配置及啟用風險偵察程式
配置及啟用必要和選用的 Guardium® 與「風險偵察程式」模組,然後啟用「風險偵察程式」本身。
開始之前
- 所有收集器都必須執行 11.0 版或更新版本。
- 當您啟用企業搜尋時,即會開啟位於收集器和中央管理器上的埠 8983 和 9983。請驗證這些埠未遭到任何防火牆封鎖。
- 在中央管理器或獨立式系統上:輸入 GuardAPI 指令:grdapi restart_solr。
- 在中央管理器上:依預設,應該啟用企業搜尋。如果未啟用,請輸入 GuardAPI 指令:
grdapi enable_quick_search schedule_interval=2 schedule_units=MINUTE all=true includeViolations=true
- 部分 Guardium 模組必須已啟用或已配置,您才能啟用「風險偵察程式」。它們內含在此作業中。您可以啟用「風險偵察程式」處理程序,而不啟用選用的 Guardium 模組。同時啟用必要及選用的模組可獲得最佳保護。
- 啟用「風險偵察程式」只會對已安裝原則所審核的使用者,啟動風險評量。若要使用「動態審核」來動態審核有風險的使用者,請建立及安裝「風險偵察程式」原則。請參閱建立動態審核原則及使用「原則安裝」工具。
關於這項作業
在中央管理器或獨立式 Guardium 系統上配置「風險偵察程式」。在中央管理器環境中,只在中央管理器上啟用所有模組一次。如果您安裝「風險偵察程式」原則,也會從中央管理器管理此原則。
重要: 若要將您的「風險偵察程式」結果最大化,請啟用選用的模組。
下列為必要的模組:
下列是建議的模組:
- 動態審核:若要取得最全面的風險評量,請配置「動態審核」:建立、安裝及選取納入「風險偵察程式 - 審核有風險的使用者」群組的原則。此原則審核識別有風險的使用者及「風險偵察程式」監看清單中的使用者,以及對於超出原則雷達範圍之外的使用者進行隨機取樣,以識別其他風險。如需建立原則的詳細資料,請參閱建立動態審核原則。
- 「資料庫保護訂閱」服務 (DPS) 會發佈已知漏洞(已知風險)的更新項目。DPS 檔案並非必要項目,但是沒有它的話,風險評分比較不正確。(最佳作法是不論您是否使用「風險偵察程式」都訂閱此服務。)請參閱步驟 5
- 「作用中威脅分析」可識別各種類型的可疑攻擊。這些發現項目會納入「風險偵察程式」分析中。請參閱步驟 6
按一下日誌及狀態,以開啟「風險偵察程式」事件日誌。此日誌含有以下的詳細資料,例如:如果/當解除安裝風險偵察程式原則時,則為「風險偵察程式」處理程序的開始和結束。
註: 除非另有說明,否則所有步驟都與中央管理器及獨立式系統相關。
程序
結果
第一次執行風險評分處理程序(在每天 01:00-02:00 之間)之後,「風險偵察程式」頁面會顯示結果。有風險的使用者會根據可用的收集器資源遞增。