隐形守望主机组第1部分

In &这篇文章,我将讨论主机组,以及它们为什么对StealthWatch系统如此重要。在StealthWatch系统中正确使用主机组将确保您在事件方面得到正确的警报,并且提供给您的信息与您的企业更相关.

隐形守望将主机视为正在生成流量并需要或提供服务的IP地址。由于StealthWatch是基于网络的异常系统,因此它将监视任何主机服务器或应用程序之间的所有网络活动,并根据该行为创建基准。其他情况,StealthWatch系统将发出警报,因为主机的行为会触发某种阈值。

根据主机的类型,您可能需要不同的阈值或绕过某些行为的警报。主机组就是从这里来的。主机组是共享属性和策略的主机或IP地址的“容器”。您通常将一些不同的属性归为一组:

  • 共享功能
  • 表现出类似的行为 
  • 可以作为单个对象进行管理
  • 可以将单个策略应用于该策略
  • 识别您“拥有”的IP主机

如果主机的行为超出基线行为和阈值,StealthWatch会提醒您,但使用主机组确实可以减少任何其他噪音。例如,StealthWatch如何分辨流氓DHCP服务器或合法DHCP服务器之间的区别?通过将现有的DHCP服务器添加到DHCP主机组中,合法的DHCP不会触发警报,但是,假设有人从家里带来了Linksys路由器,将其插入网络并开始分发IP,您将很快看到它与StealthWatch。 

隐形守望具有几个内置主机组,您可以利用它们:

  • 全部抓住 -包含所有RFC 1918地址,您的私有地址和您的公共IP地址。将IP地址添加到另一个主机组后,会将其从“全部捕获”容器中删除。每当尚未将私有IP地址分配给另一个主机组时,它就是最后的主机组。 
  • 按功能 -该主机组具有几个具有预定义角色策略的子组。其中一些分组包括:
    • 代理
    • NAT网关
    • 客户端IP范围(DHCP范围)
      • nd用户设备
      • 访客无线网络
      • 远程VPN IP池
      • 值得信赖的无线
    • 非军事区
    • 网络扫描仪
    • 其他
      • 路演
      • 本地链接
      • 本地主机
      • 多播
    • 伺服器
      • 防毒伺服器
      • 备份服务器
      • 大修复
      • 机密服务器
      • 数据库服务器
      • DHCP服务器
      • DNS服务器
      • 域控制器
      • 文件服务器
      • 邮件服务器
      • 多功能的
      • NTP服务器
      • 短信服务器
      • 终端服务器
      • 网络服务器
    • 网络电话
      • oIP端点
      • 网络电话网关
  • 按位置 -在某些情况下,您可能需要按位置对设备进行分组。每个位置可能都有自己的DNS服务器或类似的设备类型。 
  • Outside 主持人 - 它包含所有标识为不属于您网络的主机。基本上,互联网 
  • 命令& Control 伺服器 -仅当您拥有StealthWatch 实验室 s Intelligence Center(SLIC)许可证时。它所做的是包含永远都无法访问的已知恶意主机,如果找到了试图连接的主机,则肯定会收到警报。 

要查看给定主机组中的主机,请突出显示该主机组,单击鼠标右键,然后从菜单中导航到 主持人>Active 主持人 查看该主机组中的活动主机:

另一个不错的仪表板是 主机组仪表板 您可以通过再次右键单击主机组来转到:

您可以查看此仪表板以查看顶级主机,警报摘要和安全性。从那里,您可以决定是否将这些主机移至其他主机组。突出显示IP,右键单击并导航至 组态>管理主机组... 

从此弹出窗口中,您可以轻松地将此主机移至另一个主机组:

 

您不仅可以一一定义主机,还可以按主机,子网等在主机组中轻松定义它们。突出显示主机组,单击鼠标右键,然后导航到 组态>Edit Host Group 在这里您可以添加主机,启用基准设置等:

您还可以创建主机锁定策略。如果客户端将某些流量发送到另一个主机组,则会发出警报。要进行配置,请突出显示主机组,右键单击并导航至 组态>Host Locking 组态. 在出现的弹出窗口中,单击 加:

实际的用途是,如果您有遵守规则,则必须遵守。例如,您的销售点设备绝不应与访客无线设备进行交互。如果您创建了一个主机锁定策略,指出这两个主机组永远都不要通信,这将在发生时向您发出警报。如上所示,您可以允许或禁止某些服务或应用程序。这还为您提供可见性和警报,以通知您现有的安全控制是否正常运行以及应该如何正常运行。 

最后要看的是主机策略管理器。如果右键单击另一个主机组并导航到 组态>Host Policy Manager,您可以在主机组上查看现有策略:

如果需要,您可以添加新的,但是我将在现有的编辑器上单击“编辑”以显示它的外观:

 

对于默认组,其中许多策略是预先制定的,但是您可以选择创建新策略,并指定对您很重要的警报和阈值。  

主机组嵌套在其他主机组分支下,并且存在如何应用策略的层次结构。配置向下滴流,因此,如果某个子组具有不触发警报的策略,则将测试上面的策略,然后再测试上面的策略。它将继续在树上移动,以查看父主机组中是否有任何其他策略将触发警报。