Tiếp tục với bài viết về Giải pháp Attivo Network. Bài viết này thiên về cài đặt và cấu hình thiết bị.

Như bài trước, mình có viết về thiết bị Attivo BOTsink, đó chính là cốt lõi của bộ giải pháp này.

Mục lục

Cài đặt và cấu hình Attivo BOTsink 3500

Kết nối vào hệ thống mạng

Sơ đồ đấu nối:

Ở mô hình này, ta đấu nối thiết bị Attivo BOTsink như hình vẽ: Một cồng Mgmt port ta nối dây với một PC để có thể thực hiện cấu hình ban đầu.

Lắp thiết bị lên kệ rack, sau đó nối nguồn, hai nguồn phải được cắm.

Port 3 ta cắm dây Ethenet, dây này nối với một Switch Access layer 2 trong mạng nội bộ.

Đầu tiên ta đăng nhập bằng account default được cấp bởi hãng:

Username: admin

Password: Attivo1$

Khuyến khích nên đổi Password để đảm bảo về sự bảo mật cho hệ thống.

– Ta có thể chọn phương thức xác thực người dùng bằng cách: người dùng local, AD hoặc RADIUS để log in vào thiết bị Attivo BOTsink.

– Các bước thực hiện:

1. Nhấp vào nút Administration và chọn User Accounts | Configuration.

Trang Configure Users chỉ cho phép truy cập từ thiết bị BOTsink chứ không thể dùng BOTsink CLI user.

2 Để thêm một user, nhấp Add và xác định các chi tiết user trong các trường tương ứng.

3 Nhấp Save để lưu lại user.

4 Trong trang Configure Users, nhấp vào nút the tương ứng để chỉnh sửa hoặc xóa một user đi.

Trong trang User Role thì bạn được cho phép bạn sử dụng vai trò cấu hình mà bạn cung cấp quyền như vậy mà người dùng chỉ có thể truy cập vào các tính năng hoặc cấu hình nhất định trong BOTsink.
Theo mặc định, BOTsink cung cấp bốn vai trò xác định trước như sau:
Super User: Cho phép truy cập bộ hoàn chỉnh các tính năng và cấu hình trong BOTsink.
System Administrator: Cho phép truy cập tình trạng hệ thống, tình trạng VM, lỗi, các bản ghi kiểm toán, nhật ký điện thoại và báo cáo.
SOC Operator: Cho phép truy cập Bảng điều khiển, phân tích và Tải tab.
Malware Administrator: Cho phép cấu hình truy cập phần mềm độc hại và báo cáo.

Nhấp vào nút Administration sau đó chọn User Accounts | Roles.
Nhấp Add.
Trong màn hình Configuration, cung cấp tên của role.
Chọn tính năng mà bạn muốn truy cập vào user khi không dùng BOTsink và nhấp Save.

Vào Administration => User Accounts => Active Directory.

Sau đó chọn nút Add, điền thông tin: địa chỉ IP, để Port là Port Default 389. Sau đó bấm Ok để lưu lại.

Sau khi đã tích hợp thì ta tiến hành test để xem giữa Attivo BOTsink có kết nối với AD, ta bấm vào nút Test connection.

Nhập Username và password.

Ta bấm Ok. Nếu nó hiện lên thông báo “Successfully Authenticated” nghĩa là đã được kết nối thành công.

Vào Administrator => Management => IP Settings:

Mình vào đây để cấu hình địa chỉ IP cho thiết bị.

Test domain: Với domain mi2.com, nhấn “Test”.

Cấu hình Whitelist network scanning:

Ta có thể tạo whitelist cho thiết bị đầu cuối dựa vào Domain.
Ta có thể tạo một whitelist với domain ngoài hệ thống để các decoy ảo có thể giao tiếp.
Ta có thể tạo một domain với C&C whitelist.
Các bước thực hiện cấu hình:

1.Nhấp chọn Configuration, sau đó chọn Policies | Whitelist | Scanner Whitelist.

2. Chọn Add.

3. Trong ô Description, điền thông tin về whitelist record.

Trong phần Source, chọn Single hoặc Range dựa vào ta muốn xác định địa chỉ IP bằng cách nào.

4. Nhập địa chỉ IP hoặc địa chỉ IP bắt đầu và địa chỉ IP kết thúc trong dải địa chỉ IP.

5. Thực hiện theo dõi nếu như ta muốn chặn kết nối từ một địa chỉ IP ở trong whitelist record.