Перейти к содержанию

Работа с активами

Активом в рамках системы называется сетевой хост (рабочая станция, сервер, сетевое устройство и т. п.). Активы идентифицируются по FQDN, IP-адресу или МAC-адресу (в зависимости от настроек).

Атрибуты актива:

  • Название -- произвольная текстовая строка.

  • Value -- ценность актива, числовое значение 1 -- 5:

    • 1 -- ключевой актив. Актив в составе системы, обеспечивающей функционирование бизнеса.

    • 2 -- важный актив. Актив в составе системы, требуемой для штатной работы компании.

    • 3 -- нормальный актив. Значение по умолчанию.

    • 4 -- распределенный или не критичный актив. Актив в составе распределенной системы или системы не задействованной в ключевых бизнес-процессах.

    • 5 -- тестовый актив. Актив, расположенный в тестовой среде. Недоступность данного актива не влияет на ключевые бизнес-процессы.

  • Network exposure -- сетевая видимость, числовое значение 1 -- 5

    • 1 -- прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).

    • 2 -- DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).

    • 3 -- штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) -- Значение по умолчанию.

    • 4 -- ограниченный доступ в Интернет, доступ к ограниченному набору Интернет-сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).

    • 5 -- актив, не подключенный к сети.

  • Тип -- текстовый идентификатор типа системы.

  • Внутреннее примечание -- примечание, отображаемое только в интерфейсе администратора.

  • Описание -- произвольное текстовое описание.

К активу может быть привязано несколько сетевых интерфейсов. Для актива может быть задана группа ответственных, в этом случае при автоматическом создании инцидентов они будут назначаться данной группе ответственных.

Для удобства управления активы могут добавляться в группы активов.

Обнаружение активов

Существует несколько путей появления активов в системе:

  • обработка результатов сканера уязвимостей;

  • обработка результатов сетевого сканера;

  • создание активов вручную;

  • создание из результатов работы правил корреляции;

Создание активов из результатов сканера уязвимостей

Регулярная актуализация перечня активов по результатам работы сканера уязвимостей является основным методом создания новых активов в системе.

Подробнее описывается в разделе, посвященном интеграции со сканерами уязвимостей.

Создание активов из результатов сетевого сканера

Регулярная актуализация перечня активов по результатам работы сетевого сканера является одним из основных методов создания новых активов в системе и их обновления.

Подробнее описывается в разделе, посвященном работе с сетевым сканером и инвентаризацией.

Создание активов вручную

Создание актива вручную может потребоваться если система не интегрирована со сканерами уязвимостей или актив не попадает в скоуп сканирования, или сканирование сети невозможно по каким-то причинам.

Для создания нового актива необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты актива (Рисунок 50).

  • Добавить сетевые интерфейсы из списка в системе. Если сетевой интерфейс актива отсутствует в списке его необходимо добавить.

  • Добавить перечень ответственных за данный актив.

  • Нажать «Создать».

Рисунок 50 -- Окно создания активов вручную

Создание активов из результатов работы правил корреляции

В системе реализовано автоматическое создание активов по результатам работы правил корреляции.

Если правило корреляции создает инцидент на активе, идентификатор которого отсутствует в списке активов, система добавляет новый актив в список в состоянии «Неактивен».

Конфигурирование стратегий идентификации активов

Идентификация активов требуется системе для понимания, к какому активу отнести новые инциденты -- к существующему или требуется создать новый актив.

В качестве идентификаторов актива могут выступать: FQDN, IP-адрес и MAC-адрес. В системе можно сконфигурировать различные политики идентификации для различных сетевых сегментов. Помимо этого, в системе задается глобальная политика идентификации, которая применяется если актив не попадает под действие ни одной политики, сконфигурированной для подсетей

Создание новой политики идентификации

Для создания новой политики идентификации необходимо:

  • Перейти в раздел «Активы», вкладка «Настройка идентификации активов» .

  • Нажать кнопку «Создать».

<!-- -->
- Заполнить атрибуты политики идентификации (Рисунок 51):

-   Имя -- название политики.

-   Диапазоны -- область действия политики. Адреса подсетей в
    CIDR-нотации, для который будет применяться выбранная стратегия
    идентификации.

-   Стратегия -- Стратегия идентификации. Атрибут, который будет
    использоваться для идентификации актива (FQDN, IP-адрес или
    MAC-адрес).
  • Нажать кнопку «Создать».

Рисунок 51 -- Окно создания новой политики идентификации

Редактирование политики идентификации

Для редактирования политики идентификации необходимо:

  • Перейти в раздел «Активы» «Настройка идентификации активов».

  • Нажать кнопку «Изменить» напротив политики, в которую необходимо внести изменения.

<!-- -->
- Внести изменения в атрибуты политики идентификации (Рисунок 52):

-   Name -- название политики.

-   Ranges -- Область действия политики. Адреса подсетей в
    CIDR-нотации, для который будет применяться выбранная стратегия
    идентификации.

-   Strategy -- Стратегия идентификации. Атрибут, который будет
    использоваться для идентификации актива (FQDN, IP-адрес или
    MAC-адрес).
  • Нажать кнопку «Обновить Настройка обнаружения активов».

