开始

瞻博网络 ATP 设备 Web UI 支持使用以下屏幕分辨率：

要启动配置向导，请输入 CLI 命令向导。

• 在 CLI 提示符下，输入您的用户名和密码。默认情况下，管理员用户名为 admin，密码为 1JATP234。

  请务必在初始设置后更改管理员帐户的默认密码;密码长度必须至少为 8 个字符。

• 出现提示时，输入 yes 以使用配置向导，然后按如下所示进行响应。

• 回答完所有问题后，向导将汇总答案。要更改答案，请输入步骤编号。要保存更改并退出，请按 <enter>。

• 要返回到配置向导以更改配置，请使用以下 CLI 命令：

• 有关命令语法和用法，请参阅瞻博网络 ATP 设备 CLI 命令参考。

本节介绍如何导航设备 Web UI 及其选项卡：

• 导航 CM Web UI

• 选项卡摘要

要在设备 Web UI 中导航，请执行以下操作：

• 使用选项卡访问 Web UI 的主页。

• 使用选项卡下的路径链接或“配置”选项卡下的左侧面板链接等链接导航到其他链接页面。

图 2：导航瞻博网络 ATP 设备中央管理器 Web UI

• 要设置初始视图，请从下拉列表中选择一个时间段，瞻博网络 ATP 设备仪表板或事件选项卡应显示检测结果和恶意软件分析详细信息。所有图形和表格显示都通过时间段选择控件同步。可用的时间段选项包括：

  • 24 小时（每小时）

  • 1 周（每周）

  • 1个月（每月）

  • 3个月（每季度）

  • 1 年（每年）

• 选择要在“事件”表中显示的结果类型：显示威胁 |显示可疑 |显示良性。

• 通过在“搜索”字段中输入搜索条件，对“事件”表执行搜索;您可以搜索 SHA1、MD5 总和、收集器名称、威胁名称、威胁来源等。

• 例如，单击“事件”选项卡中表列顶部的标题可按该列对表进行排序。再次单击可将排序顺序从降序更改为升序。

  

• 单击“事件”表中的一行，以在下面的左侧面板摘要表中显示有关威胁的通用信息。依次单击“摘要”选项卡下的选项卡子集以查看事件详细信息。并通过单击箭头展开该行以获取更多详细信息。

• 使用“配置”页面上的左侧面板菜单选项打开“通知”、“系统设置”和“环境设置”的配置窗口。

• 在配置页面上，在提供的字段中输入信息。

瞻博网络 ATP 设备中央管理器 Web UI

每个 Web UI 选项卡的用途如下所述：

• Dashboard—显示装置状态信息以及检测到的威胁和事件趋势。“操作仪表板”和“研究仪表板”上的特定于上下文的威胁视图会根据您的配置确定对企业影响最大的威胁的优先级。系统仪表板和收集器仪表板（Web 和电子邮件）提供有关系统和收集器运行状况和趋势的信息。事件时间线仪表板显示给定供应商的每个事件的高级威胁分析 （ATA） 数据以及端点 IP、主机名、用户名或电子邮件。

• Incidents- 显示网络中各个杀伤链阶段的恶意或可疑下载或感染的详细信息级别。另 请参阅导航事件页面 以获取更多信息。

• File Uploads- 在一个 Web UI 位置提供有关所有文件上载恶意软件分析结果的详细信息，无论是恶意的还是良性的。中央管理器 Web UI 中的文件上载处理功能包括从新的“文件上载”选项卡上载。增强的文件上传 API 接受第三方集成（如炭黑响应）的其他元数据，以提供与事件的无缝集成。有关更多信息，请参阅 提交恶意软件文件进行分析。

• Mitigation—为检测到的特定威胁提供缓解选项，例如自动缓解、阻止来自网关或 IPS/下一代防火墙的回调，或者部署瞻博网络 ATP 设备感染验证包 （IVP） 或炭黑响应集成以确认目标端点上的感染。有关更多信息，请参阅 配置防火墙自动缓解。

• Reports- 允许您生成或计划合并和详细的执行摘要报告，或系统审核报告。有关更多信息，请参阅生成报告

• Custom Rules— 在瞻博网络 ATP 设备中央管理器 Web UI 自定义规则选项卡中显示自定义 Snort 规则匹配项;“事件”选项卡上提供了相关的 Snort 规则匹配项。有关向系统添加规则的信息，请参阅 配置自定义 SNORT 规则 。

