智源智能安全运营平台 WebUI用户手册说明书

智源智能安全运营平台WebUI用户手册VersionV2.0R7TechDocs|

twaredescribedinthisdoctwareofthispublicationmaybereproduced,storedinaretrievalsystem,ortransmittedinanyformoranymeanselectronicormechanical,includingphotocopyingandrecordingforanypurposeotherthanthepurchaser'oneNetworks本文档禁止用于任何商业用途。联系信息北京地址：北京市海淀区宝盛南路1号院20号楼5层邮编：100192苏州地址：苏州高新区科技城景润路181号邮编：215000联系我们：/about/contact_关于本手册本手册介绍山石网科的产品系统的使用方法。获得更多的文档资料，请访问：针对本文档的反馈，请发送邮件到：*************************山石网科:TW-WUG-iSOPV2.0R7-CN-V1.0-Y22M05

目录目录欢迎第1章部署智源典型部署单机部署集群部署软件化部署部署智源平台（单机）部署智源平台（集群）智源平台单机扩展至集群直接部署智源平台集群部署流量探针部署威胁溯源插件部署环境要求部署方式在用户主机上安装威胁溯源插件（单机安装方式）准备工作安装部署步骤步骤一：使用UpdateMsi工具更新安装程序步骤二：运行msi格式安装程序完成安装步骤三：确认进程2828282930TOC-1

卸载威胁溯源插件升级威胁溯源插件在用户主机上安装威胁溯源插件（域安装方式）准备工作使用组策略分配安装威胁溯源插件分配给域用户步骤一：创建组策略对象步骤二：用户配置-编辑组策略部署软件步骤三：将组策略应用到用户组织单位步骤四：强制更新组策略分配给域中的计算机步骤一：创建组策略对象步骤二：计算机配置-编辑组策略部署软件步骤三：将组策略应用到计算机组织单位步骤四：强制更新组策略使用组策略卸载已分发安装的插件使用组策略升级已分发安装的插件部署威胁探针部署山石云鉴软件化部署适用场景产品信息在VMwareESXi上部署软件化智源3233363838383942434344464850505050TOC-2

系统要求和限制部署步骤第一步：访问登录VMwareESXi6.7平台第二步：创建虚拟机第三步：配置智源访问地址以及部署系统第四步：访问智源系统在CentOS7系统终端主机上部署软件化智源系统要求和限制准备工作部署步骤第一步：启用虚拟机管理图形化界面第二步：创建并配置虚拟机第三步：配置智源访问地址以及部署系统第五步：访问智源系统在Windows10系统终端主机上部署软件化智源系统要求和限制部署步骤第一步：启用Hyper-V功能第二步：创建并配置虚拟机第三步：连接并启动虚拟机第四步：配置智源访问地址以及部署系统第五步：访问智源系统集群部署软件化智源55455555555566266666767TOC-3

激活智源系统通过CLI方式激活通过WebUI方式激活第2章态势监控关注态势告警安全总览我的关注资产态势威胁事件监控弱点监控系统状态监控资产态势溯源模式全局溯源溯源结果内部资产外部IP/域名/文件MD5无结果流量监控过滤条件流量趋势源IP活动TOP100TOC-4

目的IP活动TOP10平台总览态势大屏投屏模式自定义配置自定义模块新建自定义模块例：添加看板设置为默认模块多标签页展示第3章威胁分析威胁全部资产查看资产详细信息服务器列表查看服务器详细信息终端终端列表查看终端详细信息主机列表查看主机详细信息用户列表查看用户详细信息业务列表58130131133TOC-5

查看业务详细信息事件列表查看威胁详细信息聚合威胁事件配置聚合威胁事件功能查看聚合威胁事件详细信息清理误报威胁事件日志日志概览Syslog列表NetFlow列表MetaData列表Sysmon列表Linux列表日志搜索可视化展示创建日志可视化看板第4章弱点分析弱点分析导入弱点报告主机弱点弱点报告获取469156164167TOC-6

