限制或允许资产

限制资产允许您在每个单独资产的级别上监视对关键系统的访问。当你将一个资产标记为受限时,每当有新用户登录该资产时,你都会收到提醒;然后,您可以允许或拒绝对系统的访问,从而有效地编制一个已批准用户列表。

受限资产可用于审计对业务操作(生产web服务器、数据库、c级笔记本电脑等)、安全管理(DCs)、遵从性(持卡人数据环境、PII服务器等)至关重要的系统的访问。

您应该尽快限制资产,以便为关键系统建立基线,同时获得哪些用户登录到您的关键设备的有价值的见解。

限制资产

为了让InsightIDR自动生成受限制资产的警报,您必须首先配置受限制资产周围的设置。

将资产标记为受限制资产:

  1. 转到个人资产页面。你可以通过“全球搜索”,从“用户详细信息”页面,或从“资产和端点”页面。
  2. 单击目标“资产信息”右侧的图标。

在“用户详细信息”页面,选择电脑图标,标记为“受限制”。

  1. 如果您已经将exposure或InsightVM与InsightIDR集成在一起,请使用exposure Criticality Score自动设置限制资产设置>资产设置

InsightIDR将生成限制资产身份验证当有人使用此资产首次登录时发出警报。

将从该资产生成多个登录列入黑名单的身份验证警报。

将资产添加到允许列表中

虽然您不能明确地允许从警报中列出资产,但您可以删除与该资产关联的任何现有警报。

删除被屏蔽的认证规则,执行设置>警报修改>资产的黑名单认证.然后点击垃圾图标位于被阻止规则的左边。