 Manager 服务器功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 

指定用于 Internet 连接的代理服务器 . . . . . . . . . . . . . . . . . . . . . . . . 121 

指定通知电子邮件服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 

配置全局自动确认 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 

设置审核日志参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 

添加 Manager 登录横幅 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 

限制 Manager 访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 

4 通过 Threat Analyzer 进行监控 129 

定义术语 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 

警报的生命周期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 

了解警报缓存和数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 

Host Intrusion Prevention 警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 

导航到 Threat Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 

实时 Threat Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

历史 Threat Analyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

Network Security Central Manager 中的警报汇集 . . . . . . . . . . . . . . . . . . . . . . . 136 

Central Manager 的 Threat Analyzer . . . . . . . . . . . . . . . . . . . . . . . . 136 

了解 Central Manager 中的警报汇集和监控 . . . . . . . . . . . . . . . . . . . . . . 137 

从 Central Manager 导航到 Threat Analyzer . . . . . . . . . . . . . . . . . . . . . . 137 

Central Manager Threat Analyzer 主页 . . . . . . . . . . . . . . . . . . . . . . . . 138 

查看警报信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 


NSP 健康状况视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 

查看 IPS 警报摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 

应用程序和 GTI 信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

查看 NAC 摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 

NTBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 

查看警报详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

查看警报属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 

操作按钮 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 

警报视图:右键单击选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 

按属性对警报排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 

在计数视图中查看数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

使用多个条件对警报排序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 

为警报创建显示过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 

确认警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 

显示特定攻击的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 

执行响应操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 

配置攻击过滤器关联 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 

查看和编辑攻击响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 

运行脚本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 

查看和保存证据报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 

警报页中的 IPS 隔离选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 

NTBA 违反策略、Botnet(僵尸网络)和行为警报的隔离操作 . . . . . . . . . . . . . . . . 224 

执行 NSLookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 

从 ePO 服务器中查询主机详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . 226 

删除警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

隐藏警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

创建事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

在 Threat Analyzer 中标识新攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . 240 

查看主机详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 

查看主机属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 

主机视图:右键单击选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 

主机页中的 NAC 选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

为主机创建显示过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

主机页中的 IPS 隔离选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 

使用事件查看器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 

查看事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 

查看主机鉴证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 

查看 McAfee ePO 信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 

对 Threat Analyzer 警报中列出的主机进行按需扫描 . . . . . . . . . . . . . . . . . . . 257 

设置首选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 

常规面板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 

警报视图面板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 

主机视图面板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 

观察列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 

历史约束 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

5 监控工作状态 275 

工作状态的状态指示器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 

工作状态界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 

工作状态的配色方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 

工作状态字段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

Sensor 状态详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

查看选定故障消息摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 

故障窗口操作按钮 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 

查看特定故障的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 

操作按钮 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

McAfee ® Network Security Platform 7.0 Manager 管理手册 5 

目录

目录 

系统故障消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

6 生成报告 283 

报告主页 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

报告的本地化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

新产生报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 

新产生的已保存报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 

传统 - 配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

保存配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 

ACL 分配报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

防火墙策略定义配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

管理域和用户报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

攻击过滤器报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 

故障报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 

集成摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 

入侵策略报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 

IPS 配置摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

IPS 策略分配报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 

IPS 策略详细信息报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 

IPS Sensor 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 

Manager 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 

NAC 配置摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 

查看 NAC Sensor 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

查看 NTBA Appliance 报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 

查看 NTBA 配置摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 

性能监控 - 管理域配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 

性能监控 - Sensor 配置报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 

侦测策略报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 

规则集报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 

扫描例外报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 

流量管理报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 

用户活动报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 

版本摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 

传统 - IPS 事件报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 

大型移动项报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

执行摘要报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

文件信誉报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 

侦测攻击报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 

前 N 个攻击报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 

趋势分析报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 

用户定义的报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 

模板报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 

自动生成报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 

计划报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 

编辑计划的报告设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 

为计划的报告添加收件人列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 

查看计划的报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 

配置常规设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

页眉和页脚 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

邮件服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

添加报告收件人 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

索引 349 


前言 

本手册将提供配置、使用和维护 McAfee 产品所需的信息。 

目录 

关于本手册 

查找产品文档 

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。 

读者 

McAfee 文档经过仔细调研并面向目标读者编写。 

本指南中的信息主要面向以下人员: 

• 管理员 ‑ 执行和实施公司安全计划的人员。 

约定 

本手册使用下列印刷约定和图标。 

“手册标题”或强调手册、章节或主题的标题;新术语的介绍;强调。 

粗体着重强调的文本。 

用户输入或路径用户键入的命令和其他文本;文件夹或程序的路径。 

代码 

代码示例。 

“用户界面” 用户界面(包括选项、菜单、按钮和对话框)中的文字。 

超文本(蓝色) 指向某个主题或网站的活动链接。 

附注:附加信息,例如访问某个选项的替代方法。 

提示: 意见和建议。 

重要事项/注意: 有关保护计算机系统、软件安装、网络、企业或数据的有用建议。 

警告: 在使用硬件产品时,防止受到人身伤害的重要建议。 


前言 

查找产品文档 

查找产品文档 McAfee 提供了产品实施各阶段(从安装到日常使用再到故障排除)所需的信息。在发行某个产品后,有关此产品的信息 

将输入到 McAfee 在线知识库中。 

任务 

1 转到 McAfee 技术支持 ServicePortal,网址为 http://mysupport.mcafee.com。 

2 在 “Self Service”(自助服务)下,访问所需类型的信息: 

要访问... 操作方法... 

用户文档 1 单击“Product Documentation”(产品文档)。 

2 选择产品,然后选择版本。 

3 选择产品文档。 

知识库 • 单击“Search the KnowledgeBase”(搜索知识库)以获取产品问题的解答。 

• 单击“Browse the KnowledgeBase”(浏览知识库)以查看按产品和版本列出的文章。 


1 

熟悉 Network Security Manager 

McAfee ® Network Security Manager 一种基于浏览器的 GUI,用于查看、配置和管理 Network Security Platform 

Sensor 设备部署。 

本节概要介绍了 Manager 基本功能和界面,以及有关使用 Manager 的一些基本概念。 

通过 Internet Explorer 6.0、7.0 或 8.0 使用 Manager 时,浏览器会检查所存网页的较新版本。默认情况下,Internet 

Explorer 设置为自动检查所存网页的较新版本。要检查此功能,请执行以下操作: 

任务 

1 打开 Internet Explorer 浏览器并转至“工具” | “Internet 选项” | “常规”。 

2 在“浏览历史记录”下,单击“设置”。 

3 在“检查所存网页的较新版本”下面,选中“从不”选项。 

任务 

选择“从不”将会缓存 Manager 界面中需要频繁更新的页面(不刷新这些页面可能会导致系统错误)。 

• 报告页第 31 页 

目录 

McAfee 建议将您监视器的“屏幕区域”设置为 1024 x 768 像素。可通过转至“开始” | “设置” | “控制面板” | “显示” | “设 

置”来执行此操作。 

Network Security Manager 主页 

“Configuration(配置)”页 

工作状态页 

报告页 


1 




Manager 主页是用户成功登录后看到的第一个页面。 

图 1-1 Manager 主页 

项目描述 

1 菜单栏 

2 显示区域 

主页是一个集中的界面,从这里可以访问所有的 Manager 界面组件。主页按逻辑分为 2 个部分:顶部的菜单栏和靠下 

的摘要显示部分。 

另请参阅 

菜单栏第 10 页 

摘要显示第 11 页 

菜单栏 

主页上的菜单栏提供用来访问 Manager 组件的导航选项(取决于为用户分配的角色): 

图 1-2 Manager ‑ 菜单栏 

• “Status(状态)”:链接到“Operational Status(工作状态)”页。 

• “Configure(配置)”:链接到“Configuration(配置)”页。 


• “Reports(报告)”:链接到报告主页。 

• “Threat Analyzer list(Threat Analyzer 列表)”:提供您可以查看的警报类型的列表。从列表中选择“Real‑time Threats 

(实时威胁)”以打开 Threat Analyzer。Threat Analyzer 提供由安全配置所触发警报的详细信息。Threat Analyzer 提 

供多个集中视图,用于分析实时警报和历史警报。 

主页的菜单栏还为您提供了以下图标: 

• “Help(帮助)”:链接到完整的系统帮助。 

• “Log out(注销)”:从 Manager 注销并返回到登录屏幕。 

另请参阅 

Network Security Manager 主页第 10 页 

摘要显示 

主页就像一个信息显示板,它显示了一些关键信息摘要,例如: 

• Unacknowledged Alert Summary(未确认的警报摘要):显示登录域中未确认警报的统计数字 

• Update Status(更新状态):显示登录域中 Sensor 软件和特征码集的当前版本 

• Messages from McAfee(来自 McAfee 的消息):允许您查看来自 McAfee 的任何产品消息或与安全相关的消息。此 

消息可能与以下各项相关:操作系统补丁、特征码集版本、Manager 软件更新、Sensor 软件更新,等等。 

• Status of Activities(活动的状态):显示 Manager 上被 Network Security Platform 确认为长时间运行的进程且当前正 

在进行的活动的状态。 

• Operational Status(工作状态):显示 Manager 和当前安装在 Network Security Platform 中的 Sensor 的当前健康状 

况。根据问题的严重性,“Operational Status(工作状态)”将显示相应的消息(如 Manager/Sensor 是打开还是关闭)。 

另请参阅 

Network Security Manager 主页第 10 页 

查看更新状态第 12 页 

查看未确认的警报摘要 


Network Security Manager 主页 1 

主页的“Unacknowledged Alert Summary(未确认的警报摘要)”区域显示登录域中未确认警报的统计数据。并按照影响 

系统的严重级别分类信息:“High(高)”、“Medium(中)”、“Low(低)”和“Informational(信息)”。 

Manager 每次在 Manager 服务器上启动时,都会从数据库中检索最后 100000 个“High(高)”、“Medium(中)”、“Low 

(低)”和“Informational(信息)”警报。在 Manager 启动之后,任何未确认的警报都会添加到最初的这 100000 个警报 

中。警报计数是在所有管理域上计算而来的,因此,这全部 100000 个警报计数是以时间而不是以管理域为基础计算的。 

例如,在这 100000 个未确认的警报中,管理域 A 可能有 80000 个警报,而管理域 B 可能有 20000 个警报。如果您以 

“Super User(超级用户)”角色登录,您将会看到所有管理域中的警报,而以其他用户角色登录的用户只能看到特定于其 

域的警报。 


1 



查看更新状态 

主页的“Update Status(更新状态)”部分显示了登录域中 Sensor 软件和特征码集的当前版本。它将显示以下信息: 

• Signature Set(特征码集) 

• Active Manager Signature Set(活动的 Manager 特征码集):应用于 Sensor 的特征码集的当前版本。 

• Latest Available Signature Set(最新的可用特征码集):可以从 McAfee 更新服务器下载的最新特征码集。单击 

版本号以导航到“Configuration page(配置页)” | “Manager” | “Update Server(更新服务器)” | “Signatures(特 

征码)”,其中列出了可供下载的特征码集和 Sensor 软件。 

• Last Synchronization time from Central Manager(上次与 Central Manager 同步的时间):显示上一次与 

Network Security Central Manager 同步的时间。它同时提供了一个 Synchronization Enabled(已启用同步)的 

链接,可将您定向到“Manager” | “Central Manager” | “Trust Establishment(建立信任关系)”页。 

• Sensor Software(Sensor 软件) 

• Device Name(设备名称)‑ 您在 Manager“Configuration(配置)”页上为 Sensor 输入的名称。 

• Last Update(上次更新时间)‑ 您上次更新 Sensor 软件的日期。 

• Update Status(更新状态)‑ 指出 Sensor 软件是否是最新版本,还是需要更新。单击“Update Required(需要更 

新)”链接以更新 Sensor 配置。 

另请参阅 

摘要显示第 11 页 

查看来自 McAfee 的消息 

“Messages from McAfee(来自 McAfee 的消息)”功能使您可以查看来自 McAfee 的任何产品消息或与安全相关的消息。 

此消息可能与以下各项相关:操作系统补丁程序、特征码集版本、Manager 软件更新,等等。Manager 将每隔 15 分钟 

检查一次 McAfee 更新服务器中的这类消息,并显示与您正在使用的 Manager 版本和特征码集相关的消息。 

此功能可以确保来自 McAfee ® Network Security Platform 支持团队的所有相关消息都能按时到达您手中。因为新消息将 

同时显示在主页和“Messages from McAfee(来自 McAfee 的消息)窗口上,所以您遗漏任何消息的机会非常小。 

为了允许 Manager 检查更新服务器上的消息,应该通过更新服务器对您的凭据进行身份验证。有关如何进行身份验证的 

详细信息,请参阅“对更新服务器设置进行身份验证”。Manager 在“Messages from McAfee(来自 McAfee 的消息)窗口中 

显示相关消息的发行日期和消息描述。发行日期就是在更新服务器上发布消息的日期。您可以确认已看到的消息,之后这 

些消息不会再列出。最近四条未确认的消息也会显示在 Network Security Platform 主页中。单击主页上的“View All Messages 

(查看所有消息)”链接,可以导航到“Messages from McAfee(来自 McAfee 的消息)窗口,该窗口中显示了所有未确认的 

消息。 

查看活动的状态 

尽管所有的用户都可以查看消息,但只有在根管理域中具备“超级用户”角色的用户才可以确认消息。 

在 Manager 中,子管理域用户只能查看主页上显示的最近四条消息。 

主页的“Status of Activities(活动的状态)”部分显示系统上被 Network Security Platform 确定为长时间运行的进程且当前 

正在进行的活动的状态。 

当 Manager 中出现长时间运行进程时,其状态在主页以及“” | “Long Running Processes(长时间运行 

的进程)”页上均显示为“In progress(进行中)”。如果活动完成,该活动的条目将从主页和“” | “Logs(日 

志)” | “Long Running Processes(长时间运行的进程)”页上删除。 


查看工作状态 

主页的“Operational Status(工作状态)”部分显示了系统中 Manager 和已安装 Sensor 的当前健康状况。根据问题的严 

重性,“Operational Status(工作状态)”将显示相应的消息(如 Manager 或 Sensor 是打开还是关闭)。Manager 或 

Sensor 发送的任何消息可以三个类别显示:“Critical(非常严重)”、“Error(错误)”或“Warning(警告)”。当您单击各列 

下显示的值时,您会被重定向到一个页面,该页面中显示与这些值有关的信息。 

另请参阅 

通过 Threat Analyzer 进行监控第 4 页 

查看服务器/客户端日期和时间 

Manager 服务器可以通过分布在不同地理位置的不同客户端访问。当用户访问不同时区中的服务器时,该服务器的时间 

会根据格林威治标准时 (GMT) 转换为客户端时区的时间,并向用户显示该时间。 

如果服务器和客户端之间的时差超过 1 分钟,McAfee Network Security Platform 会显示一条警告信息,提示用户重设 

客户端计算机时钟以匹配服务器时钟。在一次浏览器会话中,此消息只会显示一次。 

如果您的 Network Security Platform 部署位于使用夏令时的位置,则可以: 

任务 

1 在 Windows 操作系统中,选择“开始” | “设置” | “控制面板” | “日期和时间”。 

2 选择“根据夏时制自动调节时钟”。 

场景 

这会在夏令时给 GMT 增加一个小时。 

第一种情况:用户访问位于其他时区的服务器 


Network Security Manager 主页 1 

McAfee ® Network Security Central Manager 可以访问分布在不同地理位置和时区上的 Manager。如果 Manager 用户访 

问位于不同时区的 McAfee Network Security Central Manager (Central Manager),则显示的时间是客户端时区的时间; 

如果 Manager 用户访问的是同一时区的 Central Manager,则显示的仍是服务器时区的时间。 


1 



例如,假设 Central Manager 运行在东部标准时间 (EST) 下,也就是 GMT‑5 时区。有两个用户(用户 1 和用户 2)分别 

从各自的时区中访问 Manager 和 Central Manager。用户 1 位于 GMT+5:30 时区,而用户 2 位于 GMT ‑5 时区。如果 

Central Manager 的时间是 2007‑01‑03 4.30.00 EST,那么最后一次在主页中检索时间时,用户 1 看到的时间将是 

2007‑01‑03 15:00:00 IST,而用户 2 看到的是 2007‑01‑03 4.30.00 EST。 

图 1-3 Manager 时区 

所显示的时间戳格式为 yyyy‑MMM‑dd HH:mm:ss:z,在报告中以表格形式显示时为 yyyy‑MM‑dd HH:mm:ss:z。 

例如:2007‑Feb‑21 17:52:50 IST 或 2007‑02‑21 17:52:20 IST 

第二种情况:Manager 计划程序操作运行在服务器时区下 

假设用户想要计划生成趋势分析报告的时间。Manager 服务器位于东部标准时间 (EST) 时区,而用户位于印度标准时 

间 (IST) 时区。如果用户将生成报告的日期和时间设置为 2007‑03‑03 12:00:00,那么 Manager 服务器生成报告的日期 

和时间则是 2007‑03‑03 12:00:00 EST。已计划的报告将使用服务器时间,在本例中即 EST。 

一般说来,由服务器触发的计划使用的是服务器时间。例如,Network Security 更新服务器消息和“Admin Configuration 

(管理配置)”报告中的值等显示的均是服务器日期和时间。 


如果用户触发手动生成报告,它将运行在客户端时区下。 

Manager 的“Configuration(配置)”页是一个强大的界面,在此页中可以设置和维护 Network Security Platform 部署。使 

用此页,可以管理 Sensor、故障转移对、Manager、管理域、用户、角色、攻击策略、响应、用户创建的特征码以及很 

多其他内容。 

您的资源访问权限取决于您在 Manager 中的角色。 


要打开“Configuration(配置)”页,请在 Manager 主页中单击“Configure(配置)”选项卡。“Configuration(配置)”页分为 

两个窗格。 

• “Resource(资源)”窗格位于该页左侧。资源窗格中含有资源树,它是 Network Security Platform 资源的一个层次结 

构视图。如果右键单击任何一个节点,可以“Collapse All(全部折叠)”或“Expand All(全部展开)”,从而隐藏或显示 

树上的节点。使用“Search(搜索)”选项,可以搜索树中的节点。您还可以进行“Refresh(刷新)”,此操作将更新树, 

以立即显示新添加/删除的 Network Security Platform 资源。启用“Split Tree(拆分树)”选项,可以把资源树拆分成 

“Domain(域)”和“Device(设备)”选项卡。 

• “Configuration(配置)”窗格位于屏幕右侧。“Configuration(配置)”窗格会依据资源树中选定的项目显示不同的操作 

选项卡。您可以通过这些选项卡对选定的资源执行各种配置操作。 

图 1-4 配置页 

项目描述 

1 资源树窗格 

2 配置窗格 

本节将介绍“Configuration(配置)”页中的各个用户界面组件,并提供有关如何使用此页的信息。有关如何使用 

“Configuration(配置)”页中的特定功能的详细信息,请参阅相应的章节/手册。下表列出了讨论“Configuration(配置)” 

页中的各项功能的手册。 

章节/手册名称所含信息包括... 

第 2 章:配置和管理管理域 • 对管理域进行管理 • 生成和查看日志 

第 3 章:Manager 服务器配 

置 

• 更改根管理域名称 • 

• 管理用户和用户角色 

• 从 IPS 更新服务器获取更新 • 存档 Network Security Platform 数据 

• 配置 MDR • 维护 Network Security Platform 数据 

• 备份和还原 Network Security 

Platform 数据 


“Configuration(配置)”页 1 

• 使用 RADIUS 和 LDAP 配置对 Manager 

的身份验证 


1 



章节/手册名称所含信息包括... 

McAfee Network Security 

Platform 设备管理手册 


Platform IPS 管理手册 


Platform NAC 配置手册 


Platform NTBA 管理手册 


Platform 集成手册 

另请参阅 

继承第 19 页 

查看联机帮助第 29 页 

访问配置页时出错 

• 管理 Network Security Sensor • 阻止 IPv6 流量 

• 管理 Sensor 故障转移对 • 管理 SSL 密钥 

• 管理 Host Intrusion Prevention Sensor • 配置流量管理 

• 更新 Network Security Sensor 配置 • 配置 TACACS+ 身份验证 

• 更新 Network Security Sensor 上的软件 • 管理 NMS 用户和 IP 地址 

• 管理整个 Sensor 的策略 • 使用向导安装 Network Security 

Sensor 

• 管理 Sensor 的接口和子接口的攻击过滤器关 

联 

• 管理策略 • 管理攻击过滤器和攻击响应 

• 管理规则集 • 管理攻击 

• 管理攻击响应 • 管理警报和故障通知 

• 导出和导入策略 • 管理 IPS 隔离和修复 

• 管理防火墙策略 

• 配置 DHCP NAC 

• 配置标准 NAC 

• 配置混合 NAC 

• 针对故障转移对配置 NAC 

• 通过 Manager 配置 NTBA Appliance 

• 与 McAfee ePolicy Orchestrator 集成 

• 与 McAfee Host Intrusion Prevention 集成 

• 与 McAfee Vulnerability Manager 集成 

• 与 McAfee NAC 集成 

在某些情况下,访问 Manager 的“Configuration(配置)”页可能会生成错误消息。通常,如果您从同一个客户端访问不 

同版本的 Manager,或者使用 Manager 客户端访问其他基于 Web 的应用程序,也会出现这种情况。这是一个与 Java 

缓存有关的问题。 

要解决该问题,请执行以下操作: 

任务 

1 在 Manager 客户端上,转到“Windows 控制面板” | “Java” | “常规” | “设置”。 

2 单击“删除文件”,然后在“删除临时文件”对话框中单击“确定”。 

这将删除客户端上与 Java 有关的所有临时文件。 


3 注销 Manager 并关闭 Internet Explorer。 

4 在一个新的 Internet Explorer 实例中登录 Manager。 

资源树 

Network Security Platform 资源在“Resource Tree(资源树)”中以节点的形式显示。可以使用“Resource Tree(资源树)” 

来配置 Network Security Platform 中的各种设置。“Resource Tree(资源树)”位于“Configuration(配置)”页的左侧窗格 

中。特定于该资源的配置选项会出现在“Configuration(配置)”页的右侧窗格中。本节将讨论“Resource Tree(资源树)” 

中的各个节点。 

“Resource Tree(资源树)”提供向 Manager 服务器报告的所有 Network Security Platform 物理资源和虚拟资源的层次结 

构视图。可用的资源依据 Manager 中所部署的 Network Security Platform 产品和功能而定。“Resource Tree(资源树)” 

中的层次结构视图取决于 Manager 用户对节点的管理方式,而不一定代表资源之间的任何网络或物理关系。 

在全新安装之后首次登录时,“Configuration(配置)”页会在“Resource Tree(资源树)”上显示四个基本节点: 

• “Root Admin Domain(根管理域)”节点(默认情况下显示为“My Company(我的公司)”。根管理域的显示名称是一个 

可由用户配置的值。) 

• “Manager”节点 

• “Device List(设备列表)”节点 

• “Integration(集成)”节点 

• “Wizard(向导)”节点 

其他节点(如 IPS Settings(IPS 设置)、NAC Settings(NAC 设置)和NTBA Settings(NTBA 设置))会在将部署配 

置为使用这些资源时出现。要启用 NAC/NTBA 设置,需要获取必需的许可证文件。有关许可证的详细信息,请与 

McAfee 技术支持部门联系。 

图 1-5 显示基本节点的“Resource Tree(资源树)” 




1 



当您配置部署时,其他资源会出现在树中。大多数用户配置的资源的图标与其中一个基本节点的图标相同,只不过标有 

创建资源时指定的名称。例如,如果添加一个 Network Security Platform I‑1400 Sensor 并将其命名为 Sensor“I1400”, 

该 Sensor 便会在列表中以 Sensor_Name(Sensor 名称)图标显示,且名称为 I1400。 

图 1-6 显示用户配置资源的“Resource Tree(资源树)” 

如果右键单击任何一个节点,可以“Collapse All(全部折叠)”或“Expand All(全部展开)”,从而隐藏或显示树上的节点。 

您可以进行“Refresh(刷新)”,此操作将更新树,以立即显示新添加/删除的 Network Security Platform 资源。使用“Search 

(搜索)”选项,可以搜索树中的节点。启用“Split Tree(拆分树)”选项,可以把资源树拆分成“Domain(域)”和“Device List 


(设备列表)”选项卡。“Domain(域)”选项卡列出了每个域的“Root Admin Domain(根管理域)”节点、Manager 节点、子 

域节点和“Policies(策略)”节点。“Device List(设备列表)”选项卡列出了在每个域中配置的 Network Security Platform 

资源。 

图 1-7 资源树 

节点 

资源树中的每一项都是一个节点,并代表一个 Network Security Platform 资源。节点可以代表逻辑实体(如管理域)、 

物理实体或 Sensor。一个管理域节点可以是父节点或子节点。它既可以是下属节点的父节点,同时又是上级节点的子节 

点。最多可以存在四个级别的子节点。 

继承 

了解父管理域节点和子管理域节点之间的关系非常重要。子管理域在创建时会接受来自父管理域的应用策略,并且用户 

进入子域时会自动被授予它在父域中的角色。 

子域实质上包含在父域之中。如果一个用户在父域中被授予“超级用户”角色,则这一角色也适用于父域的所有子域。 

例如,在“Configuration Page(配置页)”部分显示的层次结构中,在“My Company(我的公司)”域中被授予“Operator(操 

作员)”角色的用户在“Finance”域中同样具有“Operator(操作员)”角色。 

可以在子级别中向用户授予其他角色,但在父级别中授予用户的角色不会被子级别中授予该用户的角色覆盖。有关角色的 

详细信息,请参阅“McAfee Network Security Platform 入门手册”。 

另请参阅 

“Configuration(配置)”页第 14 页 

配置窗格 

“Configuration(配置)”窗格位于屏幕右侧,它显示了选定资源树节点的一些配置选项。这些配置选项称为操作(或操作 

选项卡),分为不同的类别,由一系列“选项卡”表示。 

图 1-8 所选的根管理域节点的“Configuration(配置)”窗格 




1 



项目描述 

1 选项卡 

2 操作 

选择操作选项卡会显示该操作类别的一些配置选项。例如,如果选择“Root Admin Domain(根管理域)”节点(“My Company 

(我的公司)”,则选择“User(用户)”选项卡后,会显示与创建和管理 Network Security Platform 系统中的用户有关的一 

些选项。 

使用选项卡区域中的水平滚动条可以在“Configuration(配置)”窗格内左右移动。通过该滚动条还可以滚动和查看处于隐 

藏状态的选项卡。 

用户角色对显示的影响 

“Configuration(配置)”页中显示的资源和配置选项取决于用户在系统中的角色。如果用户具有完全的访问权限或者 

“Super User(超级用户)”访问权限,则可以查看和配置系统中的每项资源和操作。如果是权限受到限制的用户(如 

“Security Expert(安全专家)”),则只能配置策略和更新功能,而无法执行添加 Sensor 和在“Operational Status(工作状 

态)”中确认故障等操作。 

在配置页中跟踪导航 

在“Configuration(配置)”页中,“Configuration(配置)”窗格的导航栏将显示您当前的位置。根管理域总是首先列出,然 

后是为配置选定的资源(节点)和操作。在许多情况下,导航中含有一个或多个资源树节点(选择一个接口节点会显示其 

父 Sensor)、操作选项卡和选定的操作。域名与节点名称以正斜杠 (/) 分隔;选项卡名称和操作名称以大于号 (>) 分隔。 

图 1-9 配置页:导航栏 

项目描述 

1 导航栏 

例如,在上图中,如果您正在“Manager”节点中从更新服务器下载 Sensor 软件,将按以下方式显示导航: 

“//Manager” | “IPS Update Server(IPS 更新服务器)” | “Sensor Software(Sensor 软件)” 

因此,导航的顺序为“/根域/节点 > 选项卡 > 操作”。 

如果您在子域中进行配置,则导航的顺序为“/根域/子域/节点 > 选项卡 > 操作”。在下图中,用于配置子域中已分配接口 

“x”的导航顺序如下: 

“///节点/Sensor 名称/接口 x” | “选项卡” | “操作”。 

图 1-10 在子管理域内导航 

项目描述 

1 根域名 

2 子域名 

3 节点名称 


项目描述 

4 Sensor 名称 

5 接口 x 

6 选项卡名称 

7 操作名称 

Network Security Platform 资源 

Network Security Platform 资源在“Resource Tree(资源树)”中以节点的形式显示。资源树上的节点(如果您有查看它们 

的访问权限)包括“Root Admin Domain(根管理域)”节点、“Manager”节点、“Device List(设备列表)”节点、“IPS Settings 

(IPS 设置)”节点、“NAC Settings(NAC 设置)”节点、“NTBA Settings(NTBA 设置)”节点、“Wizards(向导)”节点、 

“Integration(集成)”节点和 “Child Admin Domain(子管理域)”节点。 

下图显示了具有这些基本节点的资源树。 

图 1-11 资源树 

项目描述 

1 根管理域节点 

2 Manager 节点 

3 设备列表节点 

4 IPS 设置节点 

5 NAC 设置节点 

6 NTBA 设置节点 

7 集成节点 

8 子管理域节点 

Root Admin Domain(根管理域)节点 My Company(我的公司) 




1 



“Root Admin Domain(根管理域)”节点表示所有其他 Network Security Platform 资源所在的域。根管理域是在 

Manager 中创建的所有资源和域的父级。 

选择根管理域名称后,“Configuration(配置)”窗格会显示与管理域配置相关的操作选项卡。 

默认情况下,根管理域标为“My Company(我的公司)”。您可以自定义此名称,如“更改根管理域名称”中所述。 

有关管理域(包括术语)的详细信息,请参阅“McAfee Network Security Platform 入门手册”。 

Manager 节点 

Manager 节点代表负责维护本系统的 Manager。Manager 是整个系统的协调指挥者。 

Manager 节点操作可创建、配置和管理构成 Network Security Platform 系统的物理资源、硬件和软件(服务器、操作系 

统和服务器上运行的软件组件),并与它们进行通信。您还可以使用 Manager 配置更新计划、代理设置、电子邮件通知 

服务器等全局属性。 

Manager 由根管理域管理,因此 Manager 节点只出现在资源树的“Root Admin Domain(根管理域)”节点下面。 

Manager 节点不会有其他特殊名称,因为每一部署都只能存在一个 Manager 实例。 

设备列表节点 

此节点代表属于相应管理域的可用物理 Sensor。如果您已经添加了 Host Intrusion Prevention Sensor,则它也会显示在 

该节点中。 

安装了物理 Sensor 之后,可以按照用户的要求专门配置其资源,方法是在“Device List(设备列表)”节点内选择物理资 

源节点(“Sensor_Name(Sensor 名称)”)。 

此节点是一个逻辑父级:在此级别上配置的所有操作(配置非标准端口、一次更新所有 Sensor 等)将根据逻辑关系应用 

于该节点管理的每个 Sensor。可以存在多个 Sensor 节点,具体取决于与子域相对应的“Add Sensor Allowed(允许添 

加 Sensor)”字段是否处于选中状态。 

IPS 设置节点 

能够由 IPS 识别的 Sensor 都显示在此节点下面。所有 Sensor 级别的 IPS 配置都可以使用此节点进行配置。此节点提 

供了所有已应用于 IPS Sensor 的策略的视图,其中还包含策略编辑器。策略编辑器用于修改和创建安全策略。它含有 

一些预先配置好的策略,您可以原封不动地直接使用这些策略,或者加以修改以符合您的需要。 

此节点是所有 IPS Sensor 的一个逻辑父级。在此级别上配置的所有操作(配置非标准端口、一次更新所有 Sensor 等) 

将根据逻辑关系应用于该节点管理的每个 Sensor。可以存在多个 Sensor 节点,具体取决于与子域相对应的“Add 

Sensor Allowed(允许添加 Sensor)”字段是否处于选中状态。 

您可以将策略应用于管理域、Sensor 接口或 Sensor 子接口等资源。“Rule Set Editor(规则集编辑器)”和“Custom 

Attack Editor(自定义攻击编辑器)”也位于“Policies(策略)”节点中。 

包括默认策略在内的所有策略都位于策略编辑器中。您可以将策略应用于管理域、Sensor 接口或 Sensor 子接口等资 

源。侦测策略在“Device_Name(设备名称)”节点自定义,DoS 策略可在“Interface(接口)”和“Sub‑interface(子接口)” 

节点创建。 

NAC 设置节点 

NAC Sensor 显示在此节点下面。Sensor 级别的所有 NAC 配置都可以在该节点下面执行。 


此节点是所有 NAC Sensor 的一个逻辑父级;在该级别配置的所有操作将根据逻辑关系应用于由该节点管理的每个 

NAC Sensor。可以存在多个 Sensor 节点,具体取决于与子域相对应的“Add Sensor Allowed(允许添加 Sensor)”字段 

是否处于选中状态。 

NAC Sensor 都将显示在“Device List(设备列表)”和“NAC Settings(NAC 设置)”节点下面。 

既作为 IPS 又作为 NAC 的 Sensor 将显示在“Device List(设备列表)”、“IPS Settings(IPS 设置)”和“NAC settings 

(NAC 设置)”节点下面。 

NTBA 设置节点 

NTBA Appliance 显示在此节点下面。NTBA 级别的所有配置都可以在该节点下面执行。 

此节点是所有 NTBA Appliance 的一个逻辑父级;在该级别配置的所有操作将根据逻辑关系应用于由该节点管理的每个 

Appliance。 

集成节点 

此节点综合了将 Network Security Platform 与其他 McAfee 产品进行集成所必需的配置。 

另请参阅 

Object Missing 第 33 页 

配置和管理管理域第 3 页 

用户配置的资源 

当您配置 Network Security Platform 部署时,树中将出现 Sensor 等其他资源。在 Network Security Platform 使用这些 

资源的功能时,可能会显示多个新节点:Failover Pair_Name(故障转移对名称)节点、Interface(接口)节点以及 

Sub‑Interface(子接口)节点。 

用户配置的资源的图标与基本节点的图标相同或类似,但标有您在创建资源时指定的名称。例如,如果您向 Manager 

中添加了 Sensor,并将其命名为“Bldg1Sensor”,则此 Sensor 将显示在标为 Bldg1Sensor 的列表中。 

子管理域 

子管理域是可以向特定用户委托管理任务和权限的工具。您可以在子管理域中添加 Sensor、应用预先配置的策略或创建 

策略,创建不同角色的用户,然后让特定用户管理子域中的资源。 

子管理域让您可以基于组织、地域或其他区分因素灵活地组织 IPS 部署。 

代表子管理域的图标与代表根管理域的图标相同,并标有您指定的名称。 

设备列表 

Device List(设备列表)节点代表您添加到 Manager 的设备。这些设备标有您在创建时指定的名称。 

Sensor 配有多个端口(又称为接口)。可以将这些接口分配到系统的多个管理域。也就是说,虽然 Sensor 可能已添加 

到一个管理域,但已分配的接口却由分配了该接口的另一个域控制。 

因此,同一 Sensor 名称可以出现在资源树中的多个地方;其图标则会依据 Sensor 添加到的域而变化。 

物理 Sensor 



物理 Sensor 图标(深灰色)代表添加到所在管理域的物理 Sensor。例如,如果将 SensorA 添加到 Admin Domain A, 

则 SensorA 在资源树中会以一个物理 Sensor 图标的形式出现在 Admin Domain A 节点之下。 


1 



虚拟 Sensor 

虚拟 Sensor 图标(浅灰色)代表在子域中分配了接口的父域 Sensor,虚拟 Sensor 图标出现在子域节点下面。 

例如,如果将 SensorA 添加到 Admin Domain A,而它的两个接口分配到了 Admin Domain B,则 SensorA 会在资源树 

中以虚拟 Sensor 的图标出现在 Admin Domain B 节点下面。虚拟 Sensor 节点不可选择。可以在物理 Sensor 节点中配 

置实际的 Sensor。 

故障转移对名称 

Failover Pair_Name(故障转移对名称)图标出现在 Sensors 图标下面,代表配置为一个故障转移对的两个物理 

Sensor。故障转移对标有您在创建时指定的名称,如 FailoverPair1。一个故障转移对由两个完全相同的 Sensor(型号和 

软件均相同)组成,它们完全运行在串联模式下。 

故障转移对中的两个 Sensor 可以采用不同的失效打开/失效关闭设置。例如,可以将一个 Sensor 配置成失效打开,将另 

一个 Sensor 配置为失效关闭。此选项用于活动‑备用配置中,在这里,活动链路被配置为失效关闭模式(以便在发生故障 

时强制流量通过备用链路),备用链路被配置为失效打开模式(以便在两个 Sensor 都发生故障时提供持续通信流)。 

这两个 Sensor 所配置的接口直接显示在故障转移对下面。例如,I‑4000 型 Sensor 的接口对为 1A 与 1B。 

当配置为故障转移模式时,I‑4000/I‑4010 上的 2A‑2B、I‑2700 上的 4A 和 I‑3000 上的 6A‑6B 用于 Sensor 之间的通信。 

因此,为了达到高可用性而配置两个 Sensor 时,这些端口不能用于监控。 

成员 Sensor 

Member Sensors(成员 Sensor)图标出现在 Failover Pair_Name(故障转移对名称)图标下面,并列出了构成故障转 

移对的各 Sensor。成员 Sensor 节点不可选择;可在 Failover Pair_Name(故障转移对名称)节点中对其进行配置。 

故障转移 Sensor 

在将某个 Sensor 指定为故障转移对中的一个 Sensor 之后,此 Sensor 的图标便会发生相应的变化,以显示其Failover 

Sensor(故障转移 Sensor)身份。故障转移 Sensor 以您将该 Sensor 添加至 Manager 时指定的名称(Sensor_Name 

(Sensor 名称))表示。 

Host Intrusion Prevention Sensor 

在使用 McAfee ePO 控制台建立与 Host Intrusion Prevention 之间的通信后,Host Intrusion Prevention Sensor 图标便 

会出现在资源树中。Host Intrusion Prevention Sensor 实例在层次结构中位于其父“Device List(设备列表)”节点的末 

尾。 

接口 

展开 Sensor 视图后,将显示可用的端口/接口。接口是一个或多个物理端口的逻辑组合。 

根据端口是否对等而定,接口可由一个(SPAN 或集线器模式)或两个(Tap 或串联模式且对等的)物理端口构成。 

I‑1200 默认显示两个接口;对于 I‑2700,在默认情况下显示七个接口(两个 GBIC 端口默认为一个接口);对于 I‑4000 

或 I‑4010,在默认情况下显示两个接口(根据默认的对等配置,两个 GBIC 端口作为一个接口)。 

接口组(又称为端口群集) 

可以将若干个接口组合起来,以集中管理网络拓扑(如非对称路由)中的监控资源。将多个接口组合在一起时,将针对所 

有传输状态进行维护。可以将特定策略应用于接口组,也可以创建子接口或 DoS 策略 ID。您只能将来自同一 Sensor 

的端口进行组合。 


子接口 

如果接口连接至传输 VLAN 或 CIDR 流量的网段,则接口可细分为多个更小的名为子接口的组合。通常的做法是让接口 

应用一种策略,而子接口则应用另一种策略;或者将具有相同特性的不同类型流量实例组合在一起。您还可以创建子接 

口以保护作为 DoS/DDoS 攻击目标的基于 CIDR 的特定主机。子接口列在它们所组成的接口下。 

导出器 

在建立与 NTBA Appliance 之间的通信后,导出器图标便会出现在资源树中。该图标放在“NTBA Settings(NTBA 设置)” 

节点的层次结构中。它用于导出 IPS Sensor 或路由器的 Net‑flow 记录。 

区域 

在建立与 NTBA Appliance 之间的通信后,区域图标便会出现在资源树中。该图标放在“NTBA Settings(NTBA 设置)” 

节点的层次结构中。它是父节点,其下面显示有节点和子节点。 

多个内部区域 

内部区域图标显示在资源树中,其中显示分组的多个内部区域。 

多个外部区域 

外部区域图标显示在资源树中,其中显示分组的多个外部区域。 

单个内部区域 

内部区域图标是出现在资源树中的单个区域图标。 

单个外部区域 

外部区域图标是出现在资源树中的单个区域图标。 

另请参阅 

配置和管理管理域第 3 页 

使用资源树 



要配置系统,请单击资源树中的节点名称之一。特定于该资源的配置选项会出现在“Configuration(配置)”页的右侧窗格 

中。 


1 



对资源配置进行更改时需要注意,有很多配置更改需要在推送到 Sensor 之后才能生效。推送的方式可以是按需推动, 

也可以是按计划定期推送。 

图 1-12 资源树组件 

项目描述 

1 设备名称节点(物理 Sensor) 

2 接口节点 

3 子接口节点 


项目描述 


5 分配的接口节点 

资源树 - 拆分视图 

“Resource Tree(资源树)”可以在“Split Tree(拆分树)”模式下查看。使用此选项时,“Resource Tree(资源树)”将分为 

两个选项卡 ‑“Domain(域)”和“Device(设备)”。 

使用“Resource Tree(资源树)”‑“Split View(拆分视图)”选项 




1 



任务 

• 在资源树中,右键单击任意节点,然后启用“Split Tree(拆分树)”。 

“Domain(域)”选项卡列出了“Root admin domain(根管理域)”节点、“Manager”节点和子域。 

图 1-13 资源树 ‑ 拆分视图:域节点 

项目描述 


2 Manager 节点 


“Device(设备)”选项卡列出了“Root admin domain(根管理域)”节点、“Device List(设备列表)”节点、“IPS Settings 

(IPS 设置)”节点、“NAC Settings(NAC 设置)”节点和“Child Admin domain(子管理域)”节点。 

图 1-14 资源树 ‑ 拆分视图:设备节点 

项目描述 


2 设备列表节点 


项目描述 

3 IPS 设置节点 

4 NAC 设置节点 

5 NTBA 设置 

6 向导 

7 集成节点 


查看联机帮助 

在“Device(设备)”树视图中,会显示“Admin Domains(管理域)”节点,但处于禁用状态。 

“Device(设备)”树视图列出了当前管理域及其子域中的资源。如果针对管理域禁用了“Add Sensor allowed(允许添 

加 Sensor)”,并且您分配了接口,则还会显示该接口。 

• 要查看联机帮助(包括目录、索引和全文搜索),请单击菜单栏上的问号(“?”)按钮。 

• 要获得有关特定配置页中所显示操作的帮助,请单击“Configuration(配置)”窗格右上角中的问号(“?”)按钮。此时将 

显示相应的帮助页。 

另请参阅 

“Configuration(配置)”页第 14 页 




1 




Manager 主页的 Status(状态) 部分显示了系统中 Manager 和已安装 Sensor 的当前健康状况。 

图 1-15 Manager 主页中的“Operational Status(工作状态)” 

项目描述 

1 主页中的“Operational Status(工作状态)”部分 

打开“Operational Status(工作状态)”界面 

在 Manager 主页中,单击“Operational Status(工作状态)”部分中的任何链接以打开“Operational Status(工作状态)” 

页。“Operational Status(工作状态)”页显示一个表,其中列出 Manager 服务器、数据库和已安装的 Sensor,同时提供 

健康状况和故障信息。 

另请参阅 



报告页 

未确认的警报摘要 

Manager 主页的“Unacknowledged Alert Summary(未确认的警报摘要)”部分按警报的严重性顺序显示数据库中的未确 

认警报。Sensor 生成的所有警报在您专门在 Threat Analyzer 界面中对其进行“确认”之前,都会保持未确认状态。这样 

做的目的在于显示未曾查看的“新”警报。 

图 1-16 未确认的警报摘要 

Threat Analyzer 提供 Network Security Platform 所生成警报的详细信息。Threat Analyzer 带有多个集中式视图,用于 

对警报数据执行鉴证分析。您可以查看概要警报统计数字,或者深入查看某个警报或警报类别的全部详细信息。 

要打开 Threat Analyzer,请从列表中单击“Real‑time Threats(实时威胁)”选项卡。 

在每个客户端上首次使用 Threat Analyzer 时,Manager 会提示您安装 Java Web Start。Java Web Start 是启动 

Threat Analyzer 所必需的。 

此时将打开 Threat Analyzer 的“Dashboards(信息显示板)”页。如果您选择“Historical Threats(历史威胁)”选项卡,则 

会看到一个对话框提示,您可以在其中指定在数据库中检索某个时间范围的警报(应用于数据库中的所有警报,不管是已 

确认警报还是未确认警报)。 

报告主页可以生成一系列报告,包括向 Manager 提交的警报信息,以及与配置设置相关的一些信息。IPS 报告是各种警 

报信息,如严重性、影响类别、来源/目标 IP、警报时间等的摘要。配置报告则可显示当前 Manager 和 Sensor 软件版 

本、代理服务器设置等详细信息。 

要打开报告主页,请执行以下操作: 

任务 

• 从 Manager 主页中,单击“Reports(报告)”。“Reports(报告)”主页显示在以下选项卡中: 

• Next Generation(新产生) 

• Traditional(传统) 

• Automation(自动) 


报告页 1 


1 


报告页 

• Scheduled Reports(计划的报告) 

• General Settings(常规设置) 

图 1-17 报告主页 

另请参阅 

生成报告第 6 页 


2 配置和管理管理域 

2 

从 Manager 资源树的“Admin Domain(管理域)”节点,您可以查看管理域的详细信息、对管理域进行管理、编辑子域配 

置并删除管理域。 

目录 

Object Missing 

子域 

Object Missing 

子域 

查看管理域的详细信息 

对管理域进行管理 

编辑子域配置 

删除管理域 

管理用户和用户角色 

管理系统信息日志 

设置故障通知 

管理审核通知 

This object is not available in the repository. 

在创建子域后,您即可以将该子域中 McAfee ® Network Security Sensor 的监控和/或配置任务委托给更熟悉该子域环境 

的实体。您不一定要将管理域划分为多个子域;但如果要将管理 McAfee Network Security Platform 资源的职责委托给 

组织内部的不同个体,就需要通过创建子域来实现。为了委托职责,可创建子管理域和用户帐户,并给予每一用户某种 

“角色”,这些角色定义了用户将如何与子管理域中的资源进行交互。 

例如,假设您管理三个 McAfee Network Security Sensor (Sensor)。您可以创建一个子管理域并将其中一个 Sensor 的 

一个端口 (1A) 分配给该域。然后,创建一个用户并仅在该子域中授予其“Super User(超级用户)”的角色;该用户在根 

域中不具有任何角色,因而无法看到或配置根域的资源。此后,子域的“Super User(超级用户)”就承担起管理分配给子 

域接口的全部职责。 

用户的角色决定了他/她在资源树中的视图;只有允许该用户查看的资源才会显示在树中。在下图中,如果用户是“HR”管 

理域的“Super User(超级用户)”,则会在资源树顶部显示“HR”域及其所有子域,而不会显示根管理域或根域的任何其他 

子域。 


2 

配置和管理管理域 

子域 

可以在子管理域(如下图左侧的“HR”)内部创建其他子管理域,如图示的“HR SF”子域。所有带有子域的域都称为“父域”, 

因而子域也可以是其他子域的父域。创建子域时,可以将其启用或禁用为其他域的父域(默认情况为启用)。根域则总能 

带有子域。 

图 2-1 根域和子域 ‑ 超级用户视图 

表 2-1 

项目描述 

1 根管理域,HR 和 QA 的父域 

2 My Company(我的公司)的子域,HR‑SF 的父域 

3 HR 的子域 

4 My Company(我的公司)的子域 

在创建域时,您可以配置管理域节点名称,包括根名称。在上例中,“HR”和“QA”管理域创建于根域下面;“HR SF”创建 

于“HR”域节点下面。 

理解父管理域和子管理域之间的关系非常重要,因为子管理域的“策略”继承自父管理域,并且用户在子域中将继承他们 

在父域中的“角色”权限。 

另请参阅 

定义角色第 44 页 

在本手册中,已命名管理域实例以“Admin‑Domain‑Name(管理域名称)>”表示。在上图中,根管理域名称为“My Company 

(我的公司)”,是默认的根管理域名称。 


查看管理域的详细信息 


“Summary(摘要)”操作显示选定管理域的当前配置信息。 

针对选定的管理域显示的信息会因可用功能而异。例如,如果启用了 NTBA 许可证,则会在“Summary(摘要)”页中显示 

有关“Default Anomaly Policy(默认异常策略)”和“Default Worm Policy(默认蠕虫策略)”的信息。 

对管理域进行管理包括创建管理域、更改根管理域名称以及删除管理域。 

另请参阅 

创建管理域第 35 页 

更改根管理域名称第 39 页 

删除管理域第 39 页 

创建管理域 

在根域下创建管理域的步骤与在根域的子域下创建域的步骤相同。在管理域下,您最多可以创建四个“级别”的子域。在 

创建子域的过程中,可以将父域 McAfee ® Network Security Sensor (Sensor) 接口的管理委托给子域。 

如果您不想在创建子域时分配接口,或者允许在将来添加 Sensor,则可以在以后启用这些选项。 

创建管理域 

任务 

1 从资源树中选择要向其中添加子域的域,然后单击“Admin Domains(管理域)”。 

图 2-2 “Admin Domains(管理域)”列表 

2 单击“New(新建)”。 


查看管理域的详细信息 2 


2 



3 键入必填信息。红色星号 (*) 表示必填字段。 

图 2-3 “Add Admin Domain(添加管理域)”对话框 

下表是对这些字段的描述。 

表 2-2 

字段描述 

Admin Domain Name(管理域 

名称) 

Contact Person Name(联系 

人姓名) 

E‑mail Address(电子邮件地 

址) 

键入用于标识域的唯一名称。对于企业而言,请根据特定网段、部门或建筑来对域 

进行命名,如:HR、Finance、Bldg1 和 Bldg1‑Floor2。 

键入域的负责人姓名。此人应为在出现紧急情况或与域相关的其他问题时可取得联 

系的人。 

联系人的电子邮件地址。 

您还可以选择在创建域时输入其他详细信息,如电话号码和地址。 

以下字段对所创建的子管理域设置限制: 

表 2-3 

字段描述 

Allow Child Admin 

Domains?(是否允 

许子管理域?) 

Allow Devices?(是否 

允许设备?) 

如果您选中了此复选框,则您当前正在创建的域的管理员可以为该域创建子管理域。 

如果您创建了某个子管理域并禁止进一步创建子管理域,则新建的子域由于继承了这一规则 

将不能拥有自己的子域。 

如果您选中了此复选框,则您当前正在创建的域的管理员可以添加、编辑或删除物理 

Sensor。否则,只允许在“步骤 5”“”中为该域分配接口或子接口资源。 

如果您创建了一个子管理域并禁止添加物理 Sensor,则新建子域的任一子域都会由于规则 

继承而无法添加物理 Sensor。 


4 对于 IPS 模式和 IPS 及 NAC 模式,将显示以下字段: 

表 2-4 

字段描述 

Default IPS Policy(默认 IPS 策略) 设置将由子管理域资源继承的默认 IPS 策略。可以使用一些预先配置的 

策略,它们可应对不同的网络环境。 

Default Reconnaissance Policy(默认侦 

测策略) 

5 对于 NTBA 策略和蠕虫策略,将显示以下字段: 

表 2-5 

字段描述 

Default NTBA Policy(默认 

NTBA 策略) 

Default Worm Policy(默认蠕虫策 

略) 

6 单击“Save(保存)”。 

将显示“Allocated Interfaces(分配的接口)”页。 

7 单击“Allocate(分配)”。 

图 2-4 “Allocated Resources(分配的资源)”页 

设置将由子管理域继承的默认侦测策略。 

设置将由子管理域资源继承的默认 NTBA 策略。可以使用一些预先配置的策略, 

它们可应对不同的网络环境。 

设置将由子管理域继承的默认蠕虫策略。 

8 从下拉列表中选择 Sensor,将接口或子接口分配给子域。您可以分配来自一个或多个 Sensor 的接口或子接口。 

图 2-5 “Available Interfaces(可用的接口)”页 

9 单击“Allocate(分配)”。一次只能选择来自一个 Sensor 的一个接口。 

10 重复操作,直至分配完所需的全部接口。 

11 单击“Finish(完成)”。 

已创建的子管理域在资源列表中会出现于创建时所在域的最底层。 

另请参阅 

对管理域进行管理第 35 页 

编辑子域配置第 38 页 


对管理域进行管理 2 


2 




您可以使用“Admin Domains(管理域)”操作来执行以下活动: 

• 编辑选定域的详细信息。 

只有根域能在自身的节点中进行编辑。根域下的所有子节点都必须在创建它时所在的父域中直接编辑。 

• 向现有子域分配接口,或从现有子域中移除接口: 

• 您可以向子域分配父域的其他 Sensor 接口。可以在创建子域过程中向子域分配接口。但是,创建子域后如果欲 

向子域分配更多的接口,则必须在创建该子域时所在的父域中进行。 

• 您可以从子管理域收回(也就是,移除)接口。此操作必须在创建子域时所在的父域中执行。收回接口之后,接 

口的完全控制权将收归父域;子域将再也无法配置已收回的接口。 

另请参阅 

创建管理域第 35 页 

如何编辑域的详细信息,或者向现有子管理域分配其他接口或收回已分配给现有子 

管理域的接口 

任务 

1 导航到“Admin‑Domain‑Name(管理域名称)” | “Admin Domain(管理域)” | “Admin Domains(管理域)”,然后选择 

相应的父域名称。 

图 2-6 “Admin Domains(管理域)”选项卡 

2 从父域的“Admin Domains List(管理域列表)”表中选择要编辑的子域。 

3 单击“Edit(编辑)”。 

4 在“Edit Admin Domain(编辑管理域)”页中,更改需要更新或编辑的任何常规信息字段。 

5 单击“Next(下一步)”。 

图 2-7 “Alloctaed Interface(分配的接口)”页 

6 执行以下操作“之一”: 

• 选择一个已分配的接口,然后单击“Revoke(收回)”以从子域中移除接口。 

• 选择一个 Sensor 和接口,然后单击“Allocate(分配)”以将更多接口分配到子域。 



删除管理域 

更改根管理域名称 

您可以自定义某些根域设置,包括出现在资源树和后续系统配置导航中的名称。自定义管理域名称可帮助您正确地维护 

受保护的环境。 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Admin Domain(管理域)” | “Admin Domains(管理域)”。 

2 从 McAfee ® Network Security Manager (Manager) 中的“Admin Domains List(管理域列表)”页中选择根管理域 

(“My Company(我的公司)”)。对于 McAfee ® Network Security Central Manager (Central Manager),只有一个管 

理域,将显示其详细信息。 


4 清除“Admin Domain Name(管理域名称)”并键入新的域名。 

5 清除“Contact Person Name(联系人姓名)”并键入姓名。联系人通常是“Super User(超级用户)”。 

6 清除“Email Address(电子邮件地址)”并键入新的电子邮件地址。 

7 也可以更改需要更新或编辑的字段。 

8 单击“Save(保存)”。在资源树中,根域名称会从“My Company(我的公司)”更改为您所提供的名称。 

另请参阅 


要删除现有管理域,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Admin Domain(管理域)” | “Admin Domains(管理域)”。 

2 从“Admin Domains List(管理域列表)”页中选择一个管理域。 

3 单击“Delete(删除)”,然后单击“OK(确定)”以进行确认。 

另请参阅 



在删除所有资源后,才能删除带有各种资源(如 Sensor 和接口)的管理域。 


删除管理域 2 

使用 McAfee Network Security Platform 可以为各种管理功能创建不同的用户。这样选定实体(用户/用户组/业务单位) 

便可以管理特定域的资源。 


2 



User management in McAfee Network Security Platform 环境中的用户管理包括创建用户并授予其权限。为保证网络安 

全,在创建用户时必须进行审慎计划,以确保环境的完整性。所有用户在执行任意活动之前,都必须经过 McAfee ® 

Network Security Manager (Manager) 的登录身份验证。用户名和密码以相应的权限规则存储于数据库中。用户权限的 

等级(称为角色)确定系统中各个用户的授权活动。用户登录之后,Manager 就会根据角色向用户授予活动权限。角色 

禁止了对系统所部署安全资源的无限制访问,从而提高了安全配置的完整性。 

图 2-8 “Users(用户)”选项卡 

管理用户 

通过“Users(用户)”操作,可以添加用户、更改默认管理员、删除或编辑用户。 

图 2-9 “Users(用户)”列表 

“Users(用户)”列表只显示在当前管理域及其任意子域中创建的用户。而不显示在当前域之上的更高级别中创建的用户, 

即使管理员在更高级别中具有某种角色也是如此,而与角色无关。如果列表中没有显示某一用户名称,则需要移至创建该 

用户的管理域级别以对其执行管理操作。管理域视图视角色而定。 

另请参阅 

添加用户第 40 页 

更改默认管理员第 42 页 

删除用户第 43 页 

编辑用户第 42 页 

添加用户 

要添加新用户并为其分配一种域角色,请执行以下操作: 


任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Users(用户)” | “Users(用户)”。 


此时将显示下面的页面。 

图 2-10 添加用户对话框 

填写必填字段。标有 * 的字段是必填字段。 

3 键入“Login ID(登录 ID)”。 

4 对于“Authentication Type(身份验证类型)”选择以下选项之一(如可用): 

• “Local(本地)”:在 Manager 中进行本地身份验证 

• “LDAP”:使用 DAP 服务器进行身份验证。如果选择此选项,还应键入“LDAP User DN(LDAP 用户 DN)”(识别 

名)。 

“LDAP User DN(LDAP 用户 DN)”采用下列格式: 

uid=userName,ou=People,dc=DomainName,dc=com 

如果使用 Active Directory,则采用以下格式: 

或 

userloginname@domain.com 

cn=userName,ou=People,dc=DomainName,dc=com 

请使用有效的 DN,因为没有有效的 DN,LDAP 身份验证可能无法正确工作。请向系统管理员索取 LDAP 服务 

器的正确 DN。 

• “RADIUS”:请选择以下任一 RADIUS 身份验证协议。如果选择此选项,还应键入有效的“RADIUS ID”,该 ID 将 

用于针对 RADIUS 服务器对您的设置进行身份验证。 

• 使用“PAP”(密码身份验证协议)的“RADIUS” 

• 使用“CHAP”(挑战握手身份验证协议)的“RADIUS” 

• 使用“EAP‑MD5”(可扩展身份验证协议‑MD5)的“RADIUS” 


管理用户和用户角色 2 


2 



如果您选择“Local(本地)”作为“Authentication Type(身份验证类型)”,则将必须填写“Password(密码)”和 

“Confirm Password(确认密码)”字段。 

5 “Password(密码)”长度必须为八 (8) 位以上。可以使用的密码字符包括: 

• 26 个字母:大小写(a、b、c...z 和 A、B、C...Z) 

• 10 个数字: 0 1 2 3 4 5 6 7 8 9 

• 32 个符号:~ ` ! @ # $ % ^ & * ( ) _ + ‑ = [ ] { } \ | ; : " ' , .

任务 


2 在“User List(用户列表)”表中选择默认的“Super User(超级用户)”帐户(“Name(名称):Administrator”,“Login ID 

(登录 ID):admin”)。 


4 (可选)键入新的“Login ID(登录 ID)”。这样将更改登录到 Manager 时所使用的名称。 

5 在“Password(密码)”处键入新密码。这会更改登录 Manager 所使用的密码。 

6 在“Confirm Password(确认密码)”处重新键入密码。 

7 (可选)键入新的“User Name(用户名)”。它仅用于在“User List(用户列表)”表中标识用户。 

8 键入一个有效的“Email(电子邮件)”地址。 

9 (可选)在相应字段中键入其他任意更改。 

10 单击“Save(保存)”以保存更改并清除默认的 (“admin”/“admin123”) 组合。 

另请参阅 

管理用户第 40 页 

超级用户权限第 45 页 

删除用户 

在 Central Manager 中删除用户与 Manager 中的操作类似,如下所示。 

要删除现有用户帐户,请执行以下操作: 

任务 


2 选择一个用户。 

3 单击“Delete(删除)”。随即会出现一个显示以下消息的弹出窗口:“You are about to permanently delete this 

record.Do you wish to continue?(您将永久删除此记录。是否要继续?)” 

4 单击“OK(确定)”删除用户记录;单击“Cancel(取消)”以放弃。 

另请参阅 

管理用户第 40 页 

向用户分配角色 

您可以在任何时候向用户分配某种角色,或者解除用户的角色。 

用户在父管理域中获得某种角色后,将在该父域下的任一子域中继承相同的角色,除非对子域中的用户角色做了更改。 

要在域中向用户分配角色,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Users(用户)” | “Role Assignments(角色分配)”。 

2 在“Role Assignments(角色分配)”表中选择用户。 




2 



3 在“Roles(Current Domain)(角色(当前域))”字段中查看该用户的角色。如果没有分配任何角色,则该字段为空。 


图 2-11 角色分配 

用户可以在任意或所有管理域中拥有不同的角色,这与创建用户的管理域无关。如果用户需要在创建该用户的管理域 

以上的级别中获得某种角色,则必须由该更高级别的管理员来进行角色分配。管理员只能在具有相应权限的管理域中 

为用户授予或解除角色。如果在父域和子域中为用户分配了超级用户角色,则该用户在登录时应该从主页中选择一个 

域。在这类情况下,主页的菜单栏上方会显示一个下拉列表。 

此时将显示“Current Assignments(当前分配)”和“Assign(分配)”。如果已经为用户分配了角色,则“Current 

Assignments(当前分配)”中将显示“Assigned Role(已分配的角色)”列中的角色。 

5 在“Assign(分配)”中,默认情况下将显示用户的“Login ID(登录 ID)”。 

6 从下拉列表中选择“Domain Name(域名)”。 

7 从下列列表中选择要分配给用户的角色。 

图 2-12 从下拉列表中选择角色 


定义角色 

角色是指用户可在给定的管理域中执行的一组操作。McAfee Network Security Platform 为用户提供基于角色的授权。 

用户需要登录到 Manager 自行验证其身份。对于管理域,您可以在 Manager 中创建用户并为他们分配角色。您还可以 

在子管理域中创建用户并为他们分配角色。 

角色权限表示被分配了特定角色的用户可以执行的操作。每个角色的角色权限都带有读写 (RW) 或只读 (RO) 权限。例 

如,报告 RW 允许具有该角色的用户对 Manager 中的报告具有读取和写入权限。 

请注意,为管理域创建的用户特定于该域。但是,角色可以跨域分配给用户。即,您可以为一个域中的用户分配角色, 

为相应子域中的同一个用户分配另一个角色。 

下表列出了各种角色类型及相应的角色描述。 


表 2-6 

角色描述 

NAC Administrator(NAC 管理员) 管理网络访问控制环境 

IPS Administrator(IPS 管理员) 管理入侵防护环境 

NTBA Administrator(NTBA 管理员) 管理 Network Threat Behavior Analyzer 环境 

Guest Portal Account Manager(Guest Portal 帐 

户管理员) 

NOC Operator(NOC 操作员) 监控安全环境 

Report Generator(报告生成人员) 运行报告 

管理本地 Guest Portal 用户帐户 

Security Expert(安全专家) 管理 NAC、NTBA 和 IPS 环境 

System Administrator(系统管理员) 管理 Manager 和设备列表 

McAfee ePO Dashboard Data Retriever 

(McAfee ePO 信息显示板数据检索人员) 

有权将 McAfee Network Security Platform 中的信息检索到 ePO 中, 

以便在 ePO 中显示 McAfee Network Security Platform 信息。 

Super User(超级用户) 所有的权限。“Super User(超级用户)”必须在它们的所在域内管理自 

己。 

No Role(无角色) 用户无法登录 Manager。这是首次创建用户且尚未向其分配任何角 

色时的状态。 

“Roles(角色)”选项卡(“Admin Domain(管理域)” | “Users(用户)” | “Roles(角色)”)列出了各种默认角色,并且使您 

可以创建自定义角色。 

图 2-13 “Roles(角色)”选项卡 

自定义的角色 

自定义角色可以在 Manager 中创建并分配给用户。 

另请参阅 

子域第 33 页 

添加角色第 46 页 

管理用户角色第 46 页 

超级用户权限 

McAfee ® Network Security Platform 的资源由具有“Super User(超级用户)”访问权限的用户进行管理;“Super User(超 

级用户)”可以配置系统中的每一资源和功能。每个 Manager 产品出厂时都配有一个内置超级用户帐户(包括默认密码)。 

“Super User(超级用户)”仅受域的限制。只有在根域中创建的超级用户才具备完全访问权限;子域中的超级用户仅在该 

域以及随后添加的子域中具备超级用户权限。 

默认超级用户帐户的用户名为“admin”,密码为“admin123”。出于安全的目的,McAfee “强烈建议”您更改默认“Super User 

(超级用户)”密码。 

超级用户可以在任意级别中定义,其角色适用于当前域及其所有子域,但不适用于父域或同级域。 

另请参阅 

更改默认管理员第 42 页 




2 



管理用户角色 

通过“Roles(角色)”操作,用户管理员可在现有的管理域中向用户指定角色。向域中添加用户时,需要应用某种角色或 

权限,从而限制该用户的配置能力。 

另请参阅 


添加角色 

您可以从“Roles(角色)”选项卡在 Manager 中添加新角色(自定义的角色)。 

添加自定义角色 

只有具有“配置管理用户帐户 RW”角色权限的用户才能创建用户或角色、为用户分配角色并修改用户帐户设置。 

具有“配置管理用户帐户 RO”角色的用户只能查看用户、角色或用户帐户。 

具有“配置管理用户帐户 RW”角色权限的用户可以添加角色。一旦添加,角色将随默认角色一起列出以供用户使用。 

要在 Manager 中添加自定义角色,请执行以下操作: 

任务 

1 从资源树中,选择“Admin Domain(管理域)” | “Users(用户)” | “ Roles(角色)”。 

“Roles(角色)”选项卡只能从父管理域访问。 

2 在“Roles(角色)”中,会根据 Manager 模式(IPS、NAC或IPS 及 NAC 模式)来列出默认角色。请注意,您不能编 

辑或删除默认角色。 

角色权限 

角色 IPS 模式 NAC 模式 IPS 及 NAC 模式 

NAC 

Administrator 

(NAC 管理员) 

IPS 

Administrator 

(IPS 管理员) 

无配置 NAC 设置 RW 主页 

配置 IPS 设置 RW 主页 

报告 IPS RW 

工作状态 RW 

TA 摘要信息显示板 IPS RW 

TA 摘要信息显示板常规 RW 

TA 警报 RW 

TA 主机 RW 


TA 摘要信息显示板 NAC RW 


TA 主机 RW 

报告 NAC RW 

配置 NAC 设置 RW 主页 




TA 主机 RW 

报告 NAC RW 

无配置 IPS 设置 RW 主页 

报告 IPS RW 




TA 警报 RW 

TA 主机 RW 


角色权限 

System 

Administrator 

(系统管理员) 

Report 

Generator(报 

告生成人员) 

Super User(超 

级用户) 

配置 IPS 设置 RW 主页 

报告 IPS RW 




TA 警报 RW 

TA 主机 RW 

配置管理域 RW 

配置管理用户帐户 RO 

配置 Manager RW 

配置 Integration RO 

配置设备列表 RW 

配置 NAC 设置 RO 

主页 

报告 NAC RW 


TA 摘要信息显示板 NAC RO 

TA 摘要信息显示板常规 RO 

TA 警报 RO 

TA 主机 RO 


配置管理用户帐户 RO 


配置 Integration RO 


配置 IPS 设置 RO 

配置 NAC 设置 RO 

主页 

报告 IPS RW 

报告 NAC RW 


TA 摘要信息显示板 IPS RO 



TA 警报 RO 

TA 主机 RO 

报告 IPS RW 报告 NAC RW 报告 IPS RW 


配置管理用户帐户 RW 


配置集成 RW 


配置 IPS 设置 RW 

配置 Guest Portal 用户创建 

RW 

主页 

报告 IPS RW 




TA 警报 RW 

TA 主机 RW 

TA 主机鉴证 ePolicy 

Orchestrator 

TA 主机鉴证 Vulnerability 

Manager 






配置 NAC 设置 RW 


RW 

主页 

报告 NAC RW 




TA 警报 RW 

TA 主机 RW 


Orchestrator 





报告 NAC RW 








配置 Guest Portal 用户创建 RW 

主页 

报告 IPS RW 

报告 NAC RW 





TA 警报 RW 

TA 主机 RW 

TA 主机鉴证 ePolicy Orchestrator 

TA 主机鉴证 

Vulnerability Manager 


2 



角色权限 

Guest Portal 

Account 


(Guest Portal 帐 

户管理员) 

NOC Operator 

(NOC 操作员) 

McAfee ePO 

Dashboard Data 

Retriever 

(McAfee ePO 信 

息显示板数据检 

索人员) 

NTBA 

Administrator 

(NTBA 管理员) 


RW 

主页 

报告 IPS RO 

工作状态 RO 



TA 警报 RO 

TA 主机 RO 

McAfee ePO 信息显示板数 

据检索的特殊角色 

配置 NTBA 设置 RW 

主页 


报告 NTBA RW 

TA 警报 RW 


Orchestrator 


漏洞扫描 

TA 摘要信息显示板 

常规 RW 

TA 摘要信息显示板 NTBA 

RW 


RW 

主页 

报告 NAC RO 




TA 警报 RO 

TA 主机 RO 

报告 NAC RO 

McAfee ePO 信息显示板数 

据检索的特殊角色 


主页 



TA 警报 RW 


Orchestrator 


漏洞扫描 


常规 RW 

TA 摘要信息显示板 NTBA RW 

配置 Guest Portal 用户创建 RW 

主页 

报告 IPS RO 

报告 NAC RO 





TA 警报 RO 

TA 主机 RO 

McAfee ePO 信息显示板数据检索 

的特殊角色 


主页 



TA 警报 RW 



漏洞扫描 


常规 RW 

TA 摘要信息显示板 NTBA RW 


角色权限 

Security Expert 

(安全专家) 


配置设备列表 RO 


主页 

报告 IPS RW 

Threat Analyzer RW 




TA 警报 RW 

TA 主机 RW 

TA 主机 RO 


Orchestrator 






主页 

报告 NAC RW 





TA 警报 RW 

TA 主机 RW 

TA 主机 RO 


Orchestrator 



No Role(无角色) 无无无 

3 要创建新的自定义角色,请单击“New(新建)”。 

图 2-14 “Add Custom Role(添加自定义角色)”页 

此时将显示“Add Custom Role(添加自定义角色)”窗口。 

4 输入“Role Name(角色名称)”和“Description(描述)”。 







主页 

报告 IPS RW 

报告 NAC RW 






TA 警报 RW 

TA 主机 RW 

TA 主机 RO 



Vulnerability Manager 


2 



5 选择要分配给这个新角色的权限,并将这些权限从“Manager Privileges(Manager 权限)”中的可用权限集移到“Role 

Privileges(角色权限)”中。“读取”、“写入”或“操作”权限(RO、RW 等)可以在权限名称中看到。 

6 选择“Save(保存)”以保存所做的更改。 

任务 

• 分配自定义角色第 50 页 

另请参阅 


分配自定义角色 

要向用户分配自定义角色,请执行以下操作: 

任务 


1 从资源树中,选择“Admin Domain(管理域)” | “Users(用户)” | “Users(用户)”。 

2 选择“Add(添加)”以添加用户。 

3 输入用户信息,然后选择“Save(保存)”。 

4 将显示一个弹出窗口,询问您是否要向该用户分配角色。选择“OK(确定)”。 

5 您将被重定向到“Role Assignments(角色分配)”选项卡的“Assign(分配)”页面,其中列出了默认情况下可用的角色 

以及您创建的自定义角色。 

6 从列表中选择所需的自定义角色。 

7 选择“Save(保存)”以保存所做的更改。所分配的角色将显示在同一窗口的“Current Assignments(当前分配)”部分 

中。 

查看用户帐户信息 

Central Manager 中创建的自定义角色可与 Manager 用户关联。如果此角色被删除,或 Manager 独立运行,则该角 

色将在 Manager 中删除。甚至与 Manager 用户关联的角色也会被删除。 

“My Account(我的帐户)”操作会显示“My Account(我的帐户)”页,其中列有已登录用户的帐户信息。此页面的导航路 

径为“Admin‑Domain‑Name(管理域名称)” | “Users(用户)” | “My Account(我的帐户)”。 

如果要更改您的信息(密码、地址等),请清除相应字段,键入新的信息,并单击“Save(保存)”;或单击“Cancel(取 

消)”,退出而不保存更改。 

借助“Logs(日志)”选项卡,拥有权限的管理员可以创建审查和日志,以根据用户活动查看系统信息或查看一般系统信 

息。审核会收集数据库中的用户活动信息以及日志文件(如 ems.log 文件)中的系统活动信息,从而为分析和/或解决问 

题提供有用资源。 

图 2-15 “User Activity Audit(用户活动审核)”选项卡 


查看和导出 Manager 活动日志 

“System Log(系统日志)”选项卡使您能够在 McAfee ® Network Security Manager (Manager) 日志文件(名为 ems.log) 

中立即查看和导出系统活动条目。默认情况下,此信息包括已执行的操作、系统故障和调试数据。您可以自定义日志查 

询,以便只显示您想要查看的数据,如仅显示调试数据或警报级别故障。日志文件的编号是递增的,每个文件记录 1 兆 

数据。McAfee Network Security Platform 目录中的当前日志为 ems.log。每增加 1 兆数据,先前的日志编号加 1(ems.log. 