• Config- 允许您配置设备和软件系统设置以及配置分析、通知和缓解设置。

• 刷新 - 执行 CM 浏览器显示的刷新。始终在软件或安全内容更新后执行刷新。

• System Health—显示瞻博网络 ATP 设备静态和动态引爆引擎及分析系统的运行状况指示器检查。所有指示灯都应显示绿色复选标记，表示系统运行状况良好。如果显示红色指示器，则需要执行故障排除操作。

行为引擎		核心引爆引擎
静态引擎		静态分析
相关		事件关联引擎
网络收集器		已启用的 Web 收集器的连接状态
辅助内核		已配置辅助内核的连接状态 （Mac OSX）

• Log Out- 执行当前中央管理器 Web UI 用户的注销。

本节介绍三种瞻博网络 ATP 设备高级威胁防护部署方案：

• 瞻博网络 ATP 设备在企业总部的部署

• 分布式和/或群集企业环境中的瞻博网络 ATP 设备防御

• 瞻博网络 ATP 设备分布式 SaaS/OVA 或虚拟部署

在此场景中（参见下面的图 5），核心|CM 系统安装在企业总部，部署了三个物理流量收集器，以实现广泛的流量覆盖和服务集成。

• 收集器 1 定位于数据中心覆盖范围

• 收集器 2 定位于 Web 流量覆盖

• 收集器 3 位于防火墙处，用于覆盖和缓解/阻止

在此部署方案中，流量收集器提供网络覆盖范围，并与现有基础架构和 Core|CM 提供 Web 和电子邮件事件检测，同时在防火墙处执行风险感知缓解和阻止。

图 3：企业总部部署中的瞻博网络 ATP 设备防御

分布式企业需要分布式威胁防御场景（见下图）。在此方案中，各种物理和虚拟收集器远程部署在分支机构，以进行持续检查和扩展网络可见性。

图 4：分布式企业环境中的瞻博网络 ATP 设备防御

流量分析在分布式收集器上进行，然后将对象传送到核心|CM，部署在企业总部，网络对象在其中接受多操作系统引爆室执行，以进行最终威胁评估和缓解。

或者，核心|此分布式部署中的 CM 也可以配置为 OVA VM 或 SaaS 部署。此外，补充的瞻博网络 ATP 设备核心可以部署在公共或私有企业云中。

在分布式 SaaS/OVA 部署中，流量收集器部署在多个分支机构的关键监控位置，使用 Core|总部的 CM 和作为虚拟机 OVA 安装在云中的收集器，用于检查和分析所有内容，并在配置的强制服务器（例如 PAN 或 SRX 防火墙）上触发缓解措施。

图 5：瞻博网络 ATP 设备分布式 SaaS/OVA 部署

分路器是一种设备，它允许通信畅通无阻，同时从全双工链路复制所有流量，并将信息发送到瞻博网络 ATP 设备收集器进行对象分析。分路模式使用外部光纤分路器（适用于 GBIC 端口）或内置内部分路器（适用于 10/100/1000 监控端口）。在分路模式下，瞻博网络 ATP 设备收集器会在数据包信息遍历全双工网段时对其进行监控。与 SPAN 模式一样，分路模式是被动的。

使用网络分路器将网络流量的副本从网段发送到瞻博网络 ATP 设备收集器的 eth1 网络监控端口。水龙头不会干扰交通，如果关闭，则允许交通畅通无阻地通过。

交换机上的交换机端口分析器 （SPAN） 端口专为安全监控而设计。它允许连接的瞻博网络 ATP 设备接收来自通过交换机的所有传入和传出流量的每个数据包的副本。这是端口转发或端口镜像;一种被动非侵入式数据包捕获方法。

配置具有端口镜像功能的交换机，以将在选定端口之间传递的传入和传出流量副本转发到交换机上的 SPAN 端口。然后，将 SPAN 端口连接到瞻博网络 ATP 设备（标记为 eth1）。

瞻博网络 ATP 设备可以在 SPAN 模式下进行配置，方法是配置具有端口镜像功能的交换机，以便在选定端口之间传递的传入和传出流量副本转发到交换机上的 SPAN 端口。然后将 SPAN 端口连接到收集器（端口 eth1）。

