#原创分享#税务场景ITM测试-10.21更新

税务场景ITM测试

一、介绍

      ITM又名内部威胁分析，主要是实现包括账户安全（弱密码、账户共享、爆破等）、外发泄密、IM风险、业务系统风险、关键操作审计等分析功能。

      客户需求：

      客户比较关注账号共享、金税三期关键操作监测。下图是别的测试项目的，仅供参考。

     

二、部署过程

      具体过程可以参考：

      https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=115781&highlight=

2.1 前期准备

2.1.1 OVA包准备

      1）最新OVA包可以找400要；

      2）虚拟机操作系统为Ubuntu 16.04，配置默认为2vCPU+4G内存+80G硬盘，后面需要扩容。

      3）OVA的虚拟机默认装好ITM，默认为单硬盘单机部署的。

附：基础知识

      ITM分为master和worker，是一种分布式架构。master相当于是主机，worker相当于是从机。按客户需要，可以使用单机部署（只有master）或多机部署（一台master，多台worker）。多机部署可以提升性能，加快处理数据的速度。本次导入的OVA包是单机部署版本，只需要一个虚拟机即可。

2.1.2 虚拟机导入

      在虚拟化平台（VMware或者某公司超融合等）导入ova包，导入后编辑虚拟机，连到业务出口，开机后需要修改IP，修改方法如下：

      https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=110495&highlight=

     

2.1.3 虚拟机磁盘扩容（下列操作请在进行前与400或研发确认，特别是在有数据的情况下）

      由于默认只有80G空间（系统盘和数据盘一起的），如果日志比较多的话空间就比较紧缺，如果系统盘慢了就可能会导致控制台服务起不了，因此需要扩容。

      首先在虚拟化平台，添加虚拟机硬盘，本次添加为500G硬盘。

      在HCI上给ITM增加磁盘容量，不要直接在原来的磁盘上增加，要新添加一块磁盘（磁盘扩容推荐4T硬盘叠加，性能会比较好）。

     

      本次操作适用于只有系统盘，新增数据盘的场景，如果是添加第二个数据盘，可以看部署文档。

      a）格式化新增的硬盘mkfs.ext3 /dev/vdb（具体名称，打ldfsk查看）

      b）docker ps -a查看容器名，docker stop [容器名] 停止容器，必须停止，不然的话下一步备份数据（实际是迁移数据）后还是会不断写入原有文件夹

      c）备份现有数据mv /data/disk/ /data/disk_bac

      d）创建挂载目录mkdir /data/disk

      e）挂载数据盘至/data/disk

     

      f）重新挂载mount -a

      g）迁移数据至mv /data/disk_bac/* /data/disk

      h）重启docker容器docker start itm_master

      i）前端页面查看是否扩容成功

      

2.1.4 SLOG日志同步路径修改（下列操作请在进行前与400或研发确认，特别是在有数据的情况下）

      a）AC同步过来的日志，是存在slog目录里的，由于slog的目录在部署的时候指定的，而OVA包里slog的目录在/data/slog，这个目录默认挂载第一个磁盘，也就是vda里，因此同步过来后日志会大量占用vda的空间，因此可以把log目录修改到/data/disk/目录下，这个目录在上面操作里是挂到vdb磁盘下的，这个磁盘有1000G空间。

      b）步奏1：docker ps -a查看容器名，然后docker exec -it [容器名] bash进入docker

     

     

      c）步奏2：修改文件，修改0或者3这个文件，如果不清楚哪个可以用ls查看下，然后用vi命令编辑该文件，找到下图的root，修改路径为/data/disk/slog//slog，然后保存即可。

     

     

     

      d）步奏3：然后再重启 slog和ndlp这两个服务，输入/ndlp/slog/server/slog_server restart，然后进入/ndlp/ldb/php目录，输入./ldbs.sh stop关闭ndlp服务然后在输入./ldbs.sh start开启服务。

     

     

      可以查看进程启动时间来确认slog服务是否重启成功

     

     

      e）步奏4：在ITM同步策略里，重新同步一下，不然由于之前同步的文件在/data/slog里，可能会导致这部分日志没有进行分析和存入itm数据表里。

     

      f）步奏5：再观察是否同步到data/disk/slog，可以用df -h命令观察空间大小的变化

2.2 ITM升级

      升级需要：update_itm.sh、update.sh、itm.tar.gz、itm.tar.gz.md5

     

      升级操作：

      a）上传文件文件前，要修改update_itm.sh，升级脚本容器名是错了，改成正确的，具体可以通过docker ps -a去查

      

      b）上传文件到指定路径;

