内网 IP 资产画像
内网 IP 资产画像的核心问题是:告警里出现一个内网 IP,如何在几秒到几十秒内拿到"这台机器是什么、归属哪个业务、最近有没有异常行为"。
Flocks 的做法是搭一个专门的 IP 画像 Agent,并发查询各设备与资产源,把 CMDB、HIDS、NDR、防火墙、历史告警拼起来,支持两种模式:快速查询(秒级摘要,给告警研判用)、深度画像(完整报告,给事件调查用)。
场景简介
这个场景看起来小,但在真实运营里是"拦住一半误判"的核心能力:
- 告警里出现的 IP 是开发测试机 → 降级
- 告警里出现的 IP 是核心财务系统 → 升级
- 告警里出现的 IP 最近连续出现在多条告警中 → 高度优先
- 告警里出现的 IP 昨天刚有过相似行为且已确认误报 → 直接归档
这些判断都依赖「IP 画像」能在研判过程里被快速调用。把它做成独立 Agent / 工具,而不是每次研判时让主 Agent 现场拼,是为了让它稳定、可复用、可定时扩展。
输入与输出
典型输入
- 单个内网 IP(最小粒度)
- 一组 IP(批量画像)
- 可选:时间窗(默认最近 24 小时)
典型输出
两种模式对应两种产出:
| 模式 | 响应 | 产出 |
|---|---|---|
| 快速查询 | 秒级 | 一段结构化摘要:资产基本信息 + 近期异常计数 + 风险分 |
| 深度画像 | 数十秒 | 完整报告:资产 / 业务 / 行为 / 告警 / 风险评分 / 处置建议 |
前置条件
| 依赖项 | 要求 |
|---|---|
| 模型 | 快速查询用默认模型即可;深度画像建议使用推理型模型,摘要更准 |
| CMDB | 提供 IP ↔ 主机名 ↔ 部门 ↔ 责任人 ↔ 业务系统 的映射 |
| 多设备接入 | HIDS(进程 / 连接)、NDR(流量)、防火墙(边界日志)至少 2 个——参考 内网安全产品接入 |
| 历史告警 | 建议把过去一段时间的告警落盘或留在设备里,便于回溯 |
| 业务知识库 | 可选。用于把"业务背景"写进画像,比如"这是支付网关" |
操作步骤(WebUI)
步骤 1:快速查询模式
最常见用法,嵌在告警研判的会话里:
「查一下 10.10.x.x 是什么机器,近 24 小时有没有告警」
IP 画像 Agent(或 Rex 直接调用对应工具)会:
- 并发查 CMDB / HIDS / NDR 三源
- 合并返回"资产摘要 + 告警计数 + 风险分"
- 秒级返回,不落长篇报告
典型摘要:
text
10.10.x.x
资产: host-xxx-prod, 财务系统 A, 责任人:张三
近 24h 告警: NDR 3 / HIDS 1 / 防火墙 0
异常行为: 横向扫描 × 1(09:12)
风险分: 中高(2 条中危告警未处置)步骤 2:深度画像模式(当快速查询不够时)
在告警研判或跨设备调查里发现 IP 可疑,显式切到深度模式:
「给 10.10.x.x 做一份完整资产画像报告」
Agent 会额外做:
- 拉取更长时间窗(7 天 / 30 天)的历史告警与网络行为
- 识别异常模式:高频外联、横向移动、非工作时段活动
- 生成风险评分(各维度加权)
- 给出处置建议:是否上机取证、是否扩线、是否临时封禁
完整报告落盘到 Workspace(profiles/10.10.x.x.md),复用性高。
步骤 3:批量画像(给事件面扩线用)
在跨设备调查中常见场景:发现一台失陷主机,想知道同网段的邻居是否也有异常。
「把 10.10.x.0/24 这段里最近有过告警的内网 IP 每一个都画一遍快速画像,有问题的单独标出」
Agent 会:
- 先去设备里筛出"近 24 小时有告警记录"的 IP 子集(避免 256 全扫)
- 对每个 IP 调用快速画像
- 汇总成表,高风险单独标红
