Перейти к содержанию

Активы

Общая информация

Актив: любое техническое средство информационной системы (устройство, подключенное к вычислительной сети, в том числе: сервер, рабочая станция, коммутационное устройство и т.п.), имеющее ценность для предприятия и подлежащее защите от киберугроз.

При отправке и получении данных активы генерируют траффик, который обрабатывается в платформе и на его основе в событиях информационной безопасности регистрируется информация о том, откуда исходит трафик и куда он направляется, например исходные и целевые IP-адреса, FQDN и прочая информация.

В зависимости от способа передачи траффика, активы делятся на следующие типы:

  • Node – актив, который является частью платформы. Создается при добавлении новых узлов к платформе;
  • Host – актив, который не является частью платформы. Может быть соединен с другими устройствами компании как часть компьютерной сети, так и предоставлять сервисы формата «клиент-сервер» в режиме сервера по каким-либо интерфейсам.

Тип сетевой видимости актива может принимать следующие значения:

  • 1 – актив напрямую подключен к сети Интернет;
  • 2 – актив располагается в демилитаризованной зоне (DMZ);
  • 3 – актив подключен к сети Интернет через Proxy-сервер;
  • 4 – актив имеет ограниченный доступ к сети Интернет и к ограниченному набору онлайн-сервисов. Например, тонкие клиенты, POS-терминалы, удаленные офисы;
  • 5 – актив не подключен к сети.

Сведения об активах в платформу могут быть добавлены следующими способами:

  • при обнаружении/создании инцидента;
  • по результатам работы сканера уязвимостей;
  • по результатам работы сетевого сканера;
  • добавлены вручную.

В случае, если у активов используются нестатичные IP-адреса, то можно выполнить дополнительную настройку стратегии идентификации активов (подробнее см. раздел Настройки идентификации активов).

Уровень влияния актива на выполнение бизнес-процессов компании называется Значимость. В платформе значимость актива может принимать следующие значения:

  • 1 – ключевой. Данный актив обеспечивает функционирование бизнеса;
  • 2 – важный. Данный актив обеспечивает штатную работу компании;
  • 3 – некритичный. Данный актив не влияет на штатную работу компании;
  • 4 – распределенный. Данный актив находится в составе распределенной системы которая не задействована в бизнес-процессах;
  • 5 – тестовый. Данный актив располагается в тестовой среде. Недоступность данного актива не влияет ни на бизнес-процессы, ни на штатную работу компании.

Активы можно объединить в группы, а затем их назначить ответственным. Это упрощает расследование связанных с активом инцидентов и позволяет выполнять проверку соответствия ПО для группы активов (подробнее см. раздел Группы активов).

Для подключения к сети и обмена данным используются сетевые интерфейсы, информация о которых и связанными с ними активами также содержится в платформе (подробнее см. раздел Сетевые интерфейсы).

Работа с активами включает в себя следующие процессы:

  1. Просмотр актива.
  2. Создание актива.
  3. Редактирование актива.
  4. Добавление актива в группу.
  5. Написать ответственному.
  6. Экспорт активов.
  7. Объединение активов.
  8. Активация/деактивация активов.
  9. Настройка параметров актива.
  10. Удаление актива.

Для работы с активами перейдите в раздел АктивыАктивы (см. рисунок 1).

Рисунок 1 – Раздел "Активы"

В разделе отображается следующая информация:

  • Уровень риска – цветовое и цифровое обозначение уровня риска актива;
  • Тип – типа актива: Host, Node;
  • Название – наименование актива;
  • Сетевые интерфейсы – наименование сетевого интерфейса актива;
  • Операционная система – наименование операционной системы, установленной на активе;
  • Группы активов – наименование групп активов, в которых состоит актив;
  • Расположение – геоданные актива;
  • Открытые инциденты – количество открытых инцидентов на активе
  • Риск принят – признак, принят ли потенциальный риск дальнейшей эксплуатации актива в текущем состоянии: да, нет;
  • Закрытые инциденты – количество закрытых инцидентов на активе;
  • Обновлено – дата и время изменения информации об активе;
  • Создано – дата и время создания записи об активе в платформе;
  • Значимость актива – уровень влияния актива на выполнение бизнес-процессов компании;
  • Сетевая видимость – тип сетевой видимости актива;
  • Группа ответственных – наименование группы пользователей, которым автоматически назначаются инциденты, выявленные на активе;
  • IP/MAC – IP и MAC-адрес актива.

