资产信息增强
本文档仅适用于 安全数据湖 安全 功能特性。 安全数据湖 安全属于 安全数据湖 集中式日志管理平台的组成部分,需单独授权许可。请联系 安全数据湖 销售 团队获取产品详情。
安全数据湖 安全功能使您能够查看环境中不同类型的资产,并通过资产数据丰富日志内容。资产可与特定传入的日志消息关联,这些消息需匹配资产数据库中的字段,从而提供详细的资产信息。
资产数据丰富功能通过激活 Illuminate:资产 处理包或实施一系列 管道规则 实现。关联后的资产将变得 可搜索 ,并可用于生成 告警 。具体字段关联方法详见 创建包含资产的管道规则 。
关于如何在搜索中使用资产,请参阅 通过资产丰富增强搜索 .
将资产导入 安全数据湖
安全数据湖包含两类资产 安全数据湖 :机器资产和用户资产。机器资产包括网络中各类设备,如服务器、个人电脑和防火墙。用户资产涵盖环境中的系统账户和人员账户。
两种资产类型均可定期导入和同步,确保外部源的更新能同步至 安全数据湖 。详情参见 配置资产源同步计划 。
资产导入 安全数据湖 有两种方式:
您可以从外部来源(如LDAP、Active Directory或Microsoft 365)导入资产。或者,您也可以通过 安全数据湖 用户界面手动创建资产。更多信息请参阅《导入和配置资产》。
查看资产抽屉
您可以访问 资产 列表下每个资产的抽屉,该列表位于 安全数据湖 安全 用户界面中。资产抽屉提供了资产的详细信息,包括相关安全事件和已报告漏洞的概览。您可通过此抽屉监控资产状态,包括风险等级和相关安全事件。点击任意资产即可展开其抽屉。
资产抽屉中显示以下信息:
查看资产钻取仪表板
每个资产都有预建的仪表板,显示日志来源及其他资产详情。资产钻取仪表板可帮助您轻松探索特定资产的实时数据。
访问仪表板有两种方式:
-
从 资产 页面(通用或安全视角),点击任意资产表格中的 更多 菜单(省略号),然后选择 资产仪表板 .
-
从资产抽屉中,点击资产名称旁的 显示资产仪表板 图标。
注意
您也可以通过通用视角访问资产仪表板,导航至 安全 > 活动 > 资产钻取 。使用此方法时,资产ID参数不会自动填充。如果您从事件或日志消息中复制了资产ID,可以将其粘贴到仪表板中查看信息,此方法非常有用。
该仪表板包含以下小部件:
-
消息计数
-
按事件计数排名前15的源
-
按事件计数排名前15的源产品
-
按时间推移事件计数排名前15的源产品
-
资产相关消息(消息表)
您可以重播搜索并导出数据。与所有仪表板一样,您还可以调整日期/时间范围并对显示的数据应用筛选器。由于这是一个预构建的仪表板,您无法编辑小部件。但您可以选择右上角的 另存为 来创建仪表板的副本,在其中可以编辑和调整小部件的设置。资产必须关联日志后,仪表板才会包含任何有用信息。
导入和配置资产
以下文章专门涉及 安全数据湖 安全 功能或特性。 安全数据湖 安全是 安全数据湖 集中式日志管理平台,需单独授权许可。请联系 安全数据湖 销售 团队获取该产品的更多信息。
在使用资产丰富日志数据前,您需先在 安全数据湖 中导入并配置资产。资产可以是您环境中定义的各类机器或用户实体,详见 资产富化 .
本文档将指导您完成 安全数据湖 与外部资产源的连接配置,以及如何将资产导入 安全数据湖 .
导入资产
资产导入基本步骤如下:
-
创建或配置资产源(包含两个部分):
-
建立与资产的连接(服务器配置)。
-
创建资产导入映射。
-
下文将详细说明这些步骤。
创建或配置资产源
导入资产前需新建资产源或配置现有源。若使用现有源,可点击源名称旁的省略号,在下拉菜单中选择 编辑 进行修改。
新建资产源操作:
-
在 安全 布局中,导航至 资产 ,然后选择 来源 标签页。
-
点击 新建来源 .
