Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

资产数据来源

资产数据是从 JSA 部署中的多个不同来源接收的。

资产数据以增量方式写入资产数据库,通常一次写入 2 或 3 条数据。除了来自网络漏洞扫描程序的更新外,每个资产更新一次仅包含一个资产的信息。

资产数据通常来自以下资产数据源之一:

  • 事件 - 事件有效负载(例如由 DHCP 或身份验证服务器创建的有效负载)通常包含用户登录信息、IP 地址、主机名、MAC 地址和其他资产信息。此数据会立即提供给资产数据库,以帮助确定资产更新适用于哪个资产。

    事件是资产增长偏差的主要原因。

  • - Flow 有效负载包含按定期、可配置的时间间隔收集的通信信息,例如 IP 地址、端口和协议。在每个时间间隔结束时,数据将提供给资产数据库,一次提供一个 IP 地址。

    由于流中的资产数据与基于单个标识符(IP 地址)的资产配对,因此流数据永远不会成为资产增长偏差的原因。

    注意:

    不支持从 IPv6 流生成资产。

  • 漏洞扫描程序 - JSA瞻博网络 和第三方漏洞扫描程序集成,可以提供操作系统、已安装的软件和补丁信息等资产数据。数据类型因扫描仪而异,并且可能因扫描而异。发现新资产、端口信息和漏洞时,将根据扫描中定义的 CIDR 范围将数据引入资产配置文件。

    扫描仪可能会引入资产增长偏差,但这种情况很少见。

  • 用户界面 - 具有 Assets 角色的用户可以将资产信息直接导入或提供到资产数据库。用户直接提供的资产更新适用于特定资产。因此,绕过了资产对帐阶段。

    用户提供的资产更新不会引入资产增长偏差。

域感知资产数据

当资产数据源配置了域信息时,来自该数据源的所有资产数据都会自动标记同一域。由于资产模型中的数据是域感知的,因此域信息将应用于所有 JSA 组件,包括身份、攻击、资产配置文件和服务器发现。

查看资产配置文件时,某些字段可能为空。当系统在资产更新中未收到此信息或信息超过资产保留期时,存在空白字段。默认保留期为 120 天。显示为 0.0.0.0 的 IP 地址表示资产不包含 IP 地址信息。