奇安信天眼系统——探针/分析平台部署及联动

一 概述

奇安信天眼主要包括威胁情报（软件）、分析平台（硬件）、传感器（硬件）和文件威胁鉴定器（硬件）四个模块组成。

一般仅需分析平台，流量传感器（探针）这2台设备配合使用。

1. 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
   告警日志。
2. 天眼传感器主要负责对网络流量的镜像流量进行采集并还原，还原后的流量日志会加
   密传输给天眼分析平台。

二 探针/分析平台部署及联动

1.网络拓扑

2.配置流量传感器（探针）

(1)登录控制台

1. 默认web控制台地址：192.168.0.1（直连MGT口,自己电脑的IP要改为同网段的）
2. 远程管理地址：1.1.1.1（需要自己配置）
3. 默认账号：admin 默认密码：admin

(2)配置接口

1. 管理接口： eth0口远程管理端口(同时也是联动端口) ····eth1口连分析平台（用做联动后传输数据）
2. 监听端口： eth2-eth5口连交接机镜像口

(3)配置默认路由及DNS

1. 远程管理口需要做默认路由指向网关
2. DNS根据客户要求，选择是否配置内部DNS服务器地址

(4)配置SNMP

端口号：161
协议服务类型：UDP
版本号：2c
团体字：public
注：snmp get UDP 161/snmp trap udp 162

(5)在探针联动分析平台

1. 联动分析平台的地址1.1.1.2，端口号7755（固定的）

3.配置分析平台

(1)登录控制台

1. 默认web控制台地址：192.168.0.1
2. 默认账号：tapadmin 默认密码：admin

(2)配置接口

1. eth0口远程管理口(同时也是联动端口)
2. eth1口连探针（用做联动后传输数据）

(3)配置默认路由及DNS

1. 远程管理口需要做默认路由指向网关
2. DNS根据客户要求，选择是否配置内部DNS服务器地址

(4)配置SNMP

端口号：161
协议服务类型：UDP
版本号：2c
团体字：public

(5)在分析平台联动探针

1. 联动探针的地址1.1.1.1

(6)新增采集设备

三 其他

1.授权导入

新设备，配置完成后需要导入授权，否则设备无法正常运行。

2.部署时需要的信息

需要用户提供，天眼的地址，网关，DNS，以及交换机上提前做好镜像口