1、 统一分析平台TM 对接手册 发布日期:2018.8.7 文档版本:03 亚信科技(成都)有限公司/Asiainfo Security Incorporated 保留对本文档以及此处所述产品进行更改而不另行通知的权利。在安装并使用产品之前,请阅读自述文件、发布说明和/或最新版本的适用文档,这些文档可以从亚信安全的以下 Web 站点获得: http:/downloadcenter.asiainfo- 2018 亚信科技(成都)有限公司/Asiainfo Security Incorporated.保留所有权利。 修订记录修订记录 编号编号 发布日期发布日期 描述描述 01 2017-05-07
2、初始版本 02 2018-08-07 修改名称 03 2018-09-05 UAP 2.4 Beta 亚信安全专有和保密信息,版权所有亚信科技(成都)有限公司/Asiainfo Security Incorporated 目录目录 1. 平台简介 . 1 2. 平台说明 . 1 3. 平台对接方法 TDA . 1 3.1 企业内部安装搭建平台 . 1 3.2 依托亚信安全提供平台服务 . 2 3.2.1 TDA 适用版本 . 2 3.2.2 TDA 相关配置方法 . 2 3.2.2.1 方法一:通过 SSL 协议发送 . 2 3.2.2.2 方法二:通过中转服务发送 . 3 3.2.2.3 方
3、法三:通过转接服务发送 . 3 3.2.2.4 方法四:通过 Syslog Proxy 发送 . 3 4. 平台对接方法 DE . 4 5. 平台对接方法 DDEI . 5 6. 平台对接方法 DS . 5 7. 平台对接方法 TMCM . 7 1 1. 平台简介平台简介 亚信安全统一分析平台(United Analysis Platform )可以收集、解析、统计 TDA、DDEI、Deep Edge、Deep Security 和 TMCM 的日志,并提供统一的展现平台。 提供了强大而快速的搜索功能,能够帮助用户轻松地检索到所需要的日志。 提供定制化报表生成功能,为用户提供自定义的产品报表
4、。 搜索结果使用图表形式进行展示,具有可视化效果,从而提高了日志的可用性。 2. 平台说明平台说明 以上亚信安全产品需要与统一分析平台进行对接, 才能将日志提供给该平台。 该平台目前以两种方式运行。 1. 企业内部安装搭建平台 统一分析平台部署在一台服务器上,服务器版本要求:CentOS Linux 7 1511+。此时企业内部各产品数据集中到该平台中,无需经过互联网。 2. 依托亚信安全提供平台服务 如企业为小型企业或企业内部无需该平台, 可选择将数据通过互联网发送至亚信安全的管理平台,由亚信安全进行数据的存储和报告输出。目前该服务只支持 TDA。 3. 平台对接方法平台对接方法 TDA 3
5、.1 企业内部安装搭建平台企业内部安装搭建平台 当企业希望在本企业设备上自建平台,一般采取该方式。 项目项目 要求要求 平台是否需要联入公网 否 TDA 版本限制 不限 在 TDA 上添加系统日志服务器的配置 1. 选择协议为 UDP 2. 选择日志格式为亚信安全亚信安全 事件格式事件格式(TMEF) 1. 登录 TDA 的管理界面,转到“管理管理-集成的产品集成的产品/服务服务-系统日志系统日志” 。 2. 单击,显示界面如下图。 2 3. 勾选启用系统日志服务器启用系统日志服务器。 4. 输入日志管理平台服务器的 IP 地址和端口号。 5. 选择协议为 UDP。 6. 选择日志格式为亚信安
6、全亚信安全 事件格式事件格式(TMEF)。 7. 单击TDA 的配置如下图: 3.2 依托亚信安全提供平台服务依托亚信安全提供平台服务 如果企业希望通过联网的方式接入平台, 可以采取该方式将日志信息导入, 由亚信安全提供平台为其提供日志分析和报表通知。 项目项目 要求要求 平台是否需要联入公网 是 TDA 版本限制 不限,但是针对不同版本需要做相应配置 TDA 相关配置 在 TDA 上添加系统日志服务器 3.2.1 TDA 适用版本适用版本 TDA 与平台对接时,适用版本和对应功能配置如下。 项目项目 版本版本 3.7 以下版本以下版本 3.7 版本版本 3.8 及以上版本及以上版本 是否包含