Просмотр и анализ актива

Для просмотра актива нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного актива (см. рисунок 2).

Рисунок 2 – Форма просмотра актива

В боковой панели отображается следующая информация об активах:

  • Наименование актива;
  • Тип актива;
  • Расположение актива;
  • Сетевая видимость актива;
  • Значимость актива;
  • Состояние актива.

В рабочей области отображается следующая информация об активах:

  • В блоке Основное отображается основная информация об активе:
    • IP;
    • FQDN;
    • MAC;
    • OC;
    • Группа актива;
    • Тип актива;
    • Расположение;
    • Ответственный;
    • Дата последнего сканирования;
    • Состояние актива;
  • В блоке Сетевые интерфейсы отображается информация о сетевых интерфейсах, входящих в актив:
    • Название;
    • IP;
    • MAC.
  • В блоке Сервисы отображается информация о сервисах, обнаруженных на активе:
    • Номер порта, который использует сервис;
    • Статус порта, который использует сервис (open, close и т.д.);
    • Тип сервиса (ldap, domain, msrpc и т.д.);
    • IP-адрес, на котором обнаружен сервис.
  • В блоке Программное обеспечение отображается информация о списке ПО, установленном на активе;
  • В блоке Аппаратное обеспечение отображается список аппаратного обеспечения актива;
  • В блоке Инциденты отображается информация об инцидентах, выявленных на активе (подробнее см. раздел Инциденты).

Создание актива

  1. Начните процесс создания актива через универсальную таблицу или боковую панель. Откроется форма "Создание актива" (см. рисунок 3).

    Рисунок 3 – Форма "Создание актива"

  2. Выполните на форме следующие действия:

    • в поле Название укажите наименование актива;
    • установите флаг Активный, если данный актив задействован в корпоративной сети;
    • в поле Тип из выпадающего списка выберите тип актива: Host, Node;
    • в поле Значимость актива из выпадающего списка выберите значимость актива;
    • в поле Сетевая видимость из выпадающего списка выберите сетевую видимость актива;
    • в поле Группа ответственных выберите группу пользователей, которой будут автоматически назначаться инциденты, выявленные на активе;
    • в поле Описание укажите описание актива;
    • в поле Расположение из выпадающего списка выберите расположение актива;
    • в поле Ответственное лицо укажите информацию о лице, ответственным за актив;
    • в поле Сетевой интерфейс из выпадающего списка выберите сетевые интерфейсы, которые входят в состав актива. Если необходимого сетевого интерфейса нет в списке, то вы можете создать его вручную. Для этого нажмите кнопку Создать новый и укажите необходимую информацию (подробнее см. раздел Сетевые интерфейсы);

  3. Нажмите кнопку Создать.

Редактирование актива

  1. Начните процесс редактирования актива через универсальную таблицу или форму просмотра.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Добавление актива в группу

  1. Откройте форму просмотра актива и нажмите кнопку Добавить в группу.
  2. В открывшемся окне из выпадающего списка выберите группу активов, в которую необходимо добавить актив.
  3. Нажмите кнопку Сохранить.

Написать ответственному

  1. Откройте форму просмотра актива и нажмите кнопку Написать ответственному. Откроется окно "Новое сообщение" (см. рисунок 4).

    Рисунок 4 – Окно "Новое сообщение"

  2. Укажите в окне следующую информацию:

    • в поле Получатель из выпадающего списка выберите получателя сообщения;
    • в поле Заголовок укажите тему сообщения;
    • в поле Сообщение укажите текст сообщения.

  3. Нажмите кнопку Отправить. Для просмотра списка полученных/отправленных сообщений необходимо перейти в Профиль пользователяСообщения.

  4. К сообщению будет автоматически прикреплена ссылка на соответствующую карточку актива.

