《TDA安装测试QA手册.docx》由会员分享,可在线阅读,更多相关《TDA安装测试QA手册.docx(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、TDA 安装测试 Q&A 手册问题 1: TDA 在网络中部署后访问 Eicar 下载病毒样本觉察 TDA 无法报警解答:1、确认测试主机访问互联网的数据是否能够被 TDA 监控到,此问题可能由于交换机上设置的镜像口无法监控到主机访问互联网的数据,在确定交换机镜像口能够监听的网络区域后选择正确的测试机;2、在配置交换机镜像口时是否只做了单向镜像,可将笔记本连接到交换机镜像口上进展抓包分析;3、交换机镜像的数据是否流量过大,TDA 最高只能够支持 800M/bps 的流量, 假设处理高于 800M/bps 流量的数据可能会发生丢包现象;问题 2: TDA 日报中总是报“未注册的 DNS 效劳器”
2、解答:在 TDA 日报中总是报如下的信息,未注册的 DNS 效劳器,此问题是由于在部署 TDA 时候没有依据要求将用户网络使用的 DNS 效劳器填写到 TDA 的“DNS”注册效劳当中,如以下图所示,将 DNS 效劳器地址注册即可。问题 3:如何确定 MOC 能够收到 TDA 日志解答:在将 TDA 部署到用户网络中后通过点击“Threat Management Services”中的“Test Connection”测试与 MOC 的连接是否正常,但在某些时候即使连接正常也会消灭 MOC 无法承受 TDA 日志的状况,所以我们需要进一步进展测试 MOC 是否能够收到日志。在 Transmit
3、 Logs Every 中选择“Days”,然后设定一个马上到的时间, 在此时间之后联系 MOC 询问是否收到 TDA 上传的日志,以确保 TDA 能够将日志正常传送到 MOC。问题 4:企业外部的主机感染 Downad 病毒后在互联网中进展扫描,部署在企业内部的 TDA 是否会报警解答:TDA 只针对企业内部主机主动发起的连接进展威逼监控,外网对企业内部的扫描是由外网主机主动发起的连接,TDA 对于这种行为不予监控。例如:在某些用户的 TDA 日报中觉察某个内部主机存在 Downad 病毒风险,如以下图所示,但在 TDA 产品界面中查看的日志显示此次行为 Src IP 为外网地址实际上此次报
4、警是由内部某主机通过 P2P 连接下载 Downad 的病毒,在日志中Src IP 为外网主机是由于检测到的威逼数据包是由外网主机发送给内网主机的, 但此次连接是有内网主机主动建立的。问题 5:如何获得 TDA 收到的数据包进展排错和分析解答:翻开 web 掌握台-Administration-Network Interface Settings 页面下,在 Date port 下的 Packet Capture,点击 Start 按钮。抓取数据包。然后点击下面 Export 以导出数据文件。使用 Ethereal、Iris、Sniffer 等抓包工具翻开导出的数据包即可进展分析。问题 6:
5、TDA 在大型网络中部署,如何做到最好的监控效果?解答: TDA 在大型网络中部署,核心层的数据量很大,会聚层的交换机数量很多,并且有大局部流量不经过核心交换机的时候,我们建议用多台不同型号的 TDA 来部署在不同的位置,以到达最好的监控效果。在核心层交换机部署高端 TDA6000,镜像端口主要监控进出 Internet 的流量,在处理力量允许的状况下,镜像局部重点网段的流量。在会聚层交换机部署中端 TDA3000,镜像端口主要监控该网络段的流量。问题 7: TDA 在内网中部署,不能访问 Internet,还能应用云安全的技术吗?解答: TDA 部署到内网,虽然不能实时的与云端的数据库同步,
