Threat Discovery Appliance部署流程

 趋势科技威胁发现设备TDA，作为趋势威胁管理解决方案关键的第一步，部署在各个网络层次交换机上执行综合的全面覆盖，通过监控网络层的可疑活动定位恶意程序。TDA集成趋势科技“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁,这是传统的、基于代码比对方式的安全产品所无法办到的。

TDA的安装调试一共有四个步骤，第一是安装TDA产品上架并配置管理地址，管理口连接内网交换机，数据口连接要检查区域的交换机镜像口；第二步是安装vmware程序，打开虚拟机配置TMSP；第三步是配置TDA内的相关参数，测试其连通性，安装内网升级程序。第四步是设置镜像并收集数据，分析日志。

第一步相关解释，了解网络拓扑，决定部署位置,是否允许TDA将日志通过互联网传送到趋势的报告服务器如果允许，需要向MOC事先申请帐号,如果不允许，需要架设内部报表服务器,是否使用了非对称路由如果是，需要监听2个核心数据,防火墙是否有严格的网络访问限制.用串口线连接计算机和TDA设备，或者在管理口登录https://192.168.252.1.

配置管理地址和相关信息，通过http://ip登录进TDA进行相关配置如添加受控网段，注册域，注册服务等。

第二步是配置TMSP，开启服务，输入用户名和密码，首先查看网卡信息，输入setup可以打开可视编辑模式可以配置eth0-eth3网卡地址（*用空格去掉），需要5个IP地址，然后通过vi /sysconfig/network-scripts/ifcfg-eth0信息，重新启动网卡服务，/etc/init.d/network restart ，备份ipsettings.xml文件cd /root/changeip这个位置输入cp ipsettings.xml ipsettings.xml.backup输入vi ipsettings.xml，进行编辑，如果地址正确就不需要编辑，直接：wq保存退出，修改/etc/hosts文件；修改/etc/resolv.conf添加对应DNS服务器信息。如果是内部DNS服务器，请添加内部DNS服务器IP；在：/root/changeip目录下,输入：ant –f changeip.xml。http://<eth0IP>/admin进入到TMSP管理页面，在coustomer list 选择add customer 增加一个账号信息，注意选择paid正式，company公司名称与报表有关系。

第三步是配置相关信息，将新添加的账号增加到TDA中去并测试连通性。在威胁管理服务中，日志发送服务器填写Rsync ip地址，状态信息服务器填写data geteway的ip地址；服务器认证填写刚才建立的账号。如果是TDA不方便内网升级的话，需要在能上网的机器安装一个内网威胁定义升级程序。安装AURS（建议使用IIS作为Web服务器支持），然后打path补丁程序，更换ini文件和写入注册表。

第四步是配置交换机的端口镜像如Cisco6509交换机配置

monitor session 2 source interface Gx/x both 

monitor session 2 destination interface Gy/y

H3C-5100交换机配置

[system]mirroring-group 1 mirroing-port Gx/x Gy/y both

[system]mirroring-group 1 monitor-port Gz/z   //将端口编号为 Gx/x.Gy/y上的双向流量镜像到端口Gz/z上

最后查看TDA内有没有捕获到数据和威胁信息。