1、ems.log.2 等)。 

默认情况下,ems.log 文件位于 /ems.log。 

请注意,在 Central Manager 中,“System Log(系统日志)”选项卡功能类似于 Manager 中的选项卡功能,如上所述。 

只有“Super User(超级用户)”、“System Administrator(系统管理员)”和“Security Expert(安全专家)”才能查看系统日志。 

在 Manager 中只能查看或导出小于 4 MB 的 ems.log 文件。 

另请参阅 

查看日志信息第 51 页 

导出日志信息第 52 页 

查看日志信息 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Logs(日志)” | “System Log(系统日志)”。 

2 选择“Log File Name(日志文件名)”。 

图 2-16 Ems 日志查看器 

3 从下面选项中选择要显示的消息级别: 

表 2-7 

字段描述 

ALL(全部) 系统执行/记录的全部操作。它包括下面的所有主题。 

DEBUG(调试) 仅系统调试信息。 

INFO(信息) 仅配置信息,如执行操作的时间。 

WARN(警告) 仅系统警告(高严重性)信息。 

ERROR(错误) 仅系统错误(中等严重性)信息。 

FATAL(严重错误) 仅崩溃或失败信息。 

或 

INFO AND ABOVE(信息及以 

上) 

ERROR AND ABOVE(错误及 

以上) 


管理系统信息日志 2 

显示“INFO(信息)”、“WARN(警告)”、“ERROR(错误)”和“FATAL(严重错误)”。 

如果需要更多的详细日志(包括信息和警告),则此范围很有用。 

显示“ERROR(错误)”和“FATAL(严重错误)”。只需错误和崩溃信息时,此范围很 

有用。 


2 



4 选择所需日期范围。“Begin Date(开始日期)”和“End Date(结束日期)”必须是不同的时间。 

5 为“Number of Messages to Display(要显示的消息数目)”键入值以限制日志输出。默认值为 10。 

6 单击“View Messages(查看消息)”以查看日志。 

另请参阅 

查看和导出 Manager 活动日志第 51 页 

导出日志信息 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Logs(日志)” | “System Log(系统日志)”。 

2 选择“Log File Name(日志文件名)”。 

3 单击“Export(导出)”。 

ems.log 文件将复制到您的系统上。已导出的日志文件包含所有消息,而且未被过滤。 

另请参阅 

查看和导出 Manager 活动日志第 51 页 

生成用户活动审核 

通过“User Activity Audit(用户活动审核)”操作(“My Company(我的公司)” | “Logs(日志)” | “User Activity Audit(用户 

活动审核)”),管理员可以查看管理系统中另一用户的操作。审核有助于确定用户执行过的操作,以了解与用户活动有关 

的错误、改写或其他问题。 

仅显示属于在“Audit Log Setting(审核日志设置)”窗口(“Manager” | “Audit Log Setting(审核日志设置)”)中选择审核的 

类别的消息。 

要创建审核以查看用户的活动,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Logs(日志)” | “User Activity Audit(用户活动审查)”。 

图 2-17 用户活动报告配置 

2 选择是否包含当前域中所有子域的审核数据(“Include Audit Data from Child Admin Domains?(是否包含子管理域中 

的审核数据?)”)。 

3 选择要审核的用户。下拉列表显示了当前已登录用户(“Administrative User to Audit:(要审核的管理用户:)”的登录 

ID。 


4 选择一个或多个“Audit Categories(审核类别)”。“Audit Categories(审核类别)”会根据所配置的 Manager 节点来显 

示。 

5 键入要显示的审核消息数(Show x messages(显示 x 条消息))。默认值为 10 条消息。 

6 从以下时间选项中选择一项: 

表 2-8 

字段描述 

Until Now(直到现在) 显示所请求的最新消息数目。 

Until a specified end time(指定的结束 

时间之前) 

Within the following time range(以下时 

间范围内) 

指定日期和时间,您希望查看此日期和时间以前所请求的消息数目。也就 

是说,通过选择此选项,即可显示从此时开始并随后处理的所请求的消息 

数目。 

选择某用户的活动日期范围。 

7 单击“View Messages(查看消息)”以开始审核。下图显示了审核结果。 

图 2-18 用户活动审核报告 

字段说明如下: 

表 2-9 

字段描述 

Include Child Admin Domains(包含子管理 

域) 

Actions performed by User(执行操作的用 

户) 

当前域的所有子域都包括在或都不包括在审核中。 

作为审核对象的用户。 

Audit Categories(审核类别) 在生成消息时选择的审核类别。 

Start Time(开始时间) 指定的审核开始时间。 

End Time(结束时间) 指定的审核结束时间。 



Number of Actions(操作数量) 在“Start Time(开始时间)”与“End Time(结束时间)”之间执行的操作 

数目。 


2 



表 2-9 (续) 

字段描述 

Date(日期) 操作的执行日期。 

Domain(域) 执行操作所在的域。 

User(用户) Username(用户名) 

Category(类别) 审核类别。 

Action(操作) 执行的操作。 

Result(结果) 执行操作的状态,即“Success(成功)”或“Failure(失败)”。 

Description(描述) 受操作影响的组件。 

请注意,Central Manager 的“User Activity Audit(用户活动审核)”操作(“My Company(我的公司)” | “Logs(日 

志)” | “User Activity Audit(用户活动审核)”)类似于 Manager 的“User Activity Audit(用户活动审核)”操作,如上所 

述。 

管理长时间运行的进程 

McAfee Network Security Platform 将帮助您识别长时间运行的进程,包括处于活动状态的 Manager(或 Central 

Manager)中正在进行的活动。您可以查看/跟踪已计划的进程以及用户启动的活动进程。在 McAfee 中可以查看的长时 

间运行的进程就是 McAfee 建议您跟踪的进程。 

如果长时间运行的活动包括多项子活动,则 McAfee Network Security Platform 会为每项子活动提供一个活动日志。例 

如,特征码更新等活动涉及两项长时间运行的子活动:下载特征码集,并更新所有已启用实时更新的 McAfee ® Network 

Security Manager (Manager) 上的特征码集。这些子活动是单独进行跟踪的,且每项活动的状态也是单独显示的。 

McAfee Network Security Platform 会将以下活动标识为长时间运行的活动: 

• 从 McAfee 更新服务器下载特征码集 

• 更新所有活动 Sensor 上的特征码集 

• 从 McAfee 更新服务器下载 Sensor 软件 

• 更新所有 Sensor 上的 Sensor 软件 

• 由于下载特征码集或编辑覆盖规则而更新累积策略 

• 将自定义攻击编辑器导出到 Manager 

• 生成报告 

• 使用 Manager 备份数据 

• 使用 Manager 还原数据 

• 为 MDR 对传输/导入数据库转储 

• 使用 Manager 优化数据库 

• 文件维护 

• 使用 Manager 对警报进行存档 

• 使用 Manager 还原已存档的警报 

• 使用 Manager 清除警报数据 

请注意,McAfee Network Security Platform 将记录上述已计划的进程和用户启动进程的活动。 


查看长时间运行的进程 

选择“” | “Logs(日志)” | “Long Running Processes(长时间运行的进程)”。 

长时间运行进程的显示受管理域所有权控制。例如,如果您的 Manager 设置包含子管理域,则选择“” | “Logs 

(日志)” | “Long Running Processes(长时间运行的进程)”可查看该子管理域的长时间运行的进程。 

McAfee Network Security Platform 将根据以及执行该活动的用户来记录长时间运行进程。每个活动的 

结果显示为“Failure(失败)”、“Success(成功)”或“In Progress(进行中)”(如果仍在运行)。您还可以在“Description(描 

述)”字段中查看活动的摘要。 

在完成活动后,该长时间运行活动的条目将从“Long Running Processes(长时间运行的进程)”页中删除,而且显示在“< 

所有者管理域>” | “Logs(日志)” | “User Activity Audit(用户活动审查)”页下。 

“User Activity Audit(用户活动审核)”页中显示的信息基于您的搜索标准。 

查看来自 McAfee 的消息 

“Messages from McAfee(来自 McAfee 的消息)”操作使您可以查看来自 McAfee 的任何产品消息或与安全相关的消息。 

此消息可能与以下各项相关:操作系统补丁程序、特征码集版本、Manager 软件更新、Sensor 软件更新,等等。 

Network Security Manager 将每隔 15 分钟检查一次更新服务器中的这类消息,并显示与您正在使用的 Manager 版本和 

特征码集相关的消息。此功能可以确保来自 McAfee Network Security Platform 支持团队的所有相关消息都能按时到达 

您手中。 

Manager 在“Messages from McAfee(来自 McAfee 的消息)”窗口中显示相关消息的发行日期和消息描述。发行日期就 

是在更新服务器上发布消息的日期。您可以确认已看到的消息,之后这些消息不会再列出。最近四条未确认的消息也会 

显示在 McAfee Network Security Platform 主页中。单击主页上的“View All Messages(查看所有消息)”链接,可以导航 

到“Messages from McAfee(来自 McAfee 的消息)”窗口,该窗口中显示了所有未确认的消息。 

图 2-19 “Messages From McAfee (来自 McAfee 的消息)”窗口 

表 2-10 

项目描述 

1 主页中来自 McAfee 的消息 

尽管所有的用户都可以查看消息,但只有在根管理域中具备“超级用户”角色的用户才可以确认消息。 

子管理域用户只能查看最近 4 条消息。 

为了使 Manager 能够检查更新服务器上的消息,应该事先在更新服务器上对您的凭据进行身份验证。 

您可以在 Manager(或 Central Manager)中的“Messages from McAfee(来自 McAfee 的消息)”选项卡上查看未确认的 

消息。 

要查看所有未确认消息,请执行以下操作: 




2 

任务 




1 从资源树中,选择“Root Admin Domain(根管理域)” | “Logs(日志)” | “Messages from McAfee(来自 McAfee 的消 

息)”。或者,单击主页上的“View All Messages(查看所有消息)”链接。 

此时将显示“Messages from McAfee(来自 McAfee 的消息)窗口。 

图 2-20 查看来自 McAfee 的消息 

2 要确认消息,请选择该消息并单击“Acknowledge(确认)”。 

消息经过确认之后,即不再显示。 

您可以同时确认 10 条消息。所选的前 10 条消息会得到确认。 

已确认的消息会被记录,因此您可在“User Activity Log(用户活动日志)”报告中查看此信息。有关此报告的详细信息, 

请参阅“审核报告”。 

McAfee ® Network Security Manager (Manager) 可以向第三方计算机(如 SNMP 服务器和 Syslog 服务器)发送系统故障 

信息。您也可以基于故障严重性配置 Manager,以通过电子邮件、寻呼机或脚本通知您发现的系统故障。您可以查看故 

障通知详细信息、将故障转发到 SNMP 或 Syslog 服务器、配置故障通知、将警报发送到电子邮件或寻呼机并指定故障 

通知的脚本参数。 

图 2-21 故障通知摘要的路径 


查看故障通知的详细信息 

“Summary(摘要)”操作(“My Company(我的公司)” | “Fault Notification(故障通知)” | “Summary(摘要)”显示 Manager 

(或 Central Manager)内配置的故障通知设置的摘要。该摘要反映了在其他“Fault Notification(故障通知)”组操作中所 

做的配置。 

图 2-22 故障通知详细信息 

将故障转发给 SNMP 服务器 

通过“Fault Notification(故障通知)” | “SNMP”操作,可以指定接收 Manager 所发送的系统故障信息的 SNMP 服务器。 

您可以配置多个 SNMP 服务器作为故障消息的接收方。“SNMP Servers(SNMP 服务器)”页显示已配置的 SNMP 服务 

器。此页中的字段将在下面的配置步骤中描述。 

要对 SNMP 服务器进行配置以接收来自 Manager 的系统故障,请执行以下操作: 


设置故障通知 2 


2 



任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “SNMP”。 

图 2-23 “Enable SNMP forwarder(启用 SNMP 转发程序)”页 

2 选中“Enable SNMP Notification(启用 SNMP 通知)”(默认值为“Yes(是)”)并单击“Save(保存)”。 


图 2-24 故障 SNMP 转发程序配置 

此时将显示“SNMP”窗口。 

4 填写以下字段: 

表 2-11 

字段描述 

Admin Domains(管理 

域) 

选择下面的选项以启用管理域通知: 

• “Current(当前)”:发送当前域的警报通知。对当前域始终启用。 

• “Children(子域)”:包括当前域的所有子域警报。 

IP Address(IP 地址) 目标 SNMP 服务器的 IP 地址。它可以为 IPv4 地址或 IPv6 地址。 

Target Port(目标端口) 目标服务器的 SNMP 侦听端口。SNMP 的标准端口 162 预先填入此字段中。 

SNMP Version(SNMP 

版本) 

目标 SNMP 服务器上运行的 SNMP 版本。版本选项有“1”、“2c”、“Both 1 and 2c(1 和 

2c)”和“3”。 


表 2-11 (续) 

字段描述 

Community String 键入 SNMP community string 以保护 McAfee Network Security Platform 数据。SNMP 

Community String 对 Management Information Base(管理信息库,MIB)对象的访问进 

行身份验证,并用作内嵌式密码。 

Forward Faults(转发故 

障) 

仅在选择了 SNMP 版本 3 时才会显示以下字段。 

选择转发故障的严重性级别。选项包括“Critical(非常严重)、Error and above(错误及以 

上)、Warning and above(警告及以上)”和“Informational and above(信息及以上)”。 

选择达到哪个严重性级别时发送警报信息。将警报严重性限制于“Critical(非常严重)”或 

“Error and above(错误及以上)”有利于进行集中分析。 

User Name(用户名) 键入将用于身份验证的用户名 

Authoritative Engine ID (Hex Values)(授权引擎 ID (十 

六进制值)) 

用于发送 SNMP 版本 3 请求消息的 Manager 的授权(安全) 

引擎 ID。 

授权引擎 ID 的十六进制值应该只有偶数对(例如,您可以 

有 4 对十六进制值,如 00‑1B‑3F‑2C)。 

注意:MAC 地址也可以用作授权引擎 ID 

Authentication Level(身份验证级别): 此字段指定了身份验证级别,包含以下几个类别: 

• No Authorization, No Privileges(无授权,无权限):使用 

用户名匹配进行身份验证。 

• Authorization, No Privileges(有授权,无权限):基于 

MD5 或 SHA 算法提供身份验证 

• Authorization, Privileges(有授权,有权限):基于 MD5 

或 SHA 算法提供身份验证。除了身份验证外,还基于 

DES 或 AES 标准提供加密。 

仅当在身份验证级别中选择了“Authorization, No Privileges(有授权、无权限)”或“Authorization and Privileges(有 

授权、有权限)”时,才会显示以下字段。 

Authentication Type(身份验证类型) 用于验证 SNMP 版本 3 消息的身份验证协议(MD5 或 

SHA)。 

Authentication Password(身份验证密码) 用于验证 SNMP 版本 3 消息的身份验证通行短语。 

Encryption Type(加密类型) 用于加密 SNMP 版本 3 消息的隐私协议(DES 或 AES)。 

Privacy Password(隐私密码) 用于加密 SNMP 版本 3 消息的隐私密码。 


任务 

• 修改或删除 SNMP 转发程序设置第 59 页 

修改或删除 SNMP 转发程序设置 

要修改或删除 SNMP 转发程序设置,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “SNMP”。 

2 从“SNMP Forwarder List(SNMP 转发程序列表)”页中选择已配置的 SNMP 服务器实例。 

3 执行以下任一操作: 

a 要编辑这些设置,请单击“Edit(编辑)”,根据需要修改字段,然后单击“Save(保存)”。 

b 要删除这些设置,请单击“Delete(删除)”,然后单击“OK(确定)”以确认删除。 




2 



将故障转发给 Syslog 服务器 

“Fault Notification(故障通知)” | “Syslog”操作能将 McAfee Network Security Platform 故障转发给 Syslog 服务器。 

Syslog 转发可以通过第三方的 Syslog 应用程序查看转发的故障。在 Syslog 转发中,根域和父域可以选择包括来自所有 

对应子域的故障。 

要启用 Syslog 故障通知转发,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “Syslog”。 

图 2-25 故障 Syslog 转发程序配置 

此时将显示“Syslog”窗口。 


表 2-12 

字段描述 

Enable Syslog 

Notification(启用 

Syslog 通知) 

Admin Domains(管 

理域) 

Server Name or IP 

Address(服务器名 

称或 IP 地址) 

“Yes(是)”为启用;“No(否)”为禁用 

选择下面的选项以启用管理域通知: 

• “Current(当前)”:发送当前域的警报通知。对当前域始终启用。 

• “Children(子域)”:包括当前域的所有子域警报。 

键入接收警报的 Syslog 服务器的“Host IP Address(主机 IP 地址)”或“Host Name(主机 

名)”。 

对于“Host IP Address(主机 IP 地址)”,可以输入 IPv4 或 IPv6 地址。 

Port(端口) 目标服务器上授权接收 Syslog 消息的端口。Syslog 的标准端口 514 预先填入此字段中。 


表 2-12 (续) 

字段描述 

Facilities(工具) 标准 Syslog 优先级值。选项说明如下: 

Severity Mapping 

(严重性映射) 

Forward Faults(转 

发故障) 


• Security/authorization (code 4)(安全/授权(代码 

4)) 

• Security/authorization (code 10)(安全/授权(代 

码 10)) 

• Local user 2 (local2)(本地用户 2 

(local2)) 


(local3)) 

• Log audit (note 1)(日志审核(注释 1)) • Local user 4 (local4)(本地用户 4 

(local4)) 

• Log alert (note 1)(日志警报(注释 1)) • Local user 5 (local5)(本地用户 5 

(local5)) 

• Clock daemon (note 2)(时钟守护程序(注释 2)) • Local user 6 (local6)(本地用户 6 

(local6)) 

• Local user 0 (local0)(本地用户 0 (local0)) • Local user 7 (local7)(本地用户 7 

(local7)) 

• Local user 1 (local1)(本地用户 1 (local1)) 

您可以将每个故障严重性(“Informational(信息)”、“Error(错误)”、“Warning(警告)”和 

“Critical(非常严重)”)映射到下面列出的标准 Syslog 严重性(默认严重性映射在括号中提 

示): 

• “Emergency(紧急)”:系统不可用 • “Warning(警告)”:(中)警告情况 

• “Alert(警报)”:必须立即采取措施 • “Notice(注意)”:(低)普通但重要的情况 

• “Critical(非常严重)”:(高)非常严重的情 

况 

• “Informational(信息)”:(信息)信息性消 

息 

• “Error(错误)”:错误情况 • “Debug(调试)”:调试级消息 

选择要转发给 Syslog 服务器的故障的严重性。选项包括: 

• “Critical(非常严重)”:仅非常严重故障 

• “Error and above(错误及以上)”:错误和非常严重故障 

• “Warning and above(警告及以上)”:警告、错误和非常严重故障 

• “Informational and above(信息及以上)”:全部故障 

在可以自定义发送到 Syslog 服务器的消息格式之前,必须单击“Save(保存)”。 

4 选择要作为 Syslog 转发消息发送的“Message Preference(首选消息)”。选项包括: 

• “System Default(系统默认)”:默认消息是带有以下两个容易识别的字段的简易故障摘要:“Attack Name(攻击 

名称)”和“Attack Severity(攻击严重性)”。默认消息示例: 

Attack $IV_ATTACK_NAME$ ($IV_ATTACK_SEVERITY$) 




2 



• “Customized(自定义)”:创建自定义消息。要创建自定义消息,请执行以下操作: 

1 单击“Edit(编辑)”以创建自定义消息。 

2 键入消息并选择(单击)用以标识警报的格式参数。下图显示了自定义消息。您可以在“Message(消息)”字段 

中键入自定义文本,也可以单击字段框下面所提供的一个或多个元素。 

3 完成操作后,单击“Save(保存)”以返回到 Syslog 页。自定义“Message Preference(首选消息)”之后,会自 

动选中“Customized(自定义)”按钮。 

图 2-26 自定义 Syslog 转发程序消息 

表 2-13 

项目描述 

1 键入的自定义文本 

2 所选的标记 


故障通知的常见设置 

为正确显示 Syslog 信息,确保您使用美元符号 ($) 分隔相邻的两个元素。示例:$ATTACK_TIME$ 

“Common Settings(常见设置)”操作可以确定通过电子邮件、寻呼机或脚本发送的故障信息的范围和详细信息。您可以 

配置一个抑制时间,让故障在工作状态中等待确认或删除操作,或自动清除源事件。 

图 2-27 “Fault Notification(故障通知)”设置 

要管理故障通知详细信息,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “Common Settings(常见设置)”。 


• “Admin Domains(管理域)” 

• “Current(当前)”:仅发送当前域的故障。对当前域始终选择此选项。 

• “Children(子域)”:发送当前域的所有子域故障。 


• “Notification Scope(通知范围):”如果已将 McAfee ® Network Security Sensor (Sensor) 的接口委托给子域,则 

可以将故障设置为显示于委托接口所在的管理域,而不是显示于 Sensor 的控制域。 

• “Entire Device(整个设备)”:故障以 Sensor 与域之间的关系为基础。 

• “Individual interface(单个接口)”:故障以接口与域之间的关系为基础。 

• “Suppression Time(抑制时间)”:系统故障在转发之前的抑制时间。 


抑制时间“只”能在根管理域中设置。 

通过电子邮件或寻呼机发送警报 

发生了符合指定严重性的故障时,可以通过电子邮件或电子邮件寻呼机提醒用户。 

您还必须指定邮件服务器以发送电子邮件通知。 

电子邮件和寻呼机通知按不同的管理域进行配置。 

图 2-28 寻呼机通知设置 

要启用电子邮件或寻呼机故障通知,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “Email(电子邮件)”或 

“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “Pager(寻呼机)”。 

2 选择启用的状态(“Enable Email/Pager Notification(启用电子邮件/寻呼机通知)”)。“Yes(是)”为启用;“No(否)” 

为禁用。 

3 选择要通知的故障“Severity Level(严重性级别)”: 

表 2-14 

字段描述 

Informational and above(信息性及以上) 针对所有故障发出通知。 

Warning and above(警告及以上) 通知警告、错误和非常严重故障。 

Error and above(错误及以上) 通知错误和非常严重故障。 

Critical(非常严重) 仅通知非常严重故障。 

4 选择“Message Preference(首选消息)”。首选消息是随通知发送的带有相关故障信息的预设响应消息。 

• “System Default(系统默认)”:系统默认消息向管理员提供最基本的故障信息,使其能立刻做出反应。详细信息 

包括故障类型(严重性)和组件来源。默认消息的主题行含有故障名称。 

您不能编辑“System Default(系统默认)”消息。 




2 



• “Customized(自定义)”:键入消息并选择(单击)用以标识攻击的格式参数。下图显示了自定义消息。您可以在 

“Subject(主题)”字段或“Body(正文)”部分键入自定义文本,也可以单击“Subject Line Content(主题行内容)” 

或“Body Text(正文文本)”中提供的一个或多个元素,以将其添加到描述中。完成了对消息模板的格式设置后, 

单击“Save(保存)”。如果您设置了自定义消息,会选中“Customized(自定义)”按钮。 

图 2-29 “Customize Email Notification Messages(自定义电子邮件通知消息)”窗口 

表 2-15 

项目描述 

1 键入的自定义文本 

2 所选的标记 

5 单击“Save(保存)”以保存通知设置。 

6 指定收件人的电子邮件或寻呼地址。 

7 滚动至“Email(电子邮件)”或“Pager(寻呼机)”页底部。 

图 2-30 寻呼机故障通知邮件列表 

a 单击“New(新建)”。 

b 在“SMTP Address(SMTP 地址)”中键入电子邮件地址或电子邮件寻呼地址。 

c 完成之后单击“Save(保存)”。 

d 重复步骤“a”至“d”以添加其他收件人地址。 

另请参阅 

指定通知电子邮件服务器第 122 页 


指定故障通知脚本参数 

当发生了与所配置严重性相匹配的故障时,就可以通过执行脚本通知用户。 

图 2-31 脚本通知设置 

可以按照管理域来配置脚本通知。 

要启用警报脚本通知,请执行以下操作: 

任务 


1 选择“Admin‑Domain‑Name(管理域名称)” | “Fault Notification(故障通知)” | “Script(脚本)”。 

2 选择启用的状态(“Enable Script Execution(启用脚本执行)”)。“Yes(是)”为启用;“No(否)”为禁用。 

3 选择要通知的“Severity Level(严重性级别)”: 

表 2-16 

字段描述 

Informational and above(信息性及以上) 针对所有故障发出通知。 

Warning and above(警告及以上) 通知警告、错误和非常严重故障。 

Error and above(错误及以上) 通知错误和非常严重故障。 

Critical(非常严重) 仅通知非常严重故障。 

4 配置“Script Contents(脚本内容)”。脚本内容是随通知发送的带有相关故障信息的预设响应消息。 

a 单击“Edit(编辑)”。 

b 在“Description(描述)”框中为脚本键入名称。 

c 在“Script Contents(脚本内容)”部分中,键入文本并为要查看的攻击信息选择特定于内容的变量。 

d 单击“Save(保存)”,返回通知窗体。脚本保存在以下安装目录下:\temp 

\scripts\0\。脚本文件名带有“.bat”扩展名。 

5 单击“Save(保存)”以保存通知设置。 

由 Manager 和 Manager 服务器执行的每个操作都会用所有的信息进行审核。每个审核信息都包含以下内容: 

• 所执行的操作 • 用户信息 

• 操作的结果(成功或失败) • 所执行操作的类别 


管理审核通知 2 


2 



• 执行操作的时间 • 管理域 

• 操作消息 • 详细备注 

Manager 可以将此审核信息转发给 syslog 服务器。 

图 2-32 审核通知 

配置 Syslog 转发程序 

“Audit Notification(审核通知)”操作能将 McAfee Network Security Platform 审核信息转发给 Syslog 服务器。Syslog 转 

发可以通过第三方的 Syslog 应用程序查看转发的审核信息。在 Syslog 转发中,根域和父域可以选择包括来自所有对应 

子域的审核信息。要启用 Syslog 审核通知转发,请执行以下操作: 

任务 

1 选择“Admin‑Domain‑Name(管理域名称)” | “Audit Notification(审核通知)”。 

此时将显示“User Activity Audit Syslog(用户活动审核 Syslog)”页。 



表 2-17 

字段描述 

Enable Syslog 

Forwarder(启用 

Syslog 转发程序) 

Enable Domain 

Notification(启用域 

通知) 

Syslog Server (IP 

Address OR Host 

Name)(Syslog 服务 

“Yes(是)”为启用;“No(否)”为禁用 

• “Current Admin Domain(当前管理域)”:发送当前域的审核信息通知。对当前域始终启 

用。 

• “All Child Domain(s)(所有子域)”:包括当前域的所有子域的警报信息。 

键入接收审核信息的 Syslog 服务器的“Host IP Address(主机 IP 地址)”或“Host Name(主 

机名)”。 

对于“Host IP Address(主机 IP 地址)”,可以输入 IPv4 或 IPv6 地址。 

器(IP 地址或主机名)) 

Port(端口) 目标服务器上授权接收 Syslog 消息的端口。Syslog 的标准端口 154 预先填入此字段中。 

Facilities(工具) 标准 Syslog 优先级值。选项说明如下: 

Result Mapping(结 

果映射) 

Forward Audit(转发 

审核) 

Message Preference 

(首选消息) 

3 单击“Apply(应用)”。 

• “Security/authorization (code 4)(安全/授权(代 

码 4))” 

• “Security/authorization (code 10)(安全/授权(代 

码 10))” 

• “Local user 2 (local2)(本地用户 2 

(local2))” 


(local3))” 

• “Log audit (note 1)(日志审核(注释 1))” • “Local user 4 (local4)(本地用户 4 

(local4))” 

• “Log alert (note 1)(日志警报(注释 1))” • “Local user 5 (local5)(本地用户 5 

(local5))” 

• “Clock daemon (note 2)(时钟守护程序(注释 

2))” 


(local6))” 

• “Local user 0 (local0)(本地用户 0 (local0))” • “Local user 7 (local7)(本地用户 7 

(local7))” 

• “Local user 1 (local1)(本地用户 1 (local1))” 

您可以将每个故障严重性(“Failed to(失败)”、“Successful to(成功)”和“In Progress to(进 

行中)”)映射到下面列出的标准 Syslog 严重性(默认结果严重性在括号中提示): 

• “Emergency(紧急)”:系统不可用 • “Warning(警告)”:(中)警告情况 

• “Alert(警报)”:必须立即采取措施 • “Notice(注意)”:(低)普通但重要的情况 

• “Critical(非常严重)”:(高)非常严重的 

情况 

• “Informational(信息)”:(信息)信息性消 

息 

• “Error(错误)”:错误情况 • “Debug(调试)”:调试级消息 

选择要转发给 Syslog 服务器的审核的严重性。选项包括: 

• “Allow all Auditlogs(允许所有审核日志)” 

• “Failed only(仅失败条目)” 

• “Successful only(仅成功条目)” 

• “In Progress only(仅进行中的条目)” 

选择消息的首选项。选项包括: 

• “System Default(系统默认)”:系统默认可用 

• “Customized(自定义)”:在启用通知的情况下可用 




2 



自定义 Syslog 消息 

为了自定义 yslog 消息,请确保在“User Activity Audit Syslog(用户活动审核 Syslog)”中启用了“Enable Syslog forwarder 

(启用 Syslog 转发程序)”。如果它处于启用状态而且已经更新(通过单击“Apply(应用)”),则“User Activity Audit Syslog 

(用户活动审核 Syslog)”页将按如下方式显示: 

图 2-33 自定义“User Activity Audit Syslog(用户活动审核 Syslog)”页 

该页显示以下消息:“Update successful:The changes have been updated(更新成功: 已更新更改)”。 

在“Message Preference(首选消息)”中,“Customized(自定义)”在默认情况下处于选中状态。 

执行以下步骤可自定义 syslog 消息: 

任务 


图 2-34 自定义用户活动 Syslog 转发程序消息 

此时将显示“Customize User Activity Syslog Forwarder Message(自定义用户活动 Syslog 转发程序消息)”页。 

默认情况下,“Messages(消息)”中包括下面的审核信息参数: 

• 审核操作 

• 审核结果 

• 审核时间 

这些参数按如下方式显示:Audit $IV_AUDIT_ACTION$ $IV_AUDIT_RESULT$ at $IV_AUDIT_TIME$ 


2 键入所需的消息,然后选择(单击)应当包含在“Message Content(消息内容)”中的参数。下面列出了“Message 

Content(消息内容)”字段中可以使用的参数。 

• 审核操作 

• 审核结果 

• 审核时间 

• 审核消息 

• 审核用户 

• 审核类别 

• 审核域 

• 审核详细信息备注 

• 审核详细信息 delta 

为正确显示 Syslog 消息,请确保您使用美元符号 ($) 分隔相邻的两个参数。示例:$ATTACK_TIME$ 

3 单击“Save(保存)”以保存自定义的 syslog 消息。 




2 




3 

Manager 服务器配置 

本节介绍如何配置系统级别设置,包括系统备份、特征码和软件更新以及用户定义特征码等。这些设置位于代表 

McAfee ® Network Security Platform 服务器的节点下面。“Manager”节点位于根管理域节点之下,不能进行移动或重命 

名。 

为了方便导航,配置步骤中将以“Manager >”表示 Manager 节点。 

图 3-1 Manager 节点 

“Manager”节点包含以下选项卡: 

• 指定 Manager 的服务器功能:提供 McAfee Network Security Platform 功能,例如查看 Manager 详细信息、查看邮 

件服务器通知详细信息、自动确认警报、设置审核日志参数以及上载横幅图像。 

• 从更新服务器获取更新:用于配置 Manager 与 McAfee ® Network Security 更新服务器之间的通信。其中的一些操作 

包括建立通信通道、计划最新软件版本的下载和特征码更新,以及下载更新。 

• 为 Manager 灾难恢复 (MDR) 做准备:用于设置可用的备用 Manager,以防主 Manager 出现故障。 

• 与 Central Manager 建立通信:用于通过在Manager 和 Central Manager 之间建立信任关系,以便在 McAfee ® 

Network Security Central Manager 中配置 Manager,以及查看和管理 McAfee Network Security Central Manager 

(Central Manager) 详细信息。 

• 备份和恢复数据:用于按需要或按所设置的计划备份 McAfee ® Network Security Platform [以前称为 McAfee ® 

IntruShield Network Intrusion Prevention System] 数据。 

• 对数据进行存档:用于按需要或按设置的计划保存来自数据库的警报和数据包日志。 

• 优化 Manager 数据库:用于计划或启动对 MySQL 数据库的优化。 

• 维护数据库:用于设置文件维护计划、查看磁盘指标、管理数据库磁盘空间和清除 Manager 缓存。 

• 配置身份验证:允许您查看 Manager 通过多台 LDAP 和 RADIUS 服务器进行身份验证的详细信息。 

• GUI 访问:默认情况下,所有的主机都能够从任意 IP 地址访问 Manager/Central Manager。通过从“MISC(其他)” 

选项卡中启用“GUI Access(GUI 访问)”并定义授权主机/网络的列表来允许访问特定主机。 

• 为特定的主机/网络配置访问控制:用于通过定义授权主机/网络的列表来配置对特定主机的访问。 

目录 

查看 Manager 摘要 

从更新服务器获取更新 

为 Manager 灾难恢复 (MDR) 做准备 

与 Central Manager 建立通信 

管理 Network Security Manager 数据库 

配置外部身份验证 

指定其他 Manager 服务器功能 


3 




“Summary(摘要)”操作(“My company(我的公司)/Manager or Central Manager(Manager 或 Central Manager)” | 

“Manager or Central Manager(Manager 或 Central Manager)” | “Summary(摘要)”使您能够查看以下详细信息: 

(请注意,Manager 或 Central Manager 中的“Summary(摘要)”页显示的功能相似,如下所示。) 

• “Manager Software Version(Manager 软件版本)”:当前的 Manager 软件版本 

• “Active Signature Set(活动特征码集)”:Manager 中当前可用的特征码版本 

• “Last Start Time(上次启动时间)”:Manager 服务最近一次启动的时间 

• “Host Name (IP Address)(主机名称(IP 地址))”:Manager 服务器的主机名称和网络标识(如果主机名称不可用,则 

仅显示 IP) 

• “Logged In Users(已登录用户)”:所有当前打开的用户会话的信息,包括: 

• 用户名 

• 主机名称(IP 地址) 

• 登录时间 

图 3-2 Manager 摘要 


“Update Server(更新服务器)”选项卡包含用于配置 Manager、Sensor、NTBA Appliance 与 McAfee ® Network 

Security 更新服务器(更新服务器)之间通信的几个操作。这些操作包括建立通信通道、计划最新软件版本的下载和特征 

码更新,以及存在可用更新时进行下载。 

对于任何 McAfee ® Network Security Platform(以前称为 McAfee ® IntruShield ® )组件(包括更新服务器),一次只能执行一 

个下载/上载操作。 

更新服务器选项卡中的操作列表: 

• 下载软件更新 ‑ 将最新的 Sensor 或 NTBA Appliance 软件映像文件从更新服务器下载到 Manager。 

• 下载特征码集更新 ‑ 将最新的攻击和特征码信息从更新服务器下载到 Manager。 

• 自动更新 ‑ 配置 Manager 检查更新服务器上更新的频率,以及 Sensor 和 NTBA Appliance 接收来自 Manager 的特 

征码更新的频率。 

• 手动导入 Sensor 和 NTBA Appliance 映像或特征码集 ‑ 手动将已下载的 Sensor 或 NTBA Appliance 软件映像和特 

征码文件导入到 Manager。 


下载软件更新 

可以按需要从更新服务器下载可用的 Sensor 软件和 NTBA Appliance 更新。如果有多个可用版本,请选择最新的版本 

(版本号最高的版本)。 

自动功能可让 Manager 定期检查更新服务器上有无可用的软件更新。 

要将可用的软件更新下载到 Manager,请执行以下操作: 

任务 

1 选择“Manager” | “Update Server(更新服务器)” | “Software(软件)”。 

此时会出现“Software(软件)”页,显示可供下载的软件。 

“Software(软件)”页中有两个表。 

• “Software available for download(可供下载的软件)”‑ 更新服务器上可供下载的当前软件版本。 

• “Software on the Manager(Manager 上的软件)”‑ 已经下载到 Manager 中的软件版本。 

2 从“Software(软件)”表的“Software Available for Download(可供下载的软件)”列中选择所需的软件。 

单击“Software Available for Download(可供下载的软件)”列中列出的某个版本可查看该软件更新的详细信息。 

3 单击“Download(下载)”下载软件更新。 

以下选项可用于 Sensor ‑ “Sensors”节点下的“Update all Sensors(更新所有 Sensors)”以及更新单个 Sensor。 

另请参阅 

使用 TFTP 服务器进行 Sensor 软件升级第 73 页 

使用 TFTP 服务器进行 Sensor 软件升级 

使用 TFTP 服务器更新 Sensor 软件 

您可以不从更新服务器将 Sensor 软件下载到 Manager,而是先将 Sensor 软件下载到 TFTP服务器,然后再使用 

Sensor CLI 命令将其移至 Sensor。如果无法通过 Manager 来更新 Sensor,则可以使用 TFTP 服务器方法。要了解两 

种方法之间的区别,请参阅“McAfee Network Security Platform 升级手册”。 

要通过 TFTP 服务器将软件映像直接下载到 Sensor,必须先将软件映像下载到 TFTP 服务器。 

任务 

有关如何将映像下载到 TFTP 服务器的特定说明,请参阅 TFTP 服务器文档。 

1 将软件映像从更新服务器下载到 TFTP 服务器。此文件是一个压缩的 .jar 文件 

2 将 .jar 文件重命名为 .zip 文件。 

3 使用 Winzip 解压缩文件。 

4 将文件解压缩到 TFTP 根文件夹 [/tftpboot]。 

5 当映像放到 TFTP 服务器上之后,从 TFTP 服务器将映像上载到 Sensor。 

在“Sensor Console(Sensor 控制台)”中执行以下步骤: 

a 登录到 Sensor。 


从更新服务器获取更新 3 

默认用户名为“admin”,默认密码为“admin123”。如果您还没有更改密码,McAfee 强烈建议您更改默认的密码。 


3 



b 指定 TFTP 服务器的 IPv4 或 IPv6 地址以便 Sensor 识别。在提示符处键入: 

“set tftpserver ip ” 

示例: 

set tftpserver ip 192.34.2.8 

其中 

 

代表 IPv4 地址。 

或 

如下所示指定 IPv6 地址: 

set tftpserver ip 

其中 

 

表示 128 位的地址,写成八组用冒号分隔的四个十六进制数字。每个组(“A、B、C、D”等)表示一个由 0000 

到 FFFF 之间的十六进制数字组成的组。 

示例: 

set tftpserver ip 2001:0db8:8a2e:0000:0000:0000:0000:0111 

示例: 

set tftpserver ip 2001:0db8:8a2e::0111 

如果一个或多个四位组为 0000,则可以省略零并将其替换为两个冒号 (::) 

c 将映像文件加载到 Sensor。在提示符处键入: 

loadimage 

示例:loadimage sensorsw_2700_xxxx 

d 映像加载之后会出现一条消息。要使用新的软件映像,必须重新启动 Sensor。在提示符处键入: 

reboot 

必须确认是否要重新启动。 


一旦完成重新启动过程,Sensor 即会删除旧的特征码集。由于特征码集与当前的 Manager 版本不兼容,因此, 

CLI 上Sensor 的“System Health Status(系统健康状况)”显示为“uninitialiazed(未初始化)”。 

图 3-3 System Health Status(系统健康状况):uninitialized(未初始化) 

然后,Sensor 与 Manager 联系,获取最新的特征码集。特征码集下载到 Sensor 之后,其“System Health Status(系 

统健康状况)”会显示为“good(正常)”。 

图 3-4 System Health Status(系统健康状况):good(正常) 




3 



6 验证 Sensor 的系统健康状态为“good(正常)”;可通过在 CLI 中键入 status 命令来检查 Sensor 状态。 

您还可以检查 Sensor 是否更新到最新的软件版本和最新的特征码集,方法是转至“Device List(设备列表)” | 

“Sensor_Name(Sensor 名称)” | “Summary(摘要)”。 

7 使用 Threat Analyzer 验证 Sensor 的性能。 

这是为了确保升级成功。 

另请参阅 

下载软件更新第 73 页 

下载特征码集更新 

“Signature Sets(特征码集)”操作可以按需将可用攻击特征码更新从更新服务器下载到 Manager 服务器。然后,可以将 

该特征码推送到 Sensor 或 NTBA Appliance。 

“Signature Sets(特征码集)”功能可在 Central Manager 中使用,路径为“/ My Company / Central Manager(我的公司/ 

Central Manager)” | “Update Server(更新服务器)” | “Signature Sets(特征码集)”。 

因为增量紧急特征码集可以随常规特征码集一起下载,所以您不必使用自定义攻击定义功能来导入最新攻击。 

“Signature Sets(特征码集)”操作不仅可以导入常规特征码集,而且还可以导入增量紧急特征码集,后者包含常规特征 

码集尚未提供的攻击特征码。 

增量紧急特征码集专用于解决需要立即解决的最新攻击。 

因为紧急特征码集不是累积性的,而且只添加新特征码,所以它并不包含完整的特征码集。 

为确保您使用完整的特征码集,Network Security Platform 会在下载相关紧急特征码集之前,检查必需的常规特征码集 

是否存在,如果不存在,则进行下载。 

为使 Network Security Platform 在下载紧急特征码集之前自动下载必需的常规特征码集,必须使用“Signature Sets(特征 

码集)”或“Automation(自动)”操作。如果您尝试通过“Import(导入)”操作导入紧急特征码集,则会发生错误。 

下载了特征码文件或版本后,该版本将作为“Active Manager Signature Set(活动的 Manager 特征码集)”列在 

“Signature Sets(特征码集)”操作配置表中。 

设置计划可让 Manager 定期检查更新服务器上的特征码更新、下载可用更新并将这些更新推送至 Sensor 或 NTBA 

Appliance 而无需您的干预。 

按照以下过程可将最新特征码下载到 Manager: 

任务 

1 选择“Manager” | “Update Server(更新服务器)” | “Signature Sets(特征码集)”。 

此时将显示“Signature Sets(特征码集)”页。 

2 查看“Active Manager Signature Set:Version n(活动的 Manager 特征码集: 版本 n)”。 

这是当前可供您的 Sensor 或 NTBA Appliance 下载的版本。该特征码集保存在一个队列当中,供 Sensor 或 NTBA 

Appliance 下载。您只能下载队列中的一个版本。 

3 从“Signature Sets Available For Download(可供下载的特征码集)”中选择所需的特征码更新。 

单击版本号可查看更新详细信息。 

如果已下载最新版本,则会显示一则默认消息“No new signature sets available.The Manager has the most recent 

signature set.(没有新的特征码集。Manager 已具有最新的特征码集。)” 

单击“view all(查看全部)”可显示更新服务器中提供的所有特征码更新。 


4 单击“Download(下载)”。 

将打开一个状态窗口,以确认特征码下载过程。“Download(下载)”按钮仅当存在可供下载的新版本时才显示。 

另请参阅 

自动更新第 77 页 

自动更新 

McAfee 不断致力于研究安全问题和开发新的特征码,以提供最可靠的保护。为了应对最新的攻击,会不断推出新的特 

征码,并修改现有的特征码。同时更新软件以不断提高 Sensor 和 NTBA Appliance 的性能。这些加强措施将通过更新 

服务器定期提供。 

更新可用性不限于某一特定日期和时间;它们在刚开发出来时即可供您使用,让您可以作最及时的改进。“Automation 

(自动)”功能使您可以配置 Manager 或 McAfee ® Network Security Central Manager (Central Manager) 检查更新服务器 

上可用更新的频率。在所设置的自动执行时间,Manager 将轮询更新服务器;如果有比 Manager 的 Sensor 和 NTBA 

Appliance 软件版本上当前特征码集新的可用更新,则会将该更新下载到 Manager。您可以通过“Software(软件)”和 

“Signatures Sets(特征码集)”选项查看已下载的内容。 

“Automation(自动)”功能可在 Central Manager 中使用,路径为“/ My Company/ Central Manager(我的公司/Central 

Manager)” | “Update Server(更新服务器)” | “Automation(自动)”。 

下载了特征码集更新之后,您可以配置 Manager,让它立即或在所设置的自动执行时间将更新推送到所有 Sensor 或 

NTBA Appliance。由于特征码集可以实时更新到 Sensor 和 NTBA Appliance 而无需关闭系统,这一计划功能可让您快 

速将最新特征码集散播于各个 Sensor 和 NTBA Appliance。 

“Automation(自动)”操作结合了两个用于计划更新的操作: 

• 从更新服务器自动下载特征码集 ‑ 配置 Manager 轮询更新服务器上的可用特征码集更新的计划。 

• 将新的特征码集自动部署到设备中 ‑ 启用自动或计划下载,将最近下载的特征码集部署到 Sensor 中。 

您必须分别执行每种操作。 

另请参阅 

从更新服务器自动下载特征码集第 77 页 

将新的特征码集自动部署到设备上第 78 页 

下载特征码集更新第 76 页 

从更新服务器自动下载特征码集 

在更新服务器的自动功能中,可指定 Manager 定期轮询更新服务器有无可供下载的特征码。 

设置了轮询计划之后,可以使用“Signatures(特征码)”操作检查 Manager 下载了哪些特征码更新,从而将它们下载到 

Sensor 和 NTBA Appliance 中。 

按照以下步骤,配置特征码集下载: 

任务 

1 选择“Manager” | “Update Server(更新服务器)” | “Automation(自动)”。 

此时将显示“Automatic Downloading(自动下载)”页。 

2 选择“Yes(是)”启用自动功能。 

默认选中“No(否)”。 

任何时候选择“No(否)”并单击“Apply(应用)”可禁用自动轮询。 

3 选择您希望 Manager 轮询更新服务器的“Schedule(计划)”频率。 




3 



选项包括: 

• “Frequently(频繁)”:在指定时期内每天执行若干次 

• “Daily(每天)”:每天一次 

• “Weekly(每周)”:每周一次 

4 填写“Start Time:(开始时间:)”、“End Time:(结束时间:)”和“Recur every(循环周期)”字段,指定所需间隔。 

您所选的“Automatic Downloading(自动下载)”频率选项将会影响这些字段。 

5 完成后单击“Save(保存)”。 

在启用之后,Manager 将按照您设置的自动执行时间从更新服务器下载特征码集。 

另请参阅 


将新的特征码集自动部署到设备上 

可以在所有 Sensor 和 NTBA Appliance 上自动进行特征码文件更新。您可以按以下几项更新所有 Sensor 和 NTBA 

Appliance: 

1 在将特征码更新从更新服务器下载到 Manager 之后(实时) 

2 按所设置的计划 

3 既按照实时设置又按照计划的时间,在执行立即更新的同时按计划检查,以确保将最新的更新加载到 Sensor 和 

NTBA Appliance 上。 

同时设置实时选项和计划选项可让系统检查出实时更新可能遗漏的一些可用更新。 

如果要进行自动更新,McAfee 建议根据计划时间而不是实时进行特征码更新,因为下载特征码文件时会出现性能变慢。 

可以在网络流量较少的时段中进行更新。 

按照以下步骤可自动将新的特征码集部署到 Sensor 和 NTBA Appliance 上: 

任务 

1 选择“Manager” | “Update Server(更新服务器)” | “Automation(自动)”。 

此时将显示“Automatic Deployment(自动部署)”页。 

2 按照以下操作进行配置: 

• 在“Deploy in Real‑time(实时部署)”中,单击“Yes(是)”。(通过此选项可在将特征码集更新下载到 Manager 后, 

立即将其推送至所有 Sensor 和 NTBA Appliance。) 

默认选项为“No(否)”。 

• 在“Deploy at Scheduled Interval(按计划的间隔部署)”中单击“Yes(是)”进行计划的部署。 

• 选择“Schedule(计划)” ‑ 此选项代表希望 Manager 检查最新下载的特征码集的频率。轮询选项包括: 

• “Frequently(频繁)” ‑ 按“Recur every(循环周期)”选项中指示的间隔每天执行若干次 

• “Daily(每天)” ‑ 每天一次 

• “Weekly(每周)” ‑ 每周一次 

• 填写“Start Time(开始时间)”、“End Time(结束时间)”和“Recur every(循环周期)”字段,指定所需间隔。 

您对“Schedule(计划)”的选择将会影响这些字段。 



另请参阅 


手动导入软件映像或特征码集 

“Manual Import(手动导入)”操作允许将最新的 Sensor 和 NTBA Appliance 软件及特征码文件从另一台工作站加载到 

Manager 或 Central Manager 中。 

如果 Manager 服务器处于实验室或安全环境中,而您不希望该环境受 Internet 连接的影响,则可以使用这种方法。这 

样,管理员便无需通过 Internet 将 Manager 连接到更新服务器。 

McAfee 提供了一个备用的 FTP 服务器来存放最新更新。您可以从该 FTP 位置将所需更新下载到客户端计算机。将映 

像文件下载至备用计算机后,即可使用“Import(导入)”操作将文件从客户端转移到 Manager 服务器。 

要将软件/特征码文件导入 Manager 或 Central Manager,请执行以下操作: 

任务 

1 选择“Manager(或 Central Manager)” | “Update Server(更新服务器)” | “Manual Import(手动导入)”。 

此时将显示“Manual Import(手动导入)”页。 

2 单击“Browse(浏览)”找到 Sensor 或 NTBA Appliance 软件或特征码集文件,或键入文件在网络上的绝对路径名。 

3 单击“Import(导入)”。 

手动导入后需要重新启动 Sensor。 

指定用于 Internet 连接的代理服务器 

如果您使用代理服务器来连接到 Internet,可以将 Manager 或设备配置为连接到该服务器以使用代理服务。如果您想将 

更新直接从更新服务器下载到 Manager 中,或者希望在与 McAfee ® TrustedSource 集成的过程中下载主机信誉和发源 

地所在的国家/地区等信息,这点尤为必要。 

Manager 支持应用层 HTTP/HTTPS 代理,如 Squid、iPlanet、Microsoft Proxy Server 和 Microsoft ISA。 

要使用 Microsoft ISA,必须使用基本身份验证配置此代理服务器。Network Security Platform 在 NTLM (Microsoft LAN 

Manager) 身份验证中不支持 Microsoft ISA。 

Network Security Platform 当前不支持网络级别的代理 SOCKS。 

按照以下步骤,指定您的代理服务器: 

任务 

1 选择“Manager” | “Misc(其他)” | “Proxy Server(代理服务器)”或“Device List(设备列表)” | “Misc(其他)” | “Proxy 

Server(代理服务器)”。 

此时会显示“Proxy Server(代理服务器)”页。 

2 选择“Use a Proxy Server?(是否使用代理服务器?)”复选框。 

3 输入“Proxy Server Name or IP Address(代理服务器名称或 IP 地址)”。这可以为 IPv4 或 IPv6 地址。 

4 输入代理服务器的“Proxy Port(代理端口)”。 

5 输入“User Name(用户名)”和“Password(密码)”。 




3 



6 提供相应的 URL。您可以通过测试以确保连接正常,方法是输入“Test URL(测试 URL)”,然后单击“Test Connection 

(测试连接)”。 

7 单击“Save(保存)”以保存设置。 

当 Manager 或设备成功建立连接时,它会显示一条表示代理服务器设置有效的消息。 


使用“MDR”选项卡操作可以设置可用的备用 McAfee ® Network Security Manager (Manager),以防主 Manager 出现故 

障。 

图 3-5 MDR 选项卡 

Manager 灾难恢复 (MDR) 功能在满足下列条件时才能在部署时使用: 

• 两个 Manager(称为主 Manager 和次 Manager)都可用。主 Manager 处于活动模式,次 Manager 处于备用模式。 

• 主 Manager 和次 Manager 使用相同的 Manager 软件版本。主 Manager 和次 Manager 的 Manager 版本必须相似 

才能创建 MDR 对。 

• 主 Manager 和次 Manager 采用相同的数据库结构。 

如果主 Manager 和次 Manager 可以使用 SSL(通过 TCP 端口 443)进行通信,则两者可以位于相同的网络操作中心 

(NOC),也可以位于不同地域。主 Manager 和次 Manager 可以位于不同的硬件上。 

如果主 Manager 和次 Manager 位于不同地域,则两个 Manager 之间需要进行时间同步,以采用协调世界时 (UTC) 作 

为标准时间。 

假设一个 Manager 位于加利福尼亚(UTC ‑ 8 小时),另一个 Manager 位于纽约(UTC ‑ 5 小时)。只要两个 Manager 

上的时间设置彼此同步,MDR 设置就能正常工作。也就是说,在 09:00 UTC,如果位于加利福尼亚的 Manager 的本地 

时间显示为 01:00,而纽约的 Manager 本地时间显示为 04:00,MDR 就能工作。 

请注意,McAfee ® Network Security Sensor (Sensor) 不含内置时钟。它从 Manager 获得 UTC 时间。 

在升级主 Manager 和次 Manager 时,请先暂停 MDR。否则,MDR 可能会出现故障。暂停 MDR 后,先升级次 

Manager,后升级主 Manager。在两个 Manager 都升级之后,请恢复 MDR。 

Sensor 与主次 Manager 分别通信。次 Manager 定期接收主 Manager 的配置信息。如果 Manager 无法互相通信,则 

次 Manager 会查询每个 Sensor,并且只在大部分 Sensor 无法与主 Manager 通信时才活动。通过执行手动切换,也可 

以使次 Manager 活动。 

在主 Manager 上创建的自定义角色不会复制到次 Manager。 

在次 Manager 变为活动 Manager 后,它的 Threat Analyzer 中将没有警报。从活动的次 Manager 切换回主 Manager 

不能自动发生。必须从主 Manager 执行手动切换操作。 

在切换之后,警报和数据包日志数据将从次 Manager 复制到主 Manager。此数据可以在历史 Threat Analyzer 中查看。 

另请参阅 

添加 RADIUS 服务器第 117 页 

历史 Threat Analyzer 第 133 页 


MDR 通信 

MDR 体系结构集成了 Sensor 与 Manager 通信以及 Manager 与 Manager 通信。 

连接到 MDR 对的 Sensor 一直维护与两个 Manager 的通信。主 Manager 与次 Manager 每 15 分钟同步一次数据。但 

是,主 Manager 和次 Manager 单独从 Sensor 接收系统事件,存储事件也是单独进行。如果 Sensor 与主 Manager 之 

间的通信出现故障,它将向次 Manager 发送一个系统事件,通报它与主 Manager 之间出现通信错误。 

Sensor 与 Manager 之间的通信 

Sensors in Network Security Platform 中的 Sensor 具有 MDR 识别功能。在 Sensor 首次建立与 Manager 的信任关系 

时,它们查询 Manager 以了解 Manager 是否为 MDR 对的一部分。此 Manager 会进行响应;如果此 Manager 是 

MDR 对的一部分,则会包括此 Manager 的当前状态(活动或备用)及其对等 Manager 的 IP 地址。然后,Sensor 还建 

立与对等 Manager 的信任关系。 

Sensor 会向这两个 Manager 发送警报和数据包日志。MDR 对之间的实时同步可确保活动模式中的数据完全镜像到备 

用模式中。这可确保在活动 Manager 关闭时,数据丢失的可能性降到最低。由 Sensor 发送给 Manager 的警报和数据 

包日志可以在 Threat Analyzer 中查看。 

除了警报外,还会在 Manager 之间同步故障和 McAfee NAC 主机事件。您可以在 Threat Analyzer 中查看所有的主机、 

警报和数据包日志数据。 

如果其中的一个 Manager 关闭,那么,在该 Manager 启动之后,会在同步期间将另一个 Manager 上的警报和数据包 

日志数据同步到第一个 Manager。 

Manager 与 Manager 之间的通信 

主 Manager 和次 Manager 每分钟交换一次“检测信号”通信。此通信包含特定于相关 Manager 健康的一个字节的数据。 

在下面两种情况下,接收检测信号的 Manager 将造成其对等 Manager 失败: 

• 其中一个 Network Security Platform 子系统报告故障。 

• 在“Downtime Before Switchover(切换前停机时间)”(使用“Manage Pair Configuration(管理对配置)”操作配置)间 

隔内尚未收到检测信号。例如,如果默认间隔是 5 分钟且检测信号每分钟发送一次,则次 Manager 在丢失检测信号 

后 5 分钟才获得控制权。 

如果次 Manager 不可用,则主 Manager 保持为活动状态并记录故障。如果主 Manager 不可用,则次 Manager 记录事 

件并变为活动状态。 

如果这两个 Manager 都在线但无法互相通信,则次 Manager 查询每个 Sensor,而且仅当半数以上的 Sensor 无法与 

主 Manager 通信时,才变为活动状态。 

主 Manager 和次 Manager 之间的数据同步每 15 分钟发生一次。 

另请参阅 

MDR 操作第 87 页 

查看 MDR 切换历史记录第 88 页 

MDR 对之间的警报同步 

将警报发送到 Manager 时,确认存储该警报,或者将其标记为删除。 

如果一个 Manager 关闭,则在其启动后,另一个 Manager 将在同步过程中更新丢失的警报,并将日志数据打包到第一 

个 Manager。 

MDR 警报同步模型 

可以在 Threat Analyzer 中执行以下两种类型的警报操作: 

• 确认/取消确认 

• 删除/取消删除 


为 Manager 灾难恢复 (MDR) 做准备 3 


3 



活动 Manager 能够识别在 Threat Analyzer 中执行的这些警报操作,并将这些警报操作转发给备用 Manager。备用 

Manager 接受这些警报操作并将它们更新到 Threat Analyzer 中。 

Manager 之间警报操作同步 

针对这些来自活动 Manager 的警报触发的操作会与备用 Manager 实时同步。 

下表介绍了在 MDR 警报操作同步期间可能观察到的场景。 

场景 MDR 警报操作同步 

MDR Manager 之间无法 

通信。 

来自活动 Manager 的警报操作无法与备用 Manager 实时同步。这些操作保存在数据库和缓 

存中,而且将在恢复连接之后立即同步到备用 Manager。 

备用 Manager 关闭。来自活动 Manager 的警报操作无法与备用 Manager 实时同步。这些操作保存在数据库和缓 

存中,而且将在恢复连接之后立即同步到备用 Manager。 

活动 Manager 在关闭后 

又恢复为备用状态。 

在新的活动 Manager 中完成的任何警报操作都会同步到新的备用 Manager。 

MDR 已挂起。在 MDR 处于挂起模式时,不对警报操作进行同步。这些操作都保存在数据库和缓存中,并 

在恢复 MDR 时也进行同步。 

查看 MDR 的当前详细信息 

“Manage Pair(管理对)”操作允许您查看 MDR 功能的当前状态,包括主 Manager 状态、次 Manager 状态和当前 

MDR 设置的摘要。 

图 3-6 MDR 详细信息页 

配置 MDR 

使用“Manage Pair(管理对)”操作可以配置用于 MDR 的主 Manager 和次 Manager。 

MDR 初始配置 

首先,必须分别在主 Manager 和次 Manager 上配置 MDR: 


任务 

1 选择“Manager” | “MDR” | “Manager Pair(Manager 对)”。 

图 3-7 MDR 对创建页 


Manager 在配置 MDR 期间最多支持 3 个 IP 地址。Manager 假设所有的 IP 地址都绑定到同一个主机名。 

Manager 在每个 NIC 上支持一个公用 IPv6 地址。这表示操作系统支持的 IPv6 堆栈应该只有一个 IPv6 地址。 

• “Role of this Manager(此 Manager 的角色)”:选择“Primary(主)”将此 Manager 用作活动 Manager,或选择 

“Secondary(次)”将此 Manager 用作配用 Manager。 

• “Use Out‑of‑Band (OOB) Manager‑to‑Manager Communication?(是否使用带外(OOB) Manager 与 Manager 

通信?)”:选择 

• • “Yes(是)”,对 Manager 与 Manager 通信和 Manager 与 Sensor 通信使用不同的接口。 

• “No(否)”,对 Manager 与 Manager 通信和 Manager 与 Sensor 通信使用相同的接口。 

• 如果您选择了“Yes(是)”,则进行以下设置: 

• • “Peer IP for Manager‑to‑Manager Communication(用于 Manager 与 Manager 通信的对等 IP)”:输入希 

望用于 Manager 与 Manager 通信的对等 Manager 的 IP 地址。 

从 Sensor 不能访问这些 IP 地址。 



如果您在主 Manager 中将“Out Of Band (OOB) Manager to Manager Communication(带外(OOB) 

Manager 与 Manager 通信)”设置为“Yes(是)”,则在次 Manager 中将此选项也设置为“Yes(是)”。主 

Manager 和次 Manager 对上的该选项设置不匹配将导致 MDR 配置故障。 

• “Peer IP for Manager‑to‑Sensor Communication(用于 Manager 与 Sensor 通信的对等 IP)”:输入对等 

Manager 的 IP 地址(即如果您已将此 Manager 指定为“Primary(主)”,则使用次 Manager 的地址)。可 

以按照以下情况中给出的方式,配置“IPv4 address(IPv4 地址)”或“IPv6 address(IPv6 地址)”或同时配 

置二者: 

• • 如果 Sensor 通过 IPv4 网络连接至 Manager,或您要将 IPv4 网络中的 Sensor 添加到 Manager 中, 

则需要输入对等 Manager 的“IPv4 address(IPv4 地址)”。 

• 如果 Sensor 通过 IPv6 网络连接至 Manager,或您要将 IPv6 网络中的 Sensor 添加到 Manager 中, 

则需要输入对等 Manager 的“IPv6 address(IPv6 地址)”。 


3 



• 如果通过 IPv4 和 IPv6 网络在 Manager 中配置了 Sensor,则需要配置对等 Manager 的“IPv4 address 

(IPv4 地址)”和“IPv6 address(IPv6 地址)”。 

配置“Peer IP for Manager‑to‑Sensor Communication(用于 Manager 与 Sensor 通信的对等 IP)”时, 

请确保操作系统支持 IPv4 和 IPv6 堆栈。 

• 当“Use Out‑of‑Band (OOB) Manager‑to‑Manager Communication(是否使用带外(OOB) Manager 

与 Manager 通信)”设置为“No(否)”时,“Peer IP for Manager‑to‑Sensor Communication(用于 

Manager 与 Sensor 通信的对等 IP)”将同时用于 Manager 与 Manager 通信和 Manager 与 Sensor 通 

信。 

当“Use Out‑of‑Band (OOB) Manager‑to‑Manager Communication(是否使用带外(OOB) Manager 与 

Manager 通信)”设置为“Yes(是)”时,“Peer IP for Manager‑to‑Sensor Communication(用于 Manager 

与 Sensor 通信的对等 IP)”将仅用于 Manager 与 Sensor 通信。 

在 Sensor 和 Manager 之间建立信任关系时,需要使用“Peer IP for Manager‑to‑Sensor Communication(用 

于 Manager 与 Sensor 通信的对等 IP)”。在安装对等 Manager 的过程中,请确保为对等 Manager 配置的 

IP 地址与从“Dedicated Interface(专用接口)”列表中所选的 IP 地址相同。如果配置错误,Network Security 

Platform 将生成一条错误消息,以提示您输入正确的 IP 地址。有关 Sensor 通信接口的详细信息,请参阅 

“McAfee Network Security Platform 安装手册”。 

• “MDR Pair Shared Secret(MDR 对共享密钥)”:要成功创建 MDR,必须在两个 Manager 中输入相同的共 

享密钥。最少输入 8 个字符,而且不使用特殊字符。 

• “Confirm MDR Pair Shared Secret(确认 MDR 对共享密钥)”:重新输入相同的共享密钥。 

• “Downtime Before Switchover(切换前停机时间)”:输入切换到次 Manager 之前的停机时间(分钟)。切换 

前停机时间应介于 1 到 10 分钟。如果 Manager 的“Administrative Status(管理状态)”设置为“Secondary 

(次)”,则系统会禁用此字段。 

3 单击“Finish(完成)”以确认更改。 

另请参阅 

MDR 操作第 87 页 

如果在您单击“Finish(完成)”时,对等 Manager 的 MDR 设置尚未配置,则 Network Security Platform 会显示一条警 

告,提示您配置对等 Manager 的 MDR 设置。 


适用于 MDR 配置的场景 

第一种情况: 

两个 Manager 位于一个 MDR 对中,而且您要在 Manager 中添加 Sensor 配置信息。 

图 3-8 MDR 的第一种情况 



如果 Manager1 与 Manager2 之间的连接 A 是通过 IPv4 网络建立的,并且您要在 Manager1 中添加 Sensor 配置,则 

Manager1 与 Sensor 之间的通信(即连接 B)也应通过 IPv4 网络进行。 

同样,如果 Manager1 与 Manager2 之间的连接 A 是通过 IPv6 网络建立的,并且您要在 Manager1 中添加 Sensor 配 

置,则 Manager1 与 Sensor 之间的通信(即连接 B)也应通过 IPv6 网络进行。 

如果 Manager1 与 Manager2 之间的连接 A 是通过 IPv4 和 IPv6 网络建立的,并且您要在 Manager1 中添加 Sensor 配 

置,则可以为 IPv4 或 IPv6 网络配置 Manager1 与 Sensor 之间的通信(即连接 B)。 


3 



第二种情况 

假设某个 Manager1 是独立的(不属于 MDR 对),并且您要添加 Manager1 的对等 Manager(即 Manager2)以形成 

MDR 对。 

图 3-9 MDR 的第二种情况 

如果 Sensor 与 Manager1 之间的通信(即连接 B 和 C)通过 IPv4 网络进行,还应配置 Manager1 与 Manager2 之间的 

通信(即连接 A)使用 IPv4 网络。 

同样,如果 Sensor 与 Manager1 之间的通信(即连接 B 和 C)通过 IPv6 网络进行,还应配置 Manager1 与 Manager2 

之间的通信(即连接 A)使用 IPv6 网络。 

如果 B 和 C 同时支持 IPv4 和 IPv6 网络,则可以将 A 配置为支持 IPv4 或 IPv6 网络。 

使用 NAT(网络地址转换) 

网络地址转换 (NAT) 是指当 IP 数据包通过路由器或防火墙时重写其来源和/或目标地址的一项技术。该技术常用于使专 

用网络上的多台主机可以使用单个公用 IP 地址访问 Internet。 

Manager 只支持静态 NAT 条目。请考虑以下情况,说明 NAT 在 Manager 中的用途: 

第一种情况:使用专用 IP 地址的 Manager 

要建立 Manager 与 Sensor 之间的通信,请使用以下 CLI 命令在 Sensor 上配置 Manager 的公用 IP 地址(外部可访 

问): 

set Manager IP 

为支持多个 NIC 卡,安装 Manager 期间,需要在“Sensor Communication Interface(Sensor 通信接口)”中选择各自的本 

地 IP 地址。 

有关“Sensor Communication Interface(Sensor 通信接口)”的详细信息,请参阅“McAfee Network Security Platform 安装 

手册”。 


第二种情况:使用专用 IP 地址的 Sensor 

Manager 与 Sensor 之间的通信照常进行。不需要对设置进行任何更改即可实现此操作。 

使用 NAT 配置 MDR 

要使用 NAT 设置 MDR,请考虑以下方案: 

第一种情况:使用 NAT 的 Manager 与 Sensor 之间的通信,以及不使用 NAT 的 Manager 与 Manager 之 

间的通信 

在“Peer Host IP address(对等主机 IP 地址)”字段中配置公用 IP 地址(外部可访问),以便在 Manager 与 Sensor 之间 

建立通信。 

为支持多个 NIC 卡,安装期间请在“Sensor communication Interface(Sensor 通信接口)”字段中选择各自的 IP 地址。有 

关详细信息,请参阅“McAfee Network Security Platform 安装手册”中的“Sensor 通信接口”。 

使用对等 Manager 的本地 IP 地址配置“OOB Peer Manager IP(OOB 对等 Manager IP)”字段,以便在不使用 NAT 的 

情况下访问 Manager。 

如果 Manager 位于专用网络中,请在次 Manager 的“Peer Host IP address(对等主机 IP 地址)”字段中输入公用 IP 地 

址。 

第二种情况:使用 NAT 的 Manager 与 Sensor 通信,以及使用 NAT 的 Manager 与 Manager 通信 

在“Peer Host IP address(对等主机 IP 地址)”字段中配置公用 IP 地址(外部可访问),以便在 Manager 与 Sensor 之间 

建立通信。 

使用“Peer Host IP Address(对等主机 IP 地址)”执行通信时,不需要配置“OOB Peer Manager IP(OOB 对等 

Manager IP)”字段。 

MDR 操作 

如果对等 Manager 使用不同的已转换 IP 地址,则可以在“OOB Peer Manager IP(OOB 对等 Manager IP)”字段中配置公 

用(外部可访问)IP 地址。 

在配置 MDR 后,以下操作可用: 

命令描述可用性 

Reset to Standalone(重 

置为独立) 

使用其中一个 Manager 终止 MDR 并获得 Sensor 的 

唯一控制权。 

可在主 Manager 和次 Manager 上使 

用。 

Switch Over(切换) 请求将次 Manager 置于活动状态。仅在主 Manager 处于活动状态时才 

可用。 

Switchback(切回) 从次 Manager 切换回主 Manager 并将主 Manager 

置于活动状态。 

Suspend MDR(暂停 

MDR) 

Resume MDR(恢复 

MDR) 

指示次 Manager 不要通过 MDR 状态检查进行监控, 

然后仅在得到指示时恢复 MDR。 

在主 Manager 状态处于备用模式时 

可用。 

仅在主 Manager 处于活动状态时可 

用。 

在暂停 MDR 时恢复 MDR 模式。仅在主 Manager 处于已暂停状态时 

可用。 

Force Switch(强制切换) 强制次 Manager 进入活动状态。仅在次 Manager 处于备用模式时可 

用。 

Retrieve Configuration 

(检索配置) 

将配置数据从主 Manager 传送到次 Manager。除了 

以定期间隔自动传送配置数据外,使用此命令可以手 

动同步两个 Manager。 



仅在次 Manager 处于备用模式时可 

用。 


3 



另请参阅 

Manager 与 Manager 之间的通信第 81 页 

配置 MDR 第 82 页 

通过 CLI 验证 MDR 

“show”和“status”命令包含特定于 MDR 的信息。有关使用 CLI 命令的详细信息,请参阅“McAfee Network Security 

Platform CLI 手册”。 

图 3-10 通过 CLI 验证 MDR 

查看 MDR 切换历史记录 

“Switchover History(切换历史记录)”操作可用于查看以前的 MDR 活动,包括发生活动的日期、执行活动的用户和活动 

的性质。 

任务 

1 选择“Manager” | “MDR” | “Switchover History(切换历史记录)”。 

2 选择以下一种报告: 

要在 Central Manager 中查看 MDR 切换历史记录,请选择“Central” | “Manager” | “MDR” | “Switchover History(切换 

历史记录)”。 

• “Select MDR history for this day(选择该日的 MDR 历史记录)”:查看一天的 MDR 历史记录。 

• “Select MDR history between these dates(选择介于这两个日期之间的 MDR 历史记录)”:查看特定日期之间 

的 MDR 历史记录。 

• “Select MDR history in the past(选择过去的 MDR 历史记录)”:查看所选天数的 MDR 历史记录。 


3 单击“View(查看)”查看所选的 MDR 历史记录。 

图 3-11 切换历史记录 

另请参阅 

Manager 与 Manager 之间的通信第 81 页 


McAfee ® Network Security Platform [以前称为 McAfee ® IntruShield ® ] 提供了一个名为 McAfee ® Network Security 

Central Manager 的集中式“Manager 管理者”功能。 

McAfee Network Security Central Manager (Central Manager) 允许用户创建管理层次结构,以跨多个 McAfee ® 

Network Security Manager 集中创建、管理和分配策略。例如,可以在 Central Manager 中创建策略,并在添加到该 

Central Manager 的所有 McAfee Network Security Manager (Manager) 之间同步此策略。这样可以避免在每个 

Manager 上手动自定义策略。 

Central Manager 为您提供单点登录机制,用于跨所有 Manager 管理全局用户的身份验证。McAfee ® Network Security 

Sensor 配置和威胁分析任务是在 Manager 级别执行的。 

可以使用与将 Sensor 添加到 Manager 的类似方法将 Manager 添加到 Central Manager,或者通过在次 Manager 对和 

主 Manager 对之间建立信任关系来将 Manager 配置为在 MDR 模式下工作。 

开始建立从 Manager 到 Central Manager 的信任关系时,系统在 Central Manager 资源树上显示所配置的 Manager 可能 

需要 2 分钟。 

使用“Central Manager”选项卡可以查看和管理与 Central Manager 进行同步的详细信息: 

图 3-12 “Central Manager”选项卡 


与 Central Manager 建立通信 3 


3 



查看 Central Manager 详细信息 

“Trust Establishment(建立信任关系)”页显示 Central Manager 配置的详细信息,如 Manager 名称、Central Manager 

IP 地址、联系人信息、位置以及是否启用了同步。如果 Central Manager 是在 MDR 对中配置的,则 Manager 中提供 

MDR 对的详细信息。 

图 3-13 Central Manager 的详细信息页 

字段描述 

Manager Name(Manager 名称) 为 Manager 指定的用于连接 Central Manager 的逻辑名称 

Status(状态) 在 Manager 和 Central Manager 之间建立信任关系的状态 

IP Address(IP 地址) Central Manager 服务器的 IP 地址 

Version(版本) Central Manager 的版本号 

Contact Information(联系人信息) Name of contact person(联系人的姓名) 

Location(位置) 地理位置(地区,城市) 

Synchronization Status(同步状态) 在 Central Manager 和 Manager 之间启用同步(默认设置为“Enabled(已 

启用)”) 

Last Synchronization Time(上次同步时间) 上次在 Central Manager 和 Manager 之间进行同步的时间 

管理 Central Manager 详细信息 

为了在 Manager 和 Central Manager 之间启用受信任的通信,需要在 Manager 中指定 Central Manager 的详细信息。 

在建立通信之后,Central Manager 可与 Manager 同步并访问其配置。 

要将 Manager 添加到 Central Manager,请执行以下操作: 


任务 

1 选择“Manager” | “Central Manager” | “Trust Establishment(建立信任关系)”。 

图 3-14 Central Manager“Trust Establishment(建立信任关系)”页 

2 键入“Manager Name(Manager 名称)”。 

“Name(名称)”必须以字母开头。名称的最大长度为 40 个字符。 

不允许包含除连字符和下划线之外的特殊字符。 

3 输入“Central Manager”“IP Address(IP 地址)”。这可以为 IPv4 或 IPv6 地址。 

4 “Shared Secret(共享密钥)”长度必须至少为 8 个字符,并且不能超过 64 个字符。“Shared Secret(共享密钥)”不能 

以感叹号开头,且不能有空格。可用于 Manager 中的“Secret(密钥)”参数如下: 

• 26 个字母:大小写(a、b、c...z 和 A、B、C...Z) 

• 10 个数字: 0 1 2 3 4 5 6 7 8 9 

• 32 个符号:~ ` ! @ # $ % ^ & * ( ) _ + ‑ = [ ] { } \ | ; : " ' , .

