防止资产增长偏差 |JSA 7.5.0 |瞻博网络

陈旧资产数据

当创建新资产记录的速率超过删除过时资产数据的速率时，过时资产数据可能会出现问题。控制和管理资产保留阈值是解决由过时资产数据引起的资产增长偏差的关键。

陈旧资产数据是在特定时间内未主动或被动观察到的历史资产数据。过时的资产数据在超过配置的保留期时将被删除。

如果 JSA 通过事件和流被动观察历史记录，或者通过端口和漏洞扫描程序主动观察历史记录，则历史记录将再次变为活动状态。

防止资产增长偏差需要在单个资产允许的 IP 地址数量与 JSA 保留资产数据的时间长度之间找到适当的平衡。在配置 JSA 以适应高级别的资产数据保留之前，必须考虑性能和可管理性的权衡。虽然更长的保留期和更高的每资产阈值似乎始终是可取的，但更好的方法是确定环境可接受的基线配置并测试该配置。然后，您可以小增量增加保留阈值，直到达到适当的平衡。

资产屏蔽列表和允许列表

JSA 使用一组资产对帐规则来确定资产数据是否可信。当资产数据有问题时，JSA 使用资产阻止列表和允许列表来确定是否使用资产数据更新资产配置文件。

资产阻止列表是 JSA 认为不可信的数据集合。资产阻止列表中的数据可能会导致资产增长偏差，JSA 会阻止将数据添加到资产数据库中。

资产允许列表是资产数据的集合，它覆盖资产对帐引擎关于将数据添加到资产阻止列表的逻辑。当系统识别出与阻止列表匹配项时，它会检查允许列表以查看该值是否存在。如果资产更新与允许名单上的数据匹配，则会协调更改并更新资产。列入许可名单的资产数据会在全球范围内应用于所有网域。

资产阻止列表和允许列表是引用集。您可以使用 JSA 控制台中的引用集管理工具查看和修改资产阻止列表和允许列表数据。有关使用引用集的详细信息，请参阅引用集概述。

或者，您可以使用命令行界面（CLI）或 RestFUL API 终端节点来更新资产阻止列表和允许列表的内容。

资产阻止列表
资产许可名单
使用引用集实用程序更新资产阻止列表和允许列表
使用 RESTful API 更新阻止列表和允许列表

资产阻止列表

资产阻止列表是 JSA 根据资产对账排除规则认为不可信的数据集合。资产阻止列表中的数据可能会导致资产增长偏差，JSA 会阻止将数据添加到资产数据库中。

JSA 中的每个资产更新都会与资产阻止列表进行比较。列入黑名单的资产数据将全局应用于所有域。如果资产更新包含在阻止列表中找到的身份信息（MAC 地址、NetBIOS 主机名、DNS 主机名或 IP 地址），则传入的更新将被丢弃，并且不会更新资产数据库。

下表显示了每种身份资产数据类型的引用集合名称和类型。

表 1：资产阻止列表数据的引用集合名称
身份数据类型	引用集合名称	引用集合类型
IP 地址（v4）	资产对账 IPv4 黑名单	参考集 [集类型： IP]
DNS 主机名	资产对账 DNS 黑名单	参考集 [集类型： ALNIC*]
NetBIOS 主机名	资产对账网络BIOS黑名单	参考集 [集类型： ALNIC*]
MAC 地址	资产对账 MAC 黑名单	参考集 [集类型： ALNIC*]

ALNIC 是一种字母数字类型，可以容纳主机名和 MAC 地址值。

您可以使用引用集管理工具编辑阻止列表条目。有关使用引用集的信息，请参阅《瞻博网络安全分析管理指南》。

JSA 管理员可以修改阻止列表条目，以确保正确处理新资产数据。

资产许可名单

您可以使用资产允许列表来防止 JSA 资产数据无意中重新出现在资产阻止列表中。

资产允许列表是资产数据的集合，它覆盖资产对帐引擎关于哪些数据被添加到资产黑名单的逻辑。当系统识别出与阻止列表匹配项时，它会检查允许列表以查看该值是否存在。如果资产更新与允许名单上的数据匹配，则会协调更改并更新资产。系统会全局为所有网域应用列入许可名单的资产数据。

