跳至主内容

网络传感器

网络传感器 负责收集并预处理网络相关事件,以增强事件上下文分析能力。

其配置为TAP模式,通过SPAN端口获取网络流量副本。可检测所有通过IPv4或IPv6网络协议通信的设备,无论该设备是否由 Bitdefender 管理。若网络中存在使用相同协议的物联网设备,网络传感器也将检测其流量。

有关网络传感器系统要求的详细信息,请参阅 网络传感器系统要求页面 .

注意

网络传感器不支持SCADA或任何特定的OT协议。

配置完成后,网络传感器将持续监听网络流量,从环境中所有端点收集事件,对其进行预处理和预过滤,并将元数据和检测结果发送至 GravityZone 安全分析引擎。

事件 > 搜索 部分中,通过以下查询查看触发的检测: other.sensor_name:network 。这些检测结果用于丰富 扩展事件 的上下文,这些事件由 GravityZone .

为NSVA网络传感器设备部署准备环境

在部署 网络传感器虚拟设备 ( NSVA )用于 GravityZone XDR 之前,请按以下步骤准备环境:

提示

NSVA 设备支持通过单一设备监控多个网络子网。

  1. 确保满足所有网络子网要求:

    • 非重叠的IP地址空间 - 由单个 NSVA 设备监控的网络不得存在重叠的IP地址空间。

      这对避免事件关联不一致并确保监控准确性至关重要。

    • 无重复MAC地址 - 由单个 NSVA 设备监控的网络不得包含重复的MAC地址。

      这对避免事件关联不一致并确保监控准确性至关重要。

    • 网络路由器信息 - 处理被监控子网流量的路由器IP和MAC地址列表。这些信息在设置过程中需要提供。

    每台 NSVA 网络传感器设备需配置为至少监控一个子网,并为每个被监控网络提供至少一个互联网网关和/或路由器。

  2. 配置 NSVA 组ID

    组ID是用户定义的整数值,需在每台 NSVA 设备上配置,用于在网络基础设施中存在重叠地址空间时划分网络监控范围。

    请遵循以下准则:

    • NSVA 组ID取值范围为1至254。

    • 具有相同组ID的 NSVA设备不得监控存在重叠地址空间的网络子网。

    • 对监控具有非重叠IP地址空间或无重复MAC地址的不同子网的设备使用相同组ID。这有助于 GravityZone 将该网络站点视为环境中的一致分区,并在其整体范围内关联事件。

    • 避免在同一组ID下配置多个 NSVA 设备来监控同一网络子网。

    • 每个网络子网在同一 GravityZone 公司内应仅被监控一次,以避免冗余监控及潜在的数据冲突与重复

    • 若您的基础设施中不存在需要在同一 GravityZone 公司内监控的地址空间重叠子网,则应让所有NSVA网络传感器设备使用默认组ID值(1)。

  3. 设置流量监控。

    NSVA 设备通过镜像(也称为SPAN)交换机端口会话监控网络流量。根据网络设备不同,可能使用不同术语。

    单个 NSVA 设备可通过同一网络接口监控来自多个网络的流量,该会话会镜像一个或多个网段或交换机端口的流量。 NSVA 设备可监控通过SPAN、RSPAN或镜像方式传输的流量

    重要提示

    确保您的网络硬件支持SPAN或镜像会话,以便将流量传输至网络传感器设备。

遵循这些先决条件,可确保成功部署 NSVA 网络传感器设备,并建立全面无冲突的网络监控。

安装网络传感器

您可以通过使用预构建的设备镜像在环境中部署 网络传感器 ,适用于 vSphere , Hyper-V , Proxmox ,或 手动安装 .

网络漏洞扫描器

网络漏洞扫描器是 XDR网络传感器虚拟设备 的新功能,也是 风险管理 的组成部分。它能主动扫描网络开放端口,识别运行中的应用程序,并检测这些应用相关的已知漏洞(CVE)。

该功能通过提供网络暴露服务及其潜在弱点的可视性,支持主动风险评估并强化终端安全。

要求与限制

扫描接口必须始终设置为 静态 模式。可在 网络配置 .