-
从下拉菜单中选择来源类型。支持的来源类型包括LDAP、Active Directory和Microsoft 365。
配置选项因来源类型而异。LDAP和Active Directory的配置选项相同,而Microsoft 365的配置选项则不同。请根据您配置的来源类型跳转到下方相应章节。
配置LDAP和Active Directory来源
LDAP和Active Directory的服务器配置信息相同。您需要提供Microsoft账户的凭据。详情请查阅 Microsoft文档 。按照 连接配置 :
-
输入以下信息。
标题
为来源连接输入一个唯一名称。
服务器地址
输入用于连接来源的服务器地址。支持IPv4和IPv6。可以输入IP地址或完全限定域名(FQDN)。
端口
输入服务器的端口号。
传输安全
为 安全数据湖 与资产来源之间的通信选择安全选项。
选择加密方法:
-
无 :不使用加密。
-
TLS :通信通过TLS加密保护。
-
StartTLS :在可用时使用安全连接,但也允许非安全连接。
验证证书 :如果选择 TLS 或 Start TLS ,此选项控制是否通过证书颁发机构验证所用证书。
系统用户DN
输入用于初始连接服务器的用户名,例如:
cn=admin,dc=example,dc=com。根据服务器配置,此值可能是可选的。系统密码
输入用于初始连接服务器的密码。
描述 (可选)
添加有意义的描述。
-
-
点击 测试服务器连接 以验证所输入凭据的连接。继续前请解决所有错误。
警告
即使初始连接测试成功,资产导入仍可能失败。如果系统用户配置错误或用户缺乏所需权限,则可能发生此故障。
-
点击 保存连接 以保存资产连接配置。
您现在可以继续为此数据源配置资产映射。
配置Microsoft 365数据源
Microsoft 365的配置参数与LDAP和Active Directory数据源的要求不同。但Microsoft 365连接还具有以下优势:
-
当 包含漏洞 复选框在 映射配置 页面启用时,Microsoft 365数据源可同时导入资产及其漏洞。详见 漏洞扫描 章节获取更多信息。
-
您可以为用户资产添加Entra ID筛选器,并在导入时使用Entra ID、Intune或Defender筛选器定位特定微软设备。
您需要在 连接配置 页面输入用于识别租户和客户端应用的凭证。这些凭证可在您的Microsoft 365客户端应用中获取。有关建立Microsoft 365 API与 Microsoft 365设置 章节了解如何建立Microsoft 365 API与 安全数据湖 服务器之间的连接。
在 连接配置 :
-
输入以下信息。
标题
为数据源连接输入唯一名称。
目录(租户)ID
输入内容所属租户的全局唯一标识符(GUID)。
客户端ID
输入创建订阅的应用程序GUID。
客户端密钥
输入应用程序在请求令牌时用于身份验证的密钥字符串
订阅类型
从下拉菜单中选择您组织的Microsoft 365订阅计划。
描述 (可选)
添加有意义的描述。
-
点击 测试服务器连接 以验证与输入凭证的连接。在继续之前解决所有错误。
警告
即使初始连接测试成功,资产导入也可能失败。如果系统用户配置不正确或用户缺少所需权限,可能会发生此故障。
-
点击 保存连接 以保存资产连接配置。
您现在可以继续为此源配置资产映射。
创建资产导入映射
设置资产连接后,您可以创建多个查询以导入特定的数据子集。例如,您可以导入“仅管理员用户”或“仅笔记本电脑”。通过定义一个或多个导入映射配置来实现此过滤,这些配置确定从父源导入哪些资产以及源中的条目如何映射到 安全数据湖 资产架构中的导入资产。
建立资产连接后,您可以访问所有现有的映射配置。然后,您可以继续使用配置向导来定义映射配置。
映射配置允许您定义要从源导入的特定资产。它还允许您确定应用的默认值。
例如,您可以有一个LDAP服务器,其中包含两个不同的映射。一个映射配置为仅选择管理员用户,并具有管理员类别和高优先级类别。当您通过此映射导入管理员用户时,所有资产都具有相同的优先级和类别。
您可以设置另一个映射来选择普通用户并使用中或低优先级。您可以为会计机器设置高优先级映射,为用户笔记本电脑设置低优先级映射。配置参数可以应用于机器资产和用户资产。
您还可以在映射配置页面上配置 资产源同步 间隔。
警告
如果您有Microsoft 365源,您可以选择添加Entra ID、Intune和Defender过滤器以定位特定的Microsoft机器。
映射也可以在 源 页面上通过选择资产源来编辑或删除,以显示代表每个映射的轮播卡片。
映射配置参数
在 映射配置 表单中输入以下资产映射的常规信息:
|
资产类型 |
为您正在创建的映射选择机器资产或用户资产作为源类型。 |
|
映射标题 |
为此配置输入唯一标题。 |
|
搜索基准DN |
