【NGSOC】【态势感知】【业务资产外联大屏】无数据如何排查?

牛文宾发表于:2021年05月21日 10:22:17更新于:2021年05月21日 10:25:53

1 问题描述

业务资产外联大屏无无数据

2 适用场景

业务资产外联态势大屏无数据,客户不确定是否正常,需要排查

3 原因分析

业务资产外联主要用于检测内网资产是否有违规访问外部网络的行为

该功能首先需要客户了解自身资产的业务情况,例如对于隔离网业务平台,其本身只服务于内网,通常不会有需求需要访问外部公网;然而并非所有资产都属于内网,也存在部分主机需要访问外部公网,但也是合法行为

NGSOC非法业务资产外联行为检测逻辑:

判断源IP是否允许外连(源IP必须为资产管理中已录入的IP,且属性“是否外联”配置为否),再判断目的IP是否是属于外网IP,不允许外连的源IP请求过外网IP,就属于资产主动外连

检测数据源日志类型:天堤TCP流量日志、天堤UDP流量日志

4 解决办法

日志检索模块检索【天堤TCP流量日志】和【天堤UDP流量日志】2类数据,查看是否有数据

如果有数据则继续查看是否源IP为内网地址(且源IP已录入资产,外联属性配置为否),目的IP为外网地址