您可以使用引用集管理工具编辑允许列表条目。有关使用引用集的信息，请参阅《瞻博网络安全分析管理指南》。

您的 JSA 管理员可以修改允许列表条目，以确保正确处理新资产数据。

允许列表用例示例

如果您的资产数据在有效资产更新时继续显示在阻止列表中，则允许列表非常有用。例如，您可能有一个轮循机制 DNS 负载均衡器，该负载均衡器配置为在一组五个 IP 地址之间轮换。资产对帐排除规则可能会确定与同一 DNS 主机名关联的多个 IP 地址是否表示资产增长偏差，系统可能会将 DNS 负载均衡器添加到阻止列表中。要解决此问题，您可以将 DNS 主机名添加到资产对帐 DNS 白名单中。

大量条目进入资产允许列表

准确的资产数据库可以更轻松地将系统中触发的攻击连接到网络中的物理或虚拟资产。通过将大量条目添加到资产允许列表来忽略资产偏差无助于构建准确的资产数据库。查看资产阻止列表以确定导致资产增长偏差的原因，而不是添加批量允许列表条目，然后确定如何修复它。

资产允许列表的类型

每种类型的身份数据都保存在单独的允许列表中。下表显示了每种身份资产数据类型的引用集合名称和类型。

表 2：资产允许列表数据的引用集合名称
数据类型	引用集合名称	引用集合类型
IP 地址	资产对账 IPv4 白名单	参考集 [集类型： IP]
DNS 主机名	资产对账 DNS 白名单	参考集 [集类型： ALNIC*]
NetBIOS 主机名	资产对账 NetBIOS 白名单	参考集 [集类型： ALNIC*]
MAC 地址	资产对账 MAC 白名单	参考集 [集类型： ALNIC*]
* ALNIC 是一种字母数字类型，可以容纳主机名和 MAC 地址值。

使用引用集实用程序更新资产阻止列表和允许列表

您可以使用 JSA 引用集实用程序添加或修改资产阻止列表或允许列表中的条目。

要管理引用集，请从 JSA 控制台上的 /opt/qradar/bin 运行ReferenceDataUtil.sh该实用程序。

下表介绍了用于向每个列表添加新值的命令。参数值必须与原始资产数据源提供的资产更新值完全匹配。

表 3：用于修改资产阻止列表和允许列表数据的命令语法
名字	命令语法
资产对账 IPv4 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Blacklist" IP` 例如，此命令将 IP 地址 192.168.3.56 添加到阻止列表中： `ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Blacklist" 192.168.3.56`
资产对账 DNS 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation DNS Blacklist" DNS` 例如，此命令将域名“misbehaving.asset.company.com”添加到阻止列表中： `ReferenceDataUtil.sh add "Asset Reconciliation DNS Blacklist" "misbehaving.asset.company.com"`
资产对账网络BIOS黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Blacklist" NETBIOS` 例如，此命令从阻止列表中删除 NetBIOS 主机名“deviantGrowthAsset-156384”： `ReferenceDataUtil.sh delete "Asset Reconciliation NetBIOS Blacklist" "deviantGrowthAsset-156384"`
资产对账 MAC 黑名单	`ReferenceDataUtil.sh add "Asset Reconciliation MAC Blacklist" MACADDR` 例如，此命令将 MAC 地址 '00：a0：1a：2b：3c：4d' 添加到阻止列表中： `ReferenceDataUtil.sh add "Asset Reconciliation MAC Blacklist" "00:a0:1a:2b:3c:4d"`
资产对账 IPv4 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation IPv4 Whitelist" IP` 例如，此命令从允许列表中删除 IP 地址 192.0.2.0： `ReferenceDataUtil.sh delete "Asset Reconciliation IPv4 Whitelist" 192.0.2.0`
资产对账 DNS 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation DNS Whitelist" DNS` 例如，此命令将域名“loadbalancer.company.com”添加到允许列表： `ReferenceDataUtil.sh add "Asset Reconciliation DNS Whitelist" "loadbalancer.company.com"`
资产对账 NetBIOS 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Whitelist" NETBIOS` 例如，此命令将 NetBIOS 名称“assetName-156384”添加到允许列表中： `ReferenceDataUtil.sh add "Asset Reconciliation NetBIOS Whitelist" "assetName-156384"`
资产对账 MAC 白名单	`ReferenceDataUtil.sh add "Asset Reconciliation MAC Whitelist" MACADDR` 例如，此命令将 MAC 地址 '00：a0：1a：2b：3c：4d' 添加到允许列表： `ReferenceDataUtil.sh add "Asset Reconciliation MAC Whitelist" "00:a0:1a:2b:3c:4d"`