网络漏洞扫描器可发现具有已知漏洞(CVE)的服务,并在 GravityZone 中仅为网络内受控终端显示这些漏洞。

扫描接口限制:

  • 每个目标子网必须仅关联一个网络接口。

  • 静态 模式下最多可配置9个接口。

  • 混杂 模式下仅能配置1个接口。

  • 支持的最大接口数为10个。

注意

配置多个接口时,请确保子网无重叠或重复。

网络漏洞扫描器设置

网络漏洞扫描器要求至少一个网络接口配置静态IP地址。虽然系统可使用DHCP进行常规连接,但必须确保至少有一个接口(可以是同一接口)设置为 静态 模式,以便选择该接口进行扫描操作。

该功能会自动选择合适接口扫描各子网。系统会选择最多经一次网络跳转即可到达目标子网的接口,确保能直接解析目标设备的MAC地址。

若目标需经多次网络跳转(如位于网关后方),扫描器仅能检测网关的MAC地址。仅凭此信息无法实现精准扫描。

漏洞扫描器设置示例:

xdr_nsva_vuln_scan_example_113104_cl_op_en.png

注意

若未设置排除项,终端在被 XDR NSVA 扫描时将生成警报,最终导致扫描被阻断。

扫描器可直接扫描 192.168.1.20 IP地址使用 eth0 接口扫描,因为它在同一子网内,仅一跳距离且MAC地址可见。

扫描器不会通过路由器扫描 192.168.2.30 IP地址,原因如下:

  • 数据包将被路由转发。

  • 目标MAC地址将是网关而非虚拟机的地址。

配置网络漏洞扫描器

  1. 打开 sva-setup .

  2. 选择 配置漏洞扫描器 .

    注意

    扫描器仅在网络接口配置为 静态 模式时生效。

    xdr_vscan_setup_113104_cl_op_en.png

  3. 选择 配置扫描子网 > 添加新子网 .

    xdr_vscan_config_subnets_113104_cl_op_en.png

  4. (可选)您也可以从 受监控网络 部分导入现有子网。

    xdr_vscan_import_subnets_113104_cl_op_en.png

  5. 确认子网列表。

    xdr_vscan_subnets_list_113104_cl_op_en.png

  6. 转到 设置扫描接口 .

  7. 使用 空格键 选择一个或多个接口。

    xdr_vscan_set_scan_interface_113104_cl_op_en.png

    注意

    被选中用于扫描的接口必须处于 静态 模式。

  8. 所有设置配置完成后,选择 应用配置 .

扫描排除项

您可以自动排除 XDR NSVA 在漏洞扫描过程中使用的IP地址,前提是 风险管理 在终端策略中已启用。

设置过程完成后,所有为网络漏洞扫描器配置的 静态 IP地址将被发送至 GravityZone 并作为排除项应用于 防火墙 网络攻击防御 针对所有满足以下条件的终端:

  • 风险管理 在其策略中已启用

  • 排除 NSVA IP地址免扫描 选项已启用

注意

若未应用排除规则,终端在被 NSVA 扫描时将生成告警,最终导致扫描被阻断。

需为终端使用的每条策略单独启用排除功能。此外,应配置 分配规则 ,确保仅当终端与 XDR NSVA .

重要

为避免安全漏洞(同一策略在终端连接VPN和切换网络时均排除 XDR NSVA IP地址),必须配置分配规则确保排除仅应用于安全网络。潜在攻击者可能通过私有网络利用 XDR NSVA IP地址,并借助防火墙的IP排除规则实施攻击。

执行按需网络漏洞扫描

可通过启用 网络扫描 选项运行风险扫描任务来检测网络漏洞。网络扫描功能可在 风险管理 模块的以下页面使用:

  • 发现

  • 漏洞

  • 账户风险

  • 资源

  • 身份

重要提示

此扫描要求您的网络中至少安装一个 XDR NSVA 设备。

xdr_vscan_risk_management_113104_cl_op_en.png

扫描结果将显示在 风险管理 > 漏洞 .

在Proxmox VE中使用漏洞扫描器

要在Proxmox VE中使用漏洞扫描器,需手动指定接口数量。操作步骤如下:

  1. 关闭虚拟机电源。

  2. 添加所需数量的网络接口。

  3. 配置漏洞扫描器 .

与微软新一代Azure虚拟网络终端接入点(TAP)集成

XDR网络传感器虚拟设备 可通过配置 安全服务器 监控接口作为vTAP目标,实现与Azure vTAP的流量采集集成。

添加监控接口前,需先访问 Azure应用市场 并部署 XDR NSVA .

市场提供的虚拟机默认包含单一接口,用于与 GravityZone 通信。启用监控功能可选择:

  • 配置现有接口进行流量监控

  • 或添加配置独立监控接口并连接到 XDR NSVA

配置现有接口以监控流量

配置现有接口请按以下步骤操作:

  1. 前往 Azure vTAP门户页面 并将 安全服务器 监控接口配置为目标资源:

    1. 选择 XDR NSVA 接口作为目标资源。

    2. 添加需要监控的虚拟机网络接口作为源。

  2. 使用以下命令通过SSH登录虚拟机:

    ssh-i<ssh密钥>azureuser@IP地址 ,其中 azureuser 是部署时创建的用户。

  3. 以下命令需以root权限运行,请使用以下命令设置root密码:

    sudopasswdroot

  4. 通过以下命令切换至root用户:

    sudosu

  5. 运行 sva-setup .

