USM Appliance 部署和用户文档

USM Appliance 部署指导

系统概览

USM Appliance 部署

设置管理接口

注册USM Appliance

USM Appliance初始设置

初始向导

IDS 配置

VPN 配置

高可靠性配置

插件管理

USM Appliance 更新

Backup and Restoration

系统维护和远程支持

系统概览

这是AlienVault USM Appliance基本概述，因为它在你的环境中部署和使用。 系统概述中涵盖的主题包括以下内容：

• 关于USM Appliance - 描述当前业务环境中的风险和风险评估的作用，由于安全威胁和漏洞，USM Appliance组织评估和降低风险，检测威胁，确定响应优先级，实现合规性，总结安全管理功能。
• 关于USM Appliance系统结构和组件 - 提供USM Appliance系统结构的描述包括主要系统组件和功率
• USM Appliance部署 - 提供相关的安装和配置USM Appliance最佳实践说明。
• 事件收集、处理及相关工作流程 - 描述整个USM Appliance从网络设备的原始日志数据收集到分析和确定各种威胁和漏洞的风险。

关于USM Appliance

适用于：USM Appliance? ， AlienVault OSSIM?

今天的企业面临着越来越多的威胁：

• 基于网络的威胁 - 针对网络和网络基础设施。
• 基于主机的威胁 - 对单个主机。
• 外部威胁 - 外部攻击者。
• 内部威胁 - 内部攻击者。

虽然安全解决方案的目标是检测和防止这种威胁，但没有网络能完全保护它。 出于这个原因，USM Appliance注重降低风险，识别漏洞，检测威胁，优先考虑最高优先级的威胁和漏洞。 识别漏洞和检测威胁的措施包括：

• 确定可能的威胁或漏洞。
• 确定有害攻击或妥协的风险。
• 实施控制，解决报告漏洞。
• 采取行动应对已发现的攻击。
• 持续监控和报告网络和基于主机的活动

风险评估的作用

要正确保护您的基础架构，请首先对您的资产进行风险评估。 风险评估可以帮助您确定网络中资产的相对重要性，以及与特定利用威胁相关的漏洞和对这些资产发生安全事件的可能性。 在完成这些分析后，您可以设计安全策略来响应各种威胁和漏洞的相对资产价值和利用风险。

强大的安全策略专注于如何最好地保护你最重要和最危险的资产。 例如，如果网络资源非常关键，并且很有可能攻击它，请专注于创建监控此类攻击的安全策略，并制定响应计划。

USM Appliance如何帮助风险评估和缓解

USM Appliance在这些资产存在漏洞或受到攻击时，让你能够识别关键资产并制定策略来提醒你。 USM Appliance将根据与USM Appliance任何与给定安全事件相关的风险都被捕获并发出警报。

任何特定安全事件的重要性取决于三个因素：

• 与事件相关的资产的价值
• 事件所代表的威胁
• 事件发生的概率

这些因素是传统风险定义的基石：衡量威胁对资产的潜在影响和威胁执行的可能性。

USM Appliance每个事件都将根据其相关风险进行评估；换句话说，事件所代表的威胁和威胁与风险资产成比例是真实概率。USM Appliance使您能够识别所有高风险事件，其中一些会导致报警，并允许您正确确定响应优先级。

USM Appliance如何帮助检测威胁并确定响应优先级

突出显示下图USM Appliance提供的功能和相关工具可以帮助您在自己的环境中执行安全管理任务。

资产发现(Asset Discovery) - 结合三种核心发现和库存技术，您可以了解网络中的设备。 功能包括：

• 扫描主动和被动网络
• 资产清单
• 服务清单

实施资产发现和清单是了解网络上系统和设备的第一步。 USM Appliance结合三种核心发现和库存技术，您可以了解要监控的设备。

注意： AlienVault USM Appliance和AlienVaultOSSIM?它包含许多内置工具用于资产和网络发现、枚举和漏洞扫描。这些工具通常通过模仿它们来确定你对这些流量的暴露程度，试图保护你的流量行为。这使得合法扫描的可能性被误解为恶意流量。

一些互联网服务提供商和托管服务提供商在合同中增加了扫描限制，以打击互联网上的恶意行为。许多国家都制定了关于这些做法的法律。在许多情况下，违反这些规则的回应可能包括书面警告、合同取消，甚至民事或刑事指控。因此，在尝试扫描内部网络空间以外的主机或网络之前，请咨询您的互联网服务提供商、托管服务提供商和当地政府，以确定任何法律或合同限制。

漏洞评估(Vulnerability Assessment ) - 使用未修复的软件、不安全的配置和网络上的其他漏洞来识别资产和设备。 功能包括：

• 监控连续漏洞
• 主动扫描身份验证/未经身份验证
• 补救验证

集成的内部漏洞扫描可以让你及时了解网络中的漏洞，所以你可以优先考虑补丁部署和修复。 在您的计划扫描之间，动态资产清单与漏洞数据库的连续关联可以为您提供关于网络漏洞的最新信息。

同上注意事项

入侵检测 - 通过内置的安全监控技术，AlienVault Labs的新兴威胁情报以及快速补救的无缝闭环工作流，协调整个网络的事件响应和威胁管理。功能包括：

• 基于网络的IDS（NIDS）
• 基于主机的IDS（HIDS）
• 监控文件的完整性（FIM）

安装在服务器上的内置文件完整性监控可以提醒您未经授权修改系统文件、配置文件或内容。使用基于主机和网络的检测系统来监控有线和无线网络上的网络访问，以确定谁试图访问这些系统、文件和内容。

行为监控 - 识别异常情况等模式，识别网络中新的未知威胁，以及授权用户和设备的可疑行为和违规行为。功能包括：

• NetFlow分析
• 服务可用性监控
• 网络协议分析/数据包捕获

综合行为监控可以收集数据，帮助您了解正常系统和网络活动，从而在调查可疑操作问题或潜在安全事件时简化事件响应。完整的数据包捕获功能可以完整地分析网络流量，从而充分重复潜在违规行为期间发生的事件。

安全信息和事件管理（SIEM） - 识别风险和响应的优先级，包括和修复网络中的威胁。 功能包括：

• 日志管理
• 集成的OTX威胁数据
• SIEM事件关联
• 事件响应

您可以自动将日志数据与可操作的安全信息相关联，以识别违反策略并接收上下文和工作流驱动的响应过程。 还可以用数字签名的原始日志取证分析事件。 原始日志也可用于满足证据保存的合规要求。

基于Web提供正确的用户界面AlienVault USM Appliance访问所有安全管理功能。 “USM Appliance提供相关访问和指南USM Appliance所有工具和用户界面执行特定安全管理操作的信息。