6、但是内置的五大核心技术 VSAPI Engine VSAPI xTrap Engine Network Content Inspection Network Virus Engine Web Reputation Services能够实时的分析网络中的特别流量,应用了趋势科技云安全技术的信誉评估和关联分析来定位和觉察网络中存在风险的节点。TDA 也需要不断更,建议通过手动的方式来与云端的数据库同步来到达最好的防护效果。问题 8: TDA 假设注册到趋势的监控中心,数据外泄或者担忧全怎么解决?解答: 假设用户可以承受注册到趋势的监控中心,那么我们可以强调链接的安全性和数据猎取的安全性,即:通过
7、SSL 加密的方式注册到监控中心,收集的数据只是网络当中恶意代码的发出的流量,对正常的数据不做上传的动作。假设用户对数据的机密性要求很高,不允许注册到趋势,那么我们建议在用户的内网部署 TMSP,建立本地的日志分析和报表系统。问题 9: TDA 既然能够分析 2-7 层的流量,那么在治理界面看不到具体的流量分析?解答: 趋势科技的 TDA 关注的是网络中 2-7 层的恶意代码造成的特别流量,正常的流量在治理界面的 Traffic 中有粗略统计。TDA 不同于特地的流量治理设备,因此在治理界面看不到具体的流量分析。问题 10: 在我们的网络当中,TDA 觉察了很多问题,如何进展去除和修复,有没有
8、自动的方式?解答: 我们会借助根源分析、端点策略实施以及损害去除和恢复实施全网威逼缓解。供给主动威逼治理解决方案,包括定制的威逼报告、事故分析评估和补救方 法。假设用户承受的是趋势科技的防毒产品,则可以通过病毒库更及专杀工具分发来自动去除;假设用户承受的其他厂商的防毒产品,则通过去除工具和软件来逐台来去除。另外趋势在国外用户测试 TMTM 产品和解决方案,不管用户承受何种品牌的防毒产品,TMTM 都能实现自动去除,无需治理员干预,国内要承受还需要等待一段时间。问题 11:客户网络很大,一台 TDA 没有用?解答:对于省级等行业客户,他们的网络往往跨城域网、广域网,如移动、金融、政府、大型企业。
9、要分析到整个网络各级组织的安全威逼,是需要实行分布式方式多级部署 TDA 设备的,是做大工程的很好时机。然而,有的客户业务相关性强、行政治理上关系弱,上级单位没有经费为下级单位选购设备,对于这种状况建议实行分步骤建设先总部中心后分支下级。通过在总部单位应用 TDA 是可以觉察全网中大量的安全威逼,由于目前大量客户的业务系统主要实行 B/S 架构,应用相对集中,80%的数据流量都会上行到总部单位来。所以,当客户网络很大时,在总部部署一台 TDA 也是有明显效果的。问题 12:建议将哪些网络流量镜像给 TDA 分析?解答:当我们在部署 TDA 时,建议: 在不超过 TDA 硬件吞吐量(800Mbp
10、s)的前提下,尽可能多的镜像网络流量给 TDA。 先是镜像核心交换机的上行口,如连接数据中心或者连接互联网,这类接口的流量相对集中。 再是一些网络内部骨干会聚链路。 有 DNS 效劳器的肯定要镜像出来,否则可能会在 TMS 报告上显示 DNS 效劳器被感染了 bot 程序。 假设安全大事很少,再渐渐增加镜像流量。 通过增加部署 TDA 设备数量,可以监控到更多网络流量。问题 13:TDA 只能觉察问题,不能直接处理掉,反而增加了治理员工作量?解答:对于一些政府等官僚组织,治理员往往期望“一条龙”效劳。TDA 只能觉察问题是不能满足这类客户需要的。建议做法: 陈述趋势科技有 TMTM 自动化处理
