H3C SecCenter A1000 产品快速配置及使用指导 V1.1

SecCenter 快速配置及使用指导

错误！未找到引用源。

图1-30 网流报告（NetFlow Reports）

Assets（资产报告）

包含5个资产报告（Assets），全部报告的名称如下：

图1-31 资产报告（Assets）

Compliance Reports（法规遵从报告）

包含126个法规遵从报告（Compliance Reports），报告的分类如下图：

图1-32 法规遵从报告（Compliance Reports）

1-24

SecCenter 快速配置及使用指导

错误！未找到引用源。

1.3.4 策略与告警（Policies & Alert）

1. 规则模板（Rule Templates）

规则（Rule）是一个过滤器，可选择任何日志字段作为匹配条件，如源IP地址、目的IP地址、报文协议类型、攻击类型、事件ID甚至事件信息中的字符串匹配。 SCA1000中预定义了一些常用的规则模板（Rule Templates），可以直接使用，如果这些模板不能满足需要，用户也可以自己定义规则（Rule）模板。

在主界面的策略（Policies）Table页面中点击“Rule Templates”按钮，可弹出规则模板（Rule Templates ）管理画面，通过该功能画面可以新建和修改规则模板（Rule Templates）。

图1-33 规则模板（Rule Templates）管理

2. 策略定义（Policies）

策略是规则的集合和符合规则后相关动作的组合，也就是说策略先用若干个规则过滤日志信息，这些规则用与或非逻辑运算生成一个表达式，完全符合这些表达式后策略会触发相关动作。策略的动作包括触发告警和生成自定义级别事件。 在主界面的策略（Policies）Table页面中点击“New Policy”按钮，可弹出策略建立（Create Policy ）画面，通过该功能画面可以新建策略。

在主界面的策略（Policies）Table页面中选择一个已经定义的策略再点击“Edit Policy”按钮，可弹出策略编辑画面（Edit Policy），通过该功能画面可以修改一个已有策略。

1-25

SecCenter 快速配置及使用指导

错误！未找到引用源。

图1-34 策略建立（Create Policy）

3. 触发告警（Alert） 告警查询和显示：

告警被触发后可以在告警信息窗口中显示（On Screen），察看当前由策略定义的告警信息，可点击主界面上工具条中的“Alerts”按钮。

1-26

SecCenter 快速配置及使用指导

错误！未找到引用源。

图1-35 告警查询（Alerts）

告警确认：

点击告警列表中的未确认告警数字（在Unacknowledged Events列下）可弹出告警确认画面，可确认或清除告警，确认表示用户已经注意到了告警信息。

1-27