可扩展的检测与响应平台XDR(分布式)

深信服 XDR 是一种安全威胁检测和事件响应平台,通过原生的流量采集工具与端点采集工具将关键数据聚合在 XDR 平台,通过 E+N 聚合分析引擎、上下文关联分析,实现攻击链深度溯源,结合 MDR 服务提供托管式安全检测与响应服务,释放人员精力。同时具备可扩展的接口开放性,协同 SOAR 等产品,化繁为简,带来深度检测、精准响应、持续生长的安全效果体验。
点击可切换产品版本
知道了
不再提醒
2.0.20
{{sendMatomoQuery("可扩展的检测与响应平台XDR(分布式)","资产配置说明")}}

资产配置说明

更新时间:2023-09-13

 若平台管理信息缺失较多,可参阅 

一、资产配置指引

 

请按照1-8顺序完成配置,标记 * 的项,为必须完成的配置

1、* IP范围定义

  •  描述

 配置IP范围可以避免管理范围之外的资产对您的资产治理造成干扰。

 1)属于“管理IP范围”内的资产,将会认为是内网资产,安全事件和告警会根据“管理IP范围”来判断发生安全风险的方向是“从内到外”还是“从外到内”

 2)属于管理IP范围,但不属于用户自己创建的资产组时,该IP将会划入内置资产组“管理IP范围”中;既不属于管理IP范围又不属于用户自己创建的资产组时,该IP将会划入内置资产组“未归类组”中,默认情况下,属于“未归类组”中的未安装终端的资产都将进入“未知资产”中等待进一步分析,不会自动进入资产台账中。

  •  默认配置

 管理IP范围为私网网段,非管理IP范围为空

  •  配置方式

 进入“资产中心-资产管理”模块,点击“IP范围定义”,在输入框中填写您的管理IP范围和非管理IP范围

2、* 资产组创建

  •  描述

 您可以根据自身网段划分情况进行分组管理,系统将根据您设置的资产组属性,自动将符合条件的资产纳入对应资产组中,便于资产的维护和管理。

合理配置资产组信息,可以一定程度提示资产治理水平:

 1)创建资产组并设置资产类型,能够提升资产类型识别准确性,弥补扫描识别识别资产类型准确性不足的问题

 2)在发生风险时,可以快速定位风险主机所属范围,便于判断下一步处置策略

 3)更加系统的管理资产,提高资产维护效率

  •  默认配置

 资产组默认为空

  •  配置方式

 您可以手动新增或者批量导入资产组信息:

  •  进入“资产中心-资产管理”模块,在左侧资产组结构中点击“新增”,手动创建资产组。

  •  进入“资产中心-资产管理”模块,在列表上方选择“导入/导出 > 导入资产组”,按照模板导入资产组。

  •  推荐设置
    •  在创建资产组时,建议填写“资产类型”属性,设置之后该资产组内所有资产的“资产类型”都将等于资产组的“资产类型”,弥补扫描识别识别资产类型准确性不足的问题。
    •  在创建资产组时,建议填写“责任人”属性,当资产组内资产找不到对应责任人时,系统将提供资产组的责任人,协助进行资产定位分析。
  •  常见问题

 1)存在多分支场景,且每个分支之间可能存在IP冲突时,如何通过资产组管理?

 答:您可以通过每个分支网络的接入设备做划分,例如分支1部署的设备为STA1,分支2部署的设备为STA2,分支3部署的设备为STA3,那么您可以分别创建以下资产组:

   资产组1(识别模式为“按设备来源分组”,选择接入设备为“STA1”)

   资产组2(识别模式为“按设备来源分组”,选择接入设备为“STA2”)

   资产组3(识别模式为“按设备来源分组”,选择接入设备为“STA3”)
  •  实践关联

 1)详见 “3.6 如何建好资产组”

 

3、* 数据源接入

  •  描述

您可以根据自身数据源情况分别接入资产上报数据源和准入认证数据源。

 1)建议您将所有现有的可靠数据源全部接入XDR,接入的数据源越丰富,资产的全面性越高。

 2)建议您接入现有的准入数据源,准入设备上报的资产认证信息,将会作为“检出时认证用户名”和“实时认证用户名”,协助您判断资产的责任人所属。

  •  涉及的数据源类型
    •  准入认证类数据源:深信服AC、画方准入等
    •  端侧数据源:存在agent的产品,如EDR、联软终端安全管理系统、天擎等
    •  excel台账
    •  网侧数据源:通过网络流量采集资产的设备,如SIP、云镜等
    •  自建数据源:用户自建用来管理资产的系统,如华为CMDB、华三CMDB等
  •  配置方式