查看弱点报告获取任务新建弱点报告获取任务弱点扫描任务查看弱点扫描任务新建弱点扫描任务扫描器配置查看扫描器列表添加扫描器弱点分析配置案例组网场景准备工作配置步骤第5章风险管理全部资产风险风险状态总览风险资产查看风险资产详情失陷报告风险报告威胁事件弱点服务器风险风险状态总览976TOC-7

风险服务器查看风险服务器详情失陷报告风险报告威胁事件弱点终端风险风险状态总览风险终端查看风险终端详情失陷报告风险报告威胁事件弱点业务风险风险状态总览风险业务查看风险业务详情第6章事件响应剧本管理查看剧本剧本总览查看剧本列表86217217218TOC-8

查看待响应任务查看中止任务查看剧本响应记录查看剧本详情配置剧本预定义剧本创建剧本配置剧本基础信息配置剧本触发条件配置威胁情报库动作配置判定条件配置网络安全设备动作配置策略配置IP阻断配置主机安全设备动作配置访问控制配置结束进程配置隔离文件配置重启终端配置平台动作创建工单发送邮件联动实体227228229232233236237244246248249251251253255TOC-9

联动实体动作网络安全设备添加网络安全设备实体查看网络安全设备实体策略/IP阻断信息配置策略配置IP阻断主机安全设备添加主机安全设备实体查看主机安全设备实体详情信息配置访问控制配置结束进程配置隔离文件配置重启终端配置阻止非信任USB配置USB白名单威胁情报库添加威胁情报库实体工单管理新建工单查看工单详情第7章报告管理报告总览生成报告2572572592632652682692774275276277278286287287TOC-10

报告任务新建报告任务报告模板自定义报告Logo查看报告模板详情新建自定义报告模板编辑自定义报告模板删除自定义报告模板等保管理等保系统创建等保系统编辑等保系统删除等保系统管理资产创建新资产导入资产下载模板导入资产管理等保流程创建等保流程编辑等保流程定级阶段备案阶段295297299299305305307TOC-11

自查阶段整改阶段等级测评阶段监督检查阶段删除等保流程查看等保系统/流程第8章情报中心热点威胁资讯威胁情报库威胁情报库升级在线升级离线升级自定义威胁情报管理白名单全局白名单查看全局白名单手动添加全局白名单下载全局白名单模板导出全局白名单导入全局白名单DNS类白名单查看DNS类白名单手动添加新域名至DNS类白名单33223324325326326327328TOC-12

下载DNS类白名单模板导出DNS类白名单导入DNS类白名单文件类白名单查看文件类白名单添加文件类白名单下载文件类白名单模板导出文件类白名单导入文件类白名单黑名单查看黑名单添加新情报至黑名单第9章资产管理资产管理资产总览资产列表查看资产详情编辑资产资产配置新建资产新建资产组下载模板导出资产或资产组328329332333333334334335337338338339340353353TOC-13

导入资产或资产组错误提示终端用户状态资产探测新建资产探测任务区域管理新建区域下载模板导出区域导入区域错误提示业务管理新建业务下载模板导出业务导入业务错误提示待入库资产被动发现待入库资产已忽略资产主动探测待入库资产354356357359366366367369373375375375376377377TOC-14

已忽略入库记录待更新资产待更新资产更新记录第10章引擎管理威胁引擎默认引擎编辑默认规则配置保护对象编辑弱密码检测规则关联分析新建自定义规则攻击链引擎默认引擎编辑默认规则关联分析新建自定义规则第11章日志管理日志源管理新建日志源日志解析日志解析配置3783793885385387388388393409411412TOC-15

日志解析配置特征库升级在线升级离线升级新建自定义日志解析配置新建日志解析模板配置日志解析流程配置Grok解析流程配置Key-Value解析流程配置JSON解析流程调整解析流程顺序配置日志标准化查看日志解析配置配置日志解析规则新建自定义日志解析规则查看日志解析规则日志存储管理查看存储空间查看日志备份导入备份日志查看已恢复的日志备份日志备份配置自动备份手动备份44434434434435436436437TOC-16

FTP配置新建FTP服务器查看FTP配置列表日志设备日志服务器新建日志服务器第12章系统设置系统信息查看系统信息权限设置用户配置新建用户删除用户修改用户密码可信主机新建可信主机联系人管理新建联系人系统日志日志的严重等级事件日志操作日志日志设置438438444446446448448448454455457457458459460TOC-17