管理USM Appliance法律法规的遵从性

除常规安全管理操作外，USM Appliance还提供基本的安全功能，帮助您遵守法律法规。 内置资产发现、漏洞评估、入侵检测、行为监控、日志管理和文件完整性监控，USM Appliance有助于组织遵守PCI DSS，GLBA，ISO / IEC 27001，FISMA，NERC CIP等法规 ，FERPA和SOX。 USM Appliance还生成专门针对HIPAA，PCI，GLBA，ISO 27001，FISMA，NERC CIP，GPG13和SOX内置报告。

另外，使用USM Appliance进行PCI合规性”部分提供了有关使用USM Appliance帮助实现PCI DSS详细的合规信息。 该信息也可用于满足其他标准的合规性。

关于AlienVault威胁情报

AlienVault Threat Intelligence通过Threat Intelligence Subscription集成到USM Appliance中，为USM Appliance它提供了不同于当今市场上大多数其他安全管理解决方案的功能。 AlienVault威胁情报由AlienVault由实验室安全研究团队开发OpenThreatExchange?（OTX?）支持是关于网络威胁的可操作信息，包括恶意行为者、他们的工具、基础设施和方法。 AlienVault威胁情报会告诉你威胁是什么，它来自哪里，你环境中的资产有什么风险，以及如何应对。

AlienVault实验室

AlienVault Labs是AlienVault安全专业的内部威胁研究团队组成，他们对新出现的全球威胁和漏洞进行持续研究和分析。该团队不断监控，分析，逆向工程和报告复杂的零日威胁，包括恶意软件，僵尸网络和网络钓鱼活动。

该团队定期以相关指令，IDS签名，漏洞签名，资产发现签名，IP信誉数据，数据源插件和报告模板的形式向USM Appliance平台发布威胁情报更新。该团队还提供有关新兴威胁和特定于上下文的补救指南的最新指导，从而加速并简化威胁检测和响应。

AlienVault Labs团队还利用OTX的集体资源，OTX是世界上最大的众包威胁数据库，可提供对攻击趋势和恶意行为者的全局洞察。 AlienVault的安全专家团队分析，验证和策划OTX社区收集的全球威胁数据。

AlienVault实验室威胁研究团队通过提供理解和解决网络中最关键问题所需的威胁情报，提高了任何安全监控计划的效率。他们执行分析，允许您花费您的稀缺时间来修复和减轻威胁，而不是研究它们。

OpenThreatExchange®

Open Threat Exchange（OTX）是世界上最权威的开放式威胁信息共享和分析网络。 OTX提供对威胁研究人员和安全专业人员的全球社区的开放访问。它现在在全球拥有超过100,000名参与者，每天贡献超过1900万个威胁指标。它提供社区生成的威胁数据和 OTX pulses，支持协作研究，并使用来自任何来源的威胁数据自动更新安全基础架构。 OTX使安全社区中的任何人都能够积极地讨论，研究，验证和共享最新的威胁数据，趋势和技术，加强您的防御，同时帮助其他人做同样的事情。

OTX社区和相应的威胁数据是AlienVault Labs团队用于生成AlienVault威胁情报的关键数据源之一。 AlienVault Labs通过分析，验证和策划OTX社区提供的全球威胁数据，充分利用OTX的集体资源。

AlienVault OSSIM限制：AlienVault OSSIM不包括USM Appliance Logger。

什么是遥测收集及其工作原理

适用于：USM Appliance™ ， AlienVault OSSIM®

在AlienVault，我们通过了解用户与USM Appliance平台的互动方式，不断努力改进USM Appliance。 通过匿名使用数据，我们将能够改善产品和用户体验。 在AlienVault USM Appliance 5.0版中，我们添加了可选的遥测收集功能，以帮助我们更好地了解客户如何使用我们的产品和服务。

Where Is the Telemetry Data Stored

AlienVault在内部服务器上接收并存储匿名遥测数据：telemetry.alienvault.com。 服务器证书由GoDaddy签名，所有USM Appliance实例都具有必要的证书，以便连接到此外部服务器。 遥测数据在当地时间周日凌晨2:00发送。

注意：如果您选择使用此功能，请确保更新防火墙规则以允许通过端口443向telemetry.alienvault.com发送出站连接。

遥测数据如何在分布式部署中聚集

如果您具有USM Appliance的分布式部署（例如，USM Appliance服务器，USM Appliance传感器和/或USM Appliance Logger），则USM Appliance服务器将从连接的USM Appliance实例收集遥测数据。换句话说，USM Appliance传感器和USM Appliance记录器本身不会发送遥测数据，但会通过USM Appliance服务器发送数据。 收集了哪些类型的数据

我们收集以下平台信息：

• Average EPS (平均每秒事件数)
• 已安装插件
• 正在使用的插件
• 安装内存
• 内核配置信息
• USM Appliance版本和日期最后更新
• 部署架构
  • 受监控的资产数量
  • 配置的网络接口
  • USM Appliance类型
  • USM Appliance配置
  • USM Appliance实例正在使用中
  • USM Appliance传感器/远程传感器配置
  • 使用的核心数
• 正在运行命令
• 磁盘I / O.
• 磁盘大小
• Redis的健康状况
• VPN正在使用中
• 系统上的用户数
• 使用AlienVault OTX™

您可以查看收集的匿名数据的示例文件。 要了解有关信息使用的更多信息，请查看我们的隐私政策。

启用/禁用遥测收集

• 首次启用/禁用

部署并注册AlienVault USM Appliance系统后，第一次从Web UI访问它时，系统会提示您创建管理员帐户。 在页面底部，请注意“将匿名使用情况统计信息和系统数据发送到AlienVault以改进USM Appliance”选项。 默认选择它，这意味着将启用遥测收集。 要禁用遥测收集，请取消选择此选项。

• 随时启用/禁用

可以在5.x版本中随时启用或禁用遥测收集。 在Web UI中，导航到Configuration> Administration> Main，然后打开User Activity选项。 找到“向AlienVault发送匿名使用情况统计信息和系统数据以改进USM Appliance”，选择“是”以启用，或选择“否”以禁用。

未经授权修改USM Appliance可能导致不稳定

AlienVault USM Appliance旨在为客户提供易于使用的解决方案，以帮助监控其基础架构的安全性。它们有三种形式：

• Hardware appliances,
• Virtual appliances
• Amazon appliances.

