360天眼威脅分析平臺(tái)上線指導(dǎo)

互聯(lián)網(wǎng)安全中心360天眼-新一代未知威脅感知系統(tǒng)分析平臺(tái)上線指導(dǎo)Version1.1目錄1. 系統(tǒng)概述 32. 產(chǎn)品形態(tài) 33. 系統(tǒng)基本配置 43.1. 接口與IP 43.2. 連接方式 43.3. 網(wǎng)絡(luò)配置-分析平臺(tái) 53.4. 網(wǎng)絡(luò)配置-分析平臺(tái)拓展節(jié)點(diǎn) 63.5. 傳感器聯(lián)動(dòng)配置 64. 部署需求 74.1. 機(jī)架空間 74.2. 設(shè)備連接互聯(lián)網(wǎng)（建議） 75. 典型部署 75.1. 場(chǎng)景一：?jiǎn)闻_(tái)部署 75.2. 場(chǎng)景二：集群部署 85.3. 場(chǎng)景三：集群部署-傳感器日志發(fā)送給拓展節(jié)點(diǎn) 96. 天擎聯(lián)動(dòng) 11

系統(tǒng)概述天眼新一代威脅感知系統(tǒng)TSS：ThreatSensitiveSystem（以下簡(jiǎn)稱(chēng)：天眼）是奇虎360面向下一代未知威脅的精確檢測(cè)系統(tǒng)，通過(guò)動(dòng)態(tài)行為檢測(cè)、靜態(tài)模式匹配、半動(dòng)態(tài)行為分析、大數(shù)據(jù)分析等多項(xiàng)技術(shù)實(shí)現(xiàn)對(duì)APT攻擊、0day漏洞利用攻擊的精確檢測(cè)與回溯。產(chǎn)品形態(tài)威脅分析平臺(tái)：可對(duì)傳感器發(fā)送過(guò)來(lái)的日志信息進(jìn)行安全分析，發(fā)現(xiàn)網(wǎng)絡(luò)流量中的可疑行為。分析平臺(tái)前面板：分析平臺(tái)接口面板：系統(tǒng)基本配置接口與IP分析平臺(tái)在使用時(shí)，需要明確3個(gè)IP地址管理IP：用于通過(guò)web對(duì)分析平臺(tái)進(jìn)行管理ESIP：ES綁定的IP地址，該地址主要用于ES集群之間的相互通信日志接收IP：用于接收傳感器發(fā)送日志的IP地址?？梢允褂梅治銎脚_(tái)所有接口上的任意IP地址，只要與傳感器地址可達(dá)即可。三個(gè)地址之間并不需要進(jìn)行嚴(yán)格區(qū)分，可以共用同一接口地址，也可以分別配置在不同的接口上。接口分析平臺(tái)上的4個(gè)接口并沒(méi)有功能區(qū)分，任意一個(gè)接口都可以用來(lái)配置管理IP或者ESIP，也可以用來(lái)與傳感器聯(lián)動(dòng)。網(wǎng)卡順序與硬件的對(duì)應(yīng)關(guān)系如下圖：連接方式使用網(wǎng)線將PC的網(wǎng)口與傳感器的管理口eth0直連，在PC上使用360安全瀏覽器極速模式，在地址欄中輸入“https://”并回車(chē)（請(qǐng)注意，該地址是以https開(kāi)頭，而非http），然后出現(xiàn)如下界面：威脅分析平臺(tái)默認(rèn)用戶(hù)名/密碼為：admin/admin。輸入正確的用戶(hù)名、密碼及驗(yàn)證碼，點(diǎn)擊“登錄”按鈕即可進(jìn)入分析平臺(tái)web管理頁(yè)面。首次登錄會(huì)提示強(qiáng)制修改密碼（建議更改為密碼強(qiáng)度高，方便記憶的密碼）。網(wǎng)絡(luò)配置-分析平臺(tái)接口及路由配置通過(guò)eth0口登錄到設(shè)備管理頁(yè)面后，點(diǎn)擊頁(yè)面右上角的配置圖標(biāo)，即可看到網(wǎng)絡(luò)配置頁(yè)面。在此頁(yè)面可進(jìn)行接口IP以及路由的修改。進(jìn)行路由管理時(shí)，將目標(biāo)網(wǎng)絡(luò)/掩碼改為/0，即可添加一條默認(rèn)路由。DNS配置系統(tǒng)默認(rèn)使用DNS地址為14，若想使用在線升級(jí)，請(qǐng)確保在分析平臺(tái)上配置可用的DNS地址。ES配置在網(wǎng)絡(luò)配置頁(yè)面，配置ES前，請(qǐng)選好ES要綁定的IP，然后點(diǎn)擊初始化按鈕。