3 



6 默认情况下,“Synchronization Enabled(启用同步)”处于启用状态。选择“No(否)”以禁用与 Central Manager 的同 

步。 

7 单击“Finish(完成)”开始在 Central Manager 与 Manager 之间建立信任关系。 

与 Central Manager 建立信任关系可能需要一段时间。您需要刷新页面以查看最新设置。 

图 3-15 Central Manager 详细信息 

Central Manager 操作 

在连接到 Central Manager 之后,以下操作可用: 

命令描述 

Save(保存) 保存所做的更改。 

Reset to Standalone(重置为独立) 断开与 Central Manager 的连接并通过 Manager 获取 Sensor 的唯一控制 

权。 

Synchronize Now(立即同步) 立即启动同步,而不用等待计划的时间间隔。 

Reset & Synchronize(重置并同步) 重置上次保存的值并启动同步。 

Refresh(刷新) 清除当前所做的更改并查看上次保存的配置。 


网络安全是个持续的过程,必须要制订一个长期计划来存档和维护存放由所部署的 Network Security Sensor 生成的警 

报和数据包日志的数据库。必须要存档这些信息才能对警报进行历史分析,此分析将帮助您今后更好地保护您的网络。 

数据库所有预计大小都是根据各种警报/日志生成频率的测试做出的。本文提供了多个频率和文件大小参数,以帮助您更 

好地准备数据库,利于长期维护。 

因为警报和数据包日志是逐步累积到数据库中的,所以必须要精心计划和维护分配给 McAfee ® Network Security 

Platform 各进程的磁盘空间,以符合传入数据的频率和大小的要求。您必须要了解按照您的存档需求维护高效率系统所 

需的数据库空间。 

您可能会问自己:“如果我的 Sensor 整年都是每十秒生成一个警报,我将需要多大的数据库空间来维护所有这些警 

报?” 


带着这个问题阅读以下主题,可帮助您了解如何最好地利用 McAfee ® Network Security Platform(Manager) 和数据库: 

• 容量规划:确保满足最佳性能所需的资源要求。 • Manager 中的“Maintenance(维护)”选项卡: 

清除所生成的日志数据和文件。 

• 数据库维护和优化:定期执行数据库优化操作,确保最 

佳性能。 

• 数据库备份和恢复:备份和存档以免受硬件/软件故障影 

响。 

Manager 数据库的容量规划 

• 使用数据库管理工具:用于维护 Manager 数据 

库的独立工具。 

部署 McAfee ® Network Security Platform 时,首先要完成的任务之一就是安装和设置数据库。该数据库保存由 

Network Security Sensor 生成的警报和数据包日志数据。此数据的完整性和可用性是充分使用 McAfee ® Network 

Security Platform 的必备要素。 

数据库维护和优化 

当您确定存档警报和数据包日志以及 McAfee ® Network Security Platform 生成的成的其他日志或文件所需的数据库容量 

后,就应考虑一个保持数据库最佳性能的维护计划。删除不需要的旧警报、数据包日志条目和其他文件(如备份、保存的 

报告),确保为以后的数据留出足够的空间。 

Network Security Platform 提供了两种用于维护数据库的解决方法: 


管理 Network Security Manager 数据库 3 

• 文件清除操作(“Manager” | “Maintenance(维护)” | “File Pruning(文件清除)”)。此操作可用来设置计划,您可以 

按照该计划从 McAfee ® Network Security Platform(Manager) 和数据库中删除由 Network Security Platform 生成的日 

志和文件。文件清除操作可以删除已经达到所设置寿命(一定天数)的Network Security Platform 数据。可以根据每 

周计划删除数据;您必须启用时间(显示为“Enable Automatic File Pruning?[Option](是否启用自动文件清除? [选 

项])”、“Recur every:[day](循环周期: [天数])”和“Start Time [Hr:Min](开始时间: [时:分])”才能删除。 

如果您打算使用“Alert Data Pruning(警报数据清除)”(“IPS Settings(IPS 设置)” | “Maintenance(维护)” | “Alert 

Data Pruning(警报数据清除)”)以删除警报和数据包日志数据,McAfee 建议您在“Maximum Alert Age(警报最大 

寿命)”字段中输入一个值(如 90,表示 90 天)。这样,您既可以分析警报和数据包日志的长期数据,又不会让数据 

库负担上百万的记录,数据库负担过重可能影响数据库的长期和总体性能。将该值设为 90 天后,就会在每天的计划 

时间删除 90 天之前的全部警报和数据包日志。 

假设您为“Maximum Alert Age(警报最大寿命)”字段设置的值为 90 天,为“Max Alert Quantity(警报最大数量)”字 

段设置的值为 10000。那么在计划的时间时,Manager 将删除所有 90 天以上的警报,并检查警报和数据包日志的 

数量是否小于或等于 10000。如果数量大于 10000,则 Manager 将删除最旧的警报和数据包,直到数量小于或等 

于 10000。 

您还可以使用 Threat Analyzer 删除警报。但这只会将警报标记为要在数据库中删除。要从数据库中永久删除这些警 

报,您需要使用 dbadmin.bat 实用工具或 purge.bat 实用工具中的“DB Purge(数据库清除)”功能。在“Alert Data 

Pruning(警报数据清除)”“IPS Settings(IPS 设置)” | “Maintenance(维护)” | “Alert Data Pruning(警报数据清 

除)”)过程中执行的计划内警报和数据包日志清除对于标记为删除的警报没有任何影响。删除已标记为要删除的警报 

是一个耗时的过程。因此,要删除标记为要删除且寿命小于在“Maximum Alert Age(警报最大寿命)”字段中所指定值 

的警报,需要使用 dbadmin.bat 或 purge.bat 实用工具并手动删除这些警报。另请注意,必须停止 Manager 才能运 

行 dbadmin.bat。 

建议您不要输入过大的值(如 500,表示 500 天),因为这要求数据库具备存档 500 天警报的容量。您的需求将决定需 

要维护警报的天数。如果必须保存数百天内的警报,请确保 Manager 服务器上具有必需的硬盘空间,或定期备份您 

的警报表。 

可以使用 purge.bat 实用工具或 dbadmin.bat 实用工具维护警报和数据包日志数据。也就是说,对于警报和数据包日志, 

尽可能不计划磁盘空间维护。 


3 



• Purge.bat 实用工具:Manager 安装随附了警报和数据包日志数据的维护实用工具 purge.bat( 

\App\bin\purge.bat)。该实用工具可让您按需删除数据库中的警报和数据包日志数据。可以删除指定天数以前的旧 

警报和数据包日志,也可以删除通过 Threat Analyzer 工具打上删除标记的警报和数据包日志。使用 purge.bat,还 

可以在完成清除后,立即自动启动数据库优化实用工具 dbtuning.bat。这个实用工具可保证正确维护您的数据库,以 

便继续保持最佳性能。 

另请参阅 

备份 Manager(或 Central Manager)数据第 99 页 

使用 dbadmin.bat 进行备份第 104 页 

为 Manager(或 Central Manager)自动执行备份第 100 页 

使用 dbadmin.bat 还原数据第 106 页 

数据库优化 

如果不定期重新优化数据,关系数据库就会随时间的推移出现性能问题。您可通过定期诊断、修复和优化数据库内部组 

件,确保数据库最佳性能。McAfee 提供了一系列 Manager 界面操作(“Manager” | “Database Tuning(数据库优化)”) 

和独立的实用工具(“dbadmin.bat”)来维护数据库性能。 

您还可以使用“dbtuning.bat”来优化 Network Security Platform 数据库。但是,McAfee 强烈建议您针对所有的数据库管理 

任务使用“dbadmin.bat”。 

数据库优化功能会执行以下操作: 

• 整理表中由于拆分或删除行/列而产生的碎片 • 计算查询优化程序统计数据 

• 重排索引 • 检查和修复表 

• 更新索引统计数据 

定期(建议最短一个月)执行数据库优化。完成时间取决于数据库中警报/数据包日志的数量以及您的 Manager 服务器的 

物理硬件平台性能。 

执行离线数据库优化时,您必须关闭 Manager 服务以保证正常执行。McAfee 建议在计划重新优化数据库时,将此停机时 

间计划在内。您的 McAfee ® Network Security Sensor (Sensor) 可以继续运行和生成警报,因为它们内置了警报缓冲区。 

优化 Manager 数据库 

“Database Tuning(数据库优化)”选项卡上的操作可计划或启动对 MySQL 数据库的优化。 

McAfee 建议至少每月进行一次数据库优化。为了实现最佳性能,每周优化一次可获得最好的结果。 

图 3-16 数据库优化 

另请参阅 

自动进行数据库优化第 95 页 

按需数据库优化第 95 页 

查看当前数据库优化状态 

“Tuning Status(优化状态)”操作(“/My Company(我的公司)/Manager” | “Database Tuning(数据库优化)” | “Tuning 

Status(优化状态)”提供 Manager 或 Network Security Central Manager (Central Manager) 上数据库优化操作的当前状 

态。 

对于 Central Manager,可以从“/My Company(我的公司)/Central Manager” | “Database Tuning(数据库优化)” | 

“Tuning Status(优化状态)”查看优化状态。 


此对话框显示以下的一项或多项信息: 

• “Start Time(开始时间)”:进行中的优化开始的时间。 

• “Status(状态)”:显示优化处于已开始、进行中还是空闲状态。 

• “End Time of Latest Tuning(上次优化的结束时间)”:上次数据库优化的时间。 

单击“Refresh(刷新)”将对话框更新为最新状态。如果在对话框打开期间有其他用户启动了优化过程,刷新后就可以看 

到当前的状态。 

图 3-17 “Database Tuning Status(数据库优化状态)”对话框 

按需数据库优化 

要按需优化 Manager 数据库,请执行以下操作: 

任务 

1 选择“Manager” | “Database Tuning(数据库优化)” | “Now(立即)”。 

要按需优化 Central Manager 数据库,请选择“Central Manager” | “Database Tuning(数据库优化)” | “Now(立即)”。 

2 选择要优化的表,可以是“All Tables(所有表)”或者仅“Event Tables(事件表)”。 

3 单击“Start(启动)”。 

“All Tables(所有表)”为整个数据库(即所有配置、用户活动和警报信息)提供备份,而 “Event Tables(事件表)”为警 

报事件、数据包日志事件、主机事件和 Sensor 性能事件提供备份。 

图 3-18 “Database Tuning Now(立即优化数据库)”对话框 

另请参阅 

优化 Manager 数据库第 94 页 

自动进行数据库优化 

将数据库优化计划设置于不执行其他计划功能(存档、备份、文件维护)的时间内。计划的时间应与其他计划操作的时间 

相距至少一个小时。 

要计划数据库优化,请执行以下操作: 




3 



任务 

1 选择“Manager” | “Database Tuning(数据库优化)” | “Automation(自动)”。 

要在 Central Manager 中计划数据库优化,请选择“Central” | “Manager” | “Database Tuning(数据库优化)” | 

“Automation(自动)”。 

图 3-19 数据库优化计划程序 

2 在“Enable Scheduled Tuning?(启用计划的优化?)”处选择“Yes(是)”。 

3 选择数据库优化发生于一周中的哪天(“Recur every(循环周期)”)。 

4 使用“Hr(时)”和“Min(分)”下拉菜单选择过程开始时间。 

5 选择要优化的表,可以是“All Tables(所有表)”或者仅“Event Tables(事件表)”。 

请注意“Last Tuning time(上次优化时间)”。它表示上一次数据库优化过程的发生时间。 


这样,数据库优化过程就会在配置的日期和时间内自动运行。 

7 (可选)单击“Refresh(刷新)”以清除当前更改并查看上次保存的配置。 

8 (可选)单击“View Scheduler Detail(查看计划程序详细信息)”转到“Scheduled Tasks(计划任务)”页。 

此页显示 Manager 中所有的计划任务。 

图 3-20 “Scheduled Task(计划任务)”页 

9 单击“Back(上一步)”返回到“Automation(自动)”页。 

另请参阅 

优化 Manager 数据库第 94 页 

数据库备份和恢复 

只有保护数据库免受硬件和软件故障影响,才能确保配置和/或鉴证数据的可用性和可靠性。McAfee ® Network Security 

Platform 在 McAfee ® Network Security Platform(Manager)“Configuration(配置)”页中的“Manager” | “Backing Up(备 

份)”下提供备份功能。此功能也可通过独立的工具“Database Backup and Restore Tool(数据库备份还原工具)” 

(\App\bin\dbadmin.bat)实现。 

您还可以使用 dbbackup.bat 来备份和还原数据。但是,强烈建议您使用“dbadmin.bat”来进行所有数据库管理任务。 

在 Manager 中,可以按照所设置的计划执行备份(“Automation(自动)”),也可以按需备份(“Now(立即)”)。该独立工 

具不但可以执行备份,而且还是可以执行备份还原的唯一工具。 


执行备份时,您可以备份以下表(“Backup Types(备份类型)”): 

• “All Tables(所有表)”:备份所有信息,包括配置、警报和审核。出于磁盘空间考虑,默认情况下“不”启用此选项。 

备份“All Tables(所有表)”时,请使用“Now(立即)”操作。 

强烈建议您“每月”保存一次“All Tables(所有表)”设置。 

• “Config Tables(配置表)”:仅备份与配置的任务有关的表信息。默认情况下,“启用”此选项,在每周六晚上执行。 

该选项是在“Schedule(计划)”操作中设置的。 

强烈建议您“weekly(每周)”保存一次配置设置。 

• “Audit Tables(审核表)”:仅备份用户活动信息和警报信息。备份的这些数据对脱机分析来说非常有用。默认情况 

下,“不启用”此选项。请使用“Now(立即)”操作。 

另请参阅 

使用数据库管理工具第 103 页 

备份数据和设置第 97 页 

数据库存档 

我们还建议您存档数据库来保护数据库免受硬件和软件故障的影响。保存之后,可供第三方(如 Crystal Reports)检索 

存档,也可供自己今后检索。 

如果出现数据库问题,您可将存档的数据库发送给技术支持部门。 

McAfee 建议您将数据库存档到以下位置作为系统数据冗余,以节省 Manager 服务器磁盘空间: 

• 网络映射驱动器 • 数据库复制 

• CD‑ROM/DVD‑ROM • 安全的 FTP 

• Manager 服务器上的多磁盘 RAID 存储区 

保护备份 

为了确保备份的可用性,McAfee 建议您在临时或非生产性 Manager 服务器上执行以下系统性备份还原测试操作。 

为了确保备份的完整性,McAfee 建议您使用 MD5/SHA–1 之类的单向哈希函数,创建所有备份文件的数码“指纹”来检测 

篡改行为。 

以下是保护备份的几个一般规则: 

• 避免创建额外的数据库用户帐户。 

• 阻止远程访问数据库的活动。 

• 限制访问数据库安装目录中的物理数据文件。 

备份数据和设置 

“Backing Up(备份)”选项卡操作可按需或者按设置的计划备份您的 McAfee ® Network Security Platform 数据。强烈建议 

您定期备份数据(警报、保存的报告和日志等)和配置设置,以维护系统的完整性。 

图 3-21 “Backing Up(备份)”选项卡 



恢复保存的数据必须使用独立的“Database Admin tool(数据库管理工具)”。该工具将在本章中作说明。 


3 



“Backing Up(备份)”选项卡和独立的工具可提供以下功能: 

• 备份 Manager 数据:将您的数据保存至 Manager 服务器、网络服务器或 zip 驱动器等设备。 

• 为 Manager 计划备份:设置 McAfee ® Network Security Manager (Manager) 数据的备份频率。 

• 使用数据库管理工具:通过独立数据库管理工具备份和还原。 

• 使用数据库管理工具备份 

• 使用数据库管理工具恢复数据 

另请参阅 

数据库备份和恢复第 96 页 

最佳备份和还原方法 

在备份“All Tables(所有表)”或“Audit Tables(审核表)”之前,建议关闭McAfee ® Network Security Manager 

(Manager)。因此,McAfee 建议使用独立数据库管理工具(而不是 Manager )来执行此类备份。 

数据还原只能通过独立工具进行。 

请注意,对于成功备份和还原 Network Security Platform 数据有以下建议: 

• 使用哈希函数,如 MD5 或 SHA‑1 等为文件创建数字指纹,从而使备份不会遭篡改。 

• 在发生重要更改(如创建管理域、添加 McAfee ® Network Security Sensor (Sensor)、配置端口和添加/修改策略)后 

对数据进行备份。 

• 使用“All Tables(所有表)”和“Audit Tables(审核表)”选项备份时,备份可能会非常大,具体取决于数据库中的警报 

数据量。McAfee 建议将这些类型的备份数据保存至备用位置,最好备份到备用系统。 

• 在计划备份时,请将备份置于不执行其他计划功能(存档、数据库优化)的时间内。计划的时间应与其他计划操作的 

时间相距至少一个小时。 

• 在还原数据时,请注意将会覆盖数据库中相关表的所有信息。例如,在恢复“Config Tables(配置表)”备份时,将覆 

盖数据库配置表中所有当前信息。因此,将丢失任何未作备份的更改,而还原为备份中的数据。 

• 执行 MySQL 备份时,正在备份的表置于“READ LOCAL LOCK(本地读取锁定)”状态。尽管新记录将不会在备份中 

显示,但在备份过程中,可以将这些新记录插入这些表中。但是,不允许在备份过程中更新/修改现有记录。备份时, 

无法执行以下活动: 

• 修改配置 • 添加审核日志条目 

• 确认和删除警报 • 清除警报和数据包日志 

• 确认和删除故障 • 执行数据库优化。 

• 在备份时,新警报和数据包日志继续添加到数据库中。 

• 如果在数据库备份或还原过程中出现问题,请在完成下列任务之后重试: 

• 从防病毒扫描中排除下列 MySQL 目录: 

• data 

• innodbdata 

• 新建目录,如 c:\mysqltmp,它将作为 MySQL 数据库的临时目录。如果系统有多个物理磁盘,McAfee 会建议您 

在未安装 Network Security Platform 和 MySQL 的驱动器上创建该目录,以有效地分散负载。 

• 在 \\\mysql\my.ini 文件的 [mysqld] 部分包含以下条目:“tmpdir=c:/ 

mysqltmp” 

• 重新启动 Network Security Platform 和 MySQL 服务。 


备份 Manager(或 Central Manager)数据 

您可以将 Manager 数据备份到 Manager 服务器或者与 Manager 相连的其他介质(如磁带驱动器)上。备份文件默认保 

存在 Manager 程序安装文件夹 \App\Backups 中。 

上述情况还适用于 Network Security Central Manager (Central Manager)。 

要使用 Manager 服务器备份 Manager 数据,请执行以下操作: 

任务 

1 选择“Manager” | “Backing Up(备份)” | “Now(立即)”。 

图 3-22 立即备份页 

要备份 Central Manager 数据,请选择“K” | “Backing Up(备份)” | “Now(立即)”。所显示的字段与 Manager 中的字 

段相似,如下所述。 

2 选择下面的一种“Type(类型)”选项。以下选项将用于备份信息,如下所述: 

图 3-23 备份类型选项 

• “All Tables(所有表)”:为整个数据库(即所有配置、用户活动和警报信息)提供备份。 

• “Audit Tables(审核表)”:提供与用户活动和 Manager 健康状况相关的备份信息。 

• “Config Tables(配置表)”:为 Manager 配置提供备份。 



• “Event Tables(事件表)”:将备份警报事件、数据包日志事件、主机事件和 Sensor 性能事件。 

• “Trend Tables(趋势表)”:将备份警报事件和 Sensor 性能事件的趋势模式(每天/每周/每月)。备份中还包括首 

次发现的攻击的统计数据。 

在执行“All Tables(所有表)”或“Audit Tables(审核表)”备份时,请不要修改现有的数据库记录,因为备份时不允 

许进行此类修改。 

3 键入“Target File Name(目标文件名)”。您可以使用字母数字字符,包括连字符和下划线(例如“backup_01‑10‑03”)。 

4 (可选)在“Alternate Target Backup Directory(备用目标备份目录)”中键入默认值以外的其他位置。 


3 



5 (可选)在“Description(描述)”中键入备份的描述。 

6 单击“Backup(备份)”。 

数分钟之后,将出现以下消息:“Successfully backed‑up data.(已成功备份数据。)”备份信息将出现在“Previous 

Backups(以前的备份)”列表中。在备份位置,具有备份文件名的 XML 文件中包含了在“Description(描述)”字段中 

输入的描述。 

另请参阅 

数据库维护和优化第 93 页 

可以通过选中“Previous Backups(以前的备份)”列表中与所需的先前备份相对应的单选按钮并单击“Export(导出)”按 

钮,将选定的备份导出到所选位置。可以使用“Delete(删除)”按钮删除在“Previous Backup(以前的备份)”列表中选 

择的备份。 

为 Manager(或 Central Manager)自动执行备份 

“Schedule(计划)”操作可用来计划对系统配置的备份。通过设置计划,您还可以采用其他配置工作,而无须经常手动保 

存工作。计划备份默认保存在安装文件夹中: 

• “Event Tables(事件表)”:有关警报事件、数据包日志事件、主机事件和 Sensor 性能事件的信息。 

• “Trend Tables(趋势表)”:警报事件和 Sensor 性能事件的趋势模式(每天/每周/每月)。备份中还包括首次发现 

的攻击的统计数据。 

在执行“All Tables(所有表)”或“Audit Tables(审核表)”备份时,不要修改现有的数据库记录,因为不允许进行此 

类修改。 

5 (可选)键入不同于默认目录的“Backup Directory(备份目录)”。 


图 3-24 备份计划程序 

另请参阅 


维护系统数据和文件 

使用 Manager 节点下的“Maintenance(维护)”选项卡可以执行以下操作: 

设置文件清除计划:计划删除系统配置操作生成的系统数据和文件(日志、诊断等)。 

图 3-25 “维护”选项卡 

另请参阅 

设置文件清除计划第 101 页 

设置文件清除计划 

“File Pruning(文件清除)”操作可设置从 Manager/数据库中删除生成的日志数据和文件的计划。这些数据或文件由管理 

员通过各种系统配置操作生成,并含有系统功能各个方面的详细信息。这些系统文件会由于新数据的不断添加而变得越 

来越大。文件清除功能允许在下一计划时间或达到设置的天数后删除某一日志中的数据或整个静态文件。定期执行删除 

可节省 Manager 服务器的磁盘空间,从而让整体性能有所提高。 

删除计划程序的工作方式如下:首先,设置每天文件清除发生的时间;该设置位于“Maintenance Scheduler(维护计划 

程序)”设置下面。然后,对于每种文件类型,通过“Scheduled Deletion(计划删除)”将文件设置成达到一定的天数/大小 

后即将其删除。到了要删除文件的日期,就会在设置的每日执行时间进行删除。 

将文件清除计划设置在不执行其他计划功能(存档、备份、数据库优化)的时间内执行。计划的时间应与其他计划操作的 

时间相距至少一个小时。 

要计划删除 Manager 和数据库文件,请执行以下操作: 

任务 

1 选择“Manager” | “Maintenance(维护)” | “File Pruning(文件清除)”。 



要在 Central Manager 中计划文件清除操作,请选择“Central” | “ Manager” | “Maintenance(维护)” | “File Pruning(文 

件清除)”。 


3 



2 选择“Yes(是)”启用文件自动清除功能。 

这将覆盖表中对单个文件的启用状态。 

3 通过“Recur every(循环周期)”选项选择文件自动清除操作的发生日期。默认设置为周六。 

4 设置选定日期内计划维护发生的时间(“Start time(开始时间)”:以“时:分”格式表示)。默认值为 23:30。 

5 查看您可以设置维护的文件/日志列表: 

• Manager 文件 

每种文件/日志描述文字后面的括号内列出了默认的启用状态。 

• “Diagnostics(诊断)”:通过执行“设备配置手册”中“将诊断跟踪从 Sensor 上载到 Manager”中的步骤所创建的 

文件。(“Yes(是)”) 

• “Sig Files(Sig 文件)(*.bin)”:从将特征码文件从 Manager 更新到 McAfee ® Network Security Sensor 

(Sensor) 的过程中,通过执行更新所有 Sensor 的配置中的步骤所创建的文件。(“No(否)”) 

• “DoS Files(DoS 文件)”:从 Sensor 上载的拒绝服务 (DoS) 配置文件。这些文件是通过执行“设备配置手册” 

中“管理 Sensor 上的 DoS 学习模式配置文件”中的步骤下载的。(“Yes(是)”) 

• “Backup Files(备份文件)”:已保存的 Manager 配置、审查和/或警报数据,通过执行备份和恢复数据中的步 

骤所创建。(“Yes(是)”) 

• “Saved Reports(保存的报告)”:所有已保存的计划报告,通过执行“报告手册”中“计划报告”中的步骤所创建。 

(“Yes(是)”) 

• “Hourly Data Mining(每小时数据挖掘)”:按每小时来删除为分析趋势而收集的资源趋势数据。(“No(否)”) 

• “Daily Data Mining(每天数据挖掘)”:按每天来删除为分析趋势而收集的资源趋势数据。(“No(否)”) 

• “Daily Archival(每天存档)”:计划自动存档时以“Daily(每天)”计划的存档。 

• “Weekly Archival(每周存档)”:计划自动存档时“Weekly(每周)”计划的存档。 

• “Monthly Archival(每月存档)”:计划自动存档时以“Monthly(每月)”计划的存档。 

• 数据库数据 

• “Audit Log(审核日志)”:详细记录用户活动的日志。按时间戳删除数据,永不删除文件本身。此文件可以通 

过执行“管理域配置手册”中“生成用户活动审核”中的步骤来查看。(“Yes(是)”) 

• “Fault Log Data(故障日志数据)”:详细记录系统故障的日志。按时间戳删除数据,永不删除文件本身。 

(“Yes(是)”) 

• “Performance Monitor Raw Data(性能监视器原始数据)”:与性能监控有关的原始数据(每隔 3 分钟从 

Sensor 轮询的数据)。 

• “Performance Monitor Hourly Data(性能监视器每小时数据)”:与性能监控有关的每小时数据。 

• “Performance Monitor Daily Data(性能监视器每天数据)”:与性能监控有关的每天数据。 

• “Performance Monitor Weekly Data(性能监视器每周数据)”:与性能监控有关的每周数据。 

• “Performance Monitor Monthly Data(性能监视器每月数据)”:与性能监控有关的每月数据。 

• “Incident Data(事件数据)”:系统中所有已作删除标记的事件。 

• “Guest User Data(来宾用户数据)”:包含来宾用户信息的日志,只有在启用了 NAC 的情况下才能查看。此 

数据将按照“After(之后)”字段中设置的天数来清除。有关此过程的详细信息,请参阅“McAfee Network 

Security Platform NAC 管理手册”。 

6 为希望在计划时间删除的那些文件类型选择“Yes(是)”。 


7 针对您已启用删除的那些文件类型,键入持续时间,您希望经过该时间后删除那些文件。 

8 完成更改后,单击“Save(保存)”。 

9 (可选)单击“Refresh(刷新)”以更新页面上显示的信息。单击“View Scheduler Details(查看计划程序详细信息)”以 

转到“Scheduled Tasks(计划的任务)”页。 

图 3-26 文件维护计划程序设置 

只有当在“ /Device List(设备列表)” | “Sensor Performance(Sensor 性能)” | “Enable(启用)”中启用了性 

能监控,才会显示有关性能监控的数据。 

另请参阅 

维护系统数据和文件第 101 页 


使用数据库管理工具 

数据库管理工具 (dbadmin.bat) 是一个独立的工具,使用它可以: 

• 备份和还原数据库中的 Network Security Platform 数据。 

• 存档和还原警报和数据包日志。 

• 优化 Network Security Platform 数据库并从中清除不需要的数据。 

• 更改 Network Security Platform 数据库的密码(不是数据库的根密码)。 

在执行以下任务之前需要关闭 Manager: 

• 还原数据备份 

• 数据清除 




3 



• 数据库优化 

• 更改数据库密码 

McAfee 建议在使用数据库管理工具执行数据库备份之前停止 Manager。 

无论 Manager 处于何种状态,都可以在数据库管理工具中执行下列活动: 

• 警报存档 

• 警报还原 

数据库管理工具在 Manager 服务器的 \App\bin\dbadmin.bat 中提供。请注意, 

需要在同一位置执行该工具。 

还可以使用 Manager 来执行上述一些任务。某些任务可能会耗费很多时间和资源。由于该工具的独立特性,当您使用 

该工具执行这些任务时,不会在 Manager 上产生额外的工作负荷。 

如果要使用此工具,则需要提供您的数据库用户名和密码来完成会导致数据库更改的任务。 

如果要使用数据库管理工具来更改数据库用户密码,则需要提供数据库根密码。 

出于跟踪目的,数据库管理工具将显示所有活动控制台消息以及错误消息。 

另请参阅 

数据库备份和恢复第 96 页 

使用 dbadmin.bat 进行备份第 104 页 

使用 dbadmin.bat 还原数据第 106 页 

使用 dbadmin.bat 来存档警报第 108 页 

使用 dbadmin.bat 来还原警报第 108 页 

使用 dbadmin.bat 优化数据库第 110 页 

使用 dbadmin.bat 删除不需要的数据第 112 页 

更改数据库密码第 114 页 

使用 dbadmin.bat 进行备份 

可以使用 Manager 服务器或独立的数据库管理工具来备份 Network Security Platform 数据。但是,您可以使用该工具 

避免在 Manager 上施加其他工作负荷。 

要使用独立的数据库管理工具进行备份,请执行以下操作: 


任务 

1 导航到 \App\bin。 

2 执行“dbadmin.bat”文件。 

即打开该独立工具。 

您还可以使用 dbbackup.bat 来备份和还原数据。但是,系统将指示您使用 dbadmin.bat 来处理所有的数据库管理任 

务。 

图 3-27 数据库管理工具 ‑ 数据库备份选项卡 

3 从“Backup Type(备份类型)”下拉菜单中选择下列选项之一: 

• “All Tables(所有表)”:整个 Manager 数据库(由配置表、用户活动表、事件表和趋势表组成)。 

• “Config Tables(配置表)”:与 Manager 配置有关的信息。 

• “Audit Tables(审核表)”:与用户活动有关的信息。 

• “Event Tables(事件表)”:与事件(如警报、数据包日志、主机和 Sensor 性能)有关的信息。 

• “Trend Tables(趋势表)”:警报事件和 Sensor 性能事件的趋势模式(每天/每周/每月)。 

使用“Event Tables(事件表)”选项备份时,备份可能会非常大,具体情况取决于数据库中的事件数据(即,警报/ 

主机/Sensor 性能指标数据)量。 

在备份“All Tables(所有表)”或“Audit and Alert Tables(审核和警报表)”的过程中不能修改现有的数据库记录。 

4 键入备份“Filename(文件名)”。您可以使用字母数字字符,包括连字符和下划线(例如“backup_01‑10‑03”)。 

5 (可选)在要存储备份的位置键入备份“Directory(目录)”。 



如果没有指定备份目录,则备份将被存储在 \Backups 下的默认备份目录中。 

如果备份目录尚不存在,则将在下创建一个新的目录。 


3 



6 (可选)在“Comments(说明)”中键入备份的说明。 

7 单击“Backup(备份)”。数分钟之后,将出现以下消息:“Database backup successful.(数据库备份成功。)” 

单击“DB Restore(数据库还原)”选项卡,可以查看备份信息。在备份目录中,您将找到具有指定备份文件名的 

XML 文件(JAR 格式)。此文件包含备份说明(如果您已指定)。 

另请参阅 



使用 dbadmin.bat 还原数据 

还原备份数据将返回到原有的Network Security Platform 系统配置,或者返回到原有的警报数据集,或者同时返回两者; 

它们包括不同的 Sensor 端口配置、策略应用等。请注意,在还原过程中必须关闭 Manager 服务器,因此必须停止所有 

的 Manager 活动才能完成还原。 

当还原配置表(“All Tables(所有表)”或“Config Tables(配置表)”)时,必须使用 Sensor CLI 命令 

deinstall 

卸载 Sensor,然后使用 

set Sensor sharedsecretkey 

命令重新安装 Network Security Sensor。如果自上次备份以来您的 Sensor 或接口配置已更改,则可能需要对网段进行重 

新连接,以适应备份配置的监控设置。定期测试备份还原可保障备份的成功和有效性。实现这一目的的最佳途径是对非生 

产性的次 Manager 执行一次测试性备份还原操作。 

在尝试还原备份之前,请注意以下事项: 

• 数据库类型和版本:MySQL 数据库用户只能从 MySQL 数据库导入备份。此外,只有数据库的主要版本与数据库备 

份的主要版本相符,才可以还原备份。例如,MySQL 5.x.x 版的备份只能在使用 MySQL 5.x.x 版数据库的 

Manager 上还原。 

• Manager 软件版本:只有当前 Manager 的主要和次要版本与用来创建备份的 Manager 的主要和次要版本相符,才 

允许进行还原。例如,使用 Manager 6.0 版创建的备份只能在 Manager 6.0 版上还原。 

要使用独立的数据库管理工具进行还原,请执行以下操作: 

任务 

1 停止 Manager 服务器服务。 


3 执行“dbadmin.bat”文件。即打开该独立工具。 

您还可以使用 dbbackup.bat 来备份和还原数据。但是,系统将指示您使用 dbadmin.bat 来处理所有的数据库管理任 

务。 


4 单击“DB Restore(数据库还原)”选项卡。 

图 3-28 数据库管理工具 ‑ 数据库还原选项卡 

5 从表中选择一个备份。 

所有通过数据库管理工具执行的备份都会显示(也就是说,不会显示从其他目录中复制的备份文件)。将鼠标指针置 

于备份上,可查看弹出式文件信息。 

6 单击“Restore(还原)”。 

如果备份文件存储在默认位置以外的其他位置,请使用“Browse(浏览)”按钮找到该文件。 

在还原过程中,需要关闭 Manager。由于关闭了 Manager 的所有通信,因此不会收到从 Sensor 发出的警报数据。 

在此过程中,Manager 系统日志 (ems.log) 将记录“Restore in Progress(恢复进行中)”故障。 

将显示一个弹出信息,提示您输入数据库用户名和密码。 

7 键入数据库的“User Name(用户名)”和“Password(密码)”。这一信息在安装 Manager 时输入。 

对于 MySQL,输入的“不是”MySQL 根管理员密码。 

8 还原进程完成后,将显示以下消息:“Database restore successful, Restart Manager Service.(数据库还原成功,重 

新启动 Manager 服务。)”确保终止所有 Java 进程,然后重新启动 Manager 服务器上的 Manager 服务。 

Manager 服务需要数秒钟重新启动,然后才能登录。 

重新启动 Manager 服务时,确保没有正在运行的 Java 进程。否则,Manager 可能出现错误。 

另请参阅 






3 



使用 dbadmin.bat 来存档警报 

您可以通过 Network Security Platform 用户界面或独立数据库管理工具来存档警报和数据包日志。但是,您可以使用数 

据库管理工具避免对 Manager 服务器施加额外工作负荷。已存档数据存储在 zip 文件中,该文件位于 \App\alertarchival。请注意,对以下表中的数据单独存档: 

• iv_alert 

• iv_alert_data 

• iv_packetlog 

使用独立的数据库管理工具存档警报和数据包日志: 

任务 



3 选择“Archival(存档)” | “Alert Archival(警报存档)”。 

图 3-29 数据库管理工具 ‑ 警报存档设置 

4 通过以下两种方式指定要将数据存档的时间段:使用“Day Picker(日期选择器)”或指定开始日期和时间以及结束日 

期和时间。 

5 单击“Archive(存档)”。此时会出现“Archive Confirmation(存档确认)”对话框。单击“Yes(是)”。 

该进程完成后,已存档的文件将保存到 \App\alertarchival。当您使用此工具 

或 Manager 还原文件时,该文件也会在表中列出。 

另请参阅 


使用 dbadmin.bat 来还原警报 

您可以使用 Network Security Platform 用户界面或独立数据库管理工具来还原已存档的警报和数据包日志。但是,您可 

以使用数据库管理工具避免对 Manager 施加额外工作负荷。 


要还原数据,已存档的数据必须位于 Manager 服务器或可以由 Manager 服务器访问的计算机。您还可以过滤已存档文 

件中的数据,并且只还原过滤后的数据。假定一个已存档的文件中包含在 1 月 1 日和 10 日之间生成的数据,您就可以 

从已存档文件中过滤 1 月 1 日和 5 日之间生成的数据,且仅还原此数据。 

使用独立的数据库管理工具还原警报和数据包日志: 

任务 



3 选择“Archival(存档)” | “Alert Restore(警报还原)”。 

图 3-30 “Database Admin Tools ‑ Archival Alert Restore(数据库管理工具 ‑ 存档警报还原)”选项卡 

4 请执行以下操作: 

a 单击“Browse(浏览)”以找到存档,或键入存档文件的绝对路径名。 



b 从“List of Archived Files(已存档文件列表)”中选择已存档文件,然后单击“Restore(还原)”。 

\alertarchival中的已存档数据在“List of Archived Files(已存档文件列表)” 

下列出。 

5 通过指定开始日期和时间及结束日期和时间来过滤已存档文件中的数据。只从已存档文件中还原在此时间范围内生 

成的那些警报和数据包日志。 

此窗口中默认显示的开始日期和时间及结束日期和时间表示您选择要还原的已存档数据的时间范围。因此,如果选择 

默认日期和时间,则会还原已存档文件中的所有数据。 


3 



6 单击“Restore(还原)”。 

7 输入您的数据库用户名和密码以完成还原过程。 

如果应用过滤,则 Manager 服务器一次只允许还原 300000 个警报。如果存档中包含 300000 个以上的警报,并且已 

设置了过滤参数,则您将需要多次执行还原操作。例如,如果应用过滤参数之后存档仍包含 750000 个符合参数的警 

报,则需要执行三次存档:1) 300000 2) 300000 3) 150000。 

另请参阅 


使用 dbadmin.bat 优化数据库 

可以使用 McAfee ® Network Security Platform(Manager) 或独立的数据库管理工具来优化 McAfee ® Network Security 

Platform 数据库。但是,您可以使用该工具避免对 Manager 施加额外的工作负荷。不过,请注意,在使用 Manager 

时,可以选择优化,或只优化数据表。 

您还可以使用“dbtuning.bat”来优化 Network Security Platform 数据库。但是,系统将指示您使用“dbadmin.bat”来处理所 

有的数据库管理任务。 

要使用独立的数据库管理工具优化 Network Security Platform 数据库,请执行以下操作: 

任务 




3 选择“Maintenance(维护)”。此时将显示“Database Tuning Operations(数据库优化操作)”窗口。 

图 3-31 数据库管理工具 ‑ 数据库优化 

4 单击“Tune Database(优化数据库)”。此时将显示“Database Tuning Completed(数据库优化已完成)”消息,以指示 

已成功优化。 

另请参阅 


使用 purge.bat 删除数据库中的警报和数据包日志 

除了使用“Alert Pruning(警报清除)”操作删除警报和数据包日志以外,还可以使用“purge.bat”来删除这些文件。要采用 

这种方法,请执行以下操作: 

任务 

1 停止 Manager 服务。 


• 打开 Network Security Platform 安装文件夹并运行 “purge.bat”:\App\bin 

\purge.bat 

• 打开 DOS 命令提示符对话框,并键入以下字符:\App\bin\purge.bat 

3 回答以下问题: 

a Is the Manager Down or Off‑Line (Y/N)?(Manager 是否关闭或脱机(是/否)?) 



在使用“purge.bat”之前,必须先禁用 Manager 服务。如果没有禁用该服务,则清除操作不会继续进行。 


3 



b Do You Wish To Perform DB Tuning After The Purge Operation (Y/N)?(您是否希望在清除操作后执行数据库优 

化(是/否)?) 

警报和数据包日志数据警报 

您可以单独执行数据库优化和清除操作。 

a 输入“Number of days of Alerts and Packet Log data to be preserved(要将警报和数据包日志数据保留的天 

数)”。例如,要删除 90 天前的警报/数据包日志,请键入 90。 

b 输入“Number of Alerts to be preserved(要保留的警报数)”。 

c You Are About To Delete Alerts And PacketLog Data Older Than X Days(您将要删除 X 天之前的警报和数据包 

日志数据)。键入“Y”继续操作。 

d Do You Wish To Purge Alerts / Packet Logs That Have Been 'Marked For Delete' Through The Attack Manager? 

(您是否希望删除已通过攻击管理器“标记为删除”的警报/数据包日志?)键入“Y”继续操作。 

主机事件数据 

a Number of days of Host Event data to be preserved(要将主机事件数据保留的天数)。 

b Number of Host Entries to be preserved(要保留的主机条目数)。描述可以保留的 NAC 主机条目数。 

c You Are About To Delete Host Event Data Older Than X Days(您将要删除 X 天之前的主机事件数据)。键入 

“Y”继续操作。 

d If The Number of Remaining Hosts Is Still More Than XXX, Deletion Will Be Continued Until It Reaches XXX(如 

果剩余主机的数量仍大于 XXX,则将继续删除,直到其数量达到 XXX 为止)。键入“Y”继续操作。 

e Do You Wish To Purge Performance Monitoring Data [Y/N](是否要清除性能监控数据 [是/否])。键入“Y”继续操 

作。 

Sensor 性能数据 

a Number of days of Raw performance data to be preserved(要将原始性能数据保留的天数)。 

b Number of days of Hourly performance data to be preserved(要将每小时性能数据保留的天数)。 

c Number of days of Daily performance data to be preserved(要将每天性能数据保留的天数)。 

d Number of weeks of weekly performance data to be preserved(要将每周性能数据保留的周数)。 

e Number of months of monthly performance data to be preserved(要将每月性能数据保留的月数)。 

f You Are About To Delete Raw Performance Data Older Than X Days, Hourly Data Older than X Days, Daily 

Data Older than X Days, Weekly Data Older Than X Weeks, Monthly Data Older Than X Months.Are you sure 

you want to proceed (y/n):(您将删除 X 天前的原始性能数据、X 天前的每小时数据、X 天前的每天数据、X 周前 

的每周数据、X 月前的每月数据。是否要继续(是/否):)键入“Y”进行删除。 

a 完成之后,重新启动 Manager 服务。 

使用 dbadmin.bat 删除不需要的数据 

可以使用独立的数据库管理工具从 McAfee ® Network Security Platform 数据库中删除任何冗余的数据(包括警报和数据 

包日志)。还可以使用 Manager 删除数据。有关详细信息,请参阅“Maintenance Tab(维护选项卡)”一节。 

要使用独立的数据库管理工具从 Network Security Platform 数据库中清除不需要的数据,请执行以下操作: 

任务 

1 确保 Manager 已关闭。 



3 执行“dbadmin.bat”文件。即打开独立的数据库管理工具。 

您还可以使用 dbpurge.bat 从 Network Security Platform 数据库中删除不需要的数据。但是,McAfee 强烈建议您针 

对所有数据库管理任务使用 dbadmin.bat。 

4 选择“Maintenance(维护)” | “DB Purge(数据库清除)”。 

此时将显示“Alert and Packet Log/Host Event Deletion Tool(警报和数据包日志/主机事件删除工具)”窗口。 

图 3-32 数据库管理工具 ‑ 数据库清除选项卡 



5 指定是否要“Perform DB Tuning after the Purge Operation(在清除操作后执行数据库优化)”。您可以单独执行数据 

库优化和清除操作。 

警报和数据包日志数据 

1 键入“Number of days of Alerts and Packet Log data to be preserved(要将警报和数据包日志数据保留的天 

数)”。例如,要删除 90 天前的警报和数据包日志,则键入 90。可以指定介于 0 和 9999 之间的值。 

2 键入数据库中“Number of Alerts to be preserved(要保留的警报数)”。可以指定一个介于 0 到 1000000 之间的 

值。 

例如,如果对于“Number of days of Alerts and Packet Log data to be preserved(要将警报和数据包日志数据保 

留的天数)”输入 30,对于“Number of Alerts to be preserved(要保留的警报数)”输入 2000,则数据库中将只保 

留在过去 30 天内生成的、最新的 2000 个警报和数据包日志。 

主机事件数据 

1 键入“Number of days of Host Event data to be preserved(要将主机事件数据保留的天数)”:可以指定一个介 

于 0 到 9999 之间的值。 

2 键入“Number of Host Entries to be preserved(要保留的主机条目数)”:描述可以保留的 NAC 主机条目数。可 

以指定一个介于 0 到 9999 之间的值。 

例如,对于“Number of days of Host Event data to be preserved(要将主机事件数据保留的天数)”输入 60,对于 

“Number of Host Entries to be preserved(要保留的主机条目数)”输入 6000。假设 Manager 数据库将 NAC 主机事 

件数据保留 100 天。当您单击“Purge(清除)”时,最早 40 天的主机事件将被首先删除。在最近 60 天的剩余主机事 


3 



件中,如果有 8000 个主机条目,则将删除其中的 2000 个主机条目。如果只剩下 5000 个条目,则将保留所有这些 

条目。 

Sensor 性能数据 

该工具首先考虑在“Number of days of Host Event data to be preserved(要将主机事件数据保留的天数)”中输入的 

值,而不考虑在“Number of Host Entries to be preserved(要保留的主机条目数)”中输入的值。 

1 使用以下字段指定要保留的 Sensor 性能数据: 

1 “Number of days of Raw performance data to be preserved(要将原始性能数据保留的天数) ” 

2 “Number of days of Hourly performance data to be preserved(要将每小时性能数据保留的天数)” 

3 “Number of days of Daily performance data to be preserved(要将每天性能数据保留的天数)” 

4 “Number of weeks of weekly performance data to be preserved(要将每周性能数据保留的周数)” 

5 “Number of months of monthly performance data to be preserved(要将每月性能数据保留的月数)” 

可以指定一个介于 0 到 9999 之间的值。 

在指定完要保留的数据量之后,请单击“Purge(清除)”。 

如果出于某种原因中止清除,已清除的数据将无法恢复。 

如果已选择在清除后进行优化,则清除完成后将优化数据库。 

另请参阅 


MySQL 数据库的数据包数据库表索引 

为了尽可能提高 MySQL 数据库的效率,我们建议您使用下面的 SQL 命令来为 MySQL 数据库中的 iv_packetlog 表建立 

索引。这会改进警报和数据包日志删除期间的性能,并缩短在执行数据库清除任务时使系统处于脱机状态的时间长度。 

请注意,索引建立过程非常耗时,您的系统可能会在索引建立期间无法正常工作。 

从 MySQL 命令行发出以下 SQL 命令: alter table iv_packetlog add index (creationTime); 

更改数据库密码 

您可以使用独立的数据库管理工具更改 Network Security Platform 数据库密码。请注意,此密码“不是”MySQL 根密码。 

在更改密码时,必须停止 McAfee ® Network Security Manager (Manager)。 

要更改 Network Security Platform 数据库密码,请执行以下操作: 

任务 




3 选择“Maintenance(维护)” | “Password Change(密码更改)”。 

图 3-33 数据库管理工具 ‑ 密码更改选项卡 

4 在相应的字段中分别输入当前密码和新密码。 

确保没有将密码字段留空,也没有再次将当前密码作为新密码输入。 

5 在“Confirm password(确认密码)”字段中输入新密码,以确认该新密码。 

6 单击“OK(确定)”。 

7 输入 MySQL 根密码(在 Manager 安装过程中指定)。 



另请参阅 


从“External Authentication(外部身份验证)”选项卡,您可以查看身份验证详细信息、配置 RADIUS 服务器和 LADP 服 

务器/活动目录。 

图 3-34 外部身份验证选项卡 


配置外部身份验证 3 


3 



查看身份验证详细信息 

“Summary(摘要)”操作用于显示当前为McAfee ® Network Security Platform (Manager) 配置的身份验证服务,包括 

RADIUS 和 LDAP 身份验证。列出的详细信息包括以下各项: 

• 是否启用 LDAP 或 RADIUS 身份验证 

• 服务器主机名称或 IP 地址 

• LDAP 或 RADIUS 服务器端口 

• 是否启用 SSL 

要在 Manager 中查看身份验证详细信息,请选择“Manager” | “External Authentication(外部身份验证)” | “Summary(摘 

要)”。 

要在 Central Manager 中查看身份验证详细信息,请选择“Central Manager” | “External Authentication(外部身份验证)” 

| “Summary(摘要)”。所显示的详细信息与如上所述 Manager 中的详细信息相似。 

图 3-35 身份验证详细信息 

在 Manager 中配置 RADIUS 服务器 

远程身份验证拨号用户服务(RADIUS)是一个诸如网络访问等应用程序所使用的 AAA(身份验证、授权和记帐)协议。 

使用调制解调器连接到 Internet 时,您需要输入用户名和密码。此信息会经过网络访问设备 (NAD),然后通过 

RADIUS 协议传到 RADIUS 服务器。RADIUS 服务器会使用如 PAP、CHAP 和 EAP‑MD5 等身份验证方案检查信息是 

否正确。如果信息被接受,则服务器会授予访问权限。 

您可以使用 Manager 在 Manager 级别配置 RADIUS 服务器。您最多可以在 Manager 上配置 4 台 RADIUS 服务器。如 

果因网络故障第一台 RADIUS 服务器无法通信,Manager 会尝试与第二台服务器或第三台服务器通信。如果身份验证 

在任何可用的服务器上都失败,则 Manager 不会与其他可用的服务器进行通信。 

RADIUS 操作允许您使用 RADIUS,在 RADIUS 服务器上对现有用户进行身份验证。McAfee ® Network Security 

Platform 支持 RADIUS 身份验证的 PAP、CHAP 和 EAP‑MD5 方案。 

图 3-36 RADIUS 服务器配置 

在 Manager 中,可以从“Manager” | “External Authentication(外部身份验证)” | “RADIUS Servers(RADIUS 服务器)” 

配置 RADIUS 身份验证。 

在 Central Manager 中,可以从“Central Manager” | “External Authentication(外部身份验证)” | “RADIUS Servers 

(RADIUS 服务器)”配置 RADIUS 身份验证。 


另请参阅 

添加 RADIUS 服务器第 117 页 

删除 RADIUS 服务器第 118 页 

编辑 RADIUS 服务器第 118 页 

测试连接状态第 118 页 

添加 RADIUS 服务器 

要在 Manager 中添加 RADIUS 服务器配置,请执行以下操作: 

任务 

1 选择“Manager” | “External Authentication(外部身份验证)” | “RADIUS Servers(RADIUS 服务器)” 


要在 Central Manager 中添加 RADIUS 服务器,请选择“Central Manager” | “External Authentication(外部身份验 

证)” | “RADIUS Servers(RADIUS 服务器)”。 

此时将显示“Add a RADIUS Server(添加 RADIUS 服务器)”页。 

图 3-37 RADIUS 服务器 

3 在“Enable RADIUS(启用 RADIUS)”旁边选择“Yes(是)”。 

4 键入 RADIUS 的“Server Name or IP Address(服务器名称或 IP 地址)”,此地址为 IPv4 或 IPv6 地址。 

因为 Network Security Platform 不检查服务器名称是否有效,所以只能使用有效的服务器名称。有效服务器名是配 

置 RADIUS 服务器的主机名。 

键入 RADIUS 的“Server Port(服务器端口)”。端口号应介于 0 到 65535 之间(默认值为 1812)。 

5 键入 Manager 和 RADIUS 服务器上所需的“Shared Secret Key(共享密钥)”。共享密钥与配置过程中在 RADIUS 服 

务器中输入的密钥相同。 

6 选择“Connection Time Out(连接超时)”(毫秒)。 

此时间确定 Manager 应等待进行身份验证的时间。在发生超时之前,将尝试连接三次,因此您输入的值是在超时之 

前的每两次尝试之间 Network Security Platform 所等待的时间长度(默认值为 6000 毫秒)。 

7 (可选)单击“Test Connection(测试连接)”验证 Manager 能否连接到 RADIUS 服务器。 

如果启用 Manager 灾难恢复 (MDR),则必须在 RADIUS 服务器中注册主 Manager 和次 Manager 的 IP 地址。 

8 单击“Save(保存)”以保存更改。 

如果在 Central Manager 上配置 RADIUS 服务器,并且 RADIUS 服务器位于专用网络中,而 Manager 位于公共网络 

中,那么需要在 Manager 中自定义 RADIUS 配置,这样它才能通过经过转换的公共 IP 地址接入 RADIUS 服务器。 

另请参阅 

在 Manager 中配置 RADIUS 服务器第 116 页 

为 Manager 灾难恢复 (MDR) 做准备第 80 页 




3 



编辑 RADIUS 服务器 

任务 

1 选择“Manager” | “External Authentication(外部身份验证)” | “RADIUS Servers(RADIUS 服务器)”。 

要在 Central Manager 中编辑 RADIUS 服务器,请选择“Central Manager” | “External Authentication(外部身份验 


2 选择服务器,然后单击“Edit(编辑)”。 

您可以启用或禁用 RADIUS 服务器。您还可以更改服务器端口或连接超时值。 

3 按照“添加 RADIUS 服务器”中的步骤执行操作。 


另请参阅 


删除 RADIUS 服务器 

任务 


要在 Central Manager 中删除 RADIUS 服务器,请选择“Central Manager” | “External Authentication(外部身份验 


2 选择所需的服务器,然后单击“Delete(删除)”。 

3 在确认是否删除 RADIUS 服务器的页中单击“OK(确定)”。 

即会删除该 RADIUS 服务器。 

另请参阅 


测试连接状态 

任务 


要在 Central Manager 中测试 RADIUS 服务器设置的连接状态,请选择“Central Manager” | “External Authentication 

(外部身份验证)” | “Central Manager” “RADIUS Servers(RADIUS 服务器)”。 

2 选择服务器,然后单击“Test Connection(测试连接)”。 

确认 Manager 能否连接到 RADIUS 服务器。 

另请参阅 


配置 LDAP 服务器/Active Directory 

轻型目录访问协议 (LDAP) 是一组用于访问信息目录的协议。LDAP 在 TCP/IP 之上运行,任何类型的 Internet 访问都需 

要 TCP/IP。LDAP 用于查找加密证书,指向网络中打印机和其他服务,并提供跨多个服务的单点登录。 

LDAP 适合任何种类的类目录信息,在此要求快速查找和较少更新。 


您可以使用 Manager 在 Manager 级别配置 LDAP 服务器。您最多可以在 Manager 上配置 4 台 LDAP 服务器。如果因 

网络故障第一台 LDAP 服务器无法通信,Manager 会尝试与第二台服务器或第三台服务器通信。如果身份验证在任何可 

用的服务器上都失败,则 Manager 不会与其他可用的服务器进行通信。 

LDAP 操作可以使您使用 LDAP,在 LDAP 或 Active Directory (AD) 服务器上对现有用户进行身份验证。 

图 3-38 LDAP 服务器配置 

在 Manager 中,可以从“Manager” | “External Authentication(外部身份验证)” | “LDAP Servers(LDAP 服务器)”配置 

RADIUS 身份验证。 

在 Central Manager 中,可以从“Central Manager” | “External Authentication(外部身份验证)” | “LDAP Servers(LDAP 

服务器)”配置 RADIUS 身份验证。 

另请参阅 

添加 LDAP 服务器第 119 页 

删除 LDAP 服务器第 120 页 

编辑 LDAP 服务器第 120 页 

测试连接状态第 121 页 

添加 LDAP 服务器 

要在 Manager 中添加 LDAP 服务器配置,请执行以下操作: 

任务 

1 选择“Manager” | “External Authentication(外部身份验证)” | “LDAP Servers(LDAP 服务器)”。 


要在 Central Manager 中添加 LDAP 服务器,请选择“Central Manager ” | “External Authentication(外部身份验证)” 

| “LDAP Servers(LDAP 服务器)”。 

此时会显示“Add an LDAP Server(添加 LDAP 服务器)”页。 

图 3-39 Adding LDAP Server(添加 LDAP 服务器) 

3 在“enable LDAP(启用 LDAP)”旁边选择“Yes(是)”。 

4 要使用 SSL 加密,请选中“SSL Enabled(SSL 已启用)”复选框。 



如果您启用 SSL 并使用第三方 SSL 证书(如 Verisign、Thawte 等),则提供的完全限定域名 (FQDN) 或 IP 地址必须 

与 SSL 证书中的相同。 

如果启用 SSL,则默认 LDAP 服务器端口为 636。如果禁用 SSL,则默认 LDAP 服务器端口为 389。 


3 



5 键入 LDAP 的“Server Name or IP Address(服务器名称或 IP 地址)”,此地址为 IPv4 或 IPv6 地址。 

因为 Network Security Platform 不检查服务器名称是否有效,所以只能使用有效的服务器名称。有效服务器名是配 

置 LDAP 服务器的主机名。 

6 键入“LDAP Server Port(LDAP 服务器端口)”。端口号必须介于 0 到 65535 之间。 

7 (可选)单击“Test Connection(测试连接)”验证 Manager 能否连接到 LDAP 服务器。 

8 单击“Save(保存)”以保存更改。 

如果在 McAfee ® Network Security Central Manager (Central Manager) 上配置 LDAP 服务器,并且 LDAP 服务器位 

于专用网络中,而 Manager 位于公共网络中,那么需要在 Manager 中自定义 LDAP 配置,这样它才能通过经过转换 

的公共 IP 地址接入 LDAP 服务器。 

另请参阅 

配置 LDAP 服务器/Active Directory 第 118 页 

编辑 LDAP 服务器 

任务 


要在 Central Manager 中编辑 LDAP 服务器,请选择“Central Manager” | “External Authentication(外部身份验证)” 


2 选择服务器,然后单击“Edit(编辑)”。 

您可以启用或禁用 LDAP 服务器。您还可以更改服务器端口值,并启用或禁用 SSL。 

3 按照“添加 LDAP 服务器”中的步骤执行操作。 


另请参阅 


删除 LDAP 服务器 

任务 


要在 Central Manager 中删除 LDAP 服务器,请选择“Central Manager” | “External Authentication(外部身份验证)” 


2 选择所需的服务器,然后单击“Delete(删除)”。 

3 在确认是否删除 LDAP 服务器的页中单击“OK(确定)”。 

随即会删除该 LDAP 服务器。 

另请参阅 



测试连接状态 

任务 


要测试 LDAP 服务器和 Central Manager 连接状态,请选择“Central Manager” | “External Authentication(外部身份 

验证)” | “LDAP Servers(LDAP 服务器)”。 

2 选择服务器,然后单击“Test Connection(测试连接)”。 

确认 Manager 能否连接到 LDAP 服务器。 

另请参阅 



通过使用 Manager 选项卡,可以指定代理服务器和电子邮件服务器、配置全剧自动确认、设置审核日志参数、添加 

Manager 登录横幅并限制 Manager 访问权限。 

图 3-40 “Miscellaneous(其他)”选项卡 

指定用于 Internet 连接的代理服务器 

如果您使用代理服务器来连接到 Internet,可以将 Manager 或设备配置为连接到该服务器以使用代理服务。如果您想将 

更新直接从更新服务器下载到 Manager 中,或者希望在与 TrustedSource 集成的过程中下载主机信誉和发源地所在的 

国家/地区等信息,这点尤为必要。 

Manager 支持应用层 HTTP/HTTPS 代理,如 Squid、iPlanet、Microsoft Proxy Server 和 Microsoft ISA。 

要使用 Microsoft ISA,必须使用基本身份验证配置此代理服务器。Network Security Platform 在 NTLM (Microsoft LAN 

Manager) 身份验证中不支持 Microsoft ISA。 

Network Security Platform 当前不支持网络级别的代理 SOCKS。 

要指定代理服务器,请执行以下操作: 

任务 

1 选择“Manager” | “Misc(其他)” | “Proxy Server(代理服务器)”或“Device List(设备列表)” | “Misc(其他)” | “Proxy 

Server(代理服务器)”。将显示“Proxy Server(代理服务器)”页。 

图 3-41 代理服务器设置 


指定其他 Manager 服务器功能 3 

2 键入“Proxy Server Name or IP Address(代理服务器名称或 IP 地址)”。这可以为 IPv4 或 IPv6 地址。 


3 



3 键入代理服务器的“Proxy Port(代理端口)”。 

4 键入“User Name(用户名)”和“Password(密码)”。 

5 提供相应的 URL。您可以通过测试以确保连接正常,方法是输入“Test URL(测试 URL)”,然后单击“Test Connection 

(测试连接)”。 

6 单击“Save(保存)”以保存设置。 

当 Manager 或设备成功建立连接时,它会显示一条表示代理服务器设置有效的消息。 

指定通知电子邮件服务器 

使用“E‑mail Server(电子邮件服务器)”操作,可以将 Manager(或 Central Manager)配置为指向某个电子邮件服务器, 

以向外发送系统电子邮件。例如,这些电子邮件可能是已通过选择“Email(电子邮件)”或“Pager(寻呼机)”设置其优先 

级的安全通知。使用此操作,还可以指定系统电子邮件的发件人地址。 

要配置用于通知的邮件服务器,请执行以下操作: 

任务 

1 选择“Manager(或 Central Manager)” | “Misc(其他)” | “E‑mail Server(电子邮件服务器)”。 

图 3-42 邮件服务器配置 

2 提供以下信息: 

• “Enable E‑mail Forwarding?(是否启用电子邮件转发?)”:选择“Yes(是)”允许向电子邮件服务器发送通知,或 

选择“No(否)”禁止向电子邮件服务器发送通知。 

• “SMTP Server Name or IP Address(SMTP 服务器名称或 IP 地址)”:电子邮件服务器的 IP 地址或名称。请注 

意,可以在“SMTP Server Name or IP Address(SMTP 服务器名称或 IP 地址)”中输入 IPv4 或 IPv6 地址。 

• “Sender E‑mail Address(发件人电子邮件地址)”:邮件发送方的电子邮件地址。 

• “Server Authentication Required?(是否需要服务器身份验证?)”:选择“Yes(是)”允许对登录凭据进行身份验证, 

或选择“No(否)”不对登录凭据进行身份验证。 

• “Login Name(登录名称)”:属于“From:(发件人:)”帐户 

• “Password(密码)”:属于“From:(发件人:)”帐户 

3 单击“Save(保存)”以保存所做的更改。 

配置全局自动确认 

使用“Global Auto Acknowledgment(全局自动确认)”功能配置自动确认: 


任务 

1 导航到“Manager” | “Misc(其他)” | “Global Auto Acknowledgement(全局自动确认)”。 

图 3-43 全局自动确认 

2 选中“Yes(是)”选项启用“Global Auto Acknowledgement(全局自动确认)”。 

在全新安装的 Network Security Platform 中,此选项在默认情况下处于启用状态。 

3 指定要自动确认的攻击的“Auto‑Acknowledge non‑RFSB Alerts(自动确认非 RFSB 警报)”。 

例如,如果您指定 2(低),则 Manager 将会考虑严重性级别等于或低于 2 的所有攻击。默认值为 3(低)。 

4 指定是否需要自动确认 McAfee 建议阻止 (RFSB) 的攻击。默认选项为“No(否)”。 


设置审核日志参数 

设置审核日志参数可以确定显示与用户活动相关的哪些信息。您可以选择是否查看针对管理域和用户所执行的操作(创 

建、编辑、指定角色)、针对 Manager 所执行的操作(备份、更新服务器设置)以及针对 McAfee ® Network Security 

Sensor 所执行的操作(添加、配置端口)等。通过禁用任一类别,您将不会看到与该资源有关的用户操作。 

要选择用户审核参数,请执行以下操作: 




3 



任务 

1 选择“Manager(或 Central Manager)” | “Misc(其他)” | “Audit Log Setting(审核日志设置)”。 

图 3-44 审核日志参数 

下表显示的是不同 Manager 模式下的审核日志类别。 

IPS 模式 NAC 模式 IPS 及 NAC 模式 

Admin Domain(管理域) 

User(用户) 


Sensor 

IPS Policy(IPS 策略) 

Report(报告) 

Update Server(更新服务器) 

Operational Status(工作状态) 

Threat Analyzer 

NTBA 

FIPS Self Test(FIPS 自测试) 

2 选择您要启用的类别。 


添加 Manager 登录横幅 


User(用户) 


Sensor 





NAC 

NTBA 


User(用户) 


Sensor 

IPS Policy(IPS 策略) 





NAC 

NTBA 

使用登录横幅选项,可以将贵公司的徽标(或任何其他相关图像)和自定义文本上载到 Manager 登录页。 

横幅图像的尺寸必须为 100x35 像素,而且仅支持 .jpeg 和 .png 文件。其他尺寸的横幅图像将调整为 100x35。 

要上载登录横幅,请执行以下操作: 


任务 

1 选择“Manager(或 Central Manager)” | “Misc(其他)” | “Logon Banner(登录横幅)”。 

图 3-45 登录横幅 

2 提供以下信息: 

• “Enable(启用)”:选择“Yes(是)”允许显示登录横幅,或者选择“No(否)”不显示登录横幅。“” 

• “Banner Text(横幅文本)”:键入要显示的所需文本。 

• “Banner Image(横幅图像)”。浏览到要上载的横幅图像并选择它。 

• “Current banner Image(当前横幅图像)”:指定当前横幅图像。 


限制 Manager 访问 

默认情况下,任意主机可从任意 IP 地址访问 McAfee ® Network Security Platform(Manager)/McAfee ® Network Security 

Central Manager (Central Manager)。通过从“MISC(其他)”选项卡中启用“GUI Access(GUI 访问)”并定义授权主机/网 

络的列表来允许访问特定主机。 

图 3-46 “GUI Access(GUI 访问)”选项卡 

您需要至少拥有一个授权主机才能启用 GUI 访问。 

在用户活动日志中记录了授权主机和未授权主机对您的 Manager 的所有访问尝试,您可以从该页中的“View User 

Activity Audit Log(查看用户活动审核日志)”链接访问此日志。 

另请参阅 

启用 GUI 访问第 125 页 

启用 GUI 访问 

在 Manager 中,配置授权主机: 




3 



任务 

1 选择“Manager” | “Misc(其他)” | “GUI Access(GUI 访问)” | “Access Control(访问控制)”。 

在 Central Manager 中,选择“Central Manager” | “GUI Access(GUI 访问)” | “Access Control(访问控制)”。所显示 

的字段与 Manager 中的字段相似,如下所述。 

图 3-47 GUI 访问控制配置 

2 对于“Allow Access to this Web‑Based User Interface from(允许从以下位置访问这个基于 Web 的用户界面)”选择 

“Any host(任何主机)”。默认值为“Any Host(任何主机)”。 

“Enable Audit Logging for Access Attempts by(启用以下主机所进行的访问尝试的审核日志记录)”选项将突出显示。 

选择“Authorized hosts(已授权的主机)”或“Unauthorized hosts(未授权的主机)”并单击 “View User Activity Audit 

Log(查看用户活动审核日志)”链接以查看审核日志消息。 


现在,您可以定义要访问您的 Manager 的主机的列表。这可以通过添加、编辑和删除 CIDR 网络来完成。 

另请参阅 

限制 Manager 访问第 125 页 

从“访问控制”添加网络 

可以在 Manager 的“Access Control(访问控制)”选项卡中输入 IPv4 或 IPv6 地址。 

要在“Access Control(访问控制)”选项卡中添加网络,请执行以下操作: 

任务 

1 选择“Manager” | “GUI Access(GUI 访问)” | “Access Control(访问控制)”。 




此时会显示“Add a Network(添加网络)”页。 

图 3-48 添加网络对话框 

3 在“Network(网络)”中,输入 IP 地址(IPv4 或 IPv6)和前缀长度。 

输入“Description(描述)”,这是可选的操作。 

4 单击“Submit(提交)”。 


编辑 CIDR 网络 

任务 




2 选择所需的 CIDR 网络,然后单击“Edit(编辑)”。 

此时会显示“Edit the Network(编辑网络)”页。 

3 编辑所做的更改并单击“Save(保存)”。 

删除 CIDR 网络 

任务 




2 选择所需的 CIDR 网络,然后单击“Delete(删除)”。 

3 在确认是否删除该 CIDR 网络的页中单击“OK(确定)”。 

即会删除该 CIDR 网络。 

用户活动日志错误消息 

故障名称故障说明故障类型 

Authorized hosts(已授权的主机) “已授权的主机 ”已被允许访问用户界面(尝试次数:“< 

尝试次数>”) 

Unauthorized hosts(未授权的主 

机) 



“未授权的主机 ”已被拒绝访问用户界面(尝试次数:“< 

尝试次数>”) 

McAfee ® Network Security Platform 7.0 Manager 管理手册 127 

用户 

用户

3 




4 

通过 Threat Analyzer 进行监控 

Threat Analyzer 用于分析由 McAfee ® Network Security Platform [以前称为 McAfee ® IntruShield ® ] Sensor 检测到且由集 

成的 Host Intrusion Prevention 服务器处理的警报。Threat Analyzer 与应用到 McAfee ® Network Security Sensor 和 

Host Intrusion Prevention Sensor 的策略一起使用。 

在 Sensor 检测到违反现行安全策略的传输时,就会编制违规传输的信息并将该“攻击”数据以警报形式发送到 McAfee ® 

Network Security Manager。警报的详细信息包括传输数据(如数据包中的源 IP 地址和目标 IP 地址),以及 Sensor 执 

行的安全分析信息(如攻击类型和严重性等)。系统按警报的发生顺序把它们备份到数据库中。 

安全分析信息可由特征码匹配、设置阈值参数和流量级别中的异常峰值决定。所有这些测量行为都是通过配置和应用策略 

实现的。 

Threat Analyzer 将在不同于 Manager 主页的一个独立浏览器窗口中打开,集中显示警报分析信息。打开 Threat 

Analyzer 后,需要指定一个时间范围来检索数据库中的警报。Manager 将检索符合条件的警报,并将它们显示在 

Threat Analyzer 中。通过检查和确认警报,您可以使用分析所得的信息了解系统弱点,修改防御措施。 

目录 

如果您在打开 Threat Analyzer 会话的同时更改了配置,那么 Threat Analyzer 中将反映不出实际的配置更改。必须关闭然 

后重新打开 Threat Analyzer 才能看到所做的更改。配置更改可以包括下列几种情况:更改 VIPS 策略,将一个端口对分 

成两个单端口并在每个端口上分别应用独立的策略;将用户定义的特征码导出到 Manager 的攻击数据库中,然后将包含 

自定义攻击的策略应用到 VIPS;以及对策略应用产生影响的更改操作,等等。 

定义术语 

警报的生命周期 

了解警报缓存和数据库 

Host Intrusion Prevention 警报 

导航到 Threat Analyzer 

Network Security Central Manager 中的警报汇集 

查看警报信息显示板 

查看警报详细信息 

查看主机详细信息 

使用事件查看器 

查看主机鉴证 

设置首选项 

定义术语攻击是指任何违反已设置的 Network Security Platform 策略参数的行为。警报是指一个或多个攻击实例。 

在很多情况下,一个警报表示检测到一个攻击。如果在两分钟内(默认时间)检测到多个相同攻击(相同的来源 IP、目 

标 IP、特定的攻击名称和 VIPS [检测到警报的接口或子接口 ID])的实例,就会生成一个多攻击警报。所有攻击的数据 

都将归入一个警报实例。不过,您也可以选择配置显示在一个警报中的限制攻击数量(有关详细信息,请参阅“McAfee 

Network Security Platform 设备管理手册”中的“配置数据包日志响应的警报抑制”)。Threat Analyzer 的两个主视图都区 

分攻击和警报,因此说明二者之间的差异非常重要。 


4 




另请参阅 

导航到 Threat Analyzer 第 132 页 

警报有以下三种存在状态: 

• Unacknowledged(未确认) 

• Acknowledged(已确认) 

• Marked for deletion(标记为删除) 

警报被触发后,它将以未确认的状态出现在 McAfee ® Network Security Manager (Manager) 中。Unacknowledged(未 

确认)表示您尚未将其标记为Acknowledged(已确认),以正式认可它的出现。在您确认或删除警报之前,它将一直 

以未确认状态存在。 

未确认的警报显示在主页的“Unacknowledged Alert Summary(未确认的警报摘要)”部分中以及“Real‑Time Threat 

Analyzer(实时 Threat Analyzer)”。确认警报会使它们从这些视图中消失。已确认的警报仅显示在“Historical Threat 

Analyzer(历史 Threat Analyzer)”和报告中。 

删除警报就是确认该警报并将其标记为删除。直到计划的“Disk Space Maintenance(磁盘空间维护)”操作执行之后,才 

会真正删除警报。届时,McAfee Network Security Platform 将删除那些标记为删除的警报,以及那些符合计划程序中 

指定的删除条件的警报,例如 30 天前的警报(不管是否将它们手动标记为删除)。 

系统按警报的发生顺序把它们备份到数据库中。删除警报时,系统将从数据库中删除警报。 


了解警报缓存和数据库 

Threat Analyzer 工具按如下方式运行:Manager 接收来自 Sensor 的警报,并按照时间戳组织排列警报,最新的警报排 

列在最前面。所有警报都保存在数据库中,并在缓存(称为警报缓存)中保留预设数量的最新警报。警报缓存只包含未确 

认的警报,仅供“Real‑Time Threat Analyzer(实时 Threat Analyzer)”查询使用;“Historical Threat Analyzer(历史 

Threat Analyzer)”查询只检索数据库中的警报。 

图 4-1 警报缓存和数据库工作方式 

插图 

中的 

字母 

描述 

(a) Manager 接收报告 Sensor 发来的全部警报。这些警报将被发送到警报缓存和数据库。 


了解警报缓存和数据库 4 

(b) 警报缓存的缓冲区开始溢出后,就会丢弃缓存中最旧的警报。因为丢弃的警报没有进行任何更改,所以数据库 

中的该警报仍将保留,缓存中的该警报将被删除。 

©) 启动“Real‑Time View(实时视图)”查询,请求 x 个警报。这些警报是从警报缓存中检索来的。 

(d) 如果实时分析过程中警报为已确认或已删除,已更改的警报文件就会转发至数据库,并使用最新更改的警报文 

件更新数据库中的警报文件。“Real‑Time Threat Analyzer(实时 Threat Analyzer)”与数据库之间的交互是单向 

的,也就是说,可以从“Real‑Time Threat Analyzer(实时 Threat Analyzer)”推送警报记录更改,但 

“Real‑Time Threat Analyzer(实时 Threat Analyzer)”不接收数据库中的任何数据。 

(e) 在实时分析期间,将每 5 秒刷新一次视图,从警报缓存中接收报告的新警报。由于“Real‑Time Threat Analyzer 

(实时 Threat Analyzer)”一次显示的警报数量有限,所以将丢弃最旧的警报以便显示新警报。因为丢弃的警报 

没有进行任何更改,所以数据库中的该警报仍将保留,缓存中的该警报将被删除。 

(f) “Historical(历史)”查询仅从数据库中检索警报,所以警报缓存和“Historical(历史)”查询之间不存在交互活动。 

因为“Historical Threat Analyzer(历史 Threat Analyzer)”只请求特定时间范围内的警报,所以不会刷新显示更 

新的警报。任何警报文件变更(确认、删除等)都会即时保存到数据库中。因此,“Historical Threat Analyzer(历 

史 Threat Analyzer)”可以直接从数据库中检索警报记录并将警报记录推送到数据库中。 


4 




如果启用了与 Host Intrusion Prevention 的集成,那么,当您在 ePO 控制台上启动 Host Intrusion Prevention 服务器 

时,Host Intrusion Prevention 警报便立即开始显示。所有的 Host Intrusion Prevention 警报数据都由 Manager 解析和 

