跳至主内容

资产信息增强

本文档仅适用于 安全数据湖 安全 功能特性 安全数据湖 安全属于 安全数据湖 集中式日志管理平台,需单独许可。请联系 安全数据湖 销售 团队获取该产品详情。 Graylog安全模块

安全数据湖 安全功能支持查看环境中各类资产,并通过资产数据丰富日志内容。资产可与特定传入日志消息关联(需匹配资产数据库字段),从而提供详细资产信息。

资产富集通过激活 Illuminate:Assets 处理包或实施一系列 管道规则 实现。关联后的资产可被 检索 并用于生成 告警 。详见 创建含资产的管道规则 了解关联资产与消息的字段说明。

关于资产在搜索中的应用,参见 通过资产富集增强搜索 .

资产导入 安全数据湖

安全数据湖包含两类资产: 安全数据湖 机器资产与用户资产。机器资产涵盖网络中各类设备(如服务器、个人电脑、防火墙);用户资产包含环境中的系统账户与人员账户。

两类资产均可定期导入同步,确保外部源更新实时反映至 安全数据湖 。参阅 安排资产源同步 了解更多详情。

有两种方式可将资产导入 安全数据湖

您可以从外部源(如LDAP、Active Directory或Microsoft 365)导入资产,或通过 安全数据湖 用户界面手动创建资产。更多信息请参阅《导入和配置资产》。

查看资产抽屉

您可以为 资产 列表中的每个资产访问资产抽屉,该列表位于 安全数据湖 安全 用户界面下。资产抽屉提供资产详情,包括相关安全事件和已报告漏洞的概览。您可通过此抽屉监控资产状态,包括风险等级和相关安全事件。点击任意资产即可展开其资产抽屉。 Graylog安全平台

资产抽屉中显示以下信息:

  • 资产详情 :与资产相关的详细信息,如资产风险评分、机器或用户详情、地理信息及任何自定义字段。

    • 资产风险评分: 这些评分是评估资产相关风险的有效指标,主要基于事件风险评分和漏洞情况,可用于安全事件分级处理。更多信息请参阅 风险评分 .

  • 安全事件 :可查看事件详情及搜索回放记录。

  • 漏洞 :抽屉中显示从关联漏洞扫描器导入的关联漏洞数量。漏洞评分仅适用于机器资产。有关漏洞及如何启用漏洞扫描报告的更多信息,请参阅 漏洞扫描 .

查看资产钻取仪表板

您可访问每个资产的预建仪表板,其中显示日志来源及资产其他详细信息。资产钻取仪表板便于您快速查看特定资产的实时数据。

访问仪表板有两种方式:

  • 资产 页面(通用或安全视角),点击任意资产表格中的 更多 菜单(省略号),然后选择 资产仪表板 .

  • 在资产抽屉页中,点击资产名称旁的 显示资产仪表板 图标。

注意

您也可通过通用视角访问资产仪表板:导航至 安全 > 活动 > 资产钻取 。此方式不会自动填充资产ID参数。若您已从事件或日志消息中复制资产ID,可将其粘贴至仪表板查看信息。

该仪表板包含以下组件:

  • 消息计数

  • 按事件数统计的前15名来源

  • 按事件数统计的前15名来源产品

  • 按时间统计的事件数前15名来源产品

  • 资产相关消息(消息表)

可重放搜索并导出数据。与所有仪表板相同,您可调整日期/时间范围并应用筛选器。由于这是预建仪表板,无法编辑组件。但可点击右上角 另存为 创建副本,在副本中编辑和调整组件设置。仪表板显示有效信息前,资产需关联日志。

导入和配置资产

下文专述 安全数据湖 安全 功能特性。 安全数据湖 安全是 安全数据湖 集中式日志管理平台的一部分,需要单独许可证。请联系 安全数据湖 销售 团队获取产品详情。 Graylog安全

在使用资产增强日志数据前,需先在 安全数据湖 中导入并配置资产。资产可以是环境中任意机器或用户实体,具体定义参见 资产增强 .

本文将指导您如何配置 安全数据湖 与外部资产源的连接,以及如何将资产导入 安全数据湖 .

导入资产

基础导入步骤如下:

  1. 创建或配置资产源(包含两部分):

    1. 建立资产连接(服务器配置)

    2. 创建资产导入映射

  2. 启动导入

下文将详细说明这些步骤。

创建或配置资产源

导入资产前需新建资产源或配置现有源。编辑现有源时,点击源右侧省略号并选择 编辑 从下拉菜单中选择。

创建新资产源:

  1. 安全 布局中,导航至 资产 ,然后选择 选项卡。

  2. 点击 新建源 .

