手把手教你亞信TDA安裝配置
日期:2017-11-27 16:17:51
投稿人:楊錦林
首先�,我們要了解什么是TDA(深度威脅發(fā)現(xiàn)設備)�,它是第三代威脅管理解決方案,由亞信安全設計和建構(gòu)��,旨在提供突破性的高級持續(xù)威脅(APT)和針對性攻擊的可見性�����、洞察以及控制功能�����。
深度威脅發(fā)現(xiàn)設備可為IT管理員提供關(guān)鍵的安全信息����、警報和報告����。深度威脅發(fā)現(xiàn)設備部署脫機監(jiān)控模式。它通過連接到交換機的鏡像端口來監(jiān)控網(wǎng)絡通信�,很少造成或基本不造成網(wǎng)絡中斷。
功能:
1���、檢測網(wǎng)絡層的惡意行為
2、檢測濫用網(wǎng)絡資源的應用程序和服務程序
3�、基于網(wǎng)絡內(nèi)容檢測技術(shù)的分析
4、威脅分析和報表功能
5���、與趨勢科技威脅管理服務整合
TDA安裝
安裝要求
① 物理機:Dell服務器�����、120G的磁盤空間、8G以上內(nèi)存�、4核CPU
② 虛擬機:120G的磁盤空間�、4核CPU��、4G以上內(nèi)存(4G以上可安裝TDA�����,但安裝沙盒需要8G以上內(nèi)存)
③ 安裝包:
④ 補丁包:
⑤ 沙盒OVA:
⑥ 密鑰:
安裝過程
1�����、安裝TDA3.8
本次TDA是在虛擬機上安裝,配置為120G磁盤����、4核CPU���、4G內(nèi)存����,因此無法安裝沙盒�����。安裝TDA的過程比較簡單���,和安裝Linux系統(tǒng)類似�。
如果設備的內(nèi)存有8G以上�,可以直接選擇“1”進行安裝,但是因為設置的虛擬機只有4G內(nèi)存����,因此需先選擇“2”取消當前啟動系統(tǒng)需求檢查�����,接著再選擇“1”進行安裝。
安裝完成后���,輸入用戶admin的默認密碼“admin”登錄��。
選擇“Device Settings”進入IP配置。注意如果你的虛擬機是橋接模式或僅主機模式���,TDA的IP要和物理機在統(tǒng)一網(wǎng)段���;如果是NAT模式����,TDA的IP和網(wǎng)卡VMware Virtual Ethernet Adapter for VMnet8在同一網(wǎng)段���。
設置好IP后要選擇“Log Off with Saving”進行保存�����。
之后我們回到物理機�����,在瀏覽器上輸入https://192.168.1.99(TDA的IP)訪問TDA的WEB控制界面�����,輸入默認的admin用戶和密碼登錄���。
登錄之后第一件事是修改admin的密碼���。
修改完密碼后進入控制臺界面。
進入到WEB管理界面后�,在管理 > 更新 > 產(chǎn)品更新 > Hotfix/修補程序上傳安裝補丁����。補丁包有1028、1029���、1031三個,按順序安裝�,沒安裝完一個TDA會重啟一次。
打完補丁后在管理>使用授權(quán)輸入密鑰�。
安裝沙盒
沙盒平臺:
沙盒平臺是一個安全的虛擬環(huán)境���,用于管理和分析亞信安全產(chǎn)品提交的示例。沙盒分析鏡像允許觀察中立設置(沒有任何危害網(wǎng)絡的風險)中的文件和網(wǎng)絡行為�����。沙盒平臺可執(zhí)行靜態(tài)分析和行為模擬���,以識別潛在的可疑特性�����。在分析期間,沙盒平臺可在上下文中對特性進行評級�,然后根據(jù)計算得出的評級為示例分配風險等級。
沙盒平臺包括以下功能:
6���、威脅執(zhí)行和評測摘要
7�����、深度跟蹤惡意軟件操作和系統(tǒng)影響
8�����、識別惡意檢測以及命令和控制 (C&C) 服務器
9、可導出的 Forensic 報告和 PCAP 文件
10�����、生成完整的惡意軟件情報����,實現(xiàn)立即本地防護
在TDA的WEB界面 管理 > 沙盒平臺 > 內(nèi)部沙盒平臺 點擊鏡像,上傳沙盒鏡像����。
之后在管理 > 沙盒平臺 > 安裝選擇“內(nèi)部”��,網(wǎng)絡類型選擇“管理網(wǎng)絡”���,進行安裝測試���。
安裝完沙盒之后����,在管理 > 更新 > 組件更新 > 手動點擊更新�����,將TDA更新到最新版本�����。
TDA配置
TDA的配置的根據(jù)用戶的實際情況進行配置����,主要有一下幾個配置的地方:
IP配置
在管理 > 系統(tǒng)設置 > 網(wǎng)絡根據(jù)用戶的網(wǎng)路進行配置���。
網(wǎng)絡組和資產(chǎn)配置
根據(jù)用戶的實際情況和需求���,對網(wǎng)絡組��、域和服務進行配置���。
威脅管理服務門戶配置
在管理 > 集成的產(chǎn)品/服務 > 威脅管理服務門戶設置接收日志的IP和郵箱,此項設置需要通過郵件向亞信獲得認證的用戶名和密碼��。
做完這些配置之后�����,接上用戶的鏡像口就可以開始進行檢查了。