升级管理系统版本升级安全设置登录策略登录超时用户锁定密码策略配置密码规则开启/关闭新用户强制修改密码配置密码强制修改周期密码过期告警许可证管理许可证展示申请许可证安装许可证通讯配置邮件服务器新建邮件服务器短信网关配置短信网关告警通知告警通知设置查看告警通知规则4662463463463464464465466466466467469469469473TOC-18

编辑自动告警通知规则默认设置关注事件告警规则高危严重事件告警规则编辑自动告警通知规则新建威胁告警通知规则新建系统告警通知规则查看告警通知查看告警通知信息查看许可证过期信息网络管理接口配置编辑接口信息网络配置证据信息管理探针管理流量探针威胁探针级联管理级联设置编辑级联设置下级平台管理上级平台管理475475475477479482486492492493495497497497499499500502503TOC-19

基础配置编辑上级平台信息上报数据配置集群管理安全分析计划启用/禁用安全分析计划人行数据对接数据对接配置开启/关闭人行数据对接功能基础配置上报数据配置数据对接历史恢复出厂设置/退出/重启/关机恢复出厂设置退出登录重启系统关机5515TOC-20

欢迎感谢您选择山石网科产品！以下内容可以帮助您了解如何操作山石网科的产品：新手入门指南l《智源智能安全运营系统新手入门指南》（PDF下载）系统操作手册l《智源安全运营平台WebUI用户手册》（PDF下载）l《智源流量探针WebUI用户手册》（PDF下载）典型案例l《智源智能安全运营系统配置案例手册》（PDF下载）部署手册l《山石网科智源智能安全运营系统部署手册》（PDF下载）硬件安装手册l《智源安全运营平台硬件参考指南》（PDF下载）l《智源流量探针硬件参考指南》（PDF下载）其他支持：l官方网站:手册下载：技术支持：400-828-6655欢迎1

第1章部署智源山石智源智能安全运营系统，是全息数据驱动的AI分析运营系统，由分析平台与丰富的探针共同构成，可为各行业客户提供网络威胁分析、态势呈现与溯源等功能，解决客户监控盲区，潜在安全隐患、运维低效等问题。智源具备全息数据采集的能力，通过多种类型的数据探针采集数据，基于海量网络流量、威胁事件和终端日志等进行智能数据挖掘及分析，呈现全局网络安全及威胁态势，并支持多维度投屏展示、联动响应、工单响应等核心功能，让企业安全运营尽在掌握之中。目前智源支持6种类型的数据源，分别来自于网络设备、流量探针、威胁探针、Linux系统设备、用户主机以及山石云鉴，具体信息如下：l网络设备：将网络设备（如防火墙设备、IDPS设备、WAF设备）的Syslog信息、NetFlow信息发送至智源平台。l流量探针：将网络设备的流量镜像到探针设备，再将解析、分析、提取后的元数据（MetaData）或NetFlow信息发送至智源平台。l威胁探针：威胁探针设备对收到的镜像流量检测、监测以及分析后，再将产生的威胁信息以Syslog日志形式发送至智源平台。lLinux系统设备：将Linux系统的设备产生的日志通过syslog协议发送到智源平台。用户主机：通过威胁溯源插件将采集到的主机进程创建、网络访问、文件操作、注册表修改等相关行为信息（Sysmon）发送至智源平台。ll山石云鉴主机安全管理系统（CloudDis）：将山石云鉴主机安全管理系统的资产信息、风险行为信息以Syslog日志的形式发送至智源平台。典型部署智源的典型部署主要包含智源平台、流量探针、威胁探针、威胁溯源插件、山石云鉴五部分。智源平台的典型部署包含单机部署、集群部署两种方式。单机部署智源平台（单机）、威胁探针和流量探针部署在用户内网环境中，威胁溯源插件部署在用户服务器或终端上以及山石云鉴作为终端部署在内网中。部署完成后，智源平台可以接收来自流量探针、威第1章部署智源2