编排格式,以使其样式与 Network Security Platform 警报样式类似。请注意以下几点: 

• Host Intrusion Prevention 所发送的警报由 Host Intrusion Prevention 服务器维护。 

• 所有的 Host Intrusion Prevention 警报都属于“Exploit(利用漏洞)”警报。 

• 您不能对 Host Intrusion Prevention 警报发出响应。任何响应都必须通过 Host Intrusion Prevention 控制台发送。 

• 如果 Host Intrusion Prevention 警报在通过 Integrator 发送之前处于“Mark as Read(标记为已读)”状态,该警报在 

Manager 中将显示为“Acknowledged(已确认)”。因此,任何“Mark as Read(标记为已读)”的警报都只能使用 

“Historical Threat Analyzer(历史 Threat Analyzer)”查询来查看。 


您可以在 Manager 主页的Unacknowledged Alert Summary(未确认的警报摘要)部分中查看警报的整体摘要。 

此视图显示登录域中的所有未确认的警报。在 Threat Analyzer 内,使用多个视图提供警报的详细分析信息。并按照影 

响系统的严重级别组织分类信息:“High(高)”、“Medium(中)”、“Low(低)”和“Informational(信息)”。 ) 

图 4-2 导航到 Threat Analyzer 

项目描述 

1 按严重性分类的未确认警报 

2 当前“受监控的域” 

3 单击以打开实时 Threat Analyzer 

4 单击以打开历史 Threat Analyzer 

要查看警报的进一步详细信息,请从 Manager 中选择“Real‑time Threats(实时威胁)”或“Historical Threats(历史威 

胁)”。 

将打开 Threat Analyzer 主页,默认情况下,其中会显示“Dashboards(信息显示板)”视图。 

加载 Threat Analyzer 需要数秒钟。 

您可以一次打开多个 Threat Analyzer 窗口。还可以从同一个客户端同时打开“Real‑Time Threat Analyzer(实时 Threat 

Analyzer)”和“Historical Threat Analyzer(历史 Threat Analyzer)”。 


Threat Analyzer 可以显示的警报数量与您的系统内存有直接关系。由于您可以通过本地主机或远程连接访问 Manager, 

因此这将取决于您登录 Manager 所使用的计算机。当 Threat Analyzer 中至少有 10000 个警报时,每个警报(包括代码 

库和 Java 虚拟机)占用的内存大约是 1 KB;少于 10000 个警报时,每个警报占用的内存要多一些。McAfee 建议系统 

使用 1 GB 的 RAM,这样可以处理的警报总数会高达 1000000 个。如果可用内存没有达到最低要求或设置不正确,则 

可能出现内存问题。 

另请参阅 

定义术语第 129 页 

实时 Threat Analyzer 

“Real‑Time Threat Analyzer(实时 Threat Analyzer)”将攻击过滤器设置为显示从警报缓存检索到的、指定数量的未确认 

警报。“Real‑Time Threat Analyzer(实时 Threat Analyzer)”在打开之后会经常刷新以显示 Sensor 检测到的警报,让您 

实时查看所发生的警报。 

历史 Threat Analyzer 

“Historical Threat Analyzer(历史 Threat Analyzer)”可用于对过滤器进行设置,以检索在指定时间内存档于数据库中的 

已确认和未确认警报的信息。“Historical Threat Analyzer(历史 Threat Analyzer)”不会用新警报进行刷新,您可以专心 

分析请求的时间范围内的全部警报。 

选择“历史 Threat Analyzer”的时间约束 

从 Network Security Platform Security Manager 主页选择“Historical Threat Analyzer(历史 Threat Analyzer)”,将显示 

“Historical Constraints(历史约束)”页。 

图 4-3 设置“历史 Threat Analyzer”的参数 

任务 

1 选择“Start Time(开始时间)”和“End Time(结束时间)”,以查看数据库中的警报历史数据。 

2 (可选)单击“More Constraints(更多约束)”,以选择历史查询的过滤参数。 

图 4-4 设置“历史 Threat Analyzer”的其他参数 


导航到 Threat Analyzer 4 


4 



下面是可用于过滤历史警报数据查询的参数: 

• “Start Time(开始时间)”:时间范围的开始日期和时间。格式为“yyyy‑mm‑dd hh:mm:ss”。 

• “End Time(结束时间)”:时间范围的结束日期和时间。格式为“yyyy‑mm‑dd hh:mm:ss”。 

• “Additional Constraints(其他约束)”:此功能仅用于过滤历史警报。打开该对话框后,可以设置以下一个或多个 

查询参数,缩小“Historical Threat Analyzer(历史 Threat Analyzer)”的分析范围: 

• IP Address Type(IP 地址类型):IPv4 或 IPv6 • Destination Port(目标端口) 

• Source IP(来源 IP) • Attack(攻击) 

• Source Port(来源端口) • Sensor 

• Destination IP(目标 IP) • Application Protocol(应用协议) 

3 完成后,单击“OK(确定)”。 

对于历史查询,对搜索操作可以从数据库中查看的最大警报数进行了限制。亦即,如果在选定的开始到结束时间段 

内共有 130000 个警报,您将只能看到这段时间内最新的 100000 个警报。 

深入分析场景示例 

本例着重分析出自特定来源 IP 地址的攻击。对于此场景,来源 IP 为 172.26.23.145,选择了历史搜索来查找最近 2 个 

月内来自这个来源 IP 的全部攻击。要查找特定于这个来源 IP 地址的信息,请执行以下操作: 

任务 

1 打开“Historical Threat Analyzer(历史 Threat Analyzer)”。“End Time(结束时间)”显示的是当前系统时间。配置 

“Start Time(开始时间)”为两个月前的时间,也就是更改月份字段(yyyy‑“mm”‑dd),然后单击“OK(确定)”。 

2 从 Threat Analyzer 的“Detail View(详细信息视图)”窗口中选择“Drilldown(深入分析)”,然后选择“Source IP(来 

源 IP)”作为类别。 

3 在“Count View(计数视图)”表的“Source IP(来源 IP)”列中查找 172.26.23.145。 

4 找到之后,选择(左键单击)172.26.23.145 这一行,然后单击鼠标右键显示进一步的深入分析选项。 

5 选择“Drilldown(深入分析)”,然后选择“Attack(攻击)”查看来自 172.26.23.145 的攻击。 

6 重复步骤 4 和步骤 5以继续深入分析 172.26.23.145,查看“Severity(严重性)”、“Destination IP(目标 IP)”地址和其 

他深入分析类别,获得这个来源 IP 地址的鉴证分析。 


Threat Analyzer 主页 

Threat Analyzer 主页是 Threat Analyzer 的中心界面,默认情况下会显示“Dashboards(信息显示板)”页的“NSP Health 

(NSP 健康状况)”选项卡。“Dashboards(信息显示板)”页按逻辑分为 2 个部分:顶部的菜单栏和靠下的显示区域。 

图 4-5 “Summary(摘要)”视图:IPS 选项卡 

项目描述 

1 菜单栏区域 


菜单栏区域:Threat Analyzer 主页的菜单栏为您提供了以下导航选项: 

• “Dashboards(信息显示板)”:链接到 Threat Analyzer 的“NSP Health(NSP 健康状况)”视图页。“Dashboards(信息 

显示板)”页提供两个默认的信息显示板,它们分别是“NSP Health(NSP 健康状况)”和“IPS”。 

• “Alerts(警报)”:链接到 Threat Analyzer 的“Alerts View(警报视图)”页。其中按发生顺序列出选定时间范围内的全 

部攻击。 

• “Hosts(主机)”:链接到“Hosts(主机)”页。您可以查看 NAC 主机和 IPS 主机的列表。 


导航到 Threat Analyzer 4 

• “Incident Viewer(事件查看器)”:链接到“Incident Viewer(事件查看器)”页。您可以按照参数创建用户生成的事件 

来跟踪警报。 

• “Host Forensics(主机鉴证)”:链接到“Host Forensics(主机鉴证)”页。您可以查看 ePO 和 Vulnerability Manager 

扫描信息。 

• “Preferences(首选项)”:链接到“Preferences(首选项)”页。使您可以亲自设置与 Threat Analyzer 功能和显示有关 

的各种选项。 


4 



Display Area(显示区域):“Dashboards(信息显示板)”视图页的显示区域为“NSP Health(NSP 健康状况)”和“IPS”默 

认的信息显示板提供如下数据: 

• “NSP Health(NSP 健康状况)”:Sensor TCP/UDP Flow Utilization(Sensor TCP/UDP 流利用率)、Sensor 

Throughput Utilization(Sensor 吞吐量利用率)、Messages from McAfee(来自 McAfee 的消息)、Status of Activities 

(活动的状态)、Operational Status Summary(工作状态摘要)和 Sensor Update Summary(Sensor 更新摘要)。 

• “IPS”:Attack Severity Summary(攻击严重性摘要)、Attack Result Summary(攻击结果摘要)、RFSB Attack 

Summary(RFSB 攻击摘要)、IPS Quarantine Summary(IPS 隔离摘要)、Attacks Over Time (All Alerts, 

Attacks, Result Status, Source IP, Destination IP)(以下时段内的攻击(全部警报、攻击、结果状态、来源 IP 和目标 

IP)。 

• “NAC”:System Health Summary(系统健康状况摘要)、McAfee NAC Client Summary(McAfee NAC 客户端摘 

要)、User Type Summary(用户类型摘要)和 System State Summary(系统状态摘要)。 

• “NTBA”:十个默认的 NTBA 监视器。 

自定义信息显示板可以使用“Dashboards(信息显示板)”页右上角上的“Options(选项)”来创建。 

另请参阅 

如何自定义信息显示板和监视器第 140 页 


McAfee ® Network Security Central Manager 为您提供单点登录机制,用于管理跨所有 Manager 配置的全局用户身份验 

证。威胁分析任务是在 Manager 级别执行且在 Network Security Central Manager (Central Manager) 上汇集的。与 

Central Manager 相连的本地 Manager 将新的警报和通知推送到 Central Manager。这些警报在 Central Manager 

Threat Analyzer 中汇集。 

来自 Central Manager 所管理的 Manager 的警报可以从 Central Manager 进行监控和管理。Central Manager 的实时 

Threat Analyzer 将来自本地 Manager 的警报集中在一起并显示它们以用于监控目的。 

Central Manager 的 Threat Analyzer 

Central Manager 中的 Threat Analyzer 将来自与 Central Manager 相连的 Manager 的警报信息汇集在一起。 

Threat Analyzer 用于分析由 McAfee Network Security Sensor 检测到的警报,这些 Sensor 可通过与 Central 

Manager 相连的 Manager 来集成和配置。Threat Analyzer 与应用到 McAfee ® Network Security Sensor 和 Host 

Intrusion Prevention Sensor 的策略一起使用。 

Sensor 检测到违反现行安全策略的传输时,就会编制违规传输的信息并将该“攻击”数据以警报的形式发送给 Manager。 

警报的详细信息包括传输数据(如数据包中的源 IP 地址和目标 IP 地址),以及 Sensor 执行的安全分析信息(如攻击类型 

和严重性等)。系统按警报的发生顺序把它们备份到数据库中。在 Sensor 中生成的警报将在 Central Manager 的 

Threat Analyzer 中汇集和显示。 

安全分析信息可由特征码匹配、设置阈值参数和流量级别中的异常峰值决定。所有这些测量行为都是通过配置和应用策略 

实现的。 

Threat Analyzer 将在不同于 Central Manager 主页的一个独立浏览器窗口中打开,集中显示警报分析信息。Central 

Manager 的 Threat Analyzer 会实时汇集警报。通过检查和确认警报,您可以使用分析所得的信息了解系统弱点,修改 

防御措施。 

如果您在打开 Threat Analyzer 会话的同时更改了配置,那么 Threat Analyzer 中将反映不出实际的配置更改。必须关闭然 

后重新打开 Threat Analyzer 才能看到所做的更改。配置更改可以包括更改 VIPS 策略,将一个端口对分成两个单端口并 

在每个端口上分别应用独立的策略,将自定义攻击导出到 Manager 的攻击数据库中,将包含自定义攻击的策略应用到 

VIPS 中,以及对策略应用产生影响的配置更改操作。 


了解 Central Manager 中的警报汇集和监控 

Central Manager 中的警报监控对本地 Manager 中的警报监控模型进行了扩展。由 Central Manager 管理的本地 

Manager 将警报推送到 Central Manager。来自本地 Manager 的警报会在 Central Manager Threat Analyzer 中汇集。 

与本地 Manager 相连的 Threat Analyzer 所触发的任何更改都放在本地 Manager 中的通知缓存中。这些通知也会发送 

到 Central Manager。一旦 Central Manager 收到这些通知,它会将这些通知排入其通知缓存队列中。 

图 4-6 Central Manager 中的警报汇集 

以下字母对应插图中标示的字母。 

1 提取从 Sensor 接收的实时警报的关键部分并将它们缓存到警报缓存中。 

2 Threat Analyzer 连接到 Manager 以检索实时警报。在本地 Manager 中,在本地 Manager 和 Threat Analyzer 之间 

建立受保护的通信。 

3 每个本地 Manager 都将新的警报和通知推送到 Central Manager。 

4 Central Manager 的 Threat Analyzer 连接到 Central Manager 以检索实时警报。 

从 Central Manager 导航到 Threat Analyzer 

您可以在 McAfee ® Network Security Central Manager 主页的“Unacknowledged Alert Summary(未确认的警报摘要)” 

部分中查看警报的整体摘要。 

此视图显示登录域中的所有未确认的警报。在 Threat Analyzer 内,使用多个视图提供警报的详细分析信息。并按照影 

响系统的严重级别组织分类信息:“High(高)”、“Medium(中)”、“Low(低)”和“Informational(信息)”。有关 McAfee 

Network Security Platform 如何计算严重性级别的详细信息,请参阅“McAfee Network Security Platform IPS 管理手册”。 

图 4-7 导航到 Central Manager Threat Analyzer 


Network Security Central Manager 中的警报汇集 4 


4 



项目描述 

1 按严重性分类的未确认警报 

2 单击以打开实时 Threat Analyzer 

要查看有关警报的详细信息,可以访问 Central Manager 主页中的“Real‑time Threat Analyzer(实时 Threat 

Analyzer)”。 

要开始分析生成的警报,请执行以下操作: 

1 从 Central Manager 主页中选择“Real‑time Threats(实时威胁)”选项。 

2 将打开 Central Manager Threat Analyzer 主页,默认情况下,其中会显示“Dashboards(信息显示板)”视图。 

加载 Threat Analyzer 需要数秒钟。 

您可以一次打开多个 Threat Analyzer 窗口。 

Threat Analyzer 可以显示的警报数量与您的系统内存有直接关系。由于您可以通过本地主机或远程连接访问 Central 

Manager,因此这将取决于您登录 Central Manager 所使用的计算机。当 Threat Analyzer 中至少有 10000 个警报时, 

每个警报(包括代码库和 Java 虚拟机)占用的内存大约是 1 KB;少于 10000 个警报时,每个警报占用的内存要多一 

些。McAfee 建议系统使用 1 GB 的 RAM,这样可以处理的警报总数会高达 1000000 个。如果可用内存没有达到最低要 

求或设置不正确,则可能出现内存问题。 

Central Manager Threat Analyzer 主页 

Central Manager Threat Analyzer 主页是 Threat Analyzer 的集中界面,默认情况下会显示“Dashboards(信息显示板)” 

页。Threat Analyzer 页按逻辑分为 2 个部分:顶部的菜单栏和靠下的显示区域。 

图 4-8 Central Manager Threat Analyzer 主页 

项目描述 

1 菜单栏区域 




• “菜单栏区域”:Threat Analyzer 主页的菜单栏为您提供了以下导航选项: 

• “Dashboards(信息显示板)”:链接到 Threat Analyzer 的“Dashboards(信息显示板)”视图页。“Dashboards(信 

息显示板)”页提供一个默认的信息显示板(即 IPS)。 

• “Alerts(警报)”:链接到 Threat Analyzer 的“Alerts View(警报视图)”页。其中按发生顺序列出选定时间范围内 

的全部攻击。 

• “Preferences(首选项)”:链接到“Preferences(首选项)”页。使您可以亲自设置与 Threat Analyzer 功能和显示 

有关的各种选项。 

• “Display Area(显示区域)”:“Dashboards(信息显示板)”视图页的显示区域为 IPS 默认的信息显示板提供如下数 

据: 

• “IPS”:Attack Severity Summary(攻击严重性摘要)、Attack Result Summary(攻击结果摘要)、RFB Attack 

Summary(RFB 攻击摘要)、IPS Quarantine Summary(IPS 隔离摘要)、Attacks Over Time (All Alerts, 

Attacks, Result Status, Source IP, Destination IP)(以下时段内的攻击(全部警报、攻击、结果状态、来源 IP 和 

目标 IP)。 

• “NTBA”:管理 Network Threat Behavior Analyzer 环境。 

自定义信息显示板可以使用“Dashboards(信息显示板)”页右上角上的“Options(选项)”来创建。 

Central Manager Threat Analyzer 的使用方法与 Central Manager Threat Analyzer 类似。Central Manager 

Threat Analyzer 和 Central Manager Threat Analyzer 的具体区别体现在“使用 Threat Analyzer”中。 

“Dashboards(信息显示板)”页提供以下部分: 

• “NSP Health(NSP 健康状况)”:用来显示 Sensor 工作状态的信息显示板。单击该图表可以查看在每个 Sensor 上 

收到的故障。 

• “IPS”:显示在“Dashboards(信息显示板)”页中的默认信息显示板,用来查看 IPS 警报的摘要。单击 IPS 选项卡上 

的图表可自动转至“Alerts(警报)”页以查看进一步的详细信息。 

• “NAC”:新增加的信息显示板,其中显示 NAC 警报摘要。与在 IPS 选项卡中一样,单击该图表可以转至“Hosts(主 

机)”页。有关详细信息,请参阅“McAfee Network Security Platform NAC 管理手册”。 

• “NTBA”:提供 Network Threat Behavior Analysis (NTBA) 的全套功能。有关详细信息,请参阅“McAfee Network 

Security Platform NTBA 管理手册”。 

NSP 健康状况视图 

在 Central Manager Threat Analyzer 中,“Dashboards(信息显示板)”页提供单个名为“IPS”的信息显示板。 

在“Alerts Dashboards ‑ NSP Health(警报信息显示板 ‑ NSP 健康状况)”选项卡中,可以查看以下内容或执行以下任务: 

• 监控 Sensor TCP/UDP 流利用率:在 Manager 中配置的所有设备的 Sensor TCP/UDP 流利用率状态。 

• 监控 Sensor 吞吐量利用率:在 Manager 中配置的所有设备的 Sensor 吞吐量利用率状态。 

• 查看来自 McAfee 的消息:显示应用于 Sensor 的最新更新和最新版本的特征码集。 

• Status of Activities(活动的状态):显示在 Manager 中配置的所有 Sensor 的状态。 


查看警报信息显示板 4 


4 



• Operational Status Summary(工作状态摘要):显示 Manager 主页上的工作状态。不能按照与操作 Manager 主页上 

的“Operational Status(工作状态)”相同的方式来操作“Operational Status(工作状态)”视图,也就是说,此视图中的 

故障不可选。该视图仅供快速浏览,以便您在不离开 Threat Analyzer 的情况下获得有关系统可能故障的更新信息。 

• Sensor Update Summary(Sensor 更新摘要):显示登录域中 Sensor 软件和特征码集的当前版本。“Update Now(立 

即更新)”按钮用来更新 Sensor 配置。 

图 4-9 信息显示板视图 ‑ NSP 健康状况 

要在实时 Threat Analyzer 中查看“Dashboards(信息显示板)”中的“NSP Heath(NSP 健康状况)”设置,请执行以下操 

作: 

任务 

1 从 Manager 主页单击“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“NSP Health(NSP 健康状况)”选项卡。 

如何自定义信息显示板和监视器 

Threat Analyzer 允许您使用“Dashboards(信息显示板)”页右上角的“Options(选项)”添加自己的信息显示板。您随后 

可以向信息显示板中添加监视器。监视器是用来查看警报和威胁的自定义页面。您可以使用默认的监视器,也可以创建 

自己的监视器。最初添加的信息显示板仅包含一个可用来分配监视器的窗口。 

在分配或创建第一个监视器之后,便可以右键单击刚添加的监视器的名称显示区域,以便垂直或水平拆分该窗口。在拆 

分窗口中,可以添加另一个监视器,以便进一步构建所选信息显示板。可以使用拖放方法来调整每个监视器窗口的大小。 

请注意,在监视器内部,可以通过单击监视器名称显示区域中的小型图标,在以柱状图格式查看警报数据和以饼图格式 

查看警报数据之间切换。 

您可以根据需要创建任意多个信息显示板。如果信息显示板的数量增加,Threat Analyzer 会自动提供滚动条以便于您使 

用。 


使用信息显示板可以执行以下操作: 

• 创建自定义的信息显示板并对它们进行相应的命名/重命名。 • 使用滚动条在多个信息显示板的页面之间前 

后移动。 

• 创建/编辑/删除多个信息显示板。 • 使用“Move left(左移)”/“Move right(右移)” 

按钮移动自定义的信息显示板。 

• 使用切换按钮在默认信息显示板中的两个摘要页面之间切 

换。 

另请参阅 

Threat Analyzer 主页第 135 页 

创建信息显示板 

要创建信息显示板,请执行以下操作: 

任务 

1 从 Manager 主页启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

此时将打开“Dashboards(信息显示板)”页。 

2 单击“Options(选项)” | “Dashboard(仪表板)” | “New(新建)”。 

图 4-10 Threat Analyzer ‑ 信息显示板 

3 输入信息显示板的名称,然后单击“OK(确定)”。 

创建监视器 

不允许在信息显示板名称中使用空格或特殊字符。 

要创建新监视器,请执行以下操作: 




4 



任务 


2 单击“Options(选项)” | “Monitor(监视器)” | “New(新建)”。 

图 4-11 创建监视器 

您也可以在将监视器分配给信息显示板时创建监视器。请参阅“分配新的自定义监视器”。 

3 此时将出现“New Monitor(新建监视器)”对话框。 

4 在“Monitor name(监视器名称)”中键入监视器的名称。 

5 选择要显示为“Data Source(数据源)”的“Alerts(警报)”、“Hosts(主机)”、“Sensor Performance(Sensor 性能)”或 

“NTBA”。 



此时将显示“Display Filter(显示过滤器)”窗口。 

图 4-12 “Display Filter(显示过滤器)”窗口 




4 



7 定义相应的字段,为各个参数赋值,然后单击“Next(下一步)”。 

这些字段列在“Filter Criteria(过滤标准)”中。要选择需要定义的字段,请单击字段旁边显示的向右箭头按钮。要删除 

某个字段,请单击所选字段附近显示的向左箭头按钮。 

图 4-13 向导 ‑“Monitoring(监控)”信息板 

8 使用“Add(添加)”和“Remove(删除)”按钮可根据需要包括或删除字段。您可以使用“Up(向上)”和“Down(向下)” 

按钮按照“Show These Fields in This Order(以此顺序显示这些字段)”来排列字段顺序。 

如果需要移到上一页,请单击“Previous(上一步)”。 


任务 

• 编辑监视器第 145 页 

• 删除监视器第 145 页 

只有超级用户或管理员才能创建监视器。 


编辑监视器 

删除监视器 

任务 

1 单击“Options(选项)” | “Monitor(监视器)”。 

2 单击“Detail(详细信息)”。 

图 4-14 “Edit monitor(编辑监视器)”窗口 

3 从“Custom Monitor(自定义监视器)”列表中选择所创建的监视器,然后单击“Detail(详细信息)”。 

4 定义所需的字段,然后单击“Next(下一步)”。 

5 使用“Add(添加)”和“Remove(删除)”按钮可根据需要包括字段。可以使用“Up(向上)”和“Down(向下)”按钮指定 

顺序。 


任务 

1 单击“Options(选项)” | “Monitor(监视器)”。 

2 单击“Delete(删除)”。 

图 4-15 “Delete Monitor(删除监视器)”窗口 

3 从列表中选择所创建的监视器,然后单击“Delete(删除)”。 

只能对用户创建的监视器进行编辑和删除。 




4 



查看默认的常规监视器 

下面列出了“NSP Health(NSP 健康状况)”下提供的现有监视器: 

• “Utilization ‑ Sensor TCP/UDP Flow(利用率 ‑ Sensor TCP/UDP 流)”:可让您查看 TCP/UDP 流的利用率。 

• “Utilization ‑ Sensor Throughput(利用率 ‑ Sensor 吞吐量)”:可让您查看 Sensor 吞吐量的利用率。 

• “Messages from McAfee(来自 McAfee 的消息)”:使您可以查看来自 McAfee 的任何产品消息或与安全相关的消 

息。此消息可能与以下各项相关:操作系统补丁程序、特征码集版本、Manager 软件更新,等等。 

• “Status of Activities(活动的状态)”:显示系统上被 Network Security Platform 确认为长时间运行的进程且当前正在 

进行的活动的状态。 

• “Operational Status Summary(工作状态摘要)”:使您可以查看工作状态摘要。 

• “Sensor Update Summary(Sensor 更新摘要)”:使您可以更新 Sensor 配置和下载 SSL 密钥。 

要为信息显示板分配“NSP Health(NSP 健康状况)”类型的现有监视器,请执行以下操作: 

任务 

1 单击“Options(选项)” | “Dashboard(信息显示板)” | “New(新建)”以打开“Create New Dashboard(创建新信息显示 

板)”对话框。 

图 4-16 创建新的信息显示板 

2 在“Dashboard Dialog(信息显示板对话框)”中输入新信息显示板的名称。 

图 4-17 “New Dashboard(新建信息显示板)”对话框 

3 单击“Assign Monitor(分配监视器)”,以查看“Assign Monitor(分配监视器)”对话框。 


4 选择“Assign an existing monitor(分配现有的监视器)”。 

图 4-18 Assigning an existing Monitor(分配现有的监视器)‑ General(常规) 

5 在“Category(类别)”下,选择“Default Monitors(默认监视器)”。 

6 在“Type(类型)”下,选择“General(常规)”。 

7 在“Monitor(监视器)”下,选择默认监视器,然后单击“OK(确定)”。 

查看默认的 IPS 监视器 

“IPS”下提供的现有监视器列表为: 

• “Attack Severity Summary(攻击严重性摘要)”:按严重性级别(“High(高)”、“Medium(中)”、“Low(低)”和 

“Informational(信息)”)描写警报比率。 

• “Attack Result Summary(攻击结果摘要)”:按检测到攻击的预计结果(攻击是“Successful(成功)”、“Unknown(未 

知)”、“Failed(失败)”还是“Blocked(已阻止)”,或者警报由可疑攻击触发但不一定是恶意流量)描写警报比率。 

• “RFSB Attack(RFSB 攻击)”:描写建议阻断的 RFSB 攻击数。 



• “IPS Quarantine Summary(IPS 隔离摘要)”:描写已隔离主机的数目,以及未由 Network Security Platform 隔离的 

主机的数目。 


4 



• “Attacks Overtime(超时攻击数)”:描写超时攻击的数量。列出了以下信息: 

• “All Alerts(全部警报)”:以图表显示不同严重性的警报。 • “Source IP(来源 IP)”:显示攻击的来源 

IP 地址。 

• “Attack(攻击)”:显示攻击。 • “Destination IP(目标 IP)”:显示攻击的 

目标 IP 地址。 

• “Result Status(结果状态)”:显示攻击的结果状态(可能 

为成功/可疑/成功/失败)。 

• “New Threats(新威胁数)”:描写新威胁的数量。 

• “Non‑RFSB Attack(非 RFSB 攻击)”:描写不建议阻断 (RFSB) 的攻击的数量。 

要为信息显示板分配现有的 IPS 监视器,请执行以下操作: 

任务 






图 4-19 分配现有的默认监视器 ‑ IPS 


6 在“Type(类型)”中,选择“IPS”。 



另请参阅 

攻击结果状态第 169 页 

查看默认的 NAC 监视器 

下面列出了“NAC”下提供的现有监视器: 

• “McAfee NAC client(McAfee NAC 客户端)”:表示已经检测到的 VPN 员工、来宾用户和本地员工形式的主机的数 

量。 

• “System health(系统健康状况)”:表示具有六个不同系统健康级别的主机数量的柱状图。 

• “System State(系统状态)”:表示当前处于下列任一状态的主机的数量: 

• Guest Portal 所需的标识 • IPS 已隔离 

• 确定 IBAC 策略 • 来宾客户端所需的健康级别 

• 已承认 • 系统健康状况不良 

• “User type(用户类型)”:表示已检测到的 VPN 员工、来宾用户和本地员工形式的主机的数量。 

要为信息显示板分配现有的 NAC 监视器,请执行以下操作: 

任务 

1 单击“Options(选项)” | “Dashboard(信息显示板)” | “New(新建)”,以打开“Create New Dashboard(创建新信息 

显示板)”对话框。 






4 




图 4-20 分配现有的默认监视器 ‑ NAC 


6 在“Type(类型)”下,选择“NAC”。 


查看默认的 NTBA 监视器 

Threat Analyzer 的“Dashboards(信息显示板)”页中的“NTBA”选项卡显示以下默认监视器: 

监视器名称深入分析监视器 

Throughput Enterprise Traffic (Bytes) 

(吞吐量企业流量(字节)) 

不适用 

Host Threat Factor(主机威胁系数) • Host Information(主机信息) • Service Traffic Summary(服务流量摘 

要) 

• Host Profile(主机配置文件) • Application Traffic Summary(应用程 

序流量摘要) 

• DoS Profile(DoS 配置文件) • Active Services(活动服务) 

• Host Interaction Monitor(主机交 

互监视器) 

• Active Applications(活动应用程序) 

• Layer7 Activity(第 7 层活动) • Active Ports(活动端口) 

• Host Traffic(主机流量) • NSLookup Information Monitor 

(NSLookup 信息监视器) 



Traffic Volume (Bytes) ‑ Top Source • Host Information(主机信息) • Layer7 Activity(第 7 层活动) 

Hosts(流量(字节) ‑ 前几个来源主机) 

• Host Profile(主机配置文件) • Host Interaction Monitor(主机交互监视 

器) 

Bandwidth Utilization (%) ‑ Interfaces 

(带宽利用率(%) ‑ 接口) 

• DoS Profile(DoS 配置文件) • NSLookup Information Monitor 


• Interface Traffic ‑ Throughput (bps)(接口流量 ‑ 吞吐量(bps)) 

• Interface Traffic ‑ Packet Rate (pps)(接口流量 ‑ 数据包速率(pps)) 

• Bandwidth Utilization (%)(带宽利用率(%)) 

• Interface Traffic ‑ Show All(接口流量 ‑ 显示全部) 

• Top Bandwidth Consumers(前几个带宽占用者) 

• Service Traffic Summary(服务流量摘要) 

Top Files(前几个文件) Show File Activity(显示文件活动) 

Top URLs(前几个 URL) Show URL Activity(显示 URL 活动) 

Applications Traffic (Bytes)(应用程序 

流量(字节)) 

Protocol Distribution (Bytes)(协议分布 

(字节)) 

Hosts ‑ New (Last 1 day )(主机 ‑ 新(过 

去 1 天)) 

Traffic Volume (Bytes) ‑ Zones(流量 

(字节) ‑ 区域) 

Application Profile(应用程序配置文件) 

不适用 

• Host Information(主机信息) • Active Applications(活动应用程序) 

• Layer7 Activity(第 7 层活动) • Active Ports(活动端口) 

• Active Services(活动服务) • NSLookup Information Monitor 


• Zone Traffic(区域流量) • Zone Files(区域文件) 

• Zone Services Traffic(区域服务流量) • Zone URLs(区域 URL) 

• Top Bandwidth Consumers(前几个带宽 

占用者) 

可以将以下其他默认监视器和自定义监视器分配到新的信息显示板中。 

其他默认监视器 

监视器名称 

• Applications ‑ Active (Last 1 hour)(应用程序 ‑ 活动(过去 1 小时)) 

• Applications ‑ New (Last 1 day)(应用程序 ‑ 新(过去 1 天)) 

• Hosts ‑ Active (Last 1 hour)(主机 ‑ 活动(过去 1 小时)) 

• Services ‑ Active (Last 1 hour)(服务 ‑ 活动(过去 1 小时)) 

• Services ‑ New (Last 1 day)(服务 ‑ 新(过去 1 天)) 

• Services Traffic (Bytes)(服务流量(字节)) 

• Top External Hosts by Reputation(信誉最佳的外部主机) 

• Top URLs by Category(最常见类别 URL) 

• Top URLs by Reputation(信誉最佳的 URL) 



• Zone DoS Profile(区域 DoS 配 

置文件) 


4 



自定义监视器 

NTBA Appliance 类型区域类型 

• Throughput Enterprise Traffic (Bytes)(吞吐量企业流量(字节)) 

• Applications Traffic (Bytes)(应用程序流量(字节)) 


• Bandwidth Utilization (%) ‑ Interfaces(带宽利用率(%) ‑ 接口) 

• Traffic Volume (Bytes) ‑ Zones(流量(字节) ‑ 区域) 

• Host Threat Factor(主机威胁系数) 

• Traffic Volume (bytes) ‑ Top Source Hosts(流量(字节) ‑ 前几个来源主 

机) 

• Applications ‑ Active (Last 1 hour)(应用程序 ‑ 活动(最近 1 小时)) 

• Applications ‑ New (Last 1 day)(应用程序 ‑ 新(过去 1 天)) 

• Services ‑ Active (Last 1 hour )(服务 ‑ 活动(过去 1 小时)) 

• Services ‑ New (Last 1 day)(服务 ‑ 新(过去 1 天)) 


• Top External Hosts by Reputation(信誉最佳的外部主机) 

• Top URLs by Category(最常见类别 URL) 

• Top URLs by Reputation(信誉最佳的 URL) 

• Hosts ‑ Active (Last 1 hour)(主机 ‑ 活动(过去 1 小时)) 

• Hosts New (Last 1 day)(主机 ‑ 新(过去 1 天)) 

• Top URLs(前几个 URL) 

• Top Files(前几个文件) 

• Protocol Distribution (Bytes)(协议分布(字节)) 

警报和扫描 

• Zone Traffic 

Summary(区 

域流量摘要) 

• Zone Service 

Traffic (Bytes) 

(区域服务流量 

(字节)) 

• Zone Files(区域 

文件) 

• Zone URLs(区域 

URL) 

• Top Zone 

Conversations 

(最常见区域会话) 

各种监视器的右键单击菜单中提供了“Start Vulnerability Scan(启动漏洞扫描)”、“McAfee ePO Scan(McAfee ePO 

扫描)”、“Show All Alerts(显示全部警报)”, “Show IPS Alerts(显示 IPS 警报)”和“Show NTBA Alerts(显示 NTBA 警 

报)”选项,如下所示: 

• 如果 Manager 中集成并启用 McAfee Vulnerability Manager 和 McAfee ePO ,则“Traffic Volume (Bytes) ‑ Top 

Source Hosts(流量(字节) ‑ 前几个来源主机)”、“Host Threat Factor(主机威胁系数)”和“Hosts ‑ New (Last 1 day) 

(主机 ‑ 新(过去 1 天))”的右键单击菜单会提供“Start Vulnerability Scan(启动漏洞扫描)”和“McAfee ePO Scan 

(McAfee ePO 扫描)”选项。有关漏洞和 McAfee ePO 扫描的扫描信息显示在 Threat Analyzer 的“Host Forensics 

(主机鉴证)”页中。 

• “Host Threat Factor(主机威胁系数)”监视器的右键单击菜单中提供“Show IPS Alerts(显示 IPS 警报)”和“Show All 

Alerts(显示全部警报)”选项,这些选项会将用户重定向到“Alerts(警报)”页,有关所选主机的信息将显示在该页的 

一个新选项卡上。“Show NTBA Alerts(显示 NTBA 警报)”选项位于“Host Threat Factor(主机威胁系数)”和“Traffic 

Volume (Bytes) ‑ Zones(流量(字节) ‑ 区域)”监视器中。 

有关 NTBA 监视器的详细信息,请参阅“McAfee Network Security Platform NTBA 管理手册”。 


查看默认的 Sensor 性能监视器 

可以在 Threat Analyzer 中,通过创建一个新的信息显示板并选择可显示不同类型 Sensor 统计数据的监视器来查看 

Sensor 的性能统计数据。下面列出了显示 Sensor 性能统计数据的监视器: 

• “Statistics ‑ Flow(统计数据 ‑ 流)”:由设备处理的 TCP 和 UDP 流数据的统计视图。检查流速率有助于确认设备是 

否正确处理流量,并提供了支持的最大流数目以及活动 TCP 和 UDP 流数目等统计数据视图。 

• “Statistics ‑ IP Spoofing(统计数据 ‑ IP 欺骗)”:有关 Network Security Platform 所检测到的 IP 欺骗攻击数量的统 

计数据。统计数据按方向来显示。 

• “Statistics ‑ Malware(统计数据 ‑ 恶意软件)”:有关给定设备上所检测到的恶意软件的统计数据。 

• “Statistics ‑ Port Packet Drop(统计数据 ‑ 端口数据包丢弃)”:端口上丢弃数据包的速率。 

• “Statistics ‑ Rate Limiting(统计数据 ‑ 速率限制)”:速率限制统计数据提供了由设备丢弃的数据包/字节的估计数目。 

您可以查看 Manager 的资源树中列出的每个设备(每个端口)的速率限制统计数据。 

• “Statistics ‑ Rx/TX(统计数据 ‑ Rx/TX)”:有关给定设备接收 (Rx) 和传输 (Tx) 的数据包总数的统计数据。 

• “Statistics ‑Sensor Packet Drop(统计数据 ‑ Sensor 数据包丢弃)”:设备上丢弃数据包的速率。这些统计数据根据 

每个设备而显示。这些统计数据包括设备因设定的速率限制和稳定检查故障而丢弃的数包数目的计数。 

按照以下过程可查看 Sensor 性能统计数据(此示例演示流统计数据的创建步骤): 

任务 








4 




图 4-21 针对 Sensor 性能的监视器选项 


6 在“Type(类型)”中,选择“Sensor Performance(Sensor 性能)”。 

7 在“Monitor(监视器)”中,选择“Statistics ‑ Flows(统计数据 ‑ 流)”,然后单击“OK(确定)”。 

图 4-22 所选 Sensor 的流统计数据 

8 选择要查看其流统计数据的设备,然后单击“Refresh(刷新)”查看所选设备的流统计数据。 

9 按照相似的过程,针对“Sensor Performance(Sensor 性能)”选择其他“Monitor(监视器)”以查看相关的 Sensor 统 

计数据。 

监控 Sensor 性能指标 

可以使用 Threat Analyzer 来监控核心 Sensor 性能指标。核心指标包括“CPU Utilization(CPU 利用率)”、“Sensor TCP/ 

UDP Flow Utilization(Sensor TCP/UDP 流利用率)”和“Sensor Throughput Utilization(Sensor 吞吐量利用率)”。 


只有当在 Manager“Configure(配置)”页上的“Device List(设备列表)”节点或“Device_Name(设备名称)”节点下启用了 

“Performance Monitoring(性能监控)”时,才能监控核心指标。 

另请参阅 

监控 Sensor TCP/UDP 流利用率第 155 页 

监控 Sensor 吞吐量利用率第 156 页 

监控 Sensor CPU 利用率第 160 页 

监控 Sensor TCP/UDP 流利用率 

按照以下过程可以查看在 McAfee 中配置的所有设备的 Sensor TCP/UDP 流利用率的综合状态。 

任务 


2 默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

3 Sensor TCP/UDP 流利用率饼图显示在 Manager 中配置的所有设备的 TCP/UDP 流利用率的综合状态。在该饼图 

中,以不同的颜色显示“High(高)”、“Medium(中)”、“Low(低)”、“Metric Disabled(指标已禁用)”和“Disconnected 

(已断开连接)”类别相对应的部分。单击饼图的彩色部分可显示与该部分有关的设备及其利用率(百分比)的列表。 

图 4-23 Sensor TCP/UDP 流利用率的详细信息 

4 选择要在与时间的关系图表中查看其信息的设备,然后单击“Chart(图表)”为所选设备创建与时间的关系图表。 

图 4-24 Sensor TCP/UDP 流利用率图表 




4 



5 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 Sensor TCP/UDP 流利用率。 

图 4-25 TCP/UDP 流利用率的实时按钮 

6 单击“Yes(是)”查看基于实时轮询的图表。 

图 4-26 实时轮询的“Warning(警告)”对话框 

利用率图表的正常间隔为一分钟。如果选择了实时模式,系统将每隔 10 秒钟轮询一次数据并对所得到的数据绘制图 

表。实时轮询进行 10 分钟便告结束。在这段时间之后,如果需要重新运行实时轮询的话,则需要用户干预。这相当 

于专门检查带宽利用率。 

另请参阅 

监控 Sensor 性能指标第 154 页 

监控 Sensor 吞吐量利用率 

按照以下过程可以查看在 Manager 中配置的所有设备的 Sensor 吞吐量利用率的综合状态。 

任务 


2 默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

3 Sensor 吞吐量利用率饼图显示在 Manager 中配置的所有设备的 Sensor 吞吐量的综合状态。在该饼图中,以不同的 

颜色显示与“High(高)”、“Medium(中)”、“Low(低)”、“Metric Disabled(指标已禁用)”和“Disconnected(已断开连 

接)”类别相对应的部分。单击饼图的彩色部分可显示与该部分有关的设备及其利用率(百分比)的列表。 

图 4-27 Sensor 吞吐量利用率的详细信息 


4 选择要在与时间的关系图表中查看其信息的设备,然后单击“Chart(图表)”为所选设备创建与时间的关系图表。 

图 4-28 Sensor 吞吐量利用率图表 

5 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 Sensor 吞吐量利用率。 

图 4-29 Sensor 吞吐量利用率的实时按钮 






另请参阅 


监控端口吞吐量利用率 

按照以下过程可以查看在 Manager 中配置的所有设备的端口吞吐量阈值的综合状态。 




4 



任务 


默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 






7 在“Monitor(监视器)”中,选择“Utilization ‑ Port Throughput(利用率 ‑ 端口吞吐量)”,然后单击“OK(确定)”。 

图 4-31 分配现有的端口吞吐量监视器 

8 从“Utilization ‑ Port Throughput(利用率 ‑ 端口吞吐量)”对话框左侧窗格中的“Available device Ports(可用的设备端 

口)”列表中选择要查看其吞吐量利用率的端口,然后单击“Add(添加)”将其移到右侧的“Selected device Ports(选定 

的设备端口)”窗格中。 

图 4-32 “端口吞吐量利用率”端口选择对话框 


9 单击“Finish(完成)”查看端口吞吐量利用率与时间的关系图表。 

图 4-33 端口吞吐量利用率与时间的关系图表 




4 



10 如果要查看实时数据,请单击“Real‑Time(实时)”“Threats(威胁)”开始实时轮询端口吞吐量利用率。 

图 4-34 端口吞吐量利用率的实时按钮 






监控 Sensor CPU 利用率 

按照以下过程可以查看在 Manager 中配置的所有 Sensor 的 CPU 利用率的综合状态。 

任务 


默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 







7 在“Monitor(监视器)”中,选择“Utilization ‑ Sensor CPU(利用率 ‑ Sensor CPU)”,然后单击“OK(确定)”。 

图 4-36 分配现有的监视器 




4 



8 从“Device CPU Utilization(设备 CPU 利用率)”对话框左侧窗格中的“Available Devices(可用设备)”列表中选择要 

查看其设备 CPU 利用率的设备,然后单击“>>”将其移到右侧的“Selected Devices(选定的设备)”窗格中。 

图 4-37 设备 CPU 利用率 


9 单击“Finish(完成)”查看 Sensor CPU 利用率与时间的关系图表。 

图 4-38 CPU 利用率与时间的关系图表 

10 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 CPU 利用率。 

图 4-39 Sensor CPU 利用率的实时按钮 









4 



另请参阅 


来自 McAfee 的消息 

“Messages from McAfee(来自 McAfee 的消息)”功能使您可以查看来自 McAfee 的任何产品消息或与安全相关的消息。 

此消息可能与以下各项相关:操作系统补丁程序、特征码集版本、Manager 软件更新,等等。Manager 将每隔 15 分钟 

检查一次 McAfee 更新服务器中的这类消息,并显示与您正在使用的 Manager 版本和特征码集相关的消息。 

此功能可以确保来自 Network Security Platform [以前称为 McAfee ® IntruShield ® ] 支持团队的所有相关消息都能按时到达 

您手中。由于新消息显示在“NSP Health(NSP 健康状况)”选项卡上,因此将不会再错过任何消息。 

活动的状态 

The section of the “NSP Health(NSP 健康状况)”选项卡的“Status of Activities(活动的状态)”部分显示系统上被 

Network Security Platform 确认为长时间运行的进程且当前正在进行的活动的状态。当长时间运行的进程发生在 

Manager 上时,其状态显示为“In progress(进行中)”。 

工作状态摘要 

可以从“NSP Health(NSP 健康状况)”选项卡查看“Operational Status(工作状态)”摘要。此“Operational Status(工作状 

态)”视图的工作方式不同于 Manager 主页中的“Operational Status(工作状态)”:这里的故障不可选。该视图仅供快速 

浏览,以便您在不离开 Threat Analyzer 的情况下获得有关系统可能故障的更新信息。 

Sensor 更新摘要 

“Update Summary(更新摘要)”(“Sensor Update Summary(Sensor 更新摘要)”)部分可用来更新 Sensor 配置并下 

载 SSL 密钥。单击“Update Now(立即更新)”以查看“Update Sensor Configuration(更新 Sensor 配置)”页。 

图 4-41 更新 Sensor 配置 

• “Sensor Name(Sensor 名称)”:Sensor 的名称。 

• “Last Update(上次更新时间)”:上次更新 Sensor 配置的时间。 

• “Update Required (Reason)(需要更新(原因))”:需要更新 Sensor 配置的原因。 

• “Update(更新)”:选中该选项将指定应更新 Sensor 配置。 

• “SSL Key Update(SSL 密钥更新)”:选中会指定应更新的 SSL 密钥。 

• “Update(更新)”:单击该选项将更新 Sensor 配置。 


查看工作状态 

可以从“NSP Health(NSP 健康状况)”选项卡的“Dashboards(信息显示板)”视图查看“Operational Status(工作状态)” 

摘要。此“Operational Status(工作状态)”视图的工作方式不同于 Manager 主页中的“Operational Status(工作状态)”: 

这里的故障不可选。该视图仅供快速浏览,以便您在不离开 Threat Analyzer 的情况下获得有关系统可能故障的更新信 

息。 

“Operational Status(工作状态)”显示 Sensor 和 Manager 的状态。 

• “Sensor Throughput Utilization(Sensor 吞吐量利用率)”:显示在 Manager 中配置的所有 Sensor 的状态。 

• “Messages from McAfee(来自 McAfee 的消息)”:显示应用于 Sensor 的最新更新和最新版本的特征码集。 

• “Status of Activities(活动的状态)”:显示 CPU 利用率。 

• “Operational Status Summary(工作状态摘要)”:显示 Manager 主页上的工作状态。 

• “Sensor Update Summary(Sensor 更新摘要)”:显示登录域中 Sensor 软件和特征码集的当前版本。 

“Update Now(立即更新)”按钮用来更新 Sensor 配置。 

查看 IPS 警报摘要 

在打开“Real‑time Threat Analyzer(实时 Threat Analyzer)”并单击“IPS”选项卡时,会显示 IPS 摘要视图。 

“IPS”选项卡的顶部以饼图格式提供以下类型的“Summary(摘要)”视图: 

• “Attack Severity Summary(攻击严重性摘要)”:按严重性级别(“High(高)”、“Medium(中)”、“Low(低)”和 

“Informational(信息)”)描写警报比率。 

• “Attack Result Summary(攻击结果摘要)”:按检测到攻击的预计结果(攻击是“Successful(成功)”、“Unknown(未 

知)”、“Failed(失败)”还是“Blocked(已阻止)”,或者警报由可疑攻击触发但不一定是恶意流量)描写警报比率。 

• “IPS Quarantine Summary(IPS 隔离摘要)”:描写已隔离主机的数目,以及未由 Network Security Platform 隔离的 

主机的数目。 

• “RFSB Attack Summary(RFSB 攻击摘要)”:描写建议阻断的 RFSB 攻击数。 

• “Attacks Overtime(超时攻击数)”:描写超时攻击的数量。 

• “New Threats(新威胁数)”:描写新威胁的数量。 

• “Non‑RFSB Attack Summary(非 RFSB 攻击摘要)”:描写不建议阻断的 RFSB 攻击数。 



当您单击饼图的扇区时,系统会将您重定向到“Alerts(警报)”或“Hosts(主机)”页以查看详细信息。例如,在“Attack 

Severity Summary(攻击严重性摘要)”视图中,如果您双击饼图的“High(高)”严重性扇区,则会显示“Alerts(警报)”页 

并为您创建一个按警报严重性排序的新视图。 

对于“IPS Quarantine Summary(IPS 隔离摘要)”视图,双击操作会将您重定向到“Hosts(主机)”页。 


4 



“IPS”选项卡还提供以下几个视图: 

1 时间视图:指定时间间隔内的攻击数。 

2 综合视图:分成多个窗格(类别)的攻击。 

图 4-42 Threat Analyzer IPS 选项卡 

图 4-43 Central Manager Threat Analyzer IPS“Alerts(警报)”选项卡视图 


项目描述 

1 时间视图 

2 警报综合视图 

Central Manager 的“Summary(摘要)”视图仅显示“IPS”选项卡。 

另请参阅 


时间视图第 167 页 

时间视图 

这个窗口通过柱状图显示指定时间范围内检测到的攻击数目。每个柱形都包含与攻击数目和攻击的检测时间范围相关的 

信息。要查看条块的信息,请执行以下操作: 

任务 

1 单击条块的中部。选定条块将被遮盖。 

2 查看显示的信息: 

您一次只能选择/查看一个条块。 

• “Configured Time Span(配置的时间范围)”:在“Historical Threat Analyzer(历史 Threat Analyzer)”中,配置的 

时间范围由您输入的开始时间和结束时间构成。在“Real‑time Threat Analyzer(实时 Threat Analyzer)”中,该区 

域会显示“Attacks over last 2 hours(最近 2 小时内的攻击)”。 

• “Time When Attacks Occurred(攻击发生的时间)”:检测到选定条块中攻击的时间范围。 

• “Number of Attacks During Span(这段时间范围内的攻击数目)”:选定条块中的攻击数目。 

图 4-44 Threat Analyzer 摘要 ‑ 时间视图 

项目描述 

1 选定的条块 

另请参阅 

查看 IPS 警报摘要第 165 页 

综合视图 

“Alerts consolidated view(警报综合视图)”分五个窗格(类别)显示警报,以便统计检查。请注意“Time view(时间视 

图)”窗格还会变成综合视图的一部分。每个窗格都是一个柱状图,每个条块都表示按照特定参数归在一组内的多个警报。 

如果警报满足多个类别的统计参数,它就会出现在多个窗格的条块中。 

您可以在多个窗格中选择一个条块,但不能在一个窗格中选择多个条块。 




4 



类别说明如下: 

• “All Alerts(全部警报)”:按以下条件列出警报 

• “Severity(严重性)”:根据严重性级别列出警报:“High(高)”、“Medium(中)”、“Low(低)”或“Informational(信 

息)”。 

• “Zoom(缩放)”:按照时间级别列出警报:“Minute(分钟)”、“5 Minute(5 分钟)”、“10 Minute(10 分钟)”、“20 

Minute(20 分钟)”、“30 Minute(30 分钟)”、“Hour(小时)”、“Day(天)”、“Week(周)”、“Month(月)”、“Quarter 

(季)”和“Year(年)” 

• “Attack(攻击)”:列出最前面的 5 个最常见的攻击。 

• “Result Status(结果状态)”:根据检测到攻击的预计结果列出警报计数。请参阅“警报结果状态”。 

• “Source IP(来源 IP)”:根据触发警报的次数列出发起最多攻击的前 5 位来源 IP 地址。 

• “Destination IP(目标 IP)”:根据触发警报的次数列出受到最多攻击的前 5 位目标 IP 地址。 

图 4-45 Threat Analyzer 信息显示板 ‑ 综合视图 

项目描述 

1 选定的条块 

2 名称 

3 发生次数 

左键单击和右键单击视图选项 

要查看柱状图中特定条块的信息,请执行以下操作: 

任务 

1 单击条块的中部。选定条块将被遮盖。 

2 查看显示的信息。 

3 在任意窗格中左键单击条块将显示警报名称和警报数目。 

更改“Severity(严重性)”级别即可刷新柱状图,以显示所选的警报。 

4 使用“Zoom In(放大)”和“Zoom Out(缩小)”可以按照所选的时间级别刷新柱状图。 


5 右键单击柱状图可针对警报启用详细的鉴证分析。请注意以下选项: 

任务 

Acknowledge(确认) 

攻击结果状态 

• “Detail View(详细信息视图)”:将您重定向到“Alerts(警报)”页。显示选定条块内警报的所有详细信息。 

• “Drilldown(深入分析)”:按类别对警报排序:多个特定类别视图,用于对警报组中的警报进行排序和分析。 

• “Acknowledge(确认)”:确认条块中的所有警报。如果正处于“Real‑Time Threat Analyzer(实时 Threat 

Analyzer)”下,就会从当前视图中移除已确认的警报,并且只能使用“Historical Threat Analyzer(历史 Threat 

Analyzer)”查看已确认的警报。 

• “Delete(删除)”:删除选定条块中的所有警报。如果正处于“Real‑Time Threat Analyzer(实时 Threat Analyzer)” 

下,就会从当前视图中移除已删除的警报,并且只能使用“Historical Threat Analyzer(历史 Threat Analyzer)”查 

看已删除的警报。一旦为警报执行了磁盘空间维护操作,标记为删除的警报将无法再进行查看。 

图 4-46 本地 Manager Threat Analyzer ‑ 信息显示板综合视图深入分析 

• Acknowledge(确认)第 169 页 

另请参阅 

警报视图:右键单击选项第 190 页 

您可以通过右键单击一个条块并选择“Acknowledge(确认)”来确认“Alerts Consolidated View(警报综合视图)”中的全部 

警报。确认警报表示您知道警报已发生并掌握了警报的信息,继而您希望将警报存档,以备以后参考。确认操作将从 

“Network Attack Status(网络攻击状态)”字段中显示的统计值中移除该警报,并且只能在以后的历史搜索中从数据库中 

检索该警报。 

任务 

“Real‑Time Threat Analyzer(实时 Threat Analyzer)”警报查询仅检索未确认的警报。如果您已确认某个警报,则可以在 

“Historical Threat Analyzer(历史 Threat Analyzer)”中取消对该警报的确认。不过,警报一旦被确认,即会被 

“Real‑Time Threat Analyzer(实时 Threat Analyzer)”缓存所丢弃,而且以后只能在“Historical Threat Analyzer(历史 

Threat Analyzer)”中查看。 

1 右键单击“Alerts Consolidated View(警报综合视图)”窗格中的一个条块。 

2 选择“Acknowledge(确认)”确认选定条块中的全部警报。 



“Alert Result Status(警报结果状态)”显示内容位于“Consolidated View(综合视图)”中,也可通过深入分析操作打开。 

它可以确定检测到的攻击的结果。结果鉴定是根据当前所应用策略的参数分析而来的。例如,您在使用DMZ策略保护 

Tap 模式下的 DMZ 时,如果检测到的攻击符合该策略参数,那么该攻击通常都会成功影响目标系统。类似地,如果攻 

击目标是 Windows 操作系统漏洞,但您对 UNIX 环境执行了UNIX Server(UNIX 服务器)策略,则该攻击将失败。 


4 



对于警报结果状态,“Consolidated View(综合视图)”和深入分析“Count View(计数视图)”都会显示五个结果类别,每 

个对应类别显示的警报数目都相同。在“Consolidated View(综合视图)”中,“Alert Result Status(警报结果状态)”显示 

Threat Analyzer 当前会话内的所有警报的计数。对于深入分析,结果表为选定条块中的警报而非全部警报显示每个结果 

类别的警报计数。 

触发警报的攻击的“Alert Result Status(警报结果状态)”类别如下所述: 

• Successful(成功):攻击已成功或很可能成功。 

为方便地了解高严重性攻击是否已成功,请通过“High Severity(高严重性)> Inbound(入站)> Successful(成 

功)”创建深入分析警报结果状态。将此窗口一直打开可随时了解需要立即引起注意的攻击。 

• Unknown(未知):攻击结果尚不明确。这可能因为应用了通用策略,例如,策略规则与环境无关的默认策略或综 

合策略。例如,如果存在针对不相关节点发动的攻击,结果便是如此。 

• Failed(失败):攻击未造成任何影响。 

• Suspicious(可疑):警报是由可疑攻击触发的,不一定是恶意流量。这个结果常见于本质为端口扫描和主机扫描 

的“Reconnaissance(侦测)”攻击。 

• Blocked(已阻止):“Drop packets(丢弃数据包)”Sensor 响应阻止的攻击。 

• Blocking Activated(已激活阻止):应用于 DoS 流量,并指出 Sensor 已将超出其学到的阈值或根据其配置文件无 

法识别出的可疑流量标识了出来。Sensor 已启动阻止未知流量,同时还试图(以一个个数据包的方式)阻止来自可 

信来源的 DoS 流量。Sensor 会尝试允许来自可信来源的合法流量流过。但由于 DoS 攻击的本质使然,您无法确定 

是否阻止了全部的不良流量,是否允许全部的“正常”流量通过。有关 McAfee Network Security Platform 的 DoS 处 

理的更深入的描述,请参阅“McAfee Network Security Platform IPS 管理手册”中的“拒绝服务”。 

图 4-47 Threat Analyzer ‑ 按结果分组 


另请参阅 

查看 IPS 警报摘要第 165 页 

查看默认的 IPS 监视器第 147 页 

确认警报第 199 页 

按属性对警报排序第 194 页 

查看警报详细信息第 186 页 

应用程序和 GTI 信息显示板 

“Applications and GTI(应用程序和 GTI)”是默认的信息显示板,包含与 GTI 和“Application Identification(应用程序识 

别)”功能相关的默认监视器。 

在“Applications and GTI(应用程序和 GTI)”信息显示板中,以下是与 GTI 相关的监视器: 

• 攻击目标信誉摘要 

• 攻击来源信誉摘要 

• 前 10 位攻击目标国家/地区 

• 前 10 位攻击来源国家/地区 

“Top Application Summary(主要应用程序摘要)”监视器与“Application Identification(应用程序识别)”功能相关。 

主要应用程序摘要监视器 

通过“Top Applications Summary(主要应用程序摘要)”监视器,您可以监控网络上的第 7 层流量。可以查看网络中前 

N 个应用程序的以下方面: 

• 消耗的带宽。根据应用程序传输的总字节计算。 

• 连接数量。表示由应用程序建立的会话或流的数量。 

• 生成的攻击的数量。表示应用程序涉及的威胁的数量。 

“Top Applications Summary(主要应用程序摘要)”监视器可帮助您找到如下问题的答案: 

• 我的网络上最活跃的应用程序有哪些? • 哪些应用程序面临网络安全的最大威胁? 

• 用户是否正在访问与组织业务相关的应用程序? • 哪些应用程序对网络造成最多攻击? 

• 应用程序之间如何分享网络带宽? 

根据您查看的详细信息,您可以创建或优化防火墙访问规则,以阻止特定的应用程序。 

如何使用“Top Application Summary(主要应用程序摘要)”监视器 



要使“Top Application Summary(主要应用程序摘要)”监视器正常工作,必须启用“Application Identification(应用程序识 

别)”功能。可在 Sensor 的必要端口上启用“Application Identification(应用程序识别)”功能。甚至可以在一对端口上启 

用该功能。例如,可以仅针对来自工程网络的外出流量启用“Application Identification(应用程序识别)”功能。由于 

“Application Identification(应用程序识别)”功能会影响 Sensor 的性能,应该只在需要的地方启用该功能。 

在启用“Application Identification(应用程序识别)”功能后,相应的 Sensor 会将检测到的前 200 个应用程序统计数据发 

送到 Manager。您可以在“Top Application Summary(主要应用程序摘要)”监视器中查看这些详细信息。此监视器以表 

格和图形的格式显示详细信息。 

在“Top Application Summary(主要应用程序摘要)”监视器中,可以查看特定 Sensor 或所有合并 Sensor 的应用程序使 

用的详细信息。此监视器每 5 分钟刷新一次。也可以查看历史数据。Manager 存储过去 1 年的应用程序详细信息。 

如果使用 Manager 灾难恢复 (MDR) 功能,那么 Sensor 会将应用程序识别的详细信息发送到 MDR 对的两个 Manager 

中。 


4 



如果配置有故障转移 Sensor,只有活动 Sensor 会将每个类别中(即带宽、连接和威胁)最多前 200 个应用程序监控的 

详细信息分别发送到 Manager。有关 Sensor 故障转移的详细信息,请参阅“McAfee Network Security Platform 设备管 

理手册”。 

使用“Top Application Summary(主要应用程序摘要)”监视器涉及以下操作: 

1 在端口级别启用“Application Identification(应用程序识别)”。 

2 查看“Top Application Summary(主要应用程序摘要)”监视器。 

3 在 Threat Analyzer 中查看与应用程序相关的详细信息。 

启用应用程序识别 

可以针对 M 系列 Sensor 上要求的端口启用“Application Identification(应用程序识别)”。默认情况下,此功能处于禁用 

状态。 

任务 

I 系列 Sensor 不支持“Application Identification(应用程序识别)”。 

启用“Application Identification(应用程序识别)”只会影响“Top Application Summary(主要应用程序摘要)”信息显示板, 

而不会影响防火墙功能。 

识别应用程序这一过程会消耗较多资源。如果 Sensor 在整个流量上进行应用程序识别,则 Sensor 吞吐量可能会降低 

10% 左右。根据流量类型不同,实际吞吐量的下降量会有差异。 

1 在资源树中,转到“IPS Settings(IPS 设置)” | “Sensor_Name(Sensor 名称)” | “Application Identification(应用程 

序识别)”。 

此时会显示“Application Identification(应用程序识别)”页。 

2 选择“Enable Application Identification?(是否启用应用程序识别?)” 

3 

“Selected Ports(选择的端口)”下方列出了当前已启用且正在工作的所有监控端口。这表示这些端口都启用了 

“Application Identification(应用程序识别)”功能。 

图 4-48 启用特定端口的“应用程序识别”功能 

使用和在“Available Ports(可用端口)”和“Selected Ports(选择的端口)”之间移动项目。 

请确保,只有要启用“Application Identification(应用程序识别)”功能的端口才列在“Selected Ports(选择的端口)”下 

方。 



5 对 Sensor 进行“Configuration Update(配置更新)”。 

有关如何进行“Configuration Update(配置更新)”的详细信息,请参阅“McAfee Network Security Platform IPS 管理 

手册”。 

查看“Top Application Summary(主要应用程序摘要)”监视器 

任务 

开始之前 

要查看“Top Application Summary(主要应用程序摘要)”监视器中的数据,必须至少在一个监控端口上启用 

了“Application Identification(应用程序识别)”。 

1 启动实时或历史 Threat Analyzer。 

2 单击“Applications and GTI(应用程序和 GTI)”选项卡,以查看“Applications and GTI(应用程序和 GTI)”信息显示 

板。 

在窗口下半部分,会显示默认设置的“Top Application Summary(主要应用程序摘要)”监视器。如果需要,您可以指 

定“Top Application Summary(主要应用程序摘要)”监视器的首选项。 

图 4-49 “Top Applications Summary(主要应用程序摘要)”监视器 

指定主要应用程序摘要监视器的首选项 

每次启动 Threat Analyzer 时,“Top Applications Summary(主要应用程序摘要)”监视器会根据默认设置显示数据。也 

就是说,它会显示过去 5 分钟内的前 10 个应用程序。您可以根据要求更改此默认设置。但是请注意,您的首选项仅对 

Threat Analyzer 的当前会话有效。因此,每次重新启动 Threat Analyzer 时,“Top Applications Summary(主要应用程 

序摘要)”监视器会显示默认设置的数据。 

任务 

1 在“Top Applications Summary(主要应用程序摘要)”监视器中,单击以显示“Preferences(首选项)”面板。 

2 选择“Top N(前 N 个)”的值。 

默认情况下,会列出前 10 个应用程序。最多可以查看 200 个应用程序。 




4 



3 指定“Time Range(时间范围)”。 

最多可以查看过去 24 小时的详细信息,或者您可以通过指定“From(从)”和“To(到)”的时间,查看历史数据。要修 

改“From(从)”和“To(到)”设置,将鼠标指针置于该值上,然后使用向上或向下箭头。 


时间基于 Manager 服务器的时间进行设置。Manager 存储过去 1 年的历史数据。 

图 4-50 查看“Top Applications Summary(主要应用程序摘要)”监视器的“Preferences(首选项)” 

查看前 N 个应用程序的详细信息 

任务 

1 在“Top Applications Summary(主要应用程序摘要)”监视器中,选择要查看其详细信息的 Sensor。 

默认情况下,会显示“All Devices(所有设备)”的详细信息。您可以选择任一特定 Sensor 或“All Devices(所有设备)”。 

要分别监控每个 Sensor 的数据,您可以为每个 Sensor 创建一个自定义“主要应用程序摘要”信息显示板。 

2 选择“Application(应用程序)”,可查看前 N 个应用程序。 

• 从下拉列表中选择“Attacks(攻击)”可查看基于各应用程序生成的攻击数排序的前 N 个应用程序。 

在下拉列表中选择攻击与根据攻击对表进行排序相同。但是,对表进行排序只影响表,而从下拉列表中选择攻击 

时,图表也根据攻击生成。 

• 选择“Bandwidth(带宽)”可查看消耗网络带宽最多的前 N 个应用程序。 

• 选择“Connections(连接)”可查看基于各应用程序的流数目排序的前 N 个应用程序。 

您可以根据需要重新安排表格部分中的列,但是系统只保存 Threat Analyzer 当前会话中的设置。 


3 在表格部分中,将鼠标移到应用程序名称上可查看详细信息。 

4 右键单击应用程序名称可查看右键单击菜单。 

• 选择“Show Application Profile(显示应用程序配置文件)”可查看应用程序的详细信息。 



• 选择“Show Alerts(显示警报)”可查看在“Preferences(首选项)”中设置的“Time Range(时间范围)”内,相应应 

用程序生成的所有警报。要从“Alerts(警报)”页返回到“Top Applications Summary(主要应用程序摘要)”监视 

器,请单击“Dashboards(信息显示板)”。 


4 



5 在图表部分,将鼠标移动到饼图部分上方,可查看详细信息。 

6 单击可查看相应的柱状图。 

查看按类别排序的前 N 个应用程序 

通过“Top Applications Summary(主要应用程序摘要)”监视器中的此选项,您可以查看特定时间段内网络中的前 N 个应 

用程序类别摘要。您可以查看按攻击/每个类别消耗的带宽/每个类别的连接数分组的应用程序类别。例如,您可以查看 

在组织的业务时间内,哪些类别在消耗您的网络带宽。因此,如果您在网络上发现了 P2P 或社交网络类别,您可以采取 

适当的修补措施,例如在 Network Security Platform 中优化防火墙策略。 

任务 




2 选择“Category(类别)”可查看前 N 个应用程序的类别。 

如果应用程序属于多个类别,则只显示由 McAfee 确定的最相关的类别。 

• 从下拉列表中选择“Attacks(攻击)”,可查看每个类别攻击数的详细信息。 

• 选择“Bandwidth(带宽)”可查看每个类别消耗带宽的详细信息。 

• 选择“Connections(连接)”可查看基于每个类别流数目的详细信息。 


3 右键单击类别名称并单击“Show Alerts(显示警报)”可查看在“Preferences(首选项)”中设置的“Time Range(时间范 

围)”内,为相应类别生成的所有警报。 

要从“Alerts(警报)”页返回到“Top Applications Summary(主要应用程序摘要)”监视器,请单击“Dashboards(信息 

显示板)”。 

4 单击某个类别,可查看其中各个应用程序的详细信息。 



查看按风险排序的前 N 个应用程序 



通过“Top Applications Summary(主要应用程序摘要)”监视器中的此选项,您可以查看网络中面临最大风险的前 N 个应 

用程序。基于多种因素,McAfee 将应用程序分为高风险、中风险和低风险。这些因素包括应用程序携带恶意软件或间 

谍软件的可能性、应用程序避开安全应用程序的可能性等等。例如,您可以查看基于过去 5 分钟的风险排序的前 10 个 

应用程序。然后您可以深入分析,查看属于每个风险类别的应用程序。您可以基于每个风险类别造成的攻击、每个风险 

类别消耗的带宽或每个风险类别的连接数对数据进行排序。 


4 



假设您已经强制执行了防火墙策略,以阻止网络中的某些高风险应用程序。此时,您可以查看按风险排序的前 N 个应用 

程序,以确认成功应用了防火墙策略,并在需要时对其进行适当优化。通过此选项,当最新的高风险应用程序在网络中 

使用时,您还可以对其加以控制。 

任务 




2 选择“Risk(风险)”,可查看按风险排序的前 N 个应用程序。 

一个应用程序可能属于多个类别,但是只能属于高/中/低风险应用程序中的其中一种。 

• 从下拉列表中选择“Attacks(攻击)”,可查看每个风险攻击数的详细信息。 

• 选择“Bandwidth(带宽)”可查看每个风险消耗带宽的详细信息。 

• 选择“Connections(连接)”可查看基于每个风险流数目的详细信息。 

3 单击某个风险类别,可查看其中各个应用程序的详细信息。 



创建自定义的最常用应用程序摘要信息显示板 

要分别监控每个 Sensor 的详细信息,您可以为每个 Sensor 创建一个“最常用应用程序摘要”信息显示板。可以将默认的 

“最常用应用程序摘要”监视器分配给此信息显示板,也可以创建自己的“最常用应用程序摘要”监视器。 


任务 

1 在实时 Threat Analyzer 或历史 Threat Analyzer 中,单击“Options(选项)” | “Dashboard(信息显示板)” | “New(新 

建)”。 

2 输入“Dashboard Name(信息显示板名称)”并单击“OK(确定)”。 

例如,您可以输入 Sensor 的名称,作为信息显示板的名称。 

3 单击“Assign Monitor(分配监视器)”。 

• 您可以分配默认的“最常用应用程序摘要”监视器。 

• 您可以分配现有的自定义“最常用应用程序摘要”监视器。 

• 您可以创建并分配自定义的“最常用应用程序摘要”监视器。 

图 4-51 分配监视器 

4 请完成以下步骤,以分配默认的“最常用应用程序摘要”监视器。 

a 在“Assign Monitor(分配监视器)”对话框中,选择“Assign an existing Monitor(分配现有监视器)”。 

b 在“Category(类别)”中选择“Default Monitors(默认监视器)”。 

c 在“Type(类型)”中选择“IPS”。 




4 



d 在“Monitor(监视器)”中选择“Top Applications Summary(最常用应用程序摘要)”。 

e 单击“OK(确定)”。 

5 请完成以下步骤,以分配现有的自定义“最常用应用程序摘要”监视器。 

a 在“Assign Monitor(分配监视器)”对话框中,选择“Assign an existing Monitor(分配现有监视器)”。 

b 在“Category(类别)”中选择“Custom Monitors(自定义监视器)”。 

c 选择所需的“Monitor(监视器)”。 

d 单击“OK(确定)”。 

6 请完成以下步骤,以创建并分配自定义的“最常用应用程序摘要”监视器。 

a 在“Assign Monitor(分配监视器)”对话框中,选择“Create a new Monitor(创建新监视器)”并单击“Next(下一 

步)”。 

b 输入“Monitor Name(监视器名称)”。 

c 在“Data Source(数据来源)”中选择“Alerts(警报)”并单击“Next(下一步)”。 

d (可选)您也可以为正在创建的监视器设置显示过滤器。 

例如,如果要让监视器只显示与游戏应用程序相关的数据,请选择“Filter Criteria(过滤条件)”中的“App Category 

(应用程序类别)”,然后选择相应下拉列表中的“Equals(等于)”和“Gaming(游戏)”。 

图 4-52 过滤条件 

e 单击“Next(下一步)”。 

f 选择应在监视器中显示的字段,并指定其顺序。 

g 单击“Finish(完成)”。 

创建的监视器会分配到信息显示板中。 

查看 NAC 摘要 

在“Real‑time Threat Analyzer(实时 Threat Analyzer)”中,可以从“Dashboards(信息显示板)”页查看 NAC 设置的摘 

要。 


任务 

1 从 Network Security Platform 主页启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“NAC”选项卡。 

图 4-53 Threat Analyzer“Dashboards(信息显示板)”页中的 NAC 选项卡 

在所显示的页面中,可以查看与 NAC 有关的以下摘要: 

• “McAfee ® Network Access Control Client Summary(McAfee Network Access Control 客户端摘要)”‑ 表示已检 

测到的 VPN 员工、来宾用户和本地员工形式的主机的数量。 

• “System Health Summary(系统健康状况摘要)”‑ 表示具有六个不同系统健康级别的主机数量的柱状图。 

• “System State Summary(系统状态摘要)”‑ 表示当前处于下列任一状态的主机的数量: 

• Guest Portal 所需的标识 • 来宾客户端所需的健康级别 

• 确定 IBAC 策略 • 系统健康状况不良 

• 已承认 • 管理员分配的 NAZ 

• IPS 已隔离 

• “User Type Summary(用户类型摘要)”‑ 表示已经检测到的 VPN 员工、来宾用户和本地员工形式的主机的数量。 

NTBA 



当用户双击某个图形时,用户可以打开相应的深入分析页面(“Alerts(警报)”或“Hosts(主机)”)。 

McAfee 的 Network Threat Behavior Analysis Appliance (NTBA Appliance) 是一个通过 Manager 管理的网络设备。 

NTBA Appliance 提供网络威胁行为分析的全套功能。NTBA Appliance 从支持 NetFlow 的设备(如路由器)收集流信息 

并分析它是否存在恶意行为。对于 IPS 管理员来说,NTBA 的好处在于它增强了可见性和直观性。例如,它提供了许多 

网络使用情况和网络安全性监视(如“Active Applications 活动应用程序)”和传输的“Top Files(前几个文件)”),以及在 

流量模式中检测到可疑流量或切换时发出明确的警报。 


4 



由 NTBA Appliance 生成的网络范围的数据可以通过 Threat Analyzer 来监控。Threat Analyzer 的 NTBA 信息显示板显 

