IP地址

InsightIDR可以准确地将多种类型的活动归因于资产和用户。要做到这一点,它需要了解网络上正在使用的IP地址与使用这些IP地址的资产之间的关系。

InsightIDR通过使用DHCPVPN事件来源以及终点代理. 此外,您可以在中指定不同的IP地址设置更精确地将数据归为用户和资产。你会发现以下选项:

本文档对每个选项都有定义。您还可以找到有关何时使用它们、它们如何详细工作以及如何在中指定它们的信息设置

静态IP地址

静态IP范围是不通过DHCP事件源收到IP地址的资产。最常见的是,这些是主机服务器和具有静态分配IP的任何其他资产。

在InsightIDR中最多可以指定65535个静态IP地址。

以下是你会发现的:

何时指定静态IP地址

当您拥有主机服务器和任何其他拥有静态ip的资产时,您应该使用此设置。这意味着ip是静态分配的。

指定静态IP,以便InsightIDR可以获取域名

InsightIDR不会从没有静态分配IP的服务器获得域名。这意味着您需要在Settings中指定静态IP,以便收集器可以反向操作并从这些静态IP地址获取域机器名称。

静态IP地址的工作原理

InsightIDR的目标是将所有活动映射回特定的用户或资产。因此,每当一个IP地址出现在日志中,而不是主机名中,InsightIDR将尝试将这个IP与它所属的主机或资产关联起来。

为了实现这种关联,将DHCP日志输入到InsightIDR中。通过这种方式,InsightIDR可以识别给每个资产的IP地址。

当InsightIDR看到一个IP地址但不能将其映射回主机时,它将不会跟踪该IP的信息(通过该IP地址观察到的活动将不会归属于适当的资产和用户)。

这就是为什么您应该在中指定IP范围设置对于具有静态IPS的资产。有了这个,InsightIdr指示每个部署的每个收集器执行反向DNS查询,并尝试确定与该范围内的每个观察到的IP地址相关联的主机名/资产。通过每个成功的反向DNS响应,InsightIdr将IP地址属性属于相应的资产。

这意味着:

  • 设置为静态的IP范围将不会被标记为非属性IP范围。
  • 我们在归类过程中观察到的这些范围内的任何未知ip都将被发送给收藏者。收集器将执行反向DNS查询,以发现持有该静态IP的资产名称。
  • 静态IP范围在主机下的日志搜索中填充到IP观察日志,并将“收集器名称 - DNS解析器”作为日志名称。

提示:定义静态IP范围尽可能的窄

这避免了采集器和DNS服务器查询不必要的IP地址的不必要负担。

添加静态IP范围。

您可以手动指定这些IP范围,通过未知的“诱导多能性”并检查是否有显示的范围应标记为静态。

手动指定静态ip地址

  1. 引导到设置>静态IP范围

  2. 单击添加静态IP范围按钮。

  3. 在“名称”字段中输入范围的名称。

  4. 在“范围”字段中输入范围。格式为xxx.xxx.xxx.xxx/xx:

    • 斜杠(/)前面的值表示IPv4网络。
    • 斜杠后的值是CIDR符号,其表示子网的数量和可用主机地址。例如,192.168.1.0/24范围定义单个子网,其中可用的主机地址范围为192.168.1.1,高达192.168.1.254。
    • 在InsightIDR中最多可以指定65535个静态IP地址。
  5. 单击保存按钮。

将未知的IP范围标记为静态

  1. 引导到设置>未知的IP范围
  2. 未知IP范围将显示在表中。
  3. 你可以点击添加到静态IP范围列出的IP范围选项将它们标记为静态。

编辑静态IP范围。

  1. 引导到设置>静态IP范围
  2. 点击铅笔要编辑的范围右侧的图标。
  3. 进行必要的编辑。
  4. 单击保存按钮。

非托管IP范围

非托管IP范围是您的组织不管理且不负责的网络中的IP范围。例如,来自客户或供应商的IP进入组织的办公室并登录到来宾网络。

以下是你会发现的:

何时指定非管理IP地址

您应该使用此设置指定您组织无法管理的网络中的任何IP范围,并不负责。

指定非托管IP范围,以便InsightIdr不希望将日志活动属于它们

非托管IP不在您的网络中的DHCP服务器中分布,或使用静态IP地址。当你把它们列成未经管理在设置中,InsightIDR会忽略这些ip,并且不会尝试将他们的活动归因于资产。

非托管IP地址的工作原理

InsightIDR具有不同的IP到资产关系来源,如DHCP、端点代理和一些ActiveDirectory安全日志。InsightIDR监视这些租用事件,并将IP地址映射回您环境中的主机名。非托管IP设置告知InsightIDR环境中需要的IP,以便InsightIDR不会看到这些IP。

要添加非托管IP范围,请执行以下操作:

您可以手动指定这些IP范围,通过未知的“诱导多能性”并审查如果显示的任何范围应标记为非托管。

手动指定未管理的ip地址

  1. 引导到设置>非托管的IP范围

  2. 单击添加非托管IP范围按钮。

  3. 在“name”字段中输入范围的名称。

  4. 在“范围”字段中输入范围。格式为xxx.xxx.xxx.xxx/xx:

    • 斜杠(/)前面的值表示IPv4网络。
    • 斜杠后的值是CIDR符号,其表示子网的数量和可用主机地址。

    例如,192.168.1.0/24范围定义单个子网,其中可用的主机地址范围为192.168.1.1,高达192.168.1.254。

  5. 单击保存按钮。

标记未知ip中的未管理ip

  1. 引导到设置>未知的IP范围
  2. 任何未知的IP范围都将出现在表中。
  3. 你可以点击添加非托管IP范围此处列出了IP范围的选项。

编辑一个不受管理的IP范围。

  1. 引导到设置>非托管的IP范围
  2. 点击铅笔要编辑的范围右侧的图标。
  3. 进行必要的编辑。
  4. 单击保存按钮。

未知的IP地址

未知IP地址是指InsightIDR在日志(如防火墙、DNS或Web Proxy日志)中观察到的IP地址,但不知道哪个资产使用了该IP地址。这些ip将显示在设置因此,您可以有可见性并采取行动。

“未知IP地址设置”下应该列出多少个IP范围?

