使用标记应用RealContext

在跟踪组织中的资产时,您可能需要根据您的业务识别,组和报告它们。

例如,您在俄亥俄州克利夫兰市的会计办公室有一台带有敏感财务数据的服务器和多个工作站。会计部门最近增加了三名新员工。他们的工作站刚刚上线,需要立即安装多个安全补丁。您要分配与安全相关的为不同的IT管理员维护这些记帐资产:SQL和Linux专家负责服务器,Windows管理员负责工作站。您希望让这些管理员知道这些资产具有高优先级。

这些资产对您的组织具有重要意义。如果他们受到攻击,您的业务运营可能会扰乱甚至停止。他们的数据的损失或损坏可能是灾难性的。

扫描数据通过IP地址、漏洞计数、风险评分以及安装的操作系统和服务来区分这些资产。它不会根据前面场景中描述的独特业务条件来隔离它们。

使用一个叫做RealContext,你可以申请标签为了做到这一点,我们需要这些资产。您可以使用克利夫兰地点和地点很高临界水平。你可以给你的会计服务器贴上标签,财务数据,并为其指定一个名为克里斯他是一位具有SQL专业知识的Linux管理员。您可以将您的Windows工作站分配给名为的Windows管理员所有者布雷特。您可以在新工作站上贴上标签第一季度员工.然后,您可以根据这些标签创建动态资产组,并将标记资产的报告发送给Chris和Brett,以便他们知道应优先考虑工作站资产进行补救。有关使用标签相关搜索过滤器来创建动态资产组的信息,请参阅执行过滤的资产搜索

您还可以使用标记作为报告范围的过滤器。看到创建基本报告

标签类型

您可以使用几个内置标记:

  • 您可以根据资产的地理位置或物理位置对其进行标记和跟踪地点,如数据中心。
  • 你可以将资产与主人,例如您的IT或安全团队的成员,负责管理它们。
  • 您可以应用不同级别的临界性对资产进行评估,以表明其对您的业务的重要性或攻击对其造成的负面影响。临界级别可以是超低空低的中等很高. 此外,您可以将数值应用于关键性级别,并将这些数字用作影响风险评分的乘数。有关详细信息,请参阅以临界性调整风险.您还可以创建自定义标记,允许您根据可能对您有意义的任何上下文隔离和跟踪资产。例如,您可以标记某些资产PCI网站后台顾问的笔记本电脑

标记资产、场地和资产组

您可以在该资产的详细信息页面上单独标记该资产。您还可以标记站点或资产组,这将把标记应用到所有成员资产。无论你在哪里标记资产,标记工作流都是相同的:

  1. 如果您正在创建或编辑一个站点:进入一般的第页,共页站点配置面板,然后选择添加标签. 如果要创建或编辑静态资产组:请转到一般的第页,共页资产组配置面板,然后选择添加标签.如果您正在创建或编辑动态资产组:在配置面板中,选择资产组添加标签.如果您刚刚运行了一个过滤过的资产搜索:要标记所有搜索结果,请选择添加标签,它在搜索结果表上面看起来过滤资产搜索

用于配置标记的部分将展开。

  1. 选择标记类型。
  2. 如果你选择自定义标记位置老板,键入新标记名称以创建新标记。要添加多个名称,请输入一个名称,按ENTER键,输入下一个名称,按ENTER键,然后根据需要重复。要应用先前创建的标记,请输入标记的名称,直到该名称的其余部分填满文本框。如果您正在创建一个新的自定义标记,请选择标记名称将显示的颜色。所有的内置标签都有预设的颜色。

如果选择关键性,请从下拉列表中选择关键性级别。

  1. 点击添加
  2. 如果您正在创建或编辑站点或资产组,请单击保存保存配置更改。

将资源导入到标签中

为了简化对大量资产的标记管理,可以使用文本标记将标记应用于一组资产(。文本)文件,该文件包含主机名和/或IP地址和范围的列表。Security Console使用新行作为分隔符计算这些文本文件,因此如果指定多个目标,请确保每个主机名或IP地址在文件中各自的行中打印。

要使用文本文件将资产导入标签:

  1. 点击标签。
  2. 资产标签区域,选择一个资产标记。出现“资产标记”页面。
  3. 资产区域,点击从文件中添加资产.这从文件中添加资产窗口出现。
  4. 点击选择文件,然后选择相应的文本文件。请记住,文件中的每一行应该只包含一个主机名或IP地址。
  5. 选择一个选项:
    • 点击覆盖标记如果要替换所有当前资产。此功能不会影响资产标准。
    • 点击追加标记向流动资产中添加新资产。

所选标记将应用于所有有效资产。

使用动态资产过滤器应用业务环境

应用标记的另一种方法是指定可动态应用标记的条件。这允许您基于过滤器应用业务上下文,而无需创建新站点或组。它还允许您添加新的条件,在您认为哪些资产应该具有标记时,而不是在您第一次标记资产时。例如,您可能已经搜索了符合某些支付卡行业(PCI)标准的所有资产,并应用了临界水平。稍后,您决定也要过滤Windows操作系统。的页面上可以应用附加筛选器关键级别本身。

要使用动态资产筛选器应用业务上下文,请执行以下操作:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击添加标签标准
  3. 选择搜索过滤器。可用过滤器与资产搜索过滤器中可用的过滤器相同。看见执行过滤的资产搜索.您可以使用任何限制您可以使用的过滤器与临界标签一起使用。看到关键性标签的筛选限制
  4. 挑选搜寻
  5. 挑选保存

要查看标记的现有业务上下文,请执行以下操作:

  • 在该标记的详细信息页面上,选择视图标签标准

要编辑、添加新标记或删除标记的动态资源过滤器,请执行以下操作:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击编辑标记条件
  3. 编辑或添加搜索过滤器。可用的筛选器与资产搜索筛选器中的筛选器相同。看到执行过滤的资产搜索.您可以使用任何限制您可以使用的过滤器与临界标签一起使用。看到关键性标签的筛选限制
  4. 挑选搜寻
  5. 挑选保存

要删除标记的所有条件,请执行以下操作:

  • 在该标记的详细信息页面上,选择明确的标签标准

关键性标签的筛选限制

某些过滤器被限制为临界标签,以防止循环引用. 这些限制适用于通过应用的关键性标签标记标准,以及通过动态资产组添加的人。看到执行过滤的资产搜索

以下过滤器不能与临界标签一起使用:

  • 资产风险评分
  • 用户添加临界水平
  • 用户添加了自定义标记
  • 用户添加的标签(位置)
  • 用户添加的标记(所有者)

删除和删除标记

如果标记不再准确反映资产的业务上下文,则可以将其从该资产中删除。要执行此操作,请单击x标记名称旁边的按钮。如果标记名长于一行,请将鼠标悬停在名称下方的和号上展开标记名,然后单击x按钮删除标记与删除标记不同。

如果你标记一个站点或资产组,所有的成员资产将“继承”该标记。不能在单个资产级别删除继承的标记。相反,您将需要编辑应用标签的站点或资产组,并在那里删除它。

如果标记根本不再具有任何业务相关性,则可以完全删除它。

您无法删除一个关键性标记。

要删除标签,请转到标签页面:

单击任何标记的名称以转到该标记的详细信息页面。然后点击查看所有标签面包屑。

点击资产图标,然后单击列出的标记数标记的资产,即使这个数字是零。

资产标签清单表1标签页选中要删除的任何标记的复选框。要选择所有显示的标记,请选中顶行中的复选框。然后,单击删除

提示:如果您想在删除标记之前查看与该标记关联的资产,请单击标记名称查看其详细信息页面。如果您想对这些资源应用不同的标记,这可能会很有帮助。

更改资产的关键性

随着时间的推移,资产的关键性可能会改变。例如,可以最初由临时工作者使用膝上型计算机而不包含敏感数据,这将表示低临界性。稍后可以由高级执行器使用该笔记本电脑,并包含敏感数据,这将优于更高的临界程度。

更改资产临界级别的选项取决于初始临界级别最初应用的位置以及更改的位置:

  • 如果将临界级别应用于站点,然后更改会员资产的关键性,则只能增加临界级别。例如,如果应用临界程度中等,然后更改单个成员资产的临界级别,您只能将该级别更改为很高
  • 如果您对资产组应用临界级别,如果任何资产在其他地方(在网站,其他资产组或单独或单独)上存在关键性水平,则资产将保留最高施用的临界水平。例如,一个名为的资产Server_1属于一个名为波士顿临界水平为中等. 危险程度很高稍后单独应用于服务器_1。如果应用对于包含服务器1的新资产组,它将保留很高临界水平。
  • 如果将临界级别应用于单个资产,则稍后可以将关键性更改为任何所需的级别。

创建标记而不应用它们

您可以在不立即将标记应用于资产的情况下创建标记。例如,如果您希望建立标记名称写入方式的约定,这可能会有所帮助。

  1. 点击资产图标,然后单击列出的标记数标记的资产,即使这个数字是零。或单击创建选项卡,然后选择标签从下拉列表中。
  2. 点击添加标签并添加任何标记,如中所述标记资产、场地和资产组

标记资产组时避免“循环引用”

您可以将相同的标记应用于一个资产以及包含它的资产组。例如,您可能希望基于标记有特定位置或所有者的资产创建组。这可能偶尔会导致一个循环引用循环,在这个循环中,标签引用自己,而不是最初应用它们的资产或组。这可能会阻止您从标记中获得有用的上下文。

以下示例显示了如何使用位置和自定义标记生成循环引用:

  1. 第一个用户用位置标记多个资产克利夫兰
  2. 用户创建一个名为中西部办公室基于资产标记的搜索结果克利夫兰
  3. 用户应用名为的自定义标记会计中西部办公室资产组,因为组中的所有资产都由会计团队使用。
  4. 另一个用户,他没有意识到中西部办公室动态资产组或克利夫兰标记,创建名为的新动态资产组金融搜索结果基于会计标签。
  5. 该用户标记金融组队克利夫兰,希望组中的所有资产都将继承标记。但是因为这些资产被贴上了标签克利夫兰由第一个用户克利夫兰标签现在在一个潜在的无限循环中引用自己。

以下示例显示了循环引用如何在临界状态下发生:

  1. 您将创建一个动态资产组优先级对于原始风险分数低于1000的所有资产。其中一项资产被命名为Server_1
  2. 你用a标记这个组很高关键级别,以便组中的每个资产都继承标记。
  3. 您的安全控制台已配置为使用很高临界水平。看到以临界性调整风险
  4. Server_1其风险分数翻倍,导致其不再满足优先级.因此,它被删除了优先级
  5. 自从Server_1不再继承很高适用于的临界水平优先级,则恢复到其原始风险分数,该分数低于1000。
  6. Server_1现在又一次符合了加入欧盟的标准优先级,因此它再次继承了很高应用到资产组的临界级别。这再次导致它的风险评分翻倍,因此它不再符合加入欧盟的标准优先级. 这是一个循环参考循环。

防止循环引用的最佳方法是查看“标记”页面以查看创建了哪些标记。然后转到“详细信息”页面以查找您正在考虑使用的标记,并查看该标记应用于哪些资产、站点和资产组。如果您有多个安全控制台用户以及大量的标记和资产组,这将特别有用要访问标记的详细信息页面,只需单击标记名称。