Работа с активами

Активом, в рамках системы, называется сетевой хост (рабочая станция, сервер, сетевое устройство и т.д.). Активы идентифицируются по FQDN, IP-адресу или МAC-адресу (в зависимости от настроек).

Атрибуты актива:

• Имя актива - произвольная текстовая строка;

• Значимость актива - числовое значение 1 - 5:

  • 1 - ключевой актив. Актив в составе системы, обеспечивающей функционирование бизнеса;
  • 2 - важный актив. Актив в составе системы, требуемой для штатной работы компании;
  • 3 - нормальный актив. Значение по умолчанию;
  • 4 - распределенный или не критичный актив. Актив в составе распределенной системы или системы не задействованной в ключевых бизнес-процессах;
  • 5 - тестовый актив. Актив, расположенный в тестовой среде. Недоступность данного актива не влияет на ключевые бизнес-процессы.

• Сетевая видимость - числовое значение 1 - 5:

  • 1 - прямое подключение к Интернет (межсетевой экран, сетевой балансировщик, VPN-сервер);
  • 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy);
  • 3 - штатный доступ в Интернет через Proxy (рабочие станции, внутренние сервера) - значение по умолчанию;
  • 4 - ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (тонкие клиенты, POS-терминалы, удаленные офисы);
  • 5 - актив, не подключенный к сети.

• Тип - текстовый идентификатор типа системы;

• Внутреннее примечание - примечание, отображаемое только в интерфейсе администратора.
• Описание - произвольное текстовое описание.

К активу может быть привязано несколько сетевых интерфейсов.

Для актива может быть задана группа ответственных, в этом случае при автоматическом создании инцидентов они будут назначаться данной группе ответственных.

Для удобства управления активы могут добавляться в группы активов.

Обнаружение активов

Существует несколько способов появления активов в системе:

• обработка результатов сканера уязвимостей;

• обработка результатов сетевого сканера;

• создание активов вручную;

• создание из результатов работы правил корреляции;

Создание активов из результатов сканера уязвимостей

Регулярная актуализация перечня активов по результатам работы сканера уязвимостей является основным методом создания новых активов в системе.

Подробнее описывается в разделе, посвященном интеграции со сканерами уязвимостей.

Создание активов из результатов сетевого сканера

Регулярная актуализация перечня активов по результатам работы сетевого сканера является одним из основных методов создания новых активов в системе и их обновления.

Подробнее описывается в разделе, посвященном работе с сетевым сканером и инвентаризацией.

Создание активов вручную

Создание актива вручную может потребоваться, если система не интегрирована со сканерами уязвимостей или актив не попадает в область сканирования, или сканирование сети невозможно по каким-то причинам.

Для создания нового актива необходимо: - Перейти в раздел Активы - Активы;
- Нажать кнопку "Создать"; - Заполнить поля карточки актива (см. рисунок 1): - Имя актива; - Значимость актива - числовое значение 1 - 5: - 1 - ключевой актив. Актив в составе системы, обеспечивающей функционирование бизнеса;
- 2 - важный актив. Актив в составе системы, требуемой для штатной работы компании;
- 3 - нормальный актив. Значение по умолчанию; - 4 - распределенный или не критичный актив. Актив в составе распределенной системы или системы не задействованной в ключевых бизнес-процессах; - 5 - тестовый актив. Актив, расположенный в тестовой среде. Недоступность данного актива не влияет на ключевые бизнес-процессы. - Сетевая видимость - числовое значение 1 - 5: - 1 - прямое подключение к Интернет (межсетевой экран, сетевой балансировщик, VPN-сервер); - 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy); - 3 - штатный доступ в Интернет через Proxy (рабочие станции, внутренние сервера) - значение по умолчанию; - 4 - ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (тонкие клиенты, POS-терминалы, удаленные офисы); - 5 - актив, не подключенный к сети. - Тип - текстовый идентификатор типа системы; - Ответственное лицо; - Технические специалист; - Расположение; - Описание - произвольное текстовое описание актива; - Сетевые интерфейсы из списка в системе. Если сетевой интерфейс актива отсутствует в списке его необходимо добавить; - Нажать кнопку "Сохранить".

Рисунок 1 -- Окно создания актива

Создание активов из результатов работы правил корреляции

В системе реализовано автоматическое создание активов по результатам работы правил корреляции.