理想情况下,你应该能够通过以下方法将未知ip降为零:

以下是你会发现的:

何时从未知的IP设置采取行动

InsightIDR使用此设置列出网络中任何未知的IP范围。这意味着InsightIDR无法确定将这些ip映射回的主机名。您可以使用这个设置来检查这些范围并采取适当的行动。

您可以根据本节提供的信息采取不同的操作设置

  • 将IP范围标记为静止的
  • 将IP范围标记为非托管
  • 添加额外的DHCP或VPN事件源来覆盖网络的这些区域
  • 检查已有DHCP事件源的配置
  • 检查您已有的VPN事件源的配置

未知IP地址是如何工作的

对于安全从业者来说,了解未知是一个持续的挑战,特别是当涉及到了解公司网络上的各种设备时。

InsightIDR跟踪它从DHCP和VPN分配收到的所有IP地址。然而,有时日志来自其他事件源,这些日志来自您的DHCP或VPN事件源从未看到的ip。

对于大多数IP,DHCP将允许InsightIDR将IP与主机名匹配。不属于DHCP作用域的IP地址范围可以在“静态IP范围”部分列出,以便进行反向DNS查找以将IP地址映射到主机名。

此外,有时,当它们建立与VPN服务器的连接时,有时将为用户分配给用户。添加VPN事件源以捕获日志将允许InsightIdr将IP地址执行的活动与VPN连接上的用户关联。

因此,InsightIDR报告来自其他事件源的未知IP地址。这有助于您查看环境中是否缺少需要连接到收集器的DHCP或VPN事件源。

有些可能与您尚未配置的DHCP服务器或VPN服务器有关,有些可能是静态IP范围或未管理的。

提示:使用未知IP地址设置来识别非法的无线路由器

未知IP地址也是发现非法无线路由器的好地方,因为他们将使用正常的企业IP范围之外的IP地址范围。

要管理未知的IP地址:

  1. 引导到设置>未知的IP范围
  2. 任何未知的IP范围都将出现在表中。浏览显示的范围,并分析什么是最合适的行动:
  • 如果您看到组织管理的IP范围,并且期望在您的网络中看到这些IP范围,您应该设置DHCP或VPN事件源来捕获它们。您可以配置事件源数据采集点击这一点设置事件源下拉菜单并选择添加事件源

  • 如果您看到您的组织管理的IP范围,并且您希望在您的网络中看到,并且您已经设置了DHCP或VPN事件源,您应该检查配置数据收集>事件源

  • 如果您看到主机服务器和具有由组织管理的静态分配IP的任何其他资产,并且预计将在您的网络中看到,请单击添加到静态IP范围选择。

  • 如果您看到您的组织不管理、不负责但在您的网络中(如使用Guest网络的客户端)的IP范围,请单击添加到未管理的IP范围选择。

公共IP范围

公共IP设置有助于InsightIDR区分来自公共Internet的网络流量和来自网络内部资产的流量。

如果您的内部网络资产利用公开可路由的IP地址(而不是私有IP地址),则可以指定其中设置.这将告知InsightIDR这些系统不在公共互联网上。

仔细阅读本节中的信息,分析是否有必要采取行动

这个设置不经常使用,可以保留为空。只有当内部网络中的资产利用的是公共IP范围中的IP地址而不是私有IP范围中的IP地址时,才应该使用此设置。

以下是你会发现的:

何时指定公网IP范围

仅当内部网络资产使用可公开路由的IP地址而不是专用IP地址时,才应使用此设置。InsightIDR使用此设置中列出的公共IP范围来了解这些系统不在公共Internet上。

使用此设置添加公共IP范围时,可以指定用于内部资产的公共IPS。这可能是一个罕见的案例,因为大多数组织都不会为他们的内部资产使用公共IPS,他们使用私人IPS。

您不必在InsightIDR的设置中指定私有ip

私有地址(也称为“内部地址”)不能从互联网上公开路由。它们只能在你的本地网络中工作。这些范围内的ip为私人的

10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255

公共IP地址如何工作

大多数组织使用私有ip作为内部资产。内部网络连接到公共互联网并不常见。因此,在InsightIDR中通常将此设置保留为空。

此设置用于通知InsightIDR关于内部资产的任何公共IP。此设置不应用于公共Internet上的外部系统

由于大多数组织仅在内部使用私有IP范围,因此如果IP地址是公共,则InsightIdr将假设IP不在内部使用。

因此,重写公共ip允许您指定您正在内部使用这些公共ip。这可以防止InsightIDR将这些ip混淆为您组织的外部ip。

指定您在您的网络中使用公共ip:

  1. 引导到设置>公共IP范围
  2. 单独输入一个或多个IP地址范围。
  3. 点击保存所有本地IP范围保存。