(仅限AD/LDAP资产)输入基准树以限制从资产源查询哪些条目。此条目以以下形式书写:
|
|
搜索模式 |
(仅限AD/LDAP资产)输入确定从资产源导入哪些条目的搜索模式。 |
|
类别 |
(可选)从下拉菜单中选择一个类别进行分配。您可以在 配置 选项卡上创建或更新类别列表。 |
|
优先级 |
(可选)从下拉菜单中选择优先级。此值会影响资产的风险评分。您可以在 配置 选项卡上更新类别列表。 |
|
描述 |
(可选)输入映射配置的详细描述。 |
|
启用同步 |
滑动此开关以启用或禁用资产的自动同步。要了解如何使用此功能,请参阅 安排资产源同步 . |
|
同步间隔(小时) |
如果启用自动同步,请设置同步之间的间隔。 |
所需的附加信息取决于资产源类型以及它是用户资产还是机器资产。请跳转到下面与您正在配置的资产类型对应的部分。
Active Directory与LDAP用户资产映射
在 用户资产映射 部分,您需定义源条目属性字段应如何映射至 安全数据湖 的每个用户资产字段。需包含以下信息:
|
用户ID属性 |
输入映射到所创建
安全数据湖
资产的源属性字段名称,例如
当资产导入时,若某源条目在
|
|
用户名属性 |
输入账户的登录用户名:
此值 在首次导入后 不可修改。 |
|
用户名字属性 |
输入用户的名字(如有)。此值通常为
|
|
用户姓氏属性 |
输入用户的姓氏(如有)。此值通常为
|
|
用户全名属性 |
输入用户的全名显示名称,通常存储在
注意若 用户名字属性 或 用户全名属性 包含值,则这些值将优先于当前属性。 |
|
电子邮件属性 |
输入用户的电子邮件属性:
注意,您可以通过按 Enter 或 Tab . |
Active Directory和LDAP机器资产映射
在 机器资产映射 部分中,您需定义每个 安全数据湖 机器资产字段应映射的源条目属性字段。请包含以下信息:
|
资产名称 |
输入机器的唯一标识符。 |
|
主机名属性 |
输入计算机或机器对象的名称。该值通常存储在
注意:可通过按 Enter 或 Tab . |
|
IP地址属性 |
输入设备的IP地址。注意:可通过按 Enter 或 Tab . |
|
MAC地址属性 |
输入设备的MAC地址。注意:可通过按 Enter 或 Tab . |
|
所有者 |
(可选)输入映射至资产所有者的属性:
对于Active Directory,该值通常为
对于LDAP,该值通常为
|
Microsoft 365用户与设备映射
在Microsoft 365的映射部分,您需定义应用于导入源的筛选器:
-
对于用户资产,您只能应用Entra ID筛选器。
-
对于机器资产,您可以应用Entra ID、Intune和Defender筛选器。
对于每个类别,您需要以搜索查询的形式输入筛选器以限制返回的数据。若要返回所有数据,请输入通配符(*)。有关如何构建筛选查询,请参阅 Microsoft文档 。
测试您的映射配置
输入值后,您可以通过点击 测试映射 按钮来测试映射配置。系统将运行测试导入,并显示导入资产的示例。您可以在保存配置并启动实际导入前进行修改和重新测试。
如果出现错误,系统会显示一个说明问题的警告框。此时您需要先排查问题并重新配置连接,然后才能导入资产。
启动导入
当连接和映射配置都保存后,您可以启动资产导入。点击 操作 按钮,然后从下拉菜单中选择 导入 。此操作会从资产源提取目标条目,根据映射配置进行映射,并在 安全数据湖 中创建资产,这些资产可从 资产 页面查看。
注意
对于LDAP和Active Directory资产,
安全数据湖
使用内部分页进行导入。这些源通常限制每次只能导入1000个资产。默认情况下,
安全数据湖
中的页面大小设置为500,这在大多数环境中应能避免问题。但如果您需要调整页面大小,可以在
ad_ldap_page_size
属性中设置
server.conf
文件,将其值调整为适合您系统的数值。
在 数据源 页面点击某个源以查看或编辑其配置。
当您导入或同步资产时,其名称与源中保持一致。后续的导入或同步操作会通过名称匹配现有资产,并更新来自后端的所有详细信息。这样,资产保持恒定且搜索不受影响。
注意
通过映射导入的资产,若在源中被删除,则相应资产也会被删除。
安排资产源同步
资产源同步功能执行与 资产导入 相同的操作。源中的更新会通过资产同步自动反映到 安全数据湖 中。这可能是源中的更新,也可能是一个或多个资产的移除。源中的所有更改都会反映到 安全数据湖 .
您可以通过定义时间间隔来安排资产导入。资产源同步适用于源下列出的所有映射。选择一个源以查看可用的映射。
启用资产源同步的步骤:
-
导航至 资产 > 数据源 .
-
定位到该资产。
-
点击 编辑 (位于对应行的末尾)。
-
点击 映射 配置选项卡。
-
向下滚动并切换至 启用同步 选项。
-
点击 保存并完成 .
