1、MARS测试报告MARS实施报告目录1MARS概述42MARS功能简介及配置42.1MARS拓朴自动发现42.2添加安全设备62.3配置Netflow信息82.4创建自定义规则92.5创建自定义报告123MARS管理153.1拓朴结构及设备查看153.2系统统计信息173.3安全事件操作173.3.1查看Incident173.3.2攻击分析203.3.3攻击缓解223.4常用报表查看234MARS的报表功能264.1MARS实用报表示例264.1.1自定报告清单264.1.2最多报告事件设备统计284.1.3最大命中规则统计284.1.4DoS事件报告304.1.5过去1天最大访问目的IP端 。

2、口报告314.1.6过去7天最大被拒绝源IP报告314.1.7过去7天DoS攻击报告324.1.8过去7天最大连接数网络报告334.1.9过去7天最多病毒源报告354.1.10过去30天最多P2P主机报告354.1.11过去60天入侵报告364.2MARS对富士康部分园区的安全分析374.2.1防火墙相关分析374.2.2IPS相关分析384.2.3其他安全问题分析395MARS测试总结395.1总体评价395.2Netflow信息的分析功能对未知攻击发现的作用405.3MARS的设计和部署建议411 MARS概述CISCO安全监控分析和响应系统(CS-MARS),简单的说CS-MARS的功能 。

3、就是可以接受各种设备的事件和数据,进行事件分析.汇总、然后根据需要生成相关的报告结果. 以达到识别和消除网络攻击 。
2 MARS功能简介及配置2.1 MARS拓朴自动发现1. 通过https:/10.191.130.180 登進MARS之后（缺省用户名密码pnadmin/pnadmin）,点进ADMIN页面 。
2. 点 Community String and Networks 选项 ， 填入要发现的拓扑IP 网段和Community string之后 ， 按ADD ， 填完相关IP网段之后 ， 按Submit 。
（图2.1）图2.1 输入网络设备的Community属性3. 按Back 返回主菜单按Vaild N 。

4、etwork(选择有效的发现网络) ， 填入有效的发现网络之后 ， 按ADD ， 单击 Discover now进行设备发现 ， 最后按Submit完成配置 。
（图2.2）图2.2 输入有效网络4. 配置定时发现设备 。
选择 ADMINToplogy/Monitored Device Update Scheduler 选择default Discovery Group -edit (选择定时发现的时间段和发现的有效网段) 。
完成后 ， 按Run now 。
（图2.3）图2.3 输入定时发现网络设备参数5. 返回 Admin Vaild network 按一下Discover now， 发现完成后按click here 。
（ 。

5、结果如图2.4）图2.4发现结果6. 检查新发现的设备列表 。
选择AdminSecurity Monitor Devices ， 可以看到发现的设备清单 。
（图2.5）图2.4发现的可管理安全设备2.2 添加安全设备1. 点击ADMIN-Security Monitor Devices ， 添加需要增加管理的设备 。
一个添加设备的范例如图2.5所示：图2.5添加安全设备范例：ASA2. 在添加安全设备时 ， MARS上需要添加设备的软件版本要与设备的版本一致 ， 而且被管理的设备的软件版本需要满足MARS的需求（软件版本请查阅MARS的Release Notes） 。
为了让MARS了解网络详细拓扑 ， 需要把每台要加入的 。

【CISCO|CISCO安全监控分析和响应系统测试报告】6、设备的 login password ,enable password 和snmp community配置对 。
填完之后 ， 按Discovery ， 此时设备已经添加完毕 。
（图2.6为已管理安全设备清单）注：如果添加设备不成功 ， MARS会提供添加设备错误的原因 ， 可根据原因改正 。
图2.6已管理安全设备清单3. 配置被管理安全设备要使CS-MARS收集的安全设备的数据 ， 还必须都将安全设备的日志信息发给CS-MARS 。
因为每种安全设备的日志设置不完全一样 ， 这里以PIX的设置为例说明：logging enablelogging trap warningslogging history notification 。

7、slogging host campus 10.191.130.1802.3 配置Netflow信息当需要分析Netflow信息时 ， 还应为MARS配置Netflow 。
1. 配置MARS的Netflow配置 。
选择AdminNetflow Configuration ， 配置Netflow使用的UDP端口 ， 并加入需要分析的Netflow报告的网络 ， 不指定加入则分析所有网络 。
（图2.7）图2.7配置MARS的Netflow2. 配置网络设备的Netflow 。
以Cisco 2600为例 ， 需要作如下配置：ip flow-export version 5ip flow-export source FastEt 。

8、hernet 0/1interface FastEthernet0/1ip flow ingressip flow egress2.4 创建自定义规则除了MARS提供的安全规则以外 ， 还可以通过自定义规则的方式增加客户化的安全规则 ， 用于特定环境或特定要求之下的事件分析 。
自定义规则可以通过修改系统规则或增加规则的方式创建：1. 通过修改system rule生成 。
首先找到作为生成基础的System rule ， 选上 ， 然后按Duplicate ， 然后对rule中的配置作相应的调整或增减 。
（图2.8）图2.8修改system rule生成新规则2. 创建新规则 。
进入RULE页面 ， 按ADD 创建规则 ， 进入规 。

稿源：(未知)

【傻大方】网址：/a/2021/0711/0022846277.html

标题：CISCO|CISCO安全监控分析和响应系统测试报告