1.开始使用

当您正式成为灵蜥安全防护平台用户之后,您还需要完成本项目下的1.1-1.3的操作才能正常开启灵蜥安全防护平台强大的云安全服务。

1.1安装代码

安装代码过程需要您从灵蜥平台将我们提供的客户端下载到您将要使用灵蜥产品的服务器中。

灵蜥为多种语言的应用提供安装包。目前可支持PHP、Java、.NET及ASP。

请先选择站点语言、安装方式(自动安装或手动安装)及站点服务器系统(PHP及JAVA站点需确认服务器环境为Windows还是Linux)。选择后即可参照说明进入对应的安装步骤:下载安装包及安装文档后参照对应的安装文档进行灵蜥站点服务安装。

1.2验证网站

请确保1.1的服务安装配置已经完成,并且日志目录为可读可写可操作。 服务安装成功后点击进入下一步进行网站通讯验证,输入网站地址后点击验证按钮即可验证网站通讯。建议此验证网址为长期存在的页面文件。如果该验证文件被删除,灵蜥平台防护也会失去通讯。请谨慎选择网站地址页面文件。

1.3添加站点

通讯成功后点击进入下一步进行站点添加。具体设置操作可参考第八章应用管理处功能说明。

2.主界面介绍

2.1用户信息

页面右上角点击用户名可对当前登陆用户进行密码、资料的修改,及退出登录操作。

2.1.1 修改资料

您可对如上信息进行填写/修改。如上信息尽量能够正确填写,用户保护中的站点出现安全问题我们可以通过这些信息与您能够及时的联系。该操作也可在账户管理-个人设置-修改资料处完成。。

注:RC4_KEY和CONNECT_KEY为用户与云端通讯连接的key。该值可用于客户端与云端的通讯测试。

2.1.2 修改密码

如果您的密码存在泄露的风险或已经泄露给其他人,请您在这里及时进行密码修改。修改密码的时候请确保“原始密码” 正确,如果忘记请退出系统选择找回密码。“新密码”务必和“密码确认”完全一致,否则无法修改成功。修改成功后,请保管好个人密码并且不要随意泄露给他人。该操作也可在账户管理-个人设置-修改密码处完成。

2.2 站点切换

当用户一个账号中有多个站点的时候,可对站点进行切换。用户名左侧显示的为当前所选择的站点名称,点击后会下拉显示其他站点,用户可在此进行站点切换,所有模块显示的数据均为当前所选择的站点数据。

2.3 功能模块选择

点击页面左侧进入对应的功能模块。

3.控制中心

控制中心是灵蜥的汇总看板,该模块为用户提供了一段时间内的安全概况、防护监控、攻击类型与风险占比、防御日志等重要信息,用户可通过本模块快速的把控应用的整体安全情况。

注:该模块默认加载60天内全部危险等级的攻击数据,时间范围及危险等级可自由选择。

3.1 顶部功能介绍

顶部为用户呈现选定时间内该应用的安全数据概况,显示易受攻击的文件、目录及上次安全扫描的相关信息,还可快速进入扫描计划定制;

可疑文件:所选时间内外部攻击中企图上传的和站点中被攻击的可疑文件数量总计。

黑客人数:所选时间内的一个不重复的攻击ip记为一个黑客人数。

攻击终端:所选时间内的一个不重复的攻击终端cookie记为一个攻击终端。

站点丢失:灵蜥每测试一次站点连接,无法连接上记为一次站点丢失。

定制扫描计划:点击可快速定制新的文件扫描计划,也可至系统配置/文件扫描计划模块添加。

扫描:对当前应用进行快速扫描、完整扫描或对选择应用进行自定义扫描。也可点击后门扫描模块进行该操作。

3.2 防护监控

所选时间内的应用防护监控情况,两种模式可在应用管理中通过编辑对应的应用修改。

防御模式:对所选择的攻击类型的攻击进行拦截并记录;

监控模式:仅对攻击事件进行记录,不提供攻击防护。

3.3 攻击类型&威胁等级占比

攻击类型与威胁等级的占比饼状图,外圈为攻击类型占比,内圈为危险等级占比;

3.4 攻击类型排序

对系统受到的攻击类型进行排序;

3.5 发起攻击的终端系统排名

对攻击者使用的操作系统进行排序;

3.6 攻击来源排名

对攻击者的来源地区进行排序;

3.7 防御日志

防御日志以列表的形式记录每条攻击的详细情况,可通过点击查看详情来查看该条攻击的各项具体信息。

点击查看攻击详情,可查看该次攻击的更多信息,同时可将该攻击加入白名单,点击加入白名单后,该白名单可在系统配置/白名单处查看或删除。加入白名单后,以后系统不会拦截该攻击以及攻击路径及参数名称和该攻击完全匹配的攻击。白名单可在系统配置/白名单模块查看。

