文档介绍:编号密级CS-Mars实施手册陕西瑞金电子科技有限公司2009年12月修改记录编号日期描述版本作者审核发布日期本文档中所包含的信息属于机密信息,如无的书面许可,任何人都无权复制或利用。目录1. 前言 文档目的 文档范围 目标读者 32. CS-MARS介绍 43. CS-MARS配置 CS-MARS初始化 CS-MARS网络设备自动发现 添加网络安全设备 定期更新设备发现 104. CS-MARS事件分析介绍 115. CS-MARSRULE 自带RULE规则库 自定义CS-MARS规则 136. CS-MARS拓扑发现及系统统计信息 拓朴结构及设备查看 系统统计信息 177. 安全事件操作(INCIDENT) 查看Incident 攻击分析过程 攻击缓解 218. MARS的报表功能 过去1天最大访问目的IP端口报告 过去1天最大Source设备 过去1天最大Destination设备 过去1天产生Report最多的设备 自定义Report 269. CS-MARS管理 License信息 用户管理 27前言文档目的使用了CISCO公司的CS-MARS系统对全网的安全事件进行统筹管理,目前CS-MARS系统已上线运行,并进行了基本的配置和使用。文档范围本文档用于作CS-MARS系统的使用参考文档。目标读者本文档的主要目标读者为计算机网络项目组相关领导和技术人员。CS-MARS介绍在一个大型的网络系统中,布置了各种各样的网络设备,例如路由器、交换机、防火墙、VPN、IDS/IPS等等,这些设备都带有简单的或者极高的安全规则,在一定范围内保护网络不受攻击。但对一个大型网络来说,设备的数量比较庞大,如果所有的设备事件都一一分析查看,将耗费大量的管理时间和人力,所以一套设备可以对全网中所有的安全事件进行全局管理、分析和决策。CISCO安全监控分析和响应系统(CS-MARS),简单的说CS-MARS的功能就是可以接受各种设备的事件和数据,进行事件分析、汇总,。CS-MARS监控系统是基于TCP/IP协议进行工作,只要是IP路径可达的设备,都可以将本身的Log/Snmp信息发送给CS-MARS系统,由CS-MARS系统收集到网络系统所有的syslog进行统一分析,从全局角度检测系统中存在的故障点。CS-MARS配置CS-MARS初始化MARS系统采用UNIX的内核,重启后第一次进行采用缺省的用户名:pnadmin第一次登录密码:pnadmin配置了passwd后,进入到MARS系统(CLI界面),通过“?”可获取配置命令的帮助由于CS-MARS是基于GUI进行管理,为了可以通过IE登录到CS-MARS系统,在第一次通过CLI登录后,首先需要给连接网络的网卡端口进行IP地址设置。,更新后,MARS自动重启。重启后,还需要给CS-MARS配置缺省网关,。设置了IP地址和GATEWAY后,可以通过ping来测试CS-MARS系统与其它设备的连通性。-----注意事项:MARS有两个物理接口(Eth0和Eth1),其中Eth0用于搜集网络设备的日志信息,Eth1用于带外管理使用。两个接口不允许配置在同一个网段。CS-MARS网络设备自动发现打开IE浏览器,输入,接受受认证证书,登录到管理界面,用户名密码为pnadmin/pnadmin-----注意:提前安装软件SVGView以便可以观看全部MARS提供的全部报表图。第一次登陆时需升级LicenseFiles,该文件可以通过cisco网站使用PAK获得(图二)。munitystring以Core-SW1为例:Core-SW1(config)#snmp-munityciscoROCore-SW1(config)#snmp-serverenabletrapsCore-SW1(config)#snmp--SW1(config)#snmp-->“work”选项,munitystring)后,点击“ADD”,完成相关IP网段之后,点击“submit”,如下图:munity属性按“back”返回主菜单,点击