数据源准备

本节将介绍部署本系统前的数据源准备工作

前文提到，本系统支持 HFish (opens new window) 和 DPTECH (opens new window) 的 UMC 统一管理中心这两套系统，本节将以 HFish (opens new window) 为例介绍如何准备数据源

版本要求

HFish: >= 2.8.2

DPTECH UMC 统一管理中心: 2021年12月版本

部署 HFish

HFish (opens new window) 官网给出了非常详细的部署文档，我们推荐您在部署 HFish 时：

1. 至少使用两台机器，一台管理端放在安全区，一台节点放在 DMZ 区或者用防火墙做端口转发（推荐）
2. 使用 firewall-cmd 和 rich-rule 等命令做好端口安全管理
3. 针对内网系统制作符合自己使用环境的自定义 WEB 蜜罐，并使用 Nginx 做适当代理

如果遇到部署完成之后按照文档方法无法登录的问题，请参考这两条 issues

https://github.com/hacklcx/HFish/issues/174 (opens new window)

https://github.com/hacklcx/HFish/issues/135 (opens new window)

在部署完成后，需要像如下这样配置好 syslog 告警

首先进入 “告警配置->通知配置” 配置 syslog 服务器

然后配置 “告警配置->告警策略” 启用告警通道

部署 DPTECH UMC 统一管理中心

方法和上面类似，配置 DPTECH UMC 统一管理中心，设置 syslog 服务器和告警，配置完成之后你可以在 sysloger.py 模块（请打开调试模式）看到类似这样的信息

Syslog 原始数据: <100>Mar 17 20:04:59 2022 DPTECH %%DPX/BASIC_ATTACK/4/SRVLOG(l): log-type:basic-attack;event:alert;attack-name:Icmp unreach;source-ip:xxx.xxx.xxx.xxx;destination-ip:xxx.xxx.xxx.xxx;ifname-inside:xxxxxx;source-port:xxx;destination-port:;type:xx;code:xx;protocol-name:icmp;``vsys-id:xx;

如果你的数据不包含 IP 的数据，请联系厂商提供技术支持

2021年12月版本的 DPTECH UMC 统一管理中心的登录页面入下图所示，非该版本的 DPTECH UMC 统一管理中心直接拿来对接本套系统可能会导致不可预知的问题，你需要参照二次开发部分进行二次开发来解决问题