SmartLogger - HiNetadsl.hinet.net/download/userguide_smartlogger.pdf · 2020. 8. 31. ·...
Transcript of SmartLogger - HiNetadsl.hinet.net/download/userguide_smartlogger.pdf · 2020. 8. 31. ·...
SmartLogger
操作教學手冊
中華電信股份有限公司
2017/8/15
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 1頁
目錄
一、SmartLogger簡介 ......................................................................................................................... 2
1-1 SmartLogger主要 3大特色 ................................................................................................... 3
1-2 SmartLogger的 7大優點 ....................................................................................................... 3
1-3 SmartLogger運作流程 ........................................................................................................... 4
二、SmartLogger首次登入 ................................................................................................................. 5
2-1 登入設定 ................................................................................................................................ 5
2-2 如何納管我的線路 ................................................................................................................ 7
三、Smartlogger操作教學 ................................................................................................................... 9
3-1 儀表板 .................................................................................................................................. 9
3.1.1初始登入新增用戶設備............................................................................................. 10
3.1.2設備狀態存活機制與檢測新設備連線狀態............................................................. 10
3.1.3 新增使用者................................................................................................................ 12
3.1.4 儀表板主要功能介紹................................................................................................ 15
3-2 事件關聯分析 .................................................................................................................... 18
3.2.1 事件記錄.................................................................................................................... 18
3.2.2 單一規則.................................................................................................................... 21
3-3 日誌查詢 ............................................................................................................................ 25
3-4 報表 .................................................................................................................................... 27
3.4.1日誌報表..................................................................................................................... 27
3.4.2事件報表..................................................................................................................... 34