 1)若您存在深信服自有产品需要接入,则进入“配置管理 > 产品接入 > 自有产品接入”进行对接;

 当前支持的自有产品如下:

数据源类型

组件名称

saas推荐版本

分布式推荐版本

资产数据

EDR

3.7.10及以上

3.7.10及以上

CWPP

3.3.39B6

3.3.39B6

SIP

3.0.71

3.0.73

STA

【新架构】3.0.47

【老架构】3.0.40

【新架构】3.0.51

【老架构】3.0.40

云镜

3.0.13及以上

3.0.13及以上

认证数据

AC

13.0.74及以上

13.0.80及以上

EDR

3.7.10及以上

3.7.10及以上

表1 自有产品支持表

 2)若您存在第三方产品需要接入,则需要按照第三方数据源的类型来看:

  a、以下数据源可以进入“配置管理 > 产品接入 > 第三方产品接入”进行对接

  当前支持的第三方产品如下:

数据源类型

组件名称

第三方设备推荐版本

XDR版本

资产数据

联软-终端安全管理系统

LV7000

2.0.14(23年5月30号发布版本)

青藤云-万相

v3.4.0.15

2.0.14(23年5月30号发布版本)

奇安信-天擎

10.0R5

2.0.15(23年6月30号发布版本)

网防G01

信创定制版本

2.0.16(23年7月30号发布版本)

画方-网络准入管理系统

10.5.4344

2.0.12(23年3月30号发布版本)

认证数据

AD域

windows服务器的2008、2012、2016、2019 版本

2.0.13(23年4月30号发布版本)

联软-终端安全管理系统

LV7000

2.0.12(23年3月30号发布版本)

                    表2 第三方产品支持表

 

  b、不在以上数据源内的产品,如果存在标准对外API,需要在XDR做定制开发来对接,您可以进入“APP中心 > APP商城”创建一个定制APP来完成开发或者联系我们协助开发

  c、不在以上数据源内的产品,如果不存在标准对外API,需要由您的开发团队调用XDR的对外API完成对接,您可以进入“系统管理 > 开放共享”将您的设备与XDR完成对接

 3)若您原先使用excel台账进行资产管理,则可以选择“资产中心 > 导入/导出 > 导入资产”根据我们的模板导入已有的台账信息

4、字段优先级配置

  •  描述

 多种数据源接入的情况下,可能会出现一个字段性由多个数据源上报了不同的值的情况,您可以在此配置关键字段的取值优先级,我们将按照您的配置的优先级依次展示字段值

  •  默认配置

 人工 > 端 > 网

  •  配置方式

 进入“资产中心 > 资产管理 > 字段优先级”,拖拽修改关键字段的优先级

5、入库规则配置

  •  描述

 当数据源上报的资产符合某条入库规则时,将会自动进入“资产台账”中,您可以在此根据实际情况创建自定义规则。

 良好的应用入库规则,能够很大程度减少资产入库管理的工作量,提升您的资产自动化管理水平。

 人工创建的资产无需配置,将会自动进入资产台账。

  •  默认配置:

 1)agent状态不等于未安装时,自动入库(默认开启)

 2)已关联资产组的资产,自动入库(默认关闭)

 3)全部资产,自动入库(默认关闭)

  •  配置方式

 进入“资产中心 > 资产配置 > 入库配置”,若内置规则可以满足您的需求,您可以启用需要的规则,禁用不需要的规则;如果内置需求无法满足,您可以创建自定义规则

  •  推荐配置

 1)已经安装agent的资产自动入库:系统已经内置并启用

 2)可信数据源上报资产自动入库:您可以创建一条新的规则,选择“数据源”指标,勾选您认为可信的数据源并保存生效

 若您希望所有资产自动入库,无需做未知资产的分析和审核,您可以启用内置规则“全部资产”,并禁用其他规则

6、入库信息检查

  •  描述

 当您对进入台账中的资产有一定管理需求时,您可以开启“入库信息检查”,在这里,您可以设置进入资产台账的资产必须填写某些管理字段,比如:资产名称、主机名、资产类型、责任人,当审核未知资产时,这些字段存在缺失时,将不允许入库。

  •  默认配置

 关闭

  •  配置方式

 进入“资产中心 > 资产配置 > 入库配置”,根据您的需求勾选并开启“入库信息检查”即可

 