時(shí)間同步分析平臺(tái)使用在線升級(jí)時(shí)，若分析平臺(tái)本地時(shí)間與服務(wù)器時(shí)間相差5min以上，那么會(huì)禁止升級(jí)。所以建議用戶(hù)在使用在線升級(jí)功能時(shí)，開(kāi)啟時(shí)間同步功能。網(wǎng)絡(luò)配置-拓展節(jié)點(diǎn)接口/路由/DNS配置使用默認(rèn)地址登錄到分析平臺(tái)拓展節(jié)點(diǎn)的管理頁(yè)面后，點(diǎn)擊左側(cè)導(dǎo)航欄的網(wǎng)絡(luò)管理，即可跳轉(zhuǎn)到網(wǎng)絡(luò)配置頁(yè)面。在這里可以修改接口地址，配置路由，DNS以及ES信息。ES配置客戶(hù)端：用于指定拓展節(jié)點(diǎn)中，ES使用那個(gè)IP地址進(jìn)行通信中心節(jié)點(diǎn)：用于指定ES集群的中心節(jié)點(diǎn)IP，此處應(yīng)該填寫(xiě)分析平臺(tái)ES所綁定的IP。配置好客戶(hù)端及中心幾點(diǎn)之后，點(diǎn)擊保存，即可將拓展節(jié)點(diǎn)加入到集群中。傳感器聯(lián)動(dòng)配置將傳感器策略配置中的分析平臺(tái)IP改為分析平臺(tái)或拓展節(jié)點(diǎn)上的任意IP地址，只要確保傳感器和的配置的ip地址可達(dá)，即可完成聯(lián)動(dòng)配置。默認(rèn)的分析平臺(tái)地址為，修改為部署的分析平臺(tái)IP或拓展節(jié)點(diǎn)地址，點(diǎn)擊保存即可。部署需求機(jī)架空間一套360天眼系統(tǒng)至少包括2臺(tái)2U設(shè)備（分析平臺(tái)+傳感器），需要機(jī)架預(yù)留4U的空間（尺寸：高88mmx寬430mmx深660mm），并提供托盤(pán)。集群部署情況下需要更大的空間。設(shè)備連接互聯(lián)網(wǎng)（建議）連接互聯(lián)網(wǎng)后，分中心可以實(shí)時(shí)從360的云服務(wù)器上下載最新的威脅情報(bào)信息，達(dá)到實(shí)時(shí)更新的效果，為您提供最準(zhǔn)確/最實(shí)時(shí)/最全面的保護(hù)。為了能夠在線升級(jí)，建議將分析平臺(tái)管理IP連接互聯(lián)網(wǎng)，能夠通過(guò)80端口訪問(wèn)#（當(dāng)然也需要能解析#域名）。典型部署場(chǎng)景一：?jiǎn)闻_(tái)部署場(chǎng)景描述兩臺(tái)傳感器，分別監(jiān)控不同的網(wǎng)絡(luò)流量，將日志發(fā)送給分析平臺(tái)。分析平臺(tái)使用單臺(tái)部署。Ip地址配置如下：分析平臺(tái)IP配置Web管理IPeth0:ES綁定IPeth0:與傳感器聯(lián)動(dòng)IPeth0:傳感器IP配置1Web管理IPeth0:分析平臺(tái)IP傳感器IP配置2Web管理IPeth0:分析平臺(tái)IP拓?fù)鋱D配置過(guò)程修改分析平臺(tái)eth0的IP在網(wǎng)絡(luò)配置中，ESIP配置選擇eth0上的IP，并點(diǎn)擊初始化傳感器上，將分析平臺(tái)的IP配置為1中分析平臺(tái)的IP場(chǎng)景二：集群部署場(chǎng)景描述由一個(gè)分析平臺(tái)和2個(gè)分析平臺(tái)拓展節(jié)點(diǎn)組成ES集群，兩臺(tái)傳感器將日志發(fā)送給集群中的主節(jié)點(diǎn)。分析平臺(tái)eth0口配置公網(wǎng)IP作為管理口，eth1用來(lái)接收傳感器日志，eth2配置內(nèi)網(wǎng)IP用來(lái)綁定ES與集群之間的通信，IP配置如下：分析平臺(tái)IP配置Web管理IPeth0:x.x.x.xES綁定IPeth2:與傳感器聯(lián)動(dòng)IPeth1:分析平臺(tái)拓展節(jié)點(diǎn)1Web管理IPeth0:ES客戶(hù)端IPeth0:中心節(jié)點(diǎn)IPeth0:分析平臺(tái)拓展節(jié)點(diǎn)2Web管理IPeth0:ES客戶(hù)端IPeth0:中心節(jié)點(diǎn)IPeth0:傳感器1Web管理IPeth0:分析平臺(tái)IP傳感器2Web管理IPeth0:分析平臺(tái)IP拓?fù)鋱D配置步驟分別配置分析平臺(tái)的三個(gè)接口IP，并將ES綁定在eth2上，初始化ES配置分析平臺(tái)拓展節(jié)點(diǎn)接口IP，ES客戶(hù)端IP選擇eth0口地址，中心節(jié)點(diǎn)IP填寫(xiě)1中分析平臺(tái)ES綁定的IP地址。