四、防火牆設定教學.......................................................................................................................... 37
4-1 FortiGate設定 .................................................................................................................... 37
4.2 DELL Sonicwall設定 ........................................................................................................ 39
4.3 Sophos V15設定 ................................................................................................................ 43
4.3.1 Sophos V15設定(拋送 syslog) ............................................................................. 43
4.3.2 Sophos V15設定(開啟 Ping服務) ....................................................................... 45
4.4 Sophos XG firewall設定.................................................................................................... 47
4.4.1 Sophos XG firewall設定(V15) ............................................................................. 47
4.4.2 Sophos XG firewall設定(V16) ............................................................................. 48
4.5 PaloAlto .............................................................................................................................. 49
五、問與答.......................................................................................................................................... 52
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 2頁
一、SmartLogger簡介
近年來各國政府開始制定各種資安防護規範來因應網路攻擊日漸猖獗的時代,以降低本身所面
臨資安風險。目前我國政府與企業的資安防範嚴重不足,難有全面性的資安防護設備進行防範,
且當資安事件發生時,大多難以保留各類型資安設備所產生的日誌檔案,作事件調查修補相關
漏洞,以迅速在資安事件中為企業止血。
目前我國針對企業所制定資安法令的要求(如個資法的遵循)、以及資安設備日誌的保存所面
臨到的問題(數位證據保存不易、日誌管理需有分析告警機制),整理如表 1-1所述。
鑑於此,SmartLogger 的起源是為解決企業在數位證據保存的不易,以及符合政府在個資法要
求保留相關日誌檔案,同時針對異常的資安事件作相關的告警,幫助企業針對危機進行有效的
應變處理。
表 1-1資安法令要求
項目 內容
個資法遵循
自 105年 3月開始,針對個資法部分條款,法務部修正個人資料
保護法施行細則第 12條 10款安全維護措施中規定「使用紀錄、
軌跡資料及證據保存」。企業也必須有效保存數位證據,才能夠
證明自身已經落實個資的保護
(資料來源: http://law.moj.gov.tw/News/news_detail.aspx?id=121823)
數位證據保存不易
根據「iThome 個資法大調查」,其中企業因應個資法最困難的前
三名分別是:缺乏可遵循的標準作法(68.6%);數位證據記錄、
保存與舉證不易(45.8%)和法令動向不明(43.9%)。從第二困
難的「數位證據記錄、保存與舉證不易」來看,企業接下來將開
始關注「個資法的數位鑑識」的作法
資安告警仰賴第三方設備 80%的企業仰賴外部單位通知或資安設備告警,日誌管理服務除
了蒐集及保存日誌外,尚需要分析異常行為,並對企業進行告警
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 3頁
1-1 SmartLogger主要 3大特色
針對 SmartLogger平台特色,主要可提供雲端伺服器作為客戶資安設備的日誌儲存分析,硬碟
容量計費模式以節省不必要花費,並提供中文化操作界面,無痛操作系統。其平台特色整理如
下表 1-2
表 1-2 SmartLogger特色說明
主要特色 內容
提供雲端伺服器 由中華電信替用戶作資安設備之日誌收容、保存、搜尋、報表及告警功能
之日誌管理
依使用容量計費 可依企業所需儲存容量購買不同計費方案。提供以「租代買模式」,企業
不需自行建置大型日誌收容設備,節省硬體成本、電力支出、人員維護的
費用
提供中文圖形式
管理(GUI)介面
用戶可自行搜尋各種設備日誌歷史紀錄,產生完整的報告,可設置關聯分
析規則自動監控告警
1-2 SmartLogger的 7大優點
有別於市場常見的日誌收容設備,學習不易,且入門操作門檻高,因此中華電信推出
SmartLogger 平台,蒐集常見的資安設備之日誌檔案進行分析,並提供專屬設備存活機制檢測
功能與日誌報表產出的客製化功能,為企業提供易於入手的管理平台又不失專業(表 1-3)。
表 1-3 SmartLogger 7大優點說明