示前 10 个默认监视器。 

要在 Threat Analyzer 中查看 NTBA Appliance 的默认监视器,请执行以下操作: 

任务 

1 从 Manager 主页单击“Real‑time Threats(实时威胁)”。 

将打开 Threat Analyzer 主页,默认情况下,其中会显示“Dashboards(信息显示板)” ‑ “NSP Health(NSP 健康状 

况)”视图。“Dashboards(信息显示板)”页还包括了“IPS”、“NAC”和“NTBA”选项卡。 

2 单击“NTBA”选项卡。 

此时会显示默认的 NTBA 信息显示板。 

有关详细信息,请参阅“McAfee Network Security Platform NTBA 管理手册”。 

NTBA 默认监视器列表 

在默认 NTBA 信息显示板中显示了 10 台监视器。一些默认监视器在右键单击菜单中有深入选项。您可以在深入分析监 

视器中查看相关信息。 

表 4-1 NTBA 默认和深入分析监视器 


1 “Throughput Enterprise Traffic (Bytes) 

(吞吐量企业流量(字节)) ” 

无 

2 “Host Threat Factor(主机威胁系数)” • “Host Information(主机信息)” • “Service Traffic Summary(服务流 

量摘要)” 

3 “Traffic Volume (Bytes) ‑ Top Source 

Hosts(流量(字节) ‑ 前几个来源主 

机) ” 

4 “Bandwidth Utilization (%) ‑ Interface 

(带宽利用率(%) ‑ 接口)” 

• “Host Profile(主机配置文件)” • “Application Traffic Summary(应 

用程序流量摘要)” 

• “DoS Profile(DoS 配置文件)” • “Active Services(活动服务)” 

• “Host Interaction(主机交互)” • “Active Applications(活动应用程 

序)” 

• “Layer7 Activity(第 7 层活动)” • “Active Ports(活动端口)” 

• “Host Traffic(主机流量)” • “NSLookup Information 

(NSLookup 信息)” 

• “Host Information(主机信息)” • “Layer7 Activity(第 7 层活动)” 

• “Host Profile(主机配置文件)” • “Host Interactions(主机交互)” 

• “DoS Profile(DoS 配置文件)” • “NSLookup Information 


• “Interface Traffic ‑ Throughput (bps)(接口流量 ‑ 吞吐量(bps))” 

• “Interface Traffic ‑ Packet Rate (pps)(接口流量 ‑ 数据包速率(pps))” 

• “Bandwidth Utilization (%)(带宽利用率(%))” 

• “Interface Traffic ‑ Show All(接口流量 ‑ 显示全部)” 

• “Top Bandwidth Consumers(前几个带宽占用者)” 

• “Service Traffic Summary(服务流量摘要)” 

5 “Top Files(前几个文件) ” • “Show File Activity(显示文件活动)” 

6 “Top URLs(前几个 URL) ” • “Show URL Activity(显示 URL 活动)” 


表 4-1 NTBA 默认和深入分析监视器 (续) 


7 “Applications Traffic (Bytes)(应用程 

序流量(字节)) ” 

8 “Protocol Distribution (Bytes)(协议分 

布(字节)) ” 

9 “Hosts New (Last 1 day)(主机 ‑ 新(过 

去 1 天))” 

10 “Traffic volume (Bytes) ‑ Zones(流量 

(字节) ‑ 区域)” 

图 4-54 访问右键单击监视器 ‑ 示例 

NTBA 其他默认监视器列表 

• “Application Profile(应用程序配置文件)” 

无 

• “Host Information(主机信息)” • “Active Applications(活动应用程 

序)” 

• “Layer7 Activity(第 7 层活动)” • “Active Ports(活动端口)” 

• “Active Services(活动服务)” • “NSLookup Information 


• “Zone Traffic(区域流量)” • “Zone Files(区域文件)” 

• “Zone Services Traffic(区域服务流 

量)” 

• “Top Bandwidth Consumers(前几个 

带宽占用者)” 

• “Zone URLs(区域 URL)” 

• “Zone DoS Profile(区域 

DoS 配置文件)” 

NTBA 其他默认监视器为网络流量的各种组件提供了企业级监控。您可以创建新的信息显示板并分配更多的监视器,以 

满足监控需要。 

表 4-2 NTBA 其他默认监视器 


1 “Applications ‑ Active (Last 1 hour)(应用程序 ‑ 活动(过去 1 小时))” 无 

2 “Applications ‑ New (Last 1 day)(应用程序 ‑ 新(过去 1 天))” “Application Profile(应用程序配置文件)” 

3 “Hosts ‑ Active (Last 1 hour)(主机 ‑ 活动(过去 1 小时))” 无 

4 “Services ‑ Active (Last 1 hour)(服务 ‑ 活动(过去 1 小时))” 无 

5 “Services ‑ New (Last 1 day)(服务 ‑ 新(过去 1 天))” 无 

6 “Services Traffic (Bytes)(服务流量(字节))” 无 




4 



表 4-2 NTBA 其他默认监视器 (续) 


7 “Top External Hosts by Reputation(信誉最佳的外部主机)” 无 

8 “Top URLs by Category(最常见类别 URL)” “Show URLs(显示 URL)” 

9 “Top URLs by Reputation(信誉最佳的 URL)” 无 

NTBA 自定义监视器列表 

NTBA 自定义监视器在新的信息显示板中显示 NTBA Appliance 或特定于区域的信息。所有 NTBA 默认和其他默认监视 

器可作为特定于 NTBA Appliance 的自定义监视器分配到新的信息显示板。此外,也可以创建特定于区域的自定义监视 

器,并分配到新的信息显示板。每个自定义监视器都具有自定义的参数。 

表 4-3 自定义监视器 ‑ 特定于 NTBA Appliance 

监视器参数 

1 “Hosts ‑ Threat Factor(主机 ‑ 威 

胁因子)” 

2 “Top External Hosts by Reputation 

(信誉最佳的外部主机)” 

3 “Protocol Distribution (Bytes)(协 

议分布(字节))” 

4 “Top URLs by Reputation(信誉最 

佳的 URL)” 

5 “Applications Traffic (Bytes)(应用 

程序流量(字节))” 

“Top N, Time Period [Last Minute, Last 10 min, Last Hour, Last 24 Hour, 

Custom (Start Time and End Time)](前 N 个、时间段 [过去 1 分钟、过去 

10 分钟、过去 1 小时、过去 24 小时、自定义(开始时间和结束时间)]) ” 



10 分钟、过去 1 小时、过去 24 小时、自定义(开始时间和结束时间)])” 

“Top N, Direction (Bi‑directional, Inbound, Outbound), Frequency (1 min, 10 

min, hourly, daily), Customize (Start Time, End Time)(前 N 个、方向(双向、 

入站、出站)、频率(1 分钟、10 分钟、每小时、每天)和自定义(开始时间、结 

束时间))” 








6 “Top Files(前几个文件)” “Top N, Customize (Start Time, End Time)(前 N 个、自定义(开始时间、结束 

时间))” 

7 “Top URLs By Category(最常见 

类别 URL)” 

8 “Traffic Volume (Bytes) ‑ Zones 

(流量(字节) ‑ 区域)” 

9 “Traffic Volume (Bytes) ‑ Top 

Source Hosts(流量(字节) ‑ 前几 

个来源主机)” 

10 “Services ‑ New (Last 1 day)(服 

务 ‑ 新(过去 1 天))” 

11 “Applications ‑ Active (Last 1 hour) 

(应用程序 ‑ 活动(过去 1 小时))” 

12 “Applications ‑ New (Last 1 day) 

(应用程序 ‑ 新(过去 1 天))” 

13 “Bandwidth Utilization (%) ‑ 

Interfaces(带宽利用率(%) ‑ 接 

口)” 

“Time Period [Last Minute, Last 10 min, Last Hour, Last 24 Hour, Custom 

(Start Time and End Time)](时间段 [过去 1 分钟、过去 10 分钟、过去 1 小 

时、过去 24 小时、自定义(开始时间和结束时间)])” 









“Top N(前 N 个)” 







表 4-3 自定义监视器 ‑ 特定于 NTBA Appliance (续) 


14 “Hosts ‑ Active (Last 1 hour)(主 

机 ‑ 活动(过去 1 小时))” 

15 “Hosts ‑ New (Last 1 day )(主机 

‑ 新(过去 1 天))” 

16 “Services ‑ Active (Last 1 hour ) 

(服务 ‑ 活动(过去 1 小时))” 

17 “Services Traffic (Bytes)(服务流 

量(字节))” 












18 “Throughput Enterprise Traffic “Frequency (1 min, 10 min, hourly, daily), Customize (Start Time, End Time) 

(Bytes)(吞吐量企业流量(字节))” (频率(1 分钟、10 分钟、每小时、每天)和自定义(开始时间、结束时间))” 

19 “Top URLS(前几个 URL)” “Top N, Customize (Start Time, End Time)(前 N 个、自定义(开始时间、结束 

时间))” 

表 4-4 自定义监视器 ‑ 特定于区域 


1 “Top Zone Conversations 

(最常见区域会话)” 

2 “Zone DoS Profile(区域 

DoS 配置文件)” 

“Direction (Bi‑directional, Inbound, Outbound), Time Period [Last Minute, Last 10 

min, Last Hour, Last 24 Hour, Custom (Start Time and End Time)](方向(双向、入 

站、出站)、时间段 [过去 1 分钟、过去 10 分钟、过去 1 小时、过去 24 小时和自定义 

(开始时间和结束时间)])” 

“Direction (Inbound, Outbound), Measure Name (tcp_syn_fin_pkt, udp_pkt, 

non‑tcp_udp_icmp_pkt, tcp_rst_pkt, icmp_echo_or_reply_pkt, icmp_pkt)(方向(入站、 

出站)、测量名称(tcp_syn_fin_pkt、udp_pkt、non‑tcp_udp_icmp_pkt、tcp_rst_pkt、 

icmp_echo_or_reply_pkt 和 icmp_pkt))” 

3 “Zone Files(区域文件)” “Top N, Customize (Start Time, End Time)(前 N 个、自定义(开始时间、结束时 

间))” 

4 “Zone Services Traffic 

(Bytes)(区域服务流量(字 

节))” 

5 “Zone Traffic Summary(区 

域流量摘要)” 

“Top N, Direction (Bi‑directional, Inbound, Outbound), Frequency (1 min, 10 min, 

hourly, daily), Time Period [Last Minute, Last 10 min, Last Hour, Last 24 Hour, 

Custom (Start Time and End Time)](前 N 个、方向(双向、入站、出站)、频率(1 分 

钟、10 分钟、每小时、每天)、时间段 [过去 1 分钟、过去 10 分钟、过去 1 小时、过 

去 24 小时和自定义(开始时间和结束时间)])” 

“Frequency (1 min, 10 min, hourly, daily), Customize (Start Time, End Time)(频率 

(1 分钟、10 分钟、每小时、每天)和自定义(开始时间、结束时间))” 

6 “Zone URLS(区域 URL)” “Top N, Time Period [Last Minute, Last 10 min, Last Hour, Last 24 Hour, Custom 

(Start Time and End Time)](前 N 个、时间段 [过去 1 分钟、过去 10 分钟、过去 1 

小时、过去 24 小时、自定义(开始时间和结束时间)])” 

警报和扫描 

NTBA Appliance 检测威胁并在 Threat Analyzer 的“Alerts(警报)”页中显示警报。对于需要调查其安全状态的主机,提 

供了“McAfee ePO (McAfee ePO 扫描)”和“Vulnerability scan(漏洞扫描)”选项。 

警报和扫描选项在相关监视器中提供,如下所示: 



• “Alerts(警报)”选项在 Host Threat Factor(主机威胁系数)监视器和 Traffic Volume ‑ Zones(流量 ‑ 区域)监视器 

的右键单击菜单中提供。通过“”Alerts(警报)页,可在 Host Threat Factor(主机威胁系数)监视器的右键单击选项 

上查看 All Alerts(全部警报)、IPS Alerts(IPS 警报)和 NTBA Alerts(NTBA 警报)。使用 Traffic Volume ‑ Zones 

(流量 ‑ 区域)监视器的右键单击菜单可以查看 NTBA Alerts(NTBA 警报)。 


4 




• 主机扫描选项在 Traffic Volume ‑ Top Source Hosts(流量 ‑ 前几个来源主机)、Host Threat Factor(主机威胁系数) 

和 Hosts ‑ New (Last 1 day)(主机 ‑ 新(过去 1 天))监视器的右键单击菜单中提供。选择可使用“McAfee ePO Scan 

(McAfee ePO 扫描)”和“Vulnerability Scan(漏洞扫描)”进行扫描的主机。 

“McAfee ePO Scan(McAfee ePO 扫描)”和“Vulnerability Scan(漏洞扫描)”选项在 McAfee Vulnerability Manager 及 

McAfee ePO 与 Manager 集成,并在 Manager 中启用的情况下可用。 

“Alerts(警报)”页实时地将攻击列在“Real‑time Threat Analyzer(实时 Threat Analyzer)”中,并在“Historical Threat 

Analyzer(历史 Threat Analyzer)”中按发生顺序列出选定时间范围内的攻击,最新的攻击列在最前面。攻击的详细信 

息显示在称为属性的多个列中。这些属性代表数据包字段(如来源 IP 和目标 IP)以及 Sensor 分析字段(如攻击严重性和 

类型)。 

可以右键单击并选择“Show Details(显示详细信息)”来查看更为详细的攻击信息。 

“All Alerts(全部警报)”视图显示当前查询视图中存在的所有攻击(实时攻击显示在“Real‑time Threat Analyzer(实时 

Threat Analyzer)”中;选定时段的攻击则列在“Historical Threat Analyzer(历史 Threat Analyzer)”中)。当“Group By 

(分组依据)”选项处于选中状态时,则显示所选组属性的“Alert(警报)”、“Attack counts(攻击计数)”和其他参数。“Alert 

count(警报计数)”显示在这些参数内报告每个攻击的次数。例如,在下图中,对于“ARP: ARP Spoofing Detected 

(ARP: 检测到 ARP 欺骗)”攻击,当前查询报告了两个警报(“Alert Count(警报计数)”= 2)和两个攻击(“Attack Count 

(攻击计数)”= 2)。也就是说,在查询期间,“ARP: ARP Spoofing Detected(ARP: 检测到 ARP 欺骗)”攻击检测到两 

次,报告了两次。还是在该图中,请注意“Samba Trans2Open Buffer Overflow(Samba Trans2Open 缓冲区溢出)”攻 

击的“Alert Count(警报计数)”和“Attack Count(攻击计数)”,该攻击生成的警报数为 74,而攻击实例数为 2133。根据 

配置集,抑制了一个或多个攻击实例。 

“All Alerts(全部警报)”视图还显示每个攻击的相关信息,包括严重性、良性触发几率等。 

图 4-55 “All Alerts(全部警报)”页 


另请参阅 

按属性对警报排序第 194 页 


查看警报属性 

您可以使用“Alerts(警报)”页查看警报的以下属性: 

使用滚动条可以查看警报的全部属性。 

• “Acknowledged(已确认)”:仅限于历史查询,指示识别状态。如果没有选中该框,则表示您尚未手动确认该警报。 

如果该框处于选中状态,则表示您已检查并“Acknowledged(已确认)”该警报。请参阅“确认警报”。所有未确认的警 

报都在 Manager 主页中进行计数。已确认的警报只能在历史查询中查看。 

• “Deleted(已删除)”:(仅限历史视图)指示在当前分析会话期间已经选择删除该攻击。 

• “Destination OS(目标 OS)”:攻击针对的目标计算机上的操作系统。 

• “Time(时间)”:攻击发生的时间。攻击排列顺序为从新到旧(由上至下)。 

• “Severity(严重性)”:攻击影响系统的严重程度:H(高)、M(中)、L(低)或 I(信息)。 

• “Source IP(来源 IP)”:发起攻击的 IP 地址。 

如果来源 IP 显示为带有图标,则说明该地址位于代理服务器之后。 

• “Source Port(来源端口)”:来源计算机上发起攻击的端口。 

• “Destination IP(目标 IP)”:攻击所针对的 IP 地址。 

如果目标 IP 显示为带有图标,则说明该地址位于代理服务器之后。 

• “Destination Port(目标端口)”:攻击所针对的目标计算机上的端口。 

• “Attack(攻击)”:指定触发警报的攻击的具体名称。 

• “Source OS(来源 OS)”:发起攻击的来源计算机上的操作系统。 

• “Domain(域)”:检测到攻击的管理域。 

• “Sensor Name ID(Sensor 名称 ID)”:生成警报的 Sensor 的(名称)。 

如果您在使 Threat Analyzer 窗口保持打开状态的同时创建了故障转移对,Threat Analyzer 仍将继续从主 Sensor 和 

次 Sensor 分别报告警报。这样,当在两个 Sensor 上检测到完全相同的警报时,就会引起混乱。(故障转移对在实际 

工作时,如果两个 Sensor 检测到相同的警报,则由主 Sensor 报告警报。)直到重新启动 Threat Analyzer 后,才会 

反映故障转移对正确报告的警报。 

删除故障转移对的情况恰好相反。必须重新启动 Threat Analyzer 来查看每个 Sensor 各自发出的警报。 

• “Interface(接口)”:检测到攻击的 Sensor 接口。 

• “Type(类型)”:攻击类型。选项包括: 

• “Exploit(利用漏洞)”:与已知的利用漏洞攻击特征码匹配的攻击。Host Intrusion Prevention 警报属于“Exploit(利 

用漏洞)”警报。 

• “Host Sweep(主机扫描)”:试图查看连接到活动系统的 IP 地址的侦测攻击。 

• “Port Scan(端口扫描)”:试图查看特定系统提供的服务内容的侦测攻击。 


查看警报详细信息 4 


4 



• “Simple Threshold(简单阈值)”:违反您设置的 DoS 阈值限制的拒绝服务攻击。 

• “Statistical(统计)”:违反您设置的 DoS 学习模式参数的拒绝服务攻击。 

• “Application Protocol(应用协议)”:在攻击数据中发现的应用协议。 

• “Result(结果)”:警报中所涉及攻击的警报结果状态类别。 

• “Attack Count(攻击计数)”:检测到的可以触发单个警报实例的特定攻击次数。 

• “Direction(方向)”:检测到的攻击所在流量的方向(入站或出站)。 

• “Category(类别)”:攻击的总体类型。 

• “Sub‑category(子类别)”:攻击类型内的具体分类(例如病毒、特洛伊木马等)。 

• “Detection Mechanism(检测机制)”:检测攻击的方法。每种方法都与特定的攻击类别有关。所有方法的定义如下所 

述,包括与每种机制有关的攻击类别: 

• “Signature(特征码)”:攻击数据中的某个字符串与已知字符串匹配(“Exploit(利用漏洞)”或“Policy Violation(违 

反策略)”)。 

• Threshold(阈值):攻击超出了预设阈值(“Reconnaissance(侦测)”或“DoS Threshold Mode(DoS 阈值模 

式)”)。 

• Multi‑flow correlation(多流关联):Sensor 将其接口上的所有数据关联起来,确定有无端口扫描或主机扫描 

(“Reconnaissance(侦测)”)。 

• Protocol anomaly(协议异常):攻击中的协议数据背离协议规范(“Policy Violation(违反策略)”)。 

• Statistical anomaly(统计异常):测量特定的流量时,检测到数据包速率发生显著变化(“DoS Learning Mode 

(DoS 学习模式)”)。 

• Application anomaly(应用程序异常):当来自 HTTP 浏览器的字节数大于实际进入该浏览器的字节数时,将导致 

此类型的攻击(缓冲区溢出)。 

• Multi method correlation(多个方法关联):为了识别攻击行为的不同短语,将多种检测方法用于关联攻击流量。 

此类关联的示例有攻击特征码、McAfee Network Security Platform 外壳代码检测和统计关联。 

• Flow correlation(流关联):为了提高攻击检测的准确性和加大攻击所造成影响,Sensor 将每个会话的双向流量 

关联起来。 

• Multi Sensor correlation(多 Sensor 关联):为了识别不同的攻击行为短语,McAfee ® Network Security 

Manager 将多个入侵检测系统 (Sensor) 上的攻击检测信息关联起来。 

• Protocol discovery(协议发现):Sensor 确定已知端口上的协议异常,例如,在已知端口上运行的 P2P 软件。 

• “Vulnerability Relevance(漏洞关联)”:在 Manager 中为特定攻击生成警报,系统会将此攻击的 CVE ID 与导入 

Manager 数据库中的漏洞报告数据进行比较。如果找到了匹配的 CVE ID/错误跟踪 ID,则这些警报将被标记为 

“Relevant(关联)”。 

• “VLAN ID”:用于在交换机上配置 VLAN 的 ID。 

• “UUID”:警报的警报 ID。 

• “Policy Name(策略名称)”:应用于攻击的策略。 

• “McAfee NAC Info(McAfee NAC 信息)”:如果您已配置了 Network Security Platform‑McAfee ® Network Access 

Control (McAfee NAC) 集成,以便将攻击的详细信息转发给 McAfee NAC 服务器,则 McAfeeNAC 服务器将向 

McAfee ® Network Security Sensor (Sensor) 指明来源主机为托管系统还是非托管系统。此列除了显示主机的隔离和 

修复状态以外,还显示了此信息。 


以下是此列中使用的符号: 

• U 表示攻击主机未被托管。也就是说,来源主机没有活动的 ePO 代理。 

• M 表示攻击主机被托管。也就是说,来源主机具有活动的 ePO 代理。 

• Q 表明攻击主机被 Sensor 隔离。 

• R 表明攻击主机被 Sensor 修复。 

• ? 表明已将攻击详细信息转发给 McAfee NAC 服务器,但 Sensor 未隔离或修复攻击主机。 

‑ 表明未将攻击详细信息转发给 McAfee NAC 服务器。 

• “Source User(来源用户)”:登录到发起攻击的来源计算机上的用户。 

• “Destination User(目标用户)”:登录到攻击所针对的目标计算机上的用户。 

• “Manager”:来源计算机的 Manager 的名称。 

• “Layer 7 Data(第 7 层数据)”:显示所有主要协议(HTTP、SMTP、FTP、NetBIOS‑SS 和 Telnet)的第 7 层数据。 

• “App Name(应用程序名称)”:在攻击流量中检测到的第 7 层应用程序,如 Yahoo! Messenger。Sensor 在检测到 

攻击的时候将可用的应用程序信息发送到 Manager。例如,如果某个攻击通过 Facebook 流量,并且 Sensor 在攻击 

时检测到的应用程序属于 HTTP,则会将检测的应用程序作为 HTTP(而不是作为 Facebook)发送到 Manager。要 

查看应用程序的详细信息,可通过双击警报来打开“Alert Details(警报详细信息)”页。然后单击“Application Name 

(应用程序名称)”链接查看有关应用程序的描述、应用程序类别、风险详细信息等等。 

• “App Category(应用程序类别)”:应用程序所属的类别。例如,如果检测到的应用程序是 Yahoo! Messenger,则 

“Category(类别)”为“Instant Messaging(即时消息)”。默认情况下不显示此列,右键单击标题,并从“Show Column 

(显示列)”列表中选择。类别与默认应用程序组相同。应用程序组是用于定义防火墙策略的防火墙规则对象。 

如果某个应用程序属于多个类别,则只显示由 McAfee Labs 确定的最相关的类别。 

• “App Risk(应用程序风险)”:表示与在攻击流量中检测到的应用程序相关的风险。默认情况下不显示此列,右键单 

击标题,并从“Show Column(显示列)”列表中选择。基于多种因素,McAfee Labs 将应用程序分为高风险、中风险 

和低风险。这些因素包括应用程序对攻击和恶意软件的漏洞、应用程序避开安全应用程序的可能性等等。例如, 

Yahoo! Messenger 属于高风险,因为它可能携带恶意软件,尽管它不容易受到攻击。 

• “Protection Categories(保护类别)”:表示攻击所属的“Protection Categories(保护类别)”的数量。例如,如果显示 

的数量为 2,则表示攻击属于 2 个“Protection Categories(保护类别)”。要查看这些类别的名称,请将鼠标移到数字 

上方。 

如果没有确认某个攻击的“Protection Category(保护类别)”或该类别不适用,则在 Snort 自定义攻击的情况下,该 

攻击将显示为未定义。 

根据攻击意图及其目标,McAfee Labs 将攻击分类到不同的保护类别中。例如,针对客户端操作系统中漏洞的攻击 

将被分到“Client Protection/Operating System(客户端保护/操作系统)”下。这里的“Client Protection(客户端保护)” 

是类别,“Operating System(操作系统)”是子类别。 

另请参阅 

警报视图面板第 269 页 

删除警报第 235 页 

在计数视图中查看数据第 197 页 




4 



操作按钮 

“Alerts(警报)”视图页上提供了下列操作按钮: 

• “Search Alert(搜索警报)”:可以在 Manager 中和 Central Manager 中搜索来自 Threat Analyzer 的警报。 

在 Manager 中,可从“Sensor”下拉列表中选择所需的 Sensor 并键入“Alert ID(警报 ID)”来查看有关相应警报的详细 

信息。 

图 4-56 Manager 中的警报搜索 

在 Central Manager 中,可分别从“Manager”和“Sensor”下拉列表中选择所需的 Manager 和 Sensor,然后键入 

“Alert ID(警报 ID)”来查看相应警报的详细信息。 

图 4-57 Central Manager 中的警报搜索 

• “Save as CSV(另存为 CSV)”:将选定的视图(任何选定的 Threat Analyzer 表或图形)另存为 CSV 文件。逗号分 

隔值 (CSV) 文件是用作可移植呈现数据库的文件格式。您可以将该 CSV 文件保存到您的客户端系统。您可以使用 

Excel 查看该文件,使用导入/图表功能将 CSV 文件显示为图形。 

• “Save as PDF(另存为 PDF)”:将选定的视图(任何选定的表或图形)另存为 PDF 文件。您可以将此 PDF 文件保 

存到您的客户端系统上,然后使用 Adobe Acrobat 查看保存的文件。例如,您在使用“Real‑Time Threat Analyzer(实 

时 Threat Analyzer)”时,希望保存“Attack Details View(攻击详细信息视图)”表以查看警报详细信息。 

• “Save View(保存视图)”:自定义并保存视图以备将来参考。 

• “Saved Views(已保存的视图)”:列出以前保存的视图。您可以打开、重命名或删除已保存的视图。 

• “Quarantined(已隔离)”:您可以将主机隔离。单击“Quarantined(已隔离)”以打开“Quarantine Host(隔离主机)”对 

话框。 

图 4-58 “Quarantine Host(隔离主机)”对话框 

警报视图:右键单击选项 

您可以在“All Alerts(全部警报)”视图中右键单击来针对收到的警报执行各种操作。 


图 4-59 警报视图:右键单击选项 

项目描述 

1 属性 

2 滚动可查看更多属性 

右键单击警报实例行,执行以下一种操作: 

右键单击选项描述 

Acknowledge(确认) 确认选定的警报。 

Show Details(显示详细信息) 打开特定警报的视图。 

Assign Attack Filter(分配攻 

击过滤器) 

Edit Attack Settings(编辑攻 

击设置) 

将警报过滤器与以下内容关联: 

• 管理域 

• Sensor 

• 接口/子接口 

在以下任一级别查看或编辑攻击响应: 

• “Local Policy(本地策略)”(通过此选项可从 Threat Analyzer 直接转到“Edit Attack 

Details(编辑攻击详细信息)”) 

• “Baseline Policy(基准策略)”(通过此选项可直接从 Threat Analyzer 转到“Edit 

Attack Details(编辑攻击详细信息)”页) 

• 默认攻击设置 

Run a Script(运行脚本) 传递 Threat Analyzer 参数并运行第三方脚本。 



Related(相关) 打开一个视图,显示当前查询内与该攻击名称、来源 IP、目标 IP 和检测接口完全匹配 

的全部攻击。 

Evidence Report(证据报告) 打开一个完整的方便阅读的视图,垂直显示选定警报行的全部详细信息。 


4 




Application Profile(应用程序 

配置文件) 

Add to Quarantine(添加到隔 

离区) 

单击以打开“Application Profile(应用程序配置文件)”对话框。此对话框显示有关的详细 

信息,如关联应用程序的描述、应用程序类别、风险详细情况等。 

将发起警报的主机添加到隔离区中并保持: 

• 15 Minutes(15 分钟) 



• 1 Hour(1 小时) 

• Until Explicitly Released(直到明确释放) 

有关隔离选项的详细信息,请参阅使用 IPS 隔离。 

NSLookup 解析来源 IP 或目标 IP 的主机名。 

Start Vulnerability Scan(启动 

漏洞扫描) 

McAfee ePolicy 

Orchestrator (McAfee ePO) 

Host Information(McAfee 

ePolicy Orchestrator 

(McAfee ePO) 主机信息) 

启动 Vulnerability Manager 扫描。 

• Source IP(来源 IP):在来源 IP 中查询漏洞攻击。 

• Destination IP(目标 IP):在目标 IP 中查询漏洞攻击。 

在 ePO 数据库中查询主机或目标主机的详细信息。 

NTBA 允许深入分析以获得下列与 Network Threat Behavior Analysis (NTBA) 有关的监视器: 

• “Host Information(主机信息)”:显示所选主机的“Host name(主机名)”、“Host IP(主 

机 IP)”、“Zone(区域)”、“VLAN”和“Last Seen(上次看到的时间/日期)”。 

• “Host Profile(主机配置文件)”:显示所选主机的下列信息:Host IP address/name(主 

机 IP 地址/名称)、主机是否为内部主机、Is Active(是否处于活动状态)、Zone(区 

域,值为区域名称)、VLAN、OS Type(操作系统类型)、Bytes Received(收到的字 

节数)、Bytes Sent(发送的字节数)、Total Bytes(总字节数)、Threat Factor(威胁 

系数)和 Last Updated (Date/Time)(上次更新日期/时间)。 

• “Layer7 Activity(第 7 层活动)”:显示所选主机的第 7 层信息,如 Destination IP(目 

标 IP)、Destination Zone(目标区域)、Name(名称)、Count(计数)、Activity(活 

动)和 Last Accessed(上次访问时间)。 

• “Touched Hosts(接触的主机)”:显示所选主机的图形视图,指示所选主机与谁通信。 

箭头的粗细表示连接数量。 

有关详细信息,请参阅“McAfee Network Security Platform NTBA 管理手册”。 



TrustedSource Information 

(TrustedSource 信息) 

在 McAfee 的http://www.trustedsource.org中,基于 IP 地址查询有关来源主机或目标主 

机的详细信息 

• “Source IP(来源 IP)”:使用攻击来源的 IP 查询 TrustedSource。 

• “Destination IP(目标 IP)”:使用攻击目标的 IP 查询 TrustedSource。 

请注意与 TrustedSource 有关的如下内容: 

• 只能基于 IPv4 地址查询。 

• TrustedSource 网站上的查询结果是指查询时间(而不是警报时间)开始最后 30 天内 

的结果。 

• 没有 TrustedSource 帐户也可以进行查询,但是 Manager 客户端必须连接到 

Internet。 

• 检验由 NSLookup 和 TrustedSource 查询返回的主机名可以确认 TrustedSource 是否 

显示了所查询主机的详细信息。 

• 对于专用 IP 地址,返回的信誉值为“Neutral(一般)”。 

Vulnerability Manager 选择通过指定“Source IP(来源 IP)”地址或“Destination IP(目标 IP)”地址来请求对主机 

进行一次按需 Vulnerability Manager 扫描。 

Acknowledge All(全部确认) 确认视图中的全部警报。 

Delete All(全部删除) 删除当前视图中的全部警报。 

Delete(删除) 删除选定的警报。 

Show only(仅显示) 仅显示基于选定警报的列属性的警报。 

Hide(隐藏) 隐藏基于选定警报的列属性的警报。 

Create New Incident(创建新 

事件) 

为所选警报创建新事件。 

Add to incident(添加到事件) 向用户生成的事件添加一个警报。 

历史 Threat Analyzer 

下列选项仅在“Historical Threat Analyzer(历史 Threat Analyzer)”的右键单击菜单中提供: 

• “Unacknowledge(取消确认)”:取消确认先前已确认的警报。已确认的警报在取消确认后,不会出现在实时查询中。 

• “Undelete(取消删除)”:对于已删除的攻击(在当前查询中选择,“Acknowledge(确认)”和“Deleted(已删除)”字段 

都已被选中),如果选择了“Undelete(取消删除)”,已删除字段将被取消选中。 

“Historical Threat Analyzer(历史 Threat Analyzer)”仅适用于 Manager Threat Analyzer。 

Central Manager Threat Analyzer 

您可以在“Central Manager Threat Analyzer”中右键单击,并执行可通过本地 Manager 中的右键单击菜单选项来执行的 

所有操作,但无法执行与“Add to IPS Quarantine(添加到 IPS 隔离中)”、“McAfee ePolicy Orchestrator (McAfee 

ePO) Host Information(McAfee ePolicy Orchestrator (McAfee ePO)主机信息)”、“Create New Incident(创建新事 

件)”和“Add to incident(添加到事件)”有关的那些操作。 

另请参阅 

左键单击和右键单击视图选项第 168 页 

查看来源和目标主机的详细信息第 227 页 

创建事件第 235 页 




4 



按属性对警报排序 

“Drilldown(深入分析)”或“Group By(分组依据)”选项为全部警报或选定的警报提供了几个分类视图。每个深入分析都 

列出了类别名称以及警报作为该类别中的元素出现的次数。类别元素的排列没有特定的顺序。 

本地 Manager Threat Analyzer 和 Central Manager Threat Analyzer 中的“Drilldown(深入分析)”和“Group By(分组依 

据)”选项完全相同。 

您可以通过以下途径执行深入分析: 

• 在“Dashboard(信息显示板)”视图中的任一综合窗格中选择一个条块:按照特定的“Drilldown(深入分析)”类别查看 

选定条块中的全部警报。因为每个条块都代表多个警报,所以可以将这些警报分成多个类别以便分析。 

图 4-60 “Dashboards(信息显示板)”中的“Drilldown(深入分析)”选项 


• 借助 Threat Analyzer 的“Alerts(警报)”视图中的“Group By(分组依据)”选项,可以按单个类别对当前查询中的所有 

警报进行分类。 

图 4-61 “Group By(分组依据)”中的“Drilldown(深入分析)”选项 

项目描述 

1 深入分析类别 

2 深入分析元素 

要对警报进行排序以进一步分析,请执行以下操作: 

任务 


• 从 Threat Analyzer 的“Alerts(警报)”页中选择“Group By(分组依据)”。 

• 右键单击“Dashboards(信息显示板)”页综合视图窗格中的一个条块,并选择“Drilldown(深入分析)”。 

• 右键单击“Severity(严重性)”窗格中条块右侧的空白区域,然后选择“Drilldown(深入分析)”。 

2 选择一个要作为视图查看依据的类别: 

“Group By(分组依据)”选项描述 

Admin Domain(管理域) 按捕获警报的管理域 

Application(应用程序) 按涉及的第 7 层应用程序 

App Category(应用程序类别) 按第 7 层应用程序所属的类别。类别与默认应用程序组相同。应用程序组是用 

于定义防火墙策略的防火墙规则对象。 

App Protocol(应用协议) 按检测攻击的应用协议 




4 



“Group By(分组依据)”选项描述 

App Risk(应用程序风险) 按与第 7 层应用程序相关的风险 

Attack Category(攻击类别) 按攻击的常规类型 

Attack Name(攻击名称) 按攻击名称 

Attack Subcategory(攻击子类别) 按攻击类型内的具体分类(例如病毒、特洛伊木马等) 

Dest Country(目标国家/地区) 按目标国家/地区 

Dest IP(目标 IP) 按目标 IP 地址 

Dest OS(目标操作系统) 按攻击针对的目标计算机上的操作系统 

Dest Port(目标端口) 按攻击针对的目标计算机上的端口 

Dest Reputation(目标信誉) 按目标信誉 

Dest User(目标用户) 按登录到攻击所针对的目标计算机上的用户 

Dest VM name(目标 VM 名称) 按目标 Vulnerability Manager 的名称 

Detection Mechanism(检测机制) 按检测攻击的方法。(每种方法都与特定的攻击类别有关。所有方法的定义如 

下所述,包括与每种机制有关的攻击类别。) 

Device(设备) 按设备名称 

Device Type(设备类型) 按 Sensor 设备的类型(例如:IPS Sensor) 

Direction(方向) 按相对于内部网络的传输目标(入站或出站) 

Interface(接口) 按接口 

Manager 按来源计算机的 Manager 的名称 

Policy(策略) 按策略名称 

Protection Categories(保护类别) 按攻击所属的保护类别(此选项在每个保护子类别中显示“Alert Count(警报计 

数)”和“Attack Count(攻击计数)”。) 

Relevance(关联) 指出主机是否易遭此特定攻击 

Result(结果) 按检测到攻击的预计结果 

Sensor 按捕获警报的 Sensor 

Severity(严重性) 按严重性 

Src IP(来源 IP) 按来源 IP 地址 

Src OS(来源操作系统) 按发起攻击的来源计算机上的操作系统 

Src Port(来源端口) 按来源计算机上发起攻击的端口 

Src Reputation(来源信誉) 按来源信誉 

Src User(来源用户) 登录到发起攻击的来源计算机上的用户 

Type(类型) 按攻击类型 

Zone(区域) 按主机已分配到的区域 

所创建的视图显示为“Unsaved Views(未保存的视图)”。在创建这些视图之后,您可以对其进行命名并通过单击“Save 

(保存)”来保存它们。 

另请参阅 


查看警报详细信息第 186 页 


在计数视图中查看数据 

可以按照以下内容对警报进行分组: 

• Admin Domain(管理域) • Device Type(设备类型) 

• Application(应用程序) • Direction(方向) 

• Application Category(应用程序类别) • Interface(接口) 

• Application Protocol(应用协议) • Manager 

• Application Risk(应用程序风险) • Policy(策略) 

• Attack Name(攻击名称) • Protection Categories(保护类别) 

• Attack Subcategory(攻击子类别) • Relevance(关联) 

• Dest Country(目标国家/地区) • Result(结果) 

• Dest IP(目标 IP) • Sensor 

• Dest OS(目标操作系统) • Severity(严重性) 

• Dest Port(目标端口) • Src IP(来源 IP) 

• Dest Reputation(目标信誉) • Src OS(来源操作系统) 

• Dest User(目标用户) • Src Port(来源端口) 

• Dest VM name(目标 VM 名称) • Src User(来源用户) 

• Detection Mechanism(检测机制) • Src VM Name(来源 VM 名称) 

• Device(设备) • Zone(区域) 

每个“Group By(分组依据)”(排序)过程都会在“Count view(计数视图)”中打开一个窗口。对于所有分组,“Count view 

(计数视图)”页中都会显示三列: 

• “Drilldown‑category(深入分析类别)” 

• “Alerts Count(警报计数)” 

• “Attack Count(攻击计数)” 

在按“Interface(接口)”或“Attack Name(攻击名称)”对警报进行分组时,还会显示以下各列: 

• 接口:“Sensor”(详细信息) 

• 攻击名称:“Severity(严重性)”、“H(高)”、“L(低)”、“I(信息)”、“Benign Trigger(良性触发几率)”、“Probability 

(概率)”、“Application Protocol(应用协议)”、“Category(类别)”、“Sub‑Category(子类别)”和“Detection Mechanism 

(检测机制)”。 

您可以在“Count View(计数视图)”中进一步深入分析。右键单击一个表行,并选择“Drilldown(深入分析)”和一种类别, 

以进一步细化警报的分析。 

另请参阅 

查看警报属性第 187 页 




4 



使用多个条件对警报排序 

从 Threat Analyzer 页中,可以根据需要在多个类别上执行单一排序或按顺序排序。要进行单一排序,单击要排序的类 

别标题,Threat Analyzer 将按升序或降序对该列进行排序。要对多个类别进行排序,请在按住“CTRL”的同时连续单击 

要排序的类别标题。Threat Analyzer 将按照所选的顺序进行排序。例如,如果您选择“Attack(攻击)”作为第一个项目, 

随后在按住“Ctrl”键的同时分别按“Direction(方向)”和“Source IP(来源 IP)”,则 Threat Analyzer 将按以下顺序进行排 

序: 

优先级列标题 

1 Attack(攻击) 

2 Direction(方向) 

3 Source IP(来源 IP) 

首先根据“Attack(攻击)”的类型或名称的顺序进行排序,然后根据“Direction(方向)”和“Source IP(来源 IP)”进行排序。 

要对警报进行排序,请执行以下操作: 

任务 


2 单击“Alerts(警报)”。 

3 单击要排序的第一个类别的列标题。 

4 按住“Ctrl”键,然后单击下一个类别。 

5 重复步骤 3 以选择所有用来对信息进行排序所需的类别。 

为警报创建显示过滤器 

除了“Group By(分组依据)”选项,还可以通过使用“Display Filters(显示过滤器)”,根据一个或多个属性来搜索警报。 

当您选择创建显示过滤器时,Threat Analyzer 允许您借助于向导指定自己的警报过滤标准。您可以保存所创建的过滤 

器,它将作为一个选项卡显示在“Alerts(警报)”页中。您可以使用右键单击选项,随时关闭显示过滤器。 

要设置显示过滤器,请执行以下操作: 


任务 

1 从菜单栏中单击“Alerts(警报)”。 

2 选择“Display Filter(显示过滤器)” | “New(新建)”。 

图 4-62 警报视图:“Display Filter(显示过滤器)”选项 

3 输入该过滤器的名称。 

4 定义过滤器属性并为各个参数输入值。 

5 单击“Save and Apply(保存并应用)”保存过滤器名称。单击“Apply once(应用一次)”临时保存过滤器名称。关闭 

“Display Filter(显示过滤器)”后,过滤器名称将被删除。 

在这两种情况下,都会打开一个新的信息显示板,其中包含与所应用的显示过滤器相匹配的警报。 

您随时可以使用“Display Filter(显示过滤器)”列表“Edit(编辑)”或“Delete(删除)”显示过滤器。 

确认警报 

如果您已经检查了警报并确定了响应操作,那么接下来就要确认该警报。“Acknowledge(确认)”字段提供一个简单直观 

的项目清单,帮助您区分已检查的警报和尚待检查的警报。在得到您的确认后,警报即会从“Unacknowledged Alert 

Summary(未确认的警报摘要)”字段统计值中删除,以后,在进行历史 Threat Analyzer 搜索和 IDS 报告时,该警报将 

只能从数据库中检索。 

例如,在使用“Real‑Time Threat Analyzer(实时 Threat Analyzer)”分析警报时,您可能希望通过在综合视图的“Severity 

(严重性)”窗格中选择“Medium(中)”并选择“Acknowledge(确认)”,立即确认严重性级别为中的全部警报。几分钟后, 

您可以关闭“Real‑Time Threat Analyzer(实时 Threat Analyzer)”并打开“Historical Threat Analyzer(历史 Threat 

Analyzer)”会话查看特定时段内未确认和已确认的全部警报。因为不会刷新这些信息,所以您可以从容地仔细检查警报 

并确定响应操作来加强网络安全参数。 

警报将一直保持未确认的状态,直到手动确认为止。 

要确认警报,请执行以下操作: 




4 



任务 

1 右键单击攻击实例行。 

2 单击“Acknowledge(确认)”以确认选定的警报,或单击“Acknowledge All(全部确认)”确认当前搜索中的所有警报。 

3 (仅限历史 Threat Analyzer)检查“Attack Details(攻击详细信息)”窗口以验证警报确认情况:对于已确认的警报, 

将会在其实例旁的“Ack(确认)”列中显示复选标记。 

另请参阅 


显示特定攻击的详细信息 

您可以查看特定攻击的详细信息,更加清楚地了解与该攻击有关的关键信息。然后再利用这些信息加强策略设置和/或启 

动响应操作,如 TCP 重置或主机隔离规则。 

Host Intrusion Prevention 警报与 Network Security Platform 警报的格式设置方式相同。 

要查看特定攻击的详细信息,请执行以下操作: 

任务 



3 单击“Show Details(显示详细信息)”。这些字段与“Alerts View(警报视图)”中的字段相同。例外包括: 

• “General(常规)”:单击可查看攻击的详细信息,如“Protection Category(保护类别)”、“Relevance(关联)”和 

“Alert State(警报状态)”等。 

• “源和目标”:单击可查看来源 IP 地址和目标 IP 地址以及端口等。 

如果来源和/或目标 IP 显示为带有图标,则说明该地址位于代理服务器之后。鼠标在图标上滚动时可获得代 

理服务器的详细信息。 

• “Matched Signature(匹配的特征码)”:单击可查看特征码的信息。 


• “Actions(操作)”:单击右角的此选项可执行以下操作: 

• “Add Source IP to IPS Quarantine(将来源 IP 添加到 IPS 隔离)”:单击可将来源 IP 添加到 IPS 隔离。 

图 4-63 “Add Source IP to IPS Quarantine(将来源 IP 添加到 IPS 隔离)”对话框 

• “Analyze packets(分析数据包)”:分析攻击数据包。 

图 4-64 “Analyze Packets(分析数据包)”对话框 




4 



• “Close Connection Between Source and Destination(关闭来源与目标之间的连接)”:单击可关闭来源与目 

标之间的连接。 

图 4-65 “Close Connection(关闭连接)”对话框 

• “Edit Attack Settings(编辑攻击设置)”:在“Local Policy(本地策略)”级别、“Baseline Policy(基准策略)”级 

别和“Default Attack Settings(默认攻击设置)”上编辑攻击的详细信息。 

• “Enabling Blocking(启用阻止)”:在“Local IPS Policy(本地 IPS 策略)”、“Baseline IPS Policy(基准 

IPS 策略)”和“Default Attack Settings(默认攻击设置)”上阻止攻击数据包。 

• “Generate Evidence Report(生成证据报告)”:单击可生成攻击的报告。 

• “Advanced Configuration(高级配置)”:启用“Quarantine(隔离)”和“TCP Reset(TCP 重置)”响应设置。 

图 4-66 显示警报详细信息 


单实例警报 

另请参阅 

查看攻击类型第 203 页 

查看攻击类型 

所有警报都有一个与警报类型有关的选项卡。对于利用漏洞攻击,区域的名称为“Exploit(利用漏洞)”;对于端口扫描攻 

击,区域的名称为“Port Scan(端口扫描)”等。每个攻击类型都有各自独特的字段,但都含有攻击的来源 IP 和目标 IP 

(“Statistical(统计)”攻击类型除外)。 

• 利用漏洞警报 

• 单实例利用漏洞攻击 

• 合并实例 

• Host Intrusion Prevention 警报详细信息 

• 主机扫描警报 

• 端口扫描警报 

• 简单阈值警报 

• 统计警报 

另请参阅 

显示特定攻击的详细信息第 200 页 

利用漏洞警报 

利用漏洞警报共有三种类型:单实例、多实例(也称为限制利用漏洞)和 Host Intrusion Prevention 警报。 

通过匹配已知字符串检测到“唯一”的警报。 

• “Alert ID(警报 ID)”:与攻击数据包中信息匹配的特征码 ID。利用漏洞攻击可能有多个可用于检测攻击的特征码。 

如果该 ID 为 1,则表示列表中的第一个利用漏洞特征码检测到这一攻击。 

• “Network Protocol(网络协议)”:使用的传输协议。 

• “Application Protocol(应用协议)”:攻击传输中的应用协议。 

• “Source IP(来源 IP)”:来源计算机上发起攻击的端口。 

• “Source Port(来源端口)”:目标 IP 地址。 

• “Destination IP(目标 IP)”:目标 IP 地址。 




4 

单实例选项卡 



• “Destination Port(目标端口)”:攻击所针对的目标计算机上的端口。 

• “Benign Trigger Probability(良性触发几率)”:错误触发警报的概率。 

图 4-67 利用漏洞攻击的详细信息 ‑ 单实例 

• “Configured Response(已配置响应)”:显示为攻击配置的响应操作。默认情况下,为 TCP 和 UDP 攻击预先配置 

的响应操作只有数据包记录。绿色复选标记表示已配置的响应,而红色“X”号表示没有配置自动响应。有关设置自动 

响应的详细信息,请参阅“自定义利用漏洞攻击的响应”。 

图 4-68 已配置响应 

• “Signature Description(特征码描述)”:显示触发机制。如果由于特征码匹配而触发了警报,便会显示该特征码。如 

果是由检查协议字段而触发的,将会显示消息“This was triggered based on the protocol anomaly checks only(只因 

协议异常检查而触发)”。 

图 4-69 特征码描述 


URL 

合并实例 

URL 捕获并显示 http 警报的目标 URL。 

URL 只有在针对服务器的攻击的警报时才显示。 

在以下实例中,可能不会捕获和显示 URL: 

• URL 未启用 • http 攻击没有数据包日志 

• 针对客户端的 http 攻击 • 到达 Manager 的数据包日志延迟 

• 非 http 攻击 

系统将尽最大努力来捕获 URL 信息 

在配置的时间段内,由相同的 VIPS(接口/子接口)检测到的具有相同来源 IP 和目标 IP 的同一利用漏洞警报的多个实 

例。实例的数目大于设置的阈值。合并警报节省了警报占用的资源,从而节省了数据库空间。 

• “Attack Count(攻击计数)”:在指定时段内检测到攻击的次数。此值大于等于设置的“Alert Suppression(警报抑制)” 

值。 

• “Duration(持续时间)”:攻击触发的警报次数达到设置限制的间隔。此值小于等于设置的“Alert Suppression(警报抑 

制)”值。 

图 4-70 利用漏洞攻击详细信息 ‑ 合并利用漏洞攻击 

Host Intrusion Prevention 警报详细信息 

Host Intrusion Prevention 警报详细信息显示在“Exploit(利用漏洞)”选项卡下。Host Intrusion Prevention 警报的来源 

IP 地址和目标 IP 地址将与“Agent IP(代理 IP)”完全相同,因为 Host Intrusion Prevention 是基于主机的 IDS,即主机 

是攻击的发起方或攻击的目标。下面介绍 Host Intrusion Prevention 警报的特有信息: 

• “Agent Name(代理名称)”:用户指定的 Host Intrusion Prevention 代理名称。 

• “Agent IP(代理 IP)”:代理主机的 IP 地址。 

• “User(用户)”:在代理主机上安装代理软件的用户。 

图 4-71 Host Intrusion Prevention 警报详细信息 




4 



主机扫描警报 

“Host Sweep(主机扫描)”警报是指那些违反“Reconnaissance(侦测)”策略阈值设置的扫描。 

• “Source IP(来源 IP)”:IP 地址后的值 (: n) 表示发起攻击的来源端口。如果该值为 0,就表示扫描使用了多个来源 

端口。 

• “Destination Port(目标端口)”:攻击针对的每个主机所在的端口。 

• “Destination IPs(目标 IP)”:攻击针对的目标 IP 地址列表。 

图 4-72 “Host Sweep(主机扫描)”详细信息 

端口扫描警报 

“Port Scan(端口扫描)”警报是指那些违反“Reconnaissance(侦测)”策略阈值设置的扫描。 

• “Source IP(来源 IP)”:IP 地址后的值 (: n) 表示发起攻击的来源端口。如果该值为 0,就表示扫描使用了多个来源 

端口。 

• “Destination IP(目标 IP)”:端口扫描侵害的目标 IP 地址。 

• “Destination IP Ports(目标 IP 端口)”:攻击扫描的目标主机所在的端口列表。 

图 4-73 端口扫描详细信息 

简单阈值警报 

“Simple Threshold(简单阈值)”警报是指那些违反“DoS Threshold Mode(DoS 阈值模式)”设置的警报。 

• “Threshold ID(阈值 ID)”:该 ID 对应于阈值攻击在 DoS 阈值模式目录中的列表位置。 

• “Observed Value(观测值)”:实例出现的次数。因为已经触发了警报,所以该值大于“Threshold Value(阈值)”。 

• “Threshold Duration(阈值持续时间)”:在自定义 DoS 阈值模式时为攻击实例设置的时间限制。它与“Threshold 

Value(阈值)”相辅相成。设置时限后,系统将捕获全部实例,直至达到设置的时间限制为止;而不是在检测到超出 

阈值的第一个实例后立即停止捕获。 

• “Threshold Value(阈值)”:在自定义 DoS 阈值模式时为攻击实例设置的限制值,它与“Threshold Duration(阈值持 

续时间)”相辅相成。 

图 4-74 简单阈值详细信息 


统计警报 

“Statistical(统计)”攻击是指那些违反 DoS 学习模式设置的攻击。 

• “Measures(测量)”选项卡:显示与违反学习模式测量值有关的数据包速率数据柱状图。违反的测量值带有过去 10 

分钟内对应的数据包速率显示。图中显示了学习到的长期速率(在创建 DoS 配置文件过程中建立)和近期活动(短期 

速率),以进行比较。短期速率是指最近 10 分钟(大概)内的速率。当短期速率大于长期速率并超出了指定的响应敏 

感度(DoS 学习模式中设置的“Low(低)”、“Medium(中)”或“High(高)”),即会生成警报。 

百分数值表示所指测量占全部流量的百分比。例如,如果 IP 碎片的“正常”百分比约为 2.5%,则 IP 碎片占受监控网 

段上全部流量的 2.5%。 

例如,在下图中,在某段间隔内流量中零碎的 IP 数据包大大超出已建立的长期百分率,这表示出现 IP 碎片洪水攻 

击。 

图 4-75 统计详细信息 

• “Packet Rate(数据包速率)”选项卡:显示触发警报的最后一分钟内违反测量值的数据包速率。数据包速率将以五 

(5) 秒为间隔显示。 

图 4-76 统计警报:数据包速率 




4 



• “DoS IP Range(DoS IP 范围)”选项卡:显示 DoS 攻击牵涉的 IP 地址的范围,包括来源 IP 和目标 IP。同时还注明 

了攻击所含的数据包类型和数据包数量。“Min(最小)”表示范围的第一个地址,“Max(最大)”表示范围的最后一个地 

址。 

图 4-77 统计警报:DoS IP 范围选项卡 

• “Total Packet Count(数据包总计)”指从给定的来源 IP 和目标 IP 范围内检测到的 DoS 数据包数量。这包括全部误 

报(正常)和攻击(不良)数据包。发往特定网络的各种类型(如 TCP SYN)的所有数据包都将显示在该警报中。 

第一个 DoS 警报显示在触发警报前 5 秒内接收数据包的计数。随后的抑制警报显示自上一个警报以后接收的数据包 

数目。 

如果选择丢弃数据包,Sensor 将只丢弃“不良”数据包。即,如果来源 IP 地址被判定为“正常”,Sensor 就不会始终丢 

弃它发出的数据包。有关 DoS 数据包丢弃响应的详细信息,请参阅确认警报。 

有关深入了解“Statistical DoS Alert(统计 DoS 警报)”的详细信息,请参阅“McAfee 知识库”文章 NAI32027。 

“启发式 Web 应用程序服务器保护”警报 

当 Sensor 检测到针对受保护的 Web 应用程序服务器的攻击时,即会发出“启发式 Web 应用程序服务器保护”警报。要 

让 Sensor 发出这种警报,必须已经配置了“启发式 Web 应用程序服务器保护”。 


当 Sensor 通过默认的启发式检测机制检测出了攻击,即会发出“HTTP:Web Application Server Attack Detected 

(HTTP: 检测到 Web 应用程序服务器攻击)”警报(NSP 攻击 ID:0x4029d300)。这被视作是利用漏洞攻击。Threat 

Analyzer 的“Alert Details(警报详细信息)”页显示 Sensor 在查询中检测到的任何保留的 SQL 关键字。这些内容会显示 

在“Alert Details(警报详细信息)”页中的“SQL Injection Details(SQL 注入详细信息)”部分。 

图 4-78 0x4029d300 警报详细信息 




4 



当 Sensor 检测到了自定义的列入黑名单的文本,则会发出“HTTP:Stored Procedure Name Detected by SQL Injection 

Heuristic Engine(HTTP: SQL 注入启发式引擎检测到存储过程名称)”警报(NSP 攻击 ID:0x00011200)。这被视作是 

违反策略。“SQL Injection Details(SQL 注入详细信息)”部分显示 Sensor 在相应 HTTP 请求中发现的自定义列入黑名单 

的文本。 

图 4-79 0x00011200 警报详细信息 

第 7 层数据警报 

当 Sensor 检测到针对受保护的第 7 层数据的攻击时,则会发出针对所有主要协议(如 HTTP 和 SMTP)的警报。 


“Alerts Details(警报详细信息)”页显示应用协议、攻击类别以及匹配的特征码(该攻击是根据此特征码检测到的)。 

图 4-80 第 7 层 ‑ 警报详细信息 

执行响应操作 

有效保护网络的关键在于响应检测到的攻击的能力。配置策略的过程中,您可以为检测到的利用漏洞攻击和统计 (DoS) 

攻击的响应操作设置选项。对于大多数攻击,默认情况下未启用任何响应操作。有些攻击默认时启用了数据包记录响应。 

响应操作的示例有数据包记录和发送 TCP 重置等。 

有关详细信息,请参阅“自定义利用漏洞攻击的响应”。 

除了“Drop Further Packets(丢弃其余数据包)”(串联模式)响应是实时执行的,其他攻击响应操作都是在 Threat 

Analyzer 分析期间执行的。以下各节详细介绍各种响应选项: 

• 查看数据包日志 

• 发送 TCP 重置 

• 确认警报 

查看数据包日志 



数据包日志由捕获违规传输网络流量的 Sensor 创建。协议分析专家可以使用这些日志信息确定导致警报的原因,并制 

定预防再次发生同类警报的解决办法。默认情况下,只为一些利用漏洞攻击创建数据包日志。如果您要查看没有自动生 

成数据包日志的特定攻击的数据包数据,可以创建或复制新的策略并为选定的攻击设置数据包日志响相应。 


4 



Sensor 采用数据包捕获函数库 (libpcap) 格式保存所有数据包日志,并将它们存储在 Manager 数据库中。您可以使用 

Ethereal 检查日志文件。 

Ethereal 是适用于 Unix 和 Windows 服务器的网络协议分析程序,可以用来检查由 Sensor 捕获的数据。有关下载和使 

用 Ethereal 的详细信息,请参阅 www.ethereal.com。在尝试查看数据包日志前,您必须已经安装了 Ethereal 并放置到 

位。请按照首选项中的过程执行操作。另外,您还必须在所有客户端(远程登录 Manager)计算机上安装 Ethereal,以便 

查看数据包日志。 

记录的攻击数据包仅适用于利用漏洞攻击。 

通过设置删除计划,可以从数据库中删除数据包日志,具体说明请参阅“设置文件清除计划”。 

要查看数据包日志,请执行以下操作: 

任务 

1 选择“Show Details(显示详细信息)”。 

2 从“Actions(操作)”中,单击“Analyze Packets(分析数据包)”选项卡。 

图 4-81 “Analyze Packets(分析数据包)”选项卡 

3 选择下列选项之一: 

• “Attack Packets Only(仅攻击数据包)”:仅显示与攻击数据包有关的信息。除非在编辑策略期间将其禁用,否则 

它将包括攻击数据包前的 128 个字节。 

• “Attack Packets and the(攻击数据包和)” n “subsequent packets(n 个后继数据包)”:键入要包含在日志视图 

中的攻击数据包之后的数据包数目。例如,如果在提示框中输入 2,数据包日志将包含攻击数据包及攻击数据包 

后的 2 个数据包,并且包含攻击数据包前的 128 个字节。前 128 个字节将被分成两个虚拟数据包,它们在数据 

包日志中显示为假 Ethertype 数据包(“FFFF”)的形式。 

• “All Packets in the flow(流中的所有数据包)”:显示与攻击处于同一流的全部数据包。 

即使您选择“All Packets in the Flow(流中的所有数据包)”,Sensor 在出现故障时也可能无法继续记录。 

• “All Packets in this flow and all related flows(此数据流和所有相关流中的所有数据包)”:显示以下元素全部相同 

的所有相关数据包日志:攻击 ID + VIPS(接口/子接口)+ 来源 IP + 目标 IP。 

4 单击“Analyze Packets(分析数据包)”(打开 Ethereal 查看日志)。您之前必须已经指定了 Ethereal 程序的位置,因 

为它与 Manager 或客户端计算机有关。 


发送 TCP 重置 

TCP 重置是一种网络响应,用于断开已建立的 TCP 传输。TCP RST 阻断来自恶意源的攻击,结束通向漏洞目标的传 

输,或者结束从来源到目标的传输。 

任务 

发送 TCP 重置仅适用于基于 TCP 协议的攻击。 

如果 Sensor 处于串联模式,它将丢弃全部其余数据包,而不是发送 TCP 重置。 

1 右键单击基于 TCP 的攻击实例行。 

2 选择“Show Details(显示详细信息)”。 

3 单击“Advanced Configuration(高级配置)”。 

4 单击“TCP Reset(TCP 重置)”选项卡。 

5 单击“TCP Reset(TCP 重置)”按钮。 

图 4-82 响应:TCP 重置 

阻止统计攻击的其余 DoS 数据包 

对于统计攻击(也就是与学习的长期 DoS 配置文件测量值相比较的短期峰值),您可以阻止在可配置的时段内的相同 

DoS 测量类型的其余数据包。一旦发出阻止响应,即会激活 DoS 过滤器来保护您的网络免受同一测量类型流量的进一 

步攻击。 

这个响应不同于策略配置期间启用丢弃 DoS 数据包。如果在策略配置期间启用了丢弃 DoS 数据包,您就不必手动开始这 

个操作,该响应自动启动。对于此自动响应,DoS 阻止过滤器仅在短期测量值违反长期测量值时才激活。要启用自动丢 

弃 DoS 数据包功能,请参阅“自定义拒绝服务 (DoS) 模式”。 

要阻止其余恶意 DoS 数据包,请执行以下操作: 

任务 


2 从“Alerts(警报)”视图中,右键单击“Statistical(统计)”攻击实例行。 

3 单击“Block(阻止)”。 




4 



4 键入您希望 DoS 过滤器积极阻止相同测量类型的其余 DoS 数据包的持续分钟数。 

5 单击“Block(阻止)”。 

有关查看 DoS 过滤器的详细信息,请参阅“McAfee Network Security Platform 设备管理手册”中的“管理 DoS 过滤 

器”。 

要启用攻击阻止、“Outbound TCP OTX Segment Volume Too High(出站 TCP OTX 段数量太多)”和“Inbound TCP 

FIN Volume Too High(入站 TCP FIN 数量太多)”,需要将“TCP Flow violation(TCP 流违规)”设置为“Deny(拒 

绝)”。有关设置 TCP 流违规的详细信息,请参阅“McAfee Network Security Platform 设备管理手册”中的“配置 TCP 

设置”。 

图 4-83 阻止 DoS 数据包 

配置攻击过滤器关联 

可以选择特定的警报并配置攻击过滤器。如有必要,可以创建新的攻击过滤器并将其应用于选定的警报。可以将攻击过 

滤器应用于发出攻击的资源,还可以将其应用于攻击方向。 

要配置攻击过滤器关联,请执行以下操作: 

任务 


2 单击某个攻击。 


3 右键单击警报并在 Sensor、接口或子接口级别选择“Assign Attack Filter(分配攻击过滤器)”。 

图 4-84 配置关联 

此时将显示“Filter Assignment(过滤器分配)”窗口。 

4 从“Available Attack Filters(可用的攻击过滤器)”列表中选择过滤器。 



5 单击“Add(添加)”将警报移至“Selected Attack Filters(选定的攻击过滤器)”列表。要从“Selected Attack Filter(选定 

的攻击过滤器)”列表中删除警报,请选择该警报并单击“Remove(删除)”。 


4 



6 要在“Available Attack Filters(可用的攻击过滤器)”列表下面添加其他攻击过滤器,请单击“Manage Attack Filters(管 

理攻击过滤器)”。 

此时即会显示“Manage Attack Filters(管理攻击过滤器)”窗口。 

图 4-85 Managing Attack Filters(管理攻击过滤器) 

7 可以针对攻击过滤器执行“New(新建)”、“Clone(复制)”、“View/Edit(查看/编辑)”或“Delete(删除)”操作。 

有关各种警报管理任务的信息,请参阅“McAfee Network Security Platform IPS 管理手册”中的“管理攻击过滤器和攻 

击响应”。 

8 单击“Save(保存)”。否则,请单击“Cancel(取消)”。 

查看和编辑攻击响应 

要查看和编辑攻击响应,请执行以下操作: 


任务 


2 单击“Alerts(警报)”。 

3 右键单击所需的警报,然后选择“Edit Attack Settings(编辑攻击设置)” | “Local Policy(本地策略)”。此时会显示 

“Edit Attack Details for Attack:(编辑攻击: 的攻击详细信息)”窗口。 

图 4-86 编辑攻击详细信息 

运行脚本 

您不能使用此窗口管理和配置攻击的攻击过滤器。 

借助“Run a Script(运行脚本)”操作,可以使用 Network Security Platform 传来的参数运行第三方脚本。例如,可以运 

行脚本以使用故障标记系统,该系统直接从 Network Security Platform 使用 Threat Analyzer。 

要运行使用 Threat Analyzer 参数的脚本,请执行以下操作: 

任务 


2 单击“Run a Script(运行脚本)”: 

3 此时会显示“Run a Script for Attack (运行攻击的脚本)”对话框。 




4 



4 执行以下一项或多项操作: 

• “Load a script(加载脚本)”:在“Load script content from(脚本内容加载自)”列表中,选择要加载的“Local File 

(本地文件)”或“Manager” 脚本。单击“Load(加载)”加载脚本。单击“RUN(运行)”运行脚本。 

• “Write a script(写入脚本)”:在“Content(内容)”区域中,键入要运行的脚本。从“Alert/Attack Attribute(警报/ 

攻击属性)”列表中选择属性,然后单击“Add to Content(添加内容)”以将其包含在脚本中。单击“Run(运行)”运 

行脚本。 

使用引号 (") 确保在将属性传递给脚本时不会将其截断(例如 "ALERT_ID")。 

• “Save a Script(保存脚本)”:从“Store script content to(将脚本内容存储到)”列表中选择“Local File(本地文 

件)”或“Manager”以确定存储脚本的位置。单击“Store(存储)”以保存更改。 

图 4-87 运行脚本 


您可以通过右键单击快捷菜单中提供的选项,访问最近访问过的脚本。最多提供 10 个脚本。 

图 4-88 右键单击菜单中最近访问过的脚本 

查看和保存证据报告 

“Evidence Report(证据报告)”操作将在一个独立窗口中打开选定警报行的完整视图。“Attack Details(攻击详细信息)” 

表中包含多个列,因为列标题大小的影响而不能同时查看全部列。此功能启用了垂直视图(而非水平视图)显示警报的详 

细信息,并使您可以选择将包括数据包日志(如果有)在内的警报信息保存为 CSV 文件(压缩为 zip 格式以便传输)。 

您可以使用 Excel 之类的电子表格程序查看该 CSV 文件。 

要查看和保存证据报告,请执行以下操作: 




4 



任务 


2 单击“Evidence Report(证据报告)”。 

图 4-89 证据报告 

3 (可选)选中“Save Packet Log(保存数据包日志)”复选框,保存数据包日志数据以及警报详细信息。 

4 将光标移至“Comments(备注)”字段的空白区域并键入文字,添加攻击的备注信息。 

5 (可选)单击“Save(保存)”按钮保存一份警报详细信息以备将来参考,文件的保存位置由用户决定。 

警报页中的 IPS 隔离选项 

“Alerts(警报)”页为主机提供以下 IPS 隔离选项: 

• 从“Alerts(警报)”页添加要进行 IPS 隔离的主机 

• 从“警报详细信息”中隔离主机 

如果来源 IP 在“代理服务器”之后,则隔离该代理服务器 IP。因此会隔离通过代理服务器的所有流量。 

另请参阅 

从“警报”页添加要进行 IPS 隔离的主机第 221 页 

从“警报详细信息”中隔离主机第 221 页 


从“警报”页添加要进行 IPS 隔离的主机 

您还可以从 Threat Analyzer 中的“Alerts(警报)”页中所显示的警报列表隔离主机。 

任务 

1 从 Manager 启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“Alerts(警报)”。 

此时将显示“All Alerts(全部警报)”选项卡,其中包含了所有警报的列表。 

3 选择要隔离的警报(主机)。右键单击该警报。 

4 选择“Add to Quarantine(添加到隔离)”。将显示以下选项: 

• “15 Minutes(15 分钟)” 



• “1 Hour(1 小时)” 

• “Until Explicitly Released(直到明确释放)” 

您可以针对“Quarantine Duration(隔离持续时间)”选择将主机隔离以上时间长度。例如,可以将主机隔离 15 分钟。 

图 4-90 从“警报”页添加要进行 IPS 隔离的主机 

将显示一个弹出窗口,让您确认是否要隔离所选主机(IP 地址)。 

5 如果该主机被添加到隔离主机列表中,则会显示一条消息,说明隔离成功。如果该主机已被隔离,则会显示一条消 

息,说明该主机的 IP 已存在于隔离主机列表中。 

另请参阅 

警报页中的 IPS 隔离选项第 220 页 

从“警报详细信息”中隔离主机 

您可以从警报详细信息中添加要隔离的主机。 




4 



要从“Alert Details(警报详细信息)”视图中添加要隔离的主机,请执行以下操作: 

任务 

1 从“Manager”主页启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“Alerts(警报)”。此时将显示“All Alerts(全部警报)”选项卡,其中包含了所有警报的列表。 

3 选择警报(主机)并右键单击该警报。 

4 选择“Show Details(显示详细信息)”。此时将显示“Alert Details(警报详细信息)”。 

图 4-91 从“Alert Details(警报详细信息)”中隔离 

5 单击“Add Source to IP or IPS Quarantine(将来源添加到 IP 隔离或 IPS 隔离)”。 


6 选择“Quarantine(隔离)”。 

此时将显示“Quarantine(隔离)”窗口。在这里,您可以查看该 Sensor 的当前可用的隔离规则。 

图 4-92 Sensor 的隔离主机 

以下字段显示在以上窗口的隔离规则列表中。 

表 4-5 

字段名描述 

Src IP Address(来源 IP 

地址) 

Filter End Time(过滤器结 

束时间) 

希望隔离的主机的来源 IP 地址。 

此字段代表隔离规则的过滤器结束时间的当前值。“Filter End Time(过滤器结束时间)” 

的当前值是在 Manager 中配置的隔离持续时间与当前时钟时间的组合。 

Host Type(主机类型) 对于基于 McAfee NAC 响应的隔离和修复,“Host Type(主机类型)”字段至关重要。此 

字段可以是“Managed Host(托管主机)”或“UnManaged Host(非托管主机)”,也可以 

是“Not Applicable(不适用)”。 

Action Status(操作状态) “Action Status(操作状态)”字段代表 Sensor 对引用攻击的响应操作的状态。此状态可 

以为“Quarantine(隔离)”或“Remediation(修复)”。 

7 在“Quarantine(隔离)”窗口中,输入要在“Quarantine Host(隔离主机)”窗口中隔离的主机的 IP 地址。它可以为 

IPv4 地址或 IPv6 地址。 

对于每个 Sensor 来说,对于 IPv4 地址,最多可以有 1000 条 IPS 隔离规则,而对于 IPv6 地址,最多可以有 500 

条 IPS 隔离规则。 

8 您可以根据需要更改“Quarantine Duration(隔离持续时间)”。 

9 单击“Add to IPS Quarantine(添加到 IPS 隔离)”。规则显示在“Quarantine(隔离)”窗口中。 

10 在此处创建的隔离规则反映在“Hosts(主机)”选项卡中。 

11 要关闭“Quarantine(隔离)”窗口,请单击“Close(关闭)”。 

另请参阅 

警报页中的 IPS 隔离选项第 220 页 

手动隔离主机 

甚至在网络上检测到主机前,您便可以手动隔离主机。这一功能仅适用于 IPS 和 IPS + NAC Sensor,不适用于仅支持 

NAC 的 Sensor。 

只有在启用 IPS 隔离的端口上,才能手动隔离主机。 




4 



任务 

1 在 Threat Analyzer 中,选择“Alert / Hosts(警报/主机)”选项卡。 

2 单击“Quarantined(已隔离)”。 

此时会显示“Quarantine Host(隔离主机)”对话框。 

图 4-93 “Quarantine Host(隔离主机)”对话框 

3 在“IPAddress(IP 地址)”字段,键入来源 IP 地址。 

4 从下拉列表中选择“Quarantine Duration(隔离持续时间)”。隔离持续时间可设置为如下: 




• 1 Hour(1 小时) 

5 从下拉列表中选择“Sensor”。 

6 单击“Quarantine(隔离)”以隔离主机。 

NTBA 违反策略、Botnet(僵尸网络)和行为警报的隔离操作 

您可以选择隔离违反策略、Botnet(僵尸网络)攻击和行为 NTBA 警报。 

需要在每个区域的策略级别启用隔离响应操作。 

如果攻击是在第三方路由器中检测到的,NTBA Appliance 会通过将路由器上的 ACL 设置为 5 分钟(默认情况下)以隔 

离该主机。 

如果攻击是在 Sensor 中检测到的,NTBA Appliance 会将隔离详细信息作为警报的一部分发送到 Manager。作为响应, 

Manager 会将相应的来源主机作为主机隔离的一部分发送到 Sensor。 

在警报中发送的隔离详细信息包括导出器 ID、响应操作和来源接口。 

默认情况下,隔离的有效期限为 5 分钟。如果您希望更改此值,请与 McAfee 技术支持部门联系。 


在 Threat Analyzer 的“Alerts(警报)”页中,所列警报的“Add to Quarantine(添加到隔离)”右键单击选项提供了特定的 

隔离期限选项(“15 Minutes(15 分钟)”、“30 Minutes(30 分钟)”、“45 Minutes(45 分钟)”、“60 Minutes(60 分钟)” 

或“Until Explicitly Released(直到明确释放)”)。 

图 4-94 添加到隔离右键单击选项 

隔离响应 ‑ 作为导出器的 Sensor 

对于从作为导出器的 Sensor 发出的 NTBA 警报,IPS 设置节点上“IPS Quarantine(IPS 隔离)”页中的隔离设置(“IPS 

Settings(IPS 设置)” >“IPS Quarantine(IPS 隔离)” >“Default Port Settings(默认端口设置)”)会覆盖“Add to Quarantine 

(添加到隔离)”选项,可为 Threat Analyzer 的“Alerts(警报)”页中的 NTBA 警报设置该选项。 

图 4-95 IPS 隔离页 

隔离响应 ‑ 第三方导出器 



对于从作为导出器的第三方路由器发出的 NTBA 警报,提供了“Add to Quarantine(添加到隔离)”选项,可为 Threat 

Analyzer 的警报页中的 NTBA 警报设置该选项。 


4 



执行 NSLookup 

您可以执行“NSLookup” 来解析来源或目标 IP 地址对应的主机名。主机名可以帮助您快速识别遭遇攻击的主机,或确定 

攻击来源。 

要执行“NSlookup”,请执行以下操作: 

