Tiếp tục với bài viết về Giải pháp Attivo Network. Bài viết này thiên về cài đặt và cấu hình thiết bị.
Như bài trước, mình có viết về thiết bị Attivo BOTsink, đó chính là cốt lõi của bộ giải pháp này.
Mục lục
Cài đặt và cấu hình Attivo BOTsink 3500
Kết nối vào hệ thống mạng
Sơ đồ đấu nối:
Ở mô hình này, ta đấu nối thiết bị Attivo BOTsink như hình vẽ: Một cồng Mgmt port ta nối dây với một PC để có thể thực hiện cấu hình ban đầu.
Lắp thiết bị lên kệ rack, sau đó nối nguồn, hai nguồn phải được cắm.
Port 3 ta cắm dây Ethenet, dây này nối với một Switch Access layer 2 trong mạng nội bộ.
Change Password
Đầu tiên ta đăng nhập bằng account default được cấp bởi hãng:
Username: admin
Password: Attivo1$
Khuyến khích nên đổi Password để đảm bảo về sự bảo mật cho hệ thống.
Add local User
– Ta có thể chọn phương thức xác thực người dùng bằng cách: người dùng local, AD hoặc RADIUS để log in vào thiết bị Attivo BOTsink.
– Các bước thực hiện:
1. Nhấp vào nút Administration và chọn User Accounts | Configuration.
Trang Configure Users chỉ cho phép truy cập từ thiết bị BOTsink chứ không thể dùng BOTsink CLI user.
2 Để thêm một user, nhấp Add và xác định các chi tiết user trong các trường tương ứng.
3 Nhấp Save để lưu lại user.
4 Trong trang Configure Users, nhấp vào nút the tương ứng để chỉnh sửa hoặc xóa một user đi.
Cấu hình User Role
- Trong trang User Role thì bạn được cho phép bạn sử dụng vai trò cấu hình mà bạn cung cấp quyền như vậy mà người dùng chỉ có thể truy cập vào các tính năng hoặc cấu hình nhất định trong BOTsink.
- Theo mặc định, BOTsink cung cấp bốn vai trò xác định trước như sau:
- Super User: Cho phép truy cập bộ hoàn chỉnh các tính năng và cấu hình trong BOTsink.
- System Administrator: Cho phép truy cập tình trạng hệ thống, tình trạng VM, lỗi, các bản ghi kiểm toán, nhật ký điện thoại và báo cáo.
- SOC Operator: Cho phép truy cập Bảng điều khiển, phân tích và Tải tab.
- Malware Administrator: Cho phép cấu hình truy cập phần mềm độc hại và báo cáo.
Các bước cấu hình
- Nhấp vào nút Administration sau đó chọn User Accounts | Roles.
- Nhấp Add.
- Trong màn hình Configuration, cung cấp tên của role.
- Chọn tính năng mà bạn muốn truy cập vào user khi không dùng BOTsink và nhấp Save.
Cấu hình tích hợp Active Directory trên BOTsink 3500
Vào Administration => User Accounts => Active Directory.
Sau đó chọn nút Add, điền thông tin: địa chỉ IP, để Port là Port Default 389. Sau đó bấm Ok để lưu lại.
Sau khi đã tích hợp thì ta tiến hành test để xem giữa Attivo BOTsink có kết nối với AD, ta bấm vào nút Test connection.
Nhập Username và password.
Ta bấm Ok. Nếu nó hiện lên thông báo “Successfully Authenticated” nghĩa là đã được kết nối thành công.
Cấu hình địa chỉ IP cho thiết bị
Vào Administrator => Management => IP Settings:
Mình vào đây để cấu hình địa chỉ IP cho thiết bị.
Test domain: Với domain mi2.com, nhấn “Test”.
Cấu hình Whitelist network scanning:
- Ta có thể tạo whitelist cho thiết bị đầu cuối dựa vào Domain.
- Ta có thể tạo một whitelist với domain ngoài hệ thống để các decoy ảo có thể giao tiếp.
- Ta có thể tạo một domain với C&C whitelist.
- Các bước thực hiện cấu hình:
1.Nhấp chọn Configuration, sau đó chọn Policies | Whitelist | Scanner Whitelist.
2. Chọn Add.
3. Trong ô Description, điền thông tin về whitelist record.
Trong phần Source, chọn Single hoặc Range dựa vào ta muốn xác định địa chỉ IP bằng cách nào.
4. Nhập địa chỉ IP hoặc địa chỉ IP bắt đầu và địa chỉ IP kết thúc trong dải địa chỉ IP.
5. Thực hiện theo dõi nếu như ta muốn chặn kết nối từ một địa chỉ IP ở trong whitelist record.
Decoy máy ảo
Ở đây, mình Decoy một máy Windows 7 64bit.
Ta vào Configuration => Decoys => BOTsink.
Sau đó, mình Add, điền các thông tin:
Nội dung bài viết hand-on lab về thiết bị BOTsink kết thúc ở đây. Hứa hẹn sẽ có thêm một số bài hand-on lab.
Cảm ơn các bạn đã theo dõi bài viết.
Bạn có thể tương tác và cập nhật thông tin mới nhất của Nhóm Facebook ITFORVN, Các khóa học mới do group tổ chức tại «Portal»