功能 簡介
收集 可即時接收企業內部系統/設備日誌(Log),支援防火牆設備(Fortinet、 DELL
SonicWALL、Sophos、Palo Alto)
保存 先對收集來的日誌確認完整性,並對資料儲存,以達到資料的機密性及完整性
分析 透過關聯分析引擎對日誌進行分析,找出惡意連線、設備異常等行為,以找出
最新的惡意活動
告警 當分析出企業內部發生異常活動時,可透過 Email 方式對企業進行告警,以便
客戶盡早採取應變措施
搜尋 提供對歷史日誌及事件等紀錄進行搜尋,並可讓企業從事件回朔至原始日誌,
以找出問題的根源,同時可將搜尋結果匯出進行更進一步的處理
存活機制 檢測設備是否存活,以利用戶作及時故障排除
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 4頁
報表製作 提供日/周/月等時間週期之 Top 10 惡意連線/設備異常之統計報表等報表,並提
供將報表匯出成 PDF檔
(註:防火牆硬體裝置則要登入設定拋送)
1-3 SmartLogger運作流程
針對駭客攻擊至用戶的過程,簡易說明 SmartLogger匯整日誌檔案流程架構(圖 1-1):
1.駭客針對目標用戶進行攻擊。
2.用戶防火牆阻擋駭客攻擊,並上傳阻擋紀錄(日誌檔)至 SamrtLogger平台作紀錄保存與分
析。
3.用戶從 SmartLogger檢視防火牆日誌檔與分析報表。
圖 1-1 SmartLogger匯整日誌檔案流程架構圖
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 5頁
二、SmartLogger首次登入
2-1 登入設定
請先連至 HiNet企業資安首頁:https://secure365.hinet.net/(圖 2-1)。
圖 2-1 HiNet企業資安首頁
請點選畫面右上方的「會員登入」按鈕(圖 2-2)。
圖 2-2 中華電信企業資安服務登入會員
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 6頁
請先登入中華電信會員中心。(若您已擁有會員中心的帳號,則請跳過以下步驟;若您無會員
中心的帳號,則請您點選畫面下方的「立即加入會員」按鈕,即可免費註冊一組新的中華電信
會員中心帳號),如圖 2-3所示。
圖 2-3 中華電信會員中心登入畫面
請選擇畫面右方「Email註冊」或「手機註冊」進行註冊(圖 2-4)。
圖 2-4 中華電信新會員註冊選擇頁面
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 7頁
2-2 如何納管我的線路
登入中華電信會員後,請點選上方功能選單中的「我的產品」,並選擇「群組電路」(圖 2-5)。
圖 2-5 進入「群組電路」
請輸入使用 SmartLogger服務的用戶號碼及密碼(若您不清楚用戶號碼及密碼之使用方式,請
點選畫面中「用戶號碼與密碼說明」按鈕),再點選「新增至我的產品」按鈕,即可將線路帳
號匯入所屬的中華電信會員中心帳號以便觀看報表。
新增至我的產品成功後,畫面下方「我的產品」欄位將出現您所新增的記錄(圖 2-6)。
圖 2-6 群組我的電路
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 8頁
「產品監看中心」>「資安防護報表」中點選 SmartLogger服務即可觀看本服務報表(圖 2-7)
圖 2-7 點選 SmartLogger
或以用戶 HN號碼(公司名稱)作登入,登入網址: https://ssoc.hinet.net/login(圖 2-8),若無
使用者名稱、密碼,請先由公司(企業)管理人員新增另組用戶資料後方可登入。
圖 2-8 SmartLogger登入畫面
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 9頁
三、Smartlogger操作教學
3-1 儀表板
主要檢視用戶現有儲存日誌資料,待用戶登入後,初始畫面即為儀表板頁面(藍色區塊為系統
預設功能區、綠色區塊則為用戶自訂顯示區),作為管理用戶日誌檔案呈現平台,功能說明如
表 3-1,畫面呈現如圖 3-1,進一步詳細操作說明請參考 3.1.3儀表板主要功能介紹。
表 3-1 儀表板功能說明
資料保存與空間使用量
已存放日數 日誌資料存放天數
平均每日MB 每日平均儲存之日誌資料
剩餘日數 提醒用戶剩餘硬碟儲存空間額滿天數,以平均每日MB的容量計算用戶購買的
硬碟空間
註:若用戶硬碟儲存空間額滿後,SmartLogger 將會寄送「空間即將額滿通知通知」信件告知
用戶,待硬碟儲存空間超出用戶購買容量時,則會寄出「刪除通知」信件,自動從最舊的日誌
資料進行刪除。
圖 3-1 SmartLogger儀表板介紹
註:用戶瀏覽器請使用最新版本的 IE、Chrome、FireFox
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 10頁
3.1.1初始登入新增用戶設備
除了客戶端設備需設定拋送至 SmartLogger的 IP位址外,在初次 SmartLogger登入後,仍須另
設定客戶端設備 IP,以作設備管理用途,便於正確接受客戶端日誌資料(圖 3-2),若為線路
固定的 IP用戶,則會在申租時自動加入。
操作方式如下:
系統設定>管理日誌來源>新增日誌來源。
新增日誌來源:
填寫「用戶設備 IP」與「設備名稱」後,點擊「送出」按鈕,即新增設備完成。
圖 3-2新增設備名稱
3.1.2設備狀態存活機制與檢測新設備連線狀態
新增用戶設備完成後,點擊 圖示,SmartLogger當下則會自動進行5次的檢視設備存活狀態,
確保設備連線正常,功能介紹如表 3-2,執行畫面如圖 3-3。
表 3-2 設備狀態存活機制說明
頻率 每天:每天定期檢查 1次
每小時:每小時定期檢查 1次,一天最多 24次
每 15分鐘:每 15分鐘定期檢查 1次,一小時最多 4次
異常通報 設定用戶電子信箱後,當檢測異常時將自動進行通報。需新增使用者信箱後才
能進行通報的選擇
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 11頁
圖 3-3 檢測狀態過程
如檢測過程中,出現「Request timeout」,則會
提醒用戶檢測設備狀態,並確定設備是否有開
啟 PING(ICMP)功能(圖 3-4)
如檢測過程中,均有回應用戶端 IP,即會出
現「設備狀態正常」的提醒(圖 3-5)