这些 Appliance包括AlienVault操作系统和USM Appliance软件，可提供内置的UnifiedSecurityManagement®（USM）安全功能。

这些 Appliance包括从AlienVault控制台访问设备CLI的选项。这可以通过从AlienVault设置菜单中选择“越狱系统”选项来完成，该菜单提供对设备的有限shell访问。此选项可帮助客户解决网络问题，数据收集问题，并帮助AlienVault支持团队与您一起解决在处理支持案例时遇到的任何与产品相关的问题。

根据AlienVault条款和条件，AlienVault不允许修改系统级配置文件，数据库或用于提供产品提供的功能的基础工具。尽管AlienVault集成了各种开源工具，但USM Appliance使用的配置旨在提供产品文档中所述的显式功能。对操作系统，工具配置或软件所做的更改可能会破坏 Appliance的稳定性并阻止 Appliance正常工作。

对操作系统，工具配置或软件的修改可能导致不稳定，因此需要将 Appliance重置为出厂设置以解决它。 AlienVault不鼓励客户进行此类修改。如果有一个用例要求您越狱设备，我们建议您与我们分享用例的详细信息，我们将考虑将来发布该产品的想法。

我们的目标是提供一个简单，稳定，易用的安全平台，帮助您监控环境中的威胁。保持系统稳定并且不受此类修改将防止不必要的停机，性能问题和维护。

如果您有任何疑问，请联系AlienVault技术支持。

如何向AlienVault提交安全问题

我们一直致力于提高产品的安全性。 您，AlienVault社区，帮助我们为客户提供安全软件的能力 - 所以提前感谢！

发现了一个安全漏洞？ 通过https://hackerone.com/alienvault_security上的HackerOne计划向我们透露。 您可以在此页面上找到我们目前正在进行的域名的更多信息。

我们正在寻找哪些漏洞信息？

提交问题时，请提供技术说明，以便我们评估问题的可利用性和影响，并在适当情况下包括以下内容：

提供重现问题所需的步骤和任何其他信息。
如果您要报告跨站点脚本（XSS），那么您的漏洞利用至少应该在浏览器中弹出警报。如果XSS漏洞利用显示用户的身份验证cookie，则会好得多。
对于跨站点请求伪造（CSRF），当第三方导致登录受害者执行操作时，请使用正确的CSRF案例。
对于SQL注入，我们希望看到漏洞提取数据库数据，而不仅仅是生成错误消息。
HTTP请求/响应捕获或简单的数据包捕获对我们也非常有用。

请不要向我们发送指向非AlienVault网站的链接，也不要向我们发送PDF / DOC / EXE文件中的问题。图像文件没问题。确保该错误可被用户以外的其他人利用（“自我XSS”）。

注意：我们无法回复通用扫描程序报告。 如果您有安全从业者检查通用扫描报告并且他们已经隔离了需要解决的特定漏洞，我们会要求您单独报告这些漏洞。

关于USM Appliance系统架构和组件

适用于：USM Appliance™ ， AlienVault OSSIM®

作为统一的安全平台，USM Appliance将多种关键安全技术集成在一个集成平台中。 USM Appliance可以部署为单个设备，也可以分布在多个服务器（虚拟或硬件）上，以提供额外的可扩展性和可用性。 下图提供了AlienVault USM Appliance系统架构的高级概述。

USM Appliance架构的三个组件协同工作以监控环境并提供安全性

• USM Appliance传感器 - 在整个网络中部署，用于收集和规范您希望使用USM Appliance管理的网络环境中任何设备的信息。 有多种插件可用于处理来自各种类型设备（如防火墙，路由器和主机服务器）的原始日志和数据。
• USM Appliance服务器 - 聚合和关联USM Appliance传感器收集的信息。 （这是USM Appliance的SIEM功能。）通过基于Web的用户界面提供单一窗格管理，报告和管理。
• USM Appliance记录器 - 安全地存档原始事件日志数据，用于取证研究和合规性要求。 （此原始事件数据存档也称为冷存储。）

基本的USM Appliance工作流程

USM Appliance在从网络设备收集原始数据时遵循一致的工作流程，然后将该数据解析并标准化为事件流，然后可以对其进行存储，过滤和关联，以识别威胁和漏洞。

1. USM Appliance传感器被动地收集日志和镜像流量，并主动探测网络中的资产，以获取有关您环境中正在进行的当前网络活动的信息。
2. USM Appliance传感器解析来自不同源的原始数据，并将其转换为事件流，每个事件都有一组共同的数据字段。 然后，它将事件发送到USM Appliance Server。
3. USM Appliance Server将事件关联起来并评估其风险。
4. USM Appliance服务器将事件发送到USM Appliance记录器，USM Appliance记录器以数字方式对其进行签名并将其存储以进行取证分析，归档和法规遵从性。

有关事件收集和处理的更深入描述，请参阅USM Appliance中的日志收集和规范化。 另请参阅策略管理和事件关联主题。

USM Appliance部署选项

AlienVault USM Appliance可以采用以下两种基本配置之一进行部署：

• 简单部署模型 - 所有USM Appliance组件（传感器，服务器和记录器）都组合在USM Appliance多功能一体机中。 此配置最常用于较小的环境，以及演示和概念验证部署。
• 多层，分布式部署模型 - 此模型将每个AlienVault USM Appliance组件（传感器，服务器和记录器）部署为单独的虚拟或硬件设备，以创建分布式系统拓扑。

分布式部署模型还有两个版本，USM Appliance Standard和USM Appliance Enterprise，它们通过为每个USM Appliance组件配置专用系统来提高可扩展性和性能。 有关USM Appliance部署模型和示例的更多详细信息，请参阅USM Appliance部署示例。

AlienVault OSSIM Limitations: AlienVault OSSIM doesn’t include the USM Appliance Logger.

事件收集，处理和关联工作流程

所有AlienVault USM Appliance的安全监控和管理功能源于其从设备收集数据的整体能力，将数据转换为定义事件的一组通用数据字段，然后处理，过滤和关联这些事件以识别潜在的威胁和漏洞 ，或实际发生的攻击。 USM Appliance还通过根据标的资产的价值，已识别威胁的来源和性质以及成功攻击的可能性分配风险值来评估事件的重要性和优先级。 有关以下主题，本节提供了有关此整体工作流程的更多详细信息：

• 日志数据收集，解析和规范化
• 事件处理和过滤
• 事件关联，警报和通知
• 事件可视化和分析

日志数据收集，解析和规范化

日志收集是AlienVault安全管理的根本。 AlienVault USM Appliance从各种来源收集日志：网络设备，如防火墙和路由器，主机服务器和系统，以及在服务器上运行的软件应用程序。某些设备（例如，支持Syslog协议的设备）配置为将其日志直接发送到USM Appliance传感器。对于其他设备，USM Appliance会退出并检索日志。在这两种情况下，日志中的数据都被标准化，以便在定义事件的公共数据字段中提取和存储信息：IP地址，主机名，用户名，接口名称等。这些是安全分析师可以在USM Appliance中分析的事件，用于发现威胁和漏洞，并评估组织的风险。 使用插件记录解析

在USM Appliance传感器上运行，AlienVault USM Appliance代理配置了一组不同的日志解析插件，这些插件定义了如何从特定设备，系统或应用程序收集日志，以及如何将日志数据转换为标准化事件数据将事件发送到USM Appliance服务器之前的字段。插件还控制传感器上的其他事件收集功能，例如入侵检测。 USM Appliance配备了许多常见数据源的插件。联系AlienVault为任何尚未存在插件的数据源或产品请求新插件。您还可以创建自己的自定义插件，或自定义USM Appliance的现有插件。

