本帖最后由 无赖叫兽 于 2022-9-13 15:27 编辑
某公司需要部署SIP,并于深信服其它设备联动,主要设备有出口AF,内网AF,AC,EDR。基本网络拓扑
探针STA部署 需要在两个堆叠的核心交换机上分别开启一个观察口(目的端口),将其他需要镜像流量的口一并开启镜像,我们先把几个光口做镜像,比如47口为观察口,以H3C交换机举例: #mirroring-group 1 local #group-member Ten-GigabitEthernet1/1/0/1 to Ten-GigabitEthernet1/1/0/12 #mirroring-group 1 mirroring-port both #interface GigabitEthernet1/0/0/47 #mirroring-group 1 monitor-port 另外一个核心也照样配置。两个都配完之后,将两个观察口分别与STA的eth1、eth2口直连,这样探针就可以抓到相应的流量了。配置eth5口为管理口,再配置默认路由,便于内网能访问管理。 SIP部署 单臂部署直连在核心交换(主)上面,不可以端口聚合,并设置好路由。在资产里对内外网资产进行定义,服务器和网络安全设备,能定义的都定义了,其他默认即可。 探针平台STA设置与SIP关联
注:另外需要注意的是在日志配置中需要勾选所有方向的流量,默认没有勾选全,不然会导致一些流量是不生成的。
与AF联动 在出口防火墙安全防护策略中新增一条反向策略,只记录日志
对接SIP,端口默认为TCP4430
在SIP里点到AF开启双向认证
同样方法添加服务器AF与SIP联动
2、与上网行为管理AC联动
与AC联动,主要是针对风险用户进行联动,对其断网或控制一些端口。 先在AC的接入选项-->portal认证-->单点登录-->深信服设备里,勾选两个选项,并设置如图转发策略,端口为UDP1775。 另外,需要注意的是AC里在线的用户的认证方式如果是不需要认证的认证方式上线的, 是不会同步到SIP平台,的需要是密码认证、单点登录等认证方式的用户上线的才能同步到SIP平台里。
在系统管理-->深信服设备对接里,启用深信服设备对接功能,设置认证账号与密码。
最后,在SIP端填入相应参数即可联动成功。
3、与EDR联动 接入配置可在SIP或EDR平台进行单向配置即可
需要在EDR端开启允许联动
处置中心 主要在处置中心-->风险资产视角 中,处置威胁,可以联动AF,对其封锁某个端口,也可以联动EDR对其进行查杀隔离等。
配置自动响应策略
自动响应策略一般只需要开启僵尸进程取证、勒索即可,不需要开启太多自动响应功能,以免对业务造成影响。
另外这里支持图形化编程,可以根据用户需求自定义响应策略,可以测试使用
配置展示大屏
可以根据自己的喜好设置大屏样式,一般保持默认即可,这里需要更改归属地。
总结: 对于一些中大型企业,深信服设备比较多的场景,建议部署SIP感知设置,可以设置多个探针,在日常运维的时候可以实现极简运维,一个设备就可以联动多个设备,在其中生成的策略都会同步到相应的设备里。 | 
发表于 2022-9-16 17:08
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