默认同步间隔以小时为单位,可修改。
角色与权限
安全数据湖 包含两个专门用于管理或处理资产的角色:
-
资产管理员:授予对所有资产的读写权限。创建资产源、导入资产及执行所有其他资产管理功能均需此角色。注意:所有管理员用户默认拥有此角色权限,但您也可将该角色授予需要提升资产权限的非管理员用户。 -
资产查阅员:授予资产的只读权限。该角色适用于无需管理资产的用户。
以下权限包含在上述角色中,是管理资产源和映射所必需的:
-
asset:read:查看和列出资产源及资产源映射。 -
asset:edit:创建、编辑和删除资产源。 -
asset:create:创建、编辑和删除源映射。 -
asset:manage_vulnerability_scanners:创建、编辑和删除漏洞扫描器。
其中
资产查阅员
角色仅包含
asset:read
权限,而
资产管理员
包含所有这些权限。
创建新资产
您可以通过 安全数据湖 安全 用户界面手动创建新资产。操作步骤如下:
-
从顶层菜单中选择 资产 。
-
在标签页头部切换至所需资产类型( 用户 / 机器 )。
-
点击 新建资产 按钮。
创建新机器资产
要创建机器资产,请导航至 资产 > 机器 然后点击 新建资产 按钮。按照配置向导配置新机器资产。机器资产至少需包含名称及至少一个IP地址、主机名或MAC地址。
配置参数
基本信息
-
资产名称: 资产的唯一显示名称。该名称在所有资产类型中必须保持唯一。
-
所有者: 拥有该设备的个人或团体。
-
IP地址: 与资产关联的IP地址。支持IPv4和IPv6。
-
主机名: 与资产关联的主机名。
-
MAC地址: 资产的MAC地址。
-
分类: 资产的标签。可在 资产 > 配置 菜单中配置分类列表。
-
优先级: 资产优先级。可在 资产 > 配置 菜单中配置优先级列表。
-
描述: 提供资产的描述信息。
位置
此部分包含与资产物理位置相关的字段。这些字段为可选字段。
自定义字段
自定义字段部分可用于跟踪设备资产的其他必要信息,它允许包含用户界面提供信息之外的其他所需信息。每个自定义字段具有名称、类型(字符串、日期或数字)和一组值。
注意
可通过在 审计日志 中搜索资产ID来跟踪资产随时间的历史变更。也可使用 自定义字段 部分。 例如,若机器资产在所有者之间转移,可通过自定义字符串字段追踪历任所有者列表。您可在创建或编辑资产时,在 自定义字段 下创建该字段。
创建新用户资产
要创建用户资产,请导航至 资产 > 用户 然后点击 新建资产 按钮。按照配置向导设置新用户资产。用户资产至少需包含资产名称及一个用户名。
配置参数
-
资产名称: 资产的唯一显示名称,该名称在所有资产类型中必须唯一。
-
分类: 资产的标签。分类列表可在 资产 > 配置 菜单中设置。
-
优先级: 资产优先级。优先级列表可在 资产 > 配置 菜单中设置。
-
用户名: 与该用户关联的用户名。
-
用户ID: 除用户名外用户的唯一标识符:例如Windows SID或UUID。
-
电子邮件地址: 与该用户关联的所有电子邮件地址。
-
名字: 用户的名字。
-
姓氏: 用户的姓氏。
管理资产配置
在 资产 页面上的 配置 菜单可管理资产优先级与类别。每个资产可分配优先级及多个类别。
管理资产优先级
优先级用于区分机器和用户资产的重要性。例如,基础用户账户的优先级通常低于拥有更高网络权限的管理员账户。默认优先级列表包含 低 , 中 , 高 及 关键 等级,可在该选项卡中自定义。
注意
此处设置的资产优先级将直接影响资产风险评分。若设置为低, 资产风险评分 也会相应降低。
管理资产类别
类别作为标签用于资产分组与排序。无默认类别,可通过两处添加类别:
-
配置 配置选项卡:在 配置 选项卡中编辑或创建新分类。
-
新建资产 配置弹窗:在创建或编辑资产时,直接在 分类 字段中输入新分类。
通过任一方法创建分类后,该分类将出现在 分类 下拉列表中,可供后续资产分配。要为多个资产分配分类:
-
在 资产 页面选择目标资产。
-
点击 批量操作 按钮。
-
点击 添加分类 .
-
选择所需分类。
-
点击 确认 .
Microsoft 365资产源同步
要将Microsoft 365用作资产源,需建立Microsoft 365 API与 安全数据湖 服务器之间的连接。在 连接配置 页面创建新的Microsoft 365资产源时,需输入以下信息: 安全数据湖 用户界面:
-
租户ID
-
客户端ID
-
客户端密钥
若您尚未拥有有效的Microsoft 365客户端应用程序,需先注册并提供上述凭证。您可通过访问相关 微软官网 了解如何在Microsoft身份平台注册应用程序。继续阅读以了解启用Microsoft 365与 安全数据湖 .
