网神SecFox安全审计系统用户手册（安全审计486（B607）文档版本V18.3.18●文档信息文档名称网神SecFox安全审计系统用户手册文档版本号V18.3.18扩散范围销售/售前/客服/渠道商/用户作者李娜日期2018/03/18初审人李娜复审人●版本变更记录时间版本说明作者目录目录 (3)1 前言 (6)1.1导言 (6)1.2适用对象 (6)1.3公司地址 (6)2 如何开始 (8)2.1产品概述 (8)2.1.1 产品特点 (8)2.1.2 主要功能 (8)2.1.3 产品价值 (9)2.1.4 产品描述 (9)2.2安装 (10)2.2.1 安装设备 (10)2.2.2 访问设备 (10)3 系统管理平台 (11)3.1监控墙 (11)3.2数据维护 (12)3.2.1 自动备份 (12)3.2.2 数据恢复 (13)3.2.3 磁盘告警 (13)3.2.4 手动清理 (15)3.3状态监控 (15)3.3.1 配置中心 (16)3.3.2 MySQL监控 (16)3.3.3 Oracle监控 (18)3.3.4 sqlserver监控 (19)3.3.5 mongodb监控 (20)3.3.6 redis监控 (21)3.4通知服务 (22)3.4.1 SNMP配置 (22)3.4.2 SYSLOG配置 (24)3.5系统升级 (24)3.6日志管理 (25)3.7系统管理 (25)3.7.1 安全设置 (25)3.7.2 抓包工具 (27)3.7.3 FTP配置 (27)3.8基本配置 (28)3.8.1 证书管理 (28)3.8.2 管理口配置 (29)3.8.4 名称配置 (29)3.8.5 NTP配置 (30)3.8.6 节点配置 (30)3.8.7 邮件服务器配置 (31)3.8.8 短信平台配置 (31)3.8.9 设备维护 (31)3.8.10 出厂设置 (32)4 规则管理平台 (33)4.1监控墙 (33)4.2全局参数设置 (34)4.2.1 审计对象别名 (34)4.2.2 访问者别名 (34)4.2.3 隐秘数据设置 (35)4.2.4 审计控制 (35)4.2.5 通知策略 (37)4.3访问者信息配置 (38)4.3.1 进程配置 (38)4.3.2 驱动级IP过滤 (38)4.3.3 IP监控 (39)4.3.4 规则生效时间 (39)4.4对象设置 (40)4.4.1 子对象 (40)4.4.2 审计对象 (41)4.4.3 通知对象 (42)4.5规则设置 (42)4.5.1 操作类型 (42)4.5.2 组合规则 (43)4.5.3 规则管理 (44)4.5.4 白名单管理 (45)4.5.5 规则组管理 (46)4.5.6 系统语句 (46)5 审计管理平台 (46)5.1监控墙 (47)5.2风险管理 (48)5.2.1 风险查询 (48)5.3态势感知 (50)5.3.1 态势感知 (50)5.3.2 基线设置 (54)5.4审计管理 (54)5.4.1 日常行为查询 (54)5.4.2 白名单管理 (57)5.4.3 事件回放 (57)5.4.5 堡垒机联动 (59)5.5报表管理 (60)5.5.1 服务器分析 (60)5.5.2 源分析 (61)5.5.3 合规报表 (62)5.5.4 自定义报表设置 (64)5.6日志管理 (65)5.6.1 操作日志 (65)5.7系统管理 (66)5.7.1 用户管理 (66)5.7.2 系统状态 (66)1前言1.1导言本手册介绍了网神SecFox安全审计系统（业务审计型）（以下简称SecFox-NBA）的操作及使用，涉及如何进行旁路监听配置，如何使用控制台对业务（数据库\主机\服务）制定审计策略等。

系统采用三权分立的模式，包括三个平台，系统管理员平台、策略管理员平台、审计管理员平台，各平台的功能与职责不同，权限不同，相互监督。

1.2适用对象本手册适用于SecFox-NBA产品使用人员。

包括企业和组织的领导层、企业安全负责人以及安全管理人员、安全分析员和安全运维人员。

通过阅读本文档，系统管理员和审计管理员可以独自完成以下工作：●SecFox-NBA的基本配置●针对企业业务制定审计策略●对数据库、主机的操作行为进行审计●针对业务特性制定告警规则●网络数据综合分析，生成审计报表1.3公司地址全国统一热线服务电话：4008-136-360 （7 ×24 小时）E-mail ：************（5 ×8 小时）网站地址：传真：+86（10）57836303通信地址：北京市朝阳区电子城国际电子总部B座2如何开始2.1产品概述2.1.1产品特点SecFox-NBA产品是网神SecFox 安全审计系统家族中的一员，可通过设计其相关业务策略，实现审计符合业务策略的网络行为、跟踪访问重要数据源的网络行为、阻断不符合业务策略的不法网络行为。

SecFox-NBA产品支持按照企业的业务进行策略设计，通过对网络中繁杂的数据操作进行智能识别和解析，能够对数据库的新增、查询、修改、删除以及相关主机协议、部分应用服务的操作进行保全，并还原操作者的操作轨迹，为管理者提供数据异常、泄露以及篡改提供详细依据，为管理者提供追究责任、进行安全改进提供数据支持，并提供长期趋势分析报表，作为企业安全政策以及网络规划的参考。

