奇安信天眼_探针/分析平台部署及联动
一 概述
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、流量传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。
一般仅需分析平台,流量传感器(探针)这2台设备配合使用。
也有先锋版天眼,一台设备包括流量传感器和分析平台的功能,不需要额外的联动配置
- 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
告警日志。 - 天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加
密传输给天眼分析平台。
二 探针/分析平台部署及联动
1.网络拓扑
2.配置流量传感器(探针)
(1)登录控制台
- 默认web控制台地址:192.168.0.1(直连MGT口,自己电脑的IP要改为同网段的)
- 远程管理地址:1.1.1.1(需要自己配置)
- 默认账号:admin 默认密码:admin
(2)配置接口
- 管理接口:
eth0口 直连口,本地管理,PC直连设备访问web页
eth1口 远程管理端口(同时也是联动端口) - 监听端口: eth2-eth5口连交接机镜像口
(3)配置默认路由及DNS
- 远程管理口需要做默认路由指向网关
- DNS根据客户要求,选择是否配置内部DNS服务器地址
(4)配置SNMP
端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
注:snmp get UDP 161/snmp trap udp 162
(5)在探针联动分析平台
- 联动分析平台的地址1.1.1.2,端口号7755(固定的)
3.配置分析平台
(1)登录控制台
- 默认web控制台地址:192.168.0.1
- 默认账号:tapadmin 默认密码:admin
(2)配置接口
- 管理端口
eth0口 直连口,本地管理,PC直连设备访问web页
eth1口 远程管理端口(同时也是联动端口)
(3)配置默认路由及DNS
- 远程管理口需要做默认路由指向网关
- DNS根据客户要求,选择是否配置内部DNS服务器地址
(4)配置SNMP
端口号:161
协议服务类型:UDP
版本号:2c
团体字:public
(5)在分析平台联动探针
- 联动探针的地址1.1.1.1
(6)新增采集设备
三 检查
1.部署完成,注意检查传感器和分析平台的联动情况。
- 查看设备连接状态是否正常。
- 若为断开,首先相互ping一下,查看是否能通。
- 不通的话,将传感器和分析平台的管理口直连,查看是否能通,连接状态是否正常。(这样做是排查是否是客户交换机配置问题)
- 若还是显示断开,检查设备配置、排查硬件问题。
(注意:天眼检测联通性,会用到icmp,部分客户网络做策略禁ping,会导致监控状态为断开,但是日志等功能还是正常)
2.注意数据传输加密是否一致
加密算法及密钥不一致,也会导致设备异常
如果没有设置加密,则两边都不要设置。
如果设置了加密,传感器和分析平台加密设置必须一致。
四 其他事项
1.授权导入
新设备,配置完成后需要导入授权,否则设备无法正常运行。
2.部署时需要的信息
需要用户提供,天眼的地址,网关,DNS,以及交换机上提前做好镜像口
3.其他相关文章(奇安信知识库)
如何对接天眼分析平台
https://kb.qianxin.com/detail/95ce749030d
天眼探针往分析平台传数据, 分析平台上没有数据
https://kb.qianxin.com/detail/82775855531