对接SIP的话对接后可以看到控制器的在线离线状态,用户上下线情况。可以在SIP中手动的添加异常终端,并同步到NAC的黑名单中。无法感知用户的终端流量情况。
部署要求:NAC和SIP平台之间需要网络能互通。
同时对接安全感知平台(SIP)和探针设备(STA)后不仅可以看到控制器的在线离线状态,终端上下线情况。还能看到设备和终端的流量情况。SIP检测到终端流量异常时,可以点击响应来将该终端拉入NAC的黑名单中禁用终端所有流量。也可以在SIP中手动的添加异常终端,并同步到NAC的黑名单中。
部署要求:NAC、STA和SIP平台之间需要网络能互通。相关的设备、用户流量需要镜像到STA上进行数据收集。
拓扑结构:
注:具体的SIP和STA配置可以参考下面的用户手册。
1)第一步:登录到STA平台,在向导配置中点击向导进行配置。
2)第二步:在配置向导中配置到连接安全感知平台的步骤的时候填写SIP的IP地址。如果STA的网络和SIP能通信的话STA会直接在接入到SIP上。
3)第三步:此时登录SIP上可以看到STA已经上线。点击STA状态可以跳转到设备管理中查看详细状态。
默认情况下STA使用管理作为通信口。其他接口全部作为镜像区端口,可以连接多台交换机的镜像目的端口。
交换机在做镜像的时候建议将二层的数据镜像到STA上,如果跨了三层之后MAC地址变化后SIP在做分析时就容易出现误差。例如:核心交换机作为网关的话可以将STA接到核心上,并将所有下行接口的流量镜像到STA上。
1)第一步:登录到STA上,点击配置导向进行导向配置。在接口配置中设定管理接口的Ip地址和网关,添加镜像端口。
2)第二步:在定义内网中配置相关的业务和终端区域网段。可以精准识别内网访问关系以及重点分析情况。
3)第三步:此时登录SIP上点击STA状态可以跳转到设备管理中查看详细状态。在设备管理中可以看到STA设的信息中可以看到各项流量数据。
1)第一步:登录SIP,在监控中心点击信锐NAC的状态图标可以跳转到设备管理。
2)第二步:在设备管理中点击新增,填写NAC的IP地址,设备类型选择网络控制器(NAC),自行设定认证账户和认证密码(这个账户密码要和NAC上填写的一致)。此时完成SIP的配置。
3)第三步:登录到NAC的边缘安全页面,在【联动响应】-【安全联动】中新增联动设备。填写SIP的IP地址,以及上述在SIP上设置的账户和密码。点击测试可以测试连通性的情况。
注:NAC3.9.0 H1版本对接深信服态势感知时需要打补丁包。
4)第四步:此时登录SIP上可以看到WAC已经上线。点击WAC状态可以跳转到设备管理中查看详细状态。(WAC对接成功后是看不到传输日志量)
当NAC上有用户上线时(各种认证方式上来的无线用户,以及有线认证上来的用户)可以在边缘安全上打开用户列表查看终端列表情况。在这里看到的用户信息都会同步到SIP上。
登录SIP在【资产中心】-【资产感知】-【资产管理】-【主机资产】中筛选数据来源【信锐NAC】可以看到NAC同步到SIP上的用户信息,可以通过IP和用户名来进行搜索。
注:由于NAC和SIP是每隔10分钟同步以一次信息,所以NAC上的用户信息同步到SIP上会有一定的延迟。
1、手动添加黑名单。
在SIP中的【分析中心】中可以看到各项分析,如发现可疑终端但是并未被判定为需要处置时可以使用手动添加的方式。
登录SIP,在【更多】-【响应工具箱】里的联动响应,点击详情打开联动配置页面。
在联动响应的页面中点击【新增】-选择冻结终端。
输入需要拉黑的终端的MAC地址,选择对应的控制器。点击开始冻结,自定义冻结时长。
SIP上设置好之后SIP会将信息同步到NAC上,在NAC的系统状态中黑名单记录可以查看对应记录。
注:在使用该方法时需要注意如果SIP的用户列表中没有找到用户时无法使用该配置。SIP会提示返回错误。
2、SIP自动分析风险终端
登录SIP在【处置中心】中会显示各视角的安全风险,里面会显示出现风险的终端或服务器。
在自动响应策略中可以设置预设条件匹配上线的控制器针对预设条件可以自动进行联动响应。