  3. 从下拉菜单中选择源类型。支持的源类型包括LDAP、Active Directory和Microsoft 365。

配置选项因源类型而异。LDAP和Active Directory的配置选项相同,而Microsoft 365的配置选项则不同。请根据您配置的源类型跳转到以下相应部分。

AD source config.png

配置LDAP和Active Directory源

LDAP和Active Directory的服务器配置信息相同。您需要提供Microsoft账户的凭据。详情请查阅 Microsoft文档 。按照以下步骤在 连接配置 :

  1. 输入以下信息。

    标题

    为源连接输入一个唯一的名称。

    服务器地址

    输入连接到源的服务器地址。支持IPv4和IPv6。您可以输入IP地址或完全限定域名(FQDN)。

    端口

    输入服务器的端口号。

    传输安全

    选择 安全数据湖 与资产源之间。

    选择加密方法:

    • :不使用加密。

    • TLS :通过TLS加密通信。

    • StartTLS :在可用时使用安全连接,但允许非安全连接。

    验证证书 :如果选择 TLS Start TLS ,此选项控制是否通过证书颁发机构验证所用证书。

    系统用户DN

    输入用于初始连接服务器的用户名,例如: cn=admin , dc=example , dc=com 。根据服务器配置,此值可能为可选。

    系统密码

    输入用于初始连接服务器的密码。

    描述 (可选)

    添加有意义的描述。

  2. 点击 测试服务器连接 以验证所输入凭据的连接。在继续之前解决所有错误。

    警告

    即使初始连接测试成功,资产导入仍可能失败。若系统用户配置错误或用户缺乏必要权限,则会出现此情况。

  3. 点击 保存连接 以保存资产连接配置。

您现在可以继续为此数据源配置资产映射。

配置Microsoft 365数据源

Microsoft 365的配置参数与LDAP和Active Directory数据源的要求不同。但Microsoft 365连接还具有额外优势:

  • 包含漏洞 复选框在 映射配置 页面被启用时,Microsoft 365数据源可同时导入资产及其漏洞。详见 漏洞扫描 章节。

  • 导入时,您可为用户资产添加Entra ID筛选器,并为特定Microsoft设备添加Entra ID、Intune或Defender筛选器。

您需要在 连接配置 页面输入用于识别租户和客户端应用的凭证。这些凭证可在Microsoft 365客户端应用中获取。关于如何建立Microsoft 365 API与 Microsoft 365设置 的详细说明,请参阅 安全数据湖 服务器的连接指南。

连接配置 :

  1. 输入以下信息。

    标题

    为数据源连接输入唯一名称。

    目录(租户)ID

    输入内容所属租户的全局唯一标识符(GUID)。

    客户端ID

    输入创建订阅的应用程序GUID。

    客户端密钥

    输入应用程序在请求令牌时用于验证身份的密钥字符串

    订阅类型

    从下拉菜单中选择您组织的Microsoft 365订阅计划。

    描述 (可选)

    添加有意义的描述。

  2. 点击 测试服务器连接 以验证所填凭证的连接性。请先解决所有错误再继续。

    警告

    即使初始连接测试成功,资产导入仍可能失败。若系统用户配置错误或用户缺乏必要权限,则会出现此情况。

  3. 点击 保存连接 以保存资产连接配置。

您现在可以继续为此数据源配置资产映射。

创建资产导入映射

建立资产连接后,您可以创建多个查询来导入特定数据子集。例如,可导入"仅管理员用户"或"仅笔记本电脑"。通过定义一个或多个导入映射配置来实现筛选,这些配置决定了从父数据源导入哪些资产,以及如何将源中的条目映射到 安全数据湖 资产架构中。

建立资产连接后,您可访问所有现有映射配置。随后可继续使用配置向导定义映射配置。

Mapping Configuration User Asset 6.1.png

映射配置允许您定义要从数据源导入的特定资产,还可设置应用的默认值。

例如,您可配置一个LDAP服务器包含两种不同映射:一个映射仅选择管理员用户,并设置管理员类别和高优先级类别;通过此映射导入管理员用户时,所有资产将具有相同优先级和类别。

您可设置另一个映射来选择普通用户并采用中/低优先级。可为会计机器设置高优先级映射,为用户笔记本设置低优先级映射。这些配置参数可同时应用于机器资产和用户资产。

您还可在 资产源同步 映射配置页面设置同步间隔。

警告

若使用Microsoft 365数据源,可添加Entra ID、Intune和Defender筛选器以定位特定微软设备。

映射关系也可在 数据源 页面通过选择资产源后显示的轮播卡片进行编辑或删除。

映射配置参数

映射配置 表单中输入以下资产映射的通用信息:

资产类型

为当前映射选择机器资产或用户资产作为源类型。

映射标题

为此配置输入唯一标题。

搜索基准DN

(仅限AD/LDAP资产)输入基准树以限定从资产源查询条目的搜索范围。输入格式为: ou=人员,dc=示例,dc=com

搜索模式

(仅限AD/LDAP资产)输入决定从资产源导入哪些条目的搜索模式。

分类

(可选)通过下拉菜单选择分类。可在 配置 选项卡中创建或更新分类列表。

优先级

(可选)从下拉菜单中选择优先级。该值会影响资产风险评分。可在 配置 选项卡中更新分类列表。

描述

(可选)输入映射配置的详细说明。

启用同步

滑动开关以启用或禁用资产自动同步功能。使用说明请参阅 安排资产源同步 .