Если правило корреляции создает инцидент на активе, идентификатор которого отсутствует в списке активов, система добавляет новый актив в список в состоянии "Неактивен".

Конфигурирование стратегий идентификации активов

Идентификация активов требуется системе для понимания, к какому активу отнести новые инциденты - к существующему или требуется создать новый актив.

В качестве идентификаторов актива могут выступать: FQDN, IP-адрес и MAC-адрес. В системе можно сконфигурировать различные политики идентификации для различных сетевых сегментов. Помимо этого, в системе задается глобальная политика идентификации, которая применяется если актив не попадает под действие ни одной политики, сконфигурированной для подсетей

Создание новой политики идентификации

Для создания новой политики идентификации необходимо:

• Перейти в раздел Активы - Настройка идентификации активов;
• Нажать кнопку "Создать";
• Заполнить атрибуты политики идентификации (см. рисунок 2):
  • Имя - название политики;
  • Диапазоны - область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации;
  • Стратегия - cтратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
• Нажать кнопку "Сохранить".

Рисунок 2 -- Окно создания новой политики идентификации

Редактирование политики идентификации

Для редактирования политики идентификации необходимо:

• Перейти в раздел Активы - Настройка идентификации активов;
• Нажать кнопку Изменить напротив политики, в которую необходимо внести изменения;
• Внести изменения в атрибуты политики идентификации (см. рисунок 3):
  • Имя - название политики;
  • Диапазоны - область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации;
  • Стратегия - стратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
• Нажать кнопку "Сохранить".

Рисунок 3 -- Окно редактирования настройки обнаружения активов

Удаление политики идентификации

Для удаления политики идентификации необходимо: - Перейти в раздел Активы - Настройка идентификации активов; - Перейти в необходимую политику идентификации; - Нажать кнопку "Удалить".

Аналитика по активам

Для оценки риска в разрезе активов доступны следующие инструменты работы с активами: - Фильтрация активов; - Просмотр данных по активу; - Соответствие ПО.

Фильтрация активов

Для применения фильтра необходимо перейти в раздел Активы - Активы, после чего (см. рисунок 4):

• для активации фильтра необходимо задать значения фильтруемых атрибутов и нажать кнопку "Поиск";
• для сброса условий фильтрации необходимо нажать кнопку "Очистить";
• для сохранения условий фильтра нажать кнопку "Сохранить";
• для управления фильтрами нажать кнопку "Загрузить".

Рисунок 4 -- Фильтр активов

Более подбробную информацию об использовании фильтра можно узнать в разделе "Активы. Настраиваемые фильтры списка активов".

Просмотр данных по активу

Для того, чтобы посмотреть данные по активу, необходимо перейти в раздел Активы - Активы - /щелкнуть на название залоговка нужного актива/

В сводной информации по активу отображаются (см. рисунок 5):

• Заголовок актива;
• Тип;
• Расположение - где территориально находится актив;
• Описание;
• Отвественная группа пользователей за данный актив. По клику возможен переход в интерфейс просмотра группы пользователей;
• Перечень сетевых интерфейсов: Имя, FQDN, IP, MAC, ОС, Сервисы, которые представляют результат работы поиска сетевых сервисов;
• Список программного обеспечения - описание поиска ПО в разделе "Работа с обнаружением ПО";
• Список аппаратного обеспечения - результат работы обнаружения аппаратного обеспечения;
• Сетевая видимость актива:
  • 1 - прямое подключение к Интернет (межсетевой экран, сетевой балансировщик, VPN-сервер);
  • 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy);
  • 3 - штатный доступ в Интернет через Proxy (рабочие станции, внутренние сервера) - значение по умолчанию;
  • 4 - ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (тонкие клиенты, POS-терминалы, удаленные офисы);
  • 5 - актив, не подключенный к сети.
• Сканирование - дата последнего сканирования (при интеграции со сканером уязвимостей);
• Группы, в которых состоит актив. По клику возможен переход в интерфейс просмотра группы активов;
• Инциденты, связанные с активом. Работа с инцидентами описана в разделе "Работа с инцидентами".

Рисунок 5 -- Окно отображения сводной информации по активу

Соответствие ПО

В разделе Оценка соответствия ПО - Результаты соответствия ПО отображаются детали по проверке соответствия программного обеспечения политикам контроля.