安全事件的规范化

无论日志消息的格式如何，某些数据（例如用户名或IP和MAC地址）在所有设备日志中都是通用的。从日志消息文本中提取这些值并将它们存储到匹配的公共字段中称为规范化。规范化允许您对从不同来源收集的事件执行查询（例如，“显示源IP为192.168.1.3的所有事件”。）虽然从设备收集的原始数据的格式可能不同，但是相似的信息设备存储在发送到USM Appliance服务器的事件的同一字段中。

日志被分解为它们的消息类型，并且来自它们的信息用于填充定义事件的标准字段集（例如，日期，传感器，plugin_id，优先级，src_ip，src_port，dst_ip，dst_port，username ，userdata1）。

注意：有关规范化事件字段的完整列表，请参阅查看事件详细信息。

事件处理和过滤

规范化从日志文件和其他来源获取的数据后，USM Appliance传感器会将安全事件传输到USM Appliance服务器。 USM Appliance Server还对传入事件执行了几项附加操作，包括：

1. 解析事件优先级和可靠性 - 为每个事件类型分配一个优先级，它指示应该如何紧急调查事件，以及一个可靠性分数，用于评估事件是误报的可能性。
2. 检查资产值以计算风险评分 - USM Appliance服务器维护网络上已知设备的清单，其中包含每个设备的相关资产值，并定义它们对组织的重要性。然后将该资产价值与事件的优先级和可靠性得分进行权衡，以产生风险值。较高的风险评分有助于分析师了解首先要检查的最重要因素。 有关USM Appliance如何计算风险的详细信息，请参阅USM Appliance网络安全概念和术语。
3. 事件分类法的应用 - 无论事件的来源或其原始数据格式如何，在许多系统类型中都存在通用的系统和网络事件。 AlienVault维护事件类型的分层分类（称为分类法），USM Appliance可以将策略和相关指令中的事件与之匹配。
4. 交叉检查信誉数据 - USM Appliance服务器根据Internet地址的信誉数据库检查特定于每个事件的IP地址。标记匹配的IP地址以供将来参考和跟进。

执行这些操作后，USM Appliance服务器将根据指定的用户策略和过滤条件，将选定或合格的事件保存在SIEM事件数据库中，以便进一步分析和关联。事件数据库通常与USM Appliance服务器位于同一主机上，但在大型部署中，数据库可以安装在单独的主机上，以提高性能和容量。

事件关联，警报和通知

在USM Appliance服务器执行的基本处理，分析和过滤之后，选定或合格的事件将被输入AlienVault USM Appliance关联引擎。通过使用AlienVault USM Appliance关联，分析人员可以查找跨多个设备和系统类型的模式和事件序列。事件实际上可以由关联引擎多次处理，因为不同的关联规则可以采用与输入相同的事件。 关联指令会创建警报

随着事件继续进入关联引擎，USM Appliance会根据关联指令或规则中指定的事件条件生成警报：

• 当满足相关指令的条件时，警报处理开始。
• 警报可以在匹配特定条件的单个事件上触发，或者可能需要触发特定的事件序列。
• 警报处理可能会持续数小时。出现在系统中的警报可能表明它们仍在处理其他传入事件以进一步证实检测。
• 警报本身就是事件（指令事件），一旦被触发就可以提供给其他相关指令，因此您可以创建级联级别的警报。

此外，当您注册OpenThreatExchange®（OTX™）时，USM Appliance配置为从OTX接收原始“脉冲”数据和危害指示（IoC）。当USM Appliance检测到与您环境中的资产交互的相同IoC时，它会关联该数据并提醒您任何相关的OTX脉冲和与IP信誉相关的安全事件和警报。

登录USM Appliance后，您可以从USM Appliance仪表板中看到哪些OTX指示灯在您的环境中处于活动状态。当OTX中识别的恶意IP地址与您的任何系统资产通信时，或者当USM Appliance识别OTX中看到的任何其他IoC在您的网络中处于活动状态时，您将立即收到事件或警报形式的通知。

注意：有关如何处理和关联USM Appliance警报的详细信息，请参阅警报管理。

事件可视化和分析

从设备日志获取的事件以及由关联引擎本身生成的事件都可以从USM ApplianceWeb UI中进行搜索，查看和报告。 有两种不同的选项可用于访问和查看事件：

• 安全事件视图，包含基于特定事件字段值搜索，过滤和分组事件的选项。 要使用此选项，请从Web UI中选择“分析”>“安全事件（SIEM）”。
• 显示与特定时间范围的原始日志事件的视图。 要使用此选项，请从Web UI中选择“分析”>“原始事件”。

有关从USM ApplianceWeb UI查看事件和执行其他安全管理操作的详细信息，请参阅查看安全事件和查看并验证原始日志。

USM Appliance 部署

USM Appliance旨在提供易于部署且易于操作的安全管理解决方案。它特别适合中小型企业，类似于大型企业，需要确保其网络环境的安全性，但可能没有那么大的支持人员来设置和管理更复杂的安全管理系统。

除了比大多数替代系统更易于设置和操作外，USM Appliance还具有模块化架构，可灵活配置性能和容量。 USM Appliance多功能一体机将USM Appliance解决方案的所有组件组合在一台虚拟或硬件机器中。此外，根据您特定环境的当前或未来需求，您还可以在USM Appliance架构中扩展单个组件以在专用计算机上运行，添加传感器以从更多设备和网络收集日志，以及实现其他功能，例如高可用性，远程网络上的设备监控以及USM Appliance的远程管理。

注意：有关更多信息以及部署和配置选项的摘要，请参阅USM Appliance部署类型。 本节还提供了USM Appliance的不同大小和规模部署配置的示例。

部署规模和扩展

有许多因素会影响您的USM Appliance配置以及您选择部署的特定USM Appliance架构。主要因素是您的环境中的设备可能产生的每秒事件数。在估计事件总量时，您需要在环境中包含要使用USM Appliance（包括防火墙，路由器和主机服务器以及已安装的应用程序）监视和管理的所有设备，并估计这些设备上的聚合活动。设备。

此外，您可能需要考虑计划在USM Appliance部署中解决的特定安全管理用例的其他方面，其中可能包括但不限于

• 您可能具有的特定法规遵从性要求
• 要监视的设备的数量和类型
• 系统的用户数
• 您可能拥有的事件关联，数据存储和归档的特定要求

您的AlienVault技术代表可以帮助您分析您的环境以确定系统要求，并可以为您提供一份调查问卷，列出影响系统规模调整和扩展的不同因素，这可以帮助您选择正确的系统配置。

注意：AlienVault USM Appliance数据表描述了许多不同USM Appliance系统配置和选项的典型事件处理性能和容量基准。

安装，设置和配置

USM Appliance的安装和配置相对简单。为了在特定环境中实现快速部署，USM Appliance多功能一体机包括一个入门向导，可指导您完成一些初始设置任务。在虚拟环境中，USM Appliance打包为虚拟机，可以使用虚拟资源轻松安装和配置，例如VMware ESX或Hyper-V管理的虚拟资源。有关详细信息，请参阅虚拟机要求