2.1.2主要功能本产品涵盖以下几大功能：●审计➢通过对网络行为进行的记录，可用来分析网络状况和确定网络使用者的相关责任的活动。

●策略：根据业务需求，而制定的网络行为分析引擎。

➢产品的核心功能，对网络行为进行采集的分析引擎进行配置，将通过引擎的数据包过滤后，提供给审计功能使用。

➢具有丰富的管理配置功能。

●告警：包含告警规则设置和告警事件的查看功能。

➢告警规则：系统对审计事件之间的关系进行形式化描述。

针对符合策略的事件进行关联分析。

抽取出对于安全管理人员真正有用的安全信息，提供实时告警，从而协助安全管理人员快速识别安全事故。

➢告警事件：查看由告警规则产生的事件。

●报表：包含系统内置报表和自定义报表，能够将业务分析情况以报表的形式提交给指定的部门。

➢内置报表：常见通用报表，例如：基本的合规报表。

➢自定义报表：提供编辑报表模板的功能，利于创建基于公司业务要求的报表。

●系统：对系统内部进行相关的设置，并进行统一的管理。

➢系统配置：配置系统运行参数，包含：服务器配置、备份归档设置以及系统维护等功能。

➢系统维护：对系统的自身的维护信息，包含管理地址、许可导入、时间同步等。

2.1.3产品价值对于业务系统的管理审计人员和高层管理者而言，SecFox-NBA产品能够帮助用户达到以下目标：●数据操作实监控：对所有外部或是内部用户访问数据库和主机的各种操作行为实时监控；●安全预警：对入侵和违规行为进行预警和告警，并能够指导管理员进行应急响应处理；●事后调查取证：对于所有行为能够进行事后查询、取证、调查分析，出具各种审计报表报告。

2.1.4产品描述本产品是一款硬件设备。

本产品采用旁路方式部署到网络中，不影响网络性能。

本产品随着型号的不同，产品形态会有所区别，但至少具有两个网口：一个管理口，一个网络监听口。

2.2安装2.2.1安装设备●设备监听口连接到交换机的镜像口上●设备的管理口连接到网络中。

2.2.2访问设备●设备初始信息：➢IP：10.0.0.1➢MASK：255.255.0.0➢用户名：sysadmin/secadmin/auditadmin➢密码：！1fw@2soc#3vpn●修改初始信息：➢网络中访问设备的地址，在IE地址栏中输入：https://IP，出现登录界面即表示配置成功➢通过ssh客户端登录系统，修改为网络中可访问的地址信息3系统管理平台系统管理平台主要是针对审计系统的整体配置，包括系统配置、数据的备份清理、告警通知服务、日志及用户等的管理。

默认的系统管理员的用户名为sysadmin，密码为！1fw@2soc#3vpn3.1监控墙登录系统，首先进入SecFox-NBA的监控墙主页。

主页分为两大块，左边为导航菜单，中间部分为系统状态（系统实时状态、满足规则的sql语句数量、实时流量状态）●导航菜单：各功能模块及子菜单，详细信息请查看各功能模块描述●系统实时状态：以折线图的方式显示设备CPU使用率和内存使用率。

●显示区域实时流量状况：以柱状图的方式实时显示配置的审计口的流量情况满足规则的sql语句数量：以折线图的方式显示所有审计到的sql数量及满足规则的sql数量3.2数据维护此模块是对审计设备的数据的备份、恢复、清理等的设置。

3.2.1自动备份点击“数据维护”-“自动备份”，打开“自动备份”界面，自动备份主要内容此功能是设置是否开启自动备份，若开启自动备份，需要同时开始FTP上传功能，以及备份的时间、备份的模式、重复周期等的设置。

开启FTP上传功能时，需要在下方系统管理中选择FTP配置，在“FTP服务器设置”窗口，设置FTP 地址、FTP用户名和密码等。

FTP备份服务器的设置备份的内容主要有：名称说明审计记录审计设备审计到的记录日志信息将系统的操作日志和系统日志全部备份配置信息审计设备的所有配置信息备份方式：➢全备份：将所有数据全部一次性备份。

➢增量备份：跟上次相比，增加的部分进行备份。

3.2.2数据恢复点击“数据维护”-“数据恢复”，打开“数据恢复”界面，手动恢复此项功能对已备份并删除的数据，可在此进行恢复。

3.2.3磁盘告警点击“数据维护”-“磁盘告警”，打开“磁盘告警”设置界面，磁盘告警功能界面此功能是在磁盘空间不足的情况下进行告警，并可以设置邮件告知，通知管理员及时处理，也可对数据进行处理保存最近的数据。

3.2.4手动清理点击“数据维护”-“手动清理”，打开“手动清理”界面，手动清理界面此功能是在磁盘空间不足的情况下，对旧风险数据或者可以删除的数据进行手动清理。

3.3状态监控此模块的功能是能够监控MySQL、Oracle、sqlserver、mongodb、redis数据库的流量。

3.3.1配置中心点击“状态监控”-“配置中心”，显示“全局配置”界面。

全局配置此项是针对状态监控的全局配置，包括监控、监控MySQL、监控Mongodb、监控频率、监控Redis、监控Oracle、监控Sqlserver。

3.3.2MySQL监控点击“状态监控”-“配置中心”-“MySQL配置”，打开“添加”界面。

MySQL配置“MySQL配置”可以针对主机、标签查询MySQL配置，也可以选中配置信息进行修改与删除。

添加MySQL配置可以对主机、端口号、用户名、密码、标签、监控（是否开启）进行配置。