同步间隔(小时)

若启用自动同步,请设置同步间隔时间。

所需附加信息取决于资产源类型及是否为用户资产或机器资产。请跳转至下方与您配置资产类型对应的章节。

Active Directory与LDAP用户资产映射

用户资产映射 部分,您需定义源条目属性字段应如何映射至 安全数据湖 的各个用户资产字段。需包含以下信息:

用户ID属性

输入映射到所创建 安全数据湖 资产的源属性字段名称,例如 uid .

  • 对于Active Directory,该值自动设置为 objectGUID 且不可更改。此值为Active Directory用作其唯一 用户ID .

  • 对于LDAP,请输入用户的全局唯一标识符,可能是GUID或数字ID形式。

当资产导入时,若某源条目在 user123 用户ID 字段中包含例如 安全数据湖 资产也将具有 user123 在其 用户ID 字段中。

用户名属性

输入该账户的登录用户名:

  • 对于Active Directory,此值通常映射到 sAMAccountNameuserPrincipalName .

  • 对于LDAP,此值通常映射到 uid .

该值 在首次导入后 不可修改。

用户名字属性

输入用户的名字(如有)。此值通常为 givenName 属性。

用户姓氏属性

输入用户的姓氏(如有)。此值通常为 sn 属性。

用户全名属性

输入用户的完整显示名称,通常存储在 displayName 属性中。

注意

用户名字属性 用户全名属性 包含值,则这些值将优先于当前值。

邮箱属性

为用户输入邮箱属性:

  • 对于Active Directory,通常为 mail (主邮箱)和 proxyAddresses (别名/次邮箱)。

  • 对于LDAP,通常为 mail (主邮箱)和 mailAlternateAddress (别名/次邮箱)。

注意:可通过按 Enter Tab .

Active Directory与LDAP机器资产映射

机器资产映射 部分,您需定义每个 安全数据湖 机器资产字段应映射的源条目属性字段。需包含以下信息:

资产名称

输入机器的唯一标识符。

主机名属性

输入计算机或机器对象的名称。该值通常存储在 dNSHostName (Active Directory) 或 cn (LDAP) 中。

注意:您可以通过按 Enter Tab .

IP地址属性

输入机器的IP地址。注意:您可以通过按 Enter Tab .

MAC地址属性

输入机器的MAC地址。注意:您可以通过按 Enter Tab .

所有者

(可选) 输入映射到资产所有者的属性:

对于Active Directory,该值通常为 managedBy .

对于LDAP,该值通常为 owner管理员 .

Microsoft 365 用户与设备映射

在Microsoft 365的映射部分,您需定义应用于导入源的筛选器:

  • 对于用户资产,仅能应用Entra ID筛选器。

  • 对于设备资产,可应用Entra ID、Intune和Defender筛选器。

每个类别中,您需以搜索查询形式输入筛选器以限制返回数据。若需返回全部数据,请输入通配符(*)。关于筛选查询构建方法,请参阅 微软官方文档

测试映射配置

输入值后,点击 测试映射 按钮可测试配置。系统将执行测试导入并返回样本资产预览。您可在保存配置并启动实际导入前进行调整与重测。

若存在错误,系统将显示包含问题描述的警示框。此时需排查问题并重新配置连接方可导入资产。

启动导入

当连接与映射配置均保存后,即可启动资产导入。点击 操作 按钮,从下拉菜单中选择 导入 。该操作将从资产源提取目标条目,根据映射配置进行转换,并在 安全数据湖 中创建资产,这些资产可通过 资产 页面查看。

注意

对于LDAP和Active Directory资产, 安全数据湖 采用内部分页导入机制。这些数据源通常单次导入上限为1000项资产。默认情况下, 安全数据湖 默认设置为500,这应能避免大多数环境中的问题。但若需调整分页大小,您可在 ad_ldap_page_size 属性中设置 server.conf 文件的值以适应您的系统。

点击 数据源 页面上的某个源以查看或编辑其配置。

导入或同步资产时,其名称与源中保持一致。后续导入或同步操作会通过名称匹配现有资产,并从后端更新所有详细信息。由此确保资产保持恒定且搜索不受影响。

注意

通过映射导入的资产会在源中对应资产删除时被同步删除。

安排资产源同步

资产源同步功能执行与 资产导入 相同的操作。源中的更新会通过资产同步自动反映至 安全数据湖 ,包括源中的更新或单个/多个资产的移除。源中的所有变更都会体现在 安全数据湖 .

您可通过定义间隔时间来安排资产导入。资产源同步适用于源下列出的所有映射,选择源即可查看可用映射。

启用资产源同步的步骤:

  1. 导航至 资产 > 数据源 .

  2. 定位目标资产。

  3. 点击对应行末的 编辑 按钮。

  4. 点击 映射 配置选项卡。

  5. 向下滚动并切换至 启用同步 选项。

  6. 点击 保存并完成 .