胁探针、Linux系统设备、网络设备、山石云鉴以及用户服务器和终端的信息（MetaData、Syslog、NetFlow、Linux、Sysmon、威胁信息、资产信息、风险行为信息），从而对全网进行监控和分析。您可以参考以下单机部署场景进行部署。下图中的网络设备以防火墙为例。按照以下步骤进行部署：1."部署智源平台（单机）"在第6页2."部署流量探针"在第25页（可选）3."部署威胁溯源插件"在第27页（可选）4."部署威胁探针"在第46页（可选）5."部署山石云鉴"在第48页（可选）集群部署随着用户数据量的增加，单台智源平台可能无法满足用户的需求。针对这一问题，智源平台支持集群部署，即用户可以部署多台智源平台，进而缓解单台智源平台的数据量压力。3第1章部署智源

当集群中智源平台的数量大于或等于3台时，智源平台集群将默认支持高可靠性（HA），能够在设备产生故障时提供备用方案。当集群中一台智源平台发生故障不可用时，集群中其他智源平台将会继续接收以及处理数据，从而保证数据通信的不间断，有效增强网络的可靠性。参考如下集群部署拓扑图，智源平台（集群）、流量探针和威胁探针部署在用户内网环境中，威胁溯源插件部署在用户服务器和终端上，以及山石云鉴作为终端部署在内网中。集群中所有智源平台都部署在同一个二层网络中，第一台部署的智源平台作为HAMaster，HAMaster会根据其配置的内部IP网段（地址）为其他智源平台分配可用的内部IP地址。部署完成后，HAMaster可以接收所有来自流量探针、威胁探针、Linux系统设备、网络设备、山石云鉴以及用户服务器和终端的信息（MetaData、Syslog、NetFlow、Linux、Sysmon、威胁信息、资产信息、风险行为信息），再将数据信息通过内部IP地址分发给集群中其他智源平台。下图中的网络设备以山石网科防火墙为例。按照以下步骤进行部署：1."部署智源平台（集群）"在第9页2."部署流量探针"在第25页（可选）3."部署威胁溯源插件"在第27页（可选）4."部署威胁探针"在第46页（可选）5."部署山石云鉴"在第48页（可选）第1章部署智源4

软件化部署软件化部署，是指将智源平台作为一个纯软件形态的产品，部署及运行在终端主机、虚拟机上。详细部署方式，请参阅"软件化部署"在第50页。5第1章部署智源

部署智源平台（单机）智源平台接收来自流量探针、威胁探针、Linux系统设备、网络设备、山石云鉴以及用户服务器和终端的信息（MetaData、Syslog、NetFlow、Linux、Sysmon），从而对全网进行监控和分析。您可以参考以下单机部署场景进行部署。部署单机智源平台，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：第1章部署智源6

2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkinternalsegment命令检查系统内部IP地址是否和用户网络中的IP地址冲突。如果不冲突，保持当前系统内部IP地址；如果冲突，输入networkinternalseg-ment--ipsubnet/mask命令配置网段（掩码必须小于24，例如192.168.82.0/23），系统将会自动分配内部IP地址。注意：请确保该步骤在部署智源平台系统之前进行。在系统部署完成后，请尽量不要修改当前系统的内部IP地址。6.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。7第1章部署智源

7.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.4/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。8.配置默认网关，输入以下命令：SG-6000#networkrouteconfig--dst0.0.0.0/0–-gateway10.180.0.1（如使用IPv6类型的IP地址，配置默认网关可使用SG-6000#networkroutev6config--dst::/0–-gatewayX:X:X:X::X）9.（可选）如果有多网段管理需求，则为另一个link状态为true的接口配置IP地址，方法同步骤7。注意：智源平台只能存在一个默认网关，因此为了使多网段网络均能正常通信，应根据实际网络拓扑和需求配置相应的路由，方法同步骤8。10.输入shownetworkipconfig和shownetworkrouteconfig命令检查当前接口和路由配置。11.输入deploystandalone命令并选择系统语言部署智源平台系统。注意：系统语言选定后如需修改，请reset设备并重新部署智源平台系统。12.部署完成后，打开Web浏览器，在地址栏中输入10.180.0.4并按回车键。13.输入默认用户名和密码：hillstone和hillstone，并输入图片中的验证码，然后点击“登录”进入设备的主页。注意:使用默认用户名和密码初次登录后，建议立即修改默认密码。第1章部署智源8

