问题描述:
流量探针旁挂于核心交换机上,接收核心镜像的流量后,无威胁日志产生,而串联在核心交换机上的ips及出口防火墙却生成了威胁日志,流量探针和ips和防火墙有什么特殊设置吗。
- 2025-04-21提问
- 举报
-
(0)
最佳答案
镜像没问题的话还是配置有问题,给你找个案例看看
https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/LLTZ/CSAP-NTA_WX/Configure/Typical_Configuration_Example/CSAP-NTA_FXTZ_CE/?CHID=955985#
- 2025-04-21回答
- 评论(1)
- 举报
-
(0)
我全都引用默认的策略不行吗,我在防火墙和ips也都是引用默认的策略,探针的配置如下:app-profile 0_IPv4 [04:03:58] ips apply policy ips_default mode protect [04:03:58] data-filter apply policy default [04:03:58] url-filter apply policy url_default [04:03:58] anti-virus apply policy av_default mode protect [04:03:58] waf apply policy default mode protect [04:03:58] apt apply policy default
需要在核心上将流量镜像到探针,然后探针在快速日志中将日志上传到态势感知平台就可以了
- 2025-04-21回答
- 评论(3)
- 举报
-
(0)
快速日志已经设了日志主机为态势感知,主要是探针本身的web界面看不到威胁日志及其他日志生成,安全策略都有命中,而且次数一直在增长,以下为快速日志配置的脚本customlog format session customlog format dpi url-filter [04:03:58] customlog format dpi ips customlog format dpi anti-virus customlog format dpi reputation customlog format dns customlog host 192.168.254.58 export session dpi url-filter ips anti-virus dns customlog timestamp localtime
请大佬帮忙看看是不是哪里有问题呢
探针是否有对应的外发配置呢,探针上安全策略是否有命中纪录在增长啊
- 2025-04-21回答
- 评论(1)
- 举报
-
(0)
安全策略命中的策略一直在增长,但是在探针的web界面是看不到威胁日志的,有配置快速日志发给态势感知,以下为快速日志配置,customlog format session customlog format dpi url-filter [04:03:58] customlog format dpi ips customlog format dpi anti-virus customlog format dpi reputation customlog format dns customlog host 192.168.254.58 export session dpi url-filter ips anti-virus dns customlog timestamp localtime
安全策略命中的策略一直在增长,但是在探针的web界面是看不到威胁日志的,有配置快速日志发给态势感知,以下为快速日志配置,customlog format session customlog format dpi url-filter [04:03:58] customlog format dpi ips customlog format dpi anti-virus customlog format dpi reputation customlog format dns customlog host 192.168.254.58 export session dpi url-filter ips anti-virus dns customlog timestamp localtime
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我全都引用默认的策略不行吗,我在防火墙和ips也都是引用默认的策略,探针的配置如下:app-profile 0_IPv4 [04:03:58] ips apply policy ips_default mode protect [04:03:58] data-filter apply policy default [04:03:58] url-filter apply policy url_default [04:03:58] anti-virus apply policy av_default mode protect [04:03:58] waf apply policy default mode protect [04:03:58] apt apply policy default