默认同步间隔以小时为单位且可修改。

角色与权限

安全数据湖 包含两个专门用于管理或处理资产的角色:

  • 资产管理员 :授予对所有资产的读写权限。创建资产源、导入资产及执行所有其他资产管理功能均需此角色。请注意,所有 管理员 用户均默认包含此角色权限,但您也可将该角色分配给需要提升资产权限的非 管理员 用户。

  • 资产查阅员 :授予资产的只读权限。该角色适用于无需管理资产的用户。

上述角色包含以下权限,用于管理资产源和映射:

  • asset:read :查看和列出资产源及资产源映射。

  • asset:edit :创建、编辑和删除资产源。

  • asset:create :创建、编辑和删除源映射。

  • asset:manage_vulnerability_scanners :创建、编辑和删除漏洞扫描器。

资产读取者 角色仅包含 asset:read 权限,而 资产管理者 则拥有所有这些权限。

创建新资产

您可以通过 安全数据湖 安全 用户界面手动创建新资产。操作步骤如下:

  1. 选择 资产 从顶部菜单。

  2. 在标签页头切换至所需资产类型( 用户 / 机器 )。

  3. 点击 新建资产 按钮。

创建新机器资产

要创建机器资产,请导航至 资产 > 机器 然后点击 新建资产 按钮。按照配置向导完成新机器资产的配置。机器资产至少需包含名称及一个IP地址、主机名或MAC地址。

配置参数
基本信息

  • 资产名称: 资产的唯一显示名称。该名称在所有资产类型中必须保持唯一。

  • 所有者: 该机器的所属人员或组。

  • IP地址: 资产关联的IP地址,支持IPv4和IPv6。

  • 主机名: 资产关联的主机名。

  • MAC地址: 资产的MAC地址。

  • 分类: 资产的标签。分类列表可在 资产 > 配置 菜单中设置。

  • 优先级: 资产优先级。优先级列表可在 资产 > 配置 菜单中设置。

  • 描述: 填写资产描述信息。

位置

此部分包含资产物理位置的相关字段(可选)。

自定义字段

自定义字段部分可用于追踪机器资产的其他必要信息,它允许包含超出用户界面提供的、机器资产所需的额外信息。每个自定义字段包含名称、类型(字符串、日期或数字)及一组值。

注意

对资产历史变更的追踪可通过 审计日志 搜索资产ID实现。变更记录也可通过 自定义字段 部分追踪。 例如,若机器资产从一个所有者转移给另一个所有者,可通过自定义字符串字段记录前任所有者列表。您可在创建或编辑资产时,在 自定义字段 下创建该字段。

创建新用户资产

要创建用户资产,请导航至 资产 > 用户 后点击 新建资产 按钮。按照配置向导完成新用户资产的设置。用户资产至少需包含资产名称及一个用户名。

配置参数

  • 资产名称: 资产的唯一显示名称。该名称在所有资产类型中必须保持唯一。

  • 分类: 资产的标签。分类列表可在 资产 > 配置 菜单中设置。

  • 优先级: 资产优先级。优先级列表可在 资产 > 配置 菜单。

  • 用户名: 与该用户关联的用户名。

  • 用户ID: 除用户名外用户的唯一标识符,例如Windows SID或UUID。

  • 电子邮件地址: 与该用户关联的任何电子邮件地址。

  • 名字: 用户的名字。

  • 姓氏: 用户的姓氏。

管理资产配置

配置 菜单中,位于 资产 页面,您可以管理资产优先级和类别。每个资产可分配一个优先级和多个类别。

管理资产优先级

优先级用于对机器和用户资产的重要性进行分类。例如,具有基本账户的用户资产优先级可能低于具有更高网络访问权限的管理员用户账户。默认优先级列表包括 , , 关键 ,可在选项卡中自定义。

注意

此处设置的资产优先级直接影响资产风险评分。若设置为低,则 资产风险评分 也会相应较低。

管理资产类别

类别作为标记用于资产分组和排序。系统未预设默认类别,您可通过两种方式添加类别:

  • 配置 选项卡:在 配置 选项卡中编辑或新建类别。

  • 新建资产 配置弹窗:在创建或编辑资产时,直接在 类别 字段输入新类别。

通过任一方式创建类别后,该类别将出现在 类别 下拉列表中,可供后续资产分配。要为多个资产批量分配类别:

  1. 资产 页面勾选目标资产。

  2. 点击 批量操作 按钮。

  3. 选择 添加类别 .

  4. 选择所需类别。

  5. 点击 确认 .

Microsoft 365资产源同步

要将Microsoft 365作为资产源使用,需建立Microsoft 365 API与 安全数据湖 服务器是必需的。在安全数据湖用户界面的 连接配置 页面创建新的Microsoft 365资产源时,您需要输入以下信息: 安全数据湖 用户界面:

  • 租户ID

  • 客户端ID

  • 客户端密钥

如果您没有活跃的Microsoft 365客户端应用程序,则需要注册一个并提供上述凭据。您可以通过访问相关 Microsoft网站 了解更多关于在Microsoft身份平台注册应用程序的信息。继续阅读以了解启用Microsoft 365与 安全数据湖 .