圖 3-4 無回應內容 圖 3-5 正常回應內容
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 12頁
存活機制優點及注意要點:
針對 SmartLogger存活機制的優點以及注意要點,整理如表 3-3,供用戶參考。
表 3-3 設備狀態檢測功能說明
項目 功能解說
優點 主要提供客戶了解設備的是否還存活
功能 可供客戶自行了解設備情況
次數 提供每小時(每日)檢查 1次
開啟 每次點擊檢測,會做 5次檢查:預設不開啟,要客戶設定後才會啟用
其他(檢測不到情況) 若檢測過程無回應,有可能是網路問題或設備阻擋檢測,不代表設備
一定異常,客戶端要進行環境確認
3.1.3 新增使用者
當設備異常通報,需填入聯絡用戶資訊時,即須新增使用者資料完成後,才能列入異常通報的
聯絡名單中。
操作方式如下:
系統設定>管理帳號
新增帳號各欄位功能解說,如表 3-4
表 3-4 新增用戶功能欄位說明
新增帳號
顯示名稱 用戶顯示名稱
帳號 用戶帳號
部門 可填入用戶企業的部門,以作後續操作的辨別
電子信箱 填入用戶聯絡電子信箱,在系統規則設定時才能作異常告警的通知
權限 系統管理員(administrator):可作進階系統操作功能,包含管理帳號(管理用戶
帳號權限)、管理日誌來源(管理硬體設備)
一般使用者(user):僅可作一般功能性的檢視
備註 可作基本的註釋,以作辨別用途
密碼 設定用戶密碼,後續用戶自行修改帳號資料時,都要重新輸入密碼或輸入舊密碼
從系統設定中,新增其他用戶帳號,依序填入其他用戶資料,權限可設為「系統管理員」或「一
般使用者」。用戶可視實際需求建立給其他部門人員共同使用 SmartLogger 平台,其權限區分
若為「系統管理員」則具備管理日誌設備及新增其他使用者的權限;「一般使用者」則只能瀏
覽一般系統功能性(圖 3-6)。
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 13頁
圖 3-6 新增用戶畫面
待新用戶資訊建立完成後,於 SmartLogger各種訊息的異常通報功能中,即可從下拉式選單,
找出原先建立的用戶資料,以便作告警通報(圖 3-7)。
圖 3-7 選填異常通報用戶資料
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 14頁
設好異常通報條件與聯絡人電子信箱後,當 SmartLogger存活機制定期檢測時,發生異常時即
會自動通報聯絡人信箱(圖 3-8)。
圖 3-8 SmartLogger存活機制通報郵件
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 15頁
3.1.4 儀表板主要功能介紹
在儀表板頁面中,左側設有快速切換 4種不同操作功能的頁面(表 3-5)
表 3-5 4種不同操作頁面功能
圖示 功能 說明
儀表板 圖形化檢視各日誌活動、儲存狀態
事件關聯分析 依照用戶設定的條件作事件檢視
日誌 檢視日誌原始資料和匯入狀態
報表 產生各種報表
儀表板主要是供用戶檢視各類型報表以及新增報表的呈現,從左側中含有 4個快速切換頁面的
功能,以便用戶快速切換平台內容(圖 3-9)。
圖 3-9 4種不同操作頁面功能呈現
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 16頁
當用戶設有 2 個裝備以上的時,儀表板則會出現 2 個以上的用戶設備供選擇,以作切換(圖
3-10)。
圖 3-10 儀表板切換不同設備
在儀表板中,檢視目前現有儲存(剩餘)設備空間,主要以圓餅圖呈現,供使用者一目瞭然空
間存放情況,若要更進一步了解每月日誌儲存容量,則可點擊存放空間後,詳細列出相關資料
(圖 3-11、圖 3-12)。
點擊已存放空間 詳細列出每月所儲存硬碟空間
圖 3-11 基本存放圓餅圖 圖 3-12 詳細存放圓餅圖
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 17頁
新增其他報表
若在儀表板中,欲新增其他功能報表,則點擊右上角圖示 進行編輯(圖 3-13)。
圖 3-13 新增報表功能介紹
待用戶新增報表設定完成後,重新回到儀表板介面時,即可看到新增後的報表內容,進行全面
性的檢視(圖 3-14)。
圖 3-14 儀表板新增其他報表功能
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 18頁
3-2 事件關聯分析
事件關聯分析頁面,可先供用戶檢視日誌內容及規則,並進一步建立各種條件式的篩選規則作
告警通報
3.2.1 事件記錄
選擇日誌檔案「開始」、「結束」時間進行查詢,即可初步檢視相關日誌檔案內容(圖 3-15)。
圖 3-15 事件搜尋結果
點選「詳細資訊」下的資料欄位,即可展開詳細的日誌檔案內容,以供檢視日誌明細(圖 3-16)。
圖 3-16 檢視詳細事件搜尋結果
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 19頁
結案功能
類似於確認日誌檔案的紀錄,若日誌檔案經檢視後,發現沒有異常時,可選擇該日誌資料進行
結案,代表已經過確認內容(圖 3-17)。
圖 3-17 結案功能操作
匯出檔案
將目前呈現的資料筆數進行匯出的行為,匯出後的預設檔案名稱為 SmartLogger.csv(圖 3-18)。
圖 3-18 匯出現有檔案資料
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 20頁
開啟匯出的檔案(SmartLogger.csv)進行檢視
點選該檔案後,使用滑鼠右鍵的方式開啟檔案,可選用編輯用記事本方式檢視;或使用
Notepad++開啟日誌資料(圖 3-19)。
圖 3-19 使用記事本開啟檔案
註:下載後的檔案預設為 UTF8 格式,檔案若要使用 Excel 開啟,需先轉換成 ANSI(Big5)
格式,標題才會正常(圖 3-20)。
圖 3-20 調整檔案格式編碼
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 21頁
3.2.2 單一規則
當用戶初始登入 SmartLogger平台後,在事件關聯規則的啟用條件中,預設 6條關聯規則,其
中自動啟用 1條規則 (FW_主機違反防火牆政策)。
如果要啟用其他規則時,則點選該關聯規則旁,啟用設定開啟(ON),反之則關閉(OFF),
如圖 3-21所示。