瞻博网络 ATP 设备流量收集器持续监控和检查所有网络流量中的恶意软件对象;提取对象并将其发送到核心，以便分发到 Windows 或 Mac 检测引擎。

对于 Windows 流量，可以将 Microsoft Exchange Server 日记配置为记录企业电子邮件的副本（日记），然后定期将它们发送到 Exchange Server 上的日记邮箱。

Exchange Server 2010 可以配置为仅支持信封日记功能。这意味着将创建每个电子邮件正文及其传输信息的副本。传输信息本质上是一个包含电子邮件发件人和所有收件人的信封。

瞻博网络 ATP 设备电子邮件收集器轮询 Exchange 服务器以查找日记条目，并按计划将日志帐户中的所有电子邮件从 Exchange 服务器拉取到收集器。电子邮件收集器使用日记功能进行初始流量分析和电子邮件附件监控/检查。所有电子邮件流量（和电子邮件附件）都会从电子邮件收集器发送到瞻博网络 ATP 设备核心，以便在 Windows 或 Mac OS X 检测引擎中引爆。

当检测到基于电子邮件的恶意软件或恶意电子邮件附件时，瞻博网络 ATP 设备中央管理器会将日志条目合并到分析结果中，并作为通知发送给瞻博网络 ATP 设备管理员，并在中央管理器 Web UI 中详细说明相应的缓解和/或感染验证操作。

若要设置电子邮件收集器日记功能，请按照以下过程操作：

• 在下一节中在 Exchange 服务器上创建日记邮箱

• 配置 Microsoft Exchange Server 2013 日记功能

• 从 Web UI 配置 Exchange 服务器日志轮询

• 配置 Office 365 日记功能

• 配置 Gmail 日记功能

• 配置 Gmail 威胁缓解

1. 启动 Microsoft Exchange 管理控制台。

2. 展开“收件人配置”节点，然后单击“邮箱”节点。选择“新建邮箱...”从“操作”窗格中。

3. 选择“新建邮箱...”从“操作”窗格中。

4. 选择用户邮箱选项，然后单击下一步。

5. 选择新建用户选项，然后单击下一步。

6. 新用户邮箱详细信息

7. 输入将向其分配新日记邮箱的收集器的“用户信息”详细信息，然后单击“下一步”。

8. 输入日记邮箱的“别名”，然后单击下一步。

9. 再次单击“下一步”并查看要创建的新邮箱的新邮箱摘要，然后单击“新建”。

10. 创建日记邮箱后，请通过配置邮箱数据库来配置标准日记功能。

• 在 Microsoft Exchange 管理控制台>服务器配置中，单击“邮箱数据库”。

• 在“所选邮箱数据库的工具箱操作”中，单击“属性”。

• 在“邮箱数据库属性”页中，转到“常规”选项卡并选中“日记收件人”复选框，但是，在选中该复选框之前，请先单击“浏览”并选择将从邮箱数据库获取所有邮件的邮箱。选中日记收件人后，单击“确定”完成操作。

1. 登录到 MS Exchange Server 管理中心： https://exchnageserverip/ecp/

2. 选择“发送连接器”选项卡。

   图 6：Exchange 管理中心

3. 导航到邮件流>>发送连接器并输入发送连接器设置：

   图 7：发送连接器设置

4. 保存连接器设置。

5. 导航到“合规性管理>>日记规则”以配置日记规则。

6. 在“将日记报告发送到”字段中提供邮箱名称和 IP 地址。

   注意：

   这应与在瞻博网络 ATP 设备电子邮件收集器配置>系统配置文件>电子邮件收集器 Web UI 页面上配置的邮箱名称匹配。

   图 8：设置日记规则

有关配置电子邮件收集器的信息，请参阅 配置电子邮件收集器 。

1. 从瞻博网络 ATP 设备中央管理器配置>电子邮件导航到合规性管理 >>日记规则收集器页面，单击添加新的电子邮件收集器按钮，或单击当前电子邮件收集器表中列出的现有收集器的编辑。

2. 在显示的配置字段中输入并选择电子邮件日记设置：电子邮件服务器 [IP]、协议、SSL、邮箱名称、密码、轮询间隔（以分钟为单位）、将邮件保留在服务器上和启用。[见下图]。