Экспорт активов

  1. Начните процесс экспорта активов через универсальную таблицу или боковую панель.
  2. Будет сформирован файл с информацией об активах в формате CSV.
  3. Укажите путь для сохранения файла и нажмите кнопку Сохранить.

Объединение активов

Данный функция позволяет объединить несколько активов, информация о которых была получена из различных источников, в один. Выполните следующие действия:

  1. В универсальной таблице раздела выберите необходимые активы, установив флаги в соответствующих строках таблицы.
  2. Нажмите кнопку Объединить.
  3. Подтвердите действие в открывшемся окне.

Будет выполнено объединение активов по следующим правилам:

  • основным активом считается актив, у которого более ранняя дата создания;
  • остальные активы считаются активами дублерами;
  • в случае наличия значения в поле у одной карточки актива и отсутствия в другой карточке актива – записывается значение из карточки, где значение присутствует;
  • в случае, если значение в поле присутствует в обеих карточках активов, создаётся конфликт и добавляется соответствующая запись в таблицу конфликтов при объединении активов;
  • при объединении активов будут объединены и соответствующие сетевые интерфейсы;
  • все созданные инциденты будут перепривязаны к результирующему активу;
  • результирующий актив будет добавлен во все группы, в которых находились исходные активы;
  • результирующая сетевая видимость актива будет равна наиболее высокой сетевой видимости из родительских карточек активов;
  • результирующая значимость актива будет равна наиболее высокой значимости из родительских карточек активов;
  • результирующее расположение актива будет равно расположению, указанному в родительском активе, имеющем более новую дату обновления;
  • все результаты сканирований активов-дублёров сменят привязку на основной актив;
  • списки программного и аппаратного обеспечения активов-дублёров будут добавлены в соответствующие списки основного актива.

Активация/деактивация активов

  1. В универсальной таблице раздела выберите необходимые активы, установив флаги в соответствующих строках таблицы.
  2. Нажмите кнопку Активация/деактивация и из выпадающего списка выберите необходимое действие.
  3. Подтвердите действие в открывшемся окне. Состояние актива будет изменено.

Настройка параметров актива

Данная функция позволяет массово изменить следующие параметры активов:

  • Значимость – в платформе значимость актива может принимать следующие значения:

    • Ключевой – актив обеспечивает функционирование бизнеса;
    • Важный – актив обеспечивает штатную работу компании;
    • Некритичный – актив не влияет на штатную работу компании;
    • Распределенный – актив находится в составе распределенной системы которая не задействована в бизнес-процессах;
    • Тестовый – актив располагается в тестовой среде. Недоступность данного актива не влияет ни на бизнес-процессы, ни на штатную работу компании.

  • Сетевая видимость – тип сетевой видимости актива. Может принимать следующие значения:

    • Прямое подключение к интернету – актив напрямую подключен к сети Интернет;
    • DMZ, частичный доступ из Интернета – актив располагается в демилитаризованной зоне (DMZ);
    • Штатный доступ в Интернет через Proxy – актив подключен к сети Интернет через Proxy-сервер;
    • Ограниченный доступ в Интернет – актив имеет ограниченный доступ к сети Интернет и к ограниченному набору онлайн-сервисов. Например, тонкие клиенты, POS-терминалы, удаленные офисы;
    • Нет подключения к сети – актив не подключен к сети.

  • Расположение – информация о физическом расположении актива (например, Москва).

Выполните следующие действия:

  1. В универсальной таблице раздела выберите необходимые активы, установив флаги в соответствующих строках таблицы.

  2. Нажмите кнопку Установить значение. Откроется окно "Установка значений" (см. рисунок 5).

    Рисунок 5 – Окно "Установка значений"

  3. Выполните в окне следующие действия:

    • включите переключатель у параметра, значение которого необходимо изменить. Значение остальных параметров, изменены не будут;
    • из выпадающих списков Значимость актива, Сетевая видимость или Расположение выберите необходимое значение;
    • нажмите кнопку Сохранить.

Удаление актива

  1. Начините процесс удаления актива через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Актив будет удален из платформы.