圖 3-21 事件關聯規則載入與開啟
註:若「啟用設定」有進行變動的話,請點擊套件紅色圖示 ,重新
啟動,最多同時啟動 5條規則。
新增規則
用戶需新增其他關聯規則時,則點選/編輯的功後,點擊「新增」圖示(圖 3-22)。
圖 3-22 新增規則按鈕
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 22頁
待新增規則圖示點擊後,出現載入預設規則的視窗,請用戶再點擊需載入的規則(圖 3-23)。
圖 3-23 選填預設關聯規則
另新增規則後,可進一步作編輯規則內容,點擊 圖示後,即可進入編輯頁面(圖 3-24)。
圖 3-24 執行載入後的規則
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 23頁
在新增/編輯的頁面中,其中一項內容項目「告警方式」一定要勾選,並選擇異常通報的聯絡
人電子郵件資料(圖 3-25)。(告警方式預設不開啟的,用戶若需告警通知,一定要勾選並填入
資料)
圖 3-25 告警方式的 E-mail勾選
當告警方式中,E-mail通知勾選與選擇通知聯絡人後,完成結果如圖 3-26。
圖 3-26 選填告警對象
同時,也可以加入多個聯絡人,以防告警通知遺漏的情況(圖 3-27)。
圖 3-27 選填多筆告警對象
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 24頁
比對模式
針對比對模式的選項有「正規表示式」、「字串匹配」2種,其解說功能如表 3-6所述。
表 3-6比對模式解說
比對模式 1 正規表示法 針對欲查詢規則可下達正規表示式進行條件制定,如.代表任意
值、*代表 0個以上、+代表 1個以上、\d代表數字[0-9]、|代表
OR等。
字串匹配 可下達需比對的字串進行比對
對於「條件式 1」內的比對欄位,須先設定以「正規表示法」或「字串匹配」方式作比對後,
即可根據用戶需求實際輸入相關的字串,作相關的篩選。例如:
FW_主機進行可疑地區連線 exChina,可以將比對值"China|CN"改成"Taiwan|TW",再點選條件
模式是在何種情境下作偵測(圖 3-28)。
圖 3-28 比對模式操作(1)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 25頁
以及正規表示式 IP的更改,如:FW_大規模主機連線至惡意 IP 8.8.8.8,可以將比對值^8\.8\.8\.8$
改成其他 IP,像是^172\.30\.1\.66$,待更改完成後,再選擇篩選的條件(圖 3-29)。
圖 3-29 比對模式操作(2)
3-3 日誌查詢
選擇需查詢的「日誌時間」區間,再選擇「設備名稱」,點下「查詢」後即可呈現日誌的原始
資料(圖 3-30)。
圖 3-30 設定日詢查詢起迄日期
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 26頁
呈現所需要的欄位
在查詢的功能按鈕旁,可額外選擇需呈現的日誌資料欄位,呈現出更詳細的資料格式(圖
3-31)。
圖 3-31 選擇呈現欄位項目
點擊匯入/匯出篩選條件圖示 後,可將目前的篩選條件作一個儲存的行為。例如,將我的
最愛名稱取名為 test2後點擊儲存,即可把目前的條件儲存下來,方便下次檢視使用(圖 3-32)。
圖 3-32儲存現有查詢條件
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 27頁
3-4 報表
報表的分類有 2種,分別為日誌報表和事件報表
日誌報表,針對用戶設備的原始日誌,去定義篩選、分組、加總等報表條件,以產生圖表供檢
視。
事件報表,針對關聯分析所產生的事件,去定義篩選、分組的報表條件,以產生圖表作檢視。
3.4.1日誌報表
日誌報表各功能與用途解說,如表 3-7。
表 3-7 報表欄位功能介紹
項目 說明
管理
執行,直接檢視設定好的報表
編輯,編輯報表的內容與相關設定
刪除,移除整個報表
標題 報表的名稱
區間 每日/月報、時、分、過去 1天、過去 7天等呈現方式
開始時間 日誌檔案的開始時間
結束時間 日誌檔案的結束時間
分類 可由用戶自訂
寄送對象 選擇要寄送的聯絡人
可顯示在儀表板 選擇 YES,則能在儀表板上呈現
選擇 NO,則無法在儀表板上呈現
最近執行時間 最新執行報表功能的時間
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 28頁
製定好各種日誌報表後,可在此報表清單依報表名稱、執行時間等關鍵字做搜尋(圖 3-33)。
圖 3-33 管理多種日誌報表
新增/編輯報表各功能選項說明(表 3-8)。
表 3-8 編輯報表欄位功能介紹
項目 說明
標題 用戶可自訂報表名稱
區間 每日/月報、時、分、過去 1年、過去 7天等選擇
資料範圍 依照「區間」欄位資料變動,若選擇「每日/月報」項目,則資料區間
則為每日/月的時間
設備名稱 請選擇用戶設備
條件
分別有「自訂分組」、「自訂篩選」、「自訂加總」等條件選項
自訂分組
針對特定的條件進行分組功能,例如將「來源國家」進行
分組
註: 最多可設 2個分組欄位,若指定的欄位資料種類過多,
報表執行時間會變長。例如:自訂分組選「來源位址」與
「目的位址」做分組時,因每條日誌皆有這兩個欄位值,
所以報表執行會花費許多時間,需等待一陣子才看得到圖
表產生
自訂篩選 針對特定的條件進行篩選功能,例如將「日誌接收時間」、
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 29頁
「來源位址」進行篩選
自訂加總
針對特定的條件進行加總功能,例如將「目的位址」中的
「對內資料傳輸量」進行加總
排序 設定資料排列順序
可顯示在儀表板 若設為「ON」狀態,則後續可在儀表板呈現資料,若為「OFF」則無
法在儀表板呈現
自動執行寄送 若設為「ON」狀態,則寄送至電子郵件作通知,若為「OFF」則無寄
送
寄送對象 在自動執行寄送為「ON」的狀態時,可選擇寄送通知的電子郵件帳戶
在日誌報表,新增/編輯報表的項目中,選擇不同的「區間」資料,會連動資料範圍內的數值
(圖 3-34)。
圖 3-34 新增/編輯報表區間欄位
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 30頁
註:因惡意連線 IP 數量阻擋數量不一定,若設定資料範圍過大,有可能會造成產生報表結果