执行USM Appliance配置的一些高级步骤包括

• 在网络拓扑中安装USM Appliance（DHCP或手动选择USM Appliance组件的IP地址）
• 如果需要，打开USM Appliance组件的防火墙端口。请参阅防火墙权限以获取详细信
• 设置本地或远程（IPMI或HPE iLO）USM Appliance管理
• 更改root密码，
• 注册USM Appliance
• 同步时区和NTP服务器
• 如果使用，请配置USM Appliance传感器
• 如果使用，请配置USM Appliance记录器
• 连接到公司邮件服务器以获取电子邮件通
• 设置其他配置选项，例如高可用性，VPN和插件安装和自定义

您可以使用AlienVault设置菜单执行大部分任务。有关执行这些任务的信息，请参阅USM Appliance初始设置部分。

USM Appliance 部署类型

适用于：USM Appliance™

本节介绍各种USM Appliance组件，并说明不同的部署类型。

USM Appliance组件

所有USM Appliance产品都包括这三个核心组件，可用作硬件或虚拟机。 USM Appliance All-in-One将服务器，传感器和记录器组件组合到一个系统上。

USM Appliance传感器

USM Appliance传感器部署在整个网络中，用于收集日志和监控网络流量。它提供了五种基本的USM Appliance安全功能 - 行为监控，SIEM，入侵检测，资产发现和漏洞评估 - 以实现完全可见性。

必须至少有一个USM Appliance传感器。根据您的公司要求，可能需要更多。如果您在总部的网络下属子网上分布分支，则尤其如此。

USM Appliance服务器

聚合并关联传感器收集的信息。提供单一窗格的管理，报告和管理。

通常只有一个USM Appliance Server。

USM Appliance记录器

安全地存档原始事件日志数据，用于法医研究和合规性任务。

通常只有一个USM Appliance记录器。但是，在某些情况下，可能会使用两个。有关信息，请联系AlienVault技术支持。

USM Appliance部署类型

您可以通过以下两种方式之一部署AlienVault USM Appliance：简单或复杂。

• 简单部署 将所有AlienVault USM Appliance组件（传感器，服务器和记录器）部署在名为USM Appliance All-in-One的单台计算机中。 此部署模型最适用于较小的环境，测试和演示。
• 复杂/分布式部署 此模型将每个AlienVault USM Appliance组件（传感器，服务器和记录器）部署为单独的虚拟机或硬件计算机，以创建分布式拓扑。 此部署模型有两个版本，通过为每个组件配置专用系统来提高可伸缩性和性能。 USM Appliance标准包括以下内容 USM Appliance标准服务器 USM Appliance标准传感器 USM Appliance标准记录仪 USM Appliance企业包括以下内容 USM Appliance Enterprise Server - 包括Enterprise Server和Enterprise Database USM Appliance企业传感器 USM Appliance企业记录器

注意：USM Appliance Enterprise解决方案不可用作虚拟机。 AlienVault USM Appliance部署解决方案

                	USM Appliance All-in-One	USM Appliance Standard                  	USM Appliance Enterprise                

User Type 小型组织 中型组织 大型型组织 Environment Single-tier deployment Multi-tier deployments & distributed environment Multi-tier deployments and distributed environment Virtual Appliance x x Hardware Appliance x x x

USM Appliance部署示例

本主题提供三个USM Appliance部署选项的拓扑示例

 使用USM Appliance All-in-One进行简单部署
 通过All-in-One和一个或多个远程传感器的组合进行扩展的简单部署
 具有多个分支的大型公司的复杂部署

USM Appliance 部署需求

适用于：USM Appliance™

虚拟机的最低硬件要求

所有AlienVault USM Appliance硬件均符合下表中列出的要求。 要获得足够的性能，您需要使用类似或更好的硬件来托管每个AlienVault USM Appliance虚拟机。 在系统资源不足的情况下托管USM Appliance虚拟机可能会影响其执行必要任务的能力，还可能影响规定的吞吐量。 此外，如果您满足硬件规范但尝试在其上运行多个USM Appliance虚拟机，则性能会下降。

警告：在USM Appliance版本5.4中，AlienVault更新了其网络IDS以包含Hyperscan库，该库需要CPU支持SSSE3（补充流式SIMD扩展3）指令集。 要检查您的CPU是否包含SSSE3，

cat /proc/cpuinfo | grep ssse3

Name Value CPU Type Intel® Xeon E5620 RAM Type DDR3 1333 MHz Disk Type SAS 10000 RPM (204 MB/s) Memory Performance (MEMCPY) 3310.32 MiB/s Disk Performance (random read/write) 15.97 MB/s (120 Mb/s)

虚拟机要求

下表列出了部署不同AlienVault USM Appliance虚拟机的系统要求。 有关更完整的列表，请参阅AlienVault网站上的USM Appliance数据表。

**要点：虚拟机必须在硬件虚拟化模式（HVM）中运行。 目前不支持半虚拟化，因为设备需要SCSI设备总线（SDx）连接器。

            	USM Appliance All-in-One                	Remote Sensor	USM Appliance Standard	      	      	      	    

1TB 500GB 1TB 250GB Server Logger Sensor Total Cores[1] 8 4 8 RAM (GB) 16 8 24 Storage (TB) 1.0 0.5 1.0 0.25 1.2 1.8 1.2 虚拟化环境 ESXi 5.5 and later [2] Windows 2008 SP2 and later)

支持的浏览器

AlienVault支持以下浏览器。 所有USM Appliance版本都在最新版本的浏览器和最新版本之前进行了测试。

Browser/Platform Windows Mac OS X Linux Chrome Yes Yes Yes Edge Yes N/A N/A Firefox Yes Yes Yes Internet Explorer 11 Yes N/A N/A Safari N/A Yes N/A

防火墙权限

USM Appliance组件必须使用特定的URL，协议和端口才能正常运行。

注意：如果部署USM Appliance多功能一体机，则只需打开与受监控资产关联的端口，因为多功能一体机包括USM Appliance服务器和USM Appliance传感器，因此它们之间的通信将变为内部。

如果您的公司在高度安全的环境中运行，则必须更改防火墙上的某些权限，以便USM Appliance获得访问权限。 USM Appliance功能使用的外部URL和端口号:

Server URL 端口 AlienVault Features in Use Applicable Release data.alienvault.com 80 AlienVault product and feed update All maps-api-ssl.google.com maps.googleapis.com 443 Asset Location All maps.google.com maps.gstatic.com 80 Asset Location All messages.alienvault.com 443 Message Center All otx.alienvault.com1 443 Open Threat Exchange® 5.1+ reputation.alienvault.com 443 AlienVault IP Reputation All telemetry.alienvault.com 443 Telemetry Data Collection All tractorbeam.alienvault.com 22, 443 Remote Support All www.google.com2 80 AlienVault API All cdn.walkme.com3 playerserver.walkme.com ec.walkme.com rapi.walkme.compapi.walkme.com None AlienVault Product Management 5.4.3+