先决条件

您需要能够访问Microsoft产品和Microsoft 365 API,以充分利用资产源同步和漏洞导入功能。需要以下四种Microsoft订阅:

1. Entra ID

必需用于:用户资产导入

可选用于:机器资产导入

不用于:漏洞导入

2. Intune

可选用于:机器或用户资产导入

不用于:漏洞导入

3. Defender

必需用于:漏洞导入

可选用于:机器资产导入

不用于:用户资产导入

4. Defender漏洞管理附加组件

必需用于:漏洞导入

可选用于:机器资产导入

不适用于:用户资产导入

API权限

完成上述先决条件后,必须创建一个具有API访问权限和正确权限的应用程序,以连接 安全数据湖 实例并从Microsoft 365拉取资产和漏洞。实现所有支持功能所需的权限包括:

Microsoft Graph

Device.Read.All

DeviceManagementConfiguration.Read.All

DeviceManagementManagedDevices.Read.All

User.Read.All

User.ReadBasic.All

WindowsDefenderATP

Machine.Read.All

Vulnerability.Read.All

配置所需API权限

  1. 登录Microsoft Azure。

  2. 选择 Entra ID .

  3. 选择 应用注册 > 新注册。

  4. 注册新应用程序。

    1. 为应用程序命名(例如: 安全数据湖 日志访问 ).

    2. 选择适当的账户类型。

    3. 请勿 不要 添加重定向URI。

    4. 点击 注册 按钮。

    注意

    应用注册完成后,请记录应用程序(客户端)ID和目录(租户)ID。

  5. 点击 添加证书或机密 .

  6. 点击 新建客户端密码 .

  7. 请记录客户端密码值。一旦离开此页面,该值将不可见。若丢失,请删除旧密码并/或创建新密码。若删除旧密码,需更新所有使用该旧密码的 安全数据湖 输入项。

  8. 为新创建的应用导航至API权限。

  9. 点击 添加权限 .

  10. 选择 Microsoft Graph .

  11. 选择 应用程序权限 .

  12. 选择相关权限(例如选择必要的用户读取权限)。

  13. 导航至Microsoft Entra管理中心,使用上述创建的账户登录。

  14. 进入 应用程序 > 企业应用程序 > 所有应用程序 .

  15. 选择前几步中选定的应用程序名称。

  16. 点击 权限 > 为MSFT授予管理员同意 .

  17. 随后系统将要求重新验证账户并批准所请求的权限。

  18. 点击 接受 .

此时列表中应显示新权限,并可据此访问API。

注意

权限在步骤间传播可能需要时间,您可能需要等待或尝试刷新。

创建带资产的流水线规则

可通过流水线规则集来设置消息的 关联资产 字段、更新现有资产,并获取资产信息以进一步丰富消息内容。资产相关流水线函数使您能通过处理流水线更高效地操作资产。

set_associated_assets

该流水线规则通过GIM模式字段填充消息中的 associated_assetsassociated_asset_categories 字段。其中 关联资产 字段将是一个数组,包含每条与消息字段匹配的同类型资产字段的ID。 associated_assets 字段将决定在搜索页面的展开日志消息中显示哪些资产。 associated_asset_categories 字段是一个包含所有关联资产类别的数组。

机器资产消息字段

以下字段用于关联机器资产:

IP地址消息字段

MAC地址消息字段

主机名消息字段

source_ip

source_mac

source_hostname

source_ipv6

destination_mac

destination_hostname

source_nat_ip

host_hostname

destination_ip

destination_nat_ip

host_ip

vendor_private_ip

vendor_private_ipv6

vendor_public_ip

vendor_public_ipv6

event_observer_ip

用户资产消息字段

以下字段用于关联用户资产:

用户名消息字段

用户ID消息字段

电子邮件消息字段

用户名

用户ID

用户邮箱

目标用户名

目标用户ID

目标用户邮箱

映射用户名

警告

此函数使用内存缓存来限制将资产与消息关联所需的数据库调用次数。

机器资产查询

该流水线规则接收一个 查询类型 和值参数。 查询类型 可以是 名称 , IP地址 , MAC地址 主机名 。值字段是用于查询指定类型的值。该规则假设查询结果唯一,因此若多个资产匹配查询条件,仅返回其中一个。若查询匹配成功,将返回以下结构的映射表: 

{
  "id": "字符串"
  "name": "字符串",
  "priority": 数字,
  "category": ["字符串", "数组"],
  "details": {
    "type": "机器",
    "description": "字符串",
    "owner": "字符串",
    "ip_addresses": ["字符串", "数组"],
    "mac_addresses": ["字符串", "数组"],
    "hostnames": ["字符串", "数组"],
    "custom_fields": 映射表
  }
}

自定义字段 映射表结构取决于为特定资产定义的自定义字段。每个条目包含字符串键和值数组,值可以是 字符串 , 日期 、或 数字 .

这些字段可用于以比 set_associated_assets 规则更具针对性的方式丰富消息。例如,要通过 source_ip 字段查找资产,然后根据返回的资产在消息上设置字段,其代码类似于: 

规则 "machine_asset_lookup"
当
    有字段("source_ip")
则
    设资产 = machine_asset_lookup(查找类型:"ip", 值:转字符串($消息.source_ip));
    设详情 = 资产.详情;
    设字段("asset_id", 资产.id);
    设字段("asset_name", 资产.name);
    设字段("asset_description", 详情.description);
    设字段("asset_ips", 详情.ip_addresses);
    设字段("asset_macs", 详情.mac_addresses);
    设字段("asset_hostnames", 详情.hostnames);
结束

machine_asset_update

该规则将更新现有机器资产的IP地址和主机名。参数包括:

  • lookup_type :可以是 name , ip , mac hostname

  • lookup_value :对应 lookup_type .