先决条件
需能访问Microsoft产品及Microsoft 365 API,以充分利用资产源同步和漏洞导入功能。需要以下四种Microsoft订阅:
1. Entra ID
用途要求:用户资产导入(必需)
机器资产导入(可选)
漏洞导入(不使用)
2. Intune
用途要求:机器或用户资产导入(可选)
漏洞导入(不使用)
3. Defender
用途要求:漏洞导入(必需)
机器资产导入(可选)
用户资产导入(不使用)
4. Defender漏洞管理附加组件
用途要求:漏洞导入(必需)
机器资产导入(可选)
用户资产导入(不使用)
API权限
满足上述条件后,需创建具有API访问权限及正确权限的应用程序,以连接 安全数据湖 实例并从Microsoft 365拉取资产与漏洞。实现全部支持功能所需的权限如下:
Microsoft Graph
Device.Read.All
DeviceManagementConfiguration.Read.All
DeviceManagementManagedDevices.Read.All
User.Read.All
User.ReadBasic.All
WindowsDefenderATP
Machine.Read.All
Vulnerability.Read.All
配置所需的API权限
-
登录Microsoft Azure。
-
选择 Entra ID .
-
选择 应用注册 > 新注册。
-
注册新应用程序。
-
为应用程序命名(例如, 安全数据湖 日志访问 ).
-
选择适当的账户类型。
-
请 勿 添加重定向URI。
-
点击 注册 按钮。
注意
应用注册完成后,请记录应用程序(客户端)ID和目录(租户)ID。
-
-
点击 添加证书或密码 .
-
点击 新客户端密码 .
-
请记录客户端密码值。一旦离开此页面,该值将不可见。若遗失密码,请删除旧密码并/或创建新密码。若删除旧密码,需更新所有 安全数据湖 中使用旧密码的输入项。
-
为新创建的应用导航至API权限。
-
点击 添加权限 .
-
选择 Microsoft Graph .
-
选择 应用程序权限 .
-
选择相关权限(例如选择必要的用户读取权限)。
-
导航至Microsoft Entra管理中心,使用上文创建的账户登录。
-
进入 应用程序 > 企业应用程序 > 所有应用程序 .
-
选择在前几步中选定的应用程序名称。
-
点击 权限 > 为MSFT授予管理员同意 .
-
随后系统将要求您重新验证账户并授予所请求的权限。
-
点击 接受 .
您现在应能在列表中看到新增权限,并据此访问API。
注意
权限在步骤间传播可能需要时间,您可能需要等待或尝试刷新。
创建带资产的流水线规则
可通过一组流水线规则来设置消息上的
关联资产
字段、更新现有资产,并获取资产信息以进一步丰富消息内容。资产相关流水线函数让您能通过处理流水线更高效地操作资产。
set_associated_assets
该流水线规则通过GIM模式字段填充消息中的
associated_assets
和
associated_asset_categories
字段。
关联资产
字段将是一个数组,包含每条与消息字段匹配的同类型资产字段的ID。
associated_assets
字段将决定搜索页面上展开的日志消息中显示哪些资产。
associated_asset_categories
字段将是一个包含所有关联资产类别的数组。
机器资产消息字段
以下字段用于关联机器资产:
|
IP地址消息字段 |
MAC地址消息字段 |
主机名消息字段 |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
||
|
|
用户资产消息字段
以下字段用于关联用户资产:
|
用户名消息字段 |
用户ID消息字段 |
电子邮件消息字段 |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
警告
该函数使用内存缓存来限制将资产与消息关联所需的数据库调用次数。
机器资产查询
此管道规则接受一个
查询类型
和值参数。
查询类型
可以是
名称
,
IP地址
,
MAC地址
或
主机名
。值字段是用于查找指定类型的值。该规则假设查询结果是唯一的,因此如果多个资产恰好匹配查询条件,则仅返回其中一个。若查询匹配成功,将返回具有以下结构的映射表:
{
"id": "字符串"
"name": "字符串",
"priority": 数字,
"category": ["字符串", "数组"],
"details": {
"type": "机器",
"description": "字符串",
"owner": "字符串",
"ip_addresses": ["字符串", "数组"],
"mac_addresses": ["字符串", "数组"],
"hostnames": ["字符串", "数组"],
"custom_fields": 映射表
}
}
该
自定义字段
映射表结构取决于为给定资产定义的自定义字段。每个条目将包含一个字符串键和由
字符串
,
日期
或
数字
.