若要为瞻博网络 ATP 设备设置电子邮件缓解的 Office 365 日记功能，请执行以下操作：

1. 登录到 Microsoft Office 365 管理中心。

2. 从 Office 365 管理中心中，选择“管理中心> Exchange”。

   图 9：导航到 Microsoft Office 365 管理中心
   图 10：Microsoft Office 365 管理中心

3. 选择“合规性管理”>“日记规则”。

   • 单击 + 号以添加新的日记规则。

   • 填写新的日记规则表单域。

请按下列步骤为 Gmail 配置电子邮件日记功能：

1. 转到 Google 管理员主页网站，网址为 https://admin.google.com/AdminHome。

2. 在 Google 管理控制台信息中心，导航到 Apps->G Suite->Gmail->Advanced Settings。

   注意：

   要查看高级设置，请滚动到 Gmail 页面底部。

3. 导航到“合规性”部分，然后单击“添加其他合规性规则”以设置交付到瞻博网络 ATP 设备 MTA。

   图 11：Google Gmail 管理员家庭日记设置

4. 选择以下示例屏幕截图中显示的选项（设置 1 和 2）：

   图 12：瞻博网络 ATP 设备 MTA 要求的日记标准

5. 请务必添加收件人信息（这是瞻博网络 ATP 设备 MT）;例如：JATP_mta@FQDN或JATP_mta@ip。

   图 13：将瞻博网络 ATP 设备 MTA 设置为 Gmail 收件人：JATP_mta@FQDN

对于使用 Google Apps 网域的企业环境，Google Apps 网域的管理员可以授权应用代表 Google Apps 网域中的用户访问用户数据。授权服务帐号代表网域中的用户访问数据有时也称为向服务帐号“委派全网域权限”。

要将全网域权限下放给 Gmail API 服务帐号，请先在 Google API 服务帐号页面为现有服务帐号启用全网域授权，或者创建一个启用了全网域委派功能的新服务帐号。

要创建新的 Gmail 服务帐号，请执行以下操作：

1. 导航到 Google API 服务帐号页面。

2. 从左上角的“项目”下拉菜单下选择现有项目或创建新项目。

   图 14：导航到 Google API 服务帐户页面
   图 15：创建新的 Google API 服务帐户

3. 接下来，转到 Google Apps 网域的管理控制台。

4. 从控件列表中选择“安全性”。如果未列出“安全性”，请从页面底部的灰色栏中选择“更多控件”，然后从该控件列表中选择“安全性”。如果没有可用的控件，请确保您以域管理员身份登录。

5. 从选项列表中选择“显示更多”，然后选择“高级设置”。

6. 在“身份验证”部分中选择“管理 API 客户端访问”。

7. 在“客户端名称”字段中，输入服务帐户的客户端 ID。您可以在“服务帐户”页面中找到服务帐户的客户端 ID。

8. 在“一个或多个 API 作用域”字段中，输入应用程序应有权访问的范围列表。例如，如果您的应用需要全网域访问 GMAIL API，请输入： https:// mail.google.com/。

