防止资产增长偏差|瞻博网络

陈旧资产数据

如果创建新资产记录的速率超过删除陈旧资产数据的速率，则陈旧资产数据可能存在问题。控制和管理资产保留阈值是解决陈旧资产数据导致的资产增长偏差的关键。

过时资产数据是未在特定时间内主动或被动观察的历史资产数据。过时资产数据在超过配置的保留期后将被删除。

如果 JSA 被动观察这些记录，通过事件和流，或者通过端口和漏洞扫描仪主动观察这些记录，历史记录就会再次变得活跃起来。

要防止资产增长偏差，就需要在单个资产允许的 IP 地址数量和 JSA 保留资产数据的时间长度之间找到正确的平衡点。在配置 JSA 以适应资产数据保留的高级别之前，必须考虑性能和可管理性。尽管保留期较长、资产阈值更高似乎一直都是理想的，但更好的方法是确定环境可接受的基准配置并测试该配置。然后，您可以以小增量增加保留阈值，直至实现正确的平衡。

资产黑名单和白名单

JSA 使用一组资产对账规则来确定资产数据是否值得信赖。当资产数据有问题时，JSA 使用资产黑名单和白名单来确定是否使用资产数据更新资产配置文件。

资产黑名单是 JSA 认为不可信的数据集合。资产黑名单中的数据可能会导致资产增长偏差，而 JSA 会阻止将数据添加到资产数据库中。

资产白名单是一组资产数据，用于替代将哪些数据添加到资产黑名单的资产对账引擎逻辑。当系统标识与黑名单匹配时，它会检查白名单以查看是否存在该值。如果资产更新与白名单上的数据匹配，则调和更改并更新资产。白名单资产数据在全球所有域中应用。

资产黑名单和白名单是参考集。您可以使用 JSA 控制台中的 Reference Set 管理工具查看和修改资产黑名单和白名单数据。有关使用参考集的详细信息，请参阅参考集概述。

或者，您可以使用命令行界面（CLI）或 RestFUL API 端点更新资产黑名单和白名单的内容。

资产黑名单
资产白名单
使用参考集实用程序更新资产黑名单和白名单
使用 RESTful API 更新黑名单和白名单

资产黑名单

资产黑名单是 JSA 根据资产对账排除规则认为不可信的数据集合。资产黑名单中的数据可能会导致资产增长偏差，而 JSA 会阻止将数据添加到资产数据库中。

JSA 中的每个资产更新都与资产黑名单进行比较。将资产数据列入黑名单的全局应用于所有域。如果资产更新包含黑名单中发现的身份信息（MAC 地址、NetBIOS 主机名称、DNS 主机名称或 IP 地址），则会丢弃传入更新，并且不会更新资产数据库。

下表显示每种类型的身份资产数据的参考收集名称和类型。

表 1：资产黑名单数据的参考收集名称
身份数据类型	参考收集名称	参考收集类型
IP 地址（v4）	资产对账 IPv4 黑名单	参考集 [Set Type： IP]
DNS 主机名称	资产对账 DNS 黑名单	参考集 [Set 类型： ALNIC*]
NetBIOS 主机名称	资产对账 NetBIOS 黑名单	参考集 [Set 类型： ALNIC*]
MAC 地址	资产对账 MAC 黑名单	参考集 [Set 类型： ALNIC*]
* ALNIC 是一种字母数字类型，可以同时容纳主机名称和 MAC 地址值。

您可以使用 Reference Set Management 工具编辑黑名单条目。有关使用参考集的信息，请参阅瞻博网络安全分析管理指南。

您的 JSA 管理员可以修改黑名单条目，以确保正确处理新资产数据。

资产白名单

您可以使用资产白名单来防止 JSA 资产数据无意中再次出现在资产黑名单中。

资产白名单是一组资产数据，用于替代将哪些数据添加到资产黑名单的资产对账引擎逻辑。当系统标识与黑名单匹配时，它会检查白名单以查看是否存在该值。如果资产更新与白名单上的数据匹配，则调和更改并更新资产。白名单资产数据在全球所有域中应用。

