如上图中,如果是终端用户出现安全问题,由于DHCP动态分配IP地址的原因,安全问题将不能定位到具体的终端。
解决办法:
DHCP租期延长,及相当于间接的绑定了用户的IP地址,如设置DHCP租期为1周。
镜像DHCP流量,识别终端的主机名。
通过SIP与AC联动,AC上传用户名到SIP,则安全问题对应的是AC上的用户名,因为用户名不会变动及可确认风险终端。
在SIP中,[资产中心/资产感知/配置/高级设置]页面中,关闭入库审核,将退库时间设置为DHCP租赁周期等长。
:
当AC配置了全局排除地址后,对于加入的排除域名会自动发起DNS请求,对于加入的IP地址会自动发起反查域名请求,该问题属于AC自检全局排除地址功能是否生效的机制。可能造成AC被SIP识别出C&C通信行为,所以需要将AC的IP地址加入到SIP的全局白名单中。
SIP配置
镜像DHCP流量情况。
通过主机名识别,在DHCP的交互数据包中含有主机名字段。
通过与AC联动同步用户名,需要用户使用密码认证,能将用户的认证信息同步到SIP。
SIP与AC的对接配置可查看SIP的帮助界面。
进入到[资产中心/资产感知/配置/高级设置]页面,关闭入库审核,并将主机资产退库时间和DHCP租赁周期设置等长,如下图所示。
建议使用Chrome浏览器访问!
