Network Security Platform 7.0 Manager Administration Guide - McAfee

More documents

Recommendations

Info

1 熟悉 Network Security Manager “Configuration(配置)”页虚拟 Sensor 虚拟 Sensor 图标(浅灰色)代表在子域中分配了接口的父域 Sensor,虚拟 Sensor 图标出现在子域节点下面。例如,如果将 SensorA 添加到 Admin Domain A,而它的两个接口分配到了 Admin Domain B,则 SensorA 会在资源树中以虚拟 Sensor 的图标出现在 Admin Domain B 节点下面。虚拟 Sensor 节点不可选择。可以在物理 Sensor 节点中配置实际的 Sensor。故障转移对名称 Failover Pair_Name(故障转移对名称)图标出现在 Sensors 图标下面,代表配置为一个故障转移对的两个物理 Sensor。故障转移对标有您在创建时指定的名称,如 FailoverPair1。一个故障转移对由两个完全相同的 Sensor(型号和软件均相同)组成,它们完全运行在串联模式下。故障转移对中的两个 Sensor 可以采用不同的失效打开/失效关闭设置。例如,可以将一个 Sensor 配置成失效打开,将另一个 Sensor 配置为失效关闭。此选项用于活动‑备用配置中,在这里,活动链路被配置为失效关闭模式(以便在发生故障时强制流量通过备用链路),备用链路被配置为失效打开模式(以便在两个 Sensor 都发生故障时提供持续通信流)。这两个 Sensor 所配置的接口直接显示在故障转移对下面。例如,I‑4000 型 Sensor 的接口对为 1A 与 1B。当配置为故障转移模式时,I‑4000/I‑4010 上的 2A‑2B、I‑2700 上的 4A 和 I‑3000 上的 6A‑6B 用于 Sensor 之间的通信。因此,为了达到高可用性而配置两个 Sensor 时,这些端口不能用于监控。成员 Sensor Member Sensors(成员 Sensor)图标出现在 Failover Pair_Name(故障转移对名称)图标下面,并列出了构成故障转移对的各 Sensor。成员 Sensor 节点不可选择;可在 Failover Pair_Name(故障转移对名称)节点中对其进行配置。故障转移 Sensor 在将某个 Sensor 指定为故障转移对中的一个 Sensor 之后,此 Sensor 的图标便会发生相应的变化,以显示其Failover Sensor(故障转移 Sensor)身份。故障转移 Sensor 以您将该 Sensor 添加至 Manager 时指定的名称(Sensor_Name (Sensor 名称))表示。 Host Intrusion Prevention Sensor 在使用 McAfee ePO 控制台建立与 Host Intrusion Prevention 之间的通信后,Host Intrusion Prevention Sensor 图标便会出现在资源树中。Host Intrusion Prevention Sensor 实例在层次结构中位于其父“Device List(设备列表)”节点的末尾。接口展开 Sensor 视图后,将显示可用的端口/接口。接口是一个或多个物理端口的逻辑组合。根据端口是否对等而定,接口可由一个(SPAN 或集线器模式)或两个(Tap 或串联模式且对等的)物理端口构成。 I‑1200 默认显示两个接口;对于 I‑2700,在默认情况下显示七个接口(两个 GBIC 端口默认为一个接口);对于 I‑4000 或 I‑4010,在默认情况下显示两个接口(根据默认的对等配置,两个 GBIC 端口作为一个接口)。接口组(又称为端口群集) 可以将若干个接口组合起来,以集中管理网络拓扑(如非对称路由)中的监控资源。将多个接口组合在一起时,将针对所有传输状态进行维护。可以将特定策略应用于接口组,也可以创建子接口或 DoS 策略 ID。您只能将来自同一 Sensor 的端口进行组合。 24 McAfee ® Network Security Platform 7.0 Manager 管理手册
子接口如果接口连接至传输 VLAN 或 CIDR 流量的网段,则接口可细分为多个更小的名为子接口的组合。通常的做法是让接口应用一种策略,而子接口则应用另一种策略;或者将具有相同特性的不同类型流量实例组合在一起。您还可以创建子接口以保护作为 DoS/DDoS 攻击目标的基于 CIDR 的特定主机。子接口列在它们所组成的接口下。导出器在建立与 NTBA Appliance 之间的通信后,导出器图标便会出现在资源树中。该图标放在“NTBA Settings(NTBA 设置)” 节点的层次结构中。它用于导出 IPS Sensor 或路由器的 Net‑flow 记录。区域在建立与 NTBA Appliance 之间的通信后,区域图标便会出现在资源树中。该图标放在“NTBA Settings(NTBA 设置)” 节点的层次结构中。它是父节点,其下面显示有节点和子节点。多个内部区域内部区域图标显示在资源树中,其中显示分组的多个内部区域。多个外部区域外部区域图标显示在资源树中,其中显示分组的多个外部区域。单个内部区域内部区域图标是出现在资源树中的单个区域图标。单个外部区域外部区域图标是出现在资源树中的单个区域图标。另请参阅配置和管理管理域第 3 页使用资源树熟悉 Network Security Manager “Configuration(配置)”页 1 要配置系统,请单击资源树中的节点名称之一。特定于该资源的配置选项会出现在“Configuration(配置)”页的右侧窗格中。 McAfee ® Network Security Platform 7.0 Manager 管理手册 25