任务 


2 选择“Alerts(警报)”。 

此时将显示“All Alerts(全部警报)”选项卡,其中包含了所有警报的列表。 


4 选择“NSLookup”,然后选择以下一种选项: 

• “Source IP(来源 IP)”:解析来源主机名。 

• “Destination IP(目标 IP)”:解析目标主机名。 

如果没有主机名或无法解析主机名,“Resolved Name(解析的名称)”将显示被查找地址的 IP 地址或显示为 

“Address Not Resolved(地址未解析)”。 

图 4-96 NSLookup 结果 

5 (可选)单击“Who Is(是谁)”按钮显示有关注册主机的信息。单击“OK(确定)”关闭“Who Is(是谁)”窗口。 

从 ePO 服务器中查询主机详细信息 

在管理域级别启用 Network Security Platform‑ePO 集成后,可以从 Threat Analyzer 中查询并查看对应网络主机权限的 

详细信息。如果您已安装了 McAfee Host Intrusion Prevention 软件,并且 Host Intrusion Prevention 正在主机上运行, 

则还可以查看主机的前 10 个 Host Intrusion Prevention 事件。 

请考虑以下示例。My Company(我的公司)是根管理域,HR 和 Finance 是其子域。Sensor‑HR 和 Sensor‑Fin 是这两 

个子域的对应 McAfee ® Network Security Sensor。假设仅对 Finance 启用了 Manager‑ePO 集成。对于由 Sensor‑Fin 

检测到的攻击,可以从 Threat Analyzer 中查看来源和目标主机的详细信息,因为已对 Finance 管理域启用了 ePO 集 

成。 

请注意,如果要查看详细信息,则应在 ePO 服务器中进行查看。例如,如果攻击来自网络外部,则 ePO 服务器可能不 

具备有关此来源主机的任何信息。 


主机可能属于以下三种类型之一: 

• 托管主机:这些主机当前由 ePO 代理进行托管。 

• 非托管主机:这些主机已被 ePO 识别,但当前未被任何 ePO 代理托管。 

• 未识别主机:ePO 不具备有关这些主机的任何信息。在 Threat Analyzer 中,未识别的主机用一系列省略号 (‑ ‑ ‑) 表 

示。 

您可以查看警报中的来源和目标主机的详细信息。或者,您还可以输入 IP 地址并从 ePO 服务器中获取详细信息。借助 

这些详细信息,可以解答并解决这些主机中与安全有关的所有问题。在 Threat Analyzer 中,可以查看托管和非托管主 

机的详细信息,但不能查看未识别主机的详细信息。 

如果修改了 ePO 服务器设置,请重新启动 Threat Analyzer 以查看主机详细信息。 

另请参阅 

使用 IP 地址查看主机详细信息第 230 页 

查看来源和目标主机的详细信息 

查看警报中的来源主机或目标主机的详细信息: 

任务 

1 打开“Real‑time Threat Analyzer(实时 Threat Analyzer)”或“Historical Threat Analyzer(历史 Threat Analyzer)”。 

2 单击“Alerts(警报)”。右键单击某个警报,选择“McAfee ePO Host Information(McAfee ePO 主机信息)”,然后选 

择“Source IP(来源 IP)”或“Destination IP(目标 IP)”。您还可以右键单击许多警报并查询服务器。 

此时会显示一条信息性消息,声明 McAfee ePO 查询成功。 

图 4-97 ePO 消息 



您应该在域级别启用 Network Security Platform‑McAfee ePO 集成,以查看右键单击菜单中的 McAfee ePO 选项。 

可以同时查询许多 IP 地址。例如,RFC 溢出警报中有 11 个目标地址。可以使用单个查询来查询所有这些地址。 

您可以从“Alerts(警报)”页和“Hosts(主机)”页查询 McAfee ePO 服务器的主机信息。右键单击“Hosts(主机)”页上 

的 IP 并选择“View McAfee ePO Information(查看 McAfee ePO 信息)”。如果 McAfee ePO 查询成功,则 

Manager 会通知您,并允许您导航到“Host Forensics(主机鉴证)”页以显示查询结果。 


4 



3 单击“Yes(是)”。 

此时将显示“Host Forensics(主机鉴证)”页,其中包含主机详细信息摘要。另外,McAfee ePO 服务器的名称或 

IP 地址也会显示在“McAfee ePO Host Information(McAfee ePO 主机信息)”旁边的括号中。 

图 4-98 来自 ePO 的主机详细信息摘要 

4 对于托管主机或非托管主机,双击“McAfee ePO Host Information(McAfee ePO 主机信息)”中的一行信息,可查看 

其他详细信息。 


详细信息显示在以主机的 IP 地址命名的选项卡区域中。如果双击后不显示其他详细信息,则可能说明主机未被识 

别,或者您以前查询了相同的托管/非托管主机且该主机的选项卡区域仍然可用。 

图 4-99 其他详细信息 ‑ 托管主机 

图 4-100 “Latest Events(最新的事件)”选项卡 

您还可以从“Hosts(主机)”页中查看来源主机和目标主机的详细信息。 

在“Host Forensics(主机鉴证)”页中右键单击所需的选项 

您可以选择一个 McAfee ePO 查询并右键单击来查看以下内容: 

• “View Details(查看详细信息)”:查看托管/非托管主机的其他详细信息。 

• “Query again(再次查询)”:再次查询主机。 




4 



• “Delete(删除)”:删除所查询到的主机信息。 

• “Delete All(全部删除)”:删除主机信息部分中的所有行。 

图 4-101 ePO 的主机详细信息摘要中的右键单击选项 

另请参阅 

非托管主机的其他详细信息第 234 页 


查看鼠标掠过摘要 

可以将鼠标放在“Alerts(警报)”页中的 IP 地址上,以显示基本主机数据(如主机名、用户和操作系统版本)的摘要。 

图 4-102 查看鼠标掠过摘要 

您需要从“Enable ePO Integration(启用 ePO 集成)”页中启用此选项。只有当在 Manager 中还启用了 ePO 集成时,该 

摘要才在“Alerts(警报)”页中可见。 

使用 IP 地址查看主机详细信息 

可以使用“Host Forensics(主机鉴证)”页中的主机 IP 地址进行查询来查看主机的详细信息。一次最多能查看 100 个主 

机的详细信息。如果查询数目超过 100,系统将删除最早的详细信息行。 

使用 IP 地址查看主机详细信息: 


任务 


2 单击“Host Forensics(主机鉴证)”选项卡。 

3 输入 IP 地址。 

4 选择针对 ePO 数据库配置的管理域名称。 

5 单击“Query now(立即查询)”。 

“Host Forensics(主机鉴证)”页的“ePO Host Information(ePO 主机信息)”中即会列出来源或目标 IP。另外,ePO 

服务器的名称或 IP 地址也会显示在“ePO Host Information(ePO 主机信息)”旁边的括号中。 

如果要查询未知主机,那么,当您单击与该主机相对应的行以获得主机信息(该行上仅显示破折号)时,会显示一条 

弹出消息,声明该数据不可用。 


6 对于托管主机或非托管主机,双击“ePO Host Information(ePO 主机信息)”中的一行信息,可查看其他详细信息。 

图 4-104 其他详细信息 ‑ 非托管主机 



双击一行信息时,详细信息会显示在以主机 IP 地址命名的选项卡区域中。如果双击后不显示其他详细信息,则可能 

是主机未被识别,或者您以前查询了相同的托管/非托管主机且该主机的选项卡区域仍然可用。 


4 



任务 

• 启动 McAfee ePO 控制台第 233 页 

另请参阅 

托管主机的其他详细信息第 232 页 


从 ePO 服务器中查询主机详细信息第 226 页 

查看主机鉴证第 253 页 

托管主机的其他详细信息 

对于托管主机和非托管主机,可以双击“Host Forensics(主机鉴证)”页的“Summary(摘要)”选项卡区域中的一行信息, 

以查看其他详细信息。这些其他详细信息与 ePO 在主机上安装的点产品有关。如果您已安装 Host Intrusion 

Prevention,并且 Host Intrusion Prevention 正在主机上运行,则还可以查看主机中最近发生的 10 个 Host Intrusion 

Prevention 事件。请注意,所显示的最近发生的 10 个事件根据其严重性级别进行排序。 

Host Intrusion Prevention 事件是由 Host Intrusion Prevention 生成的、与主机上的活动有关的警报。有关详细信息,请 

参阅“McAfee Host Intrusion Prevention 文档”。 

根据其他详细信息和事件,您可以优化主机上的安全应用程序,从而实现最佳保护。 

可以在“Host Information(主机信息)”选项卡下面查看托管主机的详细信息: 

字段描述 

Host Name(主机名) 托管主机的名称。 

IP address(IP 地址) 托管主机的 IP 地址。 

MAC Address(MAC 地址) 主机的媒体访问控制地址。 

Host Type(主机类型) 托管主机有一个正常工作的McAfee Agent,该代理与集成到管理域中的同一个 

ePO 服务器进行通信。 

Operating system(操作系统) 操作系统的版本。例如:Windows 2003 (5.2 ‑ Service Pack 2) 

User (s)(用户) 主机的操作系统用户名。 

Domain/workgroup(域/工作组) 主机所属的域或工作组。 

Source ePO server(来源 ePO 服 

务器) 

Information query time(信息查询 

时间) 

Last McAfee Agent Update 

(McAfee Agent 上次更新时间) 

安装的产品 

Network Security 

Platform 

(Network Security Platform ) 

所查询到的 ePO 服务器的 IP 地址。 

显示 Manager 向 ePO 服务器发送查询的时间。 

代理最后一次向 ePO 报告的时间。 

Engine Version(引擎版本) 产品引擎的版本(如果适用)。 

由 ePO 在主机上安装的点产品。例如,可以为 VirusScan 或 Host Intrusion 

Prevention。已安装产品的版本显示在括号中 

DAT Version(DAT 版本) 产品 DAT 文件的版本(如果适用)。 

单击“Latest Events(最新的事件)”选项卡,查看最近发生的 10 个 Host Intrusion Prevention 和防病毒事件的以下信息。 

最近发生的 10 个防病毒事件 

Event Time(事件时间) 防病毒代理收到事件时的日期和时间。 

Threat Name(威胁名称) 导致事件出现的威胁的名称 


最近发生的 10 个防病毒事件 

Threat Type(威胁类型) 触发事件的威胁的类型。 

Action Taken(采取的措施) 防病毒代理针对所报告的事件采取的措施。 

File Path(文件路径) 导致事件出现的受影响文件的路径。 

Analyzer Detection Method(分析器检测方法) 用来检测防病毒事件的方法。 

最近发生的 10 个 McAfee Host Intrusion Prevention 事件 

Time(时间) Host Intrusion Prevention 代理收到事件时的日期和时间。 

Signature Name(特征码名称) 导致事件出现的特征码的名称。 

Signature ID(特征码 ID) 导致事件出现的 Host Intrusion Prevention 特征码的 ID。 

Severity(严重性) Host Intrusion Prevention 事件的严重性级别。 

User(用户) 启动事件时的用户。 

Process(进程) 触发事件的应用程序进程。 

Source IP(来源 IP) 事件的来源 IP 地址。 

Reaction(反应) 设置在触发事件时发生的反应。 

另请参阅 


启动 McAfee ePO 控制台 

“Host Forensics(主机鉴证)”页允许您通过 Threat Analyzer 本身启动 McAfee ePO 控制台来查看主机的其他详细信 

息。 

任务 

1 打开“Real‑time(实时)”或“Historical(历史)”Threat Analyzer。 

2 单击“Host Forensics(主机鉴证)”。 

3 输入 IP 地址并单击“Query now(立即查询)”。 




4 



4 双击某一托管主机。 

此时将显示“Host information(主机信息)”页的详细视图。 

5 单击“Open McAfee ePO console(打开 McAfee ePO 控制台)”。 

图 4-105 主机详细信息 

可以在 ePO 控制台上执行的操作将基于为用户凭据分配的权限,这些用户凭据是您在配置 McAfee ePO 服务器的 

过程中输入的。 

非托管主机的其他详细信息 

非托管主机不会让 McAfee ePO 代理来管理其点产品。以下是可以查看的非托管主机的其他详细信息: 

字段描述 

DNS 主机的 DNS 名称。 

NetBIOS name(NetBIOS 名称) 主机的 NetBIOS 名称。 

IP Address(IP 地址) 主机的 IP 地址。 

MAC Address(MAC 地址) 主机的 MAC 地址。 

Host Type(主机类型) “Host Type(主机类型)”显示为下列内容之一: 

Last detection time(上次检测时 

间) 

• UNMANAGED (No Agent)(非托管(无代理)):此信息表示主机上没有安装 

McAfee Agent。 

• UNMANAGED (MANAGED)(非托管(托管)):此信息表示主机上有 McAfee 

Agent,但是 Agent 与集成到管理域中的 ePO 服务器之间没有通信通道。 

在网络上检测主机时的日期和时间。 

Operating system(操作系统) 主机上的操作系统平台。例如:Windows 2003。 

User (s)(用户) 主机的操作系统用户名。 

Source ePO server(来源 ePO 

服务器) 

另请参阅 

查看来源和目标主机的详细信息第 227 页 


发送非托管主机详细信息的 ePO 服务器的 IP。 


删除警报 

除了确认警报外,Threat Analyzer 也可以全部删除数据库中的警报,使它们不会显示在将来的警报查询中。删除旧警报 

可以腾出数据库空间,进而提高系统性能。 

系统将定期清除已删除的警报;有关详细信息,请参阅 “McAfee Network Security Platform Manager 管理手册”中的“管理 

数据库磁盘空间”。 

要将警报标记为系统删除状态,请执行以下操作: 

任务 


2 单击“Alerts(警报)”选项卡。 


4 选择“Delete(删除)”。 

5 确认删除。 

如果在会话期间,您想去掉警报的删除状态,请单击该警报并选择“Undelete(取消删除)”。 

另请参阅 


隐藏警报 

您可以根据特定条件(如攻击类型、来源 IP 或目标 IP 等)显示或隐藏实时报告或历史报告中的警报。启用或禁用此选 

项后,Manager 会再创建一个选项卡并立即显示结果。请注意,每个 Threat Analyzer 窗口都有一个过滤器。您可以从 

过滤器中添加或删除项目,但是对某个过滤器进行了更改。 

要控制 Threat Analyzer 中的视图,请执行以下操作: 

任务 



3 突出显示所需的警报,右键单击,然后选择“Hide(隐藏)”。 

Threat Analyzer 会再显示一个选项卡,该选项卡隐藏所有要隐藏的警报。 

您可以在新选项卡中选择隐藏显示的警报。每次隐藏多个警报时,Threat Analyzer 都会用其他已修改的选项卡填充 

警报视图。 

已修改的选项卡上显示一个向下箭头符号,您可以单击该符号展开以显示隐藏警报的列表。要删除隐藏的警报,单 

击包含要查看的警报的选项卡。Threat Analyzer 将丢弃在选择了选项卡之后创建的所有选项卡。要删除所有隐藏的 

警报,请单击“All Alerts(全部警报)”选项卡。 

创建事件 

您可以按照与鉴证分析有关的参数创建事件来跟踪警报。该工具与事件生成器/事件查看器类似,可用于创建事件而无需 

与配置的场景匹配(例如,在 15 分钟内检测到来自相同来源的 100 个攻击)。您可以使用此工具从 Threat Analyzer 的 

“Alerts(警报)”视图中选择多个警报来定义一个事件。定义事件可让您创建一个供研究、用于调查以及开展各种鉴证分 

析的文件。您可以从单个攻击构建事件,然后随时间将攻击添加到已创建的记录中。 

只能通过“Real‑Time Threat Analyzer(实时 Threat Analyzer)”查询创建事件。 

要创建事件,请执行以下操作: 




4 



任务 



3 右键单击“Alerts(警报)”页中的一行,然后选择“Create New Incident(创建新事件)”。 

图 4-106 新建事件 

4 在“New Incident”(新建事件)对话框中键入“Name(名称)”和“Description(描述)”。 

如果要删除警报,请单击“Delete(删除)”。 


5 单击“More Options(更多选项)”。 

图 4-107 查看更多选项 

您可以分配用户并添加备注。 

• “Assign to(分配给)”:向用户分配事件。 

• “Comments(备注)”:在提供的空白处添加备注。 

6 可以将事件移至“PENDING(待定)”状态或“OPEN(公开)”状态。 

• “Keep Incident Pending(使事件保持待定状态)”:可以使事件保持待定状态。通过右键单击一个警报,可以使 

用“Add to Incident(添加到事件)”选项向同一事件中添加更多警报。可以在“Incident Viewer Summary(事件查看 

器摘要)”页中查看所有处于“PENDING(待定)”状态的事件。通过右键单击事件或单击“Incident Viewer Summary 

(事件查看器摘要)”页中的“Publish(发布)”,可以“Publish(发布)”这些事件,以将它们移至“OPEN(公开)”状 

态。 

所有处于待定状态的事件都没有 ID。 




4 



任务 

• “Publish Incident(发布事件)”:可以使用此选项将事件移至“OPEN(公开)”状态。可以在“Incident Viewer 

Summary(事件查看器摘要)”页中查看所有处于“OPEN(公开)”状态的已发布事件。 

图 4-108 在"Incident Viewer Summary(事件查看器摘要)"页中查看事件 

• 为事件添加警报第 238 页 

• 为事件添加发生次数第 239 页 

• 导出事件第 240 页 

另请参阅 


为事件添加警报 

要将警报添加到现有用户生成的事件,请执行以下操作: 

任务 

您只能添加尚未导出到事件查看器中的用户生成的事件。 



3 右键单击“Alerts(警报)”页中的一行,然后选择“Add to Incidentt(添加到事件)”。 


4 从列表中选择要添加的事件。 

图 4-109 向现有待定事件中添加事件 

5 验证“Incident Viewer(事件查看器)”页中已添加的警报。 

为事件添加发生次数 

可以使用以下选项之一为事件添加发生次数: 

选项 1 

要将多个实例添加到您自定义的事件中,请执行以下操作: 

任务 

1 选择要修改的事件,然后单击“Edit(编辑)”。 

2 在“Edit Incident(编辑事件)”窗口中进行更改后,单击“Submit(提交)”。 

3 在“Incident Occurrence List(事件实例列表)”屏幕中单击“New(新建)”,添加新实例。 

表中即会出现一个新实例行。 

4 选择该新实例,然后单击“Next(下一步)”。 

5 在“Edit Incident(编辑事件)”窗口中验证新实例有零个警报,然后单击“Next(下一步)”。 

6 单击“Finish(完成)”保存已修改的事件。 

7 单击“Ok(确定)”进行确认。 

确认消息将指出已将事件导出到事件查看器中,以便利用事件中的警报数据。 

选项 2 

您还可以从“Alerts(警报)”页中执行“Add to Incident(添加到事件)”操作,将新实例添加到自定义事件中。要以这种 

方式添加新实例,请执行以下操作: 

1 右键单击“Attack Details View(攻击详细信息视图)”表中的一行,然后选择“Add to Incident(添加到事件)”。 

2 从“Pending Incident List(待定事件列表)”中选择要添加的事件,然后单击“Add(添加)”。 

3 在“Incident Occurrence List(事件实例列表)”屏幕中单击“New(新建)”,添加新实例。表中即会出现一个新实例 

行。 

4 选择该新实例,然后单击“Next(下一步)”。 




4 



5 在“Edit Incident(编辑事件)”屏幕中验证新实例包含“Add to Incident(添加到事件)”操作新添加的警报,然后单 

击“Next(下一步)”。 


7 单击“OK(确定)”进行确认。确认消息将指出已将事件导出到事件查看器中,以便利用事件中的警报数据。 

导出事件 

构建完自定义事件后,即可将该事件导出到事件查看器中以作分析。 

要将用户生成的事件导出到事件查看器,请执行以下操作: 

任务 

1 从“Pending Incident List(待定事件列表)”中选择要导出的事件,然后单击“Export(导出)”。 

2 单击“Finish(完成)”关闭“User‑Generated Incident(用户生成的事件)”对话框。 

3 确认您的自定义事件是否出现在事件查看器中。 

4 按照“使用事件查看器”中的步骤分析事件。 

在 Threat Analyzer 中标识新攻击 

在 Threat Analyzer 中,可以在过去 X 天内检测到的所有攻击中标识出在过去 Y 天内首次发现的新攻击。例如,在过 

去 2 天(X 的值)内检测到的所有攻击中,用户可以选择突出显示在过去 30 天(Y 的值,即 ems.properties 文件中可配 

置的最大值为 30 天)内首次触发的攻击。这有助于快速标识所发现的新攻击并帮助确定对新发现攻击的响应优先级。 

新攻击的标识设置是在 Threat Analyzer 的“Preferences(首选项)”页上的“General(常规)”选项卡中完成的。 

另请参阅 

设置用来查看新威胁的首选项第 240 页 

为新信息显示板分配新威胁监视器第 242 页 

在“Alerts(警报)”页中查看首次发现的警报第 241 页 

设置用来查看新威胁的首选项 

按照以下过程可以设置用来在 Threat Analyzer 中突出显示新威胁的首选项: 

任务 

1 在 Threat Analyzer 的菜单栏中单击“Preference(首选项)”以查看“General(常规)”选项卡。 

图 4-110 Threat Analyzer ‑“Preferences(首选页)”上的“General(常规)”选项卡 


2 单击“Value(值)”列中的“Threats New if First Seen(首次发现的新威胁)”行,并选择所需的选项。 

图 4-111 Threats New(新威胁)‑ 选项 

3 对于“Highlight New Threats(突出显示新威胁)” “Disable(禁用)”或“Enable(启用)”以禁用或启用对新威胁的突出 

显示。 

图 4-112 Highlight New Threats(突出显示新威胁)选项 

“Highlighting of New Threats(突出显示新威胁)”选项仅在“All Alerts(全部警报)”视图中适用。如果警报使用“Group 

By(分组依据)”选项进行了分组,则将不突出显示新威胁。 

另请参阅 

在 Threat Analyzer 中标识新攻击第 240 页 

在“Alerts(警报)”页中查看首次发现的警报 

按照以下过程可以在“Alerts(警报)”页中查看“首次发现的警报”: 




4 



任务 

1 在 Threat Analyzer 菜单栏中单击“Alerts(警报)”以查看“All Alerts(全部警报)”页,在该页中,新威胁将突出显示。 

2 将鼠标移动到突出显示的攻击条目上,此时会显示一个工具提示,说明该攻击是“New Threat ‑ First Seen Today(今 

天首次发现的新威胁)”、“New Threat ‑ First Seen Since Yesterday(自昨天以来首次发现的新威胁)”、“New 

Threat ‑ First Seen Within past 'X' days(在过去 X 天内首次发现的新威胁)”或者“New Threat ‑ First Seen Within 

past 1 Week(在过去 1 周内首次发现的新威胁)”。 

X 的值取决于用户在 Threat Analyzer 的“Preferences(首选项)”页的“General(常规)”选项卡上针对“Threats New 

if First Seen(首次发现的新威胁)”行选择的值。 

图 4-113 鼠标掠过新威胁 

另请参阅 


为新信息显示板分配新威胁监视器 

按照以下步骤可以在 Threat Analyzer 中为新信息显示板分配“New Threats Summary(新威胁摘要)”监视器。此过程在 

本地 Manager Threat Analyzer 和 Central Manager Threat Analyzer 中相同: 

任务 


图 4-114 “New Dashboard(新建信息显示板)”菜单选项 


2 在“Dashboard Name(信息显示板名称)”对话框中输入新建信息显示板的名称,然后单击“OK”。 

图 4-115 “New Dashboard(新建信息显示板)”对话框 

3 在新创建的信息显示板中单击“Assign Monitor(分配监视器)”。 

图 4-116 带有“Assign Monitor(分配监视器)”按钮的“New Dashboard(新建信息显示板)” 

4 选中“Assign an existing Monitor(分配现有的监视器)”单选按钮。对于“Category(类别)”选择“Default Monitors(默 

认监视器)”,对于“Type(类型)”选择“IPS”,对于“Monitor(监视器)”选择“New Threats(新威胁)”。 

图 4-117 “Assign Monitor(分配监视器)”对话框 




4 



5 对于“Threats First Seen(首次发现的威胁)”选择时间段。单击“OK(确定)”。 

图 4-118 “Threats First Seen(首次发现的威胁)”选项 

6 此时将显示“New Threats Seen(发现的新威胁)”页。此时将显示在所选时间段内发现的新威胁(如果有的话)。 

图 4-119 Threat Analyzer 中的“New Threats Seen(发现的新威胁)”页 

另请参阅 




当在 Sensor 端口上检测到配置了 NAC(标准 NAC、DHCP 或 IBAC)的主机时,Sensor 会将该主机的可用详细信息发 

送给 Manager。这些详细信息显示在 Threat Analyzer 的“Host(主机)”页中。当 Sensor 收集更多信息时,“Host(主 

机)”页中的此条目会实时更新。如果您配置了 IPS 隔离,则会为攻击主机创建一个类似的条目。 

图 4-120 实时 Threat Analyzer 中的“Host(主机)”页 

要查看主机详细信息,需要在“Preferences(首选项)”页中选择要查看的详细信息。这些详细信息随后将显示在 

“Real‑time Threat Analyzer(实时 Threat Analyzer)”中的“Hosts(主机)”页。 

图 4-121 “Preferences(首选项)”页 


查看主机详细信息 4 


4 



您可以在“Hosts(主机)”页中右键单击某个条目来获得其他选项。 

图 4-122 在“Hosts(主机)”页中右键单击所需的选项 

您可以在“Hosts(主机)”页中双击某个条目来在弹出窗口中查看详细信息。 

图 4-123 双击可查看主机详细信息 

查看主机属性 

您可以使用“Hosts(主机)”页查看主机的以下属性: 

使用滚动条可以查看主机的全部属性。可以使用“Preferences(首选项)” | “Hosts View(主机视图)”来自定义属性视图。 


• “UUID”:每个主机事件的唯一标识符。Sensor 将它分配给 Sensor 检测到的每个事件。 

• “Session Start(会话开始时间)”:这是主机事件的创建时间。 

• “Last Modified(上次修改时间)”:主机事件的最后修改时间。 

• “IP Address(IP 地址)”:主机的 IP 地址。 

• “MAC Address(MAC 地址)”:主机的 MAC 地址。 

• “Host Name(主机名)”:主机的 NETBIOS 名称。 

• “Current User(当前用户)”:当前登录到主机的用户。 

• “User Type(用户类型)”:用户的类型。例如,用户可以是来宾、本地员工或 VPN 员工。 

• “McAfee NAC Client(McAfee NAC 客户端)”:主机上 McAfee NAC 客户端的状态。该状态可以是“已安装”、“缺少” 

等。 

• “Health Level(健康级别)”:McAfee NAC 报告的主机健康状况。 

• “Network Access Zone(网络访问区)”:主机已被分配到的 NAZ。 

• “NAC Deployment Mode(NAC 部署模式)”:这是主机的 NAC 部署模式。它可以是标准 NAC 或 DHCP。 

• “NAC Detection Mode(NAC 检测模式)”:对于标准 NAC 模式来说,这可以是 L2、L3 或 VPN;对于 DHCP 模式 

来说,它将是 DHCP。 

• “Matched IBAC Policy(匹配的 IBAC 策略)”:在检测到主机的监控端口上应用的 IBAC 策略。 

• “Sensor”:检测到主机的 Sensor。 

• “Monitoring Port(监控端口)”:检测到主机的监控端口。 

• “OS”:主机的操作系统。 

• “State(状态)”:所检测到主机的当前状态。例如,对于托管主机,将为“已连接”状态;对于非托管主机和已隔离的 

主机,将为“隔离”状态。 

• “Production VLan(生产 VLAN)”:生产 VLAN ID (PVLAN) 通常是您为交换机端口配置的默认 VLAN。可以为受保 

护网段(如服务器场)分配 PVLAN。因此,只有符合完全访问资格的主机才能访问此网络部分。 

• “Quarantine VLan(隔离 VLAN)”:“Quarantine VLANs(隔离 VLAN)”(QVLAN) 配置为限制网络访问的 VLAN ID。 

• “Switch(交换机)”:使用的交换机。 

• “Switch Port(交换机端口)”:使用的交换机端口。 

• “Switch Port Group(交换机端口组)”:可将交换机端口组视为一个包含多个端口的虚拟交换机,这些端口可以来自 

一个或更多实际交换机。 

主机视图:右键单击选项 

可以使用右键单击选项,针对主机执行以下操作: 

• “Add to IPS Quarantine(添加到 IPS 隔离)”:将发起警报的主机添加到隔离区中并保持: 

• “15 Minutes(15 分钟)” • “1 Hour(1 小时)” 

• “30 Minutes(30 分钟)” • “Until Explicitly Released(直到明确释放)” 


• “Delete(删除)”:实时删除所选主机。 

• “Extend IPS Quarantine(扩展 IPS 隔离)”:延长主机的隔离时间。 




4 



• “Release from IPS Quarantine(从 IPS 隔离释放)”:将主机从隔离区中删除。 

• “Start Vulnerability Manager Scan(启动 Vulnerability Manager 扫描)”:针对个别警报请求 Vulnerability Manager 

按需扫描。 

• “TrustedSource Information(TrustedSource 信息)”:在 McAfee 的 http://www.trustedsource.org 中,基于 IP 地址 

查询有关来源主机或目标主机的详细信息。 

• “View ePO Information(查看 ePO 信息)”:查看从 ePO 服务器获取的主机详细信息。 

另请参阅 

主机页中的 NAC 选项第 248 页 

主机页中的 NAC 选项 

Threat Analyzer 中的“Hosts(主机)”页为 NAC 提供了其他选项。 

与 NAC 有关的主机选项 

任务 

1 在“Threat Analyzer”中,选择“Hosts(主机)”页。 

2 选择一个主机并右键单击它。 

图 4-124 “Hosts(主机)”页中的 NAC 选项 

可用的 NAC 选项包括: 

• “Add to NAC Exclusions list(添加到 NAC 排除项列表)”‑ 将选定的主机添加到 NAC 排除项列表中。该主机将从 

当前分配的网络访问区中删除。 

• “Assign Network Access Zone(分配网络访问区)”‑ 更改当前分配给主机的网络访问区。 

• “Add to IPS Quarantine(添加到 IPS 隔离)”:从警报列表中隔离主机。您可以将主机隔离限定的一段时间。 

• “Show NAC History(显示 NAC 历史记录)”‑ 在一个单独的窗口中,显示“Hosts(主机)”页中所选主机的 NAC 历 

史记录。 

• “Start Vulnerability Manager Scan(启动 Vulnerability Manager 扫描)”‑ 使用 Vulnerability Manager 基于来源或 

目标 IP 地址对主机进行扫描。 

• “View McAfee ® ePolicy Orchestrator (McAfee ePO) Information(查看 McAfee ePolicy Orchestrator (McAfee 

ePO) 信息)” ‑ 使您可以向 McAfee ePO 服务器发送查询,以获取网络上主机的详细信息。 

• “View Details(查看详细信息)” ‑ 显示所选主机的详细信息。将显示“Hosts(主机)”页中的字段。 


• “Trusted Source Information(可信来源信息)”‑ 根据 IP 地址查询来源或目标主机的详细信息。 

• “Move to Production(移至生产)” ‑ 从隔离区移至生产网络。 

图 4-125 Threat Analyzer 的“View Details(查看详细信息)”选项中的主机详细信息 

另请参阅 

主机视图:右键单击选项第 247 页 

为主机创建显示过滤器 

任务 

1 从 Manager 主页启动 Threat Analyzer。 

2 从菜单栏中单击“Hosts(主机)”。 

3 从“Display Filter(显示过滤器)”下拉列表中选择“New(新建)”。 

4 输入过滤器名称。 

5 定义过滤器属性。 

6 您还可以选择过滤器属性并使用各种比较运算符为各个参数定义值。 

7 单击“Save and Apply(保存并应用)”或“Apply Once(应用一次)”。 

任务 

当您从“Display Filter(显示过滤器)”下拉列表中选择“Apply(应用)”时,会显示预定义的显示过滤器。 

您还可以编辑和删除显示过滤器。 

• 使用显示过滤器查看历史主机数据第 249 页 

使用显示过滤器查看历史主机数据 



“Real‑time Threat Analyzer(实时 Threat Analyzer)”中“Hosts(主机)”页上的“Display Filter(显示过滤器)”提供了一个 

名为“Session Start(会话开始时间)”的选项。将此选项与“Display Filter(显示过滤器)”中的其他选项结合使用,可以获 

取指定时间段内的历史主机信息。 


4 



请注意,“Session Start(会话开始时间)”可帮助您查看在选定时间段内,从 Manager 数据库检索的历史数据。当您选 

择其他过滤标准而不选择“Session Start(会话开始时间)”时,您将只能查看实时数据。 

下面的示例介绍如何在“Real‑time Threat Analyzer(实时 Threat Analyzer)”中使用“Session Start(会话开始时间)”: 

任务 

1 打开“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 转至“Hosts(主机)” | “Display Filter(显示过滤器)” | “New(新建)”。 

图 4-126 添加显示过滤器 

3 在“Display Filter(显示过滤器)”中,输入“Filter Name(过滤器名称)”。 

4 选择“Session Start(会话开始时间)”。对于此选项可以输入“Start Time(开始时间)”和“End Time(结束时间)”。 

5 还可以选择其他过滤标准,例如“Health Level(健康级别)”。 

图 4-127 选择过滤标准 

6 选择“Apply Once(应用一次)”。过滤器的输出将按照所选标准显示在“Hosts(主机)”页中的一个独立选项卡中。 

图 4-128 显示过滤器的输出 

如果选择了“Session Start(会话开始时间)”,则“Save and Apply(保存并应用)”选项将灰显。如果选择了“Session 

Start(会话开始时间)”,则将无法保存显示过滤器。 

过滤器一旦执行,就无法对其进行编辑。 


主机页中的 IPS 隔离选项 

Threat Analyzer 中的“Hosts(主机)”页提供两个 IPS 隔离选项: 

1 扩展 IPS 隔离区 

2 Release from IPS Quarantine(从 IPS 隔离中释放) 

要为已隔离的主机选择上述选项,请执行以下操作: 

任务 


1 在 Threat Analyzer 中,选择“Hosts(主机)”页。 

2 选择要在其中使用隔离选项的主机,然后右键单击它。 

图 4-129 “Hosts(主机)”页中的 IPS 隔离设置 

将显示以下 IPS 隔离选项: 

• “Add to IPS Quarantine(添加到 IPS 隔离中)”‑ 添加警报所源自的主机 

• “Extend IPS Quarantine(扩展 IPS 隔离)”‑ 延长主机的隔离时间(隔离持续时间)。将显示以下选项: 

• “15 Minutes(15 分钟)” • “1 Hour(1 小时)” 

• “30 Minutes(30 分钟)” • “Until Explicitly Released(直到明确释放)” 



使用事件查看器 4 

您可以选择将主机的隔离持续时间延长以上时间长度。例如,可以将主机的 IPS 隔离时间再延长 15 分钟。 

• “Release from IPS Quarantine(从 IPS 隔离释放)”‑ 从 IPS 隔离中删除主机。当您选择该选项时,会显示一条消 

息,让您确认是否要将该主机从 IPS 隔离中释放。选择所需的选项。 

依据事件,用户可以对一个或多个重要警报打包,以备将来查看。事件按照实例集合加以组织,每个实例包含一个或多 

个警报。 

可以手动生成事件,也可以使用事件生成器来生成事件。在 Threat Analyzer 的“Alert view(警报视图)”中,用户可以选 

择多个警报,并使用“Create Incident(创建事件)”来创建事件或使用“Add to Incident(添加到事件)”向已创建的现有事 

件中添加事件。 

创建事件后,事件就会进入“PENDING(待定)”或“OPEN(公开)”状态。处于“PENDING(待定)”状态的事件是在 

Threat Analyzer 本地生成的,需要导出到 Manager 中才能生效并能在其他 Threat Analyzer 视图中显示。使用“Publish 

(发布)”选项可以完成此操作。 

事件生成器是一个独立的应用程序,启动后可以根据指定的规则生成事件(例如,在 y 分钟内从一个 IP 地址发出 x 个警 

报)。因此,由事件生成器生成的事件还会被推送到 McAfee ® Network Security Manager (Manager) 中。 


4 



事件查看器界面用于分析已生成的事件。事件查看器可用于实现事件的生命周期管理,包括显示所有的事件、显示有关 

选定事件和删除事件的详细信息。此外,它还提供了一个工作流,用于添加备注以及向其他用户分配事件,以备将来查 

看。 

通过单击列表中的事件,可以查看该事件的详细信息。在这里,您可以查看组成事件的实例,并能查看组成这些实例的 

各个警报。 

事件查看器界面用于分析已生成的事件。每个事件都对应事件生成器配置文件中设置的条件。 

有关事件生成器的详细信息,请参阅“启用或启动事件发生器服务”。 

您必须启动“Real‑Time Threat Analyzer(实时 Threat Analyzer)”才能打开事件查看器。 

图 4-130 事件查看器摘要页 

项目描述 

1 事件统计数据 

2 事件说明 

事件查看器显示事件的统计数据,提供方便案例管理的备注区域,并允许删除事件。处于“PENDING(待定)”状态的所 

有事件都不具备 ID。使用“Publish(发布)”选项发布事件后,系统会为该事件生成 ID。 

查看事件 

要查看您的事件,请执行以下操作: 


任务 


1 打开“Real‑Time Threat Analyzer(实时 Threat Analyzer)”。 

2 选择“Incident Viewer(事件查看器)”选项卡,以打开“Incident Viewer(事件查看器)”。事件按时间顺序排列,最新 

的事件排在最前面。该表包括以下列: 

• “ID”:事件数据的数据库 ID。 

• “Name(名称)”:配置文件中的事件名称和手动创建的用户事件。 

• “Status(状态)”:事件的当前状态。“Open(公开)”表示事件当前正在进行中。“Closed(结束)”表示事件已完 

成。“Resolved(已解决)”表示管理员已对事件进行分析。 

• “Creation time(创建时间)”:事件中最新警报的时间。 

• “Average Severity(平均严重性)”:事件中所有警报的平均严重性。平均严重性显示为:[N.N](H,M,L)。值 N 代 

表用数字表示的严重性(例如,5.5 表示平均严重性为“Medium(中)”)。H(高)值表示事件内严重性级别为高 

的攻击数目;M(中)表示严重性级别为中的攻击数目;L(低)表示严重性级别为低的攻击数目。 

• “Assigned to(分配给)”:事件搜索的负责人。 

使用“Host Forensics(主机鉴证)”页,可以在网络上指定要查看其详细信息的主机的 IP 地址。借助“Host Forensics(主 

机鉴证)”页的 ePO 部分,可以查询 McAfee ePO 数据库了解主机的详细信息。此部分还显示该主机最近的 10 个 Host 

Intrusion Prevention 事件。通过 Vulnerability Manager 部分,您可以对安装并配置 Vulnerability Manager 的域中的主 

机进行 Vulnerability Manager 扫描。您可以在扫描完成后,查看主机的漏洞。因此,使用“Host Forensics(主机鉴证)” 

页,可以从 McAfee ePO、Host Intrusion Prevention 和 Vulnerability Manager 中查看主机的详细信息。可以使用这些 

详细信息来优化主机上与安全相关的应用程序,从而最大程度地加以保护。 

另请参阅 


对 Threat Analyzer 警报中列出的主机进行按需扫描第 257 页 

查看 McAfee ePO 信息 

将 McAfee Network Security Platform 和 ePolicy Orchestrator (McAfee ePO ) 集成后,可以向 ePO 服务器发送查询, 

以获取网络上主机的详细信息。从 McAfee ePO 服务器中提取的详细信息包括主机类型、主机名、用户名、操作系统 

详细信息,以及主机上安装的系统安全产品的详细信息。这些详细信息显示在 Threat Analyzer 中。如果您在安装 

McAfee ePO 的过程中安装了 McAfee Host Intrusion Prevention,则还可以查看特定主机上最近发生的 10 个 Host 

Intrusion Prevention 事件。安全管理员在对网络上显示的安全事件执行鉴证调查时,可借助这些详细信息了解更多情况 

以及各种情况之间的关联。 

使用 IP 地址查看主机详细信息 

可以使用“Host Forensics(主机鉴证)”页中的主机 IP 地址进行查询来查看主机的详细信息。一次最多能查看 100 个主 

机的详细信息。如果查询数目超过 100,系统将删除最早的详细信息行。 

使用 IP 地址查看主机详细信息: 

任务 


2 单击“Host Forensics(主机鉴证)”选项卡。 

3 输入 IP 地址。 


查看主机鉴证 4 


4 



4 选择针对 ePO 数据库配置的管理域名称。 

5 单击“Query now(立即查询)”。 

“Host Forensics(主机鉴证)”页的“ePO Host Information(ePO 主机信息)”中即会列出来源或目标 IP。另外,ePO 

服务器的名称或 IP 地址也会显示在“ePO Host Information(ePO 主机信息)”旁边的括号中。 

如果要查询未知主机,那么,当您单击与该主机相对应的行以获得主机信息(该行上仅显示破折号)时,会显示一条 

弹出消息,声明该数据不可用。 


6 对于托管主机或非托管主机,双击“ePO Host Information(ePO 主机信息)”中的一行信息,可查看其他详细信息。 

任务 

图 4-132 其他详细信息 ‑ 非托管主机 

双击一行信息时,详细信息会显示在以主机 IP 地址命名的选项卡区域中。如果双击后不显示其他详细信息,则可能 

是主机未被识别,或者您以前查询了相同的托管/非托管主机且该主机的选项卡区域仍然可用。 

• 启动 McAfee ePO 控制台第 233 页 

另请参阅 

托管主机的其他详细信息第 232 页 


从 ePO 服务器中查询主机详细信息第 226 页 



从“主机鉴证”页启动 McAfee ePO 控制台 

任务 

1 从 Network Security Manager 主页启动“Real‑Time Threat Analyzer(实时 Threat Analyzer)”或“Historical Threat 

Analyzer(历史 Threat Analyzer)”。 



图 4-133 主机鉴证查询 




4 





图 4-134 主机信息页 ‑ 详细视图 

5 单击“Open McAfee ePO console(打开 McAfee ePO 控制台)”。 

图 4-135 ePO 控制台 

将打开 McAfee ePO 服务器,并显示主机详细信息。您可以在该页面中更新 dat 文件和策略。 


从“Host Forensics(主机鉴证)”页查看最新的事件 

任务 

1 从 Manager 主页启动“Real‑Time Threat Analyzer(实时 Threat Analyzer)”或“Historical Threat Analyzer(历史 

Threat Analyzer)”。 





5 单击“Latest events(最新的事件)”。 

将显示最新的 10 个防病毒事件和最新的 10 个 Host Intrusion Prevention 事件。 

图 4-136 “Host Information(主机信息)”页详细视图 

对 Threat Analyzer 警报中列出的主机进行按需扫描 

按需扫描功能可帮助您在“Real‑Time Threat Analyzer(实时 Threat Analyzer)”和“Historical Threat Analyzer(历史 

Threat Analyzer)”中,根据来源或目标 IP 地址,使用 Vulnerability Manager 扫描主机。 

当您请求对“Host Forensics(主机鉴证)”页中“Vulnerability Scan Information(漏洞扫描信息)”下列出的某个 IP 进行按 

需扫描,或对“Alerts(警报)”页中列出的某个警报进行按需扫描时,系统会将选中的 IP 地址从 Threat Analyzer 发送到 

Vulnerability Manager 的 API 服务器。 

API 服务器是 Manager 和 Vulnerability Manager 之间的网关接口。 




4 



API 服务器将 Manager 的扫描请求委托到扫描引擎。在成功完成扫描后,Manager 会查询 API 服务器中的漏洞评估数 

据。Manager 数据库会处理并存储由 API 服务器返回的漏洞数据。此数据还会在 Manager 中维护的内存缓存中进行更 

新。 

Manager 使用 SOAP/SSL 通道与 Vulnerability Manager 的 API 服务器进行通信。 

一般而言,扫描引擎需要 4 分钟时间扫描主机中的漏洞。 

扫描引擎会扫描主机,并通过 SOAP/SSL 响应向 Manager 提供漏洞评估数据。漏洞数据在 Manager 数据库中进行处 

理和存储。此数据还会在 Threat Analyzer 客户端中所维护的缓存中进行更新。 

为了从 Threat Analyzer 请求按需扫描,您需要在 Manager 客户端界面中配置 Vulnerability Manager 设置。 

从 Threat Analyzer 进行的按需扫描 

要对“Alerts(警报)”页中警报的来源或目标 IP 进行按需扫描,或对“Host Forensics(主机鉴证)”页中列出的 IP 进行按 

需扫描,请使用已配置从或父管理域级别继承的扫描配置。 

您可以从 Threat Analyzer 的“All Alerts(所有警报)”页中所列条目的右键单击菜单中,请求对单个警报进行 

Vulnerability Manager 按需扫描。右键单击警报,然后选择“Start Vulnerability Scan(启动漏洞扫描)” | “Scan Source 

IP(扫描来源 IP)”或“Start Vulnerability Scan(启动漏洞扫描)” | “Scan Destination IP(扫描目标 IP)”选项。 

图 4-137 “Start Vulnerability Scan(启动漏洞扫描)”选项 


当选择“Scan Source IP(扫描来源 IP)”或“Scan Destination IP(扫描目标 IP)”中任一选项,并且扫描与添加到 

Manager 中相应管理域的扫描匹配时,会弹出一条消息,说明该扫描的 IP 属于添加到 Manager 中的已命名扫描的范 

围,并且将使用这一特定扫描。 

图 4-138 扫描范围消息 

当发起扫描的主机的 IP 地址不属于添加到 Manager 中的任何扫描的范围,会弹出一条消息,说明将使用默认的扫描。 

图 4-139 默认扫描消息 

要查看扫描结果,请在后面的弹出窗口中选择“Yes(是)”。您可以重定向到“Host Forensics(主机鉴证)”页。 

图 4-140 有关查看扫描结果的消息 

另请参阅 

主机的按需扫描第 265 页 


查看 Vulnerability Manager 扫描 



Threat Analyzer 中的“Host Forensics(主机鉴证)”页指示在 Threat Analyzer 中执行 Vulnerability Manager 警报扫描的 

进度。 


4 



要查看域中所有 Vulnerability Manager 扫描进程的列表,请从 Threat Analyzer 中选择“Host Forensics(主机鉴证)”, 

然后从下拉列表中选择域。所选域的“Vulnerability Scan Information(漏洞扫描信息)”将显示在“Summary(摘要)” | 

“Vulnerability Scan Information(漏洞扫描信息)”下方,如下所示。 

图 4-141 漏洞扫描信息 

以下信息显示在“Vulnerability Manager Host Information(Vulnerability Manager 主机信息)”部分中。 


Target IP(目标 IP) 被扫描的主机的 IP 地址。 

Scan start time(扫描开始时间) 开始进行 Vulnerability Manager 扫描的时间。 

Status(状态) 此字段显示 Vulnerability Manager 扫描的完成状态。 

根据扫描的进度,“Status(状态)”字段会显示以下内容: 

状态描述 

Queued(已排队) “Queued(已排队)”状态指示所请求的 Vulnerability Manager 扫描已排入队列。 

%n Complete(已完成 %n) 扫描完成的百分比,其中 n 的范围为 0 到 100。 

Retrieved(已检索) 此状态表示 Vulnerability Manager 扫描已完成,用户可以查看主机漏洞信息。 

Failed(失败) Vulnerability Manager 扫描失败。 

Scan TimedOut(扫描超时) 如果扫描时间超过 30 分钟,则 Manager 会将状态设置为“Scan TimedOut(扫描超时)” 

来取消扫描。 

“Status(状态)”字段中所显示的 Vulnerability Manager 扫描结果存储在缓存中。请注意,在 Manager 重新启动之后,在 

“Status(状态)”字段中将看不到扫描结果。如果您想查看相同主机的扫描结果,您需要从“Host Forensics(主机鉴证)”页 

中再次扫描主机。 

当在“Host Forensics(主机鉴证)” | “Summar(摘要)” | “Vulnerability Scan Information(漏洞扫描信息)”中选择域时,您 

会看到对该域的扫描,以及对设置为从该域继承的域的扫描。例如,“FORD‑Child1”域有“HR1”和“HR2”两个子域,而这些 

域在 Manager 中设置为“Inherit from parent domain(从父域继承)”,则“FORD‑Child1”的“Host Forensics(主机鉴证)”页 

会显示对“FORD‑Child1”、“HR1”和“HR2”的扫描。 

Vulnerability Manager 扫描信息 

• 您还可以按照以下方式扫描主机:在“Vulnerability Manager Host Information(Vulnerability Manager 主机信息)”部 

分中的“Scan(扫描)”字段中输入主机 IP 地址,然后单击“Scan(扫描)”按钮。 


只有填写完 IP 地址后,“Scan(扫描)”按钮才会被启用。 

• 配置了 Vulnerability Manager 的所有域将显示在下拉列表中。您可以选择该域,输入 IP 地址,然后单击“Scan(扫 

描)”,以启动按需扫描。 

图 4-142 漏洞扫描信息 

当启动按需扫描时,您需要选择已经配置计划的扫描的管理域(“Admin_Domain_Name(管理域名称)/Integration(集 

成)” | “Vulnerability Manager” | “Scans(扫描)”)。同样,您也需要确保在进行计划的扫描配置时,输入 IP 地址。如 

果无法确保这一点,则会根据 Vulnerability Manager 中的配置使用默认扫描。 

• 如果来自单个管理域的两个扫描有配置重叠时,您可以选择希望应用的扫描。此时,也会提供“Cancel(取消)”选项。 

图 4-143 “Overlapping Scan Configurations(重叠的扫描配置)”对话框 

• 如果要查看被扫描主机的详细扫描结果,从“Host Forensics(主机鉴证)”页选择所需的扫描条目,并右键单击该条目 

以查看“Rescan(重新扫描)”、“Show Details(显示详细信息)”和“Delete(删除)”选项。 

图 4-144 “Show Details(显示详细信息)”选项 

选择“Show Details(显示详细信息)”选项。在这里,将根据以下两种情况弹出消息: 

• 如果正在进行扫描,则在同一屏幕中显示弹出消息,其中包含完成的百分比级别(介于 0 到 100 之间的值)。 

图 4-145 弹出消息 




4 



• 如果扫描完成,并且状态显示为“Retrieved(已检索)”,则当您右键单击扫描,并选择“Show Details(显示详细信 

息)”时,“Vulnerability Information(漏洞信息)”子选项卡(主选项卡显示被扫描主机的 IP 地址)下的新页面会显示漏 

洞信息。 

“Vulnerability Information(漏洞信息)”页会显示详细信息,如发现的漏洞总数、按需扫描的扫描配置,以及主机中所 

标识漏洞的详细信息。 

默认情况下,漏洞会以严重性顺序存储,并以表格格式显示。表中的每行包含其他漏洞详细信息,如严重性、漏洞 

名称、漏洞描述、建议详细信息(列出需要应用到所标识漏洞的步骤或补丁程序)、CVE ID 和 IAVA(信息保证漏洞 

警报)参考编号。 

图 4-146 Threat Analyzer 中的漏洞信息 

对于所扫描的主机,有关漏洞的数据(如目标 IP、CVE 或 BugTraq ID)保存在 Manager 数据库。请注意,这些信息 

并未按照“Vulnerability Information(漏洞信息)”页中显示的格式进行存储。因此,当您重新启动 Manager 时,这些信 

息在“Vulnerability Information(漏洞信息)”页中不可见。您需要再次执行扫描,以查看信息。 


在“Vulnerability Information(漏洞信息)”窗口中,单击漏洞的 CVE ID 链接时,将重定向到 CVE 页面 (http:// 

cve.mitre.org),如下所示。 

图 4-147 CVE 页面 

重新扫描主机 

您也可以双击“Vulnerability Scan Information(漏洞扫描信息)”中列出的任意 IP 扫描,以查看该 IP 的“Vulnerability 

Information(漏洞信息)”。 

您可以重新扫描曾经由 Vulnerability Manager 扫描过的主机。右键单击“Vulnerability Manager Host Information 

(Vulnerability Manager 主机信息)”页中的扫描,然后选择“Rescan(重新扫描)”。 

图 4-148 重新扫描选项 

Vulnerability Manager 将再次扫描主机,并像以前一样检索并显示漏洞信息。 

并行扫描 

Threat Analyzer 支持并行 Vulnerability Manager 扫描。 

并行扫描的最大池大小 (maxpoolsize) 为 3。 

Maxpoolsize 表示 ThreadPool 中可用的线程总数。(ThreadPool 是一个与线程池一同工作的组件,可以异步执行任 

务。) 

如果扫描请求数目超出了 maxpoolsize,则系统会对这些扫描请求进行排队,并按照可用池大小处理它们。 

为获得最佳效果,建议在 Manager 中最多运行三个 Vulnerability Manager 并行扫描。 

另请参阅 

主机的并行扫描第 265 页 

Vulnerability Manager 按需扫描的故障消息 

下表显示与 Vulnerability Manager 按需扫描相关联的故障消息: 




4 



显示的故障严重性描述 

On‑demand scan failed because 

connection was refused to FoundScan 

engine(由于拒绝连接到 FoundScan 引 

擎,因此按需扫描失败) 

Critical(非常 

严重) 

您可以从 Manager 的“Operational Status(工作状态)”菜单中查看故障。 

此故障可能有两个原因:用户尚未指定完全限定的域名,或 

FoundScan 引擎已关闭。 

有关使用完全限定域名的详细信息,请参阅“Vulnerability 

Manager 安装”。 

单击故障链接时,即可查看故障的详细信息,以及为纠正故障所要采取的可能措施。下面显示了“on‑demand scan failed 

(按需扫描失败)”的故障详细信息。 

图 4-149 故障详细信息 

从“Hosts(主机)”页进行 Vulnerability Manager 扫描 

在“Hosts(主机)”页中,可以请求 Vulnerability Manager 扫描。 

要从“Hosts(主机)”页请求 Vulnerability Manager 扫描,请执行以下操作: 

任务 

1 在 Threat Analyzer 中,选择“Hosts(主机)”。右键单击所需的条目。 

2 要启动对选定 IP 地址的按需扫描,请选择“Start Foundstone Scan(启动 Foundstone 扫描)”。 

图 4-150 Start Foundstone Scan(启动 Foundstone 扫描) 

如果该 IP 地址不在 Manager 中所定义的任何扫描范围内,则会弹出一条消息,说明将使用(在 Manager 中定义的) 

默认扫描配置来扫描该 IP。 

3 如果希望查看扫描结果,请在弹出消息中选择“Yes(是)”。您可以重定向到“Host Forensics(主机鉴证)”页。 

产品名“Foundstone”和“Vulnerability Manager”指的是同一款产品。 


Vulnerability Manager 扫描的网络方案 

在本节中,您将了解与以下内容有关的网络方案: 

• 主机的按需扫描 

• 主机的并行扫描 

主机的按需扫描 

在“Real‑time Threat Analyzer(实时 Threat Analyzer)”或“Historical Threat Analyzer(历史 Threat Analyzer)”中查看警 

报时,假设您需要执行以下操作: 

• 查看警报列表中列出的特定主机的当前状态。 

• 在 Threat Analyzer 中使用 Vulnerability Manager 扫描特定主机。 

• 了解已扫描警报/事件的关联性。 

对于各个警报,可以通过 Threat Analyzer 中的按需扫描功能实现此操作。 

通过选择要扫描的主机的来源 IP 地址或目标 IP 地址,您可以从 Threat Analyzer 请求 Vulnerability Manager 扫描。无 

论扫描是否相关,Threat Analyzer 中都会显示该扫描的状态。 

在 Threat Analyzer 中,最多可以维护 N 条扫描信息(默认情况下,N 为 100)。 

另请参阅 

对 Threat Analyzer 警报中列出的主机进行按需扫描第 257 页 

主机的并行扫描 

当从 Threat Analyzer 中启用对多个主机的并行按需扫描时,您需要先在 Manager 中定义扫描配置,以获得正确无误的 

结果。 

场景: 

考虑以下场景,假设您在 Threat Analyzer 的“Host Forensics(主机鉴证)”页的“Vulnerability Scan Information(漏洞扫 

描信息)”面板中并行启用三个主机 IP 地址的按需扫描。假设主机 IP 地址不属于由 Manager 中所定义的任何扫描配置指 

定的 IP 范围。而且,您尚未在 Manager 中定义任何默认扫描配置。 

未定义扫描配置时的扫描过程: 



在 Vulnerability Manager 中,当请求多个按需扫描时,所有的扫描都以默认的扫描配置和相同的名称(即,QuickScan_< 

用户名>)来执行。原因在于,用来登录 Vulnerability Manager 的用户名与这三个扫描名称都关联。由于所有这三个扫 

描具有相同的名称,因此,这三个并行扫描中只有一个扫描能够成功完成。即,Scan 引擎不允许使用同一个扫描名称 

运行并行扫描。 

如果从 Threat Analyzer 执行多个按需扫描,可能会看到类似的行为。从 Threat Analyzer 执行的所有扫描将具有相同的 

名称(QuickScan_,例如,如果您以 admin(管理员)的身份登录了 Vulnerability Manager,则所有三个主机 

的扫描配置名称将为 QuickScan_admin。 

在上面描述的方案中,当您启动三个并行按需扫描而未在 Manager 中定义任何扫描配置时,Scan 引擎将使用将它的默 

认扫描配置来扫描主机,这些扫描将具有默认的扫描名称“QuickScan_”。基于上面提到的原因,这三个扫描将 

具有相同的名称。第一个扫描将能够成功执行,其余两个扫描将导致并行任务异常。因而,使用 Scan 默认扫描配置设 

置无法从 Threat Analyzer 运行并行按需扫描。 


4 




建议的解决方案: 

建议您在 Scan 引擎中为并行扫描至少定义一个扫描配置并将该配置添加到 Manager 中。该扫描配置将用作默认配置。 

如果在 Manager 中定义了多个扫描配置,则可以更改默认扫描设置。 

有关设置默认扫描的详细信息,请参阅“添加 Vulnerability Manager 扫描配置”。 

如果在 Manager 和 Vulnerability Manager 中定义了默认扫描配置,那么,在请求并行按需扫描时,Manager 将使用扫 

描配置 ID 并为所扫描的每个主机设置唯一的名称。 

Manager 创建的扫描名称的格式为 Network Security Platform__Thread‑N,其中 N=1、2、3...。各个 

扫描配置名称都将有所不同,例如,扫描名称将为 Network Security Platform__Thread‑1、Network 

Security Platform__Thread‑2和Network Security Platform__Thread‑3。因此,所有的 

并行扫描都能够成功完成。 

当执行池中的任一扫描完成其任务时,在队列中等待执行的下一个扫描请求将推送到执行池中来执行。扫描请求按顺序 

执行或按先进先出 (FIFO) 这一原则执行。 

另请参阅 

并行扫描第 263 页 

在 Manager 中会基于线程池大小创建线程。如果线程池大小设为 3,则会在线程池中创建三个辅助线程(Thread‑1、 

Thread‑2 和 Thread‑3)。如果线程池大小设为 3,且有 3 个以上的并行扫描请求发送到扫描引擎,则只有 3 个扫描将在 

引擎中执行,其余的扫描请求需要排队。 

向 Manager 中添加配置之前,需要在 Scan 引擎中至少运行一次新定义的扫描配置。Vulnerability Manager 中定义的每 

种扫描配置都与 Scan 擎相关联。首次在 Vulnerability Manager 端运行扫描配置时,会将运行扫描配置的 Scan 引擎与该 

扫描配置相关联。此步骤对于将扫描配置成功添加到 Manager 中是必不可少的。 

在“Preferences(首选项)”部分中,可以自主设置与 Threat Analyzer 功能和显示有关的各种选项。“Reset to Defaults 

(重置为默认值)”会使所有当前面板字段返回默认值。 

“Preferences(首选项)”提供的选项卡如下所示: 

• “General(常规)”:Ethereal、Default Time Format(默认的时间格式)、Time Zone(时区)、Whois Server URL 

(Whois 服务器 URL)、No. of Alerts at startup(启动时的警报数目)、Max. No. of Alerts(警报的最大数目)、IP 

Address Name Resolution(IP 地址名称解析)、IP Address Name Resolution Maximum Timeout (milliseconds) 

(IP 地址名称解析最大超时(毫秒))、Warn about Impact of Real‑Time Sensor Performance Polling(就实时 

Sensor 性能轮询所产生的影响发出警告)、Highlight New Threats(突出显示新威胁)、Threats New if First Seen 

(首次发现的新威胁)和 Proxy Server(代理服务器)。 

• “Alerts View(警报视图)”:自定义“Alerts view(警报视图)”中列的布局和显示。 

• “Hosts View(主机视图)”:自定义“Hosts View(主机视图)”中列的布局和显示。 

• “Watch List(观察列表)”:创建配色方案来突出显示对监控环境具有重要意义的特定警报信息。 

• “Historical Constraints(历史约束)”:显示在启动“Historical Threat Analyzer(历史 Threat Analyzer)”时所选历史查 

询的信息。 

另请参阅 

观察列表第 271 页 

Central Manager Threat Analyzer 的“Preferences(首选项)”页仅包含“General(常规)”、“Alerts View(警报视图)” 

和“Watch List(观察列表)”面板。 


常规面板 

“General(常规)”面板设置基本程序功能的首选项。可用选项包括: 

• “Ethereal”:查看数据包日志所用的 Ethereal 程序的位置。第一次打开 Threat Analyzer 时,通过在整个系统中浏览 

(“...”)来设置 Ethereal 程序所在的位置。 

• “Default Time Format(默认的时间格式)”:单击可编辑您希望对警报标记时间戳的时间格式。默认的时间格式为 

MM‑dd HH:mm:ss 

• “Time Zone(时区)”:要在 Threat Analyzer 的时间相关显示列中使用的时区格式。可用格式包括“Client Host Time 

Zone(客户端主机时区)”和“UTC/GMT”,前者是默认格式。 

• “Whois Server URL(Whois 服务器 URL)”:Whois 服务器的 URL。 

• “No. of Alerts at startup(启动时的警报数目)”:启动时显示的警报数目。默认值为 20,000 个警报。 

• “Max. No. of Alerts(警报的最大数目)”:可以在 Threat Analyzer 中查看的警报的最大数量。 

• “IP Address Name Resolution(IP 地址名称解析)”:如果处于启用状态,则显示 IP 地址名称。 

• “IP Address Name Resolution Maximum Timeout (milliseconds)(IP 地址名称解析最大超时(毫秒))”:解析 IP 地址 

名称所用的时间。默认值为 1000 毫秒 

• “Warn about Impact of Real‑Time Sensor Performance Polling(就实时 Sensor 性能轮询所产生的影响发出警告)”: 

如果处于启用状态,则 Threat Analyzer 会就实时 Sensor 性能轮询所产生的影响显示一则警告消息。默认设置为启 

用。 

• “Highlight New Threats(突出显示新威胁)”:启用用来在 Threat Analyzer 中突出显示新威胁的首选项。 

• “Threats New if First Seen(首次发现的新威胁)”:在“Alerts(警报)”页中查看首次发现的新警报。 

• “Enable Auto Scan(启用自动扫描)”:对于 NTBA Appliance 所发现的新主机启用或禁用自动扫描漏洞功能(在集成 

了 McAfee Vulnerability Manager 的情况下适用)。 

• “Proxy Server(代理服务器)”:代理服务器已设置或未设置。默认设置为禁用。 

图 4-151 TA 常规首选项 

启用 IP 地址名称解析 

如果在 Threat Analyzer 的“General(常规)”面板中启用了“IP address name resolution(IP 地址名称解析)”选项,则 

Threat Analyzer 可以通过 DNS 解析主机名称。 

按照以下步骤可启用 IP 地址名称解析。 


设置首选项 4 


4 



任务 

1 打开“Threat Analyzer”。 

2 导航到“Preferences(首选项)” | “General(常规)”。 

3 启用“IP Address Name Resolution(IP 地址名称解析)”选项。 

4 为“IP Address Name Resolution Maximum Timeout (milliseconds)(IP 地址名称解析最大超时(毫秒))”设置适当的 

值。 

这是为 DNS 服务器解析 IP 地址名称而设置的时间。默认值为 1000 毫秒。 

5 导航到“Alerts(警报)”选项卡。 

6 等待几分钟,让 IP 地址得以解析。 

用户可以在“Alerts(警报)”视图中查看可解析的 IP 地址的 IP 地址解析结果。 

图 4-152 在警报视图中查看 IP 地址解析结果 

7 在地址得以解析之后,通过单击“Alerts(警报)”视图底部的“Save as CSV(另存为 CSV)”或“Save as PDF(另存为 

PDF)”按钮来将警报另存为 csv 或 pdf。 

IP 地址名称解析结果在所保存警报的“Src IP(来源 IP)”和“Dest IP(目标 IP)”列中可见。 

图 4-153 所保存警报中的 IP 地址解析 


警报视图面板 

“Alerts View(警报视图)”面板用于自定义警报视图,如“All Alerts(全部警报)”页所示(在该页中选中“Details(详细信 

息)”单选按钮。“Alerts View(警报视图)”面板中的选择决定了在“Alerts View(警报视图)”面板中显示的列。 

图 4-154 “Preferences(首选项)”:“Alerts View(警报视图)”面板 

您可以自定义以下信息: 

• “Visibility(可见性)”:勾选符号表示您希望在“Detail View(详细信息视图)”中看到该类别。没有勾选符号的空框表 

示您不希望看到该类别。单击“Visibility(可见性)”方框即可显示/不显示类别。 

• “Column(列)”:“Detail View(详细信息视图)”列的当前名称。 

• “Abbr(简称)”:“Detail View(详细信息视图)”列的当前名称。双击“Abbr(简称)”单元格并键入您希望显示的简称。 

• “Width(宽度)”:特定类别的单元格宽度。双击“Width(宽度)”单元格并键入以毫米为单位的单元格宽度。 

• “Align(对齐)”:列中类别名称的对齐方式。单击“Align(对齐)”单元格并从下拉列表中选择对齐方式首选项。选项包 

括“Left(左对齐)”、“Right(右对齐)”或“Center(居中)”。 

• “Position(位置)”:提供列在“Detail View(详细信息视图)”窗口中所在的位置。 

使用上下箭头可以在“Detail Panel(详细信息面板)”中选择一行,并上下移动该行在顺序中的位置。以后,“Detail View 

(详细信息视图)”将按照此处设置的顺序显示这些列。 

另请参阅 


主机视图面板 

“Hosts View(主机视图)”可让您自定义“Hosts(主机)”页中所显示主机的视图。在该视图中,主机包含按各种类别或列 

(“Hosts(主机)”页中的“Column(列)”)排列的数据。 

您可以自定义以下信息: 

• “Visibility(可见性)”:勾选符号表示您希望看到该类别。没有勾选符号的空框表示您不希望看到该类别。单击“Visibility 

(可见性)”方框即可显示/不显示类别。 

• “Column(列)”:“Hosts View(主机视图)”列的当前名称。 



• “Abbr(简称)”:“Hosts View(主机视图)”列的当前名称。双击“Abbr(简称)”单元格并键入您希望显示的简称。 

• “Width(宽度)”:特定类别的单元格宽度。双击“Width(宽度)”单元格并键入以毫米为单位的单元格宽度。 


4 



• “Align(对齐)”:列中类别名称的对齐方式。单击“Align(对齐)”单元格并从下拉列表中选择对齐方式首选项。选项包 

括“Left(左对齐)”、“Right(右对齐)”或“Center(居中)”。 

• “Position(位置)”:提供列在“Host(主机)”页中所在的位置。 

使用上下箭头可以在“Hosts(主机)”页中选择一行,并上下移动该行在顺序中的位置。以后,“Hosts(主机)”将按照此处 

设置的顺序显示这些列。 

图 4-155 Threat Analyzer ‑ Hosts View(主机视图) 


观察列表 

“Watch List(观察列表)”可以设置突出显示指定警报数据的“Detail View(详细信息视图)”单元格。例如,如果您希望快 

速查看某个目标 IP 地址是不是攻击的目标,则可将该目标 IP 地址添加到观察列表并选择在检测到该地址时用何种颜色 

突出显示。如果已存在相同条目,就会以指定的颜色突出显示那些单元格。例如,如果您想了解来源 IP 10.0.0.1 发起的 

任何攻击,则可使用绿色创建一个“Watch List(观察列表)”条目。保存后,所有其来源 IP 为 10.0.0.1(无论过去或将来) 

的单元格都将突出显示为绿色。 

您可以向添加到“Watch List(观察列表)”的 IP 地址中添加子网掩码。例如,您可以通过输入 192.168.1.16/32,指定目 

标 IP 地址 192.168.1.16 的子网掩码为 32。 

使用“Watch List(观察列表)”可以更改 Threat Analyzer 的“Detail View(详细信息视图)”表中所显示的警报严重性的配色 

方案。 

图 4-156 “Preferences(首选项)”:“Watch List(观察列表)”面板 

要添加“Watch List(观察列表)”的突出显示规则,请执行以下操作: 

任务 

1 从 Threat Analyzer 窗口的菜单栏部分中选择“Preference(首选项)”选项卡。 

2 单击“Watch List(观察列表)”选项卡。 

3 单击“Add(添加)”,“Watch List(观察列表)”表的底部即会新增一行。 

4 此时将显示“Watch Entry(观察条目)”对话框。 




4 



5 选择“Attribute(属性)”。下拉列表中包含以下选项: 

• Severity(严重性):所有严重性都有预设颜色。如果要更改严重性的颜色,请单击严重性行的“Color(颜色)”单元 

格并选择新的颜色。 

• Attack(攻击):突出显示特定的攻击名称。 

• Source IP(来源 IP):突出显示特定的来源 IP。 

• Source Port(来源端口):突出显示特定的来源端口。 

• Destination IP(目标 IP):突出显示特定的目标 IP。 

• Destination Port(目标端口):突出显示特定的目标 IP。 

“Attribute(属性)”单元格与“Value(值)”单元格相对应。您必须在选择“Attribute(属性)”后,方可选择“Value 

(值)”。 

6 选择“Value(值)”单元格。下拉列表中包含以下选项: 

• 对于“Severity(严重性)”:选择一个可用的严重性级别。 

• 对于“Attack(攻击)”:从整个攻击名称列表中选择一个攻击名称。 

• 对于“Source IP(来源 IP)”:通过突出显示 IP 地址并键入新值,输入 IP 地址。 

• 对于“Source Port(来源端口)”:通过突出显示默认编号并键入新值,输入端口号。 

• 对于“Destination IP(目标 IP)”:通过突出显示 IP 地址并键入新值,输入 IP 地址。 

• 对于“Destination Port(目标端口)”:通过突出显示默认编号并键入新值,输入端口号。 

7 单击“Color(颜色)”单元格,即会打开“Pick a Color(选择颜色)”对话框。 


8 选择突出显示您设置值的颜色。每个选项卡的底部都有“Preview(预览)”窗格,可帮助您选择颜色。调色板选项卡的 

选项包括: 

• “Swatches(样板)”:从标准调色板表中选择一种颜色。 

• “HSB”:色调、饱和度、亮度。 

• “RGB”:红绿蓝。 

图 4-157 “Watch List(观察列表)”:“Pick a Color(选择颜色)” 

9 完成颜色选择后,单击“OK(确定)”返回“Watch List(观察列表)”表。 

10 单击“Apply(应用)”复选框启用新的属性。方框中的勾选符号表示已启用该功能。 

11 “Watch List(观察列表)”条目输入完成后,单击“OK(确定)”。 

另请参阅 

设置首选项第 266 页 

历史约束 



“Historical Constraints(历史约束)”页显示在打开“Historical Threat Analyzer(历史 Threat Analyzer)”时所选历史查询 

的信息。请注意,此选项卡仅在打开“Historical Threat Analyzer(历史 Threat Analyzer)”时才可见。 


4 



“Historical Constraints(历史约束)”页显示“Start time(开始时间)”、“End time(结束时间)”、“Source IP(来源 IP)”、 

“Source Port(来源端口)”、“Destination IP(目标 IP)”、“Destination Port(目标端口)”、“Attack(攻击)”、“Sensor”和 

“Application Protocol(应用协议)”。 

图 4-158 首选项:历史约束 


5 监控工作状态 

5 

“Operational Status(工作状态)”详细说明所有已安装的 McAfee Network Security Platform IPS 件的工作状态,包括与 

集成的 Host Intrusion Prevention Management Server 之间的通信情况。同时还生成消息来详细说明 McAfee Network 

Security Platform 遇到的系统故障。 

目录 

工作状态的状态指示器 

工作状态界面 

查看选定故障消息摘要 


5 

监控工作状态 



“Operational Status(工作状态)”最先是在主页上看到的。要查看“Operational Status(工作状态)”信息,请单击菜单栏 

中的“Operational Status(工作状态)”选项卡。 

图 5-1 Manager 主页中的“Operational Status(工作状态)” 

项目描述 

1 主页上的“Operational Status(工作状态)” 



“Operational Status(工作状态)”界面的主屏幕显示您安装的每个 Network Security Platform 组件的快速视图。一共提 

供三个表:一个显示 McAfee ® Network Security Manager (Manager) 的信息,另一个显示所有已安装的 Sensor 的信息, 

还有一个显示有关 Manager 数据库的常规信息。Manager 和 Sensor 表均反映组件的当前连接状态以及故障消息数量。 

故障消息数用两个数字表示,中间用斜杠隔开 (n/n)。斜杠左边的数字表示用户尚未确认的故障消息数。斜杠右边的数字 

表示故障消息总数。 

此外,还会显示上次检索的时间。 

图 5-2 系统健康视图 

项目描述 

1 单击可查看 Sensor 状态。 

2 单击任意 n/n 链接可查看该链接的消息信息。 

3 上次更新工作状态的时间 ‑ 每 60 秒更新一次。 

工作状态的配色方案 

“Operational Status(工作状态)”表单元格(不含组件的“Status(状态)”列)的配色方案反映当前未确认警报的数量。 

• “绿色”:如果所有单元格都为绿色,就表示该组件没有未确认警报。 

• “蓝色”:如果组件的单元格显示为蓝色,就表示该组件有一个或多个未确认的“Informational(信息)”警报。 

• “黄色”:如果组件的单元格显示为黄色,就表示该组件有一个或多个未确认的“Warning(警告)”警报。 

• “橙色”:如果组件的单元格显示为橙色,就表示该组件有一个或多个未确认“Error(错误)”警报。 


工作状态界面 5 

• “红色”:如果组件的单元格显示为红色,就表示该组件有一个或多个未确认的“Critical(非常严重)”警报。 

确认故障表示您已了解该问题,并打算采取适当的操作。在工作状态视图一图中,有两个已确认的“Critical(非常严 

重)”故障(表示为 0/0),还有两个未确认的“Error(错误)”故障(表示为 2/2)。 

下面介绍另外一种情况:您登录到 Manager:主页中的 “System Health(系统健康状况)”状态将显示 “Critical(非常严 

重)”(红色)。您打开“Operational Status(工作状态)”查看故障。在检查故障后,手动“Acknowledge(确认)”该故障。 

您关闭“Operational Status(工作状态)”并返回到 Manager 主页。30 秒后,主页将刷新,且 “Operational Status(工作 