您可以使用 Reference Set Management 工具编辑白名单条目。有关使用参考集的信息，请参阅瞻博网络安全分析管理指南。

您的 JSA 管理员可以修改白名单条目，以确保正确处理新资产数据。

白名单用例的示例

如果资产数据在有效资产更新时继续显示在黑名单中，则白名单是有帮助的。例如，您可能有一个轮询 DNS 负载平衡器，配置为在一组五个 IP 地址之间旋转。资产对账排除规则可能会确定与同一 DNS 主机名称关联的多个 IP 地址表示资产增长偏差，并且系统可能会将 DNS 负载平衡器添加到黑名单中。要解决此问题，可将 DNS 主机名称添加至资产和解 DNS 白名单。

资产白名单的大量条目

准确的资产数据库可以更轻松地将系统中触发的违规连接到网络中的物理或虚拟资产。通过在资产白名单中添加大量条目来忽略资产偏差对构建准确的资产数据库没有帮助。请查看资产黑名单，确定导致资产增长偏差的原因，然后确定如何修复，而不是添加大量白名单条目。

资产白名单类型

每种类型的身份数据都保存在单独的白名单中。下表显示每种类型的身份资产数据的参考收集名称和类型。

表 2：资产白名单数据的参考收集名称
数据类型	参考收集名称	参考收集类型
IP 地址	资产对账 IPv4 白名单	参考集 [Set Type： IP]
DNS 主机名称	资产对账 DNS 白名单	参考集 [Set 类型： ALNIC*]
NetBIOS 主机名称	资产对账 NetBIOS 白名单	参考集 [Set 类型： ALNIC*]
MAC 地址	资产对账 MAC 白名单	参考集 [Set 类型： ALNIC*]
* ALNIC 是一种字母数字类型，可容纳主机名称和 MAC 地址值。

使用参考集实用程序更新资产黑名单和白名单

您可以使用 JSA 参考集实用程序来添加或修改资产黑名单或白名单上的条目。

要管理参考集，请从 JSA 控制台上的 /opt/qradar/bin 运行ReferenceDataUtil.sh该实用程序。

下表中介绍了为每个列表添加新值的命令。参数值必须与发起资产数据源提供的资产更新值完全匹配。

表 3：修改资产黑名单和白名单数据的命令语法
名字	命令语法
资产对账 IPv4 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Blacklist" IP` 例如，此命令在黑名单中添加了 IP 地址 192.168.3.56： `ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Blacklist" 192.168.3.56`
资产对账 DNS 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation DNS Blacklist" DNS` 例如，此命令在黑名单中添加了域名“misbehaving.asset.company.com”： `ReferenceDataUtil.sh add "Asset Reconciliation DNS Blacklist" "misbehaving.asset.company.com"`
资产对账 NetBIOS 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Blacklist" NETBIOS` 例如，此命令从黑名单中删除了 NetBIOS 主机名称“deviantGrowthAsset-156384”： `ReferenceDataUtil.sh delete "Asset Reconciliation NetBIOS Blacklist" "deviantGrowthAsset-156384"`
资产对账 MAC 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation MAC Blacklist" MACADDR` 例如，此命令在黑名单中添加了 MAC 地址“00：a0：1a：2b：3c：4d”： `ReferenceDataUtil.sh add "Asset Reconciliation MAC Blacklist" "00:a0:1a:2b:3c:4d"`
资产对账 IPv4 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Whitelist" IP` 例如，此命令从白名单中删除了 IP 地址 192.0.2.0： `ReferenceDataUtil.sh delete "Asset Reconciliation IPv4 Whitelist" 192.0.2.0`
资产对账 DNS 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation DNS Whitelist" DNS` 例如，此命令在白名单中添加了域名“loadbalancer.company.com”： `ReferenceDataUtil.sh add "Asset Reconciliation DNS Whitelist" "loadbalancer.company.com"`
资产对账 NetBIOS 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Whitelist" NETBIOS` 例如，此命令将 NetBIOS 名称“assetName-156384”添加到白名单中： `ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Whitelist" "assetName-156384"`
资产对账 MAC 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation MAC Whitelist" MACADDR` 例如，此命令在白名单中添加了 MAC 地址“00：a0：1a：2b：3c：4d”： `ReferenceDataUtil.sh add "Asset Reconciliation MAC Whitelist" "00:a0:1a:2b:3c:4d"`

使用 RESTful API 更新黑名单和白名单

您可以使用 JSA RESTful API 自定义资产黑名单和白名单的内容。

您必须指定要查看或更新的参考集的确切名称。

资产对账 IPv4 黑名单
资产对账 DNS 黑名单
资产对账 NetBIOS 黑名单
资产对账 MAC 黑名单
资产对账 IPv4 白名单
资产对账 DNS 白名单
资产对账 NetBIOS 白名单
资产对账 MAC 白名单

