#原创分享#税务场景ITM测试-10.21更新
  

萌大爷 5611

{{ttag.title}}
本帖最后由 萌大爷 于 2020-10-22 20:17 编辑

税务场景ITM测试
一、介绍
      ITM又名内部威胁分析,主要是实现包括账户安全(弱密码、账户共享、爆破等)、外发泄密、IM风险、业务系统风险、关键操作审计等分析功能。
      客户需求:
      客户比较关注账号共享、金税三期关键操作监测。下图是别的测试项目的,仅供参考。
     

二、部署过程
      具体过程可以参考:
      https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=115781&highlight=

2.1 前期准备
2.1.1 OVA包准备
      1)最新OVA包可以找400要;
      2)虚拟机操作系统为Ubuntu 16.04,配置默认为2vCPU+4G内存+80G硬盘,后面需要扩容。
      3)OVA的虚拟机默认装好ITM,默认为单硬盘单机部署的。
附:基础知识
      ITM分为master和worker,是一种分布式架构。master相当于是主机,worker相当于是从机。按客户需要,可以使用单机部署(只有master)或多机部署(一台master,多台worker)。多机部署可以提升性能,加快处理数据的速度。本次导入的OVA包是单机部署版本,只需要一个虚拟机即可。

2.1.2 虚拟机导入
      在虚拟化平台(VMware或者某公司超融合等)导入ova包,导入后编辑虚拟机,连到业务出口,开机后需要修改IP,修改方法如下:
      https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=110495&highlight=
     

2.1.3 虚拟机磁盘扩容(下列操作请在进行前与400或研发确认,特别是在有数据的情况下)
      由于默认只有80G空间(系统盘和数据盘一起的),如果日志比较多的话空间就比较紧缺,如果系统盘慢了就可能会导致控制台服务起不了,因此需要扩容。
      首先在虚拟化平台,添加虚拟机硬盘,本次添加为500G硬盘。
      HCI上给ITM增加磁盘容量,不要直接在原来的磁盘上增加,要新添加一块磁盘(磁盘扩容推荐4T硬盘叠加,性能会比较好)。
     
      本次操作适用于只有系统盘,新增数据盘的场景,如果是添加第二个数据盘,可以看部署文档。
      a)格式化新增的硬盘mkfs.ext3 /dev/vdb(具体名称,打ldfsk查看)
      b)docker ps -a查看容器名,docker stop [容器名] 停止容器,必须停止,不然的话下一步备份数据(实际是迁移数据)后还是会不断写入原有文件夹
      c)备份现有数据mv /data/disk/ /data/disk_bac
      d)创建挂载目录mkdir /data/disk
      e)挂载数据盘至/data/disk
     
      f)重新挂载mount -a
      g)迁移数据至mv /data/disk_bac/* /data/disk
      h)重启docker容器docker start itm_master
      i)前端页面查看是否扩容成功
      

2.1.4 SLOG日志同步路径修改(下列操作请在进行前与400或研发确认,特别是在有数据的情况下)
      a)AC同步过来的日志,是存在slog目录里的,由于slog的目录在部署的时候指定的,而OVA包里slog的目录在/data/slog,这个目录默认挂载第一个磁盘,也就是vda里,因此同步过来后日志会大量占用vda的空间,因此可以把log目录修改到/data/disk/目录下,这个目录在上面操作里是挂到vdb磁盘下的,这个磁盘有1000G空间。
      b)步奏1:docker ps -a查看容器名,然后docker exec -it [容器名] bash进入docker
     
     
      c)步奏2:修改文件,修改0或者3这个文件,如果不清楚哪个可以用ls查看下,然后用vi命令编辑该文件,找到下图的root,修改路径为/data/disk/slog//slog,然后保存即可。
     
     
     
      d)步奏3:然后再重启 slog和ndlp这两个服务,输入/ndlp/slog/server/slog_server restart,然后进入/ndlp/ldb/php目录,输入./ldbs.sh stop关闭ndlp服务然后在输入./ldbs.sh start开启服务。
     
     
      可以查看进程启动时间来确认slog服务是否重启成功
     
     
      e)步奏4:在ITM同步策略里,重新同步一下,不然由于之前同步的文件在/data/slog里,可能会导致这部分日志没有进行分析和存入itm数据表里。
     
      f)步奏5:再观察是否同步到data/disk/slog,可以用df -h命令观察空间大小的变化

2.2 ITM升级
      升级需要update_itm.sh、update.sh、itm.tar.gz、itm.tar.gz.md5
     
      升级操作:
      a)上传文件文件前,要修改update_itm.sh,升级脚本容器名是错了,改成正确的,具体可以通过docker ps -a去查
      
      b)上传文件到指定路径;
     
      c)执行 sh -x update_itm.sh
     
      c)等待脚本跑完,出现update success,完成升级。
      d)登录ITM页面查看基本功能是否正常(比如日志查询等)。

2.3 AC和ITM同步设置
      a)AC旁路部署,核心交换机设置端口镜像,主要要把要分析的业务的流量镜像到AC里。
      
      b)登陆ITM,新建同步策略
      
      c)登陆AC,设置日志同步,新建同步策略,地址输入ITM的地址,同步策略里选择刚才在ITM新建的策略,然后类型选择DLA,其他默认,点击提交即可,保存后点击立即同步
      