部署智源平台（集群）您可以参考以下集群部署场景进行部署。注意:l目前，集群最多支持部署5台智源平台。l当集群中部署2台智源平台时，则不支持HA功能，且系统版本必须为2.0R1或以上版本。l如需要使用集群的HA功能，请确保集群中智源平台系统版本为2.0R3或以上版本。从低版本升级后，需要重新部署以保证集群HA功能生效。l集群中的所有智源平台信息和软件版本必须保持一致。集群中的智源平台必须部署在同一个二层网络中。确保配置的内部IP地址网段中的IP地址数量超过集群中的设备总数。建议安装万兆板卡，并使用万兆网口进行部署集群。lll智源平台集群部署分为两种场景：9第1章部署智源

l智源平台单机扩展至集群：用户之前已经成功部署单台智源平台，为缓解单台的数据量压力，需要再部署多台智源平台扩展至集群。l直接部署智源平台集群：直接部署多台智源平台，并且组成集群。注意:l部署智源平台集群时，第一台部署的智源平台作为主设备HAMaster，第二、三台部署的智源平台作为Master，第四、五台部署的智源平台作为Slave。l如果用户之前已经成功部署两台或以上智源平台，在扩展至集群时，只有一台智源平台可以作为HAMaster并确保该设备已部署智源平台系统，其他智源平台须先使用reset命令恢复出厂设置后加入集群。智源平台单机扩展至集群根据上述组网图，用户之前已经成功部署单台智源平台，现需要将该设备作为HAMaster，同时需要再部署3台智源平台扩展至集群。部署智源平台Master部署智源平台Master，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：第1章部署智源10

2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、使用SSH方式、用户名为“hill-stone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.5/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.411第1章部署智源

部署智源平台Master部署智源平台Master，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、使用SSH方式、用户名为“hill-stone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.6/24第1章部署智源12

（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.4部署智源平台Slave部署智源平台Slave，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、使用SSH方式、用户名为“hill-stone”，之后与设备建立连接。13第1章部署智源

4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.7/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.4将已部署的智源平台Master、Slave添加到集群将已部署的智源平台Master、Slave添加到集群，按照以下步骤进行操作：1.在PC上运行终端仿真程序，并配置设备IP地址为“10.180.0.4”、使用SSH方式、用户名为“hill-stone”，之后与设备建立连接。2.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。3.输入networkhaipconfig命令配置智源平台集群的虚拟IP地址（VIP），该VIP地址用于对外提供服务，输入以下命令：SG-6000#networkhaipconfig--ip10.180.0.10Confignetworkhaipsuccess（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkhaipv6config--ipv6X:X:X:X::X）注意：请确保该VIP地址与交换机在同一个网段。4.输入clusteraddnode命令分别指定各智源平台Master、Slave的地址，将所有智源平台Master、Slave加入集群中。添加Master：SG-6000#clusteraddnode--ip10.180.0.5Starttoadd10.180.success第1章部署智源14

successaddnodesuccessfully添加Master：SG-6000#clusteraddnode--ip10.180.0.6Starttoadd10.180.successaddnodesuccessfully添加Slave：SG-6000#clusteraddnode--ip10.180.0.7Starttoadd10.180.successaddnodesuccessfully5.提示成功后，完成智源平台集群的部署。智源平台集群即可通过VIP地址对外提供服务。6.输入shownetworkhaipconfig命令查看智源平台集群的VIP信息。SG-6000#shownetworkhaipconfig============================================15第1章部署智源

