组网及说明

安全威胁发现与运营管理平台增强版

问题描述

1、态势感知上产生的安全事件数量很少，但是威胁日志很多

2、已经产生的安全事件中看不到网络取证报文

过程分析

问题1：态势感知上产生的安全事件数量很少，但是威胁日志很多

1、检查态势感知上的的威胁日志存在乱码，这种现场通常与日志源配置的字符集有关，修改字符集为GBK后正常。当威胁日志内容正常显示后，安全事件数量也明显增加。

修改前：

修改后：

问题2：已经产生的安全事件中看不到网络取证报文

1、检查探针配置，IPS配置文件已开启了抓包，同时也配置了捕获报文tftp方式上传，并且探针跟tftp指定的地址之间可达。

2、在探针上抓包，可以看到与指定的服务器地址有tftp正常交互的报文

3、查看产品配置手册，有如下描述：

https://www.h3c.com/cn/d_202204/1580391_30005_0.htm

¡配置上传URL：

-如果上报到CSAP平台集群版，URL配置为：tftp://Cyber4的对外通信地址。（Cyber4为集群版第四台设备）

-如果上报到CSAP平台标准版，URL配置为：tftp://平台的对外通信地址。

4、再次检查探针上指定的TFTP服务器地址，发现用户配置的是态势感知日志采集器的地址，这个地址对应的是cyber5(登陆web的地址对应cyber3)，随后与用户沟通后确认到了正确的cyber4的地址，并修改了探针上上传URL的配置后，态势感知上可以正常看到网络取证报文。

解决方法

1、态势感知的安全事件是安全日志命中平台的规则后产生的，因此如果安全事件产生较少或者没有首先要检查态势感知上安全日志的接收情况，通常探针上送的威胁日志字符集要配置为GBK。

2、为了配合态势感知在安全事件中展示网络取证报文，探针上除了修改IPS配置文件开启抓包动作以外，还需要配置将IPS抓包文件上传给态势感知。态势感知集群版场景上传URL的地址是cyber4的地址，态势感知标准版场景上传URL的地址是平台对外通信的地址