新手入门
最佳实践
API中心
自助服务操作步骤
- 登录APT控制台。
- 在实例管理页面,在目标实例对应的操作列,单击管理,进入APT攻击预警平台。
-
选择配置 页签,在左侧导航栏选择常规配置。
常规配置的功能及说明如下下表。
维度
功能
说明
基本配置
风险查询参数
用于配置风险查询信息,配置完成后,风险页面将按照配置显示风险查询结果。
时钟同步
APT设备可以通过配置的NTP时钟同步服务器来进行时钟同步,包括APT设备的系统时间和硬件时间。
分布式部署场景下,数据中心从时钟同步服务器同步时钟,探测器则从数据中心同步时钟。
连网设置
选择是或者否,允许或禁止APT设备访问互联网。 Web 规则配置
针对不同的网络部署环境,APT 提供两套 Web 规则供用户选择。- 当 APT 部署在监控 Web 服务器或邮件服务器进出流量的设备时,可选择外网规则。
- 当 APT 部署在企业或单位出口交换机时,会有大量内网 IP 访问外网,这些访问容易产生包括 XSS 在 内的一些误报,为减少误报可选择内网规则。
Web/邮件端口配置 根据自身的网络环境配置审计端口。系统支持 Web 端口、POP3 端口、SMTP 端口、IMAP 端口等配置。
一般情况下,系统会审计这些协议默认的端口。如果用到非默认端口,需要手动增加或者开启对应的协议 自动识别。增加非默认端口或开启协议自动识别后,系统才会对这些非默认端口进行审计。
说明:- APT 设备默认会对 Web 非标端口(如 8899 端口)进行审计,但默认不审计邮件协议的非标端 口。
- 默认端口不能删除,其中 Web 类型默认端口是 80,POP3 类型默认端口是 110,SMTP 类型的 默认端口是 25。
协议自动识别 对 FTP、HTTP、IMAP、POP3 等 9 种协议进行自动识别,可识别这 9 种协议的非标端口并进行审计检测。
默认开启 HTTP、SSH、SSL 协议。
功能配置开关 配置登录行为分析的开关,默认是关闭状态。
登录行为分析主要针对流量中登录行为进行分析。
- 若关闭登录行为分析,不会对流量中的登录行为进行分析;
- 若开启登录行为分析,可在登录行为分析中查看具体的登录信息。
地理位置 第一次登录系统后,需要设置地理位置。如未设置,用户登录成功时会重新提示。默认添加内网IP(例如192.168.0.0/16等IP)。
设备部署位置为单位出口/内网时,需在地理位置设置中正确配置内网IP地址,并且需要确认内网地址已经完整配置,以保证检测功能正常运行。
客户网络 对客户网络进行网段划分,标注网络等级、所属区域、责任人、描述配置等,便于用户细化客户网络等级、区域等。 语音告警 用来控制导航页面语音告警的开启和关闭。可配置语音告警的风险级别、风险类别、攻击状态、客户网络。
开启语音告警后,可在导航页面查看实时语音告警和历史语音告警。默认语音告警是关闭状态。
NAT地址解析 针对通过HTTP代理或负载均衡方式连接到web服务器的客户端最原始的IP地址的HTTP请求头字段,可进行配置字段名读取首次或末次的IP地址从而获取真实的IP地址。
资产识别配置 资产识别配置主要用于识别资产。在资产识别配置页面勾选资产,将在资产 > 资产概况中展示资产数据。
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
页面更新不及时