Рисунок 52 -- Окно «Редактирование Настройка обнаружения активов»

Удаление политики идентификации

Для удаления политики идентификации необходимо:

  • Перейти в раздел «Настройка обнаружения активов».

  • Перейти в необходимую политику идентификации.

  • Нажать кнопку «Удалить».

Аналитика по активам

Для оценки риска в разрезе активов доступны следующие инструменты работы с активами

Фильтрация активов

Для применения фильтра в списке активов необходимо (Рисунок 53):

Рисунок 53 -- Фильтр активов

  • Для активации фильтра необходимо задать значения фильтруемых атрибутов и нажать кнопку «Поиск».

  • Для сброса условий фильтрации необходимо нажать кнопку «Очистить».

  • Для сохранения условий фильтра нажать кнопку «Сохранить».

  • Для управления фильтрами нажать кнопку «Загрузить».

Просмотр данных по активу

В составе данных по активу доступны следующие блоки

  • сводная информация;

  • инциденты;

  • данные о портах;

  • изменения портов;

  • соответствие ПО;

  • установленное ПО;

  • перечень сообщений, созданных в контексте данного актива.

Сводная информация

Рисунок 54 -- Окно отображения сводной информации по активу

В сводной информации отображаются (Рисунок 54):

  • Название актива.

  • Тип.

  • Описание.

  • Географическое расположение.

  • Группы активов, в которых состоит актив. По клику возможен переход в интерфейс просмотра группы активов.

  • Группа ответственных за данный актив. По клику возможен переход в интерфейс просмотра группы пользователей.

  • Дата последнего сканирования (при интеграции со сканером уязвимостей).

  • Перечень сетевых интерфейсов.

  • Сетевая видимость актива:

<!-- -->
- 1 -- Прямое подключение к Интернет (Межсетевой экран, Сетевой балансировщик, VPN-сервер).

  • 2 -- DMZ, частичный доступ из Интернет для некоторых сервисов (Web-сервер, Proxy).

  • 3 -- Штатный доступ в Интернет через Proxy (Рабочие станции, Внутренние сервера) -- Значение по умолчанию.

  • 4 -- Ограниченный доступ в Интернет, доступ к ограниченному набору Интернет - сервисов (Тонкие клиенты, POS-терминалы, Удаленные офисы).

  • 5 -- Актив не подключенный к сети.

<!-- -->
- Внутренний комментарий доступный только в интерфейсе администратора.

  • Перечень инцидентов Данный раздел отображает перечень инцидентов, обнаруженный на выбранном активе (Рисунок 55). Работа с инцидентами описана в соответствующем разделе.

Рисунок 55 - Перечень инцидентов, обнаруженных при выбранном активе

Соответствие ПО

В разделе «Оценка соответствия ПО», вкладка «Результаты соответствия ПО» отображаются детали по проверке соответствия программного обеспечения политикам контроля.

Рисунок 56 -- Вкладка «Результаты соответствия ПО»

В таблице отображаются следующие колонки (Рисунок 56):

  • Группа активов -- группа активов, в рамках которой выполнялась оценка соответствия.

  • Состояние -- статус проверки соответствия для правила контроля.

  • Дата выполнения.

Работа с группами активов

Группы активов упрощают процесс управления активами.

Создание группы активов

Для создания группы активов необходимо:

  • Перейти в раздел «Активы», вкладка «Группы активов».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты группы активов (Рисунок 60).

    • Название -- название группы активов.

    • Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.

    • Регулярное выражение для FQDN.

    • Группа ответственных -- группы пользователей, ответственных за данную группу активов.

    • Внутреннее примечание.

    • Описание.

    • ИД Системы.

    • Ответственное лицо.

    • Технический специалист.

<!-- -->
- Указать наборы правил контроля соответствия установленного программного обеспечения.

  • Нажать кнопку «Создать».

Рисунок 60 -- Окно создания группы активов

Просмотр информации по группе активов

Для просмотра информации по группе активов необходимо:

  • Перейти в раздел «Группы активов».

  • Кликнуть на название группы, по которой требуется просмотреть информацию.

Рисунок 61 -- Информация по группе активов

В форме просмотра отображаются (Рисунок 61):

  • Название группы.

  • Сетевые диапазоны для автоматической привязки актива к группе.

  • Список связанных активов.

  • Связанные группы пользователей -- перечень групп пользователей, ответственных за данную группу активов.

  • Перечень связанных инцидентов

Кнопка «Редактировать» - открывать форму редактирования атрибутов группы.

Редактирование группы активов

Для редактирования группы активов необходимо:

  • Перейти в раздел «Активы», вкладка «Группы активов».

  • Нажать кнопку «Edit».

  • Заполнить атрибуты группы активов (Рисунок 62):

    • Название -- название группы активов.

    • Маски подсетей в CIDR - нотации -- если данный атрибут заполнен, новые активы, попадающие под указанную сетевую маску, будут автоматически включаться в группу.

    • Регулярное выражение для FQDN.

    • Группа ответственных -- группы пользователей, ответственных за данную группу активов.

    • Внутреннее примечание.

    • Описание.

