此功能适用于事件日志分析器

操作手册管理先决条件

最后更新于：2025年9月12日

本页面内容

概述
前提条件
支持的设备列表
先决条件列表

概述

本文档概述了执行操作手册操作的先决条件，包括支持的操作系统平台、必需端口、协议及权限设置。详细说明了Windows、Linux、AD和防火墙设备所需的配置，以确保安全事件期间响应操作的无缝执行。

先决条件

支持设备列表

所有类型的 Windows 操作系统。
Linux操作系统：
- Ubuntu
- Debian
- Fedora
- CentOS
- 红帽企业版 Linux (RHEL)
- Arch Linux
- SUSE Linux 企业服务器 (SLES)
- openSUSE
- Gentoo OS
Red Hat Enterprise Linux (RHEL)

以下是访问操作手册功能所需的必要配置

指南：

端口：用于通信（该端口需保持开放、可用且防火墙允许通过）

入站：操作所针对的目标设备/应用程序

出站：操作发起源头。

服务： 执行该操作所使用的服务 /协议。

网络操作

BLOCK	端口	入站	出站
PING设备	ICMP/无端口	受审计的 Windows/Linux 设备	事件日志分析器服务器
Windows 追踪路由	ICMP/无端口	已审核的 Windows 设备	事件日志分析器服务器
追踪路由 Linux	UDP/33434 -33534	已审核的 Linux 设备	事件日志分析器服务器

Windows 操作

BLOCK	端口	INBOUND	出站	服务	附加权限与许可
注销	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：对于根\cim v2在 WMI 属性中：执行方法启用账户远程启用读取安全性环境权限：计算机不应包含已安装事件日志分析器的服务器。
	TCP/139	受稽核的 Windows 裝置	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
关机和重启	TCP/135	已审核的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：针对 root\cim v2在 WMI 属性中：执行方法启用账户远程启用读取安全性环境权限：计算机不应包含已安装事件日志分析器的服务器
	TCP/139	受稽核的 Windows 裝置	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
执行 Windows 脚本	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：针对 root\cim v2在 WMI 属性中：执行方法启用账户远程启用读取安全性环境权限：用户应具备对脚本中共享路径的读取、写入及修改权限。
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
禁用USB	TCP/135	已审核的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：针对 root\cim v2在 WMI 属性中：执行方法启用账户远程启用读取安全性环境权限：远程注册表服务应处于运行状态。对 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR 的完全控制权限
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
所有服务阻塞	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户管理员用户权限：针对根 \cim v2在WMI属性中：执行方法启用账户远程启用读取安全性
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
启动进程	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：针对根 \cim v2在WMI属性中：执行方法启用帐户远程启用读取安全性
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
停止进程	TCP/135	已审核的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：对于 root\cim v2在 WMI 属性中：执行方法启用账户远程启用读取安全性
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
测试进程	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户用户权限：针对根\cim v2 在WMI属性中：执行方法启用账户远程启用读取安全
	TCP/139	受审计的 Windows 设备	事件日志分析器服务器	NetBIOS 会话RPC/NP
	TCP/445	受审计的 Windows 设备	事件日志分析器服务器	SMB RPC/NP
	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口

Linux 操作

BLOCK	阻止	INBOUND	出站	服务	附加权限与许可
关机和重启	TCP/指定端口。	受审计的 Linux 设备	事件日志分析器服务器	-	环境权限：用户应为root用户。
执行 Windows 脚本	TCP/指定端口。	受稽核的 Linux 裝置	事件日志分析器服务器	-	环境权限：用户具备sudo 权限。
所有服务阻止	TCP/指定端口。	受审计的 Linux 设备	事件日志分析器服务器	-	环境权限：Sudo权限。
启动进程	TCP/指定端口。	受审计的 Linux 设备	事件日志分析器服务器	-	环境权限：应为提供凭据的用户授予执行命令的权限。
停止进程	指定端口。	受稽核的 Linux 裝置	事件日志分析器服务器	-	环境权限：应为提供凭据的用户授予执行命令的权限。
测试进程	TCP/指定端口。	受稽核的 Linux 裝置	事件日志分析器服务器	-	-