Рисунок 6 -- Вкладка Оценка соответствия ПО - Результаты соответствия ПО

В таблице отображаются следующие колонки (см. рисунок 6):

• Группа активов - группа активов, в рамках которой выполнялась оценка соответствия;
• Состояние - статус проверки соответствия для правила контроля;
• Дата выполнения.

Более подробную информацию можно узнать в разделе "Анализ результатов проверок соответствия ПО".

Работа с группами активов

Группы активов упрощают процесс управления активами.

Создание группы активов

Для создания группы активов необходимо:

• Перейти в раздел Активы - Группы активов;
• Нажать кнопку "Создать";

• Заполнить атрибуты группы активов (см. рисунок 7).

  • Название - название группы активов;
  • Маски подсетей в CIDR-нотации - если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу;
  • Регулярное выражение для FQDN;
  • Группа ответственных - группы пользователей, ответственных за данную группу активов;
  • Связанные группы пользователей - группы пользователей, которые также отвественны за данную группу активов;
  • ИД объекта, ИД субъекта, ИД системы - идентификаты, указанные в протоколе интеграции с ГосСОПКОЙ (при необходимости);
  • Чек-бокс КИИ? - является ли актив объектом критической информационной инфраструктуры;
  • Ответственное лицо;
  • Технический специалист;
  • Актив - выбрать актив из выпадающего списка;
  • Набор правил - указать наборы правил контроля соответствия установленного программного обеспечения.
  • Нажать кнопку "Сохранить".

Рисунок 7 -- Окно создания группы активов

Просмотр информации по группе активов

Для просмотра информации по группе активов необходимо:

• Перейти в раздел Активы - Группы активов;
• Кликнуть на название группы, по которой требуется просмотреть информацию.

Рисунок 8 -- Информация по группе активов

В форме просмотра отображаются (см. рисунок 8):

• Название группы;
• Ответсвенная группа пользователей - перечень групп пользователей, ответственных за данную группу активов;
• Список активов, который содержит в себе поля:
  • Поле ( / ) - флаговое поле для выбора строк с активами для проведения с ними каких-то действий;
  • Поле Уровень риска ( ) - содержит численную оценку уровня риска инцидентов произошедших на данном активе;
  • Поле Значимость актива ( ) - содержит оценку значимости актива, которая в рамках бизнес-процессов оценивается числовыми значениями от 1 до 5;
  • Поле Сетевая видимость ( ) - оценивается числовыми значениями от 1 до 5;
  • Поле Тип - содержит тип оборудования актива (например Host, Server);
  • Поле Заголовок - название актива, под которым он был зафиксирован в Платформе Радар;
  • Поле IP/MAC - IP- или MAC-адрес актива;
  • Поле ОС - операционная система актива;
  • Поле Группы активов - название группы активов (или нескольких групп), в которую включен данный актив;
  • Поле Расположение - территориальное расположение актива, например город (если оно было указано при создании или редактировании записи актива в Платформе Радар);
  • Поле Открытые инциденты ( ) - количество открытых инцидентов на активе;
  • Поле Риск принят ( ) - количество инцидентов в статусе "риск принят" на активе;
  • Поле Закрытые инциденты () - количество закрытых инцидентов на активе;
  • Кнопка ( ) - функция редактирования параметров актива.
• Перечень связанных инцидентов.

Кнопка "Редактировать" открывает форму редактирования атрибутов группы.

Редактирование группы активов

Для редактирования группы активов необходимо(см. рисунок 9):

• Перейти в раздел Активы - Группы активов;
• Нажать кнопку "Редактировать";
• Отредактировать необходимые атрибуты группы активов (см. раздел "Создание группы активов");
• Нажать кнопку "Сохранить".

Рисунок 9 -- Окно редактирования группы активов

Включение активов в группу активов

Рисунок 10 -- Форма включения активов в группу

Включение активов в группу производится в форме редактирования атрибутов активов (см. рисунок 10).

Для удобства связывания список доступных интерфейсов можно отфильтровать по имени и IP-адресу - для этого нужно начать вводить в поле имя или начало IP-адреса.

Для включения активов в группу необходимо выбрать один или несколько активов в списке.

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.

Исключение активов из группы

Исключение активов из группы производится в форме редактирования атрибутов активов (см. рисунок 11).

Рисунок 11 -- Форма исключения активов из группы

Исключить актив из группы возможно нажатием на кнопку рядом с именем актива.

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.

