[大数据]绿盟ESPC

ESPC主要是监测防御类设备产生日志并把日志给ESPC集中收集分析也可以统一集中管理统一下发策略。

理论知识

版本

ESPCv6.0? 基于Windows安装 已经下架 不在维护。

ESPCV7.0? 基于 Linux安装 安装到服务器 只要能建立通信就能管理。

功能 设备管理，日志报表，策略管理，资产管理，用户管理，系统管理，级联功能。

相关原理

ESPC分五层去看

安全业务 告诉平台查询日志。

业务管理 设备进行管理 应用管理 策略管理 用户管理 配置管理。

数据处理 ESPC收到了下面给的资源解析并且标准化（标准化，waf 跟 idps产生的日志格式不一样 把他们日志格式化标准化）然后去重（去掉重复）通过缓存放进数据库中。

数据接入 把下面的资源通过各种方式收集起来:A接口 SNMP 规则等等。

资源 该层负责把防火墙，IDPS，漏扫，等设备产生日志提供发给ESPC的A接口。

整体流程

各种安全设备产生日志——————>A接口（数据采集）————————>数据队列分二种模式——————>小数据(小于700条/S )——————>所有日志放在PostgreSQL数

????????????? ——————>大数据（大于700/S小于2000/S）————>告警日志在HDFS中 设备审计在PostgreSQL————————>然后进行分析 交流 查询 去重等等 ————>在然后可视化

还有一个选择小数据 大数据的标准

（小数据每月小于1亿条 大数据每月大于1亿条）

登入方式

V6.0(已经不支持更新)

支持的操作系统

Win server 2003 SP2 32

Win server 2008 R2 64

Win server 2012 R2 64

ESPC 默认密码是 admin?? 联动设备时注意版本信息

最低配置I7 8核???? 内存8G? 硬盘 1T NTFS格式

推荐配置Xeon 24核 内存32G 硬盘 2T NTFS格式

V7.0

安装包是RUN

V7R00F03SP02支持7.2版本 V7.0R00F03和F04支持7版本以上的（大改动是F0x 小改动是SP0x ）

支持操作系统

F03以前的版本只能装

Cento6.5

Redhat6.5

支持的虚拟平台

VMware KVM XEN

访问浏览器

谷歌 火狐 IE11

硬件要求

小数据最低配 I3 2核4线 内存4g? 硬盘是 500G 格式是EXT4

推荐配置 I3 4核8线 内存16G? 硬盘是1T 格式是EXT4

大数据最低配 I7 4核8线 内存35G? 硬盘是1T 格式是EXT4

系统最后好是 64位

安装工作

IP地址 服务器的IP地址

账户必须是 ROOT

时间跟正确时间一致

主机名是网络中唯一的（不要用默认）

子系统是basic server 并建议关闭SELmux

业务呢最好是单独只部署ESPC不允许布置其他

导入证书

占用端口

NPAI V2/V3 占用端口是TCP的 5005 5006 5050 10002 5002 5003 50071 20001 47600-47700 对外监听 ?（网络通信协议）

HIVE 服务 占用端口TCP 10000 对外监听 ?（数据库工具）

Kafka 占用端口 ?TCP? 2181 集群模式是对外监听 单机是本地监听 ?（分布式日志系统）

大管家服务 ?占用端口 tcp??? 8100? 8101 8102 8103?? 本地监听 ?其中8103是HTTP 对外监听

Web服务 ?端口 http 8080 443? 对外监听 ?其中443是TCP

数据库 端口TCP 5432? 对外监听

HDFS服务 端口TCP 50010 50073 50020? 50070 9000 8019? 对外监听 ?其中50070是HTTP? （分布式文件系统）

Spark服务 端口 TCP 7077 4040 7777 其中7777是HTTP 都是对外监听 （大规模计算引）

Dubbo? TCP 20880~20990 单机本地监听 集群对外监听 （java框架 提高吞吐量 等等）

应用容器 ?TCP 8200~8300? 对外监听

数据存储 ?TCP 50061 7600~7700? 6379 非监听端口 其中6379本地监听单机 集群是对外监听

实践步骤

安装步骤

上传安装包

第一步看时间 ?命令date //差几秒是没问题// date -s 21/07/2021 把时间改成2021.7.21

然后找到安装包的位置

校验MD5值 命令 MD5sum 安装包位置 //一定要与买的时候给的MD5一样

改权限 chmod 777 安装包位置 //给所有用户权限‘ 最小是744

./安装包路径 ?//安装程序’

安装成功后看开始部署

部署步骤

访问服务器IP地址 比方是192.168.2.1

选择单机 或者集群

大数据 小数据

设置ESPC的管理地址 一定要是服务器地址 ?这里就是192.168.2.1

然后登入ESPC web服务 默认是admin 然后改密码

然后导入证书 ??

注意事项 不要删除ESPC创建账号 密码 目录

???????? 不要修改节点IP地址

????????????? ? 安装时新增加内存 硬盘 大于4G OPT目录大于500G

支持联动设备

查看ESPC版本信息 cat /opt/nsfocus/espc/majordomo/conf/nodes.json

版本与设备联动对应

联动步骤

登入需要联动的设备

在系统 安全中心 ?本地IP地址 写 网页的地址 企业安全中心写ESPC的地址

新A接口 接口版本是V3 老A接口是 V1? 老A唯一区别要点重启引擎

注意

要是admin账号被锁用security账号密码一样 进行解锁

要是密码忘了 要传一个文件上去然后执行这个文件 具体文件不能说

注意一定要做数据限制 做个备份等

超限管理定期删除备份