相比
set_associated_assets
规则。例如,要通过
source_ip
字段查找资产,然后根据返回的资产在消息上设置字段,其示例如下:
规则 "machine_asset_lookup"
当
有字段("source_ip")
则
令 asset = machine_asset_lookup(查找类型:"ip", 值:转字符串($消息.source_ip));
令 details = asset.详情;
设置字段("asset_id", asset.id);
设置字段("asset_name", asset.名称);
设置字段("asset_description", details.描述);
设置字段("asset_ips", details.ip地址列表);
设置字段("asset_macs", details.mac地址列表);
设置字段("asset_hostnames", details.主机名列表);
结束
machine_asset_update
该规则将更新现有机器资产的IP地址和主机名。参数包括:
-
lookup_type:可以是 name , ip , mac 或 hostname。 -
lookup_value:对应lookup_type. -
ip_addresses:用于更新资产的IP地址字符串或数组[可选]。 -
hostnames:用于更新资产的主机名字符串或数组[可选]。
规则 "machine_asset_update"
当
真
则
machine_asset_update(查找类型:"mac", 查找值:"AA:BB", ip地址列表:"10.0.0.0");
结束
例如,在DHCP日志上使用此规则可以根据传入的日志保持现有资产的最新状态。
规则 "machine_asset_update"
当
真
则
machine_asset_update(查找类型:"mac", 查找值:$消息.mac, ip地址列表:转字符串($消息.new_ip));
结束
user_asset_lookup
该流水线规则用于查找用户资产并用用户资产数据丰富日志消息。该规则接受一个
lookup_type
和值参数。
lookup_type
可以是
name
,
username
,
user_id
或
email
。value字段用于指定查询时使用的具体值。该规则假设查询结果具有唯一性,因此若多个资产匹配查询条件,仅返回其中一个。若查询命中,将返回如下结构的映射表:
{
"id": "字符串"
"name": "字符串",
"priority": 数字,
"category": ["字符串", "数组"],
"details": {
"type": "user",
"description": "字符串",
"username": "字符串",
"user_ids": ["字符串", "数组"],
"email_addresses": ["字符串", "数组"],
"first_name": "字符串",
"last_name": "字符串"
}
}
相比
set_associated_assets
规则,这些字段可用于更精准地增强消息内容。例如,通过username字段查询资产后,根据返回的资产信息设置消息字段的示例如下:
rule "user_asset_lookup"
when
has_field(“username”)
then
let asset = user_asset_lookup(lookup_type:"username", value:"username");
let details = asset.details;
set_field("asset_id", asset.id);
set_field("asset_name", asset.name);
set_field("asset_type", details.type);
set_field("asset_username", details.username);
set_field("asset_user_ids", details.user_ids);
set_field("asset_emails", details.email_addresses);
end
通过资产增强优化搜索
在搜索结果中关联资产
当启用Illuminate功能包时,
Security Data Lake
会自动为所有消息运行
set_associated_assets
流水线规则。
但您也可以选择仅对部分日志应用
set_associated_assets
流水线规则。此时不应启用Illuminate资产处理包,而是通过将
set_associated_assets
函数置入流水线规则,添加到流水线中,设置过滤器并分配给指定流来实现。
set_associated_assets
该功能具有可定制性:既可通过启用Illuminate处理包应用于所有日志,也可通过手动配置规则应用于日志子集。具体操作请参阅关于
流水线 流水线 了解更多关于创建流水线规则的信息。
当消息被
关联资产
字段丰富后,这些字段可以在单条消息的展开日志视图中显示。每个关联资产的详细信息也可以进一步展开查看。
除了在搜索结果中查看资产外,您还可以将资产添加到搜索查询中,并跳转至与该资产相关的任何日志消息。
注意
参见 相关 安全数据湖 文章 了解如何升级到最新版Illuminate。
跳转至资产搜索
此功能允许您在搜索结果中查看资产,并进一步探索与该特定资产相关的其他日志以进行深入调查。例如,如果某条日志消息将财务部门的计算机识别为资产,您可以跳转并访问与该机器关联的所有日志,从而深入了解其活动。
要跳转至资产搜索,请点击
添加到查询
按钮以查看特定资产的所有日志消息。注意,资产ID随后会被添加到
关联资产
字段的搜索查询中。
搜索资产
在 资产 页面,您可以搜索资产。此功能允许您基于资产信息创建搜索查询。您可以单独或批量搜索资产。
要搜索单个资产,请点击所选资产的省略号并选择 搜索资产 选项。
要进行批量搜索,请选择要搜索的资产,然后点击 批量操作 按钮并搜索所选资产。
资产管理用例
场景1:搜索用户/机器
假设某个用户拥有两个不同的用户账户(
bill.murray
和
bmurray
)以及两个不同的邮箱(
bmurray@gmail.com
和
big.ern@kingpin.com
)。若需在所有日志中检索该用户:
-
请导航至 安全/资产 菜单栏并点击 用户资产 标签。然后选中目标用户资产旁的省略号。
-
从菜单选项中选择 搜索资产 。
-
系统将返回包含任意用户名或邮箱地址的所有消息记录。
此逻辑同样适用于具有多个IP地址、主机名等属性的机器资产。
场景2:发现可疑活动后检索机器的关联日志
当您在 安全数据湖 中筛选日志时,发现异常消息并希望查看该特定机器或用户的其他日志。例如在下图截屏中,您看到指向某台机器的失败登录记录,希望查看该机器的其他消息。此时可选中左侧资产后点击 添加到查询 :
该操作会将资产加入查询条件,此时查询结果将仅显示该资产的登录记录。
漏洞扫描
安全数据湖 支持连接第三方漏洞扫描器,从而将漏洞数据关联至机器资产。这些数据用于进一步强化您的 风险评分 针对相关资产或事件。
漏洞数据通常包含以下信息:检测到问题的严重程度、受影响或可能受影响的系统,以及修复步骤。在大多数情况下,漏洞扫描数据基于行业标准来源,特别是通用漏洞披露(CVE),这是一个 公开披露漏洞的列表 .
