360天眼威脅分析平臺上線指導

互聯(lián)網(wǎng)安全中心360天眼-新一代未知威脅感知系統(tǒng)分析平臺上線指導Version1.1目錄1. 系統(tǒng)概述 32. 產(chǎn)品形態(tài) 33. 系統(tǒng)基本配置 43.1. 接口與IP 43.2. 連接方式 43.3. 網(wǎng)絡配置-分析平臺 53.4. 網(wǎng)絡配置-分析平臺拓展節(jié)點 63.5. 傳感器聯(lián)動配置 64. 部署需求 74.1. 機架空間 74.2. 設備連接互聯(lián)網(wǎng)（建議） 75. 典型部署 75.1. 場景一：單臺部署 75.2. 場景二：集群部署 85.3. 場景三：集群部署-傳感器日志發(fā)送給拓展節(jié)點 96. 天擎聯(lián)動 11

系統(tǒng)概述天眼新一代威脅感知系統(tǒng)TSS：ThreatSensitiveSystem（以下簡稱：天眼）是奇虎360面向下一代未知威脅的精確檢測系統(tǒng)，通過動態(tài)行為檢測、靜態(tài)模式匹配、半動態(tài)行為分析、大數(shù)據(jù)分析等多項技術(shù)實現(xiàn)對APT攻擊、0day漏洞利用攻擊的精確檢測與回溯。產(chǎn)品形態(tài)威脅分析平臺：可對傳感器發(fā)送過來的日志信息進行安全分析，發(fā)現(xiàn)網(wǎng)絡流量中的可疑行為。分析平臺前面板：分析平臺接口面板：系統(tǒng)基本配置接口與IP分析平臺在使用時，需要明確3個IP地址管理IP：用于通過web對分析平臺進行管理ESIP：ES綁定的IP地址，該地址主要用于ES集群之間的相互通信日志接收IP：用于接收傳感器發(fā)送日志的IP地址。可以使用分析平臺所有接口上的任意IP地址，只要與傳感器地址可達即可。三個地址之間并不需要進行嚴格區(qū)分，可以共用同一接口地址，也可以分別配置在不同的接口上。接口分析平臺上的4個接口并沒有功能區(qū)分，任意一個接口都可以用來配置管理IP或者ESIP，也可以用來與傳感器聯(lián)動。網(wǎng)卡順序與硬件的對應關系如下圖：連接方式使用網(wǎng)線將PC的網(wǎng)口與傳感器的管理口eth0直連，在PC上使用360安全瀏覽器極速模式，在地址欄中輸入“https://”并回車（請注意，該地址是以https開頭，而非http），然后出現(xiàn)如下界面：威脅分析平臺默認用戶名/密碼為：admin/admin。輸入正確的用戶名、密碼及驗證碼，點擊“登錄”按鈕即可進入分析平臺web管理頁面。首次登錄會提示強制修改密碼（建議更改為密碼強度高，方便記憶的密碼）。網(wǎng)絡配置-分析平臺接口及路由配置通過eth0口登錄到設備管理頁面后，點擊頁面右上角的配置圖標，即可看到網(wǎng)絡配置頁面。在此頁面可進行接口IP以及路由的修改。進行路由管理時，將目標網(wǎng)絡/掩碼改為/0，即可添加一條默認路由。DNS配置系統(tǒng)默認使用DNS地址為14，若想使用在線升級，請確保在分析平臺上配置可用的DNS地址。ES配置在網(wǎng)絡配置頁面，配置ES前，請選好ES要綁定的IP，然后點擊初始化按鈕。時間同步分析平臺使用在線升級時，若分析平臺本地時間與服務器時間相差5min以上，那么會禁止升級。所以建議用戶在使用在線升級功能時，開啟時間同步功能。網(wǎng)絡配置-拓展節(jié)點接口/路由/DNS配置使用默認地址登錄到分析平臺拓展節(jié)點的管理頁面后，點擊左側(cè)導航欄的網(wǎng)絡管理，即可跳轉(zhuǎn)到網(wǎng)絡配置頁面。在這里可以修改接口地址，配置路由，DNS以及ES信息。ES配置客戶端：用于指定拓展節(jié)點中，ES使用那個IP地址進行通信中心節(jié)點：用于指定ES集群的中心節(jié)點IP，此處應該填寫分析平臺ES所綁定的IP。配置好客戶端及中心幾點之后，點擊保存，即可將拓展節(jié)點加入到集群中。傳感器聯(lián)動配置將傳感器策略配置中的分析平臺IP改為分析平臺或拓展節(jié)點上的任意IP地址，只要確保傳感器和的配置的ip地址可達，即可完成聯(lián)動配置。默認的分析平臺地址為，修改為部署的分析平臺IP或拓展節(jié)點地址，點擊保存即可。部署需求機架空間一套360天眼系統(tǒng)至少包括2臺2U設備（分析平臺+傳感器），需要機架預留4U的空間（尺寸：高88mmx寬430mmx深660mm），并提供托盤。集群部署情況下需要更大的空間。設備連接互聯(lián)網(wǎng)（建議）連接互聯(lián)網(wǎng)后，分中心可以實時從360的云服務器上下載最新的威脅情報信息，達到實時更新的效果，為您提供最準確/最實時/最全面的保護。