   图 16：访问 Google API 仪表板
   

9. 单击授权。

   注意：

   请务必启用 GMAIL API，方法是导航到管理控制台，然后点击相关项目的 API 管理器下信息中心的“启用 API”。选择 GMAIL API，然后单击启用。

本节介绍仪表板选项卡的仪表板组件 — 操作、研究、系统和收集器仪表板选项卡，并介绍如何与各种视图以及可调整的统计信息和显示进行交互。

表 6：瞻博网络 ATP 设备仪表板图形组件

Operations Filter	通过从下拉菜单中选择一个可用筛选器来筛选威胁视图结果：全部 |仅限新品 |确认和进行中 |完成	从下拉菜单中进行选择。
Time Period （操作仪表板、研究仪表板、系统仪表板收集器仪表板、事件时间线）	所有仪表板图表都会按您从表格顶部的下拉菜单中选择的时间段进行同步。时间段选项包括： 过去 24 小时 上个星期 上个月 最近 3 个月 去年	从下拉菜单中进行选择。
Reset Charts （恶意软件仪表板和系统仪表板）	将仪表板上的所有图形重置为所选时间段内的原始状态。	鼠标点击
Infected Hosts （操作仪表板）	此气泡图是威胁视图的核心，描述了给定时间段内所有受感染的主机。一个气泡表示一个受感染的主机。 图表的 x 轴表示时间段。 y 轴表示确定的感染严重程度。 气泡的颜色表示主机上发现的恶意软件的分层严重性，具体范围如下： 高（红色）、中（橙色）、低（黄色） 气泡的大小表示在主机上发现的恶意软件总数。	将鼠标悬停在气泡“主机”上 显示受感染主机的 IP 地址和名称，以及在该主机上发现的恶意软件总数，格式如下： “IP/名称（X 威胁）” 将鼠标悬停在气泡“主机”上 气泡将变为高亮显示，并显示“主机详细信息”数据，包括恶意软件目标、杀伤链、事件摘要和触发器的数据。 此外，“恶意软件趋势”图表会进行调整，以显示所选主机遭到入侵的时间。 并且，将显示主要受损端点恶意软件数据。 双击气泡以打开“事件”选项卡，以获取更多详细信息和缓解选项。
Host Details （操作仪表板）	在威胁视图气泡图中选择单个气泡时，将显示该主机的主机详细信息数据，包括恶意软件目标、杀伤链阶段进度、事件摘要和触发器的数据。 杀伤链进程包含更多交互式数据。	鼠标点击： 单击杀伤链阶段进度中突出显示的蓝色结果以显示更多信息： 单击“杀伤链进度”气泡时，将打开“事件”页面，显示特定漏洞利用、下载、执行、感染和/或网络钓鱼的数据。
Malware Trend （操作仪表板）	显示给定时间范围内任何给定恶意软件的恶意软件趋势。	在威胁视图气泡图中选择一个气泡以调整趋势恶意软件时间线。
Total Malware Found （研究仪表板）	以高（红色）、中（橙色）和低（黄色）显示恶意软件严重性百分比的饼图	无交互性
Top Malware Countries （研究仪表板）	显示全球范围内当前检测到的恶意软件发生率的地理图表。	打开“事件详细信息”页
Top Compromised Endpoints （操作仪表板）	显示每个受损端点的状态、风险、主机和威胁。.	无交互性
Top Malware （研究仪表板）	按恶意软件名称列出所选时间段内排名靠前的一组恶意软件事件。 x 轴表示感染数量;Y 轴是恶意软件名称。	鼠标点击： 突出显示“热门恶意软件”图表中的恶意软件名称，以查看每个端点主机的恶意软件的威胁进度显示。威胁进展包括： 感染 下载
Threat Progression （研究仪表板）	显示每个恶意软件选择的感染和下载的交互式地图。 以下示例显示了下载到整个企业的连续主机。	鼠标点击次数： 单击感染以显示受感染的端点进度。 单击下载以显示发生所选恶意软件下载的端点（由 IP 地址指示）。 单击端点 IP 地址以显示该端点的主机详细信息。单击所选终结点的圆形项目符号将变为橙色。
Threat Details （研究仪表板）	显示当前所选恶意软件的通用威胁详细信息。但是，当从威胁进展图中选择端点时，显示屏会进行调整以提供主机详细信息。	鼠标点击： 单击端点 IP 地址以显示该端点的主机详细信息。单击所选终结点的圆形项目符号将变为橙色。
Traffic （系统仪表板）	显示所选时间段内相对于已分析协议流量（以 Kbps 为单位）处理的总网络流量。 x 轴表示以月为单位的时间段;y 轴表示 Kbps。	鼠标悬停： 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线：在图表内拖动鼠标以更改三个组件中每个组件的间隔（x 轴）。
Core Utilization (%) （系统仪表板）		鼠标悬停： 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线：在图表内拖动鼠标以更改三个组件中每个组件的间隔（x 轴）。
Average Analysis Time （分钟）（系统仪表板）		鼠标悬停： 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线：在图表内拖动鼠标以更改三个组件中每个组件的间隔（x 轴）。
Objects Processed （系统仪表板）	显示在选定时间段内处理的网络对象。 x 轴表示以月为单位的时间段;Y 轴表示对象数。	鼠标悬停： 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线：在图表内拖动鼠标以更改三个组件中每个组件的间隔（x 轴）。
Malware Objects （系统仪表板）	显示在选定时间段内处理的恶意软件对象。 x 轴表示以月为单位的时间段;Y 轴表示对象数。	鼠标悬停： 将鼠标悬停在图表的任何部分上;鼠标指针将变成十字准线：在图表内拖动鼠标以更改三个组件中每个组件的间隔（x 轴）。
Trend （收集器仪表板）	显示收集器活动和趋势的统计信息。 显示选项从趋势下拉菜单中选择，包括总流量、CPU 使用率、内存使用率、找到的对象和恶意软件对象	从图下方的汇总表中选择要跟踪的收集器。 每个收集器的值每 10 分钟更新一次。 单击“打印列”复选框以绘制选定收集器的图形信息。
Vendor （事件时间轴仪表板）	从安全基础架构中选择供应商，并查看指定端点 IP、主机名、用户名或电子邮件的所有相关事件：