通知

BLOCK	端口	入站	出港	服务	附加权利与许可
弹出窗口	TCP/135	受审计的 Linux 设备	事件日志分析器服务器	RPC	用户组：分布式 COM 用户 WMI 属性中 root\cim v2的用户权限：执行方法启用账户远程启用读取安全性环境权限："AllowRemoteRPC" 值应为 1（路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer） RPC 端口 - TCP/1024 至 65535
弹出窗口	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器	RPC 随机分配的高 TCP 端口
弹出 LINUX	TCP/指定端口。	审计的 Linux 设备	事件日志分析器服务器	-	环境权限：用户具备sudo权限。
发送电子邮件（Windows & Linux）	配置SMTP服务器时提及的TCP/端口	受审计的 Linux 设备	事件日志分析器服务器	-	环境权限：SMTP服务器应配置在事件日志分析器服务器上
发送短信（Windows & Linux）	-	-	-	-	环境权限：产品中应配置短信服务器。
发送SNMP陷阱 WINDOWS & LINUX	UDP/工作流块中指定的端口	受监控的Windows/Linux设备	事件日志分析器服务器	-	环境权限：工作流配置中提及的端口应保持开放状态。

AD 操作

BLOCK	端口	入站	出站	服务	附加权限与许可
删除广告用户窗口	TCP/389	受稽核的網域控制器	事件日志分析器服务器	LDAP	用户权限：用户应在AD中拥有"删除"权限才能删除其他账户。被删除的用户不应勾选"防止意外删除对象"选项。
禁用 AD 用户 Windows	TCP/389	已审核的域控制器	事件日志分析器服务器	LDAP	用户权限：提供的用户帐户应具有“读取”、“写入”、“修改所有者”和“修改权限”权限。
禁用用户计算机 Windows 和 Linux	TCP/389	受审计的域控制器	事件日志分析器服务器	LDAP	用户权限：提供的用户帐户应具有“读取”、“写入”、“修改所有者”和“修改权限”权限。

其他操作

BLOCK	端口	入站	出站	附加权限
写入文件窗口	TCP/135	受审计的 Windows 设备	事件日志分析器服务器	用户组：分布式 COM 用户用户权限：作为操作系统的一部分运行以批处理作业身份登录以服务身份登录替换进程级标记。用户权限：针对 root\cim v2在属性中：执行方法启用账户远程启用读取安全性环境权限：用户应具有对共享路径的读取、写入和修改权限。
写入文件窗口	RPC 端口 - TCP/1024 至 65,535	受审计的 Windows 设备	事件日志分析器服务器
写入文件（Linux）	TCP/指定端口。	审计的 Linux 设备	事件日志分析器服务器	环境权限：用户的Sudo 权限
HTTP WebHook	-	-	-	环境权限：对目标URL的主机/端口组合授予 "连接"套接字权限，或授予允许此请求的"URL权限"。
转发日志	TCP/指定端口	受审计的 Windows/Linux 设备	事件日志分析器服务器	-
CSV查询	TCP/指定端口	受审计的 Windows/Linux 设备	事件日志分析器服务器	用户权限：对指定CSV文件的读取权限。

防火墙操作

阻止	端口	INBOUND	出站	附加权限
思科ASA拒绝入站/出站规则	https/443	防火墙设备	事件日志分析器服务器	端口用户可自定义附加权限：参见此页面
Fortigate 拒绝访问规则	https/443	防火墙设备	事件日志分析服务器	端口用户可自定义附加权限：参见此页面
Palo Alto 拒绝访问规则	https/443	防火墙设备	事件日志分析服务器	端口用户可自定义附加权限：参见此页面
Sophos XG 拒绝访问规则	https/443	防火墙设备	事件日志分析服务器	端口用户可自定义附加权限：参见此页面
Barracuda 拒绝访问规则	https/8443	防火墙设备	事件日志分析器服务器	端口用户可自定义附加权限：参见此页面

另请参阅

本指南涵盖执行操作手册的基础知识。若需深入了解安全响应中的自动化与编排机制，请参阅：