Обнаружение неизвестных активов

На основе обрабатываемых событий KUMA позволяет вам обнаруживать в инфраструктуре неизвестные активы, которые не входят в список уже добавленных активов KUMA. Актив при этом должен иметь IP-адрес или имя хоста. Обнаружение неизвестного актива может свидетельствовать как о штатной ситуации, так и об инциденте информационной безопасности.

Для обнаружения неизвестных активов используются следующие предустановленные правила корреляции:

В этих правилах корреляции используются фильтры для настройки контролируемого сетевого сегмента и фильтры исключений. С помощью фильтров вы можете настроить логику срабатывания правил, подходящую именно вашей сетевой инфраструктуре. В результате срабатывания правил обнаруженные неизвестные активы будут добавлены в активный лист [OOTB][Net] Detection unknown assets.

Запись об обнаруженном активе хранится в активном листе [OOTB][Net] Detection unknown assets в течение 7 дней. При повторном срабатывании какого-либо из правил, дублирующая запись об уже добавленном активе в активный лист не вносится.

Правила корреляции, фильтры и активный лист предустановлены. Вы также можете импортировать эти ресурсы из репозитория.

Правила корреляции

[OOTB][Net] Detection unknown assets in device fields

Правило анализирует данные в полях DeviceAddress и DeviceHostName событий. Если IP-адрес или имя хоста из этих полей отсутствует в списке активов KUMA, то правило сработает.

При этом должны выполняться следующие условия:

[OOTB][Net] Detection unknown assets in source fields

Правило анализирует данные в полях SourceAddress и SourceHostName событий. Если IP-адрес или имя хоста из этих полей отсутствует в списке активов KUMA, то правило сработает.

При этом должны выполняться следующие условия:

[OOTB][Net] Detection unknown assets in destination fields

Правило анализирует данные в полях DestinationAddress и DestinationHostName событий. Если IP-адрес или имя хоста из этих полей отсутствует в списке активов KUMA, то правило сработает.

При этом должны выполняться следующие условия:

Фильтры

Фильтры исключений

Фильтры исключений содержат списки IP-адресов и имён хостов активов, при обнаружении которых правила корреляции срабатывать не будут. Добавьте IP-адреса и имёна хостов в фильтры исключений перед использованием правил корреляции. Для корректной работы правил фильтры не должны быть пустыми.

К фильтрам исключений относятся:

Фильтры исключений расположены в каталоге OOTB/Integration.

Фильтры контролируемых подсетей

Фильтры подсетей содержат списки подсетей, в которых правила корреляции отслеживают появление новых активов. Добавьте подсети в фильтры перед использованием правил корреляции. Без списка подсетей правила корреляции срабатывать не будут.

К фильтрам подсетей относятся:

Фильтры подсетей расположены в каталоге OOTB/Integration.

Настройка обнаружения неизвестных активов в вашей сети

Чтобы настроить обнаружение неизвестных активов:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыФильтры.
  2. В списке фильтров последовательно выберите каждый из следующих фильтров и укажите IP-адреса или имена хостов, которые хотите исключить из правил корреляции:
    • [OOTB][Net] Exceptions from the device addresses.
    • [OOTB][Net] Exceptions from the source addresses.
    • [OOTB][Net] Exceptions from the destination addresses.
  3. В списке фильтров последовательно выберите каждый из следующих фильтров и укажите подсети, в которых следует искать неизвестные активы:
    • [OOTB][Net] Controlled network device.
    • [OOTB][Net] Controlled network source.
    • [OOTB][Net] Controlled network destination.

Обнаружение неизвестных активов в указанных вами подсетях настроено. Информация об обнаруженных активах будет добавляться в активный лист [OOTB][Net] Detection unknown assets.

В начало