漏洞扫描是 资产增强 的一部分,位于 安全数据湖 中。在 安全界面 中,您可以在 资产 页面上访问 漏洞扫描器 选项卡。有关更多信息,请参阅 管理扫描器 。
注意
安全数据湖 中的漏洞扫描数据 会增强您的机器资产信息。您需要在环境中拥有机器资产,这些信息才有意义。漏洞扫描数据不适用于用户资产。
先决条件
-
建议使用"Illuminate 5.2.0:Assets"内容包。
-
需要配置并运行一个连接到 安全数据湖 .
安全数据湖 与漏洞扫描的集成
应用于机器资产的漏洞扫描数据有助于更全面地了解环境中的潜在威胁。漏洞数据在以下领域可能非常有用:
-
资产增强 :漏洞扫描数据提供资产增强功能,使您的机器资产附带更多信息,包括相关安全漏洞。详见 资产增强 获取更多信息。
-
Illuminate :虽然“Illuminate 5.2.0:资产”内容包为可选组件,但强烈建议安装。该内容包将您的资产与相关传入日志关联起来。下文描述的风险评分和安全事件集成 必须 依赖此内容包。
-
风险评分 :机器资产可拥有专属资产风险评分。当触发涉及特定资产的事件时,该资产将被分配独立于事件本身的资产风险评分,而漏洞扫描数据是构成该评分的要素之一。详见 资产风险评分 获取更多信息。
-
安全事件 :涉及机器资产的事件会纳入漏洞扫描数据,用于计算该事件的综合资产风险评分。因此您可以更有效地按风险评分高低优先处理事件。详见 安全事件 获取更多信息。
具体集成示例请参阅 风险评分应用场景 .
配置漏洞扫描
在将漏洞扫描数据纳入 安全数据湖 之前,需先完成第三方扫描器的配置并与 安全数据湖 . 安全数据湖 本身不执行扫描,而是从您配置的扫描器导入扫描数据。
可与 安全数据湖 :
您可以为每种类型添加多个扫描器,以便获取针对网络不同区域或扫描类型的专项扫描数据。详见各扫描器类型的设置说明。
注意
在 安全数据湖 中添加扫描器前,必须确保已配置并运行完整的扫描器系统。 请参阅扫描器供应商的设置文档: Defender文档 与 Nessus文档 .
管理扫描器
资产 漏洞扫描器 页面中的 选项卡 会列出您为环境定义的所有漏洞扫描器。点击扫描器可查看其详情页,其中显示扫描器设置和连接信息。
在详情页面点击 导入扫描 可手动导入选定扫描器的新扫描数据。要更新扫描器设置,请点击 编辑连接 .
若勾选一个或多个扫描器的复选框, 批量操作 菜单将提供以下功能:
-
导入 :为所有选定扫描器手动导入新扫描数据。
-
删除 :从列表中移除所有选定扫描器。
Defender扫描器(位于) 安全数据湖
Microsoft Defender漏洞管理是Microsoft安全平台的一部分,可与 安全数据湖 集成,提供最新的资产漏洞信息。Defender漏洞管理执行设备评估,包括配置审查以发现漏洞,这些评估可根据您的业务环境进行定制。
您可以将 安全数据湖 连接到现有的Defender漏洞管理服务。 安全数据湖 从Defender导入扫描数据,并将任何漏洞关联到您的相关机器资产。
您需要Defender实例的Microsoft客户端应用程序信息以在 安全数据湖 中创建连接,具体包括租户ID、客户端ID和用于授权连接的客户端密钥。详情请参阅 Microsoft Defender漏洞管理文档 。
注意
如果您在 资产 页面的 来源 选项卡上添加Microsoft 365来源,可以选择 包含漏洞 选项以自动创建Defender漏洞扫描器。此选项可节省时间和精力,因为来源和漏洞扫描器需要相同的连接信息。
添加Defender扫描器
要添加Defender扫描器:
-
在 资产 页面的安全界面中,选择 漏洞扫描器 选项卡。
-
点击 添加扫描器 ,然后从菜单中选择 Defender 。
-
填写扫描器的连接详情及其他信息:
-
标题 :为扫描器指定一个唯一且有意义的名称。
-
描述 ( 可选 ):说明该扫描器的用途。此字段虽为可选,但建议填写,特别是当您创建多个Defender扫描器时。
-
启用/禁用同步 ( 可选 ):将此设置切换为 启用 ,即可按指定间隔自动导入扫描数据。
-
同步间隔(小时) ( 可选 ):若启用同步,此设置将生效,用于决定将扫描数据重新导入以更新 安全数据湖 资产中漏洞信息的频率。默认设置为24小时(每日一次)。
注意
以下三个字段需填写从Microsoft Defender应用注册环境中获取的信息。完整说明请参阅 Microsoft Defender漏洞管理文档 。
-
目录(租户)ID :输入Microsoft应用注册中的此值。
-
客户端ID :从您的微软应用注册中输入此值。
-
客户端密钥 :输入客户端密钥,用于在请求令牌时验证身份。
-
订阅类型 :从下拉菜单中选择您的订阅类型: 全球服务 (这是大多数用户的标准方案), 美国政府版 ,或 美国国防部版 .
