奇安信天眼_探针/分析平台部署及联动

大家好，欢迎来到IT知识分享网。

一 概述

奇安信天眼主要包括威胁情报（软件）、分析平台（硬件）、流量传感器（硬件）和文件威胁鉴定器（硬件）四个模块组成。

一般仅需分析平台，流量传感器（探针）这2台设备配合使用。
也有先锋版天眼，一台设备包括流量传感器和分析平台的功能，不需要额外的联动配置

1. 天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的
   告警日志。
   
2. 天眼传感器主要负责对网络流量的镜像流量进行采集并还原，还原后的流量日志会加
   密传输给天眼分析平台。
   

二 探针/分析平台部署及联动

1.网络拓扑

2.配置流量传感器（探针）

(1)登录控制台

1. 默认web控制台地址：192.168.0.1（直连MGT口,自己电脑的IP要改为同网段的）
2. 远程管理地址：1.1.1.1（需要自己配置）
3. 默认账号：admin 默认密码：admin

(2)配置接口

1. 管理接口：
   eth0口 直连口，本地管理，PC直连设备访问web页
   eth1口 远程管理端口(同时也是联动端口)
   
   
2. 监听端口： eth2-eth5口连交接机镜像口
   
   

(3)配置默认路由及DNS

1. 远程管理口需要做默认路由指向网关
2. DNS根据客户要求，选择是否配置内部DNS服务器地址

(4)配置SNMP

(5)在探针联动分析平台

1. 联动分析平台的地址1.1.1.2，端口号7755（固定的）

3.配置分析平台

(1)登录控制台

1. 默认web控制台地址：192.168.0.1
2. 默认账号：tapadmin 默认密码：admin

(2)配置接口

1. 管理端口
   eth0口 直连口，本地管理，PC直连设备访问web页
   eth1口 远程管理端口(同时也是联动端口)
   
   

(3)配置默认路由及DNS

1. 远程管理口需要做默认路由指向网关
2. DNS根据客户要求，选择是否配置内部DNS服务器地址

(4)配置SNMP

(5)在分析平台联动探针

1. 联动探针的地址1.1.1.1

(6)新增采集设备

三 检查

1.部署完成，注意检查传感器和分析平台的联动情况。

1. 查看设备连接状态是否正常。
2. 若为断开，首先相互ping一下，查看是否能通。
3. 不通的话，将传感器和分析平台的管理口直连，查看是否能通，连接状态是否正常。（这样做是排查是否是客户交换机配置问题）
4. 若还是显示断开，检查设备配置、排查硬件问题。
   （注意：天眼检测联通性，会用到icmp，部分客户网络做策略禁ping，会导致监控状态为断开，但是日志等功能还是正常）
   

2.注意数据传输加密是否一致

加密算法及密钥不一致，也会导致设备异常

四 其他事项

1.授权导入

新设备，配置完成后需要导入授权，否则设备无法正常运行。

2.部署时需要的信息

需要用户提供，天眼的地址，网关，DNS，以及交换机上提前做好镜像口

3.其他相关文章（奇安信知识库）