時,系統負載量過多,而造成遲緩的問題。因此用戶在設定報表之資料區間時,應多加注意。
在日誌報表功能中「可顯示在儀表板」有設成 YES 狀態,才能在儀表板的新增報表功能中呈
現(圖 3-35)。
圖 3-35 可顯示在儀表板上設定
另在儀表板的新增報表功能中,即有相對應的報表可供選擇後呈現(圖 3-36)。
圖 3-36 儀表板上加入新的報表
點擊「執行」圖示 後,即產生相關報表畫面,同時在「最近執行時間」欄位會有當下執
行的時間紀錄(圖 3-37)。
圖 3-37 執行報表的時間
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 31頁
點擊「執行」圖示 後所呈現的執行畫面,則區分 2個部分,左側則為產生報表的資訊(標
題、開始時間、結束時間、自訂欄位過濾、區間、執行時間等)、右側則呈現相對應的圖示(圖
3-38)。
圖 3-38 執行日誌報表
在報表檢視功能中,共有 4 種資料呈現圖示可供選擇(圓餅圖、折線圖、直條圖、橫條圖),
如圖 3-39所示。
圖 3-39 折線圖呈現報表
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 32頁
點擊匯出功能時,選擇 PDF檔選項,則可以匯將圖表匯出成 PDF格式(圖 3-40)。
圖 3-40 選擇匯出 PDF格式
將資料匯出成 PDF格式後,檢視資料完整性,即可按「下載」按鈕進行資料儲存(圖 3-41)。
圖 3-41 儲存 PDF檔案
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 33頁
若選擇匯出「資料表」,則會產生 CSV檔案格式,供用戶自行儲存(圖 3-42)。
圖 3-42 匯成 CSV的資料
待儲存完成後,檢視檔案內容,則為原始的數據資料,可供用戶進行資料的排版或自行統計之
用途(圖 3-43)。
圖 3-43 開啟匯出的 CSV檔案
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 34頁
3.4.2事件報表
事件報表各功能與用途解說(表 3-9)。
表 3-9 事件報表欄位說明
項目 說明
管理
執行,直接檢視設定好的報表
編輯,編輯報表的內容與相關設定
刪除,移除整個報表
標題 報表的名稱
區間 每日/月報、時、分、過去 1天、過去 7天等呈現方式
開始時間 日誌檔案的開始時間
結束時間 日誌檔案的結束時間
分類 可由用戶自訂
寄送對象 選擇要寄送的聯絡人
可顯示在儀表板 選擇 YES,則能在儀表板上呈現
選擇 NO,則無法在儀表板上呈現
最近執行時間 最新執行報表功能的時間
事件報表功能,在新增/編輯報表後,條列式各項事件報表項目(圖 3-44)。
圖 3-44 管理事件報表
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 35頁
新增/編輯報表功能項目及說明內容(表 3-10)。
表 3-10 新增/編輯報表欄位說明
項目 說明
標題 用戶可自訂報表名稱
區間 每日/月報、時、分、過去 1年、過去 7天等選擇
資料範圍 依照「區間」欄位資料變動,若選擇「每日/月報」項目,則資料區間
則為每日/月的時間
條件
分別有「自訂分組」、「自訂篩選」等條件選項
自訂分組功能,可針對「規則」、「告警標題」、「通報狀況」、「結案狀況」
等項目作分組
自訂篩選功能,可針對「規則」、「告警標題」、「通報狀況」、「結案狀況」
作條件的輸入
排序 設定資料排列順序
可顯示在儀表板 若設為「ON」狀態,則後續可在儀表板呈現資料,若為「OFF」則無
法在儀表板呈現
自動執行寄送 若設為「ON」狀態,則寄送至電子郵件作通知,若為「OFF」則無寄
送
寄送對象 在自動執行寄送為「ON」的狀態時,可選擇寄送通知的電子郵件帳戶
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 36頁
新增/編輯報表,設定的步驟的過程(圖 3-45)。
圖 3-45 新增/編輯報表設定畫面
待事件報表新增完成後,點擊執行圖示 ,即可呈現事件報表內的數據資料與直條圖,如圖
3-46所示。
圖 3-46 執行設定完成的報表
因事件報表產生的設定,主要是「組」的方式
呈現。因此,呈現資料為群組圖示(圖 3-47)。
若點選資料內容,則可自動展開更詳細的數據
圖示,供用戶進一步參考(圖 3-48)。
圖 3-47 基本報表數據 圖 3-48 詳細報表數據
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 37頁
四、防火牆設定教學
用戶端防火牆設備,應設定將本身日誌檔案拋送至 SmartLogger 伺服器後,SmartLogger 平台
才能接收日誌檔案作資料的分析,同時用戶端應將防火牆阻擋 ping的功能關閉,SmartLogger
存活檢測狀態才能正常啟用。各品牌防火牆設備教學設定與支援品牌如表 4-1:
表 4-1
設備種類 支援設備廠牌
防火牆 Fortinet、 DELL SonicWALL、Sophos、Palo Alto
4-1 FortiGate設定
從用戶端進入 UTM管理介面(https://192.168.1.99)後,點擊「Log & Report」選擇「Log Settings」
(圖 4-1)。
圖 4-1 FortiGate操作畫面(1)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 38頁
啟用「Send Logs to Syslog」(圖 4-2)。
圖 4-2 FortiGate操作畫面(2)
於「IP Address/FQDN」處填入 SmartLogger IP位址 203.74.210.73,點擊送出即可(Apply),
如圖 4-3所示。
圖 4-3 FortiGate操作畫面(3)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 39頁
4.2 DELL SonicWALL設定
從用戶端進入 UTM管理介面 192.168.168.168,於側邊欄選擇:日誌 > Syslog(圖 4-4)。
圖 4-4 Sonicwall操作畫面(1)
選擇 Syslog格式為 ArcSight(圖 4-5)。
圖 4-5 SonicWALL操作畫面(2)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 40頁