  6. 进入 网络配置 > 查看/编辑物理接口 .

  7. 选择 添加新虚拟接口 .

  8. 源接口 配置为 eth0 .

    此选项会创建一个新网络接口,用于解封装在vTAP端点( eth0 ).

    xdr_azure_eth0_cl_pt_113104.png

  9. 选择 应用配置 以保存更改。

  10. 完成Azure vTAP特定配置后,必须将 XDR NSVA 连接至 GravityZone 配置受监控网络 .

添加并配置新监控接口

创建监控接口需按以下步骤操作:

  1. 停止虚拟机。

  2. 创建并附加新网络接口卡(NIC)。

  3. 前往 vTAP页面 创建新vTAP资源:

    1. 选择新NIC作为目标资源。

    2. 添加需监控虚拟机的网络接口作为源。

  4. 使用以下命令通过SSH登录虚拟机:

    ssh-i<ssh密钥>azueruser@ip ,其中 azureuser 是部署时创建的用户。

  5. 以下命令需以root权限运行,请通过以下命令配置root密码:

    sudopasswdroot

  6. 使用以下命令切换至root用户:

    sudosu

  7. 运行 sva-setup .

  8. 进入 网络配置 > 查看/编辑物理接口 .

  9. 选择 eth1(未配置) 并将其配置为DHCP模式。

  10. 进入 查看/编辑虚拟接口 .

  11. 选择 添加新虚拟接口 .

  12. 源接口 配置为 eth1 .

    该选项创建一个新的网络接口,用于解封装在vTAP端点( eth1 ).

    xdr_azure_cl_pt_113104.png

  13. 选择 应用配置 以保存更改。

  14. 完成Azure vTAP特定配置后,必须将 XDR NSVA 连接至 GravityZone 配置监控网络 .

配置网络传感器虚拟设备

安装网络传感器后,按以下步骤配置虚拟设备:

  1. 启动网络传感器虚拟机。

  2. 通过SSH登录,使用 root/sve 作为用户名和密码。

  3. 更改密码。

    默认密码不符合新的安全密码要求,必须进行修改。新密码需包含至少8个字符、1位数字、至少1个大写字母、至少1个小写字母、1个特殊字符,且每3个月需更换一次。

    gravityzone_cl_sve_new_password_nsva.png

    注意

    有关重置root密码的更多信息,请参阅 重置 安全服务器 .

  4. 运行以下命令配置网络传感器: 

    /opt/bitdefender/bin/sva_setup.sh

    sva_setup 该接口支持全面的网络配置,包括子网、VLAN和路由器的设置。

  5. 开始配置过程。使用方向键导航并选择 确定 取消 以确认或放弃您的选择。

    network_configuration_cl_pt_113104.png

  6. 网络配置 - 允许设置以下模式:

    • eth0 :这是动态主机配置协议(DHCP)模式下的主接口,用于与 GravityZone .

      注意

      此接口只能配置为 DHCP 静态 模式,并始终作为与 GravityZone .

      它也可用于漏洞扫描,但仅当设置为 静态 模式时。

    • eth1 :这是混杂模式下的接口,用于分析网络流量。

    重要提示

    如果无需更改,则无需进一步配置。

    如果主接口必须使用静态IP地址,请从 eth0 选择 网络配置 并按如下方式配置:

    network_config_113104_cl_op_en.png

    1. 选择 静态 .

      network_config_static_ip_113104_cl_op_en.png

    2. 完成配置。

      network_config_complete_113104_cl_op_en.png

    3. 选择 确定 .

    4. 选择 取消 以返回 网络接口配置 菜单。

    5. 选择 应用配置 .

      network_config_apply_113104_cl_op_en.png

    6. (可选)您还可以通过选择 NSVA 设置主机名 选项来更改其主机名,然后选择 应用配置 .

  7. 互联网代理配置 - 允许设置代理配置,该配置将在网络传感器首次与 GravityZone .

  8. 转到 通信服务器配置 根据浏览器URL选择以下选项之一:

    • 若使用 cloudgz.gravityzone.bitdefender.com : GZ云实例1

    • 若使用 cloud.gravityzone.bitdefender.com : GZ云实例2

    • 若使用 cloudap.gravityzone.bitdefender.com : GZ云实例3

    注意

    若使用中继地址,必须通过以下URL格式添加 GZ云自定义地址 http://<中继地址>:7074

  9. 配置公司哈希值 - 即 GravityZone 中网络传感器发送数据的目标公司哈希值( 登录 GravityZone > 我的公司 > 我的公司哈希值 ).

