DHCP可以简单理解成自动的为接入网络的每台主机分配IP地址,便于网络管理,组织中存在DHCP的场景一般在提供无线网络区域,便于访客接入上网或者是多分支场景办公网区域,由于业务人员具备流通性,便于业务人员快速接入网络。但方便接入网络的同时,却给资产治理带来了一定难度。由于DHCP特性是为了快速给网络中的主机分配IP地址,由于DHCP协议给每台主机分配的地址默认租期是8天,每次租期到了之后主机需要重新获取地址,但又不保证主机每次获取到的地址都是相通的,再加上不同主机在不同时间可能使用相同的IP地址进行上网,所以主要会造成两个问题,
1、资产膨胀;
2、资产发生安全威胁时无法定位使用者是谁,进一步给安全运营带来难度。
1、资产膨胀问题,由于这部分的资产一般具备比较大的流动性,不太需要进行强管控,结合DHCP的租期(默认8天),可以在XDR上配置退库策略,让一段时间内未检测到有相关流量(没有流量代表,没有网络访问行为,大概率这个IP地址这段时间无用户在使用)的资产自动进行退库,保证这部分资产的相对平衡,不会出现资产膨胀现象。
2、资产发生安全威胁时无法定位使用者是谁问题,就是耳熟能详的资产定位到人问题,DHCP一般出现在办公网区域
(1)办公网网络中一般组织都具备行为管理(AC)、网络准入等设备做上网前的准入认证等工作,用户经过认证之后才可以上网,因此行为管理或者准入设备上一般可以找到对应资产在对应时间段的用户认证信息,将这部分数据同步到XDR上即可实现安全威胁发生时资产定位到人;
(2)在办公网中的终端上安装EDR,根据EDR资产指纹采集功能可以收集到主机网卡上的MAC地址,每台主机的硬件网卡MAC基本都会存在差异,于是可以通过威胁发生时主机的网卡MAC地址实现资产定位到人需求;
(3)如果这部分办公网上还有安装了EDR agent之类的软件,这类软件也具备基础的资产信息登记能力,将这部分数据上传到XDR上一样可以实现资产定位到人需求。
1、资产膨胀场景 ,推荐的资产相关配置步骤如下:
(1)推荐在XDR上配置的退库时间跟DHCP的租期时间一致,也可以根据实际情况修改退库时间,修改的依据就是,你希望在你的组织里面多久时间没有相关流量出现就认为该资产对应的IP没有用户使用了,即代表该资产可以退库了
资产配置导航栏,找到退库配置页面,点击新增按钮,新增退库规则指标内容为最近发现时间早于8天,开启启用状态后按钮,配置完成点击确定完成退库策略配置
匹配上自动退库条件后,可以在资产管理导航栏,找到历史资产页面,根据退库方式找到匹配上退库策略退库的资产
2、资产发生安全威胁时无法定位使用者是谁场景 ,推荐的资产相关配置步骤如下:
前提条件:确保行为管理(AC)、准入设备上面开启了用户认证,具备用户认证信息
其中行为管理目前只支持对接深信服行为管理AC,准入设备支持对接联软准入
(1)深信服AC对接参考链接:https://support.sangfor.com.cn/productDocument/read?product_id=141&version_id=736&category_id=206588
(2)对接AC完成后,资产管理导航栏,点击更多按钮,选择认证信息同步,将AC上认证信息同步到XDR上进行展示
(3)当对应的资产发生安全风险时,可以在安全告警分析/安全事件处理导航栏找到对应时间点资产的认证信息
2.2针对存在终端已经安装EDR通过MAC地址实现资产定位到人场景下,无需额外的操作,通过威胁发生时,EDR采集到的网卡的MAC地址进行溯源,比如说存在安全事件涉及主机的mac地址是fe:fc:fe[:]16:b2:c2,到资产管理导航栏根据mac地址即可找到对应资产:
同时DHCP场景下检出安全威胁时,可以看到检出时的IP,如下图所示
2.3针对存在终端已经安装EDR通过完善资产信息登记实现资产定位到人场景下,需要管理员或者业务人员在MGR或者EDR agent上补充资产的相关责任人信息后,在威胁发生时通过资产卡片即可看到主机对应责任人信息。
建议使用Chrome浏览器访问!