7、未知资产分析配置

  •  描述

 未知资产分析可以根据您的配置自动帮您梳理所有未知资产,并打上指定标签,以提高您的分析效率。

 良好应用未知资产分析指标,可以极大程度提升未知资产分析效率,更好的判断资产是否入库或者删除。

  •  默认配置

 数据源为端,最近活跃时间为7天

  •  配置方式

 进入“资产中心 > 未知资产 > 未知资产分析”,选择准确性较高的数据源后,符合条件的资产将会自动标记“数据源准确性较高”;修改最近活跃时间后,符合条件的资产将自动标记“最近活跃”。

  •  实践关联

 详见 “3.2 如何做好未知资产分析”

 

8、退库规则配置

  •  描述

 当资产台账中的资产符合某条退库规则时,将会自动退库并进入“历史资产”中,您可以在此根据实际情况创建自定义规则。

  •  默认配置

 1)纯网侧上报,最近出现时间超过30天,自动退库(默认开启)

 2)端侧上报,终端接入状态=已移除,自动退库(默认开启)

  •  配置方式

 进入“资产中心 > 资产配置 > 退库配置”,若内置规则可以满足您的需求,您可以启用需要的规则,禁用不需要的规则;如果内置需求无法满足,您可以创建自定义规则

 

  •  推荐配置

 1)已经安装agent并且"agent状态"为“已移除”的资产自动退库:系统已经内置并启用

 2)没有安装agent的资产如果一定时间内未被发现则自动退库:系统已内置并启用,默认时间为30天,如果内置时间不满足您的实际需求,建议您创建一条新的规则,设置规则指标为“agent状态”包含“未安装”,且“最近出现时间”大于等于xx天(根据您的需求设置未被发现的时间),启用新建的规则并禁用系统内置规则

 若您希望所有资产都不退库,您可以禁用全部规则。

二、特殊场景

场景一:多分支场景

  •  场景描述

 存在多个分支网络,并且多个分支网络之间存在IP冲突的场景。如果无法识别并标记多分支网络,则可能会导致资产盘点及风险定位不准确。

  •  解决方案

 方案1:推荐安装agent并将对应的终端安全管理平台接入XDR

 方案2:为每个分组织网络部署安全设备用于资产信息采集和上报,此时您可以通过资产组划分多分支网络,具体配置如下:

  1)进入“资产中心-资产管理”模块,在左侧资产组结构中点击“新增”资产组。

  2)选择识别模式为“按接入设备识别”,并勾选分支包含的设备

  3)填写分支的责任人信息,保存生效

  4)分支组下可以继续创建子组

 

场景二:DHCP场景

  •  场景描述

 DHCP也就是动态主机配置协议,用于为网络中的主机动态分配IP地址。使用DHCP的资产,其IP地址会不断变化,在没有安装agent的情况下,网络侧扫描设备无法准确识别出多个IP地址都属于同一台主机,从而导致资产盘点和风险定位不准确问题。

  •  解决方案

 方案1:推荐安装agent并将对应的终端安全管理平台接入XDR

 方案2:在无法安装终端的情况下,建议您延长DHCP租期为30天,配置方法如下:

  1)登录DHCP服务器:使用管理员账号登录DHCP服务器。

  2)打开DHCP服务器管理工具:打开DHCP服务器管理工具,可以在“服务器管理工具”中找到。

  3)找到范围选项:在DHCP服务器管理工具中,找到需要更改租期的IP地址范围。

  4)修改租期:右键点击该范围,选择“属性”,在“租用延续时间”栏中输入新的租期,单位为分钟。

  5)保存设置:点击“肯定”按钮保存设置。

  6)更新客户端:在DHCP服务器更新租期后,所有使用该DHCP服务器的客户端将会在下一次租用IP地址时更新租期。

 方案3:在无法延长DHCP租期的情况下,您可以根据当前租期配置相应的退库策略(默认为8天),配置步骤如下:

1)进入“资产中心 > 资产配置 > 退库配置”

2)新增规则,填写指标如下:

a)资产组 包含 xxx(存在dhcp场景的资产组,如果无法区分,可以不选择“资产组”指标)

b)agent状态 等于 未安装

c)最近发现时间 大于等于 8天(可根据实际情况调整该值)

3)保存规则

 

场景三、代理场景

  •  场景描述

 网络中使用DNS域名解析、NAT网络地址转换、负载均衡等的情况下,可能会导致发生风险后,只能定位到代理服务器而非真实主机

 

1) DNS场景

  •  场景描述

 在有统一DNS服务器(使用非网络设备作为DNS服务器)情况下,办公终端、服务器发送的域名请求会集中由DNS服务器转发。若流量侧的检测产品分析的是DNS服务器转发的向外部请求域名的流量,那么识别出的恶意域名类的安全日志中的源地址均是DNS服务器的地址,难以定位到真实的主机及责任人。也难以将端和网侧的安全问题聚合分析