使用 RESTful API 更新阻止列表和允许列表

您可以使用 JSA RESTful API 自定义资产阻止列表和允许列表的内容。

必须指定要查看或更新的引用集的确切名称。

资产对账 IPv4 黑名单
资产对账 DNS 黑名单
资产对账网络BIOS黑名单
资产对账 MAC 黑名单
资产对账 IPv4 白名单
资产对账 DNS 白名单
资产对账 NetBIOS 白名单
资产对账 MAC 白名单

在 Web 浏览器中键入以下 URL 以访问 RESTful API 接口：

https://ConsoleIPaddress/api_doc
在左侧导航窗格中，找到 4.0>/reference_data >/sets > /{name}。
要查看资产阻止列表或允许列表的内容，请执行以下步骤：
1. 单击 GET 选项卡并向下滚动到参数部分。
2. 在名称参数的值字段中，输入要查看的资产阻止列表或允许列表的名称。
3. 单击“试用”并在屏幕底部查看结果。

要向资产阻止列表或允许列表添加值，请按照以下步骤操作：

单击开机自检选项卡并向下滚动到参数部分。

键入以下参数的值：

表 4：添加新资产数据所需的参数
参数名称	参数说明
名字	表示要更新的引用集合的名称。
价值	表示要添加到资产阻止列表或允许列表的数据项。必须与原始资产数据源提供的资产更新值完全匹配。

单击“试用”，将新值添加到资产允许列表或资产阻止列表。

有关使用 RESTful API 更改引用集的更多信息，请参阅瞻博网络安全分析 API 指南。

调整资产探查器保留设置

JSA 使用资产保留设置来管理资产配置文件的大小。

大多数资产数据的默认保留期是上次在 JSA 中被动或主动观察数据的 120 天。用户名将保留 30 天。

JSA 用户手动添加的资产数据通常不会导致资产增长偏差。默认情况下，此数据将永久保留。对于所有其他类型的资产数据，建议“永久保留”标志仅用于静态环境。

您可以根据事件中的资产标识数据类型调整保留时间。例如，如果一个资产下合并多个 IP 地址，则可以将资产 IP 保留期从 120 天更改为较低的值。

更改特定类型资产数据的资产保留期时，新的保留期将应用于 JSA 中的所有资产数据。部署完成后，将删除已超过新阈值的现有资产数据。为了确保即使资产数据超过保留期，也始终可以识别命名主机，资产保留清理过程不会删除资产的最后一个已知主机名值。

在确定要保留资产数据的天数之前，请了解有关较长保留期的以下特征：

提供更好的资产历史视图。
在资产数据库中为每个资产创建更大的数据量。
增加过时数据导致资产增长偏差消息的可能性。

在导航菜单（）上，单击管理员。
在“ 系统配置 ”部分中，单击“ 资产概述配置”。
单击资产探查器保留配置。
调整保留值，然后点击保存。
将更改部署到您的环境中，以使更新生效。

调整单个资产允许的 IP 地址数

JSA 监控单个资产随时间推移累积的 IP 地址数量。

默认情况下，当单个资产累积超过 75 个 IP 地址时， JSA 会生成系统消息。如果预计资产累积的 IP 地址超过 75 个，则可以调整“ 单个资产允许的 IP 数 ”值，以避免将来出现系统消息。

将 IP 地址数量限制设置得太高会阻止 JSA 在资产增长偏差对其余部署产生负面影响之前检测到这些偏差。将限制设置得太低会增加报告的资产增长偏差数。

首次调整“ 单个资产允许的 IP 数 ”设置时，可以使用以下准则。

单个资产允许的 IP 地址数 = （<retention time (days)> x <estimated IP addresses per day>） + <buffer number of IP addresses>

其中

<estimated IP addresses per day>是正常情况下单个资产在一天内可能累积的 IP 地址数
<retention time (days)>是保留资产 IP 地址的首选时间量

在导航菜单（）上，单击管理员。
在“资产”部分中，单击“资产探查器保留配置”。
单击资产探查器保留配置。
调整配置值，然后单击保存。
将更改部署到您的环境中，以使更新生效。

调整单个资产允许的 MAC 地址数

JSA 监控单个资产随时间推移累积的 MAC 地址数量。

默认情况下，当单个资产累积超过十个 IP 地址时，JSA 会生成系统消息。如果您预计资产累积的 MAC 地址超过 10 个，则可以调整“ 单个资产允许的 MAC 地址数 ”值，以避免将来出现系统消息。

将 MAC 地址数量限制设置得太高会阻止 JSA 在资产增长偏差对其余部署产生负面影响之前检测到这些偏差。将限制设置得太低会增加报告的资产增长偏差数。

首次调整“ 单个资产允许的 MAC 地址数 ”设置时，可以使用以下准则。

单个资产允许的 MAC 地址数 = (<retention time (days)> x <estimated MAC addresses per day>) + <buffer number of MAC addresses>

