合规 允许 名单简介
合规 allow 名单,有时缩写为 an allow 名单,是指定允许在网络上的主机上运行的操作系统、应用(Web 和客户端)以及协议的一系列标准。如果主机不在名单,系统也会生成一个事件(违反)。
合规 allow 名单有两个主要组件:
-
目标 是您选择用于合规评估的主机。您可以评估所有或部分受监控的主机,按照子网、VLAN 和主机属性进行限制。在多域部署中,您可以将域以及域内或跨域的子网作为目标。
-
主机配置文件指定面向目标的合规标准。全局主机配置文件与操作系统无关。您也可以配置操作系统特定的主机配置文件,主机配置文件为一个 allow 名单独有或跨 allow 名单共享。
Talos 情报小组 提供配有建议设置的默认 allow 名单。您也可以创建自定义 allow 名单。简单的自定义名单可能只允许主机运行某一操作系统。较复杂的名单可能允许所有操作系统,但指定主机在特定端口上运行某一应用协议必须使用的操作系统。
注 |
系统可以将主机从导出的 NetFlow 记录中添加到网络映射中,但是这些主机的可用信息是有限的;请参阅NetFlow 和受管设备数据之间的差异。 此限制可能会影响创建合规 allow 名单的方式。 |
实施合规 允许 名单
要实施 allow 名单,请将该名单添加到活动关联策略。系统评估目标并给每个主机分配对应的属性:
-
合规 - 主机没有违反名单。
-
不合规 - 主机违反名单。
-
未评估 - 主机不是名单的目标,主机现在正在接受评估,或者系统没有足够的信息来确定主机是否合规。
注 |
要删除主机属性,请删除其对应的 allow 名单。停用、删除或删除关联策略中的 an allow 名单 不 会删除主机属性,也不会更改每个主机的属性值。 |
完成初始评估后,当受监控的主机不再符合活动 allow 名单时,系统会生成 an allow 名单事件;它会还记录 an allow 名单违规。
您可以使用工作流程、控制面板以及网络映射来监控整个系统的合规活动,并确定个别主机何时、以何种方式违反了您的 allow 名单。您也可以通过补救和警报自动对如违规做出响应。
示例:将 HTTP 限制为 Web 服务器
您的安全策略规定只有 Web 服务器可以运行 HTTP。您可以创建一份评估整个网络(不包括 Web 场)的 an allow 名单,以确定哪些主机正在运行 HTTP。
通过使用网络映射和控制面板,您可以获取您的网络合规性的概览摘要。只需几秒钟,便可以确定组织内的哪些主机违反了策略正在运行 HTTP,并采取相应的行动。
然后,使用关联功能配置系统,使系统在 Web 场之外的主机开始运行 HTTP 时发出警报。
合规 允许 名单目标网络
目标网络 指定要用于合规性评估的主机。An allow 名单可具有多个目标网络,并且会评估与其任何目标的条件相符的主机。
最初,您可通过 IP 地址或范围限制目标网络。在多域部署中,初始限制还包括一个域。
系统提供的默认 allow 名单针对所有受监控主机:0.0.0.0/0 和 ::/0。在多域部署中,默认 allow 名单限用于(且仅适用于)全局域。
如果修改目标网络或主机,致使该主机不再是 allow 名单的有效目标,则该主机不再通过名单进行评估,并且既不视为合规,也不视为不合规。
调查和优化目标网络
将目标网络添加到 an allow 名单中时,系统会提示您调查网络映射以帮助确定合规主机的特征。调查会将目标添加到表示已调查的主机的 allow 名单中。
您可以调查子网或单个主机。在多域部署中,您可以调查整个域,也可以跨域调查。调查祖先域会导致系统调查该域的后代。
除已添加的目标之外,调查还会对在该调查中检测到的每个操作系统都使用一个主机配置文件填充 allow 名单。这些主机配置文件允许系统在适用操作系统上检测到的所有客户端、应用协议、Web 应用和协议。
在调查目标网络(或跳过调查)后,请优化目标。您可以按 IP 地址排除主机,或者按主机属性或 VLAN 限制目标网络。
使用合规 允许 名单设定目标域
在多域部署中,域和目标网络紧密相连。
-
枝叶域管理员可以创建对其枝叶域内的主机进行评估的 allow 名单。
-
更高级别的域管理员可以创建跨域评估主机的 allow 名单。您可以在同一个 allow 名单中以不同域中的不同子网作为目标。
假设您是全局域管理员,并且要将同一合规性标准应用于整个部署中的 Web 服务器。您可以在全局域中创建用于定义合规性标准的 allow 名单。然后,使用指定各枝叶域中 Web 服务器的 IP 空间(或单个 IP 地址)的目标网络来限制 allow 名单。
注 |
除将枝叶域中的 IP 地址和范围设定为目标之外,您还可以使用更高级别的域来限制目标网络。将更高级别的域中的子网设定为目标即会以每个后代枝叶域中的同一子网为目标。 系统会为每个枝叶域构建单独的网络映射。在多域部署中,使用文字 IP 地址限制此配置可能会出现意外结果。 |
合规 允许 名单主机配置文件
在合规 allow 名单中,主机配置文件指定允许在目标主机上运行的操作系统、客户端、应用协议、Web 应用和协议。有三种类型的主机配置文件可在合规 allow 名单中使用;每个类型在合规名单编辑器中以不同方式显示。
主机配置文件类型 |
外观 |
说明 |