步骤 4:可选——沉淀为 Skill 与工具
如果画像规则在企业内已经稳定(比如风险分算法、业务分类逻辑),推荐把它沉淀到 Skills 技能库:
- 每次调用都走同一套规则,产出可比对
- 调整算法时只改一处
- 新加入的 Agent 或 Workflow 自动复用
真实案例走读(告警研判中途的一次快速扩线)
| 阶段 | Rex / IP 画像 Agent 动作 | 产出 / 说明 |
|---|---|---|
| 起点 | 告警研判环节:NDR 报 10.10.x.x 对 10.10.y.y 发起内网扫描 | 需要知道两个 IP 各自是什么 |
| 并发 | Rex 同时调用 IP 画像工具查两个 IP | 并发,不串行等待 |
| 源 IP 画像 | 10.10.x.x = 运维堡垒机,责任人:运维组 | 正常情况下确实会对内发起连接 |
| 目标 IP 画像 | 10.10.y.y = 财务数据库,非堡垒机常规访问对象 | 异常信号 |
| 联动 | Rex 判断"堡垒机 → 财务库"在本企业策略下不应出现,升级为高优先级告警 | 研判闭环有了业务语义 |
| 归档 | 两份画像写入 Workspace,告警研判报告里引用 | 证据链完整 |
产出示例(深度画像)
markdown
# 10.10.x.x 深度画像报告
## 资产基础
- 主机名: host-fin-db-01
- 归属: 财务中心
- 责任人: 张三 / 李四(备)
- 业务系统: 核心账务 A
- 上线时间: 2025-11-12
## 网络行为(近 7 天)
- 平均连接数: 320/小时
- 出站 Top 目标: 10.10.a.b(OLAP 同步), 10.10.c.d(备份)
- 异常外联: 2 次(含 1 次尝试访问外网 DNS,已被边界拦截)
## 历史告警(近 30 天)
| 日期 | 来源 | 类型 | 结论 |
| --- | --- | --- | --- |
| 03-12 | HIDS | 异常登录 | 运维合法变更(已确认) |
| 03-25 | NDR | 可疑外联 | 漏报优化配置,非真实威胁 |
| 03-28 | NDR | 内网扫描 | 本次待研判 |
## 风险评分
- 资产重要性: 高(核心业务)
- 近期异常密度: 中(3 起 / 30 天)
- 综合风险: 高(待研判)
## 建议
- 本次告警优先级升级为 P1
- 委派主机取证 Agent 到 10.10.x.x
- 若 2 小时内无进展,临时限制外网出口持续运行与定时任务
| 任务形态 | 说明 |
|---|---|
| 高价值资产每日画像 | 核心资产列表每天跑一次深度画像,异常变化自动推 IM |
| 告警联动快查 | 告警研判里「查这个 IP」默认调快速画像,秒级返回 |
| 失陷面监控 | 已确认失陷资产自动加入"高频画像"清单,每小时一次 |
| 周度清单重算 | 每周基于 CMDB 同步 + 近 7 天告警重算风险分,供攻击面管理使用 |
边界与常见问题
| 问题 | 处理 |
|---|---|
| CMDB 覆盖不全,大量 IP 查不到归属 | 可在画像 Agent 里接"资产发现补齐"流程;暂查不到时仍返回"归属未知 + 行为摘要" |
| 批量画像慢 | 加并发上限与分片;历史数据多的源可加缓存 Skill |
| 风险分口径不统一 | 集中到 Skill 里定义一次,所有地方复用 |
| 想让画像覆盖互联网资产 | 换到 互联网资产测绘,画像逻辑不同(外网视角,多源测绘平台) |
| 涉及个人信息 | 责任人字段在通道通知里可以脱敏,仅在 Workspace 原始报告里保留,详见 数据与脱敏说明 |
相关:场景总览 · 告警研判 · 跨设备深度调查 · 互联网资产测绘 · 工具清单 / MCP · Skills 技能库