下图显示了USM Appliance组件用于彼此通信以及与受监控资产通信的端口号。 箭头的方向指示网络流量的方向。

重要提示：标有*的端口是可选的。

在您计划部署AlienVault HIDS代理的主机上，为了允许初始部署，您必须打开TCP端口135，TCP端口139或TCP端口445，以及高TCP端口（1024或更高）。 请参阅Microsoft有关分布式文件系统命名空间（DFSN）的端口要求的文档。
您还需要打开UDP端口1514，以便在AlienVault HIDS代理和USM Appliance传感器之间进行持续通信。 有关部署的帮助，请参阅部署AlienVault HIDS代理。
要在USM Appliance中使用SNMP，您需要在SNMP代理上打开UDP端口161，在USM Appliance传感器上打开UDP端口162。 有关更多详细信息，请参阅USM Appliance中的SNMP配置。
如果运行5.6.5之前的USM Appliance版本，则还需要在Sensor上为漏洞扫描程序打开TCP端口9391。 但是从版本5.6.5开始，使用UNIX域套接字进行漏洞扫描，因此不再使用端口9391。

关于VPN的使用

图中显示的端口33800是默认值，仅在启用VPN时使用。 如果需要，您可以为VPN使用不同的端口。

注意：启用VPN时，您无需打开USM Appliance传感器和USM Appliance服务器之间的其他端口，因为所有通信都通过VPN隧道。

如果启用VPN，除了为VPN隧道打开端口33800 / TCP之外，还需要允许该端口的TLS传输，以防您使用可以执行检查或拦截TLS流量的防火墙/安全设备。

配置USM Appliance硬件

在VMware中部署USM Appliance

使用Hyper-V Manager部署USM Appliance

使用AMI部署USM Appliance

AlienVault OSSIM® 安装进程

可以在AlienVault OSSIM产品页面上找到免费的开源AlienVaultOSSIM®ISO文件。 下载ISO文件并将其保存到您的计算机。 在安装之前，请务必确保您已满足下面列出的系统要求。 AlienVault OSSIM不支持半虚拟化，需要完全虚拟化网络和存储。

最低系统要求 对于AlienVault OSSIM的安装，最低系统要求如下

• 2个CPU核心
• 4-8GB RAM
• 250GB硬盘
• E1000兼容网卡

注意：这些只是基本操作的最低系统要求，可能不是所有实例的最佳设置。 例如，建议使用AlienVault OSSIM平均处理1000-2000 EPS（每秒事件数）的实例，具有8CPU内核，16-24GB RAM和500GB-1TB HDD的系统。

在虚拟机上安装AlienVault OSSIM

下载AlienVault OSSIM ISO文件后，即可将其安装到虚拟机中。

安装AlienVault OSSIM

1. 在虚拟机中，使用ISO作为安装源创建新的VM实例。
2. 启动新的Debian 8.x 64位实例后，选择Install AlienVault OSSIM（64 Bit）并按Enter键。
3. 安装过程将指导您完成一系列设置选项。 为以下选择适当的选项
   • 选择语言
   • 选择位置
   • 要使用的键盘映射 然后，安装将加载必要的组件并检测设置。
4. 接下来，通过分配以下内容来配置网络
   • IP地址(IP地址将是您用于访问AlienVault OSSIM Web UI的Web地址。)
   • 子网掩码
   • 网关
   • DNS服务器地址
5. 然后，安装程序将设置root密码。 这将用于AlienVault OSSIM控制台中的root登录帐户。
6. 消息提示将让您将时区设置为最后一步。
7. AlienVault OSSIM由installer完成。

您现在可以使用root帐户登录系统，并输入在设置过程中指定的密码。

Web UI Access

安装过程完成后，您可以访问Web UI并设置管理员帐户。

开始使用AlienVault OSSIM

• 打开Web浏览器，在导航栏中键入您在设置过程中使用的IP地址。
• 浏览器可能会给您一个连接隐私警告。 如果发生这种情况，请单击高级，然后继续（您输入的IP地址）。
• 通过填写所有字段在欢迎页面上创建管理员帐户。 单击开始使用AlienVault进入Web UI并开始USM设备初始设置。

部署后配置USM Appliance 传感器

部署后配置USM Appliance 记录器

配置USM Appliance 企业服务器和企业数据库

设置管理接口

首次启动USM设备硬件或在部署后启动虚拟机控制台时，必须配置管理界面以建立网络连接。 您可以手动配置管理界面或使用DHCP（动态主机配置协议）。 但在初始设置之后，DHCP配置不再可用。

要点：使用DHCP配置时，应在配置之前为USM Appliance创建地址预留。 为确保正常运行，USM Appliance需要静态IP地址。

配置管理接口使用DHCP

1. On the AlienVault Setup screen, select DHCP Configuration.
2. USM Appliance displays the network settings assigned by your DHCP server. PressEnter to apply. USM Appliance configures the management interface and AlienVault services.

手工配置管理接口IP

1. On the AlienVault Setup screen, select Manual Configuration.
2. Type the IP address and press Enter.
3. Type the Netmask for the network and press Enter.
4. Type the Gateway for the network and press Enter.
5. Type the IP address of the DNS server and press Enter. Note: If you have multiple DNS servers, type each of their IP addresses separated by a comma.
6. Verify the values you entered previously and press Enter. USM Appliance configures the management interface and AlienVault services.

注册USM Appliance

………

USM Appliance 初始设置

在执行设置任务之前，您必须已成功部署USM Appliance并设置管理界面。 您还需要访问AlienVault设置菜单。

您可以通过以下方式之一访问AlienVault设置菜单：

• 本地管理 - 使用直接连接到USM Appliance硬件的显示器，键盘和鼠标。
• 虚拟管理 - 虚拟设备用户可以作为vSphere客户端或通过SSH客户端（如PuTTY）访问控制台。
• 远程管理 - 在IPMI或HPE iLO配置之后，您可以通过远程连接，通过连接到运行设备的同一子网的任何计算机访问控制台。

为简化程序，以下任务步骤引用SSH客户端PuTTY的用户界面（UI）作为解释如何访问AlienVault控制台的方法。

访问AlienVault控制台

1. 启动PuTTY或任何其他SSH客户端，在“主机名（或IP地址）”字段中，键入设备的IP地址。
2. 确保选择了SSH。（ 这通常是默认设置。）
3. 单击打开。
4. 输入用于登录SSH客户端的用户凭据。

出现USM Appliance的AlienVault启动画面。 如果这是第一次，它会显示根用户名和随机生成的密码供您输入。

5. 在login：字段中，输入root。
6. 在密码字段中，输入显示的随机生成的密码，然后按Enter键。
7. 系统提示您是否要更改密码时，单击“是”。

使用默认用户名和随机生成的密码初次登录后，USM Appliance会提示您更改密码。

要点：如果要为USM Appliance Standard或Enterprise组件配置高可用性（HA），则必须为主节点和辅助节点提供相同的root密码。 请参阅高可用性配置。

