Malcolm项目中的NetBox设备自动发现与日志标记机制解析

背景与需求分析

在网络安全监控领域，资产发现与持续跟踪是基础性工作。Malcolm作为一款网络流量分析平台，通过与NetBox资产管理系统集成，实现了基于被动流量分析的设备自动发现功能。但在实际运营中发现，新设备首次出现的网络日志缺乏有效标记，导致安全团队难以快速识别和响应新接入设备。

技术实现方案

核心字段设计

项目团队设计了以下两组关键字段来标识设备状态：

1. 未编目设备标识字段

   • source.device.uninventoried
   • destination.device.uninventoried
   • related.uninventoried

2. 新发现设备标识字段

   • source.device.discovered
   • destination.device.discovered
   • related.discovered

字段语义定义

• uninventoried：表示日志中涉及的私有IP地址未在NetBox库存中找到对应记录
• discovered：特指导致新设备被自动添加到库存的那条日志记录

状态转换逻辑

1. 当系统检测到私有IP地址时：

   • 首先查询NetBox库存
   • 若无记录，则标记为uninventoried
   • 若启用自动填充，则将该日志同时标记为discovered

2. 后续流量处理：

   • 已编目设备：不设置任何特殊标记
   • 未编目设备：持续标记uninventoried（无论自动填充是否启用）

系统集成与应用

仪表板增强

• 在"Asset Interaction Analysis"和"Zeek Known Summary"仪表板中新增了未编目设备可视化
• 优化了设备发现事件的展示方式

告警与评分集成

• 新发现事件可作为告警触发条件
• 纳入事件严重性评分体系，提高新设备连接的监控优先级

设计考量与最佳实践

自动填充开关的影响

• 启用时：同时提供uninventoried和discovered标记
• 禁用时：仅提供uninventoried标记

运维建议

1. 生产环境中建议启用自动填充功能，以获得完整的设备发现跟踪能力
2. 对于严格管控环境，可禁用自动填充，仅使用未编目标记进行监控
3. 建议将discovered事件纳入日常巡检项目

技术价值

该实现方案具有以下技术优势：

1. 精确识别设备首次出现时刻
2. 提供持续的设备编目状态跟踪
3. 灵活的配置选项适应不同安全策略
4. 为自动化运维提供结构化数据支持

这套机制显著提升了Malcolm在资产发现和网络变更监控方面的能力，为安全团队提供了更全面的网络可见性。