本帖最后由 新手107995 于 2020-9-27 15:34 编辑
背景:某公司中勒索病毒,联系某公司,安服着手分析的同时,本人小渠道也急忙安排上架SIP做分析以及部署EDR对终端进行防护 简单拓扑示意图: SIP旁挂在核心上,STA也同样(设备数量不多) EDR部署在服务器虚机上 过程:
SIP上架:服务器接电开启背面电源与正面开关,接入网口eth0进行配置,eth0默认地址为10.251.251.252 进入界面后可以按照向导进行配置,也可以自行到系统设置——网络设置中对接口进行配置完成网络调通先 【资产发现需要一点时间,之后会自动对安全问题进行分析】 常见问题处理思路:遇到网络不通、网口不亮灯时,可以给服务器接入显示器和键盘鼠标(linux无图形化鼠标有时用不上)可以查看一下服务器是否正常启动服务与网络配置情况
STA上架:在SIP完成配置以后,上架STA并进行联动,才能使得SIP能够获取到流量进行分析。 默认除了0口其他全是镜像口,因此接入0口进行配置,默认地址10.251.251.251,按照向导进行基础配置(包括与SIP的联动) 这里模式选择了高级模式,进行较为完整的功能使用,完成后将0口与设置的镜像口接入核心
EDR部署: 下载MGR包,由于社区关闭下载通道,找客服要的安装包,版本3.2.17,之后记得升级到3.2.21(并且打上加固补丁包)确保EDR的安全运行 1、使用SSH工具连接到虚机服务器(网络通信正常),用FTP将安装包.pkg后缀以及安装脚本.sh拷贝到虚机上 chmod +x将这两个文件都加上可执行权限 最后运行 脚本 安装包 云主机地址 进行安装 2、安装EDR MGR服务完成以后,便可以在浏览器中输入https://IP 访问到EDR控制台中 进行联动配置,可在SIP或者EDR中配置 SIP中配置方法:首页点击EDR图标,新增,输入地址,选择类型,端口号确认,确定即可 EDR中配置方法: 进入EDR控制台,响应中心,联动响应,新增,输入SIP的IP,选择本地响应IP,勾选检测日志上报,确定即可 3、联动配置完以后可在EDR的系统管理,联动管理中查看与SIP的联动状态
总结: 联动完成以后,可以在SIP首页看到联动状态,后续就是资产分析完毕以后,安全报表生成,同时让主机都安装好agent,针对发生的安全问题以及漏洞隐患进行一一整改 |