状态)”将显示 “Up/Active(开启/活动)”。此时,问题可能仍然存在,但由于您确认了故障消息,Manager 确定其余系统 

功能正常,并认定您在采取步骤修复该故障问题。所以将不再继续提示该故障。 

有些故障会自行清除,并从该视图中消失。例如,如果有人断开了 I‑4000 Sensor 的电源,就会出现“Critical(非常严 

重)”(红色)故障描述这种情况。重新插入电源后,就会出现另一个故障说明新情况,同时显示第三个故障表示没有通 

电。当系统检测到电源上有电流,认为电源恢复正常工作后,Manager 就会将这三个警报一起清除。 


5 



工作状态字段 

“Operational Status(工作状态)”表中的字段如下所示: 

• “Network Security Platform Manager”:控制系统的 Manager。仅有一个实例,其名称始终为“Manager”。 

• “Sensor”:用户为 Sensor 或故障转移对指定的名称。 

• “Model(型号)”:Network Security Sensor 型号类型(I 系列、M 系列或 N‑450 Sensor)或“Host Intrusion 

Prevention”(针对 Host Intrusion Prevention Management Server)。 

• “Status(状态)”:组件的工作状态。 

对于 Manager,“Up(开启)”表示正常工作;“Down(关闭)”表示组件不工作。 

• “Fault Level(故障级别)”:“Critical(非常严重)”、“Error(错误)”和“Warning(警告)”字段表示系统故障的影响程度。 

这些字段均有两个数字 (n/n):用户尚未确认的故障数/故障总数(全部已确认和未确认故障)。 

• “Critical(非常严重)”:重大故障,如组件故障。 

• “Error(错误)”:一般故障,如处理停止、端口速度配置不正确或会话超时(自动退出登录)。 

• “Warning(警告)”:小故障,如多次登录出错或没有正确清除字段就尝试删除系统配置工具中的资源。 

• “Informational(信息)”:转发成功下载特征码集、完成计划存档等信息的信息故障。 

• “Total(合计)”:每个组件的消息总数、每个消息类别的消息总数或系统中所有消息总数。 

• “Database Type(数据库类型)”:MySQL。 

• “Database URL(数据库 URL)”:Manager 用于查找数据库的导航方式。 

• “Status(状态)”:数据库的连接状态。“Up(开启)”表示 Manager 与数据库之间的通信正常;“Down(关闭)”表示它 

们之间的通信已中断或存在其他错误。 

Sensor 状态详细信息 

对于“Operational Status(工作状态)”页中所列出的 Sensor,“Status(状态)”列显示所列出的 Sensor 的以下状态: 

• “Active(活动)”:所有通道工作都正常。 

• “Attention(注意)”:一个或两个通信通道不工作。 

• “Disconnected(断开)”:三个通信通道全部不工作。 

• “Standby(待机)”:命令通道仍在建立中。 

• “Uninitialized(未初始化)”:初始设置存在故障。 

• “Unknown(未知)”:当 Sensor 已添加到 Network Security Platform 用户界面中,但尚未在实际 Sensor 与 

Manager 之间建立通信时,会显示此状态。 

单击 Sensor 的“Status(状态)”单元格中的链接,便可打开“Sensor Status Detail(Sensor 状态详细信息)”。 


对于 Sensor,状态由三个通信通道参数决定:命令信道、警报信道和数据包日志通道。“Sensor Status Detail(Sensor 

状态详细信息)”页显示 Sensor 健康状况和三个通信通道参数。 

图 5-3 Sensor 状态详细信息 

“Back(后退)”按钮:返回到“Operational Status(工作状态)”页。 


从“Status(状态)”界面的“Critical(非常严重)”、“Error(错误)”、“Warning(警告)”、“Informational(信息)”或“Total 

(合计)”列中选择消息值 (n/n) 可切换到显示选定类别故障消息的视图。我们称之为“Faults of Type(某类故障)”屏幕。每 

条消息均包含出现的日期和时间。下图显示了“Operational Status(工作状态)”页中 McAfee Network Security Platform 

Sensor 的消息。 

图 5-4 某类故障:Manager 的警告消息 

项目描述 

1 单击链接可查看特定故障的详细信息。 

2 操作按钮。 

故障窗口中的字段说明如下: 

• “Check box(复选框)”:选中一个或多个故障实例复选框,对故障执行操作。如果选中顶部的复选框(在表的标题行 

中),将选中所有故障并作为一个整体执行操作。 

• “Ack(确认)”:手动认可故障。复选标记表示您已经选中该故障复选框并单击“Acknowledge(确认)”操作按钮。没 

有勾选符号表示您尚未确认此故障。 

• “Date(日期)”:故障的记录日期和时间。 

• “Manager Name(Manager 名称)”:已同步的 Manager 的名称。 

• “Severity(严重性)”:故障的严重性。 

• “Fault Type(故障类型)”:故障的简短描述。您可以单击此链接查看故障的详细信息。 


查看选定故障消息摘要 5 


5 



故障窗口操作按钮 

“Fault(故障)”窗口中的操作按钮如下: 

• “Refresh(刷新)”:刷新页面并显示由 Manager 检测到的最新故障。 

• “Acknowledge(确认)”:将故障标记为已认可。确认故障的意思是“是的,我知道有这个故障”。手动确认时,“Ack 

(确认)”字段将显示复选标记。确认故障表示您已了解该问题,并打算采取适当的操作。 

• “Unacknowledge(取消确认)”:将“Ack(确认)”字段设置为空白,即未确认状态。默认情况下,所有故障均处于未 

确认状态。您可以对已确认的故障取消确认。 

• “Delete(删除)”:从“Operational Status(工作状态)”视图中彻底删除选定的故障。删除的故障将不再出现在 n/n 计 

数中。“Delete(删除)”不同于“Acknowledge(确认)”,前者是彻底删除,但“Acknowledge(确认)”会将故障保留在 

“Operational Status(工作状态)”中供以后分析。 

• “Back(上一步)”:退回上一屏幕(退出当前视图)。 

查看特定故障的详细信息 

图 5-5 故障详细信息 

“Faults of Type(某类故障)”窗口中的每个描述都链接至有关该故障的详细信息。选择描述链接可将视图切换至“Fault 

Detail(故障详细信息)”。“Fault Detail(故障详细信息)”窗口显示特定于选定故障的信息。您可通过这些信息深入了解故 

障,例如故障发生的位置和原因。 

• “Fault Type(故障类型)”:表示组件和故障的简短名称。 

• “Source(来源)”:组件(McAfee ® Network Security Manager (Manager) 或 Sensor)内发生故障的确切位置。例如: 

• “Manager:Software(Manager: 软件)”故障表示 Manager 服务器的软件功能的某一部分出现故障。 

• “I1400:Command Channel(I1400: 命令通道)”故障表示 Sensor 配置故障,其中 I1400 是用户定义的 Sensor 名 

称,“Command Channel(命令通道)”表示 Sensor 组件的问题区域。 

• “Condition Type(状态类型)”:描述来源的工作状态,包括“Up(打开)”、“Down(关闭)”、“Fail(故障)”和 

“Disconnected(断开)”等。 

• “Alarm Type(警报类型)”:触发警报的原因。例如,“Communication(通信)”通常表示 Sensor 与 Manager 之间的 

连接中断。 

• “Severity(严重性)”:故障影响的严重程度:“Informational(信息)”、“Warning(警告)”、“Critical(非常严重)”或 

“Error(错误)”。 

• “Last Occurrence Time(上次发生时间)”:上次发生故障的日期和时间。 

• “Acknowledged(已确认)”:管理认可状态。无复选标记表示您尚未选择故障和单击“Acknowledge(确认)”。有复选 

标记表示您已确认该故障。 

• “Additional Text(附加文本)”:故障的详细说明。 

• “Creation Time(创建时间)”:故障首次发生的日期和时间。 


操作按钮 

此处操作按钮的功能和“某类故障”窗口中按钮的功能相同。功能说明如下: 

• “Acknowledge(确认)”:将故障标记为已认可。确认故障的意思是“是的,我知道有这个故障”。在手动确认时, 

“Acknowledge(确认)”字段被打上复选标记。确认故障表示您已了解该问题,并打算采取适当的操作。 

• “Unacknowledge(取消确认)”:将“Acknowledge(确认)”字段设置为空白,即未确认状态。默认情况下,所有故障 

均处于未确认状态。 

• “Delete(删除)”:从“Operational Status(工作状态)”视图中彻底删除选定的故障。删除的故障将不再出现在 n/n 计 

数中。“Delete(删除)”不同于“Acknowledge(确认)”,前者是彻底移除,但后者会将故障保留在“Operational Status 

(工作状态)”中供进一步分析或以后分析。 

• “Back(上一步)”:退回上一屏幕(退出当前视图)。 

系统故障消息 


查看选定故障消息摘要 5 

有关系统故障消息及其解释的完整列表,请参阅“McAfee Network Security Platform 故障排除手册”。 


5 




6 生成报告 

6 

McAfee ® Network Security Platform 提供针对两种类型报告的报告生成选项:新产生报告和传统(配置和 IPS 事件)报 

告。单击 Manager 主页中的“Reports(报告)”可打开报告主页。 

图 6-1 “Reports(报告)”选项卡 

项目描述 

1 单击可访问报告主页。 

对报告主页的访问基于用户角色。根据定义,可以由“Super User(超级用户)”、“Security Expert(安全专家)”和“Operator 

(操作员)”角色生成报告。访问权限同时也受管理域限制,例如,只具备访问子域权限的用户就不能查看要求根或更高 

级域访问权限的数据或模板。 

目录 

报告主页 

报告的本地化 

新产生报告 

传统 - 配置报告 

传统 - IPS 事件报告 

自动生成报告 

查看计划的报告 

配置常规设置 


6 

报告主页 

生成报告 

报告主页 

报告的本地化 

单击 Manager 主页中的“Reports(报告)”可打开报告主页。 

报告主页中提供了以下选项: 

• 新产生:生成自定义的报告。您可以选择要作为报告依据的数据类型、要显示的字段以及要将数据显示在表格、柱 

状图还是饼图中等。 

• 传统报告:基于预定义的条件生成报告。您可以生成以下两个类别的传统报告:配置报告和 IPS 报告 

• 传统 ‑ 配置报告基于特定类型的信息,例如 Manager、策略和警报的配置,以及当前 Manager 和 Sensor 软件 

版本的摘要。这些报告提供了 Manager 和 Sensor 上的不同配置集的更新结果。 

• 传统 ‑ IPS 事件报告提供 Network Security Sensor 和 Host Intrusion Prevention Sensor 所生成警报的详细信息。 

它们基本上是使用数据(如攻击名称、攻击类型、警报时间和 IP 地址)生成的摘要。 

• 计划的报告:计划以每天或每周为周期自动运行报告并通过电子邮件发给收件人。 

• 常规设置:编辑报告的页眉和页脚、报告的计划运行时间、要将所生成的报告发送到的收件人列表等。 

图 6-2 “Next Generation(新产生)”报告 

报告生成时间是启动报告生成时显示的时间。此时间随时区的不同而不同。 

单击“Back(上一步)”以从生成的报告页导航到报告主页。 

Manager 支持用以下语言生成报告: 

• 英语 • 日语 

• 简体中文 • 朝鲜语 

• 繁体中文 

您可以配置、计划和查看采用所有上述五种语言生成的报告。 

您可以在报告主页的语言字段中选择语言。当您首次访问时,报告主页以英语显示。随后,它将以您上次所选语言显示。 


图 6-3 报告的本地化 

如果您通过客户端计算机访问 Manager,则需要安装东亚语言字符,否则报告中的该类字符将显示为方框或问号。要安装 

东亚语言字符,请转到“Settings(设置)”‑>“Control Panel(控制面板)”‑>“Regional and Language options(地区和语言选 

项)”‑>“Languages(语言)”‑>选择“Install files for East Asian languages(安装东亚语言文件)”,安装“Asian Language 

Characters(亚洲语言字符)”,然后重新启动计算机。 

要查看本地化报告的 PDF 版本,需要在 Acrobat Reader 中包括必需字体。首次尝试查看 PDF 版本时,Acrobat Reader 

将尝试更新必需的字体。 

您可以为计划报告的收件人指定语言,然后将采用所指定的那些语言生成计划报告。例如,如果您计划“Executive 

Summary Report(执行摘要报告)”有五个收件人(每位收件人对应包括英语在内的一种语言),那么在指定的时间将采用 

所有这五种语言生成该报告,然后将相应的版本通过电子邮件发送给收件人。也就是说,日语收件人将接收日语版本的 

报告。 

从数据库中检索的数据将以保存在数据库中时所使用的语言显示,并且该数据与您在报告主页上选择的语言无关。例如, 

如果保存的报告采用英语生成,则不能通过在报告主页中选择日语来将其显示为日语。为此,您需要为此报告添加另一 

个收件人,该收件人的语言为日语。 

“Sent Reports(已发送的报告)”页中的语言列表示生成报告所使用的语言。此外,对于采用英语以外的语言保存的报 

告,您可以通过报告名称的最后两个字符确定其语言: 

“ja”表示日语,“ko”表示朝鲜语,“CN”表示简体中文,“TW”表示繁体中文。 

生成报告 

报告的本地化 6 


6 


生成报告 


在以下各页中,可以使用您所选择的语言输入文本: 

• 添加报告模板(描述) 

• 编辑报告模板(描述) 

• 添加收件人(名字和姓氏) 

• 编辑收件人(名字和姓氏) 

下表提供报表模块中的本地化程度: 

类别本地化程度 

取自数据库的用户可配置数据未本地化 

用户不可配置的数据完全本地化 

信息性消息完全本地化 

错误消息完全本地化 

联机帮助默认情况下仅以英语显示。本地化的联机帮助可以单独请求,可以将其手动安装到所安 

装的 Manager 中。 

图表和图形中的文本部分本地化 

日期完全本地化 

日历完全本地化 

数字、货币和度量部分本地化 

通过键盘输入的数据部分本地化 

“Next Generation(新产生)”报告选项可让您生成自定义的报告。您可以选择要作为报告依据的数据类型,以及要将数据 

显示在表格、柱状图还是饼图中等。从适于报告的字段列表中,可以选择要显示的字段,还可以指定为了在报告中包括 

这些字段的信息而必须满足的条件。 

随后,可以保存刚构建的查询以供日后使用。您还可以通过设置各种选项(例如,考虑显示数据的时间段、报告输出格式 

等)来立即生成报告或计划自动运行它。 

“Next Generation(新产生)”报告可从 Manager 中的“Reports(报告)”菜单生成。 


当您在 Manager 主页中选择“Reports(报告)”菜单时,“Next Generation(新产生)”页的左窗格中会在默认情况下显示 

“Saved Reports(保存的报告)”。 

图 6-4 “Next Generation(新产生)”页 

新产生的已保存报告 

“Saved Reports(保存的报告)”面板列出了三种类型的已保存报告: 

• “McAfee Default Report(McAfee 默认报告)”:这些报告在默认情况下列出,只能复制和运行,而不能编辑或删除。 

• “Derived from "{report name of McAfee Default Report}":(从“{McAfee 默认报告的名称}”获得:)”这些报告是新产生 

的默认报告的副本。可以对报告副本进行编辑和删除。请注意,编辑仅限于修改数据过滤器选项,也就是说,可以 

编辑数据管理器,而不能编辑报告显示选项。 

• “User Defined Report(用户定义的报告):”在从“Next Generation(新产生)”报告的主屏幕中单击“New(新建)”按钮 

时,会创建这些报告。在用户定义的报告中,可以定义数据过滤器选项以及报告输出显示首选项(例如,是生成柱状 

图还是饼图等形式的报告)。 

“Next Generation(新产生)”默认报告 

下面是“Next Generation(新产生)”下包含“Default(默认)”的报告选项: 

主机事件报告 

• “Default ‑ Guest History(默认 ‑ 来宾历史记录)”:在给定时间段内,网络上预先定义的来宾用户和自行注册的来宾用 

户的列表。 

• “Default ‑ System Health History(默认 ‑ 系统健康状况历史记录)”:在给定时间段内,主机及其健康级别的列表。 

• “Default ‑ System Health Summary(默认 ‑ 系统健康状况摘要)”:每个健康级别的主机计数。 

• “Default ‑ Source Reputation Summary(默认 ‑ 来源信誉摘要)”:来源信誉的摘要。 

警报信息报告 

• “Default‑ Attack URL Info(默认 ‑ 攻击 URL 信息)”:攻击的 URL 信息列表。 

生成报告 

新产生报告 6 

• “Default ‑ Global Threat Intelligence Participation Summary(默认 ‑ Global Threat Intelligence 参与摘要)” –发送到 

McAfee Labs 的信息。 


6 

生成报告 


• “Default ‑ Layer 7 Data(默认 ‑ 第 7 层信息)” ‑ 攻击及其相应第 7 层数据的列表(如 HTTP URL、FTP 文件名和 

SMTP 发件人/收件人) 

• “Default ‑ Quarantine History(默认 ‑ 隔离记录)”:因尝试进行入侵而被隔离的主机的列表。 

• “Default ‑ Top 10 Attack Destinations(默认 ‑ 前 10 个攻击目标)”:前 10 个攻击目标的列表。 

• “Default ‑ Top 10 Attack Sources(默认 ‑ 前 10 个攻击来源)”:前 10 个攻击来源的列表。 

• “Default ‑ Top 10 Attack Source Countries(默认 ‑ 前 10 个攻击来源国家/地区)”– 根管理域中前 10 个攻击来源国 

家/地区的信息。 

• “Default ‑ Top 10 Attacks(默认 ‑ 前 10 个攻击)”:对于网络中的所有设备,攻击数最多的前 10 个攻击。 

与应用程序相关的报告 

要任何与应用程序相关的报告显示数据,您必须在要查询的时间段内启用所需监控端口上的“Application Identification(应 

用程序识别)”功能。例如,如果要对今天上午 9 点到 10 点间监控的流量运行“Top 10 Application Categories by 

Attack Count(攻击计数最多的前 10 个应用程序类别)”报告,您必须根据 Manager 服务器的时钟,在今天上午 9 点到 

10 点间启用相应监控端口上的“Application Identification(应用程序识别)”功能。 

• Top 10 Application Categories by attack count(攻击计数最多的前 10 个应用程序类别):运行此报告可查看基于 

各类别生成的攻击的前 10 个类别。与其他新产生报告一样,此报告也以图像和表格的形式显示信息。本报告中包含 

的信息如下: 

• 对于前 10 个类别中的各个类别,其消耗带宽、流数目以及各类别生成的攻击数。 

• 前 10 个类别中的各个类别检测到的应用程序。例如,如果 Web 邮件属于前 10 个类别之一,则此报告会列出检 

测到的所有 Web 邮件应用程序。如果应用程序属于前 10 个类别中的多个类别,则此报告会在这几个类别下面分 

别列出这些应用程序。 

• 对于各个应用程序,其消耗带宽、流数目以及生成的攻击数。 

• Top 10 Application Categories by bandwidth usage(带宽使用率最高的前 10 个应用程序类别):此报告与“Top 

10 Application Categories by Attack Count(攻击计数最多的前 10 个应用程序类别)”报告相似,不同之处在于前者 

的详细信息是基于消耗带宽。 

• Top 10 Application Categories by connection count(连接数最多的前 10 个应用程序类别):此报告与“Top 10 

Application Categories by Attack Count(攻击计数最多的前 10 个应用程序类别)”报告相似,不同之处在于前者的详 

细信息是基于流连接的数目。 

• Top 10 Application by attack count(攻击计数最多的前 10 个应用程序):此报告基于各应用程序所涉及的攻击数, 

列出了前 10 个应用程序。本报告中包含的信息如下: 

• 风险:应用程序是否处于高、中或低风险。McAfee Labs 根据应用程序的漏洞及其传播恶意软件的可能性对其进 

行分类。 

• 带宽:每个应用程序消耗的网络带宽。 

• 连接数:每个应用程序的流数目。 

• 攻击计数:每个应用程序涉及的攻击数。此报告根据攻击数进行排序。 

• Top 10 Applications by bandwidth usage for all risk levels(所有风险级别带宽利用率最高的前 10 个应用程序): 

此报告与“Top 10 Application by attack count(攻击计数最多的前 10 个应用程序)”报告相似,不同之处在于前者是 

基于每个应用程序消耗的带宽。 


• Top 10 Applications by bandwidth usage for each risk level(每个风险级别带宽利用率最高的前 10 个应用程序): 

此报告基于每个应用程序消耗的带宽,列出了每个风险类别的前 10 个应用程序。也就是说,它基于每个应用程序消 

耗的带宽,列出了前 10 个高风险级别的应用程序。同样地,它在其他表格中分别列出了前 10 个中等风险的应用程 

序和前 10 个低风险的应用程序。 

• Top 10 Applications by connection count(连接计数最多的前 10 个应用程序):此报告与“Top 10 Application by 

attack count(攻击计数最多的前 10 个应用程序)”报告相似,不同之处在于前者是基于每个应用程序的连接数。 

要让与应用程序相关的报告显示数据,必须启用“Application Identification(应用程序识别)”功能。 

默认的新产生报告会显示有关已启用“Application Identification(应用程序识别)”功能的所有 Sensor 的信息。要查看特 

定 Sensor 的详细信息,可以生成新产生复制报告或用户定义的新产生报告。 

Sensor 性能 ‑ 每小时报告 

• “High Sensor TCP / UDP Flow Utilization(Sensor TCP/UDP 流利用率高)”:TCP/UDP 流利用率的状态。 

• “Default ‑ High Sensor Throughput Utilization(默认 ‑ Sensor 吞吐量利用率高)”:Sensor 吞吐量利用率阈值的状 

态。 

NTBA 数据查询报告 

• “Default ‑ Top 10 Applications(默认 ‑ 前 10 个应用程序)”:列出在所选时间段内,由网络中的主机访问次数最多的 

前 10 个应用程序。 

• “Default ‑ Top 10 Conversations(默认 ‑ 前 10 个会话)”:列出在所选时间段内,流量和带宽利用率最高的前 10 个 

会话。 

• “Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”:列出在所选时间段内,网络中流量和带宽利用率最高的 

前 10 个主机。 

• “Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”:列出在所选时间段内,流量和带宽利用率最高的前 

10 个导出器接口。 

• “Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”:列出在所选时间段内,流量和带宽利用率最高的前 10 个服务。 

运行新产生的默认报告 

任务 

开始之前 

1 在“Manager”主机上,单击“Reports(报告)”图标。 

此时会显示报告页的“Traditional(传统)”选项卡。 

2 单击“Next Generation(新产生)”选项卡。 

此时会显示“Next Generation Saved Reports(新产生的已保存报告)”。可用报告列在左侧的窗格中。 

生成报告 



6 

生成报告 


3 在“Saved Reports(已保存报告)”面板中列出的报告中,选择您要运行的报告。 

报告的详细信息列在右侧面板中。 

图 6-5 新产生的已保存报告 

4 单击“Run(运行)”。 

此时将显示“Run Report(运行报告)”页。 

图 6-6 “Run Report(运行报告)”页 

5 选择“Date options(日期选项)”。[查询某一天、两个日期之间或特定时间段(月份数、周数、天数或小时数)] 


6 选择“Report Format(报告格式)”。(“HTML”、“PDF”、“Save as CVS(另存为 CVS)”或“Save as HTML(另存为 

HTML)”。) 


对于“HTML”和“PDF”选项,报告将显示在 Manager 中。对于“Save as CSV(另存为 CVS)”和“Save as HTML(另 

存为 HTML)”,使用“File Download(文件下载)”选项来保存报告。 

默认 - Global Threat Intelligence 参与摘要 

要生成“Default Global Threat Intelligence Participation Summary(默认 Global Threat Intelligence 参与摘要)”报告,请 

执行以下操作: 

任务 

1 选择默认“GTI Participation Summary(GTI 参与摘要)”报告,并单击“Run(运行)”运行查询。 

2 在“Run Query(运行查询)”页,选择“Date Options(日期选项)”和“Report Format(报告格式)”,然后单击“Run(运 

行)”。 

此时会显示默认 Global Threat Intelligence 报告。 

默认 - 来宾历史记录 

要生成“Default ‑ Guest History(默认 ‑ 来宾历史记录)”报告,请执行以下操作: 

任务 

1 选择“Default Guest History(默认 ‑ 来宾历史记录)”报告,然后单击“Run(运行)”运行查询。 


行)”。 

下表为这些字段名的描述: 

表 6-1 


Current User(当前用户) 来宾用户的名称 

IP Address(IP 地址) 来宾用户的 IP 地址。这可以是 IPv4 地址,也可以是 IPv6 地址。 

Host Name(主机名) 服务器主机的名称。 

First Name(名字) 来宾用户的名字 

Last Name(姓氏) 来宾用户的姓氏 

Phone Number(电话号码) 来宾用户的电话号码 

默认 - Sensor TCP/UDP 流利用率高 

要生成“Default‑High Sensor TCP / UDP Flow Utilization Report(默认 ‑ Sensor TCP/UDP 流利用率高)”报告,请执行 

以下操作: 

任务 

1 选择“Default ‑ High Sensor TCP / UDP Flow Utilization(默认 ‑ Sensor TCP/UDP 流利用率高)”报告,然后单击 “Run 

(运行)”运行查询。 

2 在“Run Query(运行查询)”页中,选择“Date options(日期选项)”和“Report Format(报告格式)”,然后单击“Run 

(运行)”。 

此时会显示“Default‑High Sensor TCP / UDP Flow Utilization Report(默认 ‑ Sensor TCP/UDP 流利用率高)”报告。 

默认 - Sensor 吞吐量利用率高 

生成报告 


要生成“Default ‑ High Sensor Throughput Utilization(默认 ‑ Sensor 吞吐量利用率高)”报告,请执行以下操作: 


6 

生成报告 


任务 

1 选择“Default ‑ High Sensor Throughput Utilization(默认 ‑ Sensor 吞吐量利用率高)”报告,然后单击“Run(运行)” 

运行查询。 


(运行)”。 

此时会显示“Default ‑ High Sensor Throughput Utilization(默认 ‑ Sensor 吞吐量利用率高)”报告。 

默认 - 隔离记录 

要生成“Default ‑ Quarantine History(默认 ‑ 隔离记录)”报告,请执行以下操作: 

任务 

1 选择“Default Guest History(默认 ‑ 隔离记录)”报告,然后单击“Run(运行)”运行查询。 


(运行)”。 

此时会显示“Default ‑ Quarantine History(默认 ‑ 隔离记录)”报告。 

默认 - 攻击来源信誉摘要 

要生成“Default ‑ Attack Source Reputation Summary(默认 ‑ 攻击来源信誉摘要)”报告,请执行以下操作: 

任务 

1 选择“Default ‑ Attack Source Reputation Summary(默认 ‑ 攻击来源信誉摘要)”报告,然后单击“Run(运行)”运行 

查询。 


行)”。 

此时会显示“Default ‑ Attack Source Reputation Summary(默认 ‑ 攻击来源信誉摘要)”摘要报告。 

默认 - 前 10 个攻击目标 

要生成“Default ‑ Top 10 Attack Destinations(默认 ‑ 前 10 个攻击目标)”报告,请执行以下操作: 

任务 

1 选择“Default ‑ Top 10 Attack Destinations(默认 ‑ 前 10 个攻击目标)”报告,然后单击“Run(运行)”运行查询。 


行)”。 

此时会显示“Default ‑ Top 10 Destinations(默认 ‑ 前 10 个攻击目标)”报告。 

默认 - 前 10 个攻击来源 

要生成“Default ‑ Top 10 Attack Sources(默认 ‑ 前 10 个攻击来源)”报告,请执行以下操作: 

任务 

1 选择“Default ‑ Top 10 Attack Sources(默认 ‑ 前 10 个攻击来源)”报告,然后单击“Run(运行)”运行查询。 


行)”。 

此时会显示“Default ‑ Top 10 Sources(默认 ‑ 前 10 个攻击来源)”报告。 

默认 - 系统健康状况历史记录 

要生成“Default ‑ System Health History(默认 ‑ 系统健康状况历史记录)”报告,请执行以下操作: 


任务 

1 选择“Default ‑ System Health History(默认 ‑ 系统健康状况历史记录)”报告,然后单击“Run(运行)”运行查询。 


(运行)”。 


表 6-2 


Host Name(主机名) 服务器主机的名称。 

IP Address(IP 地址) 系统的 IP 地址。它可以是 IPv4 地址,也可以是 IPv6 地址。 

User Name(用户名) 用户的名称。 

Start Time(开始时间) 指定过程开始的时间 (hh:mm:ss)。 

End Time(结束时间) 指定过程结束的时间 (hh:mm: ss)。 

Health Level(健康级别) 系统的健康级别。 

默认 - 系统健康状况摘要 

要生成“Default ‑ System Health Summary(默认 ‑ 系统健康状况摘要)”报告,请执行以下操作: 

任务 

1 选择“Default ‑ System Health Summary(默认 ‑ 系统健康状况摘要)”报告,然后单击“Run(运行)”运行查询。 


(运行)”。 


表 6-3 


Health Level(健康级别) 系统的健康级别。 

Host Count(主机计数) 在每个健康级别下检测到的主机数。 

运行“默认 - 前 10 个应用程序”报告 

默认的“Top 10 Applications(前 10 个应用程序)”报告列出在所选时间段内,由网络中的主机访问次数最多的前 10 个应 

用程序。 

按照以下过程可以运行“Default ‑ Top 10 Applications(默认 ‑ 前 10 个应用程序)”报告: 

任务 

1 在 Manager 主页上,单击“Reports(报告)”图标。 




3 选择“Default ‑ Top 10 Applications(默认 ‑ 前 10 个应用程序)”报告。 



生成报告 



6 

生成报告 


5 选择必要的“Data Options(日期选项)”和“Report Format(报告格式)”。 


此时会显示“Default ‑ Top 10 Applications(默认 ‑ 前 10 个应用程序)”报告。 

表 6-4 “Top 10 Applications(前 10 个应用程序)”报告中的字段 


“Application Name(应用程序名称)” 应用程序的名称 

“In Bytes(传入字节数) ” 入站流量(字节数) 

“Out Bytes(传出字节数) ” 出站流量(字节数) 

“Total Bytes(总字节数)” 总流量(字节数) 

“Connections(连接数)” 连接数量 

运行“默认 - 前 10 个攻击”报告 

默认的“Top 10 Attacks(前 10 个攻击)”报告列出在所选时段内对网络造成攻击次数最多的 10 个攻击。 

按照以下过程可以运行“Default ‑ Top 10 Attacks(默认 ‑ 前 10 个攻击)”报告: 

任务 





3 选择“Default ‑ Top 10 Attacks(默认 ‑ 前 10 个攻击)”报告。 





此时会显示“Default ‑ Top 10 Attacks(默认 ‑ 前 10 个攻击)”报告。 

表 6-5 “Default ‑ Top 10 Attacks(默认 ‑ 前 10 个攻击)”报告中的字段 


“Attack Name(攻击名称) ” 攻击的名称 

“Attack Count(攻击计数) ” 检测到的、可触发单个警报实例的特定攻击的次数 

默认 - 前 10 位攻击来源国家/地区 

要生成“Default ‑ Top 10 Attack Source Countries(默认 ‑ 前 10 个攻击来源国家/地区)”报告,请执行以下操作: 

任务 

1 选择“Default ‑ Top 10 Attack Source Countries(默认 ‑ 前 10 个攻击来源国家/地区)”报告,然后单击“Run(运行)” 

运行查询。 


行)”。 

此时会显示“Default ‑ Top 10 Source Countries(默认 ‑ 前 10 个攻击来源国家/地区)”报告。 


运行“默认 - 前 10 个会话”报告 

“Top 10 Conversations(前 10 个会话)”报告在所选时间段内,流量和带宽利用率最高的前 10 个会话。 

按照以下过程可以运行“Default ‑ Top 10 Conversations(默认 ‑ 前 10 个会话)”报告: 

任务 





3 选择“Default ‑ Top 10 Conversations(默认 ‑ 前 10 个会话)”报告。 





此时会显示“Default ‑ Top 10 Conversations(默认 ‑ 前 10 个会话)”报告。 

表 6-6 “Default ‑ Top 10 Conversations(默认 ‑ 前 10 个会话)”报告中的字段名 


“Source IP Address(来源 IP 地址)” 来源主机的 IP 地址。 

“Destination IP Address(目标 IP 地址) ” 目标主机的 IP 地址 

“Service Name(服务名称)” 会话所使用服务的名称 

“In Bytes(传入字节数) ” 入站流量(字节数) 

“Out Bytes(传出字节数) ” 出站流量(字节数) 


“Utilization %(利用率(%))” 带宽利用率百分比 

运行“默认 - 前 10 个主机流量”报告 

“Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”报告列出在所选时间段内,网络中流量和带宽利用率最高的 

前 10 个主机。 

按照以下过程可以运行“Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”报告: 

任务 





3 选择“Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”。 



生成报告 



6 

生成报告 




此时会显示“Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”报告。 

表 6-7 “Default ‑ Top 10 Host Traffic(默认 ‑ 前 10 个主机流量)”报告中的字段名 


“Host IP Address(主机 IP 地址)” 主机的 IP 地址 

“Zone Name(区域名称)” 主机的区域名称 

“In Bytes(传入字节数)” 入站流量(字节数) 

“Out Bytes(传出字节数)” 出站流量(字节数) 

“In Utilization(入站利用率)” 入站流量的带宽利用率 

“Out Utilization(出站利用率)” 出站流量的带宽利用率 

运行“默认 - 前 10 个接口流量”报告 

“Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”报告列出在所选时间段内,流量和带宽利用率最高的前 

10 个导出器接口。 

按照以下过程可以运行“Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”报告: 

任务 





3 选择“Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”。 





此时会显示“Top 10 Interface Summary(前 10 个接口摘要)”报告。 

表 6-8 “Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”报告中的字段名 


“Interface Name(接口名称) ” 导出器接口的名称 

“Total Bytes(总字节数) ” 总流量(字节数) 

“Utilization%(利用率(%))” 带宽利用率百分比 

“Max Bytes(最大字节数) ” 最大流量(字节数) 

“Avg Bytes(平均字节数)” 平均流量(字节数) 

“Total Packets(数据包总数)” 数据包总数 


表 6-8 “Default ‑ Top 10 Interface Traffic(默认 ‑ 前 10 个接口流量)”报告中的字段名 (续) 


“Max Packets(最大数据包数) ” 数据包的最大量 

“Avg Packets(平均数据包数) ” 数据包的平均数 

此报告分两个不同的表显示流量摘要信息,一个表针对的是入站流量,另一个表针对的是出站流量。入站表和出站表 

中的列是相同的。 

运行“默认 - 前 10 个服务”报告 

“Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”报告列出在所选时间段内,流量和带宽利用率最高的前 10 个服务。 

按照以下过程可以运行“Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”报告: 

任务 





3 选择“Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”。 





此时会显示“Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”报告。 

表 6-9 “Default ‑ Top 10 Services(默认 ‑ 前 10 个服务)”报告中的字段 


“Service(服务)” 服务的名称 

“Protocol(协议) ” 协议 

“In Bytes(传入字节数)” 入站流量(字节数) 

“Out Bytes(传出字节数)” 出站流量(字节数) 


“Utilization%(利用率(%))” 带宽利用率百分比 

创建新产生复制报告 

如果未在 Manager 的“Services(服务)”页中映射服务,则服务将以“Unknown(未知)” 

形式列出(“NTBA Settings(NTBA 设置)” | “Services(服务)”)。 

Manager 允许您为默认的“新产生”报告创建复制报告。然后,您可以根据自己的要求编辑所复制报告的参数。 

要创建复制报告,请执行以下操作: 

任务 

1 选择默认的“新产生”报告,然后单击“Duplicate(复制)”。 

2 输入必填字段“Name(名称)”和“Description(描述)”,然后单击“Ok(确定)”。 

生成报告 



6 

生成报告 


3 所复制的报告将显示在“新产生”的“Saved Reports(已保存的报告)”区域下面。 

4 单击“Edit(编辑)”更改参数。 

5 在左侧面板中选择所需的行来查看其“Data Fields(数据字段)”选项。 


7 在“Save Query(保存查询)”页中,需要输入查询的“Name(名称)”和“Description(描述)”。 

您还可以在“Save Query(保存查询)”中选择以下选项: 

• Automate Report Generation(自动生成报告) 

• Report Frequency(报告频率) 

• Events to Display(要显示的事件) 

• Report Format(报告格式) 

8 选择“Next(下一步)”,此时会显示“Recipients(收件人列表)”页。 

9 单击“New(新建)”通过 Add Recipient(添加收件人)对话框添加收件人。 

10 单击“Finish(完成)”完成该过程,此时会显示 Next Generation(新产生)主页。 

生成用户定义的“新产生”报告 

您可以创建一个包含所选数据源、显示和过滤器的新报告。 

任务 

• 要创建新报告,请选择“New(新建)”。 

此选项位于“Next Generation(新产生)”页的左下角。 

您需要为报告选择数据源。数据源表示从中检索信息以生成报告的数据库表。以下是数据源选项:“Alert Data(警报 

数据)”、“Application Data(应用程序数据)”、“Host Event(主机事件)”和“Performance data(性能数据)”。 

a 单击“Next(下一步)”可为报告设置显示选项。可以将报告显示在表格、柱状图或饼图中。 

b 通过在左侧面板中选择行来选择要包括在报告输出中的列。 

c 在左侧面板中选择所需的行来查看其“Data Filter(数据过滤器)”选项。 

您可以从“Data Filter(数据过滤器)”选项中,为步骤 4 中选择的字段增强过滤器选项。使用 + 选项可添加条件, 

使用 ‑ 选项可删除条件。 

在完成选择之后,可以使用“Save(保存)”保存您的报告查询。还可以通过单击“Run Once(运行一次)”选项直接 

运行报告,而不进行保存。 

d 在“Save Query(保存查询)”页中,需要输入查询的“Name(名称)”和“Description(描述)”。 

您还可以在“Save Query(保存查询)”中选择以下选项: 

• Automate Report Generation(自动生成报告) 

• Report Frequency(报告频率) 

• Events to Display(要显示的事件) 

• Report Format(报告格式) 

e 选择“Finish(完成)”保存该查询。 

f 该报告将被保存并显示在“Next Generation(新产生)”页的“Saved Reports(保存的报告)”部分中。 


任务 

g 选择该报告,然后单击“Run Once(运行一次)”查看“Run Query(运行查询)”。 

h 在“Run Query(运行查询)”中,输入“Data Options(数据选项)”和“Report Format(报告格式)”。 

单击“Run(运行)”以运行该报告查询。所生成的报告将以选定的报告格式显示。 

如果选中“Bar Chart(柱状图)”显示选项,则输出中既包含柱状图又包含表格。如果选中“Pie Chart(饼图)”选项,则 

将显示饼图和表格。如果没有警报,则将只显示表格。 

数据显示顺序: 

表 6-10 

表格类型柱状图饼图仅限表格 

警报信息表数据按降序显示数据按降序显示数据按升序显示 

在保存“User Defined Report(用户定义的报告)”之后,不能更改其数据源。 

在“Host Event Table(主机数据表)”中,所有表信息(仅限表格/带有柱状图的表格/带有饼图的表格)以升序显示。 

由 NTBA 生成的报告不支持“New(新建)”选项。用户可以运行这些报告,也可以复制这些报告并在副本中修改某些查 

询条件。 

• 生成 Sensor 性能在特定时间段内的报告第 299 页 

• 生成应用程序新产生的用户定义的报告第 300 页 

生成 Sensor 性能在特定时间段内的报告 

按照以下过程可以生成有关 Sensor 性能在特定时间段内的“Next Generation(新产生)”报告。 

任务 

1 从 Manager 主页中选择“Reports(报告)”图标。 

2 单击“Next Generation(新产生)”。 

3 单击左窗格底部的“New(新建)”。 

4 在数据源页中选中“Hourly(每小时)”选项。 

可以通过选中“Daily(每天)”、“Weekly(每周)”或“Monthly(每月)”选项来生成每天、每周和每月报告。 

5 单击“Next(下一步)”。 

6 在显示选项下面单击“Table(表)”(对于此报告来说,这是唯一可用的 Sensor 性能选项),然后单击“Next(下一 

步)”。 

a 在“Available Fields(可用的字段)”窗格中单击所需的字段将其移动到“Selected Fields(选定的字段)”窗格(可以 

单击每一列上的“向左/向右”箭头更改列的位置。可以单击每一列上的“X”删除该列)。单击“Next(下一步)”。 

7 单击左窗格上列出的属性,将它们移动到右窗格中,以减少报告中显示的信息量。单击“Run Once(运行一次)”运行 

报告,单击“Save(保存)”保存报告。 

8 选择其中一个“Data Options(数据选项)”(用于查询当天的数据、两个日期之间的数据或过去的选定时间范围内的数 

据)。选择报告格式(HTML、PDF、Save as CSV(另存为 CSV)或 Save as HTML(另存为 HTML)),然后单击 

“Run(运行)”。 

9 此时会生成每小时报告。 

生成报告 



6 

生成报告 


生成应用程序新产生的用户定义的报告 

任务 

开始之前 

本节假定您熟悉与“Application Identification(应用程序识别)”功能相关的术语以及此功能的工作原理。 

请确保在要运行报告的期间内,您已经启用的必要监控端口上的“Application Identification(应用程序识别)” 

功能。 

1 在 Manager 中,转到“Report(报告)” | “Next Generation(新产生)” | “New(新建)”。 

2 选择“Application Data(应用程序数据)”。 

3 指定要在报告中合并数据的方式: 

• 每小时 

• 每日 

• 每周 

• 每月 

假设您选择了每周,并生成了两周时间内的报告,而且 FTP 是受到检测的应用程序之一。则 FTP 详细信息会分别显 

示这两周中每周的信息。同样,也会显示这两周内所有受检测的应用程序的详细信息。 

4 要以表格格式查看报告,请在“Display Option(显示选项)”中选择“Table(表格)”,然后单击“Next(下一步)”。 

a 选择“Application Name(应用程序名称)”、“Category Name(类别名称)”或“Risk(风险)”作为第一列。 

b 选择“Attack Count(攻击计数)”、“Bandwidth Usage(带宽利用率)”或“Connection Count(连接计数)”作为第二 

列。 

c 如有必要,请选择“Start Time(开始时间)”作为第三列。 

d 单击“Next(下一步)”,转到步骤 7。 

5 要以柱状图或表格格式查看详细信息,请在“Display Option(显示选项)”中选择“Bar Chart(柱状图)”并单击“Next 

(下一步)”。 

a 选择“Application Name(应用程序名称)”、“Category Name(类别名称)”或“Risk(风险)”作为柱形图的标签。 

b 选择“Attack Count(攻击计数)”、“Bandwidth Usage(带宽利用率)”或“Connection Count(连接计数)”作为柱状 

图的值。 

c 单击“Next(下一步)”,转到步骤 7。 

6 要以饼图或表格格式查看详细信息,请在“Display Option(显示选项)”中选择“Pie Chart(饼图)”并单击“Next.(下一 

步)”。 

a 选择“Application Name(应用程序名称)”、“Category Name(类别名称)”或“Risk(风险)”作为饼图扇区的标签。 

b 选择“Attack Count(攻击计数)”、“Bandwidth Usage(带宽利用率)”或“Connection Count(连接计数)”作为饼图 

扇区的值。 

c 单击“Next(下一步)”。 

7 在“Data Filter(数据过滤器)”部分中,单击“Admin Domain(管理域)”旁边的右箭头,并从“Value(值)”下拉列表中 

选择需要的“Admin Domain(管理域)”名称。 

“Admin Domain(管理域)”的“Value(值)”下拉列表只列出了向其分配了 Sensor 的域。没有 Sensor 而只有专用监控 

端口的管理域不在此列。 



8 要只包含来自所选管理域中特定 Sensor 的数据,请单击 Sensor 旁边的右箭头。 

要包含来自所选管理域中所有 Sensor 的数据,不需要添加 Sensor 行。 

9 选择比较值(相等或不相等)以及 Sensor 名称。 

10 如有必要,添加另一行 Sensor。 

11 立即运行报告,或进行保存,以便今后使用。 

如果保存了报告,则系统会将其与其他已保存的新产生报告列在一起。该报告的运行方法与任何其他新产生报告类 

似。 

“Traditional‑Configuration(传统 ‑ 配置)”报告基于预定义的条件,并详细说明系统配置设置。 

您可以生成这些报告来查看当前的软件和特征码版本、McAfee ® Network Security Sensor 的配置和状态、策略设置等信 

息。报告生成时间是执行报告时显示的时间。此时间随时区的不同而不同。提供一些预设格式的报告,可方便信息收集。 

图 6-7 传统配置报告 

项目描述 

1 配置报告 

可用的配置报告包括: 

• Firewall Policy Definitions(防火墙策略定义)报告:提供所选防火墙策略、其访问规则及其分配到的 Sensor 资源的 

详细视图。 

• Admin Domain and Users(管理域和用户)报告:有关通过 Manager 控制的管理域和用户的信息。 

• Attack Filters(攻击过滤器)报告:有关可应用于策略的全部攻击过滤器的信息。 

• Faults(故障)报告:有关 Manager 和 Sensor 故障日志的信息。 

生成报告 

传统 - 配置报告 6 


6 

生成报告 


• Integration Summary(集成摘要)报告:提供在 Manager 中为了与其他 McAfee 品(如 ePO 和 Vulnerability 

Manager)集成而完成的配置的摘要。 

• Intrusion Policy(入侵策略):提供一个或多个管理域上应用的策略(“Exploit(利用漏洞)”、“Reconnaissance(侦测)” 

和 DoS)的详细信息视图。 

• IPS Configuration Summary(IPS 配置摘要)报告:提供由用户进行的 IPS 配置设置的详细信息视图。 

• IPS Policy Assignment(IPS 策略分配)报告:提供可应用的 IPS 策略的详细信息视图。 

• IPS Policy Details(IPS 策略详细信息)报告:提供可应用的 IPS 策略的详细信息视图。 

• IPS Sensor 报告:有关一个或多个 Sensor 上已应用策略的信息。 

• Manager 报告:与通知邮件服务器、代理服务器和 MDR 相关的配置信息。 

• NAC Configuration Summary(NAC 配置摘要)报告:在管理域级别提供 NAC 配置的详细信息。 

• NAC Sensor 报告:提供 Sensor 监控端口中 NAC 配置的详细信息。 

• NTBA Appliance 报告:有关所选 NTBA Appliance 的信息。 

• NTBA Configuration Summary(NTBA 配置摘要)报告:配置报告中显示有关 NTBA Appliance 配置的信息。 

• Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)报告:显示有关在 Manager 中进 

行的管理域智能配置的信息。 

• Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)报告:显示有关在 Manager 中进行的 

Sensor 配置设置的信息。 

• Reconnaissance Policy(侦测策略)报告:有关全部可应用侦测策略的信息。 

• Rule Set(规则集)报告:有关全部可应用规则集的信息。 

• Scanning Exceptions(扫描例外)报告:显示 Sensor 的 VLAN、TCP 或 UDP 端口配置的扫描例外的详细信息。 

• Traffic Management(流量管理)报告:详细说明了一个或多个 Sensor 上的每个端口的流量管理配置信息。 

• User Activity(用户活动)报告:有关 Network Security Platform 用户所执行操作的信息。 

• Version Summary(版本摘要)报告:有关使用中的软件和特征码的版本信息。 

另请参阅 

添加自动报告第 342 页 

保存配置报告 

要保存配置报告,请选择“Output Format(输出格式)”:“HTML”、“PDF”、“Save as CSV(另存为 CSV)”或“Save as 

HTML(另存为 HTML)”。然后,可以单击“Save(保存)”并指定要将文件保存到的位置。 

如果您选择了“PDF”,则会在“Report(报告)”页上显示 PDF 文件格式的报告。您需要使用 Adobe Acrobat 7.0 或更高版 

本来查看 PDF 格式的报告。报告的 PDF 版本的建议查看大小为“实际大小”或 100%。如果要保存报告的 PDF 版本, 

McAfee 建议您自定义文件名以便今后识别。如果想沿用生成的文件名,请检查该名称长度。如果您从报告生成模板的 

“Fields of Interest(感兴趣的字段)”区域取消选中“Day/Time Detected(检测日期/时间)”,则默认的文件名为 

“ViewReport.pdf”。 

如果您的浏览器是 Internet Explorer 8 版本,请确认 Acrobat Reader 版本为 10 或以上,以便在 Internet Explorer 中查看 

报告页。 

如果您选择“Save as CSV(另存为 CSV)”,则将显示一个对话框,提示您输入文件名和位置。可以指定相应的文件名和 

位置,并单击“Save(保存)”以采用 CSV 格式保存报告,报告文件可以使用 Microsoft Excel 打开。 


ACL 分配报告 

ACL 分配报告提供为一个或多个 Sensor 配置的 ACL 规则和 IP 欺骗启用状态的详细信息视图。 

要生成 ACL 分配报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “ACL Assignments(ACL 分配)”。 

3 选择一个或多个“Devices(设备)”。 

如果选择了多个 Sensor,Sensor ACL 报告可能会很长。McAfee 建议您只选一个 Sensor 以方便阅读。 

4 根据您希望在报告中看到的信息,选择以下一项或多项: 

• “Anti‑Spoofing(反欺骗)”:列出选定 Sensor 的所有反欺骗规则。 

• “Sensor Level Rules(Sensor 级规则)”:列出在 Sensor 级别配置的 ACL 规则,包括入站规则和出站规则。 

• “Port Level Rules(端口级规则)”:列出在端口或接口级别配置的 ACL 规则,包括入站规则和出站规则。 

• “Local Level Rules(本地级规则)”:列出在本地或子接口级别配置的 ACL 规则,包括入站规则和出站规则。 

5 选择“Output Format(输出格式)”。 

6 单击“Submit(提交)”。生成的信息将按配置的 ACL 规则所在的流量方向(入站与出站)分别显示。 

防火墙策略定义配置报告 

防火墙策略定义配置报告提供了防火墙策略、其访问规则以及 Sensor 接口和其分配到的子接口的详细信息。 

任务 

1 在 Manager 中,转到“Reports(报告)” | “Traditional(传统)” | “Firewall Policy Definitions(防火墙策略定义)”。 

2 从“Admin Domain(管理域)”列表中选择所需的域。 

3 从“Firewall Policy Name(防火墙策略名称)”列表中选择所需的策略。 

4 选择“Output Format(输出格式)”并单击“Submit(提交)”。 

管理域和用户报告 

管理域和用户报告提供有关借助于 Manager 创建和配置的管理域及用户的信息。此处提供的信息反映了每种资源(管理 

域和用户)的基本设置。 

要生成管理域和用户报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Admin Domains and Users(管理域和用户)”。 


以下是此报告中的每个表的字段描述: 

生成报告 



6 

生成报告 


“Admin Domain Information(管理域信息)” 

• Name(名称):管理域的名称。 

• Contact Information(联系人信息):域的主要联系用户的名称和电子邮件。 

• Child Admin Domain Allowed?(允许子管理域?):是否可为域配置子域。核对符号表示允许子域配置。对于根管 

理域,始终允许这样做。 

• Add Device Allowed?(允许添加设备?):是否允许向域中添加 Sensor。核对符号表示可以向域中添加 Sensor。 

对于根管理域,始终允许这样做。 

• Default Reconnaissance Policy(默认侦测策略):应用于域的侦测策略。 

• Default Worm Policy(默认蠕虫策略):应用于域的蠕虫策略。 

• Default Anomaly Policy(默认异常策略):应用于域的异常策略。 

“User Information(用户信息)” 

• Name(名称):用户名。 

• Contact Information(联系人信息):用户的电子邮件地址。 

• Creator Domain(创建者域):创建用户的管理域。 

• Login ID(登录 ID):用户登录 Manager 所使用的 ID。 

• Role(s)(角色):具有括号中的对应域的用户角色。 

“SNMP Forwarder Information(SNMP 转发程序信息)” 

• Admin Domain(管理域):所有当前域。 

• IP Address(IP 地址):目标 SNMP 服务器的 IP 地址。 

• Destination Port Number(目标端口号):目标服务器的 SNMP 侦听端口。 

• SNMP Version(SNMP 版本):SNMP 服务器支持的版本。版本选项有“1”、“2c”、“both 1 and 2c(1 和 2c)”和 

“3”。 

• Notification for All Child Admin Domains(所有子管理域的通知):核对符号表示为所有子管理域生成的通知也包 

括在此报告中。 

SNMP 转发程序信息仅为那些配置了 SNMP 陷阱接收程序的域显示。 

“Fault Syslog Forwarder Information(错误 Syslog 转发程序信息)” 


• Syslog Forwarder Enabled(已启用 Syslog 转发程序):是否已启用 Syslog 转发程序。 

• Child Domain Notification Enabled(已启用子域通知):是否已启用子域通知。 

• Syslog Server(Syslog 服务器):Syslog 服务器已启用。 

• Port(端口):转发的端口。 

“User Activity Audit Syslog Information(用户活动审核 Syslog 信息)” 


• Syslog Forwarder Enabled(已启用 Syslog 转发程序):是否已启用 Syslog 转发程序。 

• Child Domain Notification Enabled(已启用子域通知):是否已启用子域通知。 

• Syslog Server(Syslog 服务器):Syslog 服务器已启用。 


• Port(端口):审核 Syslog 服务器的端口。 

• Facilities(工具): 

• Result Mapping(结果映射):映射结果的信息性消息。分为:“Failed(失败)”、“In progress(进行中)”和“Success 

(成功)”。 

• Forward Audit(转发审核): 

• Message Preference(首选消息): 

“Proxy Server Settings(代理服务器设置)” 


• User Parent Settings?(用户父设置?):是否继承父设置。 

• User Proxy Server?(用户代理服务器?):是否启用代理服务器。 

• Proxy Server Name or IP Address(代理服务器名称或 IP 地址):目标代理服务器的地址。 

• Port Number(端口号):代理服务器的端口。 

• User Name(用户名):用户名。 

• Test URL(测试 URL):用于检查 Manager 和代理服务器之间的连接。 

攻击过滤器报告 

攻击过滤器报告提供可应用的攻击过滤器的详细信息视图。攻击过滤器信息包括为每个用户自定义的过滤器配置的地址 

排除信息。 

要生成报告来显示攻击过滤编辑器中当前所有的过滤器,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Attack Filters(攻击过滤器)”。 

3 选择“Admin Domain(管理域)”。 

4 选择一个或多个“Attack Filters(攻击过滤器)”。 

此下列拉表显示应用到选定管理域的过滤器以及应用到其父域的过滤器。但是,要在该列表中显示父域过滤器,这 

些父域必须对其子域可见。 



故障报告 

通过“Faults Report(故障报告)”可以查看过去发生的 Sensor 和 Manager 故障的详细信息。可以根据故障名称、创建时 

间、故障严重性或 Sensor ID 生成报告。 

要生成故障报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)” | “Configuration(配置)” | “Faults(故障)”。 

生成报告 



6 

生成报告 


3 指定以下信息,以缩小报告范围: 

• “Fault Source(故障来源)”:选择“Sensor”和/或“Network Security Platform Manager” 可分别查找 Sensor 和/或 

Manager 的故障。 

• “Admin Domain(管理域)”:选择运行报告的管理域。仅当选定的“Fault Source(故障来源)”为“Sensor”时,才 

启用此选项。 

• “Include Child Admin Domains(包含子管理域)”:选中此复选框可将子管理域包含在故障日志报告中。仅当选定 

的“Fault Source(故障来源)”为“Sensor”时,才启用此选项。 

• “Sensor”:选择要在其上运行报告的一个或所有设备。如果选择了“Include Child Admin Domains(包含子管理 

域)”,则选定管理域的子管理域中的 Sensor 也会显示。 

• “Fault Severity(严重性)”:选择以下一项或多项操作: 

• Informational(信息) 

• Warning(警告) 

• Error(错误) 

• Critical(非常严重) 

• “Fault State(故障状态)”:选择以下任一项: 

• All Faults(全部故障) 

• Active Faults(活动故障) 

• Deleted Faults(删除的故障) 

• Acknowledged Faults(确认的故障) 

• 从以下时间选项中选择一项: 

• “Select Faults for this day (yyyy/mm/dd)(选择该日的故障(yyyy/mm/dd))”:显示所选日的故障。 

• “Select Faults between these dates (yyyy/mm/dd hh:mm:ss)(选择介于这两个日期之间的故障(yyyy/mm/dd 

hh:mm:ss))”:显示介于“Begin Date(开始日期)”和“End Date(结束日期)”之间的故障。 

• “Select Faults in the past(选择过去的故障)”:显示指定期间发生并在指定时间结束的故障。默认值为当前 

时间。 

• “Report Format(报告格式)” 

可能还会显示创建日期早于开始日期的故障,表示特定故障出现在开始日期之前,而且在开始日期与结束日 

期之间再次重复出现。 

• “Organized by(排列依据)”:指定要在报告中组织信息的方式。选项包括“Severity(严重性)”、“Fault Name(故 

障名称)”、“Sensor”和“Create Time(创建时间)”。例如,如果选择“Severity(严重性)”,则信息将按照故障名称 

以反向字母顺序组织。“Create Time(创建时间)”为故障生成时间。 

4 单击“Run Report(运行报告)”以生成报告。 

集成摘要报告 

只能处理报告中的 5000 个故障。如果包含的故障数目超过 5000 个,则将显示一条注释,建议您缩小报告范围。 

集成摘要报告提供在 Manager 中为了与其他 McAfee 产品(如 ePO 和 Vulnerability Manager)集成而完成的配置的摘 

要。 


要生成集成摘要报告,请执行以下操作: 

1 从 Manager 主页中选择 Reports(报告)图标。 

2 单击“Traditional(传统)” | “Configuration(配置)” | “Integration Summary(集成摘要)”。 

3 选择Output Format(输出格式)。 

4 单击Submit(提交)。 

集成摘要报告显示以下详细信息: 

1 ePO 数据库配置 7 手动扫描报告 

2 Vulnerability Manager 配置 8 数据库设置 

3 Vulnerability Manager 服务器设置 9 自动 Vulnerability Manager 扫描报告 

4 数据库设置 10 Host Intrusion Prevention 

5 关联详细信息 11 Global Threat Intelligence 

6 状态 

ePO 数据库配置 

Manager 与 ePO 服务器的集成是借助于一个扩展文件来实现的。在安装该扩展文件之后,此报告中将列出详细信息, 

下表描述了与详细信息相对应的字段: 

表 6-11 


Admin Domain(管理域) 要为其生成摘要报告的选定管理域。 

详细主机查询显示可以启用或禁用的主机查询的详细信息。 

Mouse‑over Host Summary(鼠 

标掠过主机摘要) 

Server Name or IP Address(服 

务器名称或 IP 地址) 

显示可以启用或禁用的主机摘要的鼠标掠过详细信息。 

运行该扩展文件的 ePO 服务器的名称或 IP 地址。请注意,此 ePO 服务器应包含管 

理域所涵盖的主机的详细信息。如需获得服务器的名称和 IP,请与 ePO 管理员联 

系。 

Server Port(服务器端口) 指定 ePO 数据库服务器上用于 Manager‑ePO 通信的 HTTPS 侦听端口。如需获得端 

口号,请与 ePO 管理员联系。 

User Name(用户名) 在连接到 ePO 服务器时要使用的用户名。McAfee 建议您使用具有仅查看权限的本 

地 ePO 用户。 

有关 ePO 的详细信息,请参阅 ePO 文档。 

Vulnerability Manager 配置 

“Vulnerability Manager Configuration(Vulnerability Manager 配置)”设置允许 Manager 直接连接到 Vulnerability 

Manager 引擎服务器和数据库。在 Manager 中配置 Vulnerability Manager 时涉及到的第一步是启用 Vulnerability 

Manager 扫描。 

有关 Vulnerability Manager 的详细信息,请参考 Vulnerability Manager 文档。 

Vulnerability Manager 服务器设置 

Manager 使用扫描引擎信息和凭据来启动漏洞扫描。 

生成报告 



6 

生成报告 


此 Vulnerability Manager 用户帐户对于您打算从 Threat Analyzer 启动的所有扫描必须具有管理(Full Access(完全访 

问))权限。 

数据库设置 

配置 Vulnerability Manager 时涉及到的第二个必不可少的步骤是配置 Vulnerability Manager 数据库设置。 

Manager 使用这些设置连接到 Vulnerability Manager 数据库以获得所扫描主机的关联信息、扫描配置详细信息、扫描引 

擎详细信息和漏洞数据。所需的数据可以使用 Manager 特有的存储过程,直接从 Vulnerability Manager 数据库获取。 

关联详细信息 

关联分析涉及到使用已导入 Manager 数据库的漏洞数据,分析实时警报的漏洞关联性。 

状态 

此字段披露关联分析的状态。 

手动扫描报告 

此报告中显示手动扫描报告的详细信息,下表列出了与详细信息相对应的字段: 


File Name(文件名) 报告文件的名称。 

Report Type(报告类型) 这可以是纯文本、XML 或 Network Security Platform 格式。 

Description(描述) 报告文件的描述。 

Scan Time(扫描时间) 进行 Vulnerability Manager 扫描的时间。 

State(状态) 此字段显示 Vulnerability Manager 扫描的完成状态。例如,扫描状态可以为已排队、完成、 

已检索等。 

自动 Vulnerability Manager 扫描报告 

此报告中显示自动扫描报告的详细信息,下表列出了与详细信息相对应的字段: 

表 6-12 


Organization(组织)或 Work Group(工作组) 这两个字段是在用于扫描的 Vulnerability Manager 端 

创建的。 

Scan Name(扫描名称) 进行扫描的组织或工作组的名称。 

Description(描述) 所扫描文件的详细信息。 

Host Intrusion Prevention 

此报告中显示所预防的入侵者的详细信息,下表列出了与详细信息相对应的字段: 

表 6-13 


Name(名称) 入侵者的名称。 

Description(描述) 入侵者的详细信息。 

Global Threat Intelligence 

此报告中显示所预防的入侵者的详细信息,下表列出了与详细信息相对应的字段: 


表 6-14 


Production Information(产品信息) 

Alert data Analysis(警报数据分析) 此字段显示了针对每次攻击发送到 McAfee lab 的警报数据的分析。 

Only send data for following alert severities 

(Filter)(仅发送具有以下警报严重性的数据(过 

滤器)) 

此字段协助配置严重性的级别。 

Alert Data Summary(警报数据摘要) 此字段显示了每小时发送到 McAfee labs 的警报摘要信息,如发现的 

NSP 攻击 ID 的列表。 

General Set Up(常规设置) 此字段显示每天发送到 McAfee labs 的常规设置信息,如 Manager 软 

件版本和活动特征码集版本。 

Feature Usuage(功能使用) 此字段显示了每天发送到 McAfee labs 的功能信息,如正在使用的默 

认规则的数目。 

Technical Contact Information(技术联系信息) 

Send Technical Contact Information(发送技术 

联系信息) 

First Name(名字) 联系人的名字。 

Last Name(姓氏) 联系人的姓氏。 

Street Address(通信地址) 联系人的通信地址。 

Phone Number(电话号码) 联系人的电话号码。 

Email Address(电子邮件地址) 联系人的电子邮件地址。 

入侵策略报告 

收集技术联系信息以就寿命终止和其他关键里程碑进行沟通。 

入侵策略报告提供一个或多个管理域上应用的策略(“Exploit(利用漏洞)”、“Reconnaissance(侦测)”和 DoS)的详细信 

息视图。策略信息包括为每个攻击配置的严重性、响应、阈值、通知和其他信息,它们可能来自预先配置的策略,也可 

能来自用户自定义的策略。此外,您还可以查看管理域上应用的所有策略的规则集、攻击过滤器和 DoS ID 设置。 

“Customized Attacks(自定义攻击)”选项将所有用户自定义的攻击集中到一个区域,以方便查看。 

要生成管理域的入侵策略报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Intrusion Policy(入侵策略)”。 



• IPS Policy Detail(IPS 策略详细信息) 

• DoS Detail(DoS 详细信息) 

• Rule set Detail(规则集详细信息) 

• Customized Attacks(自定义攻击数) 



生成报告 



6 

生成报告 


IPS 配置摘要报告 

IPS 配置摘要报告提供由用户进行的 IPS 配置设置的详细信息视图,其中包括 SNMP Forwarder Information(SNMP 转 

发程序信息)、Alert Syslog Forwarder Information(警报 Syslog 转发程序信息)、Firewall Syslog Forwarder Information 

(防火墙 Syslog 转发程序信息)、Attack Filter Details(攻击过滤器详细信息)、IPS Quarantine information(IPS 隔离 

信息)、Network Objects(网络对象)、Network Access Zones(网络访问区)、Syslog Forwarding(Syslog 转发)、 

Remediation Portal(修复门户)、IPS Settings(IPS 设置)和 IPS Quarantine(IPS 隔离)。可以按 .html、.pdf 或 .csv 

文件格式显示选定的任何管理域的信息。 

要生成管理域的 IPS 配置摘要报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “IPS Configuration Summary(IPS 配置摘要)”。 




对于选定的管理域,IPS 配置摘要报告提供了下列 IPS 配置详细信息: 

SNMP 转发程序信息 

“SNMP Forwarder Information(SNMP 转发程序信息)”指定用来接收 Manager 所发送的警报信息的服务器。您可以 

配置多个 SNMP 服务器作为警报信息的接收方。下表中描述了字段详细信息: 

表 6-15 


IP Address(IP 地址) 目标 SNMP 服务器的 IP 地址,可以为 IPv4 或 IPv6 地址。 

Destination Port Number(目标端口号) 目标服务器的 SNMP 侦听端口。 

SNMP Version(SNMP 版本) 目标 SNMP 服务器上运行的 SNMP 版本。版本选项有“1”、“2c”、“both 

1 and 2c(1 和 2c)”和“3”。 

SNMP Forwarder Information(SNMP 转 

发程序信息) 

警报 Syslog 转发程序信息 

要将警报消息发送到的 SNMP 服务器。 

“Alert Syslog Forwarder Information(警报 Syslog 转发程序信息)”允许将 Network Security Platform 警报转发到 

Syslog 服务器。Syslog 转发可以通过第三方的 Syslog 应用程序查看转发的警报。下表中描述了字段详细信息: 

表 6-16 


Syslog Forwarder Enabled(已启用 Syslog 转发程序) 是否已启用 Syslog 转发程序。 

Child Domain Notification Enabled(已启用子域通知) 已启用子域通知。 

Syslog Server (Host Name Or IP Address)(Syslog 服务器(主机名或 IP 地址)) Syslog 服务器已启用。 

Port(端口) 转发的端口。 

IPS Quarantine Enabled(已启用 IPS 隔离) 已启用或禁用 IPS 隔离。 

防火墙通知消息 

这是一项可选的防火墙功能,此功能将记录根据访问规则丢弃或允许的数据包。可将 Sensor 配置为将防火墙日志转 

发给 Manager,这些日志在 Manager 中编排格式并转换成 Syslog 消息,然后发送给已配置的 Syslog 服务器。也可 

以将 Sensor 配置为直接将日志发送到已配置的 Syslog 服务器中。下表中描述了字段详细信息: 


表 6-17 


Syslog Forwarder Enabled(已启用 Syslog 转发程序) 是否已启用 Syslog 转发程序。 

Child Domain Notification Enabled(已启用子域通知) 已启用子域通知。 

Syslog Server (Host Name Or IP Address)(Syslog 服务器(主机名或 IP 地址)) Syslog 服务器已启用。 

Port(端口) 转发的端口。 

攻击过滤器详细信息 

您可以在“IPS Settings(IPS 设置)”节点上创建攻击过滤器。Manager 仅在接口/子接口级别应用攻击过滤器。在域 

级别的“IPS Settings(IPS 设置)”节点上关联的攻击过滤器将与属于该域的所有 Sensor 相关联。同样,在 Sensor 

上关联的攻击过滤器将与属于该 Sensor 的所有接口/子接口相关联。下表中描述了字段详细信息: 

表 6-18 


Attack Filter Name(攻击过滤器名称) 攻击过滤器的名称。 

Type(类型) IP 地址的类型。这可以为 IPv4 或 IPv6。 

No. of IP Address(IP 地址数) 该过滤器的 IP 地址设置数。 

IPS 隔离 

为保护网络免受安全威胁,McAfee ® Network Security Platform 提供 IPS 隔离功能,将隔离并修复那些连接到您网 

络上的非合规网络设备(或主机)。 

网络对象 

使用网络对象,可以将 IP 地址、VLAN、CIDR 或 MAC 地址方便地组合在一起。下表中描述了字段详细信息: 

表 6-19 


Name(名称) 网络类型对象的名称。 

Type(类型) 这指示四种不同类型的网络地址,这些地址可以一起列在网络对象中。 

• IP Address(IP 地址) 

• Network Address(网络地址)(CIDR) 

• MAC Address(MAC 地址) 

• VLAN 

Value(值) 为选定的“Type(类型)”输入“Value(值)”。 

网络访问区 

网络访问区是一组 ACL 规则,这些规则定义为受制于 IPS 隔离的主机提供的网络访问区。 

下表中描述了字段详细信息: 

表 6-20 


Name(名称) NAC ACL 的名称 

Description(描述) NAC ACL 的描述 

Syslog 转发 

生成报告 


“Alert Notification(警报通知)”“Syslog” 操作能将 Network Security Platform 警报转发给 Syslog 服务器。Syslog 转 

发可以通过第三方的 Syslog 应用程序查看转发的警报。在 Syslog 转发中,根域和父域可以选择包括来自所有可用 

子域的警报。 


6 

生成报告 


表 6-21 


Syslog 是否已启用 Syslog 转发程序。 

Name(名称) 接收警报的 Syslog 服务器的主机名。 

Facility(工具) 标准 Syslog 优先级值。选项说明如下: 


4)) 


10)) 


(local2)) 


(local3)) 

• Log audit (note 1)(日志审核(注释 1)) • Local user 4 (local4)(本地用户 4 

(local4)) 

• Log alert (note 1)(日志警报(注释 1)) • Local user 5 (local5)(本地用户 5 

(local5)) 

• Clock daemon (note 2)(时钟守护程序(注释 2)) • Local user 6 (local6)(本地用户 6 

(local6)) 

• Local user 0 (local0)(本地用户 0 (local0)) • Local user 7 (local7)(本地用户 7 

(local7)) 

• Local user 1 (local1)(本地用户 1 (local1)) 

Priority(优先级) 更高或更低优先级的严重性级别。 

修复门户 

为了使被隔离的主机上没有恶意流量并因而符合网络安全策略,Network Security Platform 通过将来自该主机的 

HTTP 流量重定向到修复门户来提供修复。 

表 6-22 


Remediation Portal State(修复门户状态) 允许将 HTTP 流量重定向到修复门户。 

Remediation Portal IP Address(修复门户 

IP 地址) 

通过指定“Remediation Portal IP Address(修复门户 IP 地址)”来配 

置修复门户。 

Remediation Portal URL(修复门户 URL) 通过指定“Remediation Portal URL(修复门户 URL)”来配置修复门 

户。 

IPS 设置 

每个管理域下的“IPS Settings(IPS 设置)”节点便于执行与在 Network Security Platform 上配置和管理 IPS 相关策略 

配置有关的操作。 

NAC 排除项 

您可以从 NAC 实施中排除某些主机或网络。这可以从“NAC Exclusion(NAC 排除项)”页中进行配置。 

表 6-23 


Type(类型) 网络或主机的“IP address(IP 地址)”、“IPv4 Network(IPv4 网络)”、“Network Object(网络对 

象)”、“MAC address(MAC 地址)”或“OUI”。 

Value(值) 为选定的“Type(类型)”输入“Value(值)”。 

Description(描述) NAC 实施中主机或网络的描述。 

文件信誉 

文件信誉报告提供与 Global Threat Intelligence (GTI) IP 信誉相关的警报的详细信息,例如 Dirtiness Level(违反程 

度)、Matched fingerprint(匹配的指纹)、Sensor Source IP(Sensor 来源 IP)和 Source Port(来源端口)等。 


指纹 ‑ Global Threat Intelligence (GTI) IP 信誉 

表 6-24 


Maximum file size scanned(已扫描的最大文 

件大小) 

Primary DNS Server(主 DNS 服务器) 主 DNS 服务器 ‑ 首先配置。 

1048576 个字节 ‑ 所检测到的恶意软件文件达到的固定大小。 

Secondary DNS Server(次 DNS 服务器) 备份 DNS 服务器 ‑ 接着配置,在主 DNS 服务器无法响应时使用。 

Response Action(响应操作) 检测/允许(仅发出警报)、阻止、阻止并发送 TCP 重置请求。 

Sensitivity Level(敏感度级别) 可以对要阻止的恶意软件的严重性进行控制。 

指纹 ‑ 自定义 

表 6-25 


Number of custom fingerprints(自定义指纹的数 

目) 

Maximum file size scanned(已扫描的最大文件大 

小) 

已添加的自定义指纹的数量。 

1048576 个字节 ‑ 所检测到的恶意软件文件达到的固定大小。 

Response Action(响应操作) 检测/允许(仅发出警报)、阻止、阻止并发送 TCP 重置请求。 

支持的文件类型 

表 6-26 


GTI File Reputation(GTI 文件信誉) 可移植的可执行文件 (PE)。 

Custom(自定义) 基于自定义特征码的文件类型。 

IPS 策略分配报告 

IPS 策略分配报告提供应用到一个或多个 Sensor 上的策略(“Exploit(利用漏洞)”、“Reconnaissance(侦测)”和 DoS) 

的详细信息视图。策略信息包括为每个攻击配置的严重性、响应、阈值、通知和其他信息,它们可能来自预先配置的策 

略,也可能来自用户自定义的策略。此外,您还可以查看 Sensor 上应用的所有策略的规则集、攻击过滤器和 DoS ID 

设置。“Customized Attacks(自定义攻击)”选项将所有用户自定义的攻击集中到一个区域,以方便查看。 

要生成 Sensor 的 IPS 策略分配报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “IPS Policy Assignment(IPS 策略分配)”。 