添加 Syslog 伺服器,按下「添加…」會彈跳出現視窗(請暫時關閉瀏覽器的封鎖彈跳視窗功
能),新增一個 IP位址(create new address object…),如圖 4-6所示。
圖 4-6 SonicWALL操作畫面(3)
選擇「Create new address object…」(圖 4-7)。
圖 4-7 SonicWALL操作畫面(4)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 41頁
於新視窗中輸入以下資訊後,按下「確定」,如圖 4-8所示。
名稱:SmartLogger 區域分配:WAN
類型:主機 IP位址:210.74.210.73
圖 4-8 SonicWALL操作畫面(5)
確認輸入欄位資訊是否正確(圖 4-9)。
圖 4-9 SonicWALL操作畫面(6)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 42頁
選擇剛剛新增的主機「SmartLogger」後,按下「確定」,如圖 4-10所示。
圖 4-10 SonicWALL操作畫面(7)
完成後會看到在 Syslog伺服器看到上一步的設定,如所紅框標示(圖 4-11)。
圖 4-11 SonicWALL操作畫面(8)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 43頁
4.3 Sophos V15設定
4.3.1 Sophos V15設定(拋送 syslog)
登入 Sophos管理介面(https://172.16.16.16:4444/webconsole/webpages/index.jsp#)
點選系統服務>日誌設定,如圖 4-12所示。
圖 4-12 Sophos操作畫面(1)
新增一台 Syslog 伺服器(圖 4-13)。
圖 4-13 Sophos操作畫面(2)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 44頁
依序輸入下列資訊,設定畫面如下圖 4-14所示。
IP位址/網域:203.74.210.73 連接埠:514
設施:DAEMON 嚴重等級:通知
格式:Device Standard Format
圖 4-14 Sophos操作畫面(3)
選擇剛剛新增的伺服器,並全選所有的類型,按下套用送出(圖 4-15)。
圖 4-15 Sophos操作畫面(4)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 45頁
4.3.2 Sophos V15設定(開啟 Ping服務)
系統 > 管理 > 裝置存取,如圖 4-16所示。
圖 4-16 Sophos操作畫面(5)
開啟 WAN 中的 Ping功能(圖 4-17)。
圖 4-17 Sophos操作畫面(6)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 46頁
套用送出,即完成設定(圖 4-18)。
圖 4-18 Sophos操作畫面(7)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 47頁
4.4 Sophos XG firewall設定
4.4.1 Sophos XG firewall設定(V15)
進入 Sophos Log Settings後,點選新增(Add),如圖 4-19所示。
圖 4-19 Sophos操作畫面(8)
請依序填入相關資料在輸入欄位中,待填寫完畢點擊儲存(Save)即可完成設定(圖 4-20)。
Name:SmartLogger Severity Level:Emergency
IP Address/Domain:203.74.210.73 Format:Device Standard Format
Port:514
Facility: DAEMON
圖 4-20 Sophos操作畫面(9)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 48頁
4.4.2 Sophos XG firewall設定(V16)
進入 System Services後,點選新增(Add),如圖 4-21所示。
圖 4-21Sophos操作畫面(10)
請依序填入相關資料在輸入欄位中,待填寫完畢點擊儲存(Save)即可完成設定(圖 4-22)。
Name:SmartLogger Severity Level:Emergency
IP Address/Domain:203.74.210.73 Format:Device Standard Format
Port:514
Facility:DAEMON
圖 4-22 Sophos操作畫面(11)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 49頁
4.5 PaloAlto
登入 PaloAlto 設備後,點選 Device標籤>伺服器設定檔 > Syslog(新增一組 Syslog 設定檔),
如圖4-23所示。
名稱:SmartLogger 格式:BSD
系統日誌伺服器:203.74.210.73 設備:LOG_USER
Port:514
傳輸:UDP
圖 4-23 PaloAlto操作畫面(1)
調整拋送日誌格式(圖 4-24)。
圖 4-24 PaloAlto操作畫面(2)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 50頁
於 Object標籤 >日誌轉送>日誌轉送設定檔,設定要拋送的條件(圖 4-25)。
圖 4-25 PaloAlto操作畫面(3)
完成設定後新組態會顯示於畫面中,並點選「提交」送出與套用設定值(圖 4-26)。
圖 4-26 PaloAlto操作畫面(4)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 51頁
設定完成 syslog轉送規則後,須於對應的政策(Policy)上,啟用日誌轉送的設定,並選擇要
根據哪一組 syslog轉送設定作用(以本例子只有一組,就是 Forward-to-SmartLogger),如圖
4-27所示。
圖 4-27 PaloAlto操作畫面(5)
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 52頁
五、問與答
編號 問題描述
5-1 如何申請 SmartLogger服務與資格?