其中

<estimated MAC addresses per day> 是正常情况下单个资产在一天内可能累积的 MAC 地址数
<retention time (days)>is 保留资产 MAC 地址的首选时间量

在导航菜单上，单击管理员。
在“资产”部分中，单击“资产探查器配置”。
单击资产探查器配置。
调整单个资产值允许的 MAC 地址数，然后单击保存。
将更改部署到您的环境中，以使更新生效。

身份排除搜索

身份排除搜索可用于管理由于已知有效原因积累大量类似身份信息的单个资产。

例如，日志源可以向资产数据库提供大量资产标识信息。它们为 JSA 提供近乎实时的资产信息更改，并使您的资产数据库保持最新。但日志来源通常是资产增长偏差和其他资产相关异常的根源。

当日志源向 JSA 发送不正确的资产数据时，请尝试修复日志源，以便资产数据库可以使用它发送的数据。如果日志源无法修复，您可以构建身份排除搜索，阻止资产信息进入资产数据库。

您还可以使用身份排除搜索 Identity_Username+Is Any Of + Anonymous Logon 来确保不会更新与服务帐户或自动化服务相关的资产。

身份排除搜索和黑名单之间的差异
创建身份排除搜索

身份排除搜索和黑名单之间的差异

虽然身份排除搜索似乎具有与资产黑名单类似的功能，但存在显着差异。

黑名单只能指定要排除的原始资产数据，例如 MAC 地址和主机名。身份排除搜索根据搜索字段（如日志源、类别和事件名称）筛选出资产数据。

黑名单不考虑提供数据的数据源类型，而身份排除搜索只能应用于事件。身份排除搜索可以根据常见的事件搜索字段（例如事件类型、事件名称、类别和日志源）阻止资产更新。

创建身份排除搜索

要从向资产数据库提供资产数据中排除某些事件，可以创建 JSA 身份排除搜索。

为搜索创建的筛选器必须与要排除的事件匹配，而不是与要保留的事件匹配。

您可能会发现针对系统中已有的事件运行搜索很有帮助。但是，保存搜索时，必须在“时间跨度”选项中选择“实时（流式处理）”。如果不选择此设置，则搜索在针对进入 JSA 的事件的实时流运行时，将不会匹配任何结果。

更新保存的身份排除搜索而不更改名称时，资产概述器使用的身份排除列表将更新。例如，您可以编辑搜索以添加对要排除的资产数据的更多筛选。将包含新值，并在保存搜索后立即开始资产排除。

创建搜索以标识不向资产数据库提供资产数据的事件。
1. 在日志活动选项卡上，单击搜索>新建搜索。
2. 通过添加搜索条件和筛选器来创建搜索，以匹配要从资产更新中排除的事件。
3. 在“ 时间范围 ”框中，选择“ 实时（流式处理） ”，然后单击“ 筛选器 ”以运行搜索。
4. 在搜索结果屏幕上，单击“保存条件 ”并提供保存的搜索的信息。
  
  注意：
  您可以将保存的搜索分配给搜索组。“ 身份验证、身份和用户活动 ”文件夹中存在“身份排除”搜索组。
5. 单击 “确定 ”保存搜索。
标识您创建的搜索作为身份排除搜索。
1. 在导航菜单（）上，单击管理员。
2. 在“ 系统配置 ”部分中，单击“ 资产概述配置”。
3. 单击屏幕底部的 “管理身份排除 ”。
4. 从左侧的搜索列表中选择您创建的身份排除搜索，然后单击添加图标（>）。
  
  提示：
  如果找不到搜索内容，请在列表顶部的筛选器中键入前几个字母。
5. 单击保存。
在“ 管理员 ”选项卡上，单击“ 部署更改 ”以使更新生效。

资产对账排除规则的高级调整

您可以调整资产对帐排除规则，以优化一个或多个规则中偏离资产增长的定义。

例如，请考虑资产对帐排除规则中的此规范化模板。

AssetExclusion: Exclude DNS Name By IP应用于系统and NOT检测到Local的事件，当其中任何一个Identity Host Name包含在中Asset Reconciliation DNS Whitelist - AlphaNumeric (Ignore Case)时，Asset Reconciliation DNS Blacklist - AlphaNumeric (Ignore Case)并且至少N1在中看到N2具有相同Identity Host Name和不同的Identity IP事件