  • ip_addresses :用于更新资产的IP地址字符串或数组[可选]。

  • hostnames :用于更新资产的主机名字符串或数组[可选]。 

规则 "machine_asset_update"
当
    真
则
    machine_asset_update(查找类型:"mac", 查找值:"AA:BB", ip地址:"10.0.0.0");
结束

例如,在DHCP日志上使用此规则可以根据传入的日志保持现有资产的最新状态。 

规则 "machine_asset_update"
当
    真
则
    machine_asset_update(查找类型:"mac", 查找值:$message.mac, ip地址:转字符串($message.new_ip));
结束

user_asset_lookup

该流水线规则用于查找用户资产并用用户资产数据丰富日志消息。规则接收一个 lookup_type 和值参数。 lookup_type 可以是 name , username , user_id email 。值字段是用于查找指定类型的值。规则假设查找是唯一的,因此如果多个资产匹配查找条件,仅返回一个。如果查找有匹配项,将返回以下结构的映射: 

{
  "id": "字符串"
  "name": "字符串",
  "priority": 数字,
  "category": ["字符串", "数组"],
  "details": {
    "type": "user",
    "description": "字符串",
    "username": "字符串",
    "user_ids": ["字符串", "数组"],
    "email_addresses": ["字符串", "数组"],
    "first_name": "字符串",
    "last_name": "字符串"
  }
}

这些字段可用于比 set_associated_assets 规则更有针对性地丰富消息。例如,通过username字段查找资产,然后根据返回的资产设置消息字段,类似如下: 

规则 "user_asset_lookup"
当
    有字段(“username”)
则
    let asset = user_asset_lookup(查找类型:"username", 值:"username");
    let details = asset.details;
    设置字段("asset_id", asset.id);
    设置字段("asset_name", asset.name);
    设置字段("asset_type", details.type);
    设置字段("asset_username", details.username);
    设置字段("asset_user_ids", details.user_ids);
    设置字段("asset_emails", details.email_addresses);
结束

通过资产丰富增强搜索

在搜索结果中关联资产

当Illuminate包激活时, Security Data Lake 会自动为所有消息运行 set_associated_assets 流水线规则。

但您可以选择专门为一部分日志应用 set_associated_assets 流水线规则。这种情况下,您不会启用Illuminate资产处理包,而是会实现 set_associated_assets 管道函数,具体方法是将 set_associated_assets 放入管道规则中,添加到管道,设置过滤器,并分配给选定的流。

此功能可自定义,您可以通过启用Illuminate处理包将其应用于所有日志,或通过手动配置和应用规则将其应用于日志子集。有关创建管道规则的更多信息,请参阅我们的 管道 文档。

一旦消息被 associated_assets 字段丰富,这些字段可以在单个消息的展开日志视图中显示。每个关联资产的详细信息也可以进一步展开。

除了在搜索结果中查看资产外,您还可以将资产添加到搜索查询中,并跳转到与该资产关联的任何日志消息。

注意

参见 相关 安全数据湖 文章 关于升级到最新Illuminate版本。

跳转到资产搜索

此功能允许您在搜索结果中查看资产,并过渡到探索与该特定资产相关的其他日志以进行进一步调查。例如,如果日志消息将财务部门的计算机识别为资产,您可以跳转并访问与该机器关联的所有日志,从而更深入地了解其活动。

要跳转到资产搜索,请点击特定资产的 添加到查询 按钮以查看该资产的所有日志消息。请注意,资产ID随后会添加到 associated_assets 字段的搜索查询中。

Associated Assets.png

搜索资产

资产 页面上,您可以搜索资产。此功能允许您根据资产信息创建搜索查询。您可以单独或批量搜索资产。

要搜索单个资产,请点击所选资产的省略号并选择 搜索资产 选项。

Search for asset.png

要进行批量搜索,请先选择目标资产,然后点击 批量操作 按钮对所选资产进行搜索。

资产管理应用场景

场景一:搜索用户/机器

假设某用户拥有两个不同账号( bill.murraybmurray )以及两个不同邮箱( bmurray@gmail.combig.ern@kingpin.com )。若需在所有日志中检索该用户:

  1. 请转至 安全/资产 菜单栏,点击 用户资产 选项卡。然后选中目标用户资产旁的省略号。

  2. 从菜单选项中选择 搜索资产

  3. 系统将返回包含任意用户名或邮箱地址的所有消息记录。

Assets Use Case 1.1.png

此方法同样适用于具有多个IP地址、主机名等属性的机器资产。

场景二:发现可疑活动后搜索机器相关日志

当您在 安全数据湖 中筛选日志时,若发现异常消息并希望查看该机器或用户的其他日志。例如在下图所示案例中,您看到某台机器存在失败登录记录,需要查看该机器的其他消息。此时可选中左侧资产,然后 添加到查询 :

use case.png

这将把该资产添加到查询中,因此现在我们仅查看该资产的登录记录。

Logins.png

漏洞扫描

安全数据湖 允许您连接第三方漏洞扫描器,从而将漏洞数据添加到您的机器资产中。这些数据用于进一步强化 风险评分 对于任何相关资产或事件。

漏洞数据通常包含诸如检测到问题的严重性、受影响或可能受影响的系统以及修复步骤等信息。在大多数情况下,漏洞扫描数据基于行业标准来源,特别是通用漏洞披露(CVE),这是一个 公开披露漏洞的列表 .