ANS:用戶可至 HiNet企業資安服務平台(https://secure365.hinet.net/)進行申請服務
(可參考本手冊教學內容),申請資格為擁有 UTM資安艦隊的用戶。
5-2 如何進入 SmartLogger平台?
ANS:用戶註冊完成並申請服務開通後,往後登入 HiNet 企業資安服務平台,即可
SSO(Single sign-on,SSO)登入成功,或至 https://ssoc.hinet.net/login登入(可參考
本手冊教學內容)。
5-3 如何設定防火牆日誌檔並送至 SmartLogger作儲存分析?
ANS:將防火牆日誌儲存拋送至 SmartLogger伺服器後,再登入 SmartLogger進行確
認(系統設定>管理日誌來源),可參考本手冊教學內容。
5-4 SmartLogger支援防火牆種類與型號?
ANS:目前 SmartLogger支援防火牆種類為 Fortinet、 DELL SonicWALL、Sophos、
Palo Alto等
5-5 我的 SmartLogger空間不夠,想要加購容量怎麼辦?
ANS:請聯絡客服人員(0800080365),將有專人為您服務。
5-6 客戶端硬體設備(防火牆)動態 IP設置拋送至 SmartLogger,SmartLogger可以收到
嗎?
ANS:目前僅支援客戶端硬體設備(防火牆)的固定 IP。
5-7 SmartLogger發生莫名的錯誤怎麼辦?
ANS:請聯絡客服人員(0800080365),將有專人為您服務
5-8 SmartLogger日誌收容分析平台與市面上知名 A牌或他牌有什麼不同?
ANS:SmartLogger提供簡易上手的中文化操作界面給用戶使用,降低用戶學習操作
其他國際品牌學習門檻,相較於其他國際品牌而言,將 SmartLogger更為簡潔便利。
且 SmartLogger提供設備存活檢測機制,能讓用戶掌握第一手設備狀態,並能作即時
自我檢測或定期通知設備的情況。
5-9 我的空間已滿會通知嗎?若舊的日誌資料被刪除了怎麼辦?
ANS:SmartLogger在用戶空間即將額滿時會寄送告知信件 (超過 90%開始寄送)、
以及刪除日誌檔時寄送刪除通知(超過 100%會寄送)。若舊資料被刪除時需作復原
的動作,請立即聯絡客服人員,將有專人為您服務。
5-10 SmartLogger設備存活檢測機制,無法偵測到我的設備怎麼辦?
ANS:請先檢視用戶端硬體設備(防火牆),是否有將阻擋 Ping的功能開啟,若有的
話則需將該功能關閉並儲存設定後(可參考本手冊教學),再登入 SmartLogger 進行
中華電信數據通信分公司
名稱 SmartLogger操作說明書 安全等級 公開
更新日期 2017.08.15 版次 V1.1
第 53頁
檢測。
5-11 若 SmartLogger設備存活檢測機制,無法偵測到我的設備,是代表設備異常嗎?
ANS:有可能是硬體設備(防火牆)將 Ping 功能阻擋或網路環境異常所造成,請將
防火牆狀態及網路狀態進行確認,若是設備正常運作、網路連線正常狀態且
SmartLogger有設定好接收用戶端防火牆 IP仍無法進行檢測時,請聯絡客服人員,將
有專人為您服務。
5-12 如果我是 UTM 資安艦隊的用戶,更換新的硬體設備(防火牆),那要怎麼重新設定
與 SmartLogger作連結呢?
ANS:(1)若防火牆 IP 沒變動,則更換新防火牆設備後,進入防火牆內部設定拋送
至 SmartLogger連線之 IP、PORT、UDP即可。
(2)若防火牆 IP變動,除了要進入防火牆內部進行設定外,還需重設 SmartLogger
接收用戶防火牆 IP、名稱才可。
5-13 如果我忘記 SmartLogger平台密碼了,怎麼辦?
ANS:(1)如果是一般使用者權限忘記密碼,則可請具有管理權限的人員,登入
SmartLogger 平台後,進行一般使用者身份的重新設定(操作方式:系統設定>管理
帳號)。
(2)如果是具有管理權限的使用者忘記密碼,須從 hiNet 企業資安平台登入
(http://soc365.hinet.net/)後,再進入 SmartLogger平台。