點(diǎn)擊保存。在傳感器上，將分析平臺(tái)的IP地址配置為分析平臺(tái)eth1口地址。場(chǎng)景三：集群部署-傳感器日志發(fā)送給拓展節(jié)點(diǎn)場(chǎng)景描述如果有多臺(tái)傳感器同時(shí)產(chǎn)生日志并發(fā)送給集群，在日志量比較大的情況下，建議將傳感器的日志分別發(fā)送給集群中不同的節(jié)點(diǎn)，這樣可以達(dá)到負(fù)載均衡，提升集群對(duì)日志的接收能力。由一個(gè)分析平臺(tái)和2個(gè)分析平臺(tái)拓展節(jié)點(diǎn)組成ES集群，一臺(tái)傳感器將日志發(fā)送給分析平臺(tái)，另外一臺(tái)傳感器將日志發(fā)送給分析平臺(tái)拓展節(jié)點(diǎn)。分析平臺(tái)eth0口配置公網(wǎng)IP作為管理口，eth1用來(lái)接收傳感器日志，eth2配置內(nèi)網(wǎng)IP用來(lái)綁定ES與集群之間的通信；拓展節(jié)點(diǎn)1的eth0用來(lái)綁定ES與集群進(jìn)行通信，eth1用來(lái)接收傳感器日志。IP配置如下：分析平臺(tái)IP配置Web管理IPeth0:x.x.x.xES綁定IPeth2:與傳感器聯(lián)動(dòng)IPeth1:分析平臺(tái)拓展節(jié)點(diǎn)1Web管理IPeth0:ES客戶(hù)端IPeth0:中心節(jié)點(diǎn)IPeth0:與傳感器聯(lián)動(dòng)IPeth1:分析平臺(tái)拓展節(jié)點(diǎn)2Web管理IPeth0:ES客戶(hù)端IPeth0:中心節(jié)點(diǎn)IPeth0:傳感器1Web管理IPeth0:分析平臺(tái)IP傳感器2Web管理IPeth0:分析平臺(tái)IP拓?fù)鋱D配置步驟分別配置分析平臺(tái)的三個(gè)接口IP，并將ES綁定在eth2上，初始化ES配置分析平臺(tái)拓展節(jié)點(diǎn)接口IP，ES客戶(hù)端IP選擇eth0口地址，中心節(jié)點(diǎn)IP填寫(xiě)1中分析平臺(tái)ES綁定的IP地址。點(diǎn)擊保存。在傳感器1上，將分析平臺(tái)的IP地址配置為分析平臺(tái)eth1口地址。在傳感器2上，將分析平臺(tái)的IP地址配置為拓展節(jié)點(diǎn)1的eth1口地址。天擎聯(lián)動(dòng)分析平臺(tái)版本開(kāi)始支持接收天擎終端產(chǎn)生的日志，天擎的日志采集器可以將日志發(fā)送給分析平臺(tái)或者是拓展節(jié)點(diǎn)。在開(kāi)啟天擎聯(lián)動(dòng)功能前，需要手動(dòng)登錄到分析平臺(tái)的后臺(tái)，修改iptables，開(kāi)放redis6379端口。然后修改天擎日志采集器的配置文件，將日志發(fā)送給分析平臺(tái)。配置步驟如下：登錄到分析平臺(tái)的后臺(tái)，假設(shè)天擎采集器的ip地址為，修改/etc/sysconfig/iptables文件，針對(duì)天擎的ip地址開(kāi)放6379端口。注：請(qǐng)注意添加注：請(qǐng)注意添加iptables的位置，可以添加在22端口策略前面。且一定要明確天擎采集器的ip地址，不能使用任意地址，否則會(huì)引入嚴(yán)重安全問(wèn)題。修改成功后，執(zhí)行serviceiptablesrestart，然后通過(guò)iptables-L查看iptables的6379端口是否已對(duì)外開(kāi)放。配置天擎采集器在天擎采集器