漏洞扫描是 资产丰富 的一部分,在 安全数据湖 中。在 安全界面 中,您可以访问 漏洞扫描器 选项卡,位于 资产 页面。有关更多信息,请参阅 管理扫描器

注意

安全数据湖 中的漏洞扫描数据 丰富了您的机器资产。您需要在环境中拥有机器资产,这些信息才相关。漏洞扫描数据不适用于用户资产。

先决条件

  • 建议使用“Illuminate 5.2.0:Assets”内容包。

  • 已配置并运行的漏洞扫描器连接到 安全数据湖 .

安全数据湖 漏洞扫描集成

应用于机器资产的漏洞扫描数据有助于更全面地了解环境中的潜在威胁。漏洞数据可在以下领域发挥作用:

  • 资产丰富化 :漏洞扫描数据提供资产丰富化功能,使您能为机器资产附加更多信息(包括相关安全漏洞)。详见 资产丰富化 章节。

  • Illuminate :虽然"Illuminate 5.2.0:Assets"内容包为可选组件,但强烈建议安装。该内容包可将资产与相关日志进行关联。下文所述的 必需 风险评分与安全事件集成功能需依赖此内容包。

  • 风险评分 :机器资产可拥有专属的资产风险评分。当触发涉及特定资产的事件时,该资产将被分配独立于事件的风险评分,而漏洞扫描数据是构成该评分的重要因素。详见 资产风险评分 章节。

  • 安全事件 :涉及机器资产的事件会综合漏洞扫描数据来计算整体资产风险评分。因此您可以优先处理高风险事件。详见 安全事件 章节。

具体集成示例请参阅 风险评分应用场景 .

配置漏洞扫描

在将漏洞扫描数据纳入 安全数据湖 之前,需确保已配置并连接第三方扫描器至 安全数据湖 . 安全数据湖 本身不执行扫描,而是从您配置的一个或多个扫描器导入扫描数据。

您可以将以下类型的漏洞扫描器与 安全数据湖 :

您可以为每种类型添加多个扫描器,从而获取针对网络不同区域或扫描类型的专项数据。详见各扫描器类型的设置说明。

注意

安全数据湖 中添加扫描器前,必须确保已配置并运行完整的扫描器系统。 请参阅扫描器供应商的配置文档: Defender文档 Nessus文档 .

管理扫描器

资产 漏洞扫描器 页面中的 选项卡 会列出您为环境定义的所有漏洞扫描器。点击扫描器可查看其详细信息页面,其中显示扫描器设置和连接信息。

在详情页面点击 导入扫描 可手动导入选定扫描器的新扫描数据。点击 编辑连接 .

若勾选一个或多个扫描器复选框, 批量操作 菜单将提供以下功能:

  • 导入 :对所有选定的扫描器执行手动导入新扫描数据。

  • 删除 :从列表中移除所有选定的扫描器。

安全数据湖中的Defender扫描器 安全数据湖

Microsoft Defender漏洞管理是Microsoft安全平台的一部分,可与 安全数据湖 集成,提供最新的资产漏洞信息。Defender漏洞管理执行设备评估,包括配置审查以发现漏洞,这些评估可根据您的业务环境进行定制。

您可以将 安全数据湖 连接到现有的Defender漏洞管理服务。 安全数据湖 从Defender导入扫描数据,并将任何漏洞关联到您的相关机器资产。

您需要Defender实例的Microsoft客户端应用程序信息以在 安全数据湖 中创建连接,具体包括租户ID、客户端ID和用于授权连接的客户端密钥。详情请参阅 Microsoft Defender漏洞管理文档

注意

如果您在 资产 页面的 来源 选项卡上添加Microsoft 365来源,可以选择 包含漏洞 选项以自动创建Defender漏洞扫描器。此选项可节省时间和精力,因为来源和漏洞扫描器需要相同的连接信息。

添加Defender扫描器

要添加Defender扫描器:

  1. 资产 在安全界面的 漏洞扫描器 标签页。

  2. 点击 添加扫描器 ,然后从菜单中选择 Defender

  3. 填写扫描器的连接详情及其他信息:

    AddDefenderScanner.png

    • 标题 :为扫描器指定一个唯一且有意义的名称。

    • 描述 ( 可选 ):说明此扫描器的用途。虽然此字段为可选,但建议在此添加信息,特别是当您创建多个Defender扫描器时。

    • 启用/禁用同步 ( 可选 ):将此设置切换为 启用 以按指定间隔自动导入扫描数据。

    • 同步间隔(小时) ( 可选 ):若启用同步,此设置将生效,您可据此决定将扫描数据重新导入以更新 安全数据湖 资产中漏洞信息的频率。默认设置为24小时(每天一次)。

      注意

      以下三个字段需要您从Microsoft Defender应用注册环境中提供的信息。请参阅 Microsoft Defender漏洞管理文档 获取完整信息。

    • 目录(租户)ID :从您的Microsoft应用注册中输入此值。

    • 客户端ID :从您的Microsoft应用注册中输入此值。

    • 客户端密钥 :输入客户端密钥,用于在请求令牌时验证身份。

    • 订阅类型 :从下拉菜单中选择您的订阅类型: 全球服务 (这是大多数用户的标准计划), 美国政府版 ,或 美国国防部版 .

