網絡安全態勢感知采集裝置
網絡安全態勢感知采集裝置,指部署在局域網網絡內部,對網絡安全數據進行采集、分析處理并與主站系統通信的裝置。
網絡安全態勢感知采集裝置支持被監視設備的日志信息和通信流信息采集,其中:日志信息通過SNMP、SNMP Trap 、Syslog、網絡主動掃描方式采集,通信流信息通過流量嗅探方式采集,各被監視設備的采集數據如下所示:
1)通用主機的采集數據應包括日志信息;
2)網絡設備的采集數據應包括日志信息、通信流信息;
3)安全設備的采集數據應包括日志信息。
網絡安全態勢感知采集裝置采集信息內容如下:
通用主機采集信息表
序號 | 采集內容 | 采集頻率 | 采集方式 | 備注 |
1 | 登錄成功 | 觸發 | Agent | 選配 |
2 | 登錄失敗 | 觸發 | Agent | 選配 |
3 | 退出登錄 | 觸發 | Agent | 選配 |
4 | 關鍵文件變更 | 周期(5分鐘) | Agent | 選配 |
5 | USB設備插入 | 觸發 | Agent | 選配 |
6 | USB設備拔出 | 觸發 | Agent | 選配 |
7 | CPU利用率 | 周期(5分鐘) | SNMP |
|
8 | 內存利用率 | 周期(5分鐘) | SNMP |
|
9 | 磁盤使用率 | 周期(5分鐘) | SNMP |
|
10 | 網口狀態 | 觸發或周期(5分鐘) | SNMP或SNMP Trap |
|
11 | 在線狀態 | 周期(5分鐘) | snmp |
|
網絡設備-交換機采集信息表
序號 | 采集內容 | 采集頻率 | 采集方式 | 備注 |
|---|---|---|---|---|
1 | 登錄成功 | 觸發 | Syslog或SNMP Trap |
|
2 | 登錄失敗 | 觸發 | Syslog或SNMP Trap |
|
3 | 退出登錄 | 觸發 | Syslog或SNMP Trap |
|
4 | 修改配置 | 觸發 | Syslog或SNMP Trap |
|
5 | 網口狀態 | 觸發 | Syslog或SNMP Trap |
|
6 | CPU利用率 | 周期(5分鐘) | SNMP |
|
7 | 內存利用率 | 周期(5分鐘) | SNMP |
|
8 | DPI信息 | 觸發 | 流量嗅探 |
|
9 | DFI信息 | 觸發 | 流量嗅探 |
|
10 | 原始報文 | 觸發 | 流量嗅探 |
|
11 | 在線狀態 | 周期(5分鐘) | Syslog |
|
安全設備-網絡安防設備采集信息表
序號 | 采集內容 | 采集頻率 | 采集方式 | 備注 |
|---|---|---|---|---|
1 | 登錄成功 | 觸發 | Syslog |
|
2 | 登錄失敗 | 觸發 | Syslog |
|
3 | 退出登錄 | 觸發 | Syslog |
|
4 | 修改配置 | 觸發 | Syslog |
|
5 | CPU利用率 | 周期(5分鐘)/觸發 | SNMP或Syslog |
|
6 | 內存利用率 | 周期(5分鐘)/觸發 | SNMP或Syslog |
|
7 | 網口狀態 | 觸發/周期(5分鐘) | Syslog或SNMP |
|
8 | 不符合安全策略的訪問 | 觸發 | Syslog |
|
9 | 攻擊告警 | 觸發 | Syslog |
|
10 | 在線狀態 | 周期(5分鐘) | ICMP |
|
11 | 設備信息(IP、MAC) | 周期(15分鐘) | 網絡主動掃描 |
|
12 | 設備信息(開放端口) | 周期(24小時) | 網絡主動掃描 |
|
13 | 操作系統版本 | 周期(24小時) | 網絡主動掃描 |
|