通过单击重置图表，将仪表板重置为其原始的全主机、所有威胁状态。

• 单击“文件上传”选项卡，然后在“提交文件以供分析”窗口中，选择要上传以供分析的文件，然后单击“提交文件”按钮。

  注意：

  您可以上传以进行分析的最大文件大小为 32MB。

  图 20：从“事件”选项卡 提交文件以进行恶意软件分析

提交文件后，将显示 SHA1。

上传文件功能调用“file_submit”API，然后，在分析之后，在中央管理器 Web UI 文件上传选项卡中显示从 API 返回的结果。结果也会显示在“事件”页表中，并带有“杀伤链进度”标识：UP 以及事件 sha1sum 和文件名。

无论是从 HTTP API 还是通过中央管理器文件上传页面将文件提交到 Core 进行恶意软件分析，分析结果始终显示在“文件上传”页面上。

网络交换机 SPAN/TAP 支持两种类型的 vCollector 部署：

1. 从物理交换机跨越到 vCollector 的流量。在这种情况下，流量从端口 A 跨越到端口 B。包含瞻博网络 ATP 设备 vCollector OVA 的 ESXi 已连接到端口 B。此部署方案如上图所示。

2. 来自与收集器位于同一交换机上的虚拟机的流量。在此部署方案中，由于包含 vCollector 的 vSwitch 处于混合模式，因此默认情况下创建的所有端口组也将处于混合模式。因此，建议使用 2 个端口组，其中混合模式下的端口组 A （vCollector） 与 vCollector 关联，端口组 B （vTraffic） 表示未处于混合模式的流量。

   注意：

   不支持来自与 vCollector 不在同一 vSwitch 上的虚拟机的流量。此外，vCollector 部署也需要 ; dedicated NIC adapter 将 NIC 连接到混合模式下的虚拟交换机（以收集所有流量）。如果 vSwitch 处于混合模式，则默认情况下所有端口组都将置于混合模式，这意味着其他常规虚拟机也会收到不必要的流量。解决方法是为其他 VM 创建不同的端口组，并在不使用混合模式的情况下进行配置。

   提示：

   部署虚拟收集器（常规和小型收集器）有两个可用选项：（1） 使用 vCenter 的 OVA 安装方法;（2） 通过直接在 ESXi 上安装，在没有 vCenter 的情况下使用 OVF + VMDK。没有可用于使用第二种方法部署 vCollector 的向导;从 CLI 配置收集器。对于虚拟核心安装，只有 OVA/vCenter 方法可用。

下表详细介绍了 OVA vCollector 部署所需的资源和硬件置备。

下面提供了可用于 vCollector 部署的大小调整选项。

安装 OVA 虚拟收集器后，请按照快速入门指南中的说明使用瞻博网络 ATP 设备 CLI 和配置向导配置 Web 或电子邮件虚拟收集器。

1. 将瞻博网络 ATP 设备 OVA 文件从瞻博网络支持代表指定的位置下载到可以访问 VMware vCenter 的桌面系统。请参阅本节末尾的提示，有选择地避免使用 vCenter。