     

      c）执行 sh -x update_itm.sh

     

      c）等待脚本跑完，出现update success，完成升级。

      d）登录ITM页面查看基本功能是否正常（比如日志查询等）。

2.3 AC和ITM同步设置

      a）AC旁路部署，核心交换机设置端口镜像，主要要把要分析的业务的流量镜像到AC里。

      

      b）登陆ITM，新建同步策略

      

      c）登陆AC，设置日志同步，新建同步策略，地址输入ITM的地址，同步策略里选择刚才在ITM新建的策略，然后类型选择DLA，其他默认，点击提交即可，保存后点击立即同步

      

      

2.4 配置业务审计策略

      这部分建议查看《某公司_ITM_v5.0.5_内部威胁管理系统用户手册》手册，根据手册配置即可，主要是要配置互联网审计策略和业务审计策略。

三、简单使用介绍

      税务场景下，税务最核心的业务系统是核心征管系统，里面包含了开发票，作废发票，增值发票等信息，因此建议配置业务审计策略，业务地址包含该系统。

      3.1 AC设置

     

     3.2 ITM配置

      a）在业务管理修改业务名称

     

      hxqd.xxsw.tax.cn  改为 金税三期核心征管系统-核心前端

      dddl.xxsw.tax.cn        改为 金税三期单点登陆系统

      portal.xxsw.tax.cn  改为  金税三期门户系统

      b）配置核心前端的关键动作

      配置关键动作提取，配置地方参考上图，输入名称、URL、关键字即可：

      例如要审计“纳税人信息查询”","url是"hxqd.xxsw.tax.cn",关键字需要抓包去看，然后查找，如下图抓包

     

      可以参考下列页面作为关键动作，主要是和客户沟通为主

     

四、效果

      下列为部分效果截图：

      a）根据不同用户，分析其行为

      

      b）这里是账号分析，分析如共享用户等

     

感谢楼主的分享，楼主针对税务场景ITM的测试做了个比较详细的介绍，从前期准备工作到AC和ITM对接的配置以及最后成功的效果都有详细的截图分享，整篇文章逻辑严谨，思路清晰，期待楼主后续带来更多有价值的分享哟:爱你:

附docker常用命令：
重启docker服务  sudo service docker restart

关闭docker服务  docker service docker stop

开启docker服务  docker service docker start

查看当前运行的容器：docker ps

查询存在的容器：docker ps -a

删除容器：docker -rm  CONTAINERID

强制删除容器：docker -rm -f  CONTAINERID

不能够删除一个正在运行的容器，会报错。需要先停止容器。

查看镜像：docker images

删除镜像：docker -rmi  IMAGEID  

强制删除镜像：docker -rmi -f  IMAGEID  

利用镜像创建容器：docker run --name centos -itd centos:latest

注：-i表示让容器的标准输入打开，-t表示分配一个伪终端，-d表示后台启动，要把-i -t -d 放到镜像名字前面,--name指定容器名。

如果使用systemctl启动服务需要用下面的方式以超级权限启动，否则会报Failed to get D-Bus connection: Operation not permitted错误：

docker run --name centos -itd --privileged=true centos:latest /usr/sbin/init

进入后台运行的容器：docker exec -it containname /bin/bash

启动容器：docker start containername

停止容器：docker stop containername

停止所有的container，这样才能够删除其中的images： docker stop $(docker ps -a -q)

如果想要删除所有container的话再加一个指令： docker rm $(docker ps -a -q)

注：-a标志列出所有容器，-q标志只列出容器的ID，然后传递给rm命令

删除全部image的:  docker rmi $(docker images -q)

重命名一个容器：docker rename old_name new_name

进入容器内部后可以使 用下面命令获取目前容器的ip：

cat /etc/hos ts

在docker容 器和宿主机之间复制文件：

切换为root用户然后：

从主机复制到容器 docker cp host_path containerID:container_path

从容器复制到主机 docker cp containerID:container_path host_path

你是装好ITM后就自动出现那些200.200开头的业务IP吗   我装完也会出现  这是什么原因啊

好文章，谢谢！

对于税务行业ITM测试配置可以再详细一下：
AC：具体的业务定义
    金税三期核心征管系统-核心前端：hxqd.xxsw.tax.cn   
      金税三期单点登陆系统：dddl.xxsw.tax.cn        
       金税三期门户系统：portal.xxsw.tax.cn
ITM效果:
1.税务常用模型配置：账号共享，弱密码检测，异常时间段访问，僵尸账号
2.关键动作配置：作废发票，代开发票等

厉害了我的哥。。。。。