在 Web 浏览器中键入以下 URL 以访问 RESTful API 接口：

ConsoleIPaddresshttps:///api_doc
在左侧的导航窗格中，查找 4.0>/reference_data >/sets >/{name}。
要查看资产黑名单或白名单的内容，请遵循以下步骤：
1. 单击 GET 选项卡并向下滚动到参数部分。
2. 在名称参数的价值字段中，键入要查看的资产黑名单或白名单的名称。
3. 单击试用并在屏幕底部查看结果。

要为资产黑名单或白名单增加价值，请遵循以下步骤：

单击 POST 选项卡并向下滚动到参数部分。

在以下参数的值中键入：

表 4：添加新资产数据所需的参数
参数名称	参数说明
名字	表示要更新的参考集合的名称。
价值	表示要添加到资产黑名单或白名单的数据项目。必须与发起方资产数据源提供的资产更新值完全匹配。

单击试用，将新价值添加到资产白名单或资产黑名单。

有关使用 RESTful API 更改参考集的详细信息，请参阅瞻博网络安全分析 API 指南。

调整资产分析器保留设置

JSA 使用资产保留设置来管理资产配置文件的大小。

大多数资产数据的默认保留期是上次在 JSA 中被动观察或主动观察后 120 天。用户名称保留 30 天。

JSA 用户手动添加的资产数据通常不会造成资产增长偏差。默认情况下，此数据将永久保留。对于所有其他类型的资产数据，仅针对静态环境建议保留永远标志。

您可以根据出现的资产身份数据类型来调整保留时间。例如，如果多个 IP 地址在一个资产下合并，则可以将资产 IP 保留期从 120 天更改为较低的值。

为特定类型的资产数据更改资产保留期时，将新保留期应用于 JSA 中的所有资产数据。部署完成后，已超过新阈值的现有资产数据将被移除。为了确保即使在资产数据超过保留期时也能始终识别指定的主机，资产保留清理流程不会移除资产的最后已知主机名称值。

在确定要保留资产数据的多少天之前，请了解以下有关较长时间保留期的特征：

提供更好的资产历史视图。
在资产数据库中创建更大的每资产数据量。
增加陈旧数据会导致资产增长偏差消息的概率。

在导航菜单（）上，单击 Admin。
在 System Configuration 部分，单击 Asset Profiler Configuration。
单击 Asset Profiler 保留配置。
调整保留值并单击保存。
将更改部署到您的环境中，以便更新生效。

调整单个资产允许的 IP 地址数量

JSA 会监控单个资产随时间积累的 IP 地址数量。

默认情况下，当单个资产累积超过 75 个 IP 地址时， JSA 会生成系统消息。如果您希望资产累积超过 75 个 IP 地址，则可以调整允许使用单个资产价值的 IP 数量，以避免将来出现系统消息。

将 IP 地址数量限制设置过高可防止 JSA 在资产增长偏差对其余部署产生负面影响之前检测到这些偏差。将限制设置为过低会增加报告的资产增长偏差数量。

首次调整单个资产设置允许的 IP 数量时，可以使用以下准则。

允许用于单个资产的 IP 地址数量 = （<retention time (days)> x <estimated IP addresses per day>） + <buffer number of IP addresses>

其中

<estimated IP addresses per day>是单个资产在一天之内在正常条件下可能累积的 IP 地址数量
<retention time (days)>是保留资产 IP 地址的首选时间

在导航菜单（）上，单击 Admin。
在 Assets 部分中，单击 Asset Profiler 保留配置。
单击 Asset Profiler 保留配置。
调整配置值并单击保存。
将更改部署到您的环境中，以便更新生效。

调整单个资产允许的 MAC 地址数量

JSA 会监控单个资产随时间积累的 MAC 地址数量。

默认情况下，当单个资产累积超过十个 IP 地址时，JSA 会生成系统消息。如果您希望资产累积十多个 MAC 地址，则可以调整允许用于单个资产价值的 MAC 地址数量，以避免将来出现系统消息。

设置 MAC 地址数量上限过高可防止 JSA 在资产增长偏差对其余部署产生负面影响之前检测到这些偏差。将限制设置为过低会增加报告的资产增长偏差数量。

首次调整单个资产设置允许的 MAC 地址数量时，可使用以下准则。

允许用于单个资产的 MAC 地址数量 = (<retention time (days)> x <estimated MAC addresses per day>) + <buffer number of MAC addresses>