Актуализация данных об активах

В ходе эксплуатации системы может потребоваться внести дополнительную информацию или коррективы в данные по активу.

Редактирование данных по активу

Для редактирования информации необходимо:

• Перейти в раздел Активы - Активы;
• Кликнуть по заголовку актива, в который необходимо внести изменения.
• Нажать кнопку редактирования ;
• Внести коррективы в данные об активе;
• Нажать кнопку "Сохранить".

Классификация новых активов

Для поиска активов, которые некорректно классифицировались автоматически, предусмотрены специализированные фильтры активов, которое можно увидеть, нажав на кнопку в разделе Активы - Активы, где откроется область с настраиваемыми фильтрами для табличного списка активов:

• Активы без группы - перечень активов, не привязанный ни к одной группе;
• Имя похоже на IP адрес - системе не удалось определить имя узла автоматически;
• Повторяющееся имя - активы с повторяющимся значением имени актива.

Объединение активов

В системе доступен интерфейс, позволяющий объединить данные из нескольких активов в один. Это может потребоваться в случаях:

• Данные по одному и тому же активу появились в системе из разных источников;
• Актив был просканирован сканером уязвимостей через различные сетевые интерфейсы.

Для объединения данных по активу необходимо:

• Перейти в раздел Активы - Активы;
• Выбрать несколько активов с помощью чек-боксов;
• Нажать кнопку "Объединить активы".

После выполнения данной операции будет создан новый актив, в котором будут присутствовать следующие данные из объединенных активов:

• Сетевые интерфейсы;
• Привязка к группам активов;
• Инциденты.

Работа с сетевыми интерфейсами

Манипуляции с сетевыми интерфейсами могут потребоваться в случае, если от сканера уязвимостей поступили неточные данные о сетевых интерфейсах или сетевая конфигурация изменилась в ходе эксплуатации

Связывание интерфейса с активом

Форма связывания актива с сетевыми интерфейсами доступна при создании актива вручную и при редактировании актива (см. рисунок 12).

Рисунок 12 -- Форма связывания интерфейса с активом

Для удобства связывания список доступных интерфейсов можно отфильтровать по имени интерфейса, IP-адресу или MAC-адресу - для применения фильтра необходимо начать писать искомое значение в форму "Связанные интерфейсы".

Для связывания сетевых интерфейсов с активом необходимо выбрать один или несколько активов в списке.

Для отвязывания сетевых интерфейсов от актива необходимо нажать на кнопку рядом с именем интерфейса.

После указанных изменений необходимо сохранить изменения в активе.

Создание сетевых интерфейсов вручную

Для создания нового сетевого интерфейса вручную необходимо:

• Перейти в раздел Активы - Сетевые интерфейсы;
• Нажать кнопку "Создать";

• Заполнить атрибуты сетевого интерфейса (см. рисунок 13):

  • Имя - имя интерфейса для удобства поиска;
  • MAC - MAC-адрес, заданный на интерфейсе;
  • IP - IP-адрес, заданный на интерфейсе;
  • FQDN - доменное имя для IP-адреса заданного на интерфейсе;
  • ОС - операционная система, определяемая через данный интерфейс;
  • Выбрать актив, с которым требуется связать новый интерфейс.

• Нажать кнопку "Сохранить".

Рисунок 13 -- Создание сетевых интерфейсов вручную

Редактирование сетевого интерфейса

Для редактирования сетевого интерфейса необходимо:

• Перейти в раздел Активы - Сетевые интерфейсы;

• Нажать кнопку рядом с именем интерфейса, который необходимо отредактировать;

• Внести изменения в атрибуты сетевого интерфейса (см. рисунок 14):

  • Имя - имя интерфейса для удобства поиска;
  • MAC - MAC-адрес, заданный на интерфейсе;
  • IP - IP-адрес, заданный на интерфейсе;
  • FQDN - доменное имя для IP-адреса заданного на интерфейсе;
  • ОС - операционная система, определяемая через данный интерфейс;
  • Выбрать актив, с которым требуется связать новый интерфейс.

• Нажать кнопку "Сохранить".

Рисунок 14 -- Окно редактирования сетевого интерфейса

Удаление сетевого интерфейса

Для удаления сетевого интерфейса необходимо:

• Перейти в раздел Активы - Сетевые интерфейсы;
• Перейти в режим редактирования необходимого сетевого интерфейса
• Нажать кнопку "Удалить".