2. 连接到 vCenter，然后单击“文件>部署 OVF 模板”。

3. 浏览下载目录并选择 OVA 文件，然后单击下一步以查看 OVF 模板详细信息页面。

4. 单击下一步以显示并查看最终用户许可协议页面。

5. 接受 EULA，然后单击下一步以查看名称和位置页面。

6. 虚拟核心的默认名称是瞻博网络 ATP 设备虚拟核心设备。如果需要，请输入虚拟核心的新名称。

7. 选择要在其上部署 vCore 的数据中心，然后单击“下一步”查看“主机/群集”页。

8. 选择 vCore 将驻留的主机/群集，然后单击“下一步”查看“存储”页。

9. 选择 vCore 虚拟机文件的目标文件存储，然后单击“下一步”查看“磁盘格式”页。默认值为精简置备延迟归零，这需要存储设备上有 512GB 的可用空间。还支持使用精简磁盘置备来初始节省磁盘空间。

   单击“下一步”查看“网络映射”页面。

10. 设置 vCore 接口：

    • 管理（管理）：此接口用于管理以及与瞻博网络 ATP 设备流量收集器通信。将目标网络分配给已连接到 CM 管理网络 IP 地址的端口组。

    • 单击下一步查看瞻博网络 ATP 设备属性页面。

11. 可以为 DHCP 或静态寻址配置 IP 分配策略 -- 瞻博网络建议使用静态寻址。有关 DHCP 说明，请跳至步骤 12。对于静态的 IP 分配策略，请执行以下分配：

    • IP 地址：为 vCore 分配管理网络 IP 地址。

    • 网络掩码：为 vCore 分配网络掩码。

    • 网关：为 vCore 分配网关。

    • DNS 地址 1：分配 vCore 的主 DNS 地址。

    • DNS 地址 2：为 vCore 分配辅助 DNS 地址。

12. 输入 vCore 的搜索域和主机名。

13. 完成瞻博网络 ATP 设备 vCore 设置：

    新的瞻博网络 ATP 设备 CLI 管理员密码：这是用于从 CLI 访问 vCore 的密码。

14. 完成瞻博网络 ATP 设备 vCore 设置：

    • 新的瞻博网络 ATP 设备 CLI 管理员密码：这是用于从 CLI 访问 vCore 的密码。

    • 瞻博网络 ATP 设备中央管理器 IP 地址：如果虚拟核心是独立核心（未启用群集）或主核心（已启用群集），则 IP 地址为 127.0.0.1。如果虚拟核心是辅助核心，则中央管理器 IP 地址将是主核心的 IP 地址。

    • 瞻博网络 ATP 设备设备名称：输入 vCore 的唯一设备名称。

    • 瞻博网络 ATP 设备设备说明：输入 vCore 的说明。

    • 瞻博网络 ATP 设备密钥密码：输入 vCore 的密码;它应与中央管理器中为核心/CM 配置的密码短语相同。 单击下一步查看即将完成页面。

15. 请勿选中部署后打开电源选项，因为必须先（下一步）修改 CPU 和内存要求（具体取决于 vCore 型号 - 500Mbps 或 1Gbps;有关大小调整信息，请参阅 OVA vCollector 大小调整选项 ）。

16. 要配置 vCPU 和内存的数量，请执行以下操作：

    1. 关闭 vCore 的电源。

    2. 右键单击 vCore ->编辑设置

    3. 在硬件选项卡中选择内存。在右侧的内存大小组合框中输入所需的内存。

    4. 在硬件选项卡中选择 CPU。在右侧输入所需的虚拟 CPU 数量组合框。单击“确定”进行设置。

17. 要配置 CPU 和内存预留：

    1. 对于 CPU 预留：右键单击“vCore->编辑设置”：

    2. 选择“资源”选项卡，然后选择“CPU”。

    3. 在“预留”下，为 VM 指定有保证的 CPU 分配。它可以根据 vCPU 数量 *处理器速度进行计算。

    4. 对于内存预留：右键单击“vCore ->编辑设置”。

    5. 在“资源”选项卡中，选择“内存”。

    6. 在“预留”下，指定要为 VM 预留的内存量。它应与大小调整指南指定的内存相同。

18. 如果启用了超线程，请执行以下选择：

    1. 右键单击 vCore ->“编辑设置”。

    2. 在“资源”选项卡中，为“高级 CPU”选择“HT 共享： 无”。

19. 打开虚拟核心 （vCore） 的电源。注意：为了将来参考，允许列表规则依赖于备份正常的服务关闭。直接关闭 VM 或虚拟核心的电源将失去当前的允许列表状态，因为在这种情况下无法保存规则。

