趋势科技威胁发现设备TDA,作为趋势威胁管理解决方案关键的第一步,部署在各个网络层次交换机上执行综合的全面覆盖,通过监控网络层的可疑活动定位恶意程序。TDA集成趋势科技“云安全”技术,可全面支持检测2-7层的恶意威胁,以识别和应对下一代网络威胁,这是传统的、基于代码比对方式的安全产品所无法办到的。

TDA的安装调试一共有四个步骤,第一是安装TDA产品上架并配置管理地址,管理口连接内网交换机,数据口连接要检查区域的交换机镜像口;第二步是安装vmware程序,打开虚拟机配置TMSP;第三步是配置TDA内的相关参数,测试其连通性,安装内网升级程序。第四步是设置镜像并收集数据,分析日志。

第一步相关解释,了解网络拓扑,决定部署位置,是否允许TDA将日志通过互联网传送到趋势的报告服务器如果允许,需要向MOC事先申请帐号,如果不允许,需要架设内部报表服务器,是否使用了非对称路由如果是,需要监听2个核心数据,防火墙是否有严格的网络访问限制.用串口线连接计算机和TDA设备,或者在管理口登录https://192.168.252.1.

Threat Discovery Appliance部署流程_第1张图片

配置管理地址和相关信息,通过http://ip登录进TDA进行相关配置如添加受控网段,注册域,注册服务等。

第二步是配置TMSP,开启服务,输入用户名和密码,首先查看网卡信息,输入setup可以打开可视编辑模式可以配置eth0-eth3网卡地址(*用空格去掉),需要5个IP地址,然后通过vi /sysconfig/network-scripts/ifcfg-eth0信息,重新启动网卡服务,/etc/init.d/network restart ,备份ipsettings.xml文件cd /root/changeip这个位置输入cp ipsettings.xml ipsettings.xml.backup输入vi ipsettings.xml,进行编辑,如果地址正确就不需要编辑,直接:wq保存退出,修改/etc/hosts文件;修改/etc/resolv.conf添加对应DNS服务器信息。如果是内部DNS服务器,请添加内部DNS服务器IP;在:/root/changeip目录下,输入:ant –f changeip.xml。http:///admin进入到TMSP管理页面,在coustomer list 选择add customer 增加一个账号信息,注意选择paid正式,company公司名称与报表有关系。

第三步是配置相关信息,将新添加的账号增加到TDA中去并测试连通性。在威胁管理服务中,日志发送服务器填写Rsync ip地址,状态信息服务器填写data geteway的ip地址;服务器认证填写刚才建立的账号。如果是TDA不方便内网升级的话,需要在能上网的机器安装一个内网威胁定义升级程序。安装AURS(建议使用IIS作为Web服务器支持),然后打path补丁程序,更换ini文件和写入注册表。

第四步是配置交换机的端口镜像如Cisco6509交换机配置

monitor session 2 source interface Gx/x both 

monitor session 2 destination interface Gy/y

H3C-5100交换机配置

[system]mirroring-group 1 mirroing-port Gx/x Gy/y both

[system]mirroring-group 1 monitor-port Gz/z   //将端口编号为 Gx/x.Gy/y上的双向流量镜像到端口Gz/z上

最后查看TDA内有没有捕获到数据和威胁信息。