Page 1 and 2: Manager 管理手册 McAfee ® Netw
Page 3 and 4: 目录前言 7 关于本手册 . .
Page 5 and 6: NSP 健康状况视图 . . . . . .
Page 7 and 8: 前言本手册将提供配置、
Page 9 and 10: 1 熟悉 Network Security Manager M
Page 11 and 12: • “Reports(报告)”:链接到
Page 13 and 14: 查看工作状态主页的“Oper
Page 15 and 16: 要打开“Configuration(配置)
Page 17 and 18: 3 注销 Manager 并关闭 Internet
Page 19 and 20: (设备列表)”选项卡。“Dom
Page 21 and 22: 项目描述 4 Sensor 名称 5 接
Page 23: 此节点是所有 NAC Sensor 的
Page 27 and 28: 项目描述 4 子管理域节点
Page 29 and 30: 项目描述 3 IPS 设置节点 4
Page 31 and 32: 报告页未确认的警报摘要
Page 33 and 34: 2 配置和管理管理域 2 从 Ma
Page 35 and 36: 查看管理域的详细信息对
Page 37 and 38: 4 对于 IPS 模式和 IPS 及 NAC
Page 39 and 40: 删除管理域更改根管理域
Page 41 and 42: 任务 1 选择“Admin‑Domain‑
Page 43 and 44: 任务 1 选择“Admin‑Domain‑
Page 45 and 46: 表 2-6 角色描述 NAC Administr
Page 47 and 48: 角色权限 System Administrator (
Page 49 and 50: 角色权限 Security Expert (安
Page 51 and 52: 查看和导出 Manager 活动日
Page 53 and 54: 4 选择一个或多个“Audit Cat
Page 55 and 56: 查看长时间运行的进程选
Page 57 and 58: 查看故障通知的详细信息
Page 59 and 60: 表 2-11 (续) 字段描述 Commun
Page 61 and 62: 表 2-12 (续) 字段描述 Facili
Page 63 and 64: • “Notification Scope(通知范
Page 65 and 66: 指定故障通知脚本参数当
Page 67 and 68: 表 2-17 字段描述 Enable Syslo
Page 69 and 70: 2 键入所需的消息,然后选
Page 71 and 72: 3 Manager 服务器配置本节介
Page 73 and 74: 下载软件更新可以按需要
Page 75 and 76:
一旦完成重新启动过程,Sens
Page 77 and 78:
4 单击“Download(下载)”。
Page 79 and 80:
另请参阅自动更新第 77 页
Page 81 and 82:
MDR 通信 MDR 体系结构集成
Page 83 and 84:
任务 1 选择“Manager” | “M
Page 85 and 86:
适用于 MDR 配置的场景第
Page 87 and 88:
第二种情况:使用专用 IP 地
Page 89 and 90:
3 单击“View(查看)”查看所
Page 91 and 92:
任务 1 选择“Manager” | “C
Page 93 and 94:
带着这个问题阅读以下主
Page 95 and 96:
此对话框显示以下的一项
Page 97 and 98:
执行备份时,您可以备份以
Page 99 and 100:
备份 Manager(或 Central Manager)
Page 101 and 102:
• “Event Tables(事件表)”:
Page 103 and 104:
7 针对您已启用删除的那些
Page 105 and 106:
任务 1 导航到 \App\bin。 2
Page 107 and 108:
4 单击“DB Restore(数据库还
Page 109 and 110:
要还原数据,已存档的数据
Page 111 and 112:
3 选择“Maintenance(维护)”
Page 113 and 114:
3 执行“dbadmin.bat”文件。
Page 115 and 116:
3 选择“Maintenance(维护)” |