登录 CLI 并使用服务器模式“显示 uuid”命令获取 UUID;发送到瞻博网络 ATP 设备以接收您的许可证。

将 OVA 克隆到创建另一个虚拟辅助核心时，默认情况下，中央管理器设备表中列“id”的值相同。管理员必须重置 UUID 才能使其唯一。新的虚拟核心 CLI 命令“set id”可用于从 CLI 的核心模式重置克隆虚拟核心上的 UUID。请参阅瞻博网络 ATP 设备 CLI 命令参考，查看新的核心模式 “set id” 和 “show id” 命令。

从中央管理器 Web UI 配置>系统设置>系统设置页面配置升级时，软件和安全内容的升级是自动的。

• 要启用自动升级，请选中“系统设置”页面上的“已启用软件更新”和/或“已启用内容更新”选项。

所有瞻博网络 ATP 设备组件的所有自动更新均由瞻博网络 ATP 设备核心协调和实施。持续更新会定期进行：

• 核心软件和内容更新（如果启用）每 30 分钟检查一次可用更新，并将新文件推送到收集器和/或辅助核心。

• 核心引爆引擎映像升级检查在每天午夜进行。

• 瞻博网络 ATP 设备将继续减少其运营足迹，并且不再需要大量允许列表外部 IP 地址来进行升级、遥测、内容更新和其他服务。

• 之前为特定服务打开的防火墙端口可以在版本升级完成后关闭。

• 请注意，大多数新式防火墙都支持域允许列表。

• 客户可以选择只允许在 HTTPS（端口 443）上对核心/CM 设备*（不是收集器）进行出站访问;在这种情况下，不需要域允许列表。

• *瞻博网络 ATP 设备始终建议允许 Core/CM 设备（或一体机）进行不受限制的出站通信，以便在沙盒引爆时实现杀伤链关联。

• 关注端口 443 上全面允许列表的客户可以将允许列表限制为仅 Amazon AWS 和 S3 CIDR - 但请注意，这仍然是一个相当大的 IP 地址范围。

您可以从 UI 或 CLI 启用远程支持帐户。

从 UI 启用远程支持帐户

若要从 Web UI 启用支持帐户，请执行以下操作：

1. 选择 配置 > 系统配置文件 >远程支持。

2. 在“远程支持”页中，选择“ 启用远程支持 ”选项。

3. 在“持续时间”字段中，输入会话的持续时间（以小时为单位）。

4. 单击 启用支持。

   支持密码是使用两个密钥生成的：

   • 启用远程支持后，瞻博网络支持会自动从 ATP 设备获取一个密钥。

   • 另一个密钥由瞻博网络提供。

   启用远程支持后，UI 将刷新以显示新的密钥，如图 22 所示。密钥对于每个支持会话都是唯一的。

图22：远程支持窗口

从 CLI 启用远程支持帐户

要从 CLI 启用支持帐户，请执行以下操作：

1. T 登录到 CLI，进入服务器模式，然后使用 设置 cysupport enable on 命令。

2. 输入远程支持持续时间（以小时为单位）。

3. 如果需要从 CLI 获取密钥，请使用 show 远程访问密钥 命令。

名为“recovery”的用户可以在没有密码的情况下登录设备并输入有限数量的命令，包括重置管理员密码的命令。

要使用 CLI 恢复管理员密码，请执行以下操作：

1. 当系统提示登录时，输入设备上的用户名恢复，然后按 Enter 键。

   由于不需要密码，恢复用户会自动登录到设备。

2. 输入命令以 reset-admin-password 重置密码。

   恢复用户可以使用的其他命令包括：退出、帮助和历史记录。

除了在审核日志中查看 UI 用户之外，现在还可以在审核日志中的 Web UI 中的“报告”下查看管理员和恢复管理员 CLI 用户。有关详细信息 ，请参阅审核日志显示 UI 或 CLI 访问 。

除了 UI 审核日志记录之外，还有核心和收集器 CLI 活动审核日志记录。除了日志数据，您还可以查看操作是从 UI 还是 CLI 执行的。参见 图 24。

还可以查看在正常模式或专用模式下完成的软件更新、静态内容更新和快速内容更新的审核日志。参见 图 23。

这些日志可从 ATP 设备 UI 门户的“报告”选项卡和系统日志服务器（与以前的 UI 审核日志相同）中获得。

图 23：生成系统审核报告

图 24：审核日志