本帖最后由 SANGFOR_HZ 于 2024-2-25 15:50 编辑
零信任日志中心实现工作空间文件导入导出审计
1、应用背景: 客户现场为了访问应用安全使用了工作空间,在不同的工作访问不同的业务,并实现各工作空间文件导入导出进行审计。
2、零信任日志中心镜像获取: 密码:GV7?#5YA
3、零信任日志中心搭建 (1)登录超融合HCI点击新增: (2)指定虚拟机配置(需要两块磁盘,数据盘大小根据实际情况进行配置); 操作系统:选择 Linux 3.X/2.6 Kernel(64位) 磁盘:200G + 2T 内存:32G CPU:8核 网络:选择对应桥接对应网络物理出口 (3)上传下载好的零信任日志中心ISO镜像,如下图所示: (4)镜像上传完后,选择日志中心SDP-logger的镜像点击安装,如下图所示: (5)点击按周后,整个安装过程都是自动安装无需人工干预,安装完成后,点击重启,如下图所示:
4、安装文件审批服务客户端 设备重启完成后,登录日志中心后台,后台账号密码为:默认密码是admin/adminsuper@sdp&uem,如下所示: 登录后台后进行安装步骤: (1)后台输入以下命令安装: /home/fantom/modules/agent/services/agent_pkg/install.sh,具体如下图所示: (2)Reboot重启设备,待设备起来后,lsblk检查确认磁盘已挂载,如图/data分区可用空间为部署时添加的数据盘2T,说明磁盘挂载正常;具体如下图所示:
5、日志中心地址修改 进入日志中心后台,进行IP地址修改配置,具体如下图所示: 编辑网卡配置文件,设置为规划好的IP地址和网关如下: 设置完地址后按:wq存储退出,进行重启网卡服务,如下图所示:
6、日志中心设置: 后台修改完地址后,通过浏览器进行访问修改过地址,如下图所示: WEB控制默认登录账号密码为:admin/admin,输入默认账号登录成功后进行设置,具体设置如下: (1)日志中心时间设置: 日志中心服务器上网,同步时钟服务器,确保时间与零信任控制中心设备时间一致,否则会无法接收相关审计日志等。 (2)日志保留天数设置 在【系统配置】-【日志配置】中设置日志【期望保留天数】,根据客户实际情况进行调整,一般180天(半年)以上。设置如下图所示: 注意:SDP-logger4.0.2默认只有31天,所以必须要调整。
7、对接atrust设备配置 (1)在零信任日志中心[系统配置/接入设备管理]新增,将控制中心和代理网关的IP添加,IP配置为控制中心/代理网关与日志中心通信的IP,添加后将允许对应IP传输日志到日志中心。配置如下图所示: (2)登录零信任日志中心,点击【接入设备管理】-【密钥设置】获取日志和文件对接密钥,如下: (3)登录零信任控制中心,点击【审计中心/零信任日志中心/UEM审计日志输出】进行配置对接零信任日志中心,配置如下:
8、UEM应用配置: 登录零信任控制中心,点击【UEM/PC端数据安全、工作管理空间】配置如下:
9、UEM登录访问使用,并进行文件导入测试 UEM登录访问使用,第一次登录会弹出提示工作空间磁盘选择,如下图所示: 点击查看各工作空间如下: 从个人空间往运维管理空间到文档测试如下:
10、登录日志中心查看审计效果: (1)查看用户访问日志
|