Перейти к содержанию

Работа с активами

Активом в рамках системы называется сетевой хост (рабочая станция, сервер, сетевое устройство и т.д.). Активы идентифицируются по FQDN, IP-адресу или МAC-адресу (в зависимости от настроек).

Атрибуты актива:

  • Название - произвольная текстовая строка.

  • Value - ценность актива, числовое значение 1 - 5:

    • 1 - ключевой актив. Актив в составе системы, обеспечивающей функционирование бизнеса.

    • 2 - важный актив. Актив в составе системы, требуемой для штатной работы компании.

    • 3 - нормальный актив. Значение по умолчанию.

    • 4 - распределенный или не критичный актив. Актив в составе распределенной системы или системы не задействованной в ключевых бизнес-процессах.

    • 5 - тестовый актив. Актив, расположенный в тестовой среде. Недоступность данного актива не влияет на ключевые бизнес-процессы.

  • Network exposure - сетевая видимость, числовое значение 1 - 5

    • 1 - прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).

    • 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).

    • 3 - штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) -- Значение по умолчанию.

    • 4 - ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).

    • 5 - актив, не подключенный к сети.

  • Тип - текстовый идентификатор типа системы.

  • Внутреннее примечание - примечание, отображаемое только в интерфейсе администратора.

  • Описание - произвольное текстовое описание.

К активу может быть привязано несколько сетевых интерфейсов. Для актива может быть задана группа ответственных, в этом случае при автоматическом создании инцидентов они будут назначаться данной группе ответственных.

Для удобства управления активы могут добавляться в группы активов.

Обнаружение активов

Существует несколько путей появления активов в системе:

  • обработка результатов сканера уязвимостей;

  • обработка результатов сетевого сканера;

  • создание активов вручную;

  • создание из результатов работы правил корреляции;

Создание активов из результатов сканера уязвимостей

Регулярная актуализация перечня активов по результатам работы сканера уязвимостей является основным методом создания новых активов в системе.

Подробнее описывается в разделе, посвященном интеграции со сканерами уязвимостей.

Создание активов из результатов сетевого сканера

Регулярная актуализация перечня активов по результатам работы сетевого сканера является одним из основных методов создания новых активов в системе и их обновления.

Подробнее описывается в разделе, посвященном работе с сетевым сканером и инвентаризацией.

Создание активов вручную

Создание актива вручную может потребоваться, если система не интегрирована со сканерами уязвимостей или актив не попадает в скоуп сканирования, или сканирование сети невозможно по каким-то причинам.

Для создания нового актива необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты актива (см. рисунок 1).

  • Добавить сетевые интерфейсы из списка в системе. Если сетевой интерфейс актива отсутствует в списке его необходимо добавить.

  • Добавить перечень ответственных за данный актив.

  • Нажать «Создать».

Рисунок 1 -- Окно создания активов вручную

Создание активов из результатов работы правил корреляции

В системе реализовано автоматическое создание активов по результатам работы правил корреляции.

Если правило корреляции создает инцидент на активе, идентификатор которого отсутствует в списке активов, система добавляет новый актив в список в состоянии «Неактивен».

Конфигурирование стратегий идентификации активов

Идентификация активов требуется системе для понимания, к какому активу отнести новые инциденты - к существующему или требуется создать новый актив.

В качестве идентификаторов актива могут выступать: FQDN, IP-адрес и MAC-адрес. В системе можно сконфигурировать различные политики идентификации для различных сетевых сегментов. Помимо этого, в системе задается глобальная политика идентификации, которая применяется если актив не попадает под действие ни одной политики, сконфигурированной для подсетей

Создание новой политики идентификации

Для создания новой политики идентификации необходимо:

  • Перейти в раздел «Активы», вкладка «Настройка идентификации активов»
  • Нажать кнопку «Создать».
  • Заполнить атрибуты политики идентификации (см. рисунок 2):
    • Имя - название политики.
    • Диапазоны - область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации.
    • Стратегия - Стратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
  • Нажать кнопку «Создать».

Рисунок 2 -- Окно создания новой политики идентификации

Редактирование политики идентификации

Для редактирования политики идентификации необходимо:

  • Перейти в раздел «Активы» «Настройка идентификации активов».
  • Нажать кнопку «Изменить» напротив политики, в которую необходимо внести изменения.
  • Внести изменения в атрибуты политики идентификации (см. рисунок 3):
    • Name -- название политики.
    • Ranges -- Область действия политики. Адреса подсетей в CIDR-нотации, для который будет применяться выбранная стратегия идентификации.
    • Strategy -- Стратегия идентификации. Атрибут, который будет использоваться для идентификации актива (FQDN, IP-адрес или MAC-адрес).
  • Нажать кнопку «Обновить Настройка обнаружения активов».