要更改root密码

1. 在第一个“更改根密码”面板上，在“新建根密码”字段中键入新密码，然后按Enter键。

注意：光标在字段上不可见。 要验证光标位于正确的位置，请在字段的开头查找黑色左边框。 这告诉您光标应该在哪里。

2. 在第二个“更改根密码”面板上，键入先前输入的密码，然后按Enter键。
3. 在第三个也是最后一个“更改根密码”面板上，将显示一条确认消息，表明您已成功更新密码。
4. 应用程序现在使用新创建的密码提示您再次登录。

入门指导

IDS设置

入侵检测系统（IDS）监视网络和主机，以搜索恶意活动或策略违规，例如危害机密性，系统安全性或完整性。一些IDS系统可能能够阻止入侵尝试，但这既不是IDS系统所必需也不是预期的。 IDS系统主要侧重于识别可能的入侵，记录有关它们的信息以及报告尝试，安全分析师可以进一步分析这些入侵。

传统网络防火墙分析网络和传输层标头，例如源和目标IP地址，协议以及源和目标端口。然而，今天的攻击者不仅仅是针对网络和传输层，因为网络防火墙可以很好地保护它们;相反，他们专注于利用操作系统，应用程序和协议中的漏洞。网络防火墙无法检测到此类攻击。因此，您需要其他安全系统（如IDS）才能检测到它们。 IDS可以检测到的其他攻击示例，但防火墙不能包括：

• 在合法流量或加密中使用隧道（也称为“端口转发”）的攻击
• 内部网络内的攻击

IDS系统通常分为两类：

• 网络IDS（NIDS） - 放置在网络中的关键点，用于监控网络中设备和主机之间的流量。
• 基于主机的IDS（HIDS） - 在各个主机系统上运行，并监控来自和到达主机系统的流量以及系统本身的活动。 USM Appliance提供基于网络和主机的入侵检测功能。

Network Intrusion Detection System (NIDS)

您通常在网络防火墙内部放置网络入侵检测系统（NIDS），它可以监控来自所有设备的流量。这样，NIDS就可以检测到通过网络防火墙的恶意活动。 NIDS通常通过监视网络流量的副本在混杂模式下工作。它通过将流量与已知攻击数据库（也称为签名）进行比较，或通过检测流量模式中的异常来分析流量。识别后，生成NIDS事件并报告给管理站。

您可以使用以下设备将网络流量转发到NIDS：

• 网络 hubs
• 具有镜像或跨区端口的网络交换机

NIDS的优点：

• 如果正确放置在网络中，它会监控整个网络的流量。
• 它对网络性能和吞吐量没有影响，因为它只分析网络流量的副本。
• 它对网络可用性没有影响，因为它不是串行部署。

NIDS的局限性：

• 它无法分析加密信息。
• 它需要持续的签名更新。
• 它需要特定的网络配置才能接收流量的副本。
• 它无法阻止攻击。

Host Intrusion Detection System (HIDS)

基于主机的入侵检测系统（HIDS）监视计算机系统的行为和状态，以及系统发送和接收的网络数据包。 HIDS作为系统上的代理运行，将检测到的事件发送到管理站。 HIDS代理通常监视哪些程序访问哪些资源，并确定应用程序是否在内存，文件或数据库中进行了未经授权的更改。 HIDS还可以查看系统状态并监视系统特定的日志，以便检测系统上的任何重大更改。

当NIDS检测到通过NIDS监控的网络发送的攻击时，HIDS会检测到网络上主机的攻击。 NIDS无法检测使用加密的数据包流中的事件，但HIDS可以在主机解密流量之后。理想情况下，HIDS应与NIDS并行工作。您可以关联两个系统检测到的事件，以确定攻击是否成功。例如，检测到的网络攻击，然后在服务器上创建管理员帐户，可能意味着攻击成功。

HIDS的优点：

• 它可以检测攻击是否成功。
• 它监视系统活动。
• 它可以检测文件，内存和应用程序的更改。
• 它可以检测NIDS无法检测到的攻击，例如系统控制台的更改。

HIDS的局限性：

• 您需要将代理部署到要监视的每个主机。
• 它不会检测网络扫描或侦察攻击。
• 它所驻留的主机易受攻击和被禁用。

AlienVault OSSIM限制：AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全，其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是，AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

AlienVault HIDS(基于ossec开源HIDS)

包含在USM Appliance中的AlienVault HIDS提供以下功能：

• 日志监控和收集
• Rootkit检测
• 文件完整性监控
• Windows注册表完整性监控
• 可以在服务器上运行应用程序以响应某些触发器（例如特定警报或警报级别）的主动响应

AlienVault HIDS使用服务器/代理体系结构，HIDS代理驻留在您要监控的主机上;并且HIDS服务器驻留在USM Appliance传感器上。 USM Appliance传感器从HIDS代理接收事件，对其进行规范化，并将它们发送到USM Appliance服务器以进行分析，关联和存储。 AlienVault HIDS也对Linux上的无代理操作提供了一些有限的支持，仅用于日志检索。

您需要将HIDS代理部署到客户端系统。 HIDS代理作为连续的内存服务运行，通过UDP端口1514与USM Appliance传感器交互.USM Appliance传感器生成并向HIDS代理分发预共享密钥，HIDS代理然后使用密钥验证HIDS代理和USM Appliance传感器之间的通信。

虽然HIDS代理是收集Windows安全和系统事件日志的理想选择，但使用NXLog在Windows上收集应用程序日志更为有效。 AlienVault为Microsoft IIS，Microsoft DHCP服务器，Microsoft Exchange Server和Microsoft SQL Server提供NXLog插件。 有关完整列表，请参阅NXLog插件。

部署 AlienVault HIDS Agents

您可以将AlienVault HIDS代理部署到主机

• 通过入门向导 此选项支持部署到Windows主机和无代理部署到Linux主机。 有关说明，请参阅“入门向导”主题中的“将HIDS部署到服务器”。
• 从资产列表视图 此选项仅支持部署到Microsoft Windows服务器。 有关说明，请参阅资产管理中的部署HIDS代理。
• 从HIDS管理视图 此选项支持部署到Windows和Linux主机。

Deploy AlienVault HIDS Agents to Windows Hosts

对于Microsoft Windows主机，USM Appliance会生成包含相应服务器配置和身份验证密钥的二进制文件。您可以选择让USM Appliance为您安装该文件，或者下载该文件并自行将其安装在主机上。

在将HIDS代理部署到Windows计算机之前，请确保它符合以下要求。

• 如果在环境中使用任何网络加速器设备，则必须将USM Appliance传感器添加到其白名单中。这是因为USM Appliance传感器利用SMB（服务器消息块）将HIDS代理安装包传输到Windows计算机。如果网络加速器尝试优化来自USM Appliance传感器的流量，则可能导致HIDS部署失败。
• 操作系统必须是以下之一
  • Microsoft Windows XP
  • Windows 7,8或10
  • Windows Server 2003,2008R2或2012R2
• 您需要使用与本地管理员帐户属于同一管理员组的用户帐户。

