配置及啟用風險偵察程式

配置及啟用必要和選用的 Guardium® 與「風險偵察程式」模組,然後啟用「風險偵察程式」本身。

開始之前

  • 所有收集器都必須執行 11.0 版或更新版本。
  • 當您啟用企業搜尋時,即會開啟位於收集器和中央管理器上的埠 8983 和 9983。請驗證這些埠未遭到任何防火牆封鎖。
  • 在中央管理器或獨立式系統上:輸入 GuardAPI 指令:grdapi restart_solr
  • 在中央管理器上:依預設,應該啟用企業搜尋。如果未啟用,請輸入 GuardAPI 指令: 
    grdapi enable_quick_search schedule_interval=2 schedule_units=MINUTE all=true includeViolations=true
  • 部分 Guardium 模組必須已啟用或已配置,您才能啟用「風險偵察程式」。它們內含在此作業中。您可以啟用「風險偵察程式」處理程序,而不啟用選用的 Guardium 模組。同時啟用必要及選用的模組可獲得最佳保護。
  • 啟用「風險偵察程式」只會對已安裝原則所審核的使用者,啟動風險評量。若要使用「動態審核」來動態審核有風險的使用者,請建立及安裝「風險偵察程式」原則。請參閱建立動態審核原則使用「原則安裝」工具

關於這項作業

在中央管理器或獨立式 Guardium 系統上配置「風險偵察程式」。在中央管理器環境中,只在中央管理器上啟用所有模組一次。如果您安裝「風險偵察程式」原則,也會從中央管理器管理此原則。

重要: 若要將您的「風險偵察程式」結果最大化,請啟用選用的模組。
下列為必要的模組:
  • 企業搜尋:查詢整個 Guardium 環境的資料。依預設已啟用。
  • 裝置使用資料處理:評量您環境中每個 Guardium 系統的資源使用,讓使用者審核最大化。請參閱步驟 3
  • S-TAP® 及緩衝區用量監視:可讓中央管理器取得裝置使用及其受管理裝置的更新資訊。(與獨立式 Guardium 系統不相關。)請參閱步驟 4
下列是建議的模組:
  • 動態審核:若要取得最全面的風險評量,請配置「動態審核」:建立、安裝及選取納入「風險偵察程式 - 審核有風險的使用者」群組的原則。此原則審核識別有風險的使用者及「風險偵察程式」監看清單中的使用者,以及對於超出原則雷達範圍之外的使用者進行隨機取樣,以識別其他風險。如需建立原則的詳細資料,請參閱建立動態審核原則
  • 「資料庫保護訂閱」服務 (DPS) 會發佈已知漏洞(已知風險)的更新項目。DPS 檔案並非必要項目,但是沒有它的話,風險評分比較不正確。(最佳作法是不論您是否使用「風險偵察程式」都訂閱此服務。)請參閱步驟 5
  • 「作用中威脅分析」可識別各種類型的可疑攻擊。這些發現項目會納入「風險偵察程式」分析中。請參閱步驟 6

按一下日誌及狀態,以開啟「風險偵察程式」事件日誌。此日誌含有以下的詳細資料,例如:如果/當解除安裝風險偵察程式原則時,則為「風險偵察程式」處理程序的開始和結束。

註: 除非另有說明,否則所有步驟都與中央管理器及獨立式系統相關。

程序

  1. 開啟「風險偵察程式」頁面:跳至保護 > 揭示威脅向量 > 作用中的風險偵察程式,然後按一下原則及相關的模組
  2. 選擇性的: 建議:動態審核
    1. 按一下動態審核。即會開啟「配置動態審核」視窗。
    2. 選取「動態審核」原則,然後按一下儲存。系統回應:已儲存。請安裝原則(若尚未安裝)。(只有使用「風險偵察程式 - 已審核的有風險使用者」群組的原則,才能儲存在此視窗中。)
    3. 如果尚未安裝此原則,請進行安裝。
  3. 啟用裝置使用來評量您環境中每一個 Guardium 系統的資源使用,並啟用中央管理器緩衝區用量監視,以評量整個系統可用的頻寬。
    1. 移至管理 > 裝置使用 > 裝置使用層次
      1. 配置:
        • 排程依據 = 日
        • 選取日 = 每天
        • 重複頻率,每隔 = 1 小時
        • 每天,在下列時間開始重複 = 上午 12:00(預設值)
        • 選取啟動排程
      2. 按一下儲存
      3. 按一下立即執行一次
    2. 僅限在中央管理器上(與獨立式系統不相關):前往報告 > 報告配置工具 > 自訂表格建置器。(您必須具有「自訂表格建置器」存取權才能執行此步驟。)
      1. 在「自訂表格」頁面中,選取 CM 緩衝區用量監視器,然後按一下上傳資料
      2. 在「排程」下,按一下修改排程
        1. 將「開始」時間保留為預設的上午 12 點(午夜):
        2. 將「重新啟動」設定為每小時
        3. 將「重複」保留為「不重複」。
        4. 將「排程依據...」設定為星期幾,然後按一下每天
        5. 按一下儲存
        6. 上一步
        7. 按一下立即執行一次
      3. 上一步,回到「自訂表格」頁面。
  4. 僅限在中央管理器上(與獨立式系統不相關):啟用 S-TAP 資訊,以評量整個系統的可用頻寬。(您必須具有「自訂表格建置器」存取權才能執行此步驟。)
    1. 移至報告 > 報告配置工具 > 自訂表格建置器
    2. 選取 S-TAP 資訊,然後按一下上傳資料
    3. 在「排程」下,按一下修改排程
      1. 將「開始」時間保留為預設的上午 12 點(午夜):
      2. 將「重新啟動」設定為每小時
      3. 將「重複」保留為「不重複」。
      4. 將「排程依據...」設定為星期幾,然後按一下每天
      5. 按一下儲存
      6. 上一步
      7. 按一下立即執行一次
  5. 選擇性的: 建議:如果「資料庫保護訂閱服務(建議)」是灰色,請按一下上傳檔案,以開啟「客戶上傳」頁面,並匯入 DPS 檔案:Guardium_V11_Quarterly_2019_Q1_20190227.enc 或更新版本。請參閱客戶上傳,以取得上傳及匯入 DPS 檔案的詳細資料。(DPS 檔案不是必要項目,但若缺少它,風險評分就不是完整的。)DPS 檔案可能需要很長的時間來安裝。如果您重新啟動瀏覽器,則會停止安裝。請讓「客戶上傳」視窗保持開啟,直到您看到狀態訊息為止,或者輸入 CLI 指令 show dps,以檢查安裝狀態。(DPS 檔案是從修正程式中心Passport Advantage 下載。)
  6. 選擇性的: 建議:在中央管理器上,啟用「作用中威脅分析」:
    • 在「風險偵察程式」頁面中,按一下在作用中威脅分析設定中配置,展開「作用中威脅分析」處理程序區段,然後按一下啟用所有處理程序。如需相關資訊,請參閱作用中威脅分析設定
  7. 啟用「風險偵察程式」。在「風險偵察程式」頁面中,按一下「「風險偵察程式」處理程序」另一邊的啟用。(只有在所有必要模組都已啟用時,此按鈕才會啟用。)

結果

「風險偵察程式」頁面可能需要長達 10 分鐘的時間來更新執行企業搜尋的受管理裝置數目;不論是否已啟用作用中威脅分析。請移至另一個頁面,然後再回到此頁面,以重新整理顯示畫面。

第一次執行風險評分處理程序(在每天 01:00-02:00 之間)之後,「風險偵察程式」頁面會顯示結果。有風險的使用者會根據可用的收集器資源遞增。