其中

<estimated MAC addresses per day> 是单个资产在一天之内在正常条件下可能累积的 MAC 地址数量
<retention time (days)>is 保留资产 MAC 地址的首选时间

在导航菜单上，单击 Admin。
在 Assets 部分中，单击 Asset Profiler Configuration。
单击 Asset Profiler Configuration。
根据单个资产值调整允许的 MAC 地址数量，然后单击保存。
将更改部署到您的环境中，以便更新生效。

身份排除搜索

身份排除搜索可用于管理因已知、有效原因累积大量类似身份信息的单个资产。

例如，日志源可向资产数据库提供大量资产身份信息。它们为 JSA 提供近乎实时的资产信息更改，并且可以保持您的资产数据库最新。但日志来源通常是资产增长偏差和其他资产相关异常的来源。

当日志源向 JSA 发送不正确的资产数据时，请尝试修复日志源，使其发送的数据可通过资产数据库使用。如果日志源无法固定，则可以构建身份排除搜索，阻止资产信息进入资产数据库。

您还可以在何处 Identity_Username+Is Any Of + Anonymous Logon 使用身份排除搜索，确保您不会更新与服务帐户或自动化服务相关的资产。

身份排除搜索和黑名单之间的差异
创建身份排除搜索

身份排除搜索和黑名单之间的差异

虽然身份排除搜索似乎与资产黑名单具有类似的功能，但存在显著差异。

黑名单只能指定要排除的原始资产数据，例如 MAC 地址和主机名称。身份排除搜索基于日志源、类别和事件名称等搜索字段过滤掉资产数据。

黑名单不考虑提供数据的数据源类型，而身份排除搜索仅适用于事件。身份排除搜索可以基于常见事件搜索字段阻止资产更新，例如事件类型、事件名称、类别和日志源。

创建身份排除搜索

要将某些事件排除在向资产数据库提供资产数据之外，您可以创建 JSA 身份排除搜索。

为搜索创建的过滤器必须与您要排除的事件匹配，而不是您要保留的事件。

您可能会发现运行搜索系统中已经存在的事件很有帮助。但是，在保存搜索时，您必须在 Timespan 选项中选择实时（流媒体）。如果不选择此设置，则当搜索与进入 JSA 的事件直播运行时，搜索将不匹配任何结果。

在无需更改名称的情况下更新保存的身份排除搜索时，将更新资产配置文件器使用的身份排除列表。例如，您可以编辑搜索以添加更多要排除的资产数据过滤。包括新值，并在搜索保存后立即开始排除资产。

创建搜索以识别不向资产数据库提供资产数据的事件。
1. 在 Log Activity 选项卡上，单击搜索>新搜索。
2. 通过添加搜索标准和过滤器来创建搜索，以匹配您希望从资产更新中排除的事件。
3. 在 “时间范围 ”框中，选择实时（流媒体），然后单击过滤器以运行搜索。
4. 在搜索结果屏幕上，单击保存标准并提供已保存搜索的信息。
  
  注意：
  您可以将保存的搜索分配给搜索组。身份排除搜索组存在于身份验证、身份和用户活动文件夹中。
5. 单击 OK 保存搜索。
将您创建的搜索识别为身份排除搜索。
1. 在导航菜单（）上，单击 Admin。
2. 在 System Configuration 部分，单击 Asset Profiler Configuration。
3. 单击屏幕底部的 “管理身份排除 ”。
4. 从左侧的搜索列表中选择您创建的身份排除搜索，然后单击添加图标（>）。
  
  提示：
  如果找不到搜索，请将前几个字母键入列表顶部的过滤器中。
5. 单击保存。
在 Admin 选项卡上，单击部署更改以使更新生效。

资产对账排除规则的高级调整

您可以在一个或多个规则中调整资产对账排除规则，以优化偏差资产增长的定义。

例如，从资产和解排除规则中考虑此规范化模板。

应用系统检测到Local的事件，其中任何一Identity Host Name个都包含在其中的任何Asset Reconciliation DNS Whitelist - AlphaNumeric (Ignore Case)一个，Asset Reconciliation DNS Blacklist - AlphaNumeric (Ignore Case)并且至少N1看到事件的相同Identity Host Name和不同Identity IP：N2 and NOT AssetExclusion: Exclude DNS Name By IP

