互联网资产测绘
这个场景回答的是 ASM(攻击面管理)里最基础的问题:给一个域名或企业名,把这个组织暴露在互联网上的资产画一张尽可能完整的图。
Flocks 在这个场景的价值不是"多一个扫描器",而是把多个外部测绘源 + 企业内部 CMDB + 威胁情报在同一个 Agent 上下文里组装起来,让"有多少资产"和"这些资产有没有风险"一起给出答案。
场景简介
外网资产测绘的典型痛点:
- 内部 CMDB 只覆盖"已登记"的资产,遗漏测试 / 临时 / 三方托管的部分
- 单独用一家测绘平台(FOFA / Shodan / ThreatBook 资产)总有覆盖盲区
- 测绘完成后还要手动和内部信息关联(谁在用?有没有漏洞?)
Flocks 的做法是让 Rex 把整条链路打通:外部测绘 → 归类聚合 → 内部关联 → 风险打标 → 输出可读报告。
输入与输出
典型输入
- 根域名:
example.com - 企业名 / 组织名:模糊搜索 → 拓展到所有相关域名
- IP 段:某 ASN / 某段已知 IP 范围
- 混合输入:一批种子(域名 + IP + 证书关键字)
典型输出
- 资产清单:域名 / 子域 / IP / 端口 / 服务 / 证书 / 标题
- 分类视图:按业务 / 按地域 / 按环境(生产 / 测试 / 三方)
- 风险视图:关联漏洞情报、威胁情报、告警历史
- 差异视图(持续跟踪时):本次 vs 上次新增 / 消失 / 变化的资产
前置条件
| 依赖项 | 要求 |
|---|---|
| 模型 | 默认模型即可 |
| 测绘工具 | 至少接入 1 家(推荐 ThreatBook 资产 + FOFA 组合) |
| 情报工具 | 可选。用于给资产打威胁 / 漏洞标签 |
| 内部 CMDB | 可选。通过 API 或导出文件接入,用于"外部发现 × 内部登记"对齐 |
| 通道 | 可选。持续跟踪场景通过企微 / 钉钉推送新增资产 |
操作步骤(WebUI)
步骤 1:新建会话,给出种子
「帮我测绘
threatbook.cn的互联网资产,包括子域、对外端口和 Web 服务,归类输出」
步骤 2:Rex 多源并行测绘
Rex 会:
- 识别输入种子类型(根域名)
- 并行调用已接入的测绘工具
- 拿到各家原始结果(子域 / IP / Banner / 证书)
- 去重 + 合并(同一资产不同工具返回不同字段)
步骤 3:归类聚合
这一步是 Flocks 相对"把多家结果堆在一起"的提升:
- 按业务系统归类(主站 / 邮件 / OA / API / CDN / 三方托管)
- 按环境归类(生产 / 测试 / 预发)
- 按技术栈归类(Nginx / Tomcat / 某云 / 某 SaaS)
- 按地域 / 归属归类
归类规则可以以 Skill 形式沉淀:组织的命名习惯、子域规范、第三方供应商列表,下次直接套。
步骤 4:内部关联(CMDB / 责任人)
如果 CMDB 已经接入:
- 匹配:外部发现 × 内部登记 → 区分"已登记"和"影子资产"
- 责任人:发现影子资产时,自动拼出可能的责任团队 / 负责人
- 补全:对没在 CMDB 里的资产,尝试通过 WHOIS / 证书 subject 推测归属
步骤 5:风险打标
可选但推荐:
- 对每个资产查一轮威胁情报(IOC 曾关联?)
- 对暴露端口 / 组件做漏洞情报查询(例如某版本 Nginx 存在 CVE)
- 对证书做状态检查(即将过期 / 自签 / 弱算法)
步骤 6:输出报告
典型报告结构:
- 概览:资产总数、新增数、风险数
- 资产列表:支持按多种维度筛选
- 风险资产 Top N:需要优先处置
- 变化清单(持续跟踪任务):本次和上次的 diff
真实案例走读(threatbook.cn 资产测绘)
| 阶段 | Rex 动作 | 说明 |
|---|---|---|
| 入参 | 种子域名 threatbook.cn | 单点扩散 |
| 测绘 | 并行调用 ThreatBook 资产 + FOFA + 证书透明度日志 | 拿到一批子域 + IP |
| 去重合并 | 同一 IP 被多家返回不同标签 → 合并 | 字段取并集,verdict 取严格值 |
| 归类 | 主站 / 官博 / 文档站 / 管理后台 / CDN / 三方 | 按命名惯例和 Banner |
| 内部关联 | 匹配 CMDB(示例中无)→ 全部视为"已知资产" | 实际项目通常能匹配到 80-90% |
| 风险打标 | 证书状态正常;未见 IP 在威胁情报命中;若有暴露管理后台 → 列入重点 | 证据链透明 |
| 输出 | Markdown 报告 + JSON | 可直接交付 |
| 后续 | 建议转"每周资产 diff 任务",新增 / 消失 / 变化自动推企微 | 从一次性测绘升级为持续运营 |
产出示例
markdown
# threatbook.cn 互联网资产测绘报告
## 概览
- 总资产:42 条
- 子域:28 条
- 对外 IP:11 个
- Web 服务:21 个
- 重点关注:1(管理后台直接暴露外网)
## 分类视图
- 主站 / 官网:www.threatbook.cn, ...
- 产品控制台:console.threatbook.cn
- 文档:docs.threatbook.cn
- API:api.threatbook.cn
- CDN:xxx.cdn.*
- 三方托管:<识别的 SaaS>
## 风险清单
| 资产 | 风险 | 建议 |
| --- | --- | --- |
| xxx.threatbook.cn | 旧版组件存在 CVE-2024-xxxx | 升级或下线 |持续运行:资产 diff 任务
资产测绘最有价值的部分不是"一次扫描",而是持续跟踪:
- 每周 / 每日任务:重跑测绘,和基线对比
- 新增资产提醒:新上线的资产第一时间进视野
- 消失资产提醒:原本在线的突然下线(可能是下线,也可能是故障)
- 变化资产提醒:证书换了、Banner 换了、端口变了——风险信号
这些任务挂在任务中心,新增 / 变化自动推企微值班群。
和其他场景的关系
| 下游场景 | 关联方式 |
|---|---|
| 威胁情报与 IOC 研判 | 每个暴露 IP / 域名做情报反查 |
| 告警研判 | 告警里的目标资产反查"是不是我们自己的" |
| 漏洞管理(未独立成页) | 资产 + 版本信息 → 匹配漏洞情报 |
边界与常见问题
| 问题 | 处理 |
|---|---|
| 测绘结果噪声很大(不是我们的资产) | 以 Skill 沉淀判定规则:IP 归属、证书 subject、DNS SOA 等 |
| 一家测绘平台没覆盖到的资产 | 多源交叉;必要时补充 WHOIS + 证书透明度日志 |
| 影子资产被测绘出来但没人认领 | 在报告里专门开一个"无责任人"分区,推动流程补登 |
| 大企业资产量过大(上万条) | 分业务 / 分部门切片,不要一次全量;考虑做分布式 Workflow |
| 测绘平台 API 限额 | Skill 里写限频;持续任务用缓存层 |
| 只拿到端口,没拿到 Banner | 让 Rex 用浏览器工具主动访问端口补 Banner(详见 浏览器自动化) |
| 合规 / 法律边界 | Flocks 不做外部攻击性扫描,所有资产发现都基于公开测绘数据和组织自己授权的数据源 |
相关:场景总览 · 威胁情报与 IOC 研判 · 内网安全产品接入 · 浏览器自动化 · 任务中心