限制或允许一项资产

限制资产允许您在每个单独资产的级别上监视对关键系统的访问。当你将一个资产标记为受限时,每当有新用户登录该资产时,你都会收到提醒;然后,您可以允许或拒绝对系统的访问,从而有效地编制一个已批准用户列表。

受限资产对于审核对业务运营至关重要的系统(生产web服务器、数据库、C级笔记本电脑等)、安全管理(DCs)、法规遵从性(持卡人数据环境、PII服务器等)的访问非常有用。

您应该尽快限制资产,以便为关键系统建立基线,同时了解哪些用户正在登录到您的关键设备。

限制资产

为了让InsightIDR自动生成受限制资产的警报,您必须首先配置受限制资产的设置。

将资产标记为受限制资产:

  1. 转到个人资产页面。您可以通过“全局搜索”、从“用户详细信息”页面或从“资产和端点”页面访问。
  2. 点击目标“资产信息”右侧的图标。

在“用户详细信息”页面上,选择计算机图标将其标记为“受限”

  1. 如果您已经将exposure或InsightVM与InsightIDR集成在一起,请使用exposure Criticality Score自动设置限制资产设置>资产设置

InsightIDR将生成一个限制资产身份验证当有人使用此资产首次登录时发出警报。

将从该资产生成多个登录黑名单认证警报。

将资产添加到允许列表中

虽然您不能明确地允许从警报中列出资产,但您可以删除与该资产关联的任何现有警报。

要删除任何被阻止的身份验证规则,请转到设置>警报修改>黑名单资产认证.然后点击废物被阻止规则左侧的图标。