    • ИД Системы.

    • Ответственное лицо.

    • Технический специалист.

    • Включить активы в группу/Исключить активы из группы.

    • Указать наборы правил контроля соответствия установленного программного обеспечения.

  • Нажать кнопку «Сохранить».

Рисунок 62 -- Окно «Редактирование Группа активов»

Включение активов в группу активов

Рисунок 63 -- Форма включения активов в группу

Включение активов в группу производится в форме редактирования атрибутов активов.

Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени и IP-адресу - для этого нужно начать вводить в поле имя или начало IP-адреса

Для включения активов в группу необходимо выбрать один или несколько активов в списке.

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов (см. п.4.4.2).

Исключение активов из группы

Исключение активов из группы производится в форме редактирования атрибутов активов.

Рисунок 64 -- Форма исключения активов из группы

Исключить актив из группы возможно нажатием на кнопку «х» рядом с именем актива

После проделанных манипуляций необходимо сохранить изменения в группе активов. Данная операция также доступна из контекста списка активов (см. п.5.4.2).

Актуализация данных об активах

В ходе эксплуатации системы может потребоваться внести дополнительную информацию или коррективы в данные по активу.

Редактирование данных по активу

Для редактирования информации необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Кликнуть по заголовку актива, в который необходимо внести коррективы.

  • Нажать кнопку «Редактировать».

  • Внести коррективы в данные об активе.

  • Нажать кнопку «Сохранить».

Классификация новых активов

Для поиска активов, которые некорректно классифицировались автоматически, предусмотрены специализированные фильтры активов:

  • Активы без группы -- перечень активов, не привязанный ни к одной группе.

  • Имя похоже на IP адрес -- системе не удалось определить имя узла автоматически.

  • Повторяющееся имя -- активы с повторяющимся значением имени актива.

Объединение активов

В системе доступен интерфейс, позволяющий объединить данные из нескольких активов в один. Это может потребоваться в случаях:

  • Данные по одному и тому же активу появились в системе из разных источников.

  • Актив был просканирован сканером уязвимостей через различные сетевые интерфейсы.

Для объединения данных по активу необходимо:

  • Перейти в раздел «Активы», вкладка «Активы».

  • Выбрать несколько активов с помощью чекбоксов.

  • Нажать кнопку «Объединить активы».

После выполнения данной операции будет создан новый актив, в котором будут присутствовать следующие данные из объединенных активов:

  • Сетевые интерфейсы.

  • Привязка к группам активов.

  • Инциденты.

Работа с сетевыми интерфейсами

Манипуляции с сетевыми интерфейсами могут потребоваться в случае, если от сканера уязвимостей поступили неточные данные о сетевых интерфейсах или сетевая конфигурация изменилась в ходе эксплуатации

Связывание интерфейса с активом

Форма связывания актива с сетевыми интерфейсами доступна при создании актива вручную и при редактировании актива.

Рисунок 71 --Форма связывания интерфейса с активом

Для удобства связывания список доступных интерфейсов можно отфильтровать по Имени интерфейса, IP-адресу или MAC-адресу - для применения фильтра необходимо начать писать искомое значение в форму связывания интерфейса.

Для связывания сетевых интерфейсов с активом необходимо выбрать один или несколько активов в списке.

Для отвязывания сетевых интерфейсов от актива необходимо нажать на кнопку «х» рядом с именем интерфейса

После указанных изменений необходимо сохранить изменения в активе.

Создание сетевых интерфейсов вручную

Для создания нового сетевого интерфейса вручную необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Нажать кнопку «Создать».

  • Заполнить атрибуты сетевого интерфейса (Рисунок 72):

    • Имя -- имя интерфейса для удобства поиска.

    • IP -- IP-адрес, заданный на интерфейсе.

    • MAC -- MAC-адрес, заданный на интерфейсе.

    • FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.

    • ОС -- операционная система, определяемая через данный интерфейс.

    • Выбрать актив, с которым требуется связать новый интерфейс.

  • Нажать кнопку «Создать».

Рисунок 72 -- Создание сетевых интерфейсов вручную

Редактирование сетевого интерфейса

Для редактирования сетевого интерфейса необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Нажать кнопку «Редактировать» напротив сетевого интерфейса, в который необходимо внести изменения.

  • Внести изменения в атрибуты сетевого интерфейса (Рисунок 73):

    • Имя -- имя интерфейса для удобства поиска.

    • IP -- IP-адрес, заданный на интерфейсе.

    • MAC -- MAC-адрес, заданный на интерфейсе.

    • FQDN -- Доменное имя для IP-адреса заданного на интерфейсе.

    • ОС -- операционная система, определяемая через данный интерфейс.

    • Выбрать актив, с которым требуется связать новый интерфейс.

  • Нажать кнопку «Сохранить».

Рисунок 73 -- Окно «Редактирование Сетевой интерфейс»

Удаление сетевого интерфейса

Для удаления сетевого интерфейса необходимо:

  • Перейти в раздел «Активы», вкладка «Сетевые интерфейсы».

  • Перейти в режим редактирования необходимого сетевого интерфейса

  • Нажать кнопку «Удалить».