公司动态 行业动态 安全通告

手把手教你亚信TDA安装配置

日期:2017-11-27 16:17:51 投稿人:杨锦林

首先,我们要了解什么是TDA(深度威胁发现设备),它是第三代威胁管理解决方案,由亚信安全设计和建构,旨在提供突破性的高级持续威胁(APT)和针对性攻击的可见性、洞察以及控制功能。

深度威胁发现设备可为IT管理员提供关键的安全信息、警报和报告。深度威胁发现设备部署脱机监控模式。它通过连接到交换机的镜像端口来监控网络通信,很少造成或基本不造成网络中断。

功能:

1、检测网络层的恶意行为

2、检测滥用网络资源的应用程序和服务程序

3、基于网络内容检测技术的分析

4、威胁分析和报表功能

5、与趋势科技威胁管理服务整合

TDA安装

安装要求

① 物理机:Dell服务器、120G的磁盘空间、8G以上内存、4核CPU

② 虚拟机:120G的磁盘空间、4核CPU、4G以上内存(4G以上可安装TDA,但安装沙盒需要8G以上内存)

③ 安装包:

图片10.png

④ 补丁包:

图片11.png

图片12.png

图片13.png

⑤ 沙盒OVA:

图片14.png

⑥ 密钥:

图片15.png

安装过程

  1、安装TDA3.8

  本次TDA是在虚拟机上安装,配置为120G磁盘、4核CPU、4G内存,因此无法安装沙盒。安装TDA的过程比较简单,和安装Linux系统类似。

1511774599693112.png

如果设备的内存有8G以上,可以直接选择“1”进行安装,但是因为设置的虚拟机只有4G内存,因此需先选择“2”取消当前启动系统需求检查,接着再选择“1”进行安装。

1511774647791397.png

安装完成后,输入用户admin的默认密码“admin”登录。

1511774693277641.png

选择“Device Settings”进入IP配置。注意如果你的虚拟机是桥接模式或仅主机模式,TDA的IP要和物理机在统一网段;如果是NAT模式,TDA的IP和网卡VMware Virtual Ethernet Adapter for VMnet8在同一网段。

1511774755627016.png

1511774780937920.png

设置好IP后要选择“Log Off with Saving”进行保存。

1511774822749183.png

之后我们回到物理机,在浏览器上输入https://192.168.1.99(TDA的IP)访问TDA的WEB控制界面,输入默认的admin用户和密码登录。

 

1511791281520942.png

登录之后第一件事是修改admin的密码。

1511791333492713.png

修改完密码后进入控制台界面。

1511791379928970.png

进入到WEB管理界面后,在管理 > 更新 > 产品更新 > Hotfix/修补程序上传安装补丁。补丁包有1028、1029、1031三个,按顺序安装,没安装完一个TDA会重启一次。

1511791467277339.png

1511791515286161.png

打完补丁后在管理>使用授权输入密钥。

1511791602663248.png

安装沙盒

沙盒平台:

沙盒平台是一个安全的虚拟环境,用于管理和分析亚信安全产品提交的示例。沙盒分析镜像允许观察中立设置(没有任何危害网络的风险)中的文件和网络行为。沙盒平台可执行静态分析和行为模拟,以识别潜在的可疑特性。在分析期间,沙盒平台可在上下文中对特性进行评级,然后根据计算得出的评级为示例分配风险等级。

  沙盒平台包括以下功能:

6、威胁执行和评测摘要

7、深度跟踪恶意软件操作和系统影响

8、识别恶意检测以及命令和控制 (C&C) 服务器

9、可导出的 Forensic 报告和 PCAP 文件

10、生成完整的恶意软件情报,实现立即本地防护

在TDA的WEB界面 管理 > 沙盒平台 > 内部沙盒平台 点击镜像,上传沙盒镜像。

1511791798166274.png

之后在管理 > 沙盒平台 > 安装选择“内部”,网络类型选择“管理网络”,进行安装测试。

安装完沙盒之后,在管理 > 更新 > 组件更新 > 手动点击更新,将TDA更新到最新版本。

TDA配置

TDA的配置的根据用户的实际情况进行配置,主要有一下几个配置的地方:

IP配置

在管理 > 系统设置 > 网络根据用户的网路进行配置。

1511791913385005.png

网络组和资产配置

根据用户的实际情况和需求,对网络组、域和服务进行配置。

1511791984954617.png

1511792044111133.png

1511792070348213.png

威胁管理服务门户配置

在管理 > 集成的产品/服务 > 威胁管理服务门户设置接收日志的IP和邮箱,此项设置需要通过邮件向亚信获得认证的用户名和密码。

1511792166407166.png

做完这些配置之后,接上用户的镜像口就可以开始进行检查了。