场景描述

多分支场景一般广泛被采用在集团多分支、连锁商超、连锁门店、连锁营业厅网络建设时候才用的网络架构，一般建设时会考虑统一管理、VPN或者其他数据加密措施以保证分支跟总部业务通信安全。

但不当的多分支的网络架构通常会给资产管理带来额外的负担，比如

1. 多分支网络地址规划时，多个分支使用的IP地址段相同，比如分支A使用网段192.168.1.0/24，分支B同样使用192.168.1.0/24，造成无法判断资产来自哪个分支。
2. 多分支网络地址规划时，各分支使用不同的IP地址段分支跟总部之间使用snat，总部看到的分支所有的流量中源IP地址都是snat的地址，造成无法区分分支详细资产信息。
3. 多分支之间存在业务互访，A分支会识别到B分支的资产，造成资产膨胀问题（本来A分支有100个资产，实际识别到200个资产）。

多分支场景资产治理思路 

由于目前组织的网络架构已经采用多分支形式，取消多分支已经不现实，所以需要在多分支场景下实现资产治理。整体的治理思路如下：

1. 如果存在多个分支使用相同IP地址段，这种做法本身不符合网络规划规范；长期建议还是通过逐步替换IP地址段实现长远资产持续治理。短期建议可以通过在不同分支之间安装安全产品（EDR、STA）进行资产发现以及资产收集；并且在XDR平台上通过设备进行资产分组。
2. 如果各分支使用不同的IP地址段分支跟总部之间使用snat，这种做法会给出现安全事件的溯源工作增加难度，可能无法实现定位到具体受害主机。长期建议取消分支跟总部之间的snat，通过路由实现分支到总部之间的网络访问；短期建议可以通过调整STA探针镜像流量位置，如果有EDR设备情况下，在各分支的资产主机上安装EDR agent实现资产的发现以及管理；                                                                       图一 STA探针镜像位置调整图示
3. 资产膨胀问题，这种现象会出现的原因是由于分支间存在业务互访，探针在镜像流量的时候会根据流量的源和目的IP进行资产识别，所以导致A分支STA探针设备识别到B分支的资产。这种情况下需要在XDR上对不同分支的STA探针进行选择性入库。

   	资产治理	资产定位到人
   多个分支使用相同IP地址段	☑️	☑️
   分支跟总部之间使用snat	☑️	存在限制
   资产膨胀	☑️	☑️

                                                                表1 采用短期治理措施下各场景下资产治理跟资产定位到人能力总结

多分支各场景资产配置步骤

1、存在多个分支使用相同IP地址段场景 ，推荐的资产相关配置步骤如下：

（1）推荐在XDR上通过安全设备创建分组，识别资产是来自哪个分支的，确认资产分组的正确性；如果分支存在多个网段可以根据IP范围创建该资产组下的子资产组，有序进行分组。

详细配置过程如下图所示：

比如分支A有SIP设备以及EDR设备。详细网段为终端部门192.168.3.0/24；服务器部门192.169.4.0/24

在分支A上按IP范围创建资产组，如下图所示

2、各分支使用不同的IP地址段分支跟总部之间使用snat场景，推荐的资产相关配置步骤如下：

（1）调整STA探针流量镜像位置，镜像位置调整成snat之前的位置，以便于STA探针识别资产时可以识别到真正发起网络连接的主机资产IP； 

（2）有条件可以在分支的主机资产上安装EDR agent，由于agent具备更强资产指纹采集能力，拥有资产的更多信息更有利于资产持续运营。 

只需要根据产品对接手册完成EDR的对接，对接成功后EDR会将终端主机的资产上报到XDR上，由于EDR agent可以采集主机的资产指纹信息，可以采集到主机的IP资产，于是便可以根据IP范围创建资产分组。 

比如业务服务器A段，使用192.168.2.0/24，可根据下图指引进行创建对应资产分组。 

3、资产膨胀场景，需要结合入库条件（资产上报数据源以及资产组）对分支上报的具体IP范围段进行自动入库，其他资产不入库，推荐的资产相关配置步骤如下： 

假设A分支（探针设备名称为STA_001）的资产范围为192.168.1.0/24（资产组名称为资产组A），详细配置过程如下图所示：

B分支（探针设备名称为STA_2_55）的资产范围为192.168.2.0/24（资产组名称为资产组B），详细配置过程如下图所示：

配置完即可实现分支A探针只能上报资产组A中IP范围内的资产入库，分支B探针只能上报资产组B中IP范围内的资产入库，消除资产膨胀。