---|---|---|
全局 |
任何操作系统 |
指定允许在目标主机上运行的内容,而不考虑操作系统 |
特定于操作系统 |
以纯文本列示 |
指定允许在特定操作系统的目标主机上运行的内容 |
共享 |
以斜体形式列示 |
指定可以在多个 allow 名单中使用的操作系统条件 |
操作系统特定主机配置文件
在合规 allow 名单中, 特定操作系统主机配置文件 不仅指定了允许在网络上运行的操作系统,还指定了允许在这些操作系统上运行的应用协议、客户端、Web 应用及通信协议。
例如,可以要求合规主机运行特定版本的 Microsoft Windows。再例如,可以允许 SSH 于端口 22 在 Linux 主机上运行,并进一步限制 SSH 客户端的供应商和版本。
请为允许在网络上运行的各个操作系统创建一个主机配置文件。要禁止网络上的某个操作系统,则不要创建该操作系统的主机配置文件。例如,为了确保网络上的所有主机均运行 Windows,请将 allow 名单配置为只包含该操作系统的主机配置文件。
注 |
未识别的主机在被识别之前,一直处于符合所有 allow 名单条件的状态。但是,可以为未知主机创建一份 an allow 名单主机配置文件。未识别的主机是指系统尚未收集足够的信息识别其操作系统的主机。未知主机是指其操作系统与已知指纹不匹配的主机。 |
共享主机配置文件
在合规 allow 名单中,共享主机配置文件绑定到特定操作系统,但是您可以在多个 allow 名单中使用每个共享主机配置文件。
例如,您可能在全球具有多个办事处,其中每个位置对应单独的 allow 名单,但是要对运行 Apple Mac OS X 的所有主机都使用同一配置文件。您可以为该操作系统创建共享配置文件,并将其用于所有 allow 名单中。
默认 allow 名单使用共享主机配置文件的一个特殊类别,即 内置主机配置文件。这些配置文件使用内置应用协议、Web 应用、协议和客户端。在合规 allow 名单编辑器中,系统使用 内置主机配置文件图标标记这些配置文件。
在多域部署中,系统会显示在当前域中创建的共享主机配置文件,您可以对其进行编辑。系统还会显示祖先域中的共享主机配置文件,您不可以对其进行编辑。要查看和编辑在较低域中创建的共享主机配置文件,请切换至该域。
注 |
如果修改共享主机配置文件(包括内置主机配置文件),或者修改内置应用协议、协议或客户端,则更改会影响使用它的每个 allow 名单。如果无意中更改或删除了这些内置元素,则可以重置为出厂默认设置。 |
允许 违规触发器
当系统出现以下情况时,主机的 allow 名单合规情况会发生变化:
-
检测到主机的操作系统发生变化
-
检测到主机的操作系统或主机上的应用协议存在身份冲突
-
检测到主机上有新的 TCP 服务器端口(例如,SMTP 或网络服务器使用的端口)处于活动状态,或主机上有新的 UDP 服务器正在运行
-
检测到主机上运行的 TCP 或 UDP 服务器发生变化,例如由于升级导致版本发生变化
-
检测主机上有新的客户端或 Web 应用正在运行
-
从其数据库中丢弃不活动的客户端或 Web 应用
-
检测到主机正使用新的网络或传输协议进行通信
-
检测到新的破解移动设备
-
检测到主机上的某个 TCP 或 UDP 端口已关闭或超时
此外,您还可以使用主机输入功能或主机配置文件执行以下操作来触发主机合规性的改变:
-
向主机添加客户端、协议或服务器
-
从主机中删除客户端、协议或服务器
-
设置主机的操作系统定义
-
更改主机的主机属性,这样该主机便不再是一个有效目标
注 |
为避免事件数量过多而使系统不堪重负,系统在初始评估时不会为违规主机生成 allow 名单事件,也不会对由于修改了有效 allow 名单或共享主机配置文件而导致违规的主机生成不合规名单事件。但是,仍会记录违规情况。如果要为所有违规目标生成 allow 名单事件,请清除发现数据。重新发现网络资产可能会触发 allow 名单事件。 |
操作系统合规性
如果 allow 名单指定只允许在网络上运行 Microsoft Windows 主机,但系统检测到主机正在运行 Mac OS X,则系统会生成 an allow 名单事件。此外,该主机与 allow 名单关联的主机属性从“合规”更改为“违规”。
要将本示例中主机的合规属性恢复为合规,必须发生下列任一情况:
-
您编辑 allow 名单,以允许 Mac OS X 操作系统的运行
-
您手动将主机的操作系统定义更改为 Microsoft Windows
-
系统检测到操作系统已更改回 Microsoft Windows
从网络映射中删除违规资产
如果 allow 名单禁止使用 FTP,并且您从应用协议网络映射或事件视图中删除了 FTP,则运行 FTP 的主机的属性变为合规。但如果系统再次检测到该应用协议,则会生成 an allow 名单事件,且该主机的属性变为违规。
仅对完整信息触发
如果 allow 名单仅在端口 21 上允许 TCP FTP 流量,且系统检测到端口 21/TCP 上存在不确定的活动,则 allow 名单不会触发。仅当系统将该流量识别为除 FTP 流量以外的其他流量,或者您使用主机输入功能将该流量指定为非 FTP 流量时, allow 名单才会触发。系统不会记录仅含部分信息的违规。