此表列出了可调整的规则模板中的变量以及更改的结果。避免更改模板中的其他变量。

表 5：调整资产对账规则的选项
变量	默认值	调整结果
N1	3	将此变量调整为较低的值会导致将更多数据添加到黑名单中，因为火规则需要出现的数据冲突事件更少。将此变量调整为更高的值会导致添加到黑名单的数据减少，因为需要更多具有相互冲突数据的事件才能发出该规则。
N2	2 小时	将此变量调整为更低的值可缩短需要观察 N1 事件以便规则失火的时间窗口。观察匹配数据所需的时间缩短，导致添加到黑名单的数据减少。将此变量调整为更高的值会增加必须看到 N1 事件以使规则失火的时间。观察匹配数据的时间增加，从而将更多数据添加到黑名单中。随着数据在较长时间内被跟踪，延长时间周期可能会影响系统内存资源。

资产对账排除规则是整个系统规则。规则更改会影响规则在整个系统中的行为方式。

对规则应用不同的调整

可能需要对系统不同部分的规则应用不同的调整。要对规则应用不同的调整，您必须重复要调整和添加一个或多个测试的资产对账排除规则，以便仅测试系统的某些部分。例如，您可能需要创建仅测试网络、日志源或事件类型的规则。

在向系统添加新规则时，请始终保持谨慎，因为某些任务和 CRE 规则可能会影响系统性能。将新规则添加到每个测试堆栈的顶部可能有益，允许系统在资产更新与新规则的标准匹配时绕过测试逻辑的剩余部分。

重复规则。
1. 在“攻击”选项卡上，单击规则并选择要复制的规则。
2. 单击操作>适用。
  
  如果新规则的名称表明复制规则的原因，则会很有帮助。
向规则添加测试。

确定要用于仅将规则应用于一部分系统数据的过滤器。例如，您可以添加仅与特定日志源中的事件匹配的测试。
调整规则的变量以实现通缉行为。
更新原始规则。
1. 将您添加到复制规则的相同测试添加到原始规则，但这次反转规则AND和AND NOT操作员。
  
  反转操作员可防止在两个规则中触发事件。

示例：针对从黑名单中排除 IP 地址而调整的资产排除规则

您可以通过调整资产排除规则将 IP 地址排除在黑名单之外。

作为网络安全管理员，您可管理包括公共 wifi 网段的公司网络，其中 IP 地址租赁通常很短且频繁。此网络段上的资产往往是瞬态的，主要是频繁登录和退出公共 wifi 的笔记本和手持设备。通常，不同设备在短时间内多次使用单个 IP 地址。

在其余部署中，您将拥有一个经过精心管理的网络，其中仅包含一些知名公司设备。此部分的 IP 地址租赁时间要长得多，并且 IP 地址仅通过身份验证访问。在这个网段上，您希望立即知道存在任何资产增长偏差，并且您希望保留资产对账排除规则的默认设置。

将 IP 地址列入黑名单
调整资产对账规则以忽略某些资产更新

将 IP 地址列入黑名单

在此环境中，默认资产对账排除规则会在短时间内无意中将整个网络列入黑名单。

您的安全团队发现 wifi 分段生成的资产相关通知会造成滋扰。您希望防止 wifi 触发任何更偏差的资产增长通知。

调整资产对账规则以忽略某些资产更新

您可通过在上一个系统通知中记录源报告来查看资产偏差。您可以确定黑名单数据来自 wifi 上的 DHCP 服务器。

事件计数列、流计数列和对应于资产排除的行的“攻击”列中的值：按 MAC 地址规则排除 IP 表明您的 wifi DHCP 服务器正在触发此规则。

您可以对现有资产对账排除规则进行测试，以阻止规则将 wifi 数据添加到黑名单。

应用资产排除：当任何域是密钥时，当某个或多个 MicrosoftDHCP @ microsoft.dhcp.test.com 和 NOT 检测到事件时，按 MAC 地址排除 IP，并且身份 IP 中的任何一个都是资产和解域 IPv4 白名单中的值 - IP 资产协调域 IPv4 黑名单 - IP 以及在同一身份 IP 中至少看到 3 个事件时和不同的身份 MAC（2 小时）。

更新的规则仅测试来自未在 wifi DHCP 服务器上的日志源的事件。为了防止 wifi DHCP 事件进行更昂贵的参考集和行为分析测试，您也将此测试移到了测试堆栈的顶端。