為了能夠在線升級，建議將分析平臺管理IP連接互聯(lián)網(wǎng)，能夠通過80端口訪問#（當然也需要能解析#域名）。典型部署場景一：單臺部署場景描述兩臺傳感器，分別監(jiān)控不同的網(wǎng)絡流量，將日志發(fā)送給分析平臺。分析平臺使用單臺部署。Ip地址配置如下：分析平臺IP配置Web管理IPeth0:ES綁定IPeth0:與傳感器聯(lián)動IPeth0:傳感器IP配置1Web管理IPeth0:分析平臺IP傳感器IP配置2Web管理IPeth0:分析平臺IP拓撲圖配置過程修改分析平臺eth0的IP在網(wǎng)絡配置中，ESIP配置選擇eth0上的IP，并點擊初始化傳感器上，將分析平臺的IP配置為1中分析平臺的IP場景二：集群部署場景描述由一個分析平臺和2個分析平臺拓展節(jié)點組成ES集群，兩臺傳感器將日志發(fā)送給集群中的主節(jié)點。分析平臺eth0口配置公網(wǎng)IP作為管理口，eth1用來接收傳感器日志，eth2配置內(nèi)網(wǎng)IP用來綁定ES與集群之間的通信，IP配置如下：分析平臺IP配置Web管理IPeth0:x.x.x.xES綁定IPeth2:與傳感器聯(lián)動IPeth1:分析平臺拓展節(jié)點1Web管理IPeth0:ES客戶端IPeth0:中心節(jié)點IPeth0:分析平臺拓展節(jié)點2Web管理IPeth0:ES客戶端IPeth0:中心節(jié)點IPeth0:傳感器1Web管理IPeth0:分析平臺IP傳感器2Web管理IPeth0:分析平臺IP拓撲圖配置步驟分別配置分析平臺的三個接口IP，并將ES綁定在eth2上，初始化ES配置分析平臺拓展節(jié)點接口IP，ES客戶端IP選擇eth0口地址，中心節(jié)點IP填寫1中分析平臺ES綁定的IP地址。點擊保存。在傳感器上，將分析平臺的IP地址配置為分析平臺eth1口地址。場景三：集群部署-傳感器日志發(fā)送給拓展節(jié)點場景描述如果有多臺傳感器同時產(chǎn)生日志并發(fā)送給集群，在日志量比較大的情況下，建議將傳感器的日志分別發(fā)送給集群中不同的節(jié)點，這樣可以達到負載均衡，提升集群對日志的接收能力。由一個分析平臺和2個分析平臺拓展節(jié)點組成ES集群，一臺傳感器將日志發(fā)送給分析平臺，另外一臺傳感器將日志發(fā)送給分析平臺拓展節(jié)點。分析平臺eth0口配置公網(wǎng)IP作為管理口，eth1用來接收傳感器日志，eth2配置內(nèi)網(wǎng)IP用來綁定ES與集群之間的通信；拓展節(jié)點1的eth0用來綁定ES與集群進行通信，eth1用來接收傳感器日志。IP配置如下：分析平臺IP配置Web管理IPeth0:x.x.x.xES綁定IPeth2:與傳感器聯(lián)動IPeth1:分析平臺拓展節(jié)點1Web管理IPeth0:ES客戶端IPeth0:中心節(jié)點IPeth0:與傳感器聯(lián)動IPeth1:分析平臺拓展節(jié)點2Web管理IPeth0:ES客戶端IPeth0:中心節(jié)點IPeth0:傳感器1Web管理IPeth0:分析平臺IP傳感器2Web管理IPeth0:分析平臺IP拓撲圖配置步驟分別配置分析平臺的三個接口IP，并將ES綁定在eth2上，初始化ES配置分析平臺拓展節(jié)點接口IP，ES客戶端IP選擇eth0口地址，中心節(jié)點IP填寫1中分析平臺ES綁定的IP地址。點擊保存。在傳感器1上，將分析平臺的IP地址配置為分析平臺eth1口地址。在傳感器2上，將分析平臺的IP地址配置為拓展節(jié)點1的eth1口地址。天擎聯(lián)動分析平臺版本開始支持接收天擎終端產(chǎn)生的日志，天擎的日志采集器可以將日志發(fā)送給分析平臺或者是拓展節(jié)點。在開啟天擎聯(lián)動功能前，需要手動登錄到分析平臺的后臺，修改iptables，開放redis6379端口。然后修改天擎日志采集器的配置文件，將日志發(fā)送給分析平臺。配置步驟如下：登錄到分析平臺的后臺，假設天擎采集器的ip地址為，修改/etc/sysconfig/iptables文件，針對天擎的ip地址開放6379端口。注：請注意添加注：請注意添加iptables的位置，可以添加在22端口策略前面。且一定要明確天擎采集器的ip地址，不能使用任意地址，否則會引入嚴重安全問題。修改成功后，執(zhí)行serviceiptablesrestart，然后通過iptables-L查看iptables的6379端口是否已對外開放。配置天擎采集器在天擎采集器