Работа с активами
Активом в рамках системы называется сетевой хост (рабочая станция, сервер, сетевое устройство и т.д.). Активы идентифицируются по FQDN, IP-адресу или МAC-адресу (в зависимости от настроек).
Атрибуты актива:
-
Название - произвольная текстовая строка.
-
Value - ценность актива, числовое значение 1 - 5:
-
1 - ключевой актив. Актив в составе системы, обеспечивающей функционирование бизнеса.
-
2 - важный актив. Актив в составе системы, требуемой для штатной работы компании.
-
3 - нормальный актив. Значение по умолчанию.
-
4 - распределенный или не критичный актив. Актив в составе распределенной системы или системы не задействованной в ключевых бизнес-процессах.
-
5 - тестовый актив. Актив, расположенный в тестовой среде. Недоступность данного актива не влияет на ключевые бизнес-процессы.
-
-
Network exposure - сетевая видимость, числовое значение 1 - 5
-
1 - прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).
-
2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).
-
3 - штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) -- Значение по умолчанию.
-
4 - ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).
-
5 - актив, не подключенный к сети.
-
-
Тип - текстовый идентификатор типа системы.
-
Внутреннее примечание - примечание, отображаемое только в интерфейсе администратора.
-
Описание - произвольное текстовое описание.
К активу может быть привязано несколько сетевых интерфейсов. Для актива может быть задана группа ответственных, в этом случае при автоматическом создании инцидентов они будут назначаться данной группе ответственных.
Для удобства управления активы могут добавляться в группы активов.
Обнаружение активов
Существует несколько путей появления активов в системе:
-
обработка результатов сканера уязвимостей;
-
обработка результатов сетевого сканера;
-
создание активов вручную;
-
создание из результатов работы правил корреляции;
Создание активов из результатов сканера уязвимостей
Регулярная актуализация перечня активов по результатам работы сканера уязвимостей является основным методом создания новых активов в системе.
Подробнее описывается в разделе, посвященном интеграции со сканерами уязвимостей.
Создание активов из результатов сетевого сканера
Регулярная актуализация перечня активов по результатам работы сетевого сканера является одним из основных методов создания новых активов в системе и их обновления.
Подробнее описывается в разделе, посвященном работе с сетевым сканером и инвентаризацией.
Создание активов вручную
Создание актива вручную может потребоваться, если система не интегрирована со сканерами уязвимостей или актив не попадает в скоуп сканирования, или сканирование сети невозможно по каким-то причинам.
Для создания нового актива необходимо:
-
Перейти в раздел «Активы», вкладка «Активы».
-
Нажать кнопку «Создать».
-
Заполнить атрибуты актива (см. рисунок 1).
-
Добавить сетевые интерфейсы из списка в системе. Если сетевой интерфейс актива отсутствует в списке его необходимо добавить.
-
Добавить перечень ответственных за данный актив.
-
Нажать «Создать».
Рисунок 1 -- Окно создания активов вручную
Создание активов из результатов работы правил корреляции
В системе реализовано автоматическое создание активов по результатам работы правил корреляции.
Если правило корреляции создает инцидент на активе, идентификатор которого отсутствует в списке активов, система добавляет новый актив в список в состоянии «Неактивен».
Конфигурирование стратегий идентификации активов
Идентификация активов требуется системе для понимания, к какому активу отнести новые инциденты - к существующему или требуется создать новый актив.
В качестве идентификаторов актива могут выступать: FQDN, IP-адрес и MAC-адрес. В системе можно сконфигурировать различные политики идентификации для различных сетевых сегментов. Помимо этого, в системе задается глобальная политика идентификации, которая применяется если актив не попадает под действие ни одной политики, сконфигурированной для подсетей
Создание новой политики идентификации
Для создания новой политики идентификации необходимо:
- Перейти в раздел «Активы», вкладка «Настройка идентификации активов»
- Нажать кнопку «Создать».
- Заполнить атрибуты политики идентификации (см. рисунок 2):
- Имя - название политики.
- Диапазоны - область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации.
- Стратегия - Стратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
- Нажать кнопку «Создать».
Рисунок 2 -- Окно создания новой политики идентификации
Редактирование политики идентификации
Для редактирования политики идентификации необходимо:
- Перейти в раздел «Активы» «Настройка идентификации активов».
- Нажать кнопку «Изменить» напротив политики, в которую необходимо внести изменения.
- Внести изменения в атрибуты политики идентификации (см. рисунок 3):
- Name -- название политики.
- Ranges -- Область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации.
- Strategy -- Стратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
- Нажать кнопку «Обновить Настройка обнаружения активов».
Рисунок 3 -- Окно «Редактирование Настройка обнаружения активов»
Удаление политики идентификации
Для удаления политики идентификации необходимо:
-
Перейти в раздел «Настройка обнаружения активов».