注意：出于安全原因，默认情况下，在当前主流支持的所有Windows版本上禁用本地管理员帐户。 为了使HIDS部署成功，您需要启用本地管理员帐户（不推荐），或创建用户帐户并将其添加到内置Administrators组。

• 您必须根据以下步骤更改目标Windows计算机。 To change the settings on Windows XP
  1. Go to Control Panel > Folder Options > View.
  2. Deselect Use simple file sharing.
  3. Go to Control Panel > Windows Firewall > Exceptions.
  4. Select File and Printer Sharing. To change the settings on Windows 7
  5. Go to Control Panel > Folder Options > View.
  6. Deselect Use Sharing Wizard (Recommended).
  7. Go to Control Panel > System and Security > Windows Firewall > Advanced Settings > Inbound Rules.
  8. Enable File and Printer Sharing (SMB-In).
  9. Go to Control Panel > User Accounts > Change User Account Control Settings.
  10. Move the slider to Never notify. To change the settings on Windows Server 2003, 2008 R2, and 2012 R2
  11. Go to Control Panel > Windows Firewall > Advanced Settings > Inbound Rules.
  12. Enable File and Printer Sharing (SMB-In).
  13. To allow NTLMv2 security, run gpedit.msc.
  14. Go to Local Security > Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options and change these settings.
      1. Network Security: Minimum session security for NTLMSPP based (including secure RPC) clients , select
         • Require NTLMv2 session security
         • Require 128-bit encryption
      2. Network Security: Minimum session security for NTLMSPP based (including secure RPC) servers , select
         • Require NTLMv2 session security
         • Require 128-bit encryption
      3. Network Security: LAN Manager Authentication level , select
         • Send NTLMv2 response only\refuse LM & NTLM To change the settings on Windows 8 and 10
  15. Go to Control Panel > Folder Options > View.
  16. Deselect Use Sharing Wizard (Recommended).
  17. Go to Control Panel > System and Security > Windows Firewall > Advanced Settings > Inbound Rules.
  18. Enable File and Printer Sharing (SMB-In).
  19. Enable Windows Management Instrumentation (WMI) entry.
  20. Go to Control Panel > User Accounts > Change User Account Control Settings.
  21. Move the slider to Never notify.
  22. Open Group Policy.
      1. Go to Local Policies > Security Options
      2. Set Network access: Shares that can be accessed anonymously to IPC.
      3. Set User Account Control: Run all administrators in Admin Approval Mode to Disabled (recommended).
  23. Apply changes and restart the machine. 注意：即使Winexe远程安装是授权操作，Winexe安装实用程序也可能在授权应用程序安装期间触发误报警警作为“潜在的黑客工具”。 在这种情况下，最佳做法是将USM Appliance的IP地址列入白名单，或者在安装期间暂时禁用防病毒软件。 将AlienVault HIDS代理部署到Windows主机
  24. 转到 Environment > Detection.
  25. 转至HIDS > Agents > Agent Control > Add Agent.
  26. 在New HIDS Agent上，从资产树中选择主机。 USM Appliance使用主机名填充Agent Name，并使用主机IP地址自动填充 IP/CIDR。
  27. 点击 Save.
  28. 点击 按钮部署代理
  29. 在“自动部署Windows”中，键入主机的“域（可选）”，“用户”和“密码”; 然后单击“保存”,USM Appliance组装预配置的二进制文件并将其部署到主机。
  30. 或者，要下载预配置的二进制文件，请单击“操作”列中的按钮。您的浏览器会自动下载文件或提示您下载。
  31. 将名为ossec_installer_ <agent_id> .exe的文件传输到Microsoft Windows主机。
  32. 在Windows主机上，双击以运行可执行文件。安装程序会在控制台中短暂运行，然后显示进度条直到完成。

……没有完成

AlienVault NIDS

AlienVault NIDS在USM Appliance中扮演着重要角色。通过检测恶意网络事件，它为关联指令和互相关规则提供重要信息。将此信息与从其他设备收集的事件相结合，USM Appliance可以全面了解恶意活动。

AlienVault NIDS功能（包括监控网络流量和检测恶意事件）在USM Appliance传感器上进行。您应该在USM Appliance传感器或USM Appliance多功能一体机上配置至少两个网络接口：

• 管理接口 - 使用IP地址配置接口，您可以从网络访问该地址。使用此界面进行管理以及与其他USM Appliance组件进行通信。请参阅设置管理界面。
• 网络监控接口 - 请勿在接口上配置IP地址。而是将接口连接到网络交换机上的跨区或镜像端口，以便USM Appliance可以检查吞吐量。您可以使用多个网络监视接口从单个USM Appliance传感器观察多个网络。请参阅配置AlienVault NIDS。

USM Appliance Server通过插件使用NIDS签名，这些插件生成AlienVault NIDS事件。关联引擎处理并关联规范化事件，然后将它们存储在SIEM数据库中。

AlienVault OSSIM限制：AlienVault OSSIM和USM ApplianceHIDS解码器功能齐全，其所有信息均来自USM Appliance和AlienVault OSSIM提供的插件源更新。 但是，AlienVault OSSIM缺乏通过威胁情报更新提供给USM Appliance的NIDS信息的深度。

配置NIDS

USM Appliance已启用AlienVault NIDS，但您需要执行以下步骤以监控网络流量。

1. 启用一个或多个接口进行监控
2. 添加受监控网络
3. 使用SPAN或镜像端口，配置网络设备以将流量发送到监控接口。

重要提示：AlienVault建议您通过SPAN /镜像端口发送未标记的数据包。 这是因为目前不支持VLAN中继。 因此，丢弃通过其他第2层协议发送的网桥协议数据单元（BPDU）或数据包。 第2层协议包括但不限于思科发现协议（CDP），动态中继协议（DTP），链路聚合控制协议（LACP），端口聚合协议（PAgP），生成树协议（STP）和VLAN 中继协议（VTP）。

启用监控网络接口

如果您有USM Appliance多功能一体机并且尚未完成初始配置，则可以使用“入门向导”启用NIDS监控界面。 请参阅配置网络接口。

否则，您可以使用Web UI（推荐）或AlienVault设置菜单配置网络接口。

To enable an interface using the web UI

1. Go to Configuration > Deployment > Components > AlienVault Center.
2. Double-click the instance you want to configure.
3. Click Sensor Configuration.
4. Click Detection.
5. In the Listening Interfaces area, click the plus (+) sign next to the interface you want to add.
6. Click Apply Changes.

To enable an interface in the AlienVault Setup menu

1. Connect to the AlienVault Console through SSH and use your credentials to log in. The AlienVault Setup menu displays.
2. Select Configure Sensor.
<