首先,我们要了解什么是TDA(深度威胁发现设备),它是第三代威胁管理解决方案,由亚信安全设计和建构,旨在提供突破性的高级持续威胁(APT)和针对性攻击的可见性、洞察以及控制功能。
深度威胁发现设备可为IT管理员提供关键的安全信息、警报和报告。深度威胁发现设备部署脱机监控模式。它通过连接到交换机的镜像端口来监控网络通信,很少造成或基本不造成网络中断。
功能:
1、检测网络层的恶意行为
2、检测滥用网络资源的应用程序和服务程序
3、基于网络内容检测技术的分析
4、威胁分析和报表功能
5、与趋势科技威胁管理服务整合
TDA安装
安装要求
① 物理机:Dell服务器、120G的磁盘空间、8G以上内存、4核CPU
② 虚拟机:120G的磁盘空间、4核CPU、4G以上内存(4G以上可安装TDA,但安装沙盒需要8G以上内存)
③ 安装包:
④ 补丁包:
⑤ 沙盒OVA:
⑥ 密钥:
安装过程
1、安装TDA3.8
本次TDA是在虚拟机上安装,配置为120G磁盘、4核CPU、4G内存,因此无法安装沙盒。安装TDA的过程比较简单,和安装Linux系统类似。
如果设备的内存有8G以上,可以直接选择“1”进行安装,但是因为设置的虚拟机只有4G内存,因此需先选择“2”取消当前启动系统需求检查,接着再选择“1”进行安装。
安装完成后,输入用户admin的默认密码“admin”登录。
选择“Device Settings”进入IP配置。注意如果你的虚拟机是桥接模式或仅主机模式,TDA的IP要和物理机在统一网段;如果是NAT模式,TDA的IP和网卡VMware Virtual Ethernet Adapter for VMnet8在同一网段。
设置好IP后要选择“Log Off with Saving”进行保存。
之后我们回到物理机,在浏览器上输入https://192.168.1.99(TDA的IP)访问TDA的WEB控制界面,输入默认的admin用户和密码登录。
登录之后第一件事是修改admin的密码。
修改完密码后进入控制台界面。
进入到WEB管理界面后,在管理 > 更新 > 产品更新 > Hotfix/修补程序上传安装补丁。补丁包有1028、1029、1031三个,按顺序安装,没安装完一个TDA会重启一次。
打完补丁后在管理>使用授权输入密钥。
安装沙盒
沙盒平台:
沙盒平台是一个安全的虚拟环境,用于管理和分析亚信安全产品提交的示例。沙盒分析镜像允许观察中立设置(没有任何危害网络的风险)中的文件和网络行为。沙盒平台可执行静态分析和行为模拟,以识别潜在的可疑特性。在分析期间,沙盒平台可在上下文中对特性进行评级,然后根据计算得出的评级为示例分配风险等级。
沙盒平台包括以下功能:
6、威胁执行和评测摘要
7、深度跟踪恶意软件操作和系统影响
8、识别恶意检测以及命令和控制 (C&C) 服务器
9、可导出的 Forensic 报告和 PCAP 文件
10、生成完整的恶意软件情报,实现立即本地防护
在TDA的WEB界面 管理 > 沙盒平台 > 内部沙盒平台 点击镜像,上传沙盒镜像。
之后在管理 > 沙盒平台 > 安装选择“内部”,网络类型选择“管理网络”,进行安装测试。
安装完沙盒之后,在管理 > 更新 > 组件更新 > 手动点击更新,将TDA更新到最新版本。
TDA配置
TDA的配置的根据用户的实际情况进行配置,主要有一下几个配置的地方:
IP配置
在管理 > 系统设置 > 网络根据用户的网路进行配置。
网络组和资产配置
根据用户的实际情况和需求,对网络组、域和服务进行配置。
威胁管理服务门户配置
在管理 > 集成的产品/服务 > 威胁管理服务门户设置接收日志的IP和邮箱,此项设置需要通过邮件向亚信获得认证的用户名和密码。
做完这些配置之后,接上用户的镜像口就可以开始进行检查了。