-
Перейти в необходимую политику идентификации.
-
Нажать кнопку «Удалить».
Аналитика по активам
Для оценки риска в разрезе активов доступны следующие инструменты работы с активами.
Фильтрация активов
Для применения фильтра в списке активов необходимо (см. рисунок 4):
Рисунок 4 -- Фильтр активов
-
Для активации фильтра необходимо задать значения фильтруемых атрибутов и нажать кнопку «Поиск».
-
Для сброса условий фильтрации необходимо нажать кнопку «Очистить».
-
Для сохранения условий фильтра нажать кнопку «Сохранить».
-
Для управления фильтрами нажать кнопку «Загрузить».
Просмотр данных по активу
В составе данных по активу доступны следующие блоки
-
сводная информация;
-
инциденты;
-
данные о портах;
-
изменения портов;
-
соответствие ПО;
-
установленное ПО;
-
перечень сообщений, созданных в контексте данного актива.
Сводная информация
Рисунок 5 -- Окно отображения сводной информации по активу
В сводной информации отображаются (см. рисунок 5):
-
Название актива.
-
Тип.
-
Описание.
-
Географическое расположение.
-
Группы активов, в которых состоит актив. По клику возможен переход в интерфейс просмотра группы активов.
-
Группа ответственных за данный актив. По клику возможен переход в интерфейс просмотра группы пользователей.
-
Дата последнего сканирования (при интеграции со сканером уязвимостей).
-
Перечень сетевых интерфейсов.
-
Сетевая видимость актива:
- 1 - Прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).
- 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).
- 3 - Штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) - Значение по умолчанию.
- 4 - Ограниченный доступ в Интернет, доступ к ограниченному набору Интернет - сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).
- 5 - Актив не подключенный к сети.
- Внутренний комментарий доступный только в интерфейсе администратора.
- Перечень инцидентов Данный раздел отображает перечень инцидентов, обнаруженный на выбранном активе (см. рисунок 6). Работа с инцидентами описана в соответствующем разделе.
Рисунок 6 -- Перечень инцидентов, обнаруженных при выбранном активе
Соответствие ПО
В разделе «Оценка соответствия ПО», вкладка «Результаты соответствия ПО» отображаются детали по проверке соответствия программного обеспечения политикам контроля.
Рисунок 7 -- Вкладка «Результаты соответствия ПО»
В таблице отображаются следующие колонки (см. рисунок 7):
-
Группа активов -- группа активов, в рамках которой выполнялась оценка соответствия.
-
Состояние -- статус проверки соответствия для правила контроля.
-
Дата выполнения.
Работа с группами активов
Группы активов упрощают процесс управления активами.
Создание группы активов
Для создания группы активов необходимо:
-
Перейти в раздел «Активы», вкладка «Группы активов».
-
Нажать кнопку «Создать».
-
Заполнить атрибуты группы активов (см. рисунок 8).
-
Название -- название группы активов.
-
Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.
-
Регулярное выражение для FQDN.
-
Группа ответственных -- группы пользователей, ответственных за данную группу активов.
-
Внутреннее примечание.
-
Описание.
-
ИД Системы.
-
Ответственное лицо.
-
Технический специалист.
-
-
Указать наборы правил контроля соответствия установленного программного обеспечения.
-
Нажать кнопку «Создать».
Рисунок 8 -- Окно создания группы активов
Просмотр информации по группе активов
Для просмотра информации по группе активов необходимо:
-
Перейти в раздел «Группы активов».
-
Кликнуть на название группы, по которой требуется просмотреть информацию.
Рисунок 9 -- Информация по группе активов
В форме просмотра отображаются (см. рисунок 9):
-
Название группы.
-
Сетевые диапазоны для автоматической привязки актива к группе.
-
Список связанных активов.
-
Связанные группы пользователей -- перечень групп пользователей, ответственных за данную группу активов.
-
Перечень связанных инцидентов
Кнопка «Редактировать» - открывать форму редактирования атрибутов группы.
Редактирование группы активов
Для редактирования группы активов необходимо:
-
Перейти в раздел «Активы», вкладка «Группы активов».
-
Нажать кнопку «Edit».
-
Заполнить атрибуты группы активов (см. рисунок 10):
-
Название -- название группы активов.
-
Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.
-
Регулярное выражение для FQDN.
-
Группа ответственных -- группы пользователей, ответственных за данную группу активов.
-
Внутреннее примечание.
-
Описание.
-
ИД Системы.
-
Ответственное лицо.
-
Технический специалист.
-
Включить активы в группу/Исключить активы из группы.
-
Указать наборы правил контроля соответствия установленного программного обеспечения.
-
-
Нажать кнопку «Сохранить».