4.攻击分析

在攻击分析模块,灵蜥系统通过多种图形化呈现,可以直观及时的了解到攻击者坐标,地理位置,攻击渠道等多维信息,便于安全管理人员全面分析并采取正确措施

注:该模块默认加载60天内全部危险等级的攻击数据,时间范围及危险等级可自由选择。

4.1 全球攻击源监听

通过全球视角定位攻击来源,可切换视角到省市级具体位置。点击地图可切换至相应的国家或省市的视角,右侧展示该视角地区内的具体数据;点击左上角按钮可切换至世界地图。

4.2 攻击类型占比

通过占比可及时了解到系统存在何种薄弱环节易被黑客利用,灵蜥可识别如下攻击: 可疑文件上传、SQL注入、反射性跨站、文件操作漏洞、存储跨站、Struts攻击、畸形文件攻击、可疑文件、xml实体注入攻击。

4.3 攻击渠道排序

可显示您的系统更易受到来自哪种渠道的攻击。

4.4 攻击时段分布

显示系统极易在某些时段受到攻击,继而分析出黑客攻击作息,制定防御措施。

4.5 攻击详情

点击右上角的按钮,可按不同的方式(攻击类型、攻击来源、攻击文件、攻击日期、攻击时间)将站点所受攻击进行分组显示。点击查看详情查看该组的攻击详情及该组内每次攻击的详情。

如下,按攻击类型显示,

点击第一行(SQL注入)的查看详情可显示攻击类型为SQL注入的攻击汇总聚合列表

注:同一秒内的相同攻击聚合为一条记录,攻击次数为该条记录聚合了几条攻击。

点击详情可查看该条聚合记录的详细信息。

5.可疑文件

可疑文件模块中可集中处理灵蜥通过后门扫描或执行文件扫描计划时检测出来的可疑文件,用户可以通过对相关信息的判断后对可疑文件进行相应处理(信任此文件或在站点服务器删除此文件)。

5.1 功能介绍

点击信任此文件后,下次进行后门扫描或执行文件扫描计划时灵蜥不会再将该文件显示为可疑文件。已信任的可疑文件可在信任文件中查看,也可对已信任的可疑文件做排除此文件处理,排除后,灵蜥在以后的后门扫描和执行文件扫描计划时会再次将该文件列为可疑文件。

6.后门扫描

后门扫描模块可使用快速、完整自定义三种方式对当前应用或多个应用进行可疑文件扫描。扫描结果清晰呈现,可疑文件支持加入白名单操作。可追溯查看历史扫描详情。

6.1 扫描方式介绍

6.1.1 快速扫描

开启扫描后,系统会对当前应用进行关键区域扫描。

6.1.2 完整扫描

开启扫描后,系统会对当前应用的所有文件进行完整扫描。

6.1.3 自定义扫描

可以针对单个或多个站点进行完整或快速扫描。

6.2 查看已完成的扫描记录

点击已完成可查看已完成的历史扫描记录,选中某条记录可在下面查看对应的扫描结果(可疑文件),该处也可对可疑文件做信任可疑文件处理。若想查看已信任的可疑文件或排除信任的可疑文件,请至可疑文件模块操作。

7. 补丁管理

因应用开发阶段或需求不同,导致某些系统可能存在一些已知且特有的漏洞,针对这些漏洞,灵蜥提供补丁自定义修复服务,成功安装后,灵蜥会将该补丁加入到针对该应用的防御措施中。

7.1添加/编辑补丁

待安装补丁中,可以新建补丁、编辑待安装补丁和安装补丁。

1. 点击安装/编辑补丁后:首先填写关于该补丁基本信息。

2. 然后填写该补丁的触发条件,如下图,代表当请求该URL的参数中的name参数中有数字时,则该补丁被触发。

注:

equal:完全匹配参数值。如name equal 2,则name值为2时,触发该补丁;

Like:模糊查询参数值。如name like 2, 则name值中有2时,触发该补丁。

Preg: 正则表达式匹配参数值。如name preg \d,则name值中有数字时(正则表达式\d代表0-9的数字),触发该补丁。

3. 添加补丁内容信息,如下,将get方式中的参数name的参数值中的数字替换为tt。

注:

参数所在: 即该参数的传递方式:get\post\cookie\server (cookie\server两种传递方式仅支持php语言的站点)。

使用函数:

preg_replace:如下图,将name参数中的\d(0-9的数字)替换为tt。(查找范围默认为原输入内容)。

Str_replace:例如,name str_replace_tt(dotnet站点需在第一个参数位置写一个替换值;JAVA/PHP需在第二个参数位置写一个替换值), 即将name参数中的值直接替换为tt。

addslashes:例如,name addslashes (后面不需写任何参数值),即将name值中的‘/”(单引号或双引号)前面加上\(反斜杠)。

Asp语言站点暂不支持补丁功能。

4. 保存后,可在待安装补丁中看到该补丁。

5. 点击安装补丁后,可在已安装补丁中看到该补丁。若想修改该补丁,需先在已装补丁中卸载该补丁,然后在待安装补丁中修改该补丁。

8.应用管理

应用管理中用户可以根据颜色不同了解所有应用的威胁状态并可对应用进行增加、修改、分析、扫描、补丁等操作。

8.1 添加应用

点击后会跳出组件安装界面,若还未安装服务,请选择“第一次使用,需要引导”,组件安装功能请参考“安装服务”处功能介绍;若已完成服务安装,请选择“我已安装组件,跳过引导”。

8.2 设置应用

新建应用的最后一步或点击已建应用的编辑按钮,可对应用进行模式模块设置。

响应模式:可选被动模式或主动模式。被动模式下灵蜥客户端可接收外部请求(来自灵蜥服务器);主动模式下灵蜥客户端不接收外部请求,能主动向外发送请求。主动模式下,添加站点时不强制进行通讯检测,因不接收外部请求,主动模式下不支持补丁管理、后门扫描、文件扫描计划、添加白名单等功能。

通讯状态:点击检测可对灵蜥与该站点应用间的通讯状态进行检测。若为通讯异常,请及时检测应用站点的网络状况或联系灵蜥工作人员进行处理。

防御模式:对所有的攻击进行拦截并记录。

监控模式:仅对攻击事件进行记录,不对攻击进行防御。

模块开关:自定义该模块防御/监控何种类型的攻击。注:该处默认不开启反射性跨站存储跨站模块。如有需要,开启这两个模块后请先测试确定网站功能不受影响。

8.3 应用列表顶部颜色说明

探针丢失(灰色):灵蜥与该站点间通讯异常。

正常(蓝色):灵蜥与该站点间通讯正常且该站点还未检测到任何攻击。

高危(红色)/中危(黄色)/低危(绿色):对应该站点上一次受到攻击的攻击等级。

8.4 应用切换

灵蜥系统中每个用户可添加多个应用,应用可在灵蜥页面的右上角点击切换,切换后各模块显示的为被切换到的应用的数据。

9.账户管理/告警设置

通过设置该模块,即使用户在不打开灵蜥系统的情况下,仍可以第一时间通过邮件或短信接收到应用攻击提醒与安全提示。

9.1 邮件告警设置

可自定义接收告警的邮箱、告警邮件的格式、每日发送的邮件配额及是否接收告警通知。

如下,存储跨站攻击告警

9.2 短信告警设置

可设置接收告警的手机号、每日短信接收上限、是否接收告警通知及免打扰时间。

手机接收告警信息如下:

9.3 微信告警设置

打开手机微信后扫描二维码,关注安百科技后便可接收灵蜥的防御通知。

关注后,可查看绑定用户、解除绑定和更改账号。可设置针对绑定微信号的每日配额、是否接受告警通知及免打扰时间。

微信接收告警信息如下:

10.系统配置/文件扫描计划

灵蜥的文件扫描计划可以有效释放用户有限的精力。用户可按照需要制定扫描周期与扫描方式,并可跟踪计划执行情况采取相应措施。

10.1 定制计划

点击定制计划可添加新的扫描计划。每个应用最多可添加三个扫描计划。

10.2 暂停、编辑、删除扫描计划

鼠标放到已添加的扫描计划上后,可暂停、编辑或删除该扫描计划。

10.3 执行明细

显示已执行的扫描计划的类型、进度、时间等信息。

10.4 查看详情

点击查看详情,可查看该条扫描计划的执行详情及扫描结果(可疑文件)。

11.系统配置/白名单安装服务

用户可以使用白名单模块制定请求通过策略,根据设置请求地址,请求参数等信息准许特殊请求的传入。

11.1 添加/编辑白名单

添加/编辑白名单时,需填写请求地址及请求参数,若允许传递的参数为多个,则多个参数之间以英文半角逗号隔开。

注:灵蜥系统会允许通过和白名单中设置的请求地址及参数名称及个数完全匹配的请求。如下图的白名单,添加成功后,若灵蜥检测到对该地址的新请求包含的参数为name和sql时,灵蜥系统允许该请求传入。若请求包含的参数仅为name或sql参数中的一个或包含其他参数(参数不完全匹配)时,请求不被灵蜥允许传入。


安百首页 关于我们 隐私政策 安百招聘
CopyRight ©

安百科技(北京)有限公司 ICP备案:京ICP备14061156号-3