Рисунок 3 -- Окно «Редактирование Настройка обнаружения активов»

Удаление политики идентификации

Для удаления политики идентификации необходимо:

  • Перейти в раздел «Настройка обнаружения активов».

  • Перейти в необходимую политику идентификации.

  • Нажать кнопку «Удалить».

Аналитика по активам

Для оценки риска в разрезе активов доступны следующие инструменты работы с активами.

Фильтрация активов

Для применения фильтра в списке активов необходимо (см. рисунок 4):

Рисунок 4 -- Фильтр активов

  • Для активации фильтра необходимо задать значения фильтруемых атрибутов и нажать кнопку «Поиск».

  • Для сброса условий фильтрации необходимо нажать кнопку «Очистить».

  • Для сохранения условий фильтра нажать кнопку «Сохранить».

  • Для управления фильтрами нажать кнопку «Загрузить».

Просмотр данных по активу

В составе данных по активу доступны следующие блоки

  • сводная информация;

  • инциденты;

  • данные о портах;

  • изменения портов;

  • соответствие ПО;

  • установленное ПО;

  • перечень сообщений, созданных в контексте данного актива.

Сводная информация

Рисунок 5 -- Окно отображения сводной информации по активу

В сводной информации отображаются (см. рисунок 5):

  • Название актива.

  • Тип.

  • Описание.

  • Географическое расположение.

  • Группы активов, в которых состоит актив. По клику возможен переход в интерфейс просмотра группы активов.

  • Группа ответственных за данный актив. По клику возможен переход в интерфейс просмотра группы пользователей.

  • Дата последнего сканирования (при интеграции со сканером уязвимостей).

  • Перечень сетевых интерфейсов.

  • Сетевая видимость актива:

    • 1 - Прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).
    • 2 - DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).
    • 3 - Штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) - Значение по умолчанию.
    • 4 - Ограниченный доступ в Интернет, доступ к ограниченному набору Интернет - сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).
    • 5 - Актив не подключенный к сети.
  • Внутренний комментарий доступный только в интерфейсе администратора.
  • Перечень инцидентов Данный раздел отображает перечень инцидентов, обнаруженный на выбранном активе (см. рисунок 6). Работа с инцидентами описана в соответствующем разделе.

Рисунок 6 -- Перечень инцидентов, обнаруженных при выбранном активе

Соответствие ПО

В разделе «Оценка соответствия ПО», вкладка «Результаты соответствия ПО» отображаются детали по проверке соответствия программного обеспечения политикам контроля.

Рисунок 7 -- Вкладка «Результаты соответствия ПО»

В таблице отображаются следующие колонки (см. рисунок 7):

  • Группа активов -- группа активов, в рамках которой выполнялась оценка соответствия.

  • Состояние -- статус проверки соответствия для правила контроля.

  • Дата выполнения.

Работа с группами активов

Группы активов упрощают процесс управления активами.

Создание группы активов

Для создания группы активов необходимо:

  • Перейти в раздел «Активы», вкладка «Группы активов».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты группы активов (см. рисунок 8).

    • Название -- название группы активов.

    • Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.

    • Регулярное выражение для FQDN.

    • Группа ответственных -- группы пользователей, ответственных за данную группу активов.

    • Внутреннее примечание.

    • Описание.

    • ИД Системы.

    • Ответственное лицо.

    • Технический специалист.

  • Указать наборы правил контроля соответствия установленного программного обеспечения.

  • Нажать кнопку «Создать».

Рисунок 8 -- Окно создания группы активов

Просмотр информации по группе активов

Для просмотра информации по группе активов необходимо:

  • Перейти в раздел «Группы активов».

  • Кликнуть на название группы, по которой требуется просмотреть информацию.

Рисунок 9 -- Информация по группе активов

В форме просмотра отображаются (см. рисунок 9):

  • Название группы.

  • Сетевые диапазоны для автоматической привязки актива к группе.

  • Список связанных активов.

  • Связанные группы пользователей -- перечень групп пользователей, ответственных за данную группу активов.

  • Перечень связанных инцидентов

Кнопка «Редактировать» - открывать форму редактирования атрибутов группы.

Редактирование группы активов

Для редактирования группы активов необходимо:

  • Перейти в раздел «Активы», вкладка «Группы активов».

  • Нажать кнопку «Edit».

  • Заполнить атрибуты группы активов (см. рисунок 10):

    • Название -- название группы активов.

    • Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.

    • Регулярное выражение для FQDN.

    • Группа ответственных -- группы пользователей, ответственных за данную группу активов.

    • Внутреннее примечание.

    • Описание.