    • 过滤器 :默认情况下,扫描导入会从该扫描器拉取所有数据。输入过滤器以限制该扫描器导入的数据。请注意,Defender过滤器必须作为OData查询输入。查看Microsoft 文档了解如何创建过滤器 .

    提供连接信息后, 安全数据湖 会测试连接。测试结果显示在对话框底部。

  4. 点击 添加扫描器 以添加扫描器。

新扫描器将添加到 漏洞扫描器 标签页的列表中,位于 资产 页面。

导入漏洞扫描

您有两种导入新漏洞扫描数据的方法:自动同步和手动导入。无论采用哪种方法,新导入的数据都会完全替换之前的信息,因此所有现有漏洞将相应更新,并添加任何新信息。

导入同步

您可以通过 启用同步 设置在定义扫描器时启用自动同步选项。您也可以在表格视图下使用 启用定期导入 .

启用同步选项后,新漏洞数据将根据您设置的同步间隔导入。

手动导入

手动导入扫描数据的步骤:

  1. 点击扫描器以查看其详情页面。

  2. 点击 导入漏洞 .

  3. 在对话框上点击 导入 以确认。

安全数据湖中的Nessus漏洞扫描器 安全数据湖

Tenable Nessus是一款安全扫描器,可识别设备、应用程序、操作系统及其他网络或云资源中的漏洞。Nessus结合多种算法评估威胁,然后基于通用漏洞评分系统(CVSS)分配漏洞风险评分。

您可以将 安全数据湖 连接到现有的Nessus扫描器。 安全数据湖 从Nessus导入扫描数据,并将任何漏洞关联到您的相关机器资产。

注意

要配置 安全数据湖 与Nessus建立连接前,需确保已创建可信关系。请务必理解证书要求。详见 证书与证书颁发机构 (Nessus文档中的说明)。

您可在 安全数据湖 中创建付费或免费版Nessus扫描器。按以下指引添加扫描器时,需提供Nessus实例的API URL、访问密钥及密钥,以便在 安全数据湖 中建立连接。关于创建API密钥的信息,请参阅 Tenable Nessus文档

添加Nessus扫描器

添加Nessus扫描器步骤:

  1. 在安全用户界面的 资产 页面,选择 漏洞扫描器 标签页。

  2. 点击 添加扫描器 ,然后从菜单中选择 Nessus

  3. 填写扫描器的连接详情及其他信息:

    AddNessusScanner.png

    • 标题 :为扫描器指定唯一且有意义的名称。

    • 描述 ( 可选 ):说明该扫描器的用途。此字段虽为可选,但建议填写信息,特别是创建多个Nessus扫描器时。

    • 启用/禁用同步 ( 可选 ):切换此设置以 启用 自动按指定间隔导入扫描数据。

    • 同步间隔(小时) ( 可选 ):若启用同步,可设置将扫描数据重新导入至 安全数据湖 资产以更新漏洞信息的频率。默认设置为24小时(每日一次)。

      注意

      以下字段需从您的Nessus环境中获取信息。详见 Nessus文档 获取完整信息。

    • API URL :输入连接至Nessus实例的URL。

    • 访问密钥 :输入用于Nessus API认证的访问密钥。

    • 密钥 :输入用于Nessus API认证的密钥。

    提供连接信息后, 安全数据湖 将测试连接。测试结果将显示在对话框底部。连接成功后, 文件夹 字段将变为可用状态。

  4. ( 可选 ) 使用 文件夹 若需限制或筛选此扫描器实例的数据,可使用“文件夹”字段。此处显示的文件夹基于您在Nessus环境中创建的目录结构。

  5. 点击 添加扫描器 以完成扫描器添加。

新添加的扫描器将显示在 漏洞扫描器 标签页的列表中,该标签页位于 资产 页面。

导入漏洞扫描

导入新漏洞扫描数据有两种方式:自动同步与手动导入。两种方式均会完全覆盖先前数据——所有现有漏洞将适时更新,新增信息将被补充。

同步导入

通过定义扫描器时的 启用同步 设置可开启自动同步功能,也可在表格视图下通过 启用定期导入 .

启用同步后,系统将按设定间隔自动导入新漏洞数据。

手动导入

手动导入扫描数据的步骤:

  1. 点击扫描器进入其详情页。

  2. 点击 导入漏洞 .

  3. 在弹窗中点击 导入 确认操作。

本节内容 :