      

2.4 配置业务审计策略
      这部分建议查看《某公司_ITM_v5.0.5_内部威胁管理系统用户手册》手册,根据手册配置即可,主要是要配置互联网审计策略和业务审计策略。

三、简单使用介绍
      税务场景下,税务最核心的业务系统是核心征管系统,里面包含了开发票,作废发票,增值发票等信息,因此建议配置业务审计策略,业务地址包含该系统。
      3.1 AC设置
     
     3.2 ITM配置
      a)在业务管理修改业务名称
     
      hxqd.xxsw.tax.cn  改为 金税三期核心征管系统-核心前端
      dddl.xxsw.tax.cn        改为 金税三期单点登陆系统
      portal.xxsw.tax.cn  改为  金税三期门户系统
      b)配置核心前端的关键动作
      配置关键动作提取,配置地方参考上图,输入名称、URL、关键字即可:
      例如要审计“纳税人信息查询”","url是"hxqd.xxsw.tax.cn",关键字需要抓包去看,然后查找,如下图抓包
     
      可以参考下列页面作为关键动作,主要是和客户沟通为主
     

四、效果
      下列为部分效果截图:
      a)根据不同用户,分析其行为
      
      b)这里是账号分析,分析如共享用户等
     

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

sangfor_1143 发表于 2020-10-29 15:54
  
感谢楼主的分享,楼主针对税务场景ITM的测试做了个比较详细的介绍,从前期准备工作到AC和ITM对接的配置以及最后成功的效果都有详细的截图分享,整篇文章逻辑严谨,思路清晰,期待楼主后续带来更多有价值的分享哟:爱你:
阿飞007 发表于 2021-3-10 17:11
  
厉害了我的哥。。。。。
新手287112 发表于 2020-12-14 21:09
  
对于税务行业ITM测试配置可以再详细一下:
AC:具体的业务定义
    金税三期核心征管系统-核心前端:hxqd.xxsw.tax.cn   
      金税三期单点登陆系统:dddl.xxsw.tax.cn        
       金税三期门户系统:portal.xxsw.tax.cn
ITM效果:
1.税务常用模型配置:账号共享,弱密码检测,异常时间段访问,僵尸账号
2.关键动作配置:作废发票,代开发票等
tianjt 发表于 2020-12-7 11:31
  
好文章,谢谢!
yuan666 发表于 2020-11-26 16:29
  
你是装好ITM后就自动出现那些200.200开头的业务IP吗   我装完也会出现  这是什么原因啊
萌大爷 发表于 2020-10-14 01:28
  
附docker常用命令:
重启docker服务  sudo service docker restart

关闭docker服务  docker service docker stop

开启docker服务  docker service docker start

查看当前运行的容器:docker ps

查询存在的容器:docker ps -a

删除容器:docker -rm  CONTAINERID

强制删除容器:docker -rm -f  CONTAINERID

不能够删除一个正在运行的容器,会报错。需要先停止容器。

查看镜像:docker images

删除镜像:docker -rmi  IMAGEID  

强制删除镜像:docker -rmi -f  IMAGEID  

利用镜像创建容器:docker run --name centos -itd centos:latest

注:-i表示让容器的标准输入打开,-t表示分配一个伪终端,-d表示后台启动,要把-i -t -d 放到镜像名字前面,--name指定容器名。

如果使用systemctl启动服务需要用下面的方式以超级权限启动,否则会报Failed to get D-Bus connection: Operation not permitted错误:

docker run --name centos -itd --privileged=true centos:latest /usr/sbin/init

进入后台运行的容器:docker exec -it containname /bin/bash

启动容器:docker start containername

停止容器:docker stop containername

停止所有的container,这样才能够删除其中的images: docker stop $(docker ps -a -q)

如果想要删除所有container的话再加一个指令: docker rm $(docker ps -a -q)

注:-a标志列出所有容器,-q标志只列出容器的ID,然后传递给rm命令

删除全部image的:  docker rmi $(docker images -q)

重命名一个容器:docker rename old_name new_name



进入容器内部后可以使 用下面命令获取目前容器的ip:

cat /etc/hos ts

在docker容 器和宿主机之间复制文件:

切换为root用户然后:

从主机复制到容器 docker cp host_path containerID:container_path

从容器复制到主机 docker cp containerID:container_path host_path
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
信服课堂视频
每周精选
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人