Kaspersky Anti Targeted Attack Platform 监控设备及其交互,同时考虑地址空间(以下也称为“AS”)。地址空间用于根据某些属性(例如,根据设备所属的网络段)将设备地址分类为集合。
地址空间规则是一组确定某个地址是否属于该地址空间的参数。要与地址空间关联, MAC 或 IP 地址必须至少匹配一条地址空间规则。如果一个地址与多个规则匹配,应用程序将选择其规则以最不通用的方式定义关联条件的地址空间(例如,如果规则中明确指定了该地址)。
地址空间子网用于检查应用程序发现的 IP 地址。根据发现的 IP 地址所属的子网类型,应用程序可能会执行不同的资产监控操作和交互控制操作。
您可以在“地址空间”选项卡的“资产”部分配置地址空间。每个地址空间由一个包含有关该地址空间的信息的部分表示。该部分由标题和包含规则和子网表格的子部分组成。查看有关地址空间的信息时,您可以展开和折叠部分。
“默认”地址空间
默认情况下,应用程序配置了一个地址空间,即默认地址空间。此地址空间包含一条将所有 MAC 和 IP 地址与此地址空间关联起来的规则。默认情况下,“默认”地址空间的子网列表包含企业网络中最常用的一组标准子网。
您不能编辑“默认”地址空间的规则或将其他规则添加到此地址空间。但是,具有高级安全官员角色的用户可以编辑此地址空间中的子网列表,以配置一组子网,其中考虑到公司网络中设备 IP 寻址的设置方式。如果 Kaspersky Anti Targeted Attack Platform 接收来自 EPP 应用程序的数据,应用程序可以使用这些数据自动将子网添加到子网列表中。
附加地址空间
如有必要,除“默认”地址空间外,您还可以在应用程序中配置多个地址空间。您可以为添加的地址空间创建任意规则和子网集。符合所添加地址空间条件的地址将与这些地址空间相关联。其余地址仍然与“默认”地址空间相关联。
您可能需要添加地址空间,例如,如果您在不同的网段中使用具有相同地址的设备。在这种情况下,在添加和配置地址空间后,应用程序可以通过应用程序添加到地址的附加属性(即地址空间名称)来消除地址信息的歧义。
有关地址空间使用示例,请参阅附录。
地址和地址空间的关系
当使用多个地址空间时,应用程序会将地址空间名称属性添加到应用程序对象中指定的所有地址:设备、风险、规则、事件和其他对象。如果删除所有非默认地址空间,则不再显示地址的地址空间名称属性(地址空间属性仅为事件中的地址和某些与设备相关的风险保留)。
地址空间名称属性表示地址和地址空间之间的关系。与地址空间的关系使得地址依赖于这些地址空间。
地址和地址空间之间的关系导致删除地址空间时需要特别考虑以下事项:应用程序会自动删除与所删除地址空间关联的所有地址。此类地址将从除事件之外的所有应用程序对象中删除。当从对象中删除地址时,应用程序会检查该对象中是否还剩余其他地址,如果没有其他地址,应用程序还会删除该对象本身(例如,设备)。