Рисунок 10 -- Окно «Редактирование Группа активов»
Включение активов в группу активов
Рисунок 11 -- Форма включения активов в группу
Включение активов в группу производится в форме редактирования атрибутов активов (см. рисунок 11).
Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени и IP-адресу - для этого нужно начать вводить в поле имя или начало IP-адреса
Для включения активов в группу необходимо выбрать один или несколько активов в списке.
После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.
Исключение активов из группы
Исключение активов из группы производится в форме редактирования атрибутов активов (см. рисунок 12).
Рисунок 12 -- Форма исключения активов из группы
Исключить актив из группы возможно нажатием на кнопку «х» рядом с именем
актива
После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.
Актуализация данных об активах
В ходе эксплуатации системы может потребоваться внести дополнительную информацию или коррективы в данные по активу.
Редактирование данных по активу
Для редактирования информации необходимо:
-
Перейти в раздел «Активы», вкладка «Активы».
-
Кликнуть по заголовку актива, в который необходимо внести коррективы.
-
Нажать кнопку «Редактировать».
-
Внести коррективы в данные об активе.
-
Нажать кнопку «Сохранить».
Классификация новых активов
Для поиска активов, которые некорректно классифицировались автоматически, предусмотрены специализированные фильтры активов:
-
Активы без группы -- перечень активов, не привязанный ни к одной группе.
-
Имя похоже на IP адрес -- системе не удалось определить имя узла автоматически.
-
Повторяющееся имя -- активы с повторяющимся значением имени актива.
Объединение активов
В системе доступен интерфейс, позволяющий объединить данные из нескольких активов в один. Это может потребоваться в случаях:
-
Данные по одному и тому же активу появились в системе из разных источников.
-
Актив был просканирован сканером уязвимостей через различные сетевые интерфейсы.
Для объединения данных по активу необходимо:
-
Перейти в раздел «Активы», вкладка «Активы».
-
Выбрать несколько активов с помощью чекбоксов.
-
Нажать кнопку «Объединить активы».
После выполнения данной операции будет создан новый актив, в котором будут присутствовать следующие данные из объединенных активов:
-
Сетевые интерфейсы.
-
Привязка к группам активов.
-
Инциденты.
Работа с сетевыми интерфейсами
Манипуляции с сетевыми интерфейсами могут потребоваться в случае, если от сканера уязвимостей поступили неточные данные о сетевых интерфейсах или сетевая конфигурация изменилась в ходе эксплуатации
Связывание интерфейса с активом
Форма связывания актива с сетевыми интерфейсами доступна при создании актива вручную и при редактировании актива (см. рисунок 13).
Рисунок 13 -- Форма связывания интерфейса с активом
Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени интерфейса, IP-адресу или MAC-адресу - для применения фильтра необходимо начать писать искомое значение в форму связывания интерфейса.
Для связывания сетевых интерфейсов с активом необходимо выбрать один или несколько активов в списке.
Для отвязывания сетевых интерфейсов от актива необходимо нажать на
кнопку «х» рядом с именем интерфейса
После указанных изменений необходимо сохранить изменения в активе.
Создание сетевых интерфейсов вручную
Для создания нового сетевого интерфейса вручную необходимо:
-
Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».
-
Нажать кнопку «Создать».
-
Заполнить атрибуты сетевого интерфейса (см. рисунок 14):
-
Имя -- имя интерфейса для удобства поиска.
-
IP -- IP-адрес, заданный на интерфейсе.
-
MAC -- MAC-адрес, заданный на интерфейсе.
-
FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.
-
ОС -- операционная система, определяемая через данный интерфейс.
-
Выбрать актив, с которым требуется связать новый интерфейс.
-
-
Нажать кнопку «Создать».
Рисунок 14 -- Создание сетевых интерфейсов вручную
Редактирование сетевого интерфейса
Для редактирования сетевого интерфейса необходимо:
-
Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».
-
Нажать кнопку «Редактировать» напротив сетевого интерфейса, в который необходимо внести изменения.
-
Внести изменения в атрибуты сетевого интерфейса (см. рисунок 15):
-
Имя -- имя интерфейса для удобства поиска.
-
IP -- IP-адрес, заданный на интерфейсе.
-
MAC -- MAC-адрес, заданный на интерфейсе.
-
FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.
-
ОС -- операционная система, определяемая через данный интерфейс.
-
Выбрать актив, с которым требуется связать новый интерфейс.
-
-
Нажать кнопку «Сохранить».
Рисунок 15 -- Окно «Редактирование Сетевой интерфейс»
Удаление сетевого интерфейса
Для удаления сетевого интерфейса необходимо:
-
Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».
-
Перейти в режим редактирования необходимого сетевого интерфейса
-
Нажать кнопку «Удалить».