价值描述

由于目前攻击者越来越多的攻击手法趋向于无明显的攻击行为特征，导致传统的规则特征无法进行 识别，甚至告警中心不会产生任何安全告警。针对此场景，故新增了该核心资产的风险监测模块；该 模块主要的思路是针对核心的资产、进行一定时间内的网络行为进行自主学习，后续针对于非业务场 景内的可疑访问，均会产生异常行为的安全告警；

功能描述 

该模块适用的关键资产主要包括：

• 内部的数据库服务器、OA服务器
• 重点的业务系统、靶标服务器
• 敏感数据的服务器
• 关键责任人的终端

该模块不适用如下资产： 

• 普通的办公终端、打印机IP 
• 对互联网提供服务的服务器 
• 业务经常变化的服务器 
• 访问关系复杂（外部访问、主动访问）多的服务器

核心资产风险检测模块主要使用有几个步骤： 

•   选定特定的资产进行配置，纳入到检测范围
•   选择业务学习的时间范围
•   配置实时监测的周期
•   安全监测的持续优化

限制条件：

•   资产数量上限：100个资产
•   每个指标上限：1000个
•   基线或告警中有指标超限时，首页对应卡片提示超限已停止基线建立或停止监测，建议删除
•   添加资产的时候尽量不要一下子添加100个，可以慢慢添加，防止对业务造成影响

功能配置 

•   登录到XDR的平台选择进入APP中心、选择核心资产行为监测模块；并选择配置资产的监测范围、这 里需要和用户进行一下确认，务必配置到合适的资产。该模块支持的IP范围尽量控制在100个以内、配 置数量过多会有比较的性能风险；

•   配置好资产后，需要进一步配置的基线学习的时间(尽量选择日常运营的模型、避免选择攻防演练期间 的时间，且此基线学习时间只能配置1次，请谨慎选择)；检测运行的时间，建议在30分钟、60分钟、90分钟；

•  配置好策略之后，安全人员可以间隔一定的时间来观察一下对应的情况；建立的基线主要包含
  • 资产主动访问的IP(出站)：防止C2外联、防止反弹shell、失陷场景、防止内部横向移动； 
  • 访问资产的IP(入站)：防被横向告警； 
  • 资产主动访问的域名(DNS)：防止域前置攻击、DNS隧道等； 
  • 主机自身开放的端口：主动开放端口
•   一旦完成了这个资产的行为基线后，后续在监测运营的阶段一旦出现偏移基线的行为、出现明 显的安全告警提示并标记红色；无异常、则为绿色；

•   安全人员也可以点击该资产、查看详细的内容。包含学习到的基线、偏离基线的访问的IP或者域 名；过程中会自动化的连接威胁情报、对IP和域名做一定的分析；供安全人员分析，如果IP提示未 知可到第三方的情报平台进行交叉验证；

•   在研判的过程如果如果发现，该告警为正常的业务IP、可疑将其添加到基线当中；同理也可删除一些 基线内的内容；其他的IP、域名、开放端口均同理；