Page 117 and 118:
另请参阅添加 RADIUS 服务
Page 119 and 120:
您可以使用 Manager 在 Manager
Page 121 and 122:
测试连接状态任务 1 选择
Page 123 and 124:
任务 1 导航到“Manager” |
Page 125 and 126:
任务 1 选择“Manager(或 Centr
Page 127 and 128:
编辑 CIDR 网络任务 1 选择
Page 129 and 130:
4 通过 Threat Analyzer 进行监
Page 131 and 132:
了解警报缓存和数据库 Thre
Page 133 and 134:
Threat Analyzer 可以显示的警
Page 135 and 136:
Threat Analyzer 主页 Threat Analy
Page 137 and 138:
了解 Central Manager 中的警报
Page 139 and 140:
查看警报信息显示板 • “
Page 141 and 142:
使用信息显示板可以执行
Page 143 and 144:
6 单击“OK(确定)”。此时
Page 145 and 146:
编辑监视器删除监视器任
Page 147 and 148:
4 选择“Assign an existing monit
Page 149 and 150:
另请参阅攻击结果状态第
Page 151 and 152:
监视器名称深入分析监视
Page 153 and 154:
查看默认的 Sensor 性能监视
Page 155 and 156:
只有当在 Manager“Configure(
Page 157 and 158:
4 选择要在与时间的关系图
Page 159 and 160:
9 单击“Finish(完成)”查看
Page 161 and 162:
4 单击“Assign Monitor(分配监
Page 163 and 164:
9 单击“Finish(完成)”查看
Page 165 and 166:
查看工作状态可以从“NSP
Page 167 and 168:
项目描述 1 时间视图 2 警
Page 169 and 170:
5 右键单击柱状图可针对警
Page 171 and 172:
另请参阅查看 IPS 警报摘
Page 173 and 174:
4 单击“Save(保存)”。 5 对
Page 175 and 176:
3 在表格部分中,将鼠标移
Page 177 and 178:
3 右键单击类别名称并单击
Page 179 and 180:
任务 1 在实时 Threat Analyzer
Page 181 and 182:
任务 1 从 Network Security Platf
Page 183 and 184:
表 4-1 NTBA 默认和深入分析
Page 185 and 186:
表 4-3 自定义监视器 ‑ 特
Page 187 and 188:
另请参阅按属性对警报排
Page 189 and 190:
以下是此列中使用的符号:
Page 191 and 192:
图 4-59 警报视图:右键单击
Page 193 and 194:
右键单击选项描述 TrustedSo
Page 195 and 196:
• 借助 Threat Analyzer 的“Al
Page 197 and 198:
在计数视图中查看数据可
Page 199 and 200:
任务 1 从菜单栏中单击“Al
Page 201 and 202:
• “Actions(操作)”:单击右
Page 203 and 204:
单实例警报另请参阅查看
Page 205 and 206:
URL 合并实例 URL 捕获并显
Page 207 and 208:
统计警报 “Statistical(统计)
Page 209 and 210:
当 Sensor 通过默认的启发式
Page 211 and 212:
“Alerts Details(警报详细信
Page 213 and 214:
发送 TCP 重置 TCP 重置是一
Page 215 and 216:
3 右键单击警报并在 Sensor
Page 217 and 218:
任务 1 从 Manager 主页启动
Page 219 and 220:
您可以通过右键单击快捷
Page 221 and 222:
从“警报”页添加要进行 I
Page 223 and 224:
6 选择“Quarantine(隔离)”。
Page 225 and 226:
在 Threat Analyzer 的“Alerts(
Page 227 and 228:
主机可能属于以下三种类
Page 229 and 230:
详细信息显示在以主机的 I
Page 231 and 232:
任务 1 打开“Real‑time Threa
Page 233 and 234:
最近发生的 10 个防病毒事
Page 235 and 236:
删除警报除了确认警报外,
Page 237 and 238:
5 单击“More Options(更多选
Page 239 and 240:
4 从列表中选择要添加的事
Page 241 and 242:
2 单击“Value(值)”列中的
Page 243 and 244:
2 在“Dashboard Name(信息显示
Page 245 and 246:
查看主机详细信息当在 Sen
Page 247 and 248:
• “UUID”:每个主机事件
Page 249 and 250:
• “Trusted Source Information(
Page 251 and 252:
主机页中的 IPS 隔离选项 Th
Page 253 and 254:
任务查看主机鉴证 1 打开
Page 255 and 256:
从“主机鉴证”页启动 McAf
Page 257 and 258:
从“Host Forensics(主机鉴证)
Page 259 and 260:
当选择“Scan Source IP(扫描
Page 261 and 262:
只有填写完 IP 地址后,“Sca
Page 263 and 264:
在“Vulnerability Information(漏
Page 265 and 266:
Vulnerability Manager 扫描的网
Page 267 and 268:
常规面板 “General(常规)”
Page 269 and 270:
警报视图面板 “Alerts View(
Page 271 and 272:
观察列表 “Watch List(观察
Page 273 and 274:
8 选择突出显示您设置值的
Page 275 and 276:
5 监控工作状态 5 “Operation
Page 277 and 278:
工作状态界面 “Operational S
Page 279 and 280:
对于 Sensor,状态由三个通信
Page 281 and 282:
操作按钮此处操作按钮的
Page 283 and 284:
6 生成报告 6 McAfee ® Network
Page 285 and 286:
图 6-3 报告的本地化如果
Page 287 and 288:
当您在 Manager 主页中选择
Page 289 and 290:
• Top 10 Applications by bandwidt
Page 291 and 292:
6 选择“Report Format(报告格
Page 293 and 294:
任务 1 选择“Default ‑ Syste
Page 295 and 296:
运行“默认 - 前 10 个会话
Page 297 and 298:
表 6-8 “Default ‑ Top 10 Inter
Page 299 and 300:
任务 g 选择该报告,然后单
Page 301 and 302:
传统 - 配置报告 8 要只包
Page 303 and 304:
ACL 分配报告 ACL 分配报告
Page 305 and 306:
• Port(端口):审核 Syslog 服
Page 307 and 308:
要生成集成摘要报告,请执
Page 309 and 310:
表 6-14 字段名描述 Productio
Page 311 and 312:
表 6-17 字段名描述 Syslog Fo
Page 313 and 314:
指纹 ‑ Global Threat Intelligen
Page 315 and 316:
4 根据您希望在报告中看到
Page 317 and 318:
• “RADIUS Configuration(RADIUS
Page 319 and 320:
6 单击“Submit(提交)”获得
Page 321 and 322:
6 “NTBA General Settings(NTBA 常
Page 323 and 324:
2 “Threat Analyzer Presentation(T
Page 325 and 326:
4 选择“Output Format(输出格
Page 327 and 328:
• Sensor:配置端口、推送配
Page 329 and 330:
您还可以计划 IPS 报告和审
Page 331 and 332:
3 填写以下字段,以缩小报
Page 333 and 334:
4 要生成报告,请选择“Run R
Page 335 and 336:
• “Desired Number ('N') Of Atta
Page 337 and 338:
您可以通过指定特定的资
Page 339 and 340:
• “Select Alert/Attack Type(选
Page 341 and 342:
自动生成报告 • “Maximum M
Page 343 and 344:
• NTBA Configuration Summary(NTBA
Page 345 and 346:
查看计划的报告 3 在“Repor
Page 347 and 348:
3 单击“Add(添加)”。 4 键
Page 349 and 350:
索引數字 0 117 A ACL 定义列
Page 351:
700-3575-11
show all

Network Security Platform 7.0 Manager Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?