  •  解决方案

 方案1:将探测设备部署在内网核心交换上,即可获取到真实主机IP地址

 方案2:通过在 DNS 服务器上安装采集器,用于读取指定目录下的日志信息,将信息标准化后上报至 XDR 平台,以便于识别真实资产

 

2)其他代理场景

  •  场景描述

 在安全运营中,企业内部存在大量VPN、负载代理、NAT等场景,由于代理设备通常会对内部网络的IP地址进行转换,导致流量日志审计错误,安全告警定位不到真实主机。

  •  解决方案

 方案1:将探测设备部署在内网核心交换上,即可获取到真实主机IP地址

 方案2:负载均衡场景下,将探测设备部署在负载均衡服务器和内网主机之间,并且在负载均衡上开启XFF,即可获取到真实主机IP地址

 

场景四、原来使用SIP做安全运营的场景

  •  场景描述

 用户在使用XDR之前使用SIP做安全运营,此时您可以快速复用SIP已有的配置策略到XDR上继续使用

  •  解决方案

 1)登录SIP,进入资产管理,复制SIP的IP范围到XDR

 2)登录SIP,进入资产管理,导出资产组信息,再导入到XDR平台

三、资产治理实践

1、如何做好资产梳理

 全网资产根据其是否被管理起来,可以划分为:已知资产和未知资产。已知资产,即为已经纳入资产台账被管理起来的资产;未知资产,即为尚未纳入管理且不清楚是否需要管理的资产。

您可以根据当前资产被管理的情况来决定如何使用资产中心:

1)全部资产管理完善,不存在未知资产

 在已经拥有比较完善治理手段的环境中,将已治理好的数据源接入XDR平台,用好这些数据源即可,建议您再做好必要配置(标记 * 的配置项)的基础上,重点设置以下内容:

  •  数据源接入:将所有可信数据源接入XDR平台
  •  入库规则配置:在入库规则中启用“全部资产自动入库”规则,并禁用其他规则
  •  退库规则配置:根据实际情况配置退库规则即可,如果没有相关需求可以不配置

 配置好后,XDR平台将会自动同步已接入数据源的资产信息,您可以在XDR进行资产统一管理。

2)部分资产管理完善,仍存在未知资产

  • 在对资产已经有一定的管理基础的环境中,可能存在一些未知的资产,可以通过对接已有资产数据,并使用未知资产分析来补充现有的资产台账信息。
  • 建议您参考 “第一章:资产配置指引” 做好完整的配置,并且根据您平时做未知资产分析的习惯,设置好未知资产分析参数,提升日常工作效率。
  • 未知资产分析,详见 “第三章-第2节:如何做好未知资产分析” 。
  • 若发现当前的参数无法支撑您日常做未知资产分析,可以联系我们做现有功能的优化或者新功能的补充。

3)几乎没有管理起来,存在大量未知资产

  • 在对资产几乎没有管理起来的环境中,会存在大量的未知资产,需要充分利用未知资产分析模块来补充资产台账信息,逐步完善资产台账,提升资产管理水平。
  • 建议您参考 “第一章:资产配置指引” 做好完整的配置,并且根据您平时做未知资产分析的习惯,设置好未知资产分析参数,提升日常工作效率。
  • 未知资产分析,详见 “第三章-第2节:如何做好未知资产分析” 。

2、 如何做好未知资产分析

 未知资产可以通过管理手段和技术手段来治理。

1)管理手段

  • 针对办公终端资产,推荐引入网络准入等设备,可以有效管控办公终端资产;
  • 针对服务器资产,推荐对服务器进行集中管理

2)技术手段

  • 如果无法进行管理方面的变化,可以使用XDR的“未知资产”分析模块做分析和研判。
  • 网络设备(如云镜、STA等)上报的资产或者其他可信度较低的数据源上报的资产,默认会先进入“未知资产”模块中。

  在 “未知资产” 中,我们提供了IP段视角和资产组视角:在IP段视角下,默认按照每个IP段所含未知资产的数量,从高到低排序,您可以一眼看到哪些网段的未知资产数量较多,重点关注并分析;在资产组视角下,可以看到哪些资产组存在未知资产,从未而做下一步分析。

  此外,我们还提供了一些常见的未知资产分析指标,用于辅助分析未知资产:

    •  数据源准确性较高的资产:可以在未知资产分析中,自定义关注的数据源
    •  存在端口开放的资产:存在端口开放的资产,可能开放某些服务,需要重点关注
    •  最近活跃的资产:默认为最近7天被发现的资产,可以在未知资产分析中自定义
    •  已关联资产组的资产:所属资产组非空的资产

 后续还会继续扩充未知资产分析指标(如:资产流量数据、是否存在安全事件活告警、是否存在脆弱性数据、是否持续活跃等等),提升未知资产分析效率。

 使用上述指标分析后,您可以选择需要被管理的资产执行 “入库” 操作;如果仅本次不需要管理,后续发现后仍希望上报,则您可以选择 “删除” 操作;如果某些资产永远不需要被管理,您可以直接添加不需要管理的网段到“非管理IP范围”中。

3、 如何治理好资产管理属性

资产管理属性是开展安全运营的基础,主要通过管理手段来补充,您可以参考一下方案:

  • 方案1:接入准入设备
    • 针对办公终端资产,推荐使用准入设备进行认证管理,若您已经接入了准入设备,则可以通过“第三方产品接入”联动XDR上报认证信息,目前XDR支持的准入设备包括:深信服AC、联软准入(更多详情见1.1数据源接入
  • 方案2:接入桌面管理系统
    • 针对办公终端资产,推荐使用桌面管理系统进行统一维护,您可以在“APP中心”使用定制APP完成对接,XDR平台将在后续版本支持桌面管理系统的对接
  • 方案3:接入第三方产品
    • 若您已经使用第三方产品对资产的业务属性进行维护,您可以通过“数据源接入”,将第三方产品和XDR联动,联动成功后第三方产品数据将会上报至XDR统一管理(更多详情见1.3数据源接入
  • 方案4:导入excel台账
    • 若您已使用excel台账对资产的责任人信息进行维护,您可以进入资产台账,将当前excel台账导入到XDR平台来做统一管理和维护(接入方式详情见1.3数据源接入
  • 方案5:终端管理信息补充
    • 若您已经安装了终端产品,也可以要求每台主机的使用者补充对应的主机信息,并将终端产品与XDR联动,实现XDR的统一管理(接入方式详情见1.3数据源接入
  • 方案6:人工收集
    • 短期内无法接入准入设备的情况下,如果资产数量不大,可以人工收集并导入XDR平台中管理起来
  • 方案7:配置资产组信息
    • 在无法准确知晓每个资产业务信息的情况下,您可以配置完整在的资产组信息,包括:资产类型、资产名称、责任人等,我们可以帮您定位风险资产的所属组信息(接入方式详情见1.2资产组创建

 

4、 分散管理场景如何做好资产治理

  • 我们推荐您将分散管理转变为集中管理,避免多处管理导致的信息混乱

5、 如何区分内外网资产

  • 区分内外网资产可以较好的支撑安全运营的开展,您可以将内网资产添加到“IP范围-管理范围”中。

6、 如何建好资产组

  • XDR的资产组目前提供了两种模式:按照IP范围分组、按照设备来源分组,可以根据实际情况,将两种模式结合起来使用。

1) IP范围清晰,且不存在IP冲突

 如果您的网络中IP地址划分清晰,且不存在IP冲突的场景,您可以使用IP范围模式分组。

 示例:

资产组A(接入设备:STA1)
资产组B(接入设备:STA2、STA3、STA4)
	资产组B-1(接入设备:STA2)
	资产组B-2(接入设备:STA3、STA4)
资产组C(接入设备:STA5)

 

 

2) 存在多分支且IP冲突

 如果您的网络中存在多个子网IP冲突场景,您可以使用接入设备划分资产组

 示例:

资产组A(接入设备:STA1)
资产组B(接入设备:STA2、STA3、STA4)
	资产组B-1(接入设备:STA2)
	资产组B-2(接入设备:STA3、STA4)
资产组C(接入设备:STA5)

 

3) 存在多分支且分支网络IP范围清晰

 如果您的网络中存在多分支场景,多个分支之间存在I冲突,且每个分支内部的IP地址划分清晰,且您可以使用接入设备+IP范围组合模式分组。

 示例:

资产组A(IP范围:192.168.1.0/24)
资产组B(IP范围:接入设备:STA1、STA2)
	资产组B-1(IP范围:192.168.1.0/24)
	资产组B-2(IP范围:192.168.2.0/24)
	资产组B-3(IP范围:192.168.3.0/24)
		资产组B-3-1(IP范围:192.168.3.40-60)
		资产组B-3-2(IP范围:192.168.4.70-80)
资产组C(IP范围:192.168.3.0/24)