11、方案,但是像 FW+IDS 联动的自动化方案一样,建议觉察问题时治理员干预后再处理为好。 在方案里包括 TRS 效劳,承诺趋势效劳商 TMSN 会依据觉察的问题准时上门处理。 治理员往往是反感要去很多终端计算机上处理问题。所以,需要告知客户TDA 觉察的问题的处理措施很多,可以在终端计算机上杀毒处理,也可以在网关设备上完善策略,也可以通过行政通报让下级治理员处理。问题 14:有了桌面防病毒软件和网关防毒墙,为什么还需要 TDA?解答:这往往是趋势老客户通常都会提出来的问题,客户会感觉使用了趋势大量产品而没有提升信息安全水平,却是一年又一年在购置趋势的产品。安全建设思路的沟通是关键,以下供参考:
12、桌面防病毒软件和网关型设备网关防毒墙、IPS都是解决某个“点”问题的方案。对于中国客户而言,桌面防病毒软件掩盖率始终是一个头痛的问题,掩盖的“点”不够必将影响实际效果。而网关型的设备由于需要考虑效率和安全的平 衡,往往是过滤多数问题。所以,网络内安全问题肯定会存在。而 TDA 实行旁路监控方式,是从“面”的角度着手,能够很好的提高掩盖率, 不管是否安装防病毒软件或者何种品牌都可以治理到。其次,TDA 可以觉察未知威逼,如未知病毒,更侧重在风险治理的角度帮助客户提高信息安全水平。TDA 也是一种检查评估手段,滚动式的推动信息安全工作。“点”、“面”结合是信息安全建设必由之路。问题 15:如何通过
13、测试表达 TDA 的价值?解答:通过测试推开工程成功的方法,供参考: 先期沟通 TDA 的功能、工作原理、差异化亮点,帮助客户具备根本的了解; 当客户对上述问题有疑虑、信念不够时,推动测试来验证; 测试前具体沟通,上线后让 TDA 产生有丰富内容的报告; 选择一两例问题计算机处理安全威逼,让客户信任觉察的威逼不是误报; 重点针对客户关注的方向,如蠕虫大事或者信息窃取大事或者 bot 大事来阐述大事的缘由、危害、处理方法,让客户信任 TDA 能够提升信息安全水平。问题 16:TDA 觉察了一堆问题,客户说“不用它,我都知道网络里有很多问题”。解答:一种状况:这类客户往往是对 TDA 或者对供给商
14、、厂商有对立心情的客户或者由于是处理领导交办事情有心情的一线工程师。建议:获得与客户真正地、深入沟通时机,阐述 TDA 精准定位价值,而不是模糊的感觉网络有问题。解读政府及相关行业主管部门对木马和僵尸程序监管的强制要求,以及对个人职业生涯的影响。另一种状况:这类客户的信息安全建设还在起步阶段,治理粗放,信息系统也不那么重要。TDA 对他们而言确实有些超前,他们更情愿却购置防毒墙、终端准入系统等。所 以,需要准确评估客户的需求和关注点。问题 17:TDA 测试时日志网络信息不准确? 解答: 确定 TDA 是否部署到正确的位置,是否镜像的双向的流量 与用户沟通,确定设备内监控网络的地址是否正确,I
15、P 地址段是否为正确的客户端地址。问题 18:TDA 测试时如何选择正确部署位置?解答: TDA 测试时要充分了解客户的网络拓扑状况; 与用户沟通,确定被监控的客户端范围; 然后将 TDA 部署到离客户端最近的交换机上; 问题 19:TDA 测试时报告信息量少问题?解答: 首先,确定 TDA 是否正确的部署到网络中,假设没有正确部署,请依据手册重部署。 其次,交换机上是否正确的镜像了客户端的双向流量,假设没有正确镜像,请网管帮助调整镜像流量; 最终,对分析 TDA 的 Log 进展分析,假设用户网络确定没有什么问题,请调整 TDA 测试的部署位置。问题 20:TDA 测试时,MOC 供给的报告缺乏以说明测试效果?解答: 请 MOC 提高一份比较完整的 TDA Log 信息,并对 Log 进展分析,确定用户的网络确实没有问题; 假设在 Log 中觉察用户网络中有问题存在,可以到趋势网站查询相关问题信息,并记录下来; 对报告进展加工,补充 MOC 报告中缺失的局部。
限制150内