managervipinternalvip----------------------------------------------------------------10.180.0.10192.168.53.222----------------------------------------------------------------7.输入showcluster命令查看智源平台集群概要信息，包括集群运行状态、各个智源平台详细信息等。SG-6000#showcluster==================================================================-=======roleipsnstatuscpu(%)memory(%)disk(%)version-----------------------------------------------------------------------------------------------------------------------------hamaster10.180.0.4419135059active25.5%23.4%0.3%V2.0R3master10.180.0.5419135060active19.0%19.2%0.3%V2.0R3master10.180.0.6419135061active20.9%20.1%0.3%V2.0R3slave10.180.0.7419135062active22.8%24.2%0.3%V2.0R3------------------------------------------------------------------------------------------------------------------------------8.部署完成后，打开Web浏览器，在地址栏中输入10.180.0.10（即VIP地址）并按回车键。9.输入默认用户名和密码：hillstone和hillstone，并输入图片中的验证码，然后点击“登录”进入设备的主页。直接部署智源平台集群根据上述组网图，直接部署4台智源平台，并且组成智源平台集群。配置智源平台HAMaster外部IP地址并部署系统配置智源平台HAMaster外部IP地址并部署系统，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：第1章部署智源16

2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkinternalsegment命令检查系统内部IP地址是否和用户网络中的IP地址冲突。如果不冲突，保持当前系统内部IP地址；如果冲突，输入networkinternalseg-ment--ipsubnet/mask命令配置网段(掩码必须小于24，例如192.168.82.0/23)，系统将会自动分配内部IP地址。注意：请确保该步骤在部署智源平台系统之前进行。在系统部署完成后，请尽量不要修改当前系统的内部IP地址。6.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。17第1章部署智源

7.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.4/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。8.配置默认网关，输入以下命令：SG-6000#networkrouteconfig--dst0.0.0.0/0–-gateway10.180.0.1（如使用IPv6类型的IP地址，配置默认网关可使用SG-6000#networkroutev6config--dst::/0–-gatewayX:X:X:X::X）9.（可选）如果有多网段管理需求，则为另一个link状态为true的接口配置IP地址，方法同步骤7。注意：智源平台只能存在一个默认网关，因此为了使多网段网络均能正常通信，应根据实际网络拓扑和需求配置相应的路由，方法同步骤8。10.输入shownetworkipconfig和shownetworkrouteconfig命令检查当前接口和路由配置。11.输入deploystandalone命令并选择系统语言部署智源平台系统。注意：系统语言选定后如需修改，请reset设备并重新部署智源平台系统。部署智源平台Master部署智源平台Master，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：第1章部署智源18

2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.5/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.419第1章部署智源

部署智源平台Master部署智源平台Master，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.6/24第1章部署智源20

（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.4部署智源平台Slave部署智源平台Slave，按照以下步骤进行操作：1.将PC的IP地址设置为与192.168.0.1/24同网段的IP地址，在PC的本地连接属性中，设置Internet协议版本4（TCP/IPv4）如下：2.用网线将PC与设备的eth0接口进行连接。3.在PC上运行终端仿真程序，并配置设备IP地址为“192.168.0.1”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。21第1章部署智源

4.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。5.输入shownetworkipconfig命令查看link状态为true的接口（link状态为true表示该接口已插入网线，本示例为eth0接口状态为true）。6.为eth0接口配置IP地址，输入以下命令：SG-6000#networkipconfig--interfaceeth0--ip10.180.0.7/24（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkipv6config--inter-faceeth0--ipv6X:X:X:X::X/ipv6-prefix）。7.输入shownetworkipconfig命令检查当前接口配置。8.输入clustermaster命令指定作为HAMaster的智源平台IP地址。SG-6000#clustermaster--ip10.180.0.4将已部署的智源平台Master、Slave添加到集群将已部署的智源平台Master、Slave添加到集群，按照以下步骤进行操作：1.在PC上运行终端仿真程序，并配置设备IP地址为“10.180.0.4”、SSH版本为“SSH2”、用户名为“hillstone”，之后与设备建立连接。2.与设备建立连接后，在弹出的对话框中输入密码“hillstone”，敲回车键，进入CLI配置界面。3.输入networkhaipconfig命令配置智源平台集群的虚拟IP地址（VIP），该VIP地址用于对外提供服务，输入以下命令：SG-6000#networkhaipconfig--ip10.180.0.10Confignetworkhaipsuccess（如智源平台为IPv6类型的IP地址，可使用SG-6000#networkhaipv6config--ipv6X:X:X:X::X）注意：请确保该VIP地址与交换机在同一个网段。4.输入clusteraddnode命令分别指定各智源平台Master、Slave的地址，将所有智源平台Master、Slave加入集群中。添加Master：SG-6000#clusteraddnode--ip10.180.0.5Starttoadd10.180.success第1章部署智源22