下表列出了规则模板中可以优化的变量以及更改的结果。避免更改模板中的其他变量。

表 5：用于调整资产对账规则的选项
变量	默认值	调优结果
N1	3	将此变量调整为较低的值会导致将更多数据添加到黑名单中，因为触发规则所需的具有冲突数据的事件更少。将此变量调整为较高的值会导致添加到黑名单的数据减少，因为触发规则需要更多具有冲突数据的事件。
N2	2 小时	将此变量调整为较低的值可减少必须查看 N1 事件才能触发规则的时间窗口。观察匹配数据所需的时间减少，从而导致添加到黑名单中的数据减少。将此变量调整为更高的值会增加必须查看 N1 事件才能触发规则的时间。观察匹配数据的时间增加，从而导致更多数据被添加到黑名单中。增加时间段可能会影响系统内存资源，因为数据的跟踪时间较长。

资产对帐排除规则是系统范围的规则。对规则的更改会影响规则在整个系统中的行为方式。

对规则应用不同的优化

可能需要对系统不同部分中的规则应用不同的优化。若要对规则应用不同的优化，必须复制要优化的资产对帐排除规则，并添加一个或多个测试来约束规则，以便仅测试系统的某些部分。例如，您可能希望创建仅测试网络、日志源或事件类型的规则。

向系统添加新规则时，请始终小心，因为某些任务和 CRE 规则可能会影响系统性能。将新规则添加到每个测试堆栈的顶部可能会有所帮助，以便在资产更新与新规则的条件匹配时允许系统绕过测试逻辑的其余部分。

复制规则。
1. 在“攻击”选项卡上，单击“规则”，然后选择要复制的规则。
2. 单击操作>重复。
  
  如果新规则的名称指示复制它的原因，则会很有帮助。
向规则添加测试。

确定要用于仅将规则应用于系统数据子集的筛选器。例如，您可以添加仅匹配来自特定日志源的事件的测试。
调整规则的变量以实现所需的行为。
更新原始规则。
1. 将添加到重复规则的相同测试添加到原始规则，但这次反转规则AND和AND NOT运算符。
  
  反转运算符可防止在两个规则中触发事件。

示例：调整为从黑名单中排除 IP 地址的资产排除规则

您可以通过调整资产排除规则来排除 IP 地址，使其不被列入黑名单。

作为网络安全管理员，您管理的公司网络包括公共 wifi 网段，其中 IP 地址租约通常很短且频繁。这部分网络上的资产往往是瞬态的，主要是经常进出公共wifi的笔记本电脑和手持设备。通常，单个 IP 地址在短时间内被不同的设备多次使用。

在部署的其余部分，您有一个精心管理的网络，该网络仅包含已列出清单的、名称良好的公司设备。网络的这一部分的 IP 地址租约要长得多，并且只能通过身份验证访问 IP 地址。在此网段上，您希望立即知道何时存在任何资产增长偏差，并且您希望保留资产对帐排除规则的默认设置。

将 IP 地址列入黑名单
调整资产对帐规则以忽略某些资产更新

将 IP 地址列入黑名单

在这种环境下，默认的资产对账排除规则无意中在短时间内将整个网络列入黑名单。

您的安全团队发现 wifi 段生成的与资产相关的通知令人讨厌。您希望防止 wifi 触发任何偏离资产增长的通知。

调整资产对帐规则以忽略某些资产更新

您可以在上一个系统通知中查看日志源的资产偏差报告。您确定列入黑名单的数据来自 wifi 上的 DHCP 服务器。

与“资产排除：按 MAC 地址排除 IP”规则对应的行的“事件计数”、“流计数”列和“违规”列中的值表示您的 wifi DHCP 服务器正在触发此规则。

您可以向现有资产对帐排除规则添加测试，以阻止规则将 wifi 数据添加到黑名单。

应用资产排除：在本地系统检测到的事件上按 MAC 地址排除 IP，而不是在一个或多个 MicrosoftDHCP @ microsoft.dhcp.test.com 检测到事件时排除;当任何域是密钥且任何身份 IP 是任何资产对帐域中的值时，则不排除 IPv4 白名单 - IP 资产对账域 IPv4 黑名单 - IP 以及看到至少 3 个具有相同身份 IP 的事件时和不同的身份 MAC 在 2 小时内。

更新后的规则仅测试不在 wifi DHCP 服务器上的日志源中的事件。为了防止 wifi DHCP 事件经历更昂贵的引用集和行为分析测试，您还将此测试移到了测试堆栈的顶部。