  10. 通过 配置监控网络 菜单可管理和配置各类网络设置。有关如何为网络传感器准备环境的更多信息,请参阅 本节 .

    configure_nsva_cl_pt_113104.png

  11. 请选择以下选项之一:

    monitored_network_config_cl_pt_113104.png

  12. 配置子网和VLAN 窗口中,您可以设置和管理网络子网及虚拟局域网ID(VLAN ID):

    configure_subnets_vlan_cl_pt_113104.png

    注意

    若未声明子网,即使其流量到达网络传感器也不会被监控。

    1. 查看/编辑子网列表 - 此处可查看并编辑已添加的子网和VLAN列表。

      view_subnet_cl_pt_113104.png

    2. 添加新子网 - 此处可添加新子网。

      enter_subnet_cl_pt_113104.png

    3. 您可使用CIDR表示法配置被监控子网地址,若流量带有标签还需指定 VLAN ID

    4. 选择 以确认配置。

      confirm_subnet_config_cl_pt_113104.png

    5. 删除子网 - 此选项可删除任意子网。

    注意

    若流量未标记,则无需 VLAN ID

  13. 设置网络组ID 窗口中,可分配或修改网络组标识号:

    • 组ID必须是1至254之间的整数。

    • 重叠子网唯一组ID : NSVA 具有相同组ID的设备不得监控地址空间重叠的网络子网。

    • 非重叠子网的一致性组ID :对于监控IP地址空间不重叠的不同子网的设备,使用相同的组ID。

    以下是基于地址空间重叠子网的组ID分配示例:

    group_assignment_id_cl_pt_113104.png

  14. 配置路由器 窗口中,您可以配置网络路由器:

    configure_router_cl_pt_113104.png

    1. 查看/编辑路由器列表 ——在此处查看和编辑已添加路由器的列表。

      view_edit_router_list_cl_pt_113104.png

    2. 添加新路由器 ——此选项允许您为受监控网络基础设施中的不同路由器和/或互联网网关添加IP和MAC地址列表。

      add_ip_mac_cl_pt_113104.png

      之后,您可以通过选择 .

      ip_mac_config_cl_pt_113104.png

    3. 移除路由器 ——此选项允许您从已添加的路由器列表中移除元素。

  15. 配置完成后,选择 应用配置 .

  16. 如果配置不正确,您可以选择 放弃更改 以放弃所有更改并恢复到之前的设置。

    以下是具有多个子网的网络示例:

    multiple_subnets_example_cl_pt_113104.png

    根据网络配置图,网络传感器配置包括:

    • 子网和VLAN配置

      subnets_vlan_example_cl_pt_113104.png

    • 路由器配置

      routers_example_cl_pt_113104.png

  17. (可选)您还可以通过JSON文件添加 sva-setup 配置,在终端中使用以下命令: sva-setup--monitored-networksnetwork.json

    JSON文件应包含路由器列表、子网及组ID: 

    {
	"gateways": [
		{
			"ip": "网关IP",
			"mac": "网关MAC地址"
		}
	],
	"groupId": 1,
	"home_net_vlan": [
		{
			"isTrafficTagged": "是/否",
			"subnet": "子网/掩码",
			"vlanId": VLAN标识
		}
	]
}

    isTrafficTagged 变量设为 ,则 vlanId 变量非必填项。

    以下为包含上述示例配置的JSON文件范例: 

    {
	"gateways": [
		{
			"ip": "100.100.0.100",
			"mac": "0F:0F:0F:0F:0F:0F"
		},
		{
			"ip": "10.0.0.1",
			"mac": "00:01:02:03:04:05"
		},
		{
			"ip": "10.0.1.1",
			"mac": "06:07:08:09:10:11"
		},
		{
			"ip": "10.0.2.1",
			"mac": "12:13:14:15:16:17"
		},
		{
			"ip": "10.0.3.1",
			"mac": "20:21:22:23:24:25"
		}
	],
	"groupId": 1,
	"home_net_vlan": [
		{
			"isTrafficTagged": "否",
			"subnet": "10.0.0.0/24"
		},
		{
			"isTrafficTagged": "是",
			"subnet": "10.0.1.0/24",
			"vlanId": 10
		},
		{
			"isTrafficTagged": "是",
			"subnet": "10.0.2.0/24",
			"vlanId": 20
		},
		{
			"isTrafficTagged": "否",
			"subnet": "10.0.3.0/24"
		}
	]
}

  18. 连接成功后,网络传感器将显示于 GravityZone 平台的 网络 > 计算机与群组 中(约30秒内)。

    xEDR-NS-in-network-page.png

  19. 网络传感器主日志文件路径如下: 

    /opt/bitdefender/var/log/bdxdrd.log
    xEDR-main-log-file.jpg

事件 > 搜索 区域通过以下查询查看触发检测: alert.type:ghoster .

若网络传感器遇到问题,可 收集调试日志 并联系 Bitdefender企业技术支持 以获取帮助。

本节内容 :