successaddnodesuccessfully添加Master：SG-6000#clusteraddnode--ip10.180.0.6Starttoadd10.180.successaddnodesuccessfully添加Slave：SG-6000#clusteraddnode--ip10.180.0.7Starttoadd10.180.successaddnodesuccessfully5.提示成功后，完成智源平台集群的部署。智源平台集群即可通过VIP地址对外提供服务。6.输入shownetworkhaipconfig命令查看智源平台集群的VIP信息。SG-6000#shownetworkhaipconfig============================================23第1章部署智源

managervipinternalvip----------------------------------------------------------------10.180.0.10192.168.53.222----------------------------------------------------------------7.输入showcluster命令查看智源平台集群概要信息，包括集群运行状态、各个智源平台详细信息等。SG-6000#showcluster==================================================================-=======roleipsnstatuscpu(%)memory(%)disk(%)version-----------------------------------------------------------------------------------------------------------------------------hamaster10.180.0.4419135059active25.5%23.4%0.3%V2.0R3master10.180.0.5419135060active19.0%19.2%0.3%V2.0R3master10.180.0.6419135061active20.9%20.1%0.3%V2.0R3slave10.180.0.7419135062active22.8%24.2%0.3%V2.0R3------------------------------------------------------------------------------------------------------------------------------8.部署完成后，打开Web浏览器，在地址栏中输入10.180.0.10（即VIP地址）并按回车键。9.输入默认用户名和密码：hillstone和hillstone，并输入图片中的验证码，然后点击“登录”进入设备的主页。注意:使用默认用户名和密码初次登录后，建议立即修改默认密码。第1章部署智源24

部署流量探针流量探针采集网络设备的镜像流量，并将解析、分析、提取后的元数据（MetaData）或者NetFlow信息发送至智源平台。用户可根据需求选择是否部署流量探针。部署流量探针，按照以下步骤进行操作：1.通过访问内网接口MGT接口的默认IP地址192.168.1.1/24，登录流量探针的WebUI管理界面。2.选择“系统设置>管理口配置”，配置MGT接口的IP地址与交换机在同一个网段。3.选择“系统状态>智源平台”，点击“编辑”按钮，配置智源平台的IP地址为10.180.0.4（单机部署时）或者配置为智源平台集群的VIP地址10.180.0.10。4.配置交换机，将流量镜像到流量探针的eth0/2接口上。流量探针处理镜像流量后，将其发送到智源平台。25第1章部署智源

5.（可选步骤）如需要将流量探针收到的镜像流量转发到其他设备，可以通过配置以下命令完成镜像流量转发功能：l配置镜像流量转发：mirrorinterface-nametointerface-name取消镜像流量转发配置：nomirrorinterface-nametointerface-name查看流量探针各接口状态信息：showinterface查看镜像流量转发配置信息：showmirrorlll注意:l镜像流量转发功能仅支持通过CLI方式配置。第1章部署智源26

部署威胁溯源插件将威胁溯源插件安装部署在内网的用户主机上，即可采集终端的进程创建、网络访问、文件操作、注册表修改等相关行为信息，智源平台收集并展示采集到的用户主机系统的相关信息，从而实现威胁事件的溯源功能。用户可根据需求选择是否部署威胁溯源插件。部署环境要求部署威胁溯源插件，对用户主机的环境要求，包括以下2个方面：l用户主机系统要求：l使用Windows7/Windowsserver2008R2及以上版本l内存要求1GB以上l硬盘要求20GB以上l具备以太网兼容网卡并支持TCP/IP协议l网络环境要求：确保用户主机与智源平台之间网络可达部署方式用户可以通过两种方式安装部署：l"在用户主机上安装威胁溯源插件（单机安装方式）"在第28页l"在用户主机上安装威胁溯源插件（域安装方式）"在第31页27第1章部署智源