    • ИД Системы.

    • Ответственное лицо.

    • Технический специалист.

    • Включить активы в группу/Исключить активы из группы.

    • Указать наборы правил контроля соответствия установленного программного обеспечения.

  • Нажать кнопку «Сохранить».

Рисунок 10 -- Окно «Редактирование Группа активов»

Включение активов в группу активов

Рисунок 11 -- Форма включения активов в группу

Включение активов в группу производится в форме редактирования атрибутов активов (см. рисунок 11).

Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени и IP-адресу - для этого нужно начать вводить в поле имя или начало IP-адреса

Для включения активов в группу необходимо выбрать один или несколько активов в списке.

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.

Исключение активов из группы

Исключение активов из группы производится в форме редактирования атрибутов активов (см. рисунок 12).

Рисунок 12 -- Форма исключения активов из группы

Исключить актив из группы возможно нажатием на кнопку «х» рядом с именем актива

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов.

Актуализация данных об активах

В ходе эксплуатации системы может потребоваться внести дополнительную информацию или коррективы в данные по активу.

Редактирование данных по активу

Для редактирования информации необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Кликнуть по заголовку актива, в который необходимо внести коррективы.

  • Нажать кнопку «Редактировать».

  • Внести коррективы в данные об активе.

  • Нажать кнопку «Сохранить».

Классификация новых активов

Для поиска активов, которые некорректно классифицировались автоматически, предусмотрены специализированные фильтры активов:

  • Активы без группы -- перечень активов, не привязанный ни к одной группе.

  • Имя похоже на IP адрес -- системе не удалось определить имя узла автоматически.

  • Повторяющееся имя -- активы с повторяющимся значением имени актива.

Объединение активов

В системе доступен интерфейс, позволяющий объединить данные из нескольких активов в один. Это может потребоваться в случаях:

  • Данные по одному и тому же активу появились в системе из разных источников.

  • Актив был просканирован сканером уязвимостей через различные сетевые интерфейсы.

Для объединения данных по активу необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Выбрать несколько активов с помощью чекбоксов.

  • Нажать кнопку «Объединить активы».

После выполнения данной операции будет создан новый актив, в котором будут присутствовать следующие данные из объединенных активов:

  • Сетевые интерфейсы.

  • Привязка к группам активов.

  • Инциденты.

Работа с сетевыми интерфейсами

Манипуляции с сетевыми интерфейсами могут потребоваться в случае, если от сканера уязвимостей поступили неточные данные о сетевых интерфейсах или сетевая конфигурация изменилась в ходе эксплуатации

Связывание интерфейса с активом

Форма связывания актива с сетевыми интерфейсами доступна при создании актива вручную и при редактировании актива (см. рисунок 13).

Рисунок 13 -- Форма связывания интерфейса с активом

Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени интерфейса, IP-адресу или MAC-адресу - для применения фильтра необходимо начать писать искомое значение в форму связывания интерфейса.

Для связывания сетевых интерфейсов с активом необходимо выбрать один или несколько активов в списке.

Для отвязывания сетевых интерфейсов от актива необходимо нажать на кнопку «х» рядом с именем интерфейса

После указанных изменений необходимо сохранить изменения в активе.

Создание сетевых интерфейсов вручную

Для создания нового сетевого интерфейса вручную необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты сетевого интерфейса (см. рисунок 14):

    • Имя -- имя интерфейса для удобства поиска.

    • IP -- IP-адрес, заданный на интерфейсе.

    • MAC -- MAC-адрес, заданный на интерфейсе.

    • FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.

    • ОС -- операционная система, определяемая через данный интерфейс.

    • Выбрать актив, с которым требуется связать новый интерфейс.

  • Нажать кнопку «Создать».

Рисунок 14 -- Создание сетевых интерфейсов вручную

Редактирование сетевого интерфейса

Для редактирования сетевого интерфейса необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Нажать кнопку «Редактировать» напротив сетевого интерфейса, в который необходимо внести изменения.

  • Внести изменения в атрибуты сетевого интерфейса (см. рисунок 15):

    • Имя -- имя интерфейса для удобства поиска.

    • IP -- IP-адрес, заданный на интерфейсе.

    • MAC -- MAC-адрес, заданный на интерфейсе.

    • FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.

    • ОС -- операционная система, определяемая через данный интерфейс.

    • Выбрать актив, с которым требуется связать новый интерфейс.

  • Нажать кнопку «Сохранить».

Рисунок 15 -- Окно «Редактирование Сетевой интерфейс»

Удаление сетевого интерфейса

Для удаления сетевого интерфейса необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Перейти в режим редактирования необходимого сетевого интерфейса

  • Нажать кнопку «Удалить».