3 选择一个或多个“Devices(设备)”。 

如果选择了多个 Sensor,策略配置报告可能会很长。McAfee 建议您只选一个 Sensor 以方便阅读。 

生成报告 



6 

生成报告 



• “Reconnaissance Policy(侦测策略)” 

• “Exploit/DoS Policy(利用漏洞/DoS 策略)” 



• Rule Set Detail(规则集详细信息) 



IPS 策略详细信息报告 

IPS 策略详细信息报告提供可应用的 IPS 策略的详细信息视图。其中包括用户创建或复制的策略。策略信息包括策略中 

为每个攻击配置的严重性、响应、阈值、通知和其他信息。此外,您还可以查看管理域上应用的所有策略的规则集、攻 

击过滤器和 DoS 设置。 

要生成 IPS 策略详细信息报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “IPS Policy Details(IPS 策略详细信息)”。 

3 选择一个或多个“Policies(策略)”。 

如果选择了多个策略,IPS 策略报告可能会很长。McAfee 建议您只选一个策略以方便阅读。 




• Rule Set Detail(规则集详细信息) 

• Customized Attacks(自定义攻击):将所有用户自定义的攻击集中显示在一个区域 

• Recon Attacks(侦测攻击):仅当选定的策略为 McAfee Global IDS,才启用此选项。 



IPS Sensor 报告 

物理 Sensor 报告提供当前的软件/特征码版本、Sensor 端口状态以及非标准端口等项目的配置设置信息。 

要生成物理 Sensor 报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “IPS Sensor”。 

3 选择一个或多个“Sensor”。 

如果选择了多个 Sensor,Sensor 报告可能会很长。McAfee 建议您只选一个 Sensor 以方便阅读。 



• “Device Information(设备信息)”:Sensor 名称、Sensor IP 地址和 Sensor 在线时间等信息。 

• “Port Configuration(端口配置)”:工作模式、工作状态和端口速度等信息。 

• “Interface Configuration(接口配置)”:流量类型(CIDR、VLAN、Dedicated(专用))、应用的策略和创建的子 

接口等信息。 

• “TCP/IP Settings(TCP/IP 设置)”:通过“Sensor_Name(Sensor 名称)” | “Advanced Settings(高级设置)” | 

“TCP/IP”操作配置的设置。 

• “Non‑standard Ports(非标准端口)”:配置的非标准端口。 

• “Response Actions(响应操作)”:通过“Sensor_Name(Sensor 名称)” | “Advanced Settings(高级设置)” | 

“Response Action(响应操作)”。 

• “L2 Switch & SSL Configuration(L2 切换和 SSL 配置)”:显示是否启用了 2 层通过模式(“Sensor_Name 

(Sensor 名称)” | “Advanced Settings(高级设置)” | “Layer 2 Settings(第 2 层设置)”)以及 SSL 配置设置 

(“Sensor_Name(Sensor 名称)” | “SSL”)。 

• “HTTP Response Settings(HTTP 响应设置)”:通过“Sensor_Name(Sensor 名称)” | “Advanced Settings(高 

级设置)” | “HTTP Response(HTTP 响应)”操作。 

• “TACACS+ Authentication Settings(TACACS+ 身份验证设置)”:状态、服务器 IP 地址、加密状态 

• “NMS Configuration(NMS 配置)”:IP 地址、创建级别、用户 

• “Attack Filter Details(攻击过滤器详细信息)”:资源类型、攻击过滤器名称、攻击名称、攻击类型和方向。 

• “NTBA Configuration(NTBA 配置)”:NTBA Appliance 名称、目标 IP 地址和目标端口号。 

• “IPS Quarantine Information(IPS 隔离信息)”:修复门户 IP 地址和隔离时间间隔 

• “File Reputation(文件信誉)”:提供与 Artemis 相关的警报的详细信息,例如 Dirtiness Level(违反程度)、 

Matched fingerprint(匹配的指纹)、Sensor Source IP(Sensor 来源 IP)等。 



Manager 报告 

Manager 报告提供通过 Manager 配置的通知邮件服务器和/或代理服务器设置的快速视图。 

有关通知邮件服务器和代理服务器配置的信息,“McAfee Network Security Platform Manager 管理手册”。 

要生成物理 Sensor 报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)” | “Configuration(配置)” | “Manager”。 


以下是此报告中的每个表的字段描述: 

• “Notification Mail Server Settings(通知邮件服务器设置)” 

• Hostname/IP(主机名/IP):邮件服务器的主机名或 IP 地址。 

• From Address for Messages(邮件的发件人地址):添加到通知电子邮件“From:(发件人:)”一栏的地址。 

• Login Name(登录名称):访问邮件服务器使用的登录 ID。 

生成报告 



6 

生成报告 


• “Proxy Server Settings(代理服务器设置)” 

• Proxy Server Settings Hostname / IP Address(代理服务器设置主机名/IP 地址):代理服务器的主机名或 IP 

地址。 

• Port Number(端口号):代理服务器接收来自 Manager 的请求时所用的端口号。 

• User Name(用户名):代理服务器的名称。 

• “MDR Information For Network Security Manager(Network Security Manager 的 MDR 信息)” 

• Manager Status(Manager 状态):您已登录的 Manager 的管理状态。“Primary(主)”表示 Manager 处于活动 

模式,“Secondary(次)”表示 Manager 处于备用模式。 

• Out of Band (OOB) Manager to Manager Communication(带外(OOB) Manager 与 Manager 通信):在 

MDR 对中是否启用了 Manager 之间的带外通信。 

• OOB Local Manager IP(OOB 本地 Manager IP):您登录的 Manager 用于带外通信的 IP。 

• OOB Peer Manager IP(OOB 对等 Manager IP):组成 MDR 对的对等 Manager 用于带外通信的 IP。 

• Operation Status(工作状态):您已登录的 Manager 的工作状态。 

• Peer Host IP Address(对等主机 IP 地址):对等 Manager 的主机名或 IP 地址。 

• Peer Manager Status(对等 Manager 状态):对等 Manager 的管理状态。 

• Peer Manager Operation Status(对等 Manager 工作状态):对等 Manager 的工作状态。 

对等 Manager 的主机名和 IP 地址在“Manager Disaster Recovery Details(Manager 灾难恢复详细信息)”页 

中指定。有关详细信息,请参阅“为 Manager 灾难恢复 (MDR) 做准备”。 

• “Network Security Central Manager Details(Network Security Central Manager 详细信息)” 

• Manager Name(Manager 名称):与 McAfee ® Network Security Central Manager (Central Manager) 进行同 

步的 Manager 的名称 

• Network Security Central Manager IP address(Network Security Central Manager IP 地址):McAfee ® 

Network Security Central Manager (Central Manager) 的 IP 地址 

• Contact Information(联系人信息):负责 Central Manager 的联系人 

• Location(位置):Central Manager 的地理位置(如城镇和城市) 

• Synchronization Enabled(已启用同步):是否已启用同步 

• Last Synchronization Time(上次同步时间):上次同步的时间 

• “Access Control(访问控制)” 

• Allow Access to this Web‑Based User Interface from(允许从以下位置访问这个基于 Web 的用户界面):允许 

用户从授权主机或任何主机访问基于 Web 的用户界面。 

• Audit Logging for Access Attempts by Authorized Hosts(已授权的主机访问尝试的审核日志记录):允许用户 

从授权主机登录。 

• Audit Logging for Access Attempts by Unauthorized Hosts(未授权的主机访问尝试的审核日志记录):允许用 

户从未授权的主机登录。 

• “Authorized Hosts / Networks(已授权的主机/网络)” 

• Network(网络):显示已授权的网络。 

• Description(描述):显示授权主机名的描述。 

• “Authentication Details(身份验证详细信息)” 


• “RADIUS Configuration(RADIUS 配置)” 

• Server Enabled(服务器已启用):显示 RADIUS 是否已启用或显示。 

• IP Address(IP 地址):显示主机名称或 IP 地址。 

• Port(端口):显示所配置的端口。 

• “LDAP Configuration(LDAP 配置)” 

• Server Enabled(服务器已启用):显示 LDAP 是否已启用或显示。 

• IP Address/ Host Name(IP 地址/主机名):显示主机名称或 IP 地址。 

• Port(端口):显示所配置的端口。 

• SSL Enabled(已启用 SSL):显示 SSL 是否已启用或显示。 

NAC 配置摘要报告 

NAC 配置摘要报告提供管理域级别的 NAC 配置的详细信息。 

要查看此报告,请执行以下操作: 

任务 

1 从“Manager”主页中选择“Reports(报告)”图标。 

2 单击“Traditional(传统)>” “Configuration(配置)” | “NAC Configuration Summary(NAC 配置摘要)”。 

3 选择“Admin Domain(管理域)”以及您希望在报告中获取的字段。 

例如,选择“Standard Inline Ports(标准串联端口)”、“Identity(标识)”和“Guest Access(来宾访问)”等。 

4 选择“Output Format(输出格式)”,然后单击“Submit(提交)”以获取报告。 

对于选定的管理域,NAC 管理域配置报告根据在上面的步骤 3 中选择的字段,提供下列 NAC 配置详细信息: 

• 1 Network Setup(网络设置) 

• Network Objects(网络对象) • McAfee NAC 

• Network Access Zones(网络访问区) • System Posture Policies(系统状态策略) 

• System Posture Policies(系统状态策略) • Guest Client & Remediation Portals(来宾客户端门户和 

修复门户) 

• Syslog Forwarding(Syslog 转发) 

2 Identity Based Access Control (IBAC)(基于标识的访问控制(IBAC)) 

• Trusted Domain Controllers(受信任的域控制器) 

• Active Directory Servers(Active Directory 服务器) 

• IBAC Policies(IBAC 策略) 

3 Guest Access(来宾访问) 

• Guest Portal(来宾门户) 

• Guest Users(来宾用户) 

生成报告 



6 

生成报告 


4 Standard Inline Ports(标准串联端口) 

• Enable(启用) • Networks to Monitor List(要监视的网络的列表) 

• Access Logic(访问逻辑) • NAC Exclusions(NAC 排除项) 

• Identity(标识) • Virtual Private Networks (VPN)(虚拟专用网络(VPN)) 

• Operation(操作) • Informational Probing(信息探查) 

• Detection Mode(检测模式) • Non‑informational Probing(非信息探查) 

• Mixed Mode Layer 3 Services(混合模式 3 

层服务) 

• Networks to Monitor(要监控的网络) 

5 DHCP Inline Ports(DHCP 串联端口) 

• Timeouts(超时) 

• Enable(启用) • Detection Mode(检测模式) 

• Access Logic(访问逻辑) • Mixed Mode Layer 3 Services(混合模式 3 层服务) 

• Identity(标识) • Networks to Monitor(要监控的网络) 

• Operation(操作) • NAC Exclusions(NAC 排除项) 

6 带外交换机端口组 

• Enable(启用) • Mixed Mode Layer 3 Services(混合模式 3 层服务) 

• Access Logic(访问逻辑) • NAC Exclusions(NAC 排除项) 

• Identity(标识) • Virtual Private Networks (VPN)(虚拟专用网络(VPN)) 

• Operation(操作) • Informational Probing(信息探查) 

• Detection Mode(检测模式) • Timeouts(超时) 

查看 NAC Sensor 报告 

NAC Sensor 报告提供 Sensor 监控端口中 NAC 配置的详细信息。 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “NAC Sensor”。 

3 选择一个或多个“Sensor”。 


• “Device Information(设备信息)”:Sensor 名称、Sensor IP 地址和 Sensor 在线时间等信息。 

• “Port Configuration(端口配置)”:工作模式、工作状态和端口速度等信息。 

• “TACACS+ Authentication Settings(TACACS+ 身份验证设置)”:状态、服务器 IP 地址和加密状态。 

• “NMS Configuration(NMS 配置)”:IP 地址、创建级别和用户。 

• “NAC Configuration(NAC 配置)”:Sensor 的 McAfee NAC 配置详细信息,例如,为其配置 Sensor 的McAfee 

NAC 服务器的 IP、通信端口号等。 



6 单击“Submit(提交)”获得该报告。 

对于选定的 Sensor,NAC Sensor 配置报告根据在上面的步骤 4 中选择的字段显示信息。 

对于所配置的每个 Sensor 监控端口显示下列 NAC 配置: 

• McAfee NAC configuration(McAfee NAC 配置) 

• NAC ACL Logging(NAC ACL 日志记录) 

• Operational Mode(工作模式) 

• Detection Mode(检测模式) 

• Pre‑Admission Network Access Zone(预先允许网络访问区) 

• IBAC 

1 State(状态) 

2 Policies(策略) 

• System Health(系统健康状况) 

1 State(状态) 

2 Deployment mode(部署模式) 

3 Access Methodology(访问方法) 

4 Network Access Zone(网络访问区) 

• McAfee NAC Port Settings(McAfee NAC 端口设置) 

• NAC IP Settings(NAC IP 设置) 

1 IP Address(IP 地址) 

2 Network Mask(网络掩码) 

3 Default Gateway(默认网关) 

4 VLAN ID 

• Networks to Monitor(要监控的网络) 

• NAC Exclusions(NAC 排除项) 

• Virtual Private Networks(虚拟专用网络) 

• Informational Probing(信息探查) 

• Non‑informational Probing(非信息探查) 

• Timeouts(超时) 

查看 NTBA Appliance 报告 

NTBA Appliance 报告显示有关所选 NTBA Appliance 的信息,其中包括设备名称、序列号、收集器端口配置、流信息、 

常规设置、接口的 IP 地址、导出器设置、SNMP 设置、NTBA 就绪接口的列表、内部区域的摘要列表、外部区域的摘 

要列表和区域元素。 

按照以下过程可以查看 NTBA Appliance 报告: 

生成报告 



6 

生成报告 


任务 

1 从 Manager 主页中单击“Reports(报告)”图标。 


2 选择“Traditional(传统)” | “Configuration(配置)” | “NTBA Appliance”。 

此时会显示“NTBA Appliance”报告页,其中包含配置选项。 

图 6-8 NTBA Appliance 报告页 


• 从“Device(设备)”字段中选择要生成报告的设备。 

• 根据需要选中与“Device Information(设备信息)”、“Port Configuration(端口配置)”、“NTBA Configuration 

(NTBA 配置)”和“Zone(区域)”相对应的复选框。 

• 从“Output Format(输出格式)”下拉列表中选择需要的“Output Format(输出格式)”。 

• 单击“Submit(提交)”。 

对于选定的管理域,NTBA Appliance 配置报告显示下列设备配置详细信息: 

1 “NTBA Appliance Information for ( 的 NTBA Appliance 信息)” 

a “Device Name(设备名称)” f “Software Version(软件版本) ” 

b “Serial Number(序列号) ” g “IP Address(IP 地址)” 

c “Contact Information(联系人信息) ” h “Up Time(启动时间)” 

d “Location(位置) ” i “Last Reboot(上次重新启动的时间)” 

e “Model(型号) ” j “Last Signature Set Update(上次更新特征码集的时间) ” 

2 “Current NTBA Port Configuration for device (设备的当前 NTBA 端口配置)” 

3 “Port Settings(端口设置) ” 

a “Port #(端口号)” e “Duplex(双工)” 

b “Port Type(端口类型)” f “Administrative Status(管理状态)” 

c “Configuration(配置)” g “Operational Status(工作状态)” 

d “Speed(速度)” 

4 “Flow Information(流信息)” 

a “Flow Protocol Supported(支持的流协议)” 

5 “Proxy Server Settings(代理服务器设置) ” 

a “User Parent Settings?(用户父设置?)” d “Port Number(端口号)” 

b “User Proxy Server?(用户代理服务器?) ” e “User Name(用户名) ” 

c “Proxy Server Name or IP Address(代理服务器名称或 IP 地址) ” f “Test URL(测试 URL) ” 


6 “NTBA General Settings(NTBA 常规设置)” 

a “Use Global Settings?(使用全局设置?)” 

b “NTBA listening port for flow records(用于侦听流记录的 NTBA 端口)” 

c “Enable de‑duplication?(启用重复数据删除?)” 

7 “IP Settings to the NTBA interfaces(NTBA 接口的 IP 设置) ” 

a “IP Address(IP 地址)” 

b “Network Mask(网络掩码) ” 

c “Gateway IP(网关 IP)” 

8 “Exporters(导出器) ” 

a “Name(名称)” d “Enabled(已启用)” 

b “IP Address(IP 地址)” e “Description(描述)” 

c “Type(类型)” f “Flow Type and Version(流类型和版本)” 

9 “SNMP Settings for exporter (导出器的 SNMP 设置)” 

a “Use Global Settings?(使用全局设置?)” 

b “UDP Port(UDP 端口)” 

c “SNMP Version(SNMP 版本) ” 

d “Read‑Only Community String(只读的 Community String) ” 

e “SNMP Polling Interval Time(SNMP 轮询间隔时间)” 

10 “List of NTBA‑ready Interface(NTBA 就绪接口的列表)” 

a “Enabled(已启用)” d “External?(外部?)” 

b “Name(名称)” e “Description(描述)” 

c “Type(类型)” 

11 “SNMP Settings for exporter(导出器的 SNMP 设置)” 

a “Use Global settings?(使用全局设置?) ” 

b “UDP Port(UDP 端口)” 

c “SNMP Version(SNMP 版本)” 

d “Read‑Only Community String(只读的 Community String) ” 

e “SNMP Polling Interval Time(SNMP 轮询间隔时间)” 

12 “List of NTBA‑ready Interface(NTBA 就绪接口的列表)” 

a “Enabled(已启用) ” d “External?(外部?)” 

b “Name(名称)” e “Description(描述)” 

c “Type(类型) ” 

生成报告 



6 

生成报告 


13 “Summary of list of inside zones(内部区域列表的摘要) ” 

a “Name(名称) ” 

b “Description(描述)” 

14 “Summary of list of outside zones(外部区域列表的摘要)” 

a “Name(名称)” 

b “Description(描述)” 

15 “Zone elements of inside Zones(内部区域的区域元素) ” 

a “Zone(区域)” 

b “Element(元素)” 

c “Type(类型)” 

16 “Zone elements of outside Zones(外部区域的区域元素) ” 

a “Zone(区域)” 

b “Element(元素) ” 

c “Type(类型) ” 

查看 NTBA 配置摘要报告 

NTBA Configuration Summary(NTBA 配置摘要)报告显示有关 NTBA Appliance 配置的信息,其中包括垃圾波 

(Spambot) 检测、Threat Analyzer 显示、服务、收集器详细信息和导出器设置。 

按照以下过程可以查看“NTBA Configuration Summary report(NTBA 配置摘要报告)”: 

任务 



2 单击“Traditional(传统)” | “Configuration(配置)” | “NTBA Configuration Summary(NTBA 配置摘要)”。 

此时会显示“NTBA Configuration Summary(NTBA 配置摘要)”报告页,其中包含配置选项。 

图 6-9 “NTBA Configuration Summary(NTBA 配置摘要)”报告页 


• 从“Admin Domain(管理域)”下拉列表中选择要为其生成报告的管理域。 

• 从下拉列表中选择“Output Format(输出格式)”。 

• 单击“Submit(提交)”。 

对于选定的管理域,“NTBA Configuration Summary(NTBA 配置摘要)”报告提供了下列配置详细信息: 

1 “Spambot Detection(垃圾波(Spambot)检测)” 

a “Email Domain(电子邮件域)” 


2 “Threat Analyzer Presentation(Threat Analyzer 显示)” 

a “The Value of N in Top N lists(“前 N 个”列表中 N 的值)” 

b “Refresh Data Used for NTBA Monitors Every (minutes)(用于 NTBA 监视器的数据的刷新间隔(分钟))” 

c “Consider Hosts/Protocols "New" if Seen for First Time Within (days)(将以下时间(天)内首次看到的主机/协 

议视为“新”) ” 

3 “Service(服务)” 

a “Name(名称) ” 

b “Enable(启用)” 

c “Service Details(服务详细信息)” 

4 “Collector Details(收集器详细信息)” 

a “Listen for flow information on UDP Port(在 UDP 端口上侦听流信息)” 

b “Interface auto updating?(是否自动更新接口?) ” 

5 “Exporter Setting(导出器设置) ” 

a “UDP Port(UDP 端口) ” 

b “SNMP Version(SNMP 版本)” 

c “Read Only Community String(只读的 Community String)” 

d “SNMP Polling Interval Time(SNMP 轮询间隔时间)” 

性能监控 - 管理域配置报告 

“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”报告显示有关在 Manager 中进行的 

管理域智能配置的信息。 

按照以下过程可以生成该管理域报告: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Performance Monitoring ‑ Admin Domain Configuration(性能 

监控 ‑ 管理域配置)”。 

此时将显示“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”的配置选项。 

3 从“Admin Domain(管理域)”下拉列表中选择要为其生成报告的管理域。 

4 选中或清除与“Metrics(指标)”、“Thresholds(阈值)”和“Display(显示)”相对应的复选框。 



此时将生成“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”报告。 

性能监控 - Sensor 配置报告 

“Performance Monitoring ‑Sensor Configuration(性能监控 ‑ Sensor 配置)”报告显示有关在 Manager 中进行的 

Sensor 配置设置的信息。 

按照以下过程可以生成该管理域报告: 

生成报告 



6 

生成报告 


任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Performance Monitoring ‑Sensor Configuration(性能监控 ‑ 

Sensor 配置)”。 

此时将显示“Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)”的配置选项。 

3 从“Sensor”处选择要包括的 Sensor。选中或清除与“Metrics(指标)”和“Thresholds(阈值)”相对应的复选框。 



此时将生成“Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)”报告。 

侦测策略报告 

“Reconnaissance Policy(侦测策略)”报告允许用户查看其侦测攻击列表和在所选策略上的自定义设置。用户可以同时 

选择多个侦测策略。 

只显示对管理域可见的侦测策略。 

要生成报告来显示侦测策略编辑器中当前所有的策略,请执行以下操作: 

任务 


2 单击“Traditional(传统)” | “Configuration(配置)” | “Reconnaissance Policy(侦测策略)”。 

3 选择一个或多个“Reconnaissance Policies(侦测策略)”。 

如果选择了多个策略,侦测策略报告可能会很长。McAfee 建议您只选一个策略以方便阅读。 


• “Customized Attacks(自定义攻击)”:将所有用户自定义的攻击集中显示在一个区域 

• “Recon Attacks(侦测攻击)”:仅当选定的策略为 McAfee Global IDS,才启用此选项。 



规则集报告 

“Rule Set(规则集)”报告提供可应用的规则集的详细信息视图。其中包括用户创建或复制的规则集。规则集信息包括为 

每个攻击配置的严重性、响应、通知和其他信息,它们可能来自预先配置的规则集,也可能来自用户自定义规则集。 

要生成报告来显示规则集编辑器中当前所有的规则集,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Rule Set(规则集)”。 

3 选择一个或多个“Rule Sets(规则集)”。 

如果选择了多个规则集,规则集报告可能会很长。McAfee 建议您只选一个规则集以方便阅读。 




扫描例外报告 

扫描例外报告提供了 Sensor 的 VLAN、TCP 或 UDP 端口上配置的扫描例外的详细视图。扫描例外信息包括例外类型 

和分配的接口。 

要生成故障日志报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)” | “Configuration(配置)” | “Scanning Exceptions(扫描例外)”。 

3 选择“Devices(设备)”。 

4 选择一个或多个例外(VLAN、TCP 和 UDP)。 



流量管理报告 

“Traffic Management Configuration Report(流量管理配置报告)”详细说明了 Sensor 上每个端口的配置信息。可以得到 

一个或多个 Sensor 上的所有已配置端口的信息。 

要查看流量管理配置报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Traffic Management(流量管理)”。 

3 从“Sensor”字段中选择一个或多个 Sensor。 



此时将显示“Traffic Management Configuration Report(流量管理配置报告)”。 

6 该报告显示以下信息: 

表 6-27 

字段描述 

Enabled(已启用) 指定是否为特定 Sensor 启用了流量管理。 

Queue Count(队列计数) 

Current Queue Count(当前队列计数) 为 Sensor 接口配置的速率限制队列的数目。 

Current DiffServ Queue Count(当前 

DiffServ 队列计数) 

Current VLAN 802.1 p Queue Count(当 

前 VLAN 802.1p 队列计数) 

Unclassified Traffic(未分类的流量) 

为 Sensor 接口配置的 DiffServ 队列的数目。 

为 Sensor 接口配置的 VLAN 802.1p 队列的数目。 

生成报告 



6 

生成报告 


表 6-27 (续) 

字段描述 

Set DiffServ value to zero(将 DiffServ 

值设置为零) 

Set VLAN 802.1 p value to zero(将 

VLAN 802.1p 值设置为零) 

Queue Details(队列详细信息) 

# 配置的速率限制队列的数目。 

如果将未分类流量的 DiffServ 值设置为零,则选中此字段。 

如果将未分类流量的 VLAN 802.1p 值设置为零,则选中此字段。 

Queue Name(队列名称) 显示队列的名称,与添加队列时输入的队列名称相同。 

Type(类型) 指定流量管理队列类型:Rate Limiting(速率限制)、DiffServ tagging 

(DiffServ 标记)或 VLAN 802.1p tagging(VLAN 802.1p 标记) 

Value(值) 速率限制带宽、DiffServ 或 VLAN 802.1p 字段的值。 

Defined Protocols(定义的协议) 列出在配置流量管理队列过程中所选择的已定义应用协议。 

TCP Port(TCP 端口) 显示在配置流量管理队列过程中所选择的单个 TCP 端口或 TCP 端口范 

围。 

UDP Port(UDP 端口) 显示在配置流量管理队列过程中所选择的单个 UDP 端口或 UDP 端口范 

围。 

IP Protocol Number(IP 协议编号) 显示在配置流量管理队列过程中所选择的单个 IP 协议号或 IP 协议号的总 

数。 

7 选择“< Back(”“Configuration(配置)” | “User Activity(用户活动)”。 

3 选择您要审核用户操作的管理域。(“Select an Admin Domain(选择管理域)”) 

4 选择是否包含所选域中所有子域的审核数据。(“Include Child Admin Domains(包含子管理域)”) 

5 选择“All Users(全部用户)”或一个用户进行审核。(“Select User(s) to Audit(选择要审核的用户)”) 

6 选择“Show Details(显示详细信息)”可在报告输出中包括详细的审核信息,例如,进行更改的日期和时间、进行每 

次更改的用户名等。 

7 选择一个或多个“Audit Categories(审核类别)”。默认情况下,会选中所有类别(“Unspecified(未指定)”除外)。审 

核类别是指用户执行操作所在的区域/资源。从以下选项中选择(每种选项都提供了示例): 

• Unspecified(未指定):其他类别没有涵盖的全部操作。 

• Admin Domain(管理域):创建管理域,生成系统日志。 

• User(用户):登录到系统,创建用户,为用户分配角色。 

• Manager:配置代理服务器设置。 


• Sensor:配置端口、推送配置更改。 

• IPS Policy(IPS 策略):创建策略,复制规则集。 

• Report(报告):设计计划的报告模板,生成报告。 

• Update Server(更新服务器):配置更新服务器设置,下载软件。 

• Operational Status(工作状态):删除与 Manager 或 Sensor 相关的故障。 

• Threat Analyzer:确认警报、删除警报以及启动 Threat Analyzer。 

• NAC:配置 NAC 端口,以及修改策略配置。 

• NTBA:报告所有的网络威胁行为分析。 

8 输入要显示的审核消息的数目。默认值为 10 条消息。(“Show x messages(显示 x 条消息)”) 

9 从以下时间选项中选择一项: 

• “Up to Current Time(到当前时间)”:显示所请求的最新消息数目。 

• “Ending (All messages before this date will be displayed)(截至(显示此日期前的全部消息))”:显示从此时开始 

并随后处理的所请求的消息数目。 

• “Select Messages Between These Dates(选择介于这两个日期之间的消息)”:选择某用户的活动日期范围 

10 单击“Run Report(运行报告)”以开始审核。 

• 审核结果中显示如下字段: 

• Date(日期):执行操作的日期。 • Action(操作):所执行操作的简短描述。 

• Admin Domain(管理域):执行操作所在的域。 • Result(结果):执行操作的状态,即“Success 

(成功)”或“Failure(失败)”。 

• User(用户):操作执行者。 • Description(描述):所执行操作的详细描述。 

• Category(类别):审核类别。即执行操作所在的区 

域/资源。 

• 如果选择了“Show Details(显示详细信息)”,则还会显示如下字段: 

• Commit Comments(提交备注):用户在提交策略更改之前输入的备注。 

• Audit Data Details(审核数据详细信息):有关所做更改的详细信息。 

版本摘要报告 

“Version Report(版本报告)”提供 Manager 和所有 Sensor 上当前加载的软件和特征码的版本信息。特征码和软件版本 

不会并行运行,而且不能相似。 

要生成版本摘要报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Version Summary(版本摘要)”。 


生成报告 



6 

生成报告 


4 单击“Submit(提交)”。此时会显示“Version Summary Report(版本摘要报告)”。 

• “Network Security Platform” “Manager Version(Network Security Platform Manager 版本)”:当前正在运行的 

Manager 软件版本。 

• “Current Signature Version(当前特征码版本)”:Manager 提供的最新特征码版本,可下载到 Sensor 上实施策 

略。 

Manager 上可能已有最新的特征码版本,但尚未加载到 Sensor 上。有关详细信息,请参阅“McAfee Network 

Security Platform Manager 管理手册”。 

• “Software Ready for Installation(可以安装的软件)”:上次从 McAfee 更新服务器下载到 Manager 上的 Sensor 

软件版本。此版本可能已应用到您的 Sensor 上,也可能尚未应用到您的 Sensor 上。Sensor 平台不同,其上可 

用的软件版本也有所不同。 

• “Device (Failover Pairs)(设备(故障转移对))”:当前部署的 Sensor/故障转移对的名称。 

• “Model(型号)”:型号名称。 

• “Signature Set Version(特征码集版本)”:Sensor 上加载和运行的特征码集版本。Sensor 上的特征码版本可能 

不是 Manager 上提供的最新版本。 

• “Software Version(软件版本)”:Sensor 上加载和运行的软件版本。Sensor 上的软件版本可能不是 Manager 上 

提供的最新版本。 

另请参阅 

Manager 服务器配置第 4 页 


“Traditional‑IPS Reports(传统 ‑ IPS 报告)”基于预定义的条件,提供有关 Sensor 所生成警报的信息,以及通过集成 

的 Host Intrusion Prevention 所发送警报的信息。收集的警报信息可以包括攻击的来源和目标 IP、攻击发生的时间以及 

检测到该攻击的 Sensor 等。各种 IPS 报告根据每种报告的具体参数提供不同的集中视图。每种报告排列警报的顺序都 

是从最常见到最不常见。所有 IPS 报告都可以使用 HTML、PDF 或 CSV 格式显示。“Executive Summary(执行摘要)” 

和“Top N(前 N 个)”报告还可使用柱状图或饼图显示。 

Host Intrusion Prevention 警报只能在“Executive Summary(执行摘要)”和“Top N(前 N 个)”报告中查看。 


您还可以计划 IPS 报告和审查报告,以使它们在指定的时间自动生成。 

图 6-10 报告主页 

项目描述 

1 IPS 报告 

可用的 IPS 报告包括: 

• Big Movers(大型移动项)报告:提供最新时间间隔与上一个时间间隔中所发生攻击的比较视图。 

• Executive Summary(执行摘要)报告:提供以各种表、图形或图表显示的选定警报数据的摘要视图。 

• File Reputation(文件信誉)报告:提供与 GTI 文件信誉相关的警报的详细信息,例如 Dirtiness Level(违反程度)、 

Matched fingerprint(匹配的指纹)、Sensor Source IP(Sensor 来源 IP)、Source Port(来源端口)等。 

• Reconnaissance Attacks(侦测攻击)报告:提供指定时段内的侦测警报。 

• Templates(模板):可让您创建自定义 IPS 报告模板,以后可以按需运行,以及管理您为“Scheduled Reports(计划 

的报告)”创建的报告模板。 

• Top N Attacks(前 N 个攻击)报告:根据某种类别警报的发生频率顺序列出特定数量的警报,共定义了四种类别, 

包括来源 IP 地址和最常见的攻击等。 

• Trend Analysis(趋势分析)报告:根据指定频率(如一天内每小时的严重性级别为高的警报数量)的一般趋势提供警 

报数据。 

• User‑Defined(用户定义)的报告:根据各种定义的参数提供警报,参数包括接口、应用协议和警报方向等。 

IPS 报告中可以查看的警报最大数目为 10000。要增加此数目,请参阅“管理数据库磁盘空间”中的“MAX Report”“ SQL 

(最大 SQL 报告)”字段。 

如果要生成的 IPS 报告所含警报数大于或等于 30000,Manager 客户端计算机必须至少具备 512 MB RAM。 

另请参阅 

添加自动报告第 342 页 

生成报告 

传统 - IPS 事件报告 6 


6 

生成报告 


大型移动项报告 

Big Movers(大型移动项)报告对最新时间间隔与上一个时间间隔中所发生的攻击进行比较。这会更加清楚,因为可以 

在 UI 中定义“Recent time interval(最新的时间间隔)”和“Previous time interval(上一个时间间隔)”设置。 

您可以定义与两个时间段相对应的时间间隔,并获得包含百分比和方向的详细攻击报告。 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Big Movers(大型移动项)”。 

3 选择必须配置的字段: 

• “Admin Domain(管理域)”:选择查看警报所在的管理域。 

• “Sensor” 

• 默认情况下,将选中“All Devices(所有设备)”。这将显示选定管理域中存在的所有 Sensor 的信息。要选择 

您的 Sensor 首选项,请取消选中“All Sensors(所有 Sensor)”,并从列表框中选择相应的 Sensor。 

• “Include Child Admin Domains(包含子管理域)”:显示子域的 Sensor 信息。 

• “Attack Severity(攻击严重性)”:从“Informational(信息)”、“Low(低)”、“Medium(中)”或“High(高)”四个与 

攻击影响有关的严重性选项中选择一项或多项。 

• “Recent Time Interval(最新的时间间隔)”和“Previous Time Interval(上一个时间间隔)”:输入时间段。 

• “Ranking Basis(分级基础)”:选择下列选项之一: 

• 攻击计数中的更改百分比 

• 攻击计数值的更改 

• “Direction(方向)”:选择所发生的警报应当按以下哪种方向显示: 

• Upward Movers only(仅限于向上的移动项) 

• Upward and Downward Movers(向上和向下的移动项) 

• Downward Movers only(仅限于向下的移动项) 

• “Maximum Movers(最大移动项)”:输入要显示的所发生警报的最大数目。 

• 选择“Report Format(报告格式)”。 

4 单击“Run Report(运行报告)”。 

将显示含有攻击详细信息(如果存在)的报告。 

执行摘要报告 

“Executive Summary Report(执行摘要报告)”提供以各种表、图形或图表显示的选定警报数据的摘要视图。显示的警报 

信息是根据报告窗体中填写的范围限制参数生成的。生成的报告包含检测到的攻击中最常见参数的详细信息。 

该报告最适合用演示样式的格式显示最常见参数的一般警报信息。 

要生成执行摘要报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Executive Summary(执行摘要)”。 


3 填写以下字段,以缩小报告范围: 


• “Sensor”: 


您的 Sensor 首选项,请取消选中“All Devices(所有设备)”,并从列表框中选择相应的 Sensor。 




• “Vulnerability Relevance(漏洞关联)”:从“Relevant(相关)”、、“Unknown(未知)”或“Not Applicable(不适用)” 

这三个与漏洞关联有关的级别中选择一项或多项。 

• “Show Only Blocked Attacks?(只显示阻止的攻击?)”:选择“Yes(是)”可查看 Sensor 所阻止攻击的警报。此字 

段的默认值为“No(否)”。 

• “Alert State(警报状态)”:选择以下选项之一,以缩小警报范围: 

• “View unacknowledged alerts(查看未确认的警报)”:系统中指定时间范围的所有未确认的警报。如果在您 

选定的时间范围内存在已确认的警报,此选项将抑制这些警报。 

• “View All Alerts(查看全部警报)”:(默认)指定时间范围内所有已确认和未确认的警报。 

• “NSLookup”:NSLookup 功能列出包含生成报告中的 IP 地址的主机名。主机名是使用来源 IP 地址、目标 IP 地 

址或同时使用二者进行检索的。 

• 选择以下一种时间范围: 

• “Select Attacks for this Day(选择该日的攻击)”:格式为“yyyy/mm/dd”。默认值为 Manager 服务器系统日期。 

• “Select Attacks Between these Dates(选择介于这两个日期之间的攻击)”:格式为“yyyy/mm/dd hh:mm:ss”。默 

认的“Begin Date(开始日期)”为“最早检测到警报的时间”,默认的“End Date(结束日期)”为 Manager 服务器系 

统时间。 

• “Select Attacks in the past(选择过去的攻击)”:选择相对于当前时间的一个已过去的时间点内的警报。过去的 

时间可以是数月前、数周前、数天前(默认值)或数小时前。键入报告时间范围的结束时间(“yyyy/mm/dd 

hh:mm:ss”)(默认时间为 Manager 服务器系统时间)。 

4 输入要查看的最频繁出现的攻击数目(“Get summary of(获取摘要)”)。有效条目介于 1 到 20 之间。 

5 选中“Sort By Attack Severity(按攻击严重性排序)”复选框以包括攻击严重性。 

6 选择“Include Relevance Report(包含关联报告)”或“Include Source/Destination Report(包含来源/目标报告)”,以 

分别包括有关漏洞关联和来源/目标 IP 地址的信息。 

7 选择“Report Format(报告格式)”。 


文件信誉报告 

生成报告 


文件信誉报告提供与文件信誉相关的警报的详细信息,例如 Dirtiness Level(违反程度)、Matched fingerprint(匹配的指 

纹)、Sensor Source IP(Sensor 来源 IP)和 Source Port(Sensor 端口)等。 


6 

生成报告 


任务 


2 单击“Traditional(传统)” | “IPS Events(IPS 事件)” | “File Reputation(文件信誉)”。 

图 6-11 文件信誉报告 

3 在“Configure File Reputation Report(配置文件信誉报告)”窗口中,选择以下内容: 

a “Admin Domain(管理域)”:选择已配置文件信誉的管理域。如果要同时包括子管理域中的数据,请选中 

“Include Child Admin Domains(包括子管理域)”。 

b “Sensor”:选择已配置文件信誉的 IPS Sensor。如果取消选中“All Devices(所有设备)”,则可以从所显示的列表 

中选择单个 Sensor。 

c “Attack Sub category(攻击子类别)”:选择“GTI Only(仅限 GTI)”、“Custom Only(仅限自定义)”或“Either(任 

一)”。 

d “Alert State(警报状态)”:可以选择查看未确认的警报或查看所有警报。 

e “Attacks(攻击)”:选择某个日期或日期范围中的攻击,或者通过指定天数来指定过去几天中的攻击。 

f “Report Format(报告格式)”:这可以是 HTML、PDF 或 CSV。 

图 6-12 “配置文件信誉报告”对话框 


4 要生成报告,请选择“Run Report(运行报告)”。 

此时会显示“File Reputation Report(文件信誉报告)”。它将显示以下信息: 

• 警报总数 

• 警报 ‑ GTI 指纹 

• 警报 ‑ 自定义指纹 

侦测攻击报告 

只有 M 系列 Sensor 才支持文件信誉报告。 

“Reconnaissance Report(侦测报告)”提供在指定时间范围内检测到的所有侦测攻击(端口扫描、主机扫描和探查)的摘 

要。 

这个报告最适合仅分析 Sensor 检测到的侦测攻击。 

要生成侦测报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Reconnaissance Attacks(侦测攻击)”。 














• “Select Attacks for this Day(选择该日的攻击)”:格式为“yyyy/mm/dd”。默认值为 Manager 服务器系统日 

期。 

• “Select Attacks Between these Dates(选择介于这两个日期之间的攻击)”:格式为“yyyy/mm/dd hh:mm:ss”。 

默认的“Begin Date(开始日期)”为“最早检测到警报的时间”,默认的“End Date(结束日期)”为 Manager 服务 

器系统时间。 

• “Select Attacks in the past(选择过去的攻击)”:选择相对于当前时间的一个已过去的时间点内的警报。过去 

的时间可以是数月前、数周前、数天前(默认值)或数小时前。键入报告时间范围的结束时间(“yyyy/mm/dd 




生成报告 



6 

生成报告 


前 N 个攻击报告 

“Top N Report(前 N 个报告)”可让您按计数查看警报,例如,查看指定时间范围内检测到频率最高的前 10 个攻击。对 

特定参数类型,“Desired Number ('N') of Attack Instances(攻击实例的目标数目(N))”关键字段会限制要查看的不同攻 

击的数目。这个字段附加在执行摘要报告中提供的那些字段后。例如,如果您将目标数目设为“10”并选择参数“Attack(攻 

击)”,系统会按指定时间范围内检测到的攻击名称和攻击次数,列出前十位最常检测到的攻击。 

“Top N Report(前 N 个报告)”提供四种显示格式,而不是仅提供三种标准格式(HTML、PDF 和 Save as CSV(另存为 

CSV))。通过前 N 个报告,您可以使用柱状图和饼图格式查看警报信息。 

此报告最适用于分析特定时间范围内的警报中最常见的攻击类型、来源 IP、目标 IP 或来源/目标 IP 对。 

要生成“Top N Report(前 N 个报告)”,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Top N Attacks(前 N 个攻击)”。 

3 填写字段以限制报告范围。特别注意以下字段: 








• “Show only Blocked Attacks?(只显示阻止的攻击?)”:选择“Yes(是)”可查看 Sensor 所阻止攻击的警报。此字 

段的默认值为“No(否)”。 







期。 

• “Select Attacks Between these Dates(选择介于这两个日期之间的攻击)”:格式为“yyyy/mm/dd hh:mm:ss”。 

默认的“Begin Date(开始日期)”为“最早检测到警报的时间”,默认的“End Date(结束日期)”为 Manager 服务 

器系统时间。 





• 选择“Report Content(报告内容)”的显示方式。选项包括:“Chart Only(仅图)”、“Table Only(仅表)”、“Table 

and Chart(表和图)”、“Bar chart(柱状图)”或“Pie chart(饼图)” 

• “Include other Attacks(包括其他攻击)”:仅适用于“Pie Chart(饼图)”格式,显示“Desired Number(目标数 

目)”没有包含在内的其余全部警报。所有其他警报在生成的饼图中显示为“Other(其他)”。 


• “Desired Number ('N') Of Attack Instances(所需的攻击实例数(N))”。您最多可以指定 1000(默认为 10)。但 

是,图表中将只包括前 20 个实例。从以下选项中,选择您感兴趣(“Type(类型)”)的“Top N(前 N 个)”字段: 

• “Attack(攻击)”:按检测到频率最高的攻击顺序排列。 

• “Source IP(来源 IP)”:按攻击的来源 IP 地址出现频率最高的顺序排列。 

• “Destination IP(目标 IP)”:按攻击的目标 IP 地址出现频率最高的顺序排列。 

• “Source/Destination IP Pair(来源/目标 IP 对)”:按特定来源到目标 IP 地址攻击路径的出现频率最高的顺序 

排列。 

• “Sub Category(子类别)”:按检测到频率最高的攻击子类别顺序排列。子类别示例包括端口扫描、违反协议 

以及蠕虫。 

• “Protocol(协议)”:按频率最高的攻击协议顺序排列 

• “Service(服务)”:按频率最高的攻击服务顺序排列 

• “NSLookup”:选中 NSLookup 选项以检索与所生成报告中的 IP 地址对应的主机名。 

• 选中“Sort By Attack Severity(按攻击严重性排序)”复选框以包括攻击严重性。 

NSLookup 仅可用于“Source IP(来源 IP)”、“Destination IP(目标 IP)”或这两者。 

• 选中“Sort By Attack Severity(按攻击严重性排序)”复选框以包括攻击严重性。 


趋势分析报告 

“Trend Analysis Report(趋势分析报告)”简要介绍在指定时间范围(即间隔)内收集的警报数据的趋势和模式。趋势可 

以是所有 Sensor 一天内每小时生成的警报数目,也可以是 Sensor 的一个接口一周内每天生成的严重性级别为高的利用 

漏洞警报数目等。 

您可以生成所有 Sensor、单个 Sensor、Sensor 上单个接口或单个子接口的趋势分析报告。 

分析趋势可让您清楚了解在某天、某周或某月的不同时段上生成的某类警报活动。您可以使用该数据设计更可靠的安全 

环境,或者只是将该数据用于您的网络安全讨论会的演示中。 

只有具备根管理域权限的用户才可以使用“Trend Analysis Report(趋势分析报告)”。 

以下类别和子类别可用于趋势分析。在配置过程中,必须为报告选择至少一个类别及相应的子类别。每个子类别都代表 

您指定间隔内的特定趋势。如果您在一个报告中选择了多个趋势项目,则每个趋势项目都有一个独立的图形和/或表,可 

供查看趋势数据。类别和子类别说明如下: 

• “Severity(严重性)”:根据严重性分类的警报数目 

• “All(全部)”[严重性] • “Low(低)”[严重性警报] 

• “High(高)”[严重性警报] • “Informational(信息)”[警报] 

• “Medium(中)”[严重性警报] 

• “Category(类别)”:根据类型分类的攻击数目 

• “Policy Violation(违反策略)” • “Exploit(漏洞利用)” 

• “Reconnaissance Attacks(侦测攻击)” • “Malware Attacks(恶意软件攻击)” 

• “Volume DoS(大量 DoS)” 

生成报告 



6 

生成报告 


• “Unique(唯一)”:根据特定参数分类的攻击数目 

• “Attacks(攻击)”:唯一攻击 

• “Destination IP(目标 IP)”:唯一的目标地址 

• “Source IP(来源 IP)”:唯一的来源地址 

该报告最适合用演示样式的格式显示最常见参数的一般警报信息。 

要生成趋势分析报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Trend Analysis(趋势分析)”。 

3 选择一种“Resource(资源)”。资源可以是 Sensor、Sensor 的接口或子接口。默认情况下,只有整个 Sensor 可用。 

资源选项可能包括已经从 Manager 中删除的 Sensor。该资源可为您提供现已删除的 Sensor 在过去某个时段内生成 

的警报数据。 

4 选择“Trend Item(趋势项目)”,然后单击“Add to List(添加到列表)”。对要在一个趋势分析报告中显示的每个趋势项 

目,重复执行此步骤。 

5 从以下“Trend Reporting Interval(趋势报告间隔)”选项中选择一项: 

• “Hour(小时)”:显示每个趋势项目每小时的警报计数 

• “Day(天)”:显示每个趋势项目每天的警报计数 

6 输入“Trend Reporting Period(趋势报告周期)”并从以下周期频率选项中选择一项: 

• “Days(天)”:指定过去的天数,您希望查看这几天每小时生成的警报。如果将趋势报告间隔设置为每小时,这 

就是唯一可用的选项。 

• “Weeks(周)”:指定过去的周数,您希望查看这几周内每天生成的警报。只有将趋势报告间隔设置为每天,此选 

项才可用。 

• “Months(月)”:指定过去的月数,您希望查看这几个月内每天生成的警报。只有将趋势报告间隔设置为每天, 

此选项才可用。 

7 指定“Trend Reporting Period(趋势报告周期)”的结束日期(“Ending(结束)”)。趋势报告周期从这一日期开始重复。 

趋势报告周期的结束日期不能是将来的时间。 


9 选择“Report Content(报告内容)”的显示方式。选项包括:“Bar Chart Only(仅柱状图)”、“Table Only(仅表)”或 

“Table and Bar Chart(表和柱状图)”。 

10 单击“Run Report(运行报告)”。此时会根据配置值集生成趋势分析报告。 

任务 

“Configure(配置)”按钮有多个选项。 

• 趋势分析和自定义资源配置第 336 页 

趋势分析和自定义资源配置 

默认情况下已禁用趋势分析报告使用的引擎。因为您的数据库中的警报数量不断增长,所以该引擎可能占用 Manager 

服务器的大量处理周期。趋势引擎用于维护所有数据库警报即时趋势分析结果的表。如果没有该引擎,趋势报告可能要 

花数秒到数分钟来生成结果表。如果您目前不想运行趋势分析报告,可以选择禁用此服务。 


您可以通过指定特定的资源(即,单个 Sensor、接口或子接口)过滤报告信息,以获得更精确的趋势分析。 

要启用/禁用趋势分析引擎和/或添加趋势分析资源,请执行以下操作: 

任务 

1 单击主页中的“Reports(报告)”。 

2 从 IPS 报告列表中选择“Trend Analysis(趋势分析)”。 

3 单击“Configure(配置)”。 


• 要禁用趋势分析引擎,请选择“No(否)”并单击“Save(保存)”。 

• 要指定比整个 Sensor 更为精确的资源,请执行以下操作: 

1 单击“Add(添加)”。 

2 从下拉列表中选择您要使用的 Sensor 所在的“Admin Domain(管理域)”。 

3 选择要包含在趋势分析中的“Sensor”。 

4 选择 Sensor 上的“Interface(接口)”。“Interface(接口)”字段也可能包含任何子接口资源。 

您不能只选择 Sensor 资源。选择 Sensor 后,您还要选择接口资源。 

• 单击“Save(保存)”。您添加的资源即会显示在“Trend Resource(趋势资源)”窗格以及“Trend Analysis Report(趋 

势分析报告)”的“Resource(资源)”字段中。 

您随时都可在“Trend Resource(趋势资源)”窗格中选择已配置的资源,然后单击“Delete(删除)”从趋势分析中排 

除资源。但是,您不能删除 Sensor 资源。 

5 单击“Back(上一步)”退出趋势分析配置页,并返回到“Trend Analysis Report(趋势分析报告)”页。 

用户定义的报告 

“User‑Defined Report(用户定义的报告)”根据用户自定义的参数显示警报。该报告非常灵活,可让您选择性地通过过滤 

警报数据来最大程度减少报告输出。例如,您可以查看所有部署的 Sensor、某个 Sensor、单个接口或甚至是 Sensor 

子接口的警报。您也可以使用同样的方式,根据特定的来源 IP、目标 IP 等项目过滤警报。每增加一个类别深度都将提 

高鉴证分析的质量。 

该报告最适合只根据警报分析所需的参数生成自定义报告。 

要生成用户定义的报告,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “User Defined(用户定义)”。 

3 填写窗体。特别注意以下字段: 



生成报告 




• “Include Child Admin Domains(包含子管理域)”:显示子域的 Sensor 信息,但不显示有关子域中 Sensor 

接口的信息。 


6 

生成报告 


• “Interface(接口)”:默认值为“All interfaces(全部接口)”。如需限制结果范围,请取消选中“All interfaces(全部 

接口)”复选框,然后选择所需接口。只有在“Sensor”字段中选择了特定的 Sensor 时,“All interfaces(所有接 

口)”复选框才可用。 

• “Detection Mechanism(检测机制)”:默认值为“All detection mechanisms(全部检测机制)”。要限制结果范围, 

请取消选中“All detection mechanisms(全部检测机制)”复选框,然后选择所需机制。 

• “Protocol(协议)”:默认值为“Application Protocol(应用协议)”。不过,根据您的选择,这些字段会发生相应的 

变化,以显示相关协议。选择“Reference Protocol(引用协议)”会根据攻击定义而不是警报的应用协议来查看警 

报。如果您要搜索的协议是通过其他协议传送的(从而隐藏),则需要选择“Reference Protocol(引用协议)”。例 

如,P2P 流量通常是通过 HTTP 流量传送的。 

• “Application Protocol(应用协议)”:默认值为“All protocols(全部协议)”。要缩小结果范围,请取消选中“All 

protocols(全部协议)”复选框,然后选择所需协议。 

• “References Protocol(引用协议)”:默认值为“All protocols(全部协议)”。要缩小结果范围,请取消选中“All 

protocols(全部协议)”复选框,然后选择所需协议。 

• “Category(类别)”:默认值为“All Categories(全部类别)”。要限制结果范围,请从下拉菜单中选择所需类别。 

“Sub Category(子类别)”字段是“Category(类别)”字段的子集。 

• “Sub Category(子类别)”:默认值为“All Sub Categories(全部子类别)”。要限制结果范围,请取消选中“All 

Sub Categories(全部子类别)”复选框,然后选择所需子类别。 

• “Source IP Address(来源 IP 地址)”:默认值为“Any source IP address(任意来源 IP 地址)”。如需输入特定的 

来源 IP 地址,请取消选中“Any source IP address(任意来源 IP 地址)”复选框,然后输入您所需的地址。您可以 

输入 B 类、C 类和 D 类地址的子网掩码 (*)。您可以选择 IPv4 或 IPv6 类型的 IP 地址。 

• “Source Port Number(来源端口号)”:默认值为“Any source port number(任意来源端口号)”。要输入特定的端 

口,请取消选中“Any source port number(任意来源端口号)”复选框,并键入您所需的端口号。 

• “Destination IP Address(目标 IP 地址)”:默认值为“Any destination IP address(任意目标 IP 地址)”。要键入 

特定的目标 IP 地址,请取消选中“Any destination IP address(任意目标 IP 地址)”复选框,然后键入您所需的 

IP 地址。您可以输入 B 类、C 类和 D 类地址的子网掩码 (*)。您可以选择 IPv4 或 IPv6 类型的 IP 地址。 

可以使用子网掩码按以下格式表示 IP 地址:XXX.*.*.*、XXX.XXX.*.* 和 XXX.XXX.XXX.*。 

• “Source Port Number(来源端口号)”:默认值为“Any source port number(任意来源端口号)”。要输入特定的端 

口,请取消选中“Any source port number(任意来源端口号)”复选框,并键入您所需的端口号。 

• “Destination IP Address(目标 IP 地址)”:默认值为“Any destination IP address(任意目标 IP 地址)”。要键入 

特定的目标 IP 地址,请取消选中“Any destination IP address(任意目标 IP 地址)”复选框,然后键入您所需的 

IP 地址。您可以输入 B 类、C 类和 D 类地址的子网掩码 (*)。您可以选择 IPv4 或 IPv6 类型的 IP 地址。 

可以使用子网掩码按以下格式表示 IP 地址:XXX.*.*.*、XXX.XXX.*.* 和 XXX.XXX.XXX.*。 

• “Destination Port(目标端口)”:默认值为“Any destination port number(任意目标端口号)”。要输入特定的端 

口,请取消选中“Any destination port number(任意目标端口号)”复选框,并键入您所需的端口号。 

• “Direction of Attack(攻击方向)”:默认值为“All(全部)”(入站和出站)。选择全部两个方向将包括那些方向“未 

知”(常见于 SPAN 或集线器模式)的攻击。 



• “Vulnerability Relevance(漏洞关联)”:从“Relevant(相关)”、、“Unknown(未知)”或“Not Applicable(不适用)” 

这三个与漏洞关联有关的级别中选择一项或多项。 


• “Select Alert/Attack Type(选择警报/攻击类型)”:要查看 Sensor 已根据 McAfee NAC 的响应隔离和修复其攻击 

主机的警报,请依次选择“McAfee NAC”、“Quarantined(已隔离)”和“Quarantined & Remediated(已隔离和修 

复)” 

要根据 Manager IPS 隔离选择警报/攻击类型,请选中“Manager IPS Quarantine(Manager IPS 隔离)”复选框。 

接下来,选择“Quarantined(已隔离)”复选框或“Quarantined& Remediated(已隔离和修复)”复选框。 





• “Attacks(攻击)”:选择以下任一攻击: 


期。 

• “Select Attacks Between These Dates(选择介于这两个日期之间的攻击)”:格式为“yyyy/mm/dd 

hh:mm:ss”。默认的“Begin Date(开始日期)”为“最早检测到警报的时间”,默认的“End Date(结束日期)”为 

Manager 服务器系统时间。 




• “Fields of Interest(感兴趣的字段)”:选中的字段在报告输出中将显示为表列。默认为选中全部选项。 

• “Organized by(排列依据)”:指定要在报告中组织信息的方式。选项包括“Attack(攻击)”、“Source IP(来源 

IP)”、“Destination IP(目标 IP)”和“Create Time(创建时间)”。例如,如果选择“Attack(攻击)”,则信息将按照 

攻击名称以反向字母顺序组织。“Create Time(创建时间)”为警报生成时间。 


4 单击“Run Report(运行报告)”以生成报告。 

模板报告 

“Templates(模板)”选项可让您创建按需运行的自定义 IPS 报告模板,以及管理您为“Scheduled Reports(计划的报 

告)”创建的报告模板。IPS 报告模板支持通过创建报告模板来简化常用报告的生成过程。今后,您可随时返回该操作, 

根据您的设置生成报告。 

您不能在“Report Templates(报告模板)”操作下,创建计划的报告模板。您必须按照“计划报告”中介绍的步骤创建这些报 

告模板。 

Report Templates(报告模板)表列描述如下: 

• “Report Template Name(报告模板名称)”:用户指定的报告模板名称。单击列标题即会按名称的字母顺序排列模 

板。 

• “Created by Admin Domain(创建于管理域):” 

• “Report Type(报告类型)”:列表包括 IPS 报告类型以及审核报告。 

生成报告 


• “Last Modified Time(上次修改时间)”:上次修改模板的日期和时间。单击列标题即会按时间顺序排列模板。 

• “Schedule(计划)”:模板状态,可以是自动或手动。自动状态显示为“Daily(每天)”或“Weekly(每周)”。手动状态 

显示为“Template(模板)”。单击列标题即会按名称的字母顺序排列计划。 

在 Network Security Central Manager (Central Manager) 中,“Reports(报告)”主页中的“Templates(模板)”链接可 

帮助您创建和管理报告模板。请注意,在单击“Add Report(添加报告)”时,只能选择“User Activity Report(用户活动 

报告)”。“Templates(模板)”链接中的其他功能与 Manager 中的报告模板相似,如本节中所述。 


6 

生成报告 


添加新的报告模板 

要创建报告模板,请执行以下操作: 

任务 


2 单击“Traditional(传统)>”“IPS Events(IPS 事件)” | “Templates(模板)”。 

3 单击“Add Report(添加报告)”。 

4 选择“Report Type(报告类型)”。模板字段将根据此选项变为适合选定报告类型的要素。例如:Executive Summary 

(执行摘要) 

请确保您已为包含下列字段在内的所有必填字段指定了值。红色星号表示必填字段。 



• “Template Name(模板名称)”:用户指定的模板的唯一名称。 

• “Description(描述)”:有关模板的特别描述信息。 





• “By Device(按设备)”:这有助于选择特定的设备。 

• “Alert Severity(警报严重性)”:从“Informational(信息)”、“Low(低)”、“Medium(中)”或“High(高)”四个与攻 

击影响有关的严重性选项中选择一项或多项。 

• “Ranking Basis(分级基础)”:选择下列选项之一: 

• 攻击计数中的更改百分比 

• 攻击计数值的更改 

• “Direction(方向)”:选择所发生的警报应当按以下哪种方向显示: 

• Upward Movers only(仅限于向上的移动项) 

• Upward and Downward Movers(向上和向下的移动项) 

• Downward Movers only(仅限于向下的移动项) 



• “Maximum Movers(最大移动项)”: 

• 输入要显示的所发生警报的最大数目。 

• “Comparison Interval(Days)(比较间隔(天))”。选择比较间隔(单位:天)。 

图 6-13 报告模板的添加对话框 

6 完成后单击“Save(保存)”。 

在创建报告模板之后,可以对其进行“Edit(编辑)”、“Run(运行)”或“Delete(删除)”操作。选择要编辑/运行/删除的 

报告模板。默认情况下,将选择该表中的最后一个报告模板。 

您可以计划按每天或每周为周期自动生成报告并通过电子邮件发出。您可以计划 IPS 报告和配置报告。这支持定期对警 

报和用户活动详细信息进行方便的鉴证分析。 

生成计划报告之后,通过电子邮件将其发送给可以由您指定的收件人列表中的人员。所生成的报告还保存在 Manager 

服务器中以备查看。 

计划报告 

Network Security Central Manager (Central Manager) 中的报告计划功能与 Manager 中的相似。 

在“Reports(报告)”选项卡,单击“Automation(自动)”。 

在本版本中,“Scheduled(计划)”页已重命名为“Automation(自动)”页。 

“Automation(自动)”页中的“Report Automation(自动生成报告)”操作允许您执行以下操作: 

• 添加计划的报告模板 

• 编辑报告计划程序 

生成报告 

自动生成报告 6 

为计划的报告添加收件人列表“Automation(自动)”操作可计划报告、指定每天和每周的报告生成时间,以及指定通过电 

子邮件接收计划报告的人员名单。 


6 

生成报告 



“State(状态)” 显示报告的状态。绿色对号表示报告处于启用状态。红色叉号表示报告处于禁用状 

态。 

“Name(名称)” 显示报告的名称。 

“Report Type(报告类型)” 显示报告的类型。 

“Last Modified(上次修改时间)” 显示上次修改报告的日期和时间。 

“Frequency(频率)” 指示生成报告的频率(每周或每天)。 

“E‑mail To(电子邮件收件人)” 显示报告收件人的电子邮件地址。 

添加自动报告 

您可以添加计划的报告模板,以便计划自动生成新报告并定期通过电子邮件发送报告。您可以针对任何 IPS 报告和配置 

报告计划报告。当计划报告时,您需要指定报告的参数(例如:“Admin Domain(管理域)”和“Sensor”)。 

要计划报告,请执行以下操作: 

任务 


2 单击“Automation(自动)” | “New(新建)”。 

此时将显示“Add an Automated Report(添加自动报告)”页。 

“Enable(启用)”字段在默认情况下处于启用状态。 

1 选择“Report Category(报告类别)”:“IPS Events(IPS 事件)”或“Configuration Reports(配置报告)”。 

2 选择“Report Type(报告类型)”。模板字段将根据此选项变为适合选定报告类型的要素。本节只介绍在所有报告 

类型中常见的那些字段;使用以下链接以获取有关特定报告类型的字段的信息。 

• Traditional‑IPS Event(传统 ‑ IPS 事件)报告 

• Big Movers(大型移动项)报告 • Top N Attacks(前 N 个攻击)报告 

• Executive Summary(执行摘要)报告 • Trend Analysis(趋势分析)报告 

• File Reputation(文件信誉)报告 • User Defined(用户定义的)报告 

• Reconnaissance Attacks(侦测攻击)报告 

• Traditional‑Configuration(传统 ‑ 配置)报告 

• Firewall Policy Definitions(防火墙策略定义)报告 

• Attack Filters(攻击过滤器)报告 

• Faults(故障)报告 

• Intrusion Policy(入侵策略)报告 

• IPS Policy Assignment(IPS 策略分配)报告 

• IPS Policy Details(IPS 策略详细信息)报告 

• IPS Sensor 报告 

• NAC Configuration Summary(NAC 配置摘要)报告 

• NAC Sensor 报告 

• NTBA Appliance 报告 


• NTBA Configuration Summary(NTBA 配置摘要)报告 

• Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)报告 

• Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)报告 

• Reconnaissance Policy(侦测策略)报告 

• Rule Set(规则集)报告 

• Traffic Management(流量管理)报告 

• User Activity(用户活动)报告 

3 对于配置报告 

• 键入“Template Name(模板名称)”。 

• 键入报告的概括性“Description(描述)”。最大长度为 254 个字符。供今后参考。 

• 选择“Report Frequency(报告频率)”,可以是“Daily(每天)”或“Weekly(每周)”。默认值为“Weekly(每 

周)”。 

• 从窗体中选择其他字段。 

对于 IPS 报告 

• 键入“Template Name(模板名称)”。 

• 键入报告的概括性“Description(描述)”。供今后参考。 

• 选择“Report Frequency(报告频率)”,可以是“Daily(每天)”或“Weekly(每周)”。默认值为“Weekly(每 

周)”。 

• 选择“Admin Domain(管理域)”。 

• 在“Sensor”中选择所需的 Sensor。 

• 选择“All Devices(所有设备)”以显示所有设备。 

• 选择“By Devices(按设备)”将显示个别设备。 

• 选中与“Include Child Admin Domains(包括子管理域)”相对应的复选框将显示子域中的所有设备(此复选 

框在默认情况下处于未选中状态)。 

• 选择“Sub Category(子类别)”。类别包括: 

• “Either(任一)” 

• “Artemis Only(仅限 Artemis)” 

• “Custom Only(仅限自定义)” 

• 选择“Alert Severity(警报严重性)”。选项包括: 

• “View unacknowledged alerts(查看未确认的警报)” 

• “View all alerts(查看全部警报)” 

• 包括在“Select Alerts to Display(选择要显示的警报)”中显示的某个时间段内的警报。该段时间内可选的选项 

如下: 

• “Last One Day(最后一天)” • “Last Five Day(最后五天)” 

• “Last Two Day(最后两天)” • “Last One Week(最后一周)” 

• “Last Three Day(最后三天)” • “Last Two Weeks(最后两周)” 

生成报告 

自动生成报告 6 


6 

生成报告 


• 选择“Ending time(结束时间)”。您可以在“Hrs(时)”下拉列表中选择小时数,并在“Min(分)”下拉列表中选 

择分钟数。 

• 从下拉列表中选择“Day of Week(星期)”。 

仅适用于每周报告 

• 选择“Report format(报告格式)”。选项包括: 

• “PDF” 

• “Save as HTML(另存为 HTML)” 

• “Save as CSV(另存为 CSV)” 

4 单击“Next(下一步)”以保存自动报告。 

另请参阅 

传统 - IPS 事件报告第 328 页 

传统 - 配置报告第 301 页 

编辑计划的报告设置 

当您计划报告时,您会设置所需的报告生成时间和日期(针对每周报告)。之后,系统就会按设置的时间/日期定期生成 

报告。使用“Scheduled Report(计划的报告)”页上的“Edit(编辑)”操作可以启用/禁用和设置每天和每周报告的全局生成 

时间。 

计划每周和每天报告时,请确保生成每周报告的时间和生成每天报告的时间之间相差 2 个小时以上。例如,如果您计划在 

上午 9:00 运行每天报告,则每周报告要么在上午 7:00 之前运行,要么在上午 11:00 点之后运行。这种做法将缩短 

Manager 处理周期。 

修改报告计划设置: 

任务 


2 在“Automation(自动)”中单击“Edit(编辑)”。 

3 选择“Yes(是)”启用每天/每周报告。 

选择“No(否)”并单击“Save(保存)”可禁用每天/每周报告。 

4 选择“Report Generation Time(报告生成时间)”。对于“每周”报告,还可以选择周日期。 


为计划的报告添加收件人列表 

您可以为所有计划报告功能维护电子邮件地址的全局列表。您必须添加要接收计划报告信息的所有个人或组的电子邮件 

条目。添加电子邮件条目之后,您即可应用该电子邮件地址接收所生成的计划报告。 

要将收件人电子邮件添加到该列表,请执行以下操作: 

任务 

1 单击 Manager 主页中的“Reports(报告)”。 

2 单击“Automation(自动)”。 


查看计划的报告 

3 在“Report Automation(自动生成报告)”页中选择一个报告。 

您应当添加一个报告,而且只有在添加报告之后,该页上才会显示计划的报告列表。有关添加计划的报告的详细信 

息,请参阅“添加计划的报告模板”。 

4 单击“Recipient List(收件人列表)”链接。 

此时将显示“Recipient List(收件人列表)”页。 


此时将显示“Add a Recipient(添加收件人)”页。 

6 键入新收件人的“First Name(名字)”、“Last Name(姓氏)”和“Email(电子邮件)”地址。 

7 从列表中选择“Language(语言)”。 

8 单击“Save(保存)”。添加的收件人和电子邮件地址将出现在“Recipients List(收件人列表)”表中。此时,您即可应 

用收件人接收计划的报告。 

您可以查看已经生成且已经在报告计划过程中邮寄的报告列表。执行以下步骤可查看已发送的报告。 

任务 


2 单击“Scheduled Reports(计划的报告)”选项卡以打开“Scheduled Reports(计划的报告)”页。 

在本版本中,“Sent(已发送)”页已重命名为“Scheduled Reports(计划的报告)”页。 

图 6-14 查看计划的报告 

3 选择已发送的报告并执行下面的一种操作: 

• 单击“Email Now(立即发送电子邮件)”以在“Recepient List(收件人列表)”页中查看收件人列表。有关 

“Recepient list(收件人列表)”页的详细信息,请参阅“为计划的报告添加收件人列表”。 

• 单击“View in(查看格式)”以查看报告。 

• 单击“Delete(删除)”以删除报告。 

生成报告 

查看计划的报告 6 


6 


生成报告 


通过 Manager 或 Network Security Central Manager (Central Manager),您可以配置页眉、页脚、邮件服务器,并添加 

报告收件人设置。 

页眉和页脚 

Central Manager 中“General Settings(常规设置)”选项卡上的字段与 Manager 中的相似。 

要编辑“Header & Footer(页眉和页脚)”设置,请执行以下操作: 

任务 

1 选择“General Settings(常规设置)” | “Header & Footer(页眉和页脚)” | “Edit(编辑)”。 

2 从下拉列表中选择“Text(文本)”以添加要显示在报告页眉中的文本。 

3 单击“Edit Logo(编辑徽标)”以更改页眉中的徽标。默认情况下显示 McAfee 徽标。 

4 选择要显示在报告页脚中的文本。选项包括: 

• Page Number(页码) 

• Date/Time(日期/时间) 

• Text(文本) 


邮件服务器 

要编辑邮件服务器设置,请执行以下操作: 

任务 

1 单击“Yes(是)”启用邮件服务器。 

2 输入以下内容来配置邮件服务器: 

a Host Name or IP Address(主机名或 IP 地址) 

b The From Address to be displayed for Messages(要显示的消息发件人地址) 

c Login Name(登录名称) 

d Password(密码) 


添加报告收件人 

使用“Report Recipient(报告收件人)”页可维护所有计划报告功能的全局电子邮件地址列表。 

要将收件人电子邮件添加到该列表,请执行以下操作: 

任务 

1 单击 Manager 主页中的“Reports(报告)”。 

2 单击“General Settings(常规设置)”选项卡中的“Recipient List(收件人列表)”。此时会出现“Recipient List(收件人列 

表)”页。 


3 单击“Add(添加)”。 

4 键入新收件人的“First Name(名字)”、“Last Name(姓氏)”和“Email(电子邮件)”地址。 

5 从列表中选择“Language(语言)”。 

生成报告 

配置常规设置 6 

6 单击“Save(保存)”。添加的收件人和电子邮件地址将出现在“Recipients List(收件人列表)”表中。此时,您即可应 

用收件人接收计划的报告。 


6 

生成报告 



索引 

數字 

0 117 

A 

ACL 

定义列表 71, 126, 127 

启用访问控制 125 

ACL 报告 286, 303, 317, 318, 330, 345, 346 

B 

报告 

报告的本地化 284 

报告模板 339–341 

本手册中使用的约定和图标 7 

标识新攻击 240–242 

C 

长时间运行的进程 54, 55, 59 

超级用户权限 45, 50 

查询优化程序统计数据 94 

D 

dbbackup.bat 96 

登录横幅 81, 82, 124 

多台 LDAP 服务器 

SSL 加密 118 

多台 RADIUS 服务器 

身份验证方案 116 

多磁盘 RAID 存储区 97 

E 

Entercept 警报 205 

ePO 控制台 139, 140, 165, 187, 220, 230, 233, 246, 247, 253 

F 

访问控制 125 

G 

根管理域 12, 39 

管理域 

根管理域; 35 

管理域报告 303 

关于本手册 7 

规则集报告 324 

故障日志报告 305 

故障通知 56, 57 

H 

哈希函数 92, 97, 103, 104, 106, 108, 110, 112, 122 

合并实例 205 

会话开始时间 164, 249, 267 

I 

IPS 策略报告 314 

iv_packetlog 表 114 

J 

检测类型 289, 291–297, 328, 330, 333, 334, 337 

集成摘要报告 287, 298, 306, 310, 346 

节点 

资源树 10–13, 16, 20, 21, 23, 25 

计划程序运行时间 93 

计划的报告 284, 301, 327, 342, 344 

警报的生命周期 130, 198, 203, 204, 214, 216, 235 

警报过滤器报告 305 

警报缓存 131, 132 

警报汇集 136 

警报类型 206, 207, 211 

技术支持 72, 121 

角色 

用户角色类型 43, 46 

技术支持, 正在查找产品文档 8 

M 


Threat Analyzer 129, 132, 133, 186, 251, 266 

Manager 报告 303, 309, 313, 315 

Manager 客户端/服务器时间 13 

McAfee ServicePortal, 访问 8 

MDR 配置 85, 87, 88, 93–95, 97–101, 115, 116 

MySQL 根密码 114 

N 

NAT(网络地址转换) 86, 87, 89, 90 

Network Security Platform 更新服务器 72, 77 


Network Security Platform 更新服务器 73, 76, 77 

NSLookup 164, 165, 190, 226, 235, 238–240, 267, 269, 271 

P 

配置报告 302, 325 

配置工具 14, 17, 19, 20, 29–31 

purge.bat 实用工具 111 

Q 

趋势分析报告 335, 336 

R 

日志信息 51 

S 

扫描例外 325 

Sensor 报告 314 

Sensor 统计数据 135, 153, 275–281 

sensor 性能 299 

Sensor 性能 323 

ServicePortal, 正在查找产品文档 8 

审核报告 326 

事件查看器 252, 253, 257, 265 

实时 Alert Manager 133, 134, 139, 167–169, 190, 194, 197, 200, 203 

受保护的通信 137 

手动隔离 205, 223 

数据包日志 211 

Syslog 转发程序 39, 40, 60, 62, 63, 65 

T 

索引 

TCP 重置 199, 213, 217, 219 

特征码更新 78–82 

通过身份验证的代理服务器 79, 121–123 

托管主机 226, 232, 234, 259, 260, 263–265, 273 

W 

未确认的警报摘要 137 

文档 

X 

印刷约定和图标 7 

本手册面对的读者 7 

指定产品, 正在查找 8 

信息显示板 138, 146, 147, 149, 150, 181, 224 

系统信息日志 50 

Y 

用户 42, 43 

用户活动审核 52 

约定 52, 141, 145, 180, 198, 221, 245, 248, 249, 255, 257, 269 

Z 

侦测策略报告 324 

主机鉴证 227 

主机扫描选项 185 

自定义的角色 33, 38, 44, 46, 65, 66, 68 

自定义指标 154–157, 160 

子域 

处理子域 38, 39 

资源树 10, 11, 27 


700-3575-11

Network Security Platform 7.0 Manager Administration Guide - McAfee

Create successful ePaper yourself

Delete template?

Save as template?