7、 Syslog Proxy 功能 否 否 是 TDA 相关配置 方法二 方法二 方法三 方法一 方法二 方法三 方法四 3.2.2 TDA 相关配置方法相关配置方法 3.2.2.1 方法一:通过方法一:通过 SSL 协议发送协议发送 TDA 通过 SSL 协议将日志加密发送至平台。此接入方法需要 3.8 及以上版本,3.7 以及下版本 SSL 版本存在安全问题。 3 在 TDA 上添加系统日志服务器的配置: 1. 输入日志管理平台服务器的 IP 地址和端口号 2. 协议协议选择为 SSL 3. 日志格式日志格式选择为亚信安全亚信安全 事件格式事件格式(TMEF) 3.2.2.2 方法二:通过中
8、转服务发送方法二:通过中转服务发送 如果 TDA 不能够访问外网,可以由一台联入公网的出口设备做中继(可共享,占用极少资源)提供转接服务,通过 HTTPS 协议发送日志至平台。 说明说明:需要在该设备(适用于 Windows 和 Linux 版本)上安装转接服务。如需部署中转服务,请联系技术支持。 在 TDA 上添加系统日志服务器的配置: 1. 输入转接服务器的 IP 地址和端口号 2. 协议协议选择为 UDP 3. 日志格式日志格式选择为亚信安全亚信安全 事件格式事件格式(TMEF) 3.2.2.3 方法三:通过转接服务发送方法三:通过转接服务发送 如果 TDA 不能够访问外网, 也可以通过
9、配置 Proxy 连接外网, 这种情况下, 可以为 TDA安装转接服务。 说明说明:如需在 TDA 上部署转接服务,请联系技术支持。 在 TDA 上添加系统日志服务器的配置: 1. 输入转接服务器的 IP 地址和端口号为固定的 localhost 和 1514 2. 协议协议选择为 UDP 3. 日志格式日志格式选择为亚信安全亚信安全 事件格式事件格式(TMEF) 3.2.2.4 方法四:通过方法四:通过 Syslog Proxy 发送发送 在 TDA 中配置 Proxy,通过 Syslog 发送。 从 TDA 3.8 版本开始,Syslog 增加了 Proxy 功能。如果系统配置了 Prox
10、y,并且该 Proxy支持 socket,则 Syslog 可以通过 Proxy 发送。注意,如果 Proxy 不支持 socket,请使用其他的 4 解决方案。 1. 配置代理服务器设置: 1) 转到“管理管理-系统设置系统设置-代理服务器代理服务器” 2) 勾选使用代理服务器处理特征码、引擎和使用授权更新使用代理服务器处理特征码、引擎和使用授权更新 3) 选择 SOCKS5 作为代理协议代理协议 4) 输入服务器名称或 IP 地址以及端口号 5) 如果代理服务器要求认证,请在代理服务器认证代理服务器认证下输入用户名用户名和密码密码 6) 单击以验证连接设置 7) 如果连接成功,单击 2.
11、在 TDA 上添加系统日志服务器的配置: 1) 输入转接服务器的 IP 地址和端口号为亚信安全提供的参数 2) 协议协议选择为 SSL 3) 日志格式日志格式选择为亚信安全亚信安全 事件格式事件格式(TMEF) 4) 勾选通过代理服务器连接通过代理服务器连接 4. 平台对接方法平台对接方法 DE 项目项目 要求要求 平台是否需要联入公网 否 DE 版本限制 不限 1. 登录 DE 的管理界面,转到“分析和报告分析和报告-日志设置日志设置 -系统日志服务器系统日志服务器” 。 2. 勾选 启用系统日志并将所有日志转发给系统日志服务器启用系统日志并将所有日志转发给系统日志服务器。 3. 输入日志管
12、理平台服务器的 IP 地址和分配给 DE 的端口号(默认为 1515)。 5 5. 平台对接方法平台对接方法 DDEI 项目项目 要求要求 平台是否需要联入公网 否 DDEI 版本限制 不限 1. 登录 DDEI 的管理界面,转到“管理管理-日志设置日志设置” 。 2. 点击添加按钮 3. 勾选 已启用已启用。 4. 输入日志管理平台服务器的 IP 地址和分配给 DDEI 的端口号(默认为 1516)。 5. 选择协议为 UDP,日志格式为 TMEF,范围请勾选全部。 6. 平台对接方法平台对接方法 DS 项目项目 要求要求 6 平台是否需要联入公网 否 DS 版本限制 不限 1. 登录 DS 的管理界面,转到“管理管理-系统设置系统设置-事件转发事件转发” 。 2. 点击新建选项 服务器名称和端口 填写 UAP 平台的 IP 和 DS 的端口。事件格式选择 公用事件格式, 传输选择 UDP。客户端应当转发日志 选择 通过亚信安全服务器深度安全防护系统管理中心 并且保存。 3. SIEM 选择 刚刚配置的即可。 7 7. 平台对接方法平台对接方法 TMCM 项目项目 要求要求 平台是否需要联入公网 否 TMCM 版本限制 7.0+ TMCM 需要通过 Log Forwarder 进行日志传输。请联系 SE 进行帮助。 8