-
筛选器 :默认情况下,扫描导入会拉取该扫描器的所有数据。输入筛选器以限制此扫描器导入的数据。请注意,Defender筛选器必须作为OData查询输入。查看微软 文档了解如何创建筛选器 .
提供连接信息后, 安全数据湖 会测试连接。测试结果将显示在对话框底部。
-
-
点击 添加扫描器 以添加扫描器。
新扫描器将添加到 漏洞扫描器 标签页下的 资产 页面列表中。
导入漏洞扫描
您有两种方法导入新的漏洞扫描数据:自动同步和手动导入。无论采用哪种方法,新导入都会完全替换先前信息,因此所有现有漏洞将相应更新,并添加任何新信息。
导入同步
您可以通过 启用同步 设置(在定义扫描器时配置)。您也可以在表格视图下通过 启用定期导入 .
启用同步选项后,系统将根据您设置的同步间隔自动导入新的漏洞数据。
手动导入
手动导入扫描数据的步骤:
-
点击扫描器进入其详情页面。
-
点击 导入漏洞 .
-
在对话框上点击 导入 进行确认。
安全数据湖中的 Nessus漏洞扫描器
Tenable Nessus是一款能识别设备、应用程序、操作系统及其他网络/云资源漏洞的安全扫描器。它通过组合算法评估威胁,并基于通用漏洞评分系统(CVSS)分配风险值。
您可将 安全数据湖 与现有Nessus扫描器建立连接。 安全数据湖 会导入Nessus扫描数据,并将漏洞关联至您的机器资产。
注意
配置 安全数据湖 与Nessus的连接时,需确保已建立信任关系。请务必了解证书要求,详见Nessus文档中的 证书与证书颁发机构 章节。
您可以在 安全数据湖 使用Nessus的付费版或免费版均可。按照以下指引添加扫描器时,您需要提供Nessus实例的API URL以及访问密钥和密钥,以便在 安全数据湖 中创建连接。具体创建API密钥的方法请参阅 Tenable Nessus文档 。
添加Nessus扫描器
添加Nessus扫描器的步骤:
-
在安全用户界面的 资产 页面,选择 漏洞扫描器 标签页。
-
点击 添加扫描器 ,然后从菜单中选择 Nessus 。
-
填写扫描器的连接详情及其他信息:
-
标题 :为扫描器指定一个唯一且有意义的名称。
-
描述 ( 可选 ):说明该扫描器的用途。此字段虽为可选,但建议填写,特别是当您创建多个Nessus扫描器时。
-
启用/禁用同步 ( 可选 ):将此设置切换为 启用 ,即可按指定间隔自动导入扫描数据。
-
同步间隔(小时) ( 可选 ):若启用同步功能,可设置扫描数据导入频率以更新 安全数据湖 资产中的漏洞信息。默认设置为24小时(每日一次)。
注意
以下字段需填写Nessus环境信息。完整说明请参阅 Nessus文档 。
-
API URL :输入连接至Nessus实例的URL。
-
访问密钥 :输入用于Nessus API认证的访问密钥。
-
密钥 :输入用于Nessus API认证的密钥。
提供连接信息后, 安全数据湖 将测试连接。测试结果将显示在对话框底部。连接成功后, 文件夹 字段将变为可用状态。
-
-
( 可选 )若需限制或筛选该扫描器实例的数据,请使用 文件夹 字段。此处显示的文件夹基于您在Nessus环境中创建的文件夹结构。
-
点击 添加扫描器 以完成添加。
新扫描器将被添加至 漏洞扫描器 选项卡的 资产 页面。
导入漏洞扫描
导入新漏洞扫描数据有两种方法:自动同步和手动导入。无论采用哪种方法,新导入的数据都会完全替换之前的信息,因此所有现有漏洞将相应更新,并添加任何新信息。
导入同步
您可以通过定义扫描器时的 启用同步 设置来启用自动同步选项。您也可以在表格视图下的 启用定期导入 .
启用同步选项后,新的漏洞数据将根据您设置的同步间隔自动导入。
手动导入
手动导入扫描数据的步骤:
-
点击扫描器查看其详情页面。
-
点击 导入漏洞 .
-
在对话框上点击 导入 以确认。