应用带有标签的RealContext

在追踪组织中的资产时,您可能需要根据对您的业务影响的方式识别,组和报告它们。

例如,您在位于俄亥俄州克利夫兰的会计办公室拥有一个具有敏感财务数据的服务器和一些工作站。会计部最近增加了三名新职员。他们的工作站刚刚上线,需要马上打一些安全补丁。您希望将这些会计资产的安全相关维护工作分配给不同的IT管理员:SQL和Linux专家负责服务器,Windows管理员负责工作站。您希望让这些管理员知道这些资产具有高优先级。

这些资产对您的组织具有重要意义。如果他们受到攻击,您的业务运营可能会扰乱甚至停止。他们的数据的损失或损坏可能是灾难性的。

扫描数据通过IP地址、漏洞计数、风险评分以及安装的操作系统和服务来区分这些资产。它不会根据前面场景中描述的独特业务条件来隔离它们。

使用一个叫做RealContext,你可以申请标签对这些资产进行投资。你可以用a标记所有这些会计资产克利夫兰位置和一个非常高的临界水平。你可以给你的会计服务器贴上标签,金融类股,并为其分配一个名为克里斯他是一位具有SQL专业知识的Linux管理员。您可以将您的Windows工作站分配给名为的Windows管理员所有者布雷特.你可以用这个标签标记新的工作站第一季度员工.然后,您可以根据这些标签创建动态资产组,并将标记资产的报告发送给Chris和Brett,以便他们知道应优先考虑工作站资产进行补救。有关使用与标签相关搜索过滤器来创建动态资产组的信息,请参阅执行过滤的资产搜索

您还可以使用标记作为报告范围的过滤器。看到创建基本报告

类型的标签

你可以使用几个内置标签:

  • 您可以根据资产的地理位置或物理位置对其进行标记和跟踪地点,如数据中心。
  • 你可以将资产与主人,例如您的IT或安全团队的成员,负责管理它们。
  • 你可以应用等级临界资产,以表明它们对你的业务的重要性,或对它们的攻击造成的负面影响。一个临界级别可以是非常低的低的媒介,或非常高的.此外,您可以将数值应用到临界级别,并将这些数字用作影响风险评分的乘数。有关更多信息,请参见以临界性调整风险.您还可以创建自定义标签,允许您根据可能对您有意义的任何上下文隔离和跟踪资产。例如,您可以标记某些资产一种总线标准网站后台,或顾问的笔记本电脑

标记资产、站点和资产组

您可以在该资产的详细信息页面上单独标记该资产。您还可以标记站点或资产组,这将把标记应用到所有成员资产。无论你在哪里标记资产,标记工作流都是相同的:

  1. 如果您正在创建或编辑一个站点:进入一般页面的网站配置面板,并选择添加标签.如果您正在创建或编辑静态资产组一般页面的资产组配置面板,并选择添加标签.如果您正在创建或编辑动态资产组:在配置面板的资产组,选择添加标签.如果您刚刚运行了一个过滤过的资产搜索:要标记所有搜索结果,请选择添加标签,它在搜索结果表上方看起来过滤后的资产搜索页面。

标签配置章节展开。

  1. 选择标记类型。
  2. 如果你选择自定义标记位置,或老板,键入新标记名称以创建新标记。要添加多个名称,请输入一个名称,按ENTER键,输入下一个名称,按ENTER键,然后根据需要重复。要应用先前创建的标记,请输入标记的名称,直到该名称的其余部分填满文本框。如果您正在创建一个新的自定义标记,请选择标记名称将显示的颜色。所有的内置标签都有预设的颜色。

如果选择“临界”,请在下拉列表中选择临界级别。

  1. 点击添加
  2. 如果您正在创建或编辑站点或资产组,请单击保存保存配置更改。

将资源导入到标签中

为了简化跨大量资产的标记管理,您可以使用文本(。文本)文件,该文件包含主机名和/或IP地址和范围的列表。Security Console使用新行作为分隔符计算这些文本文件,因此如果指定多个目标,请确保每个主机名或IP地址在文件中各自的行中打印。

使用文本文件将资产导入标签:

  1. 点击首页选项卡。
  2. 资产标签区域,选择资产标记。出现“资产标记”页面。
  3. 资产区域,点击从文件中添加资产.这从文件中添加资产窗口出现。
  4. 点击选择文件,然后选择适当的文本文件。请记住,文件中的每一行应该只包含一个主机名或IP地址。
  5. 选择一个选项:
    • 点击覆盖标签如果要替换所有当前资产。此功能不会影响资产标准。
    • 点击追加标记将新资产添加到当前资产中。

所选标记应用于所有有效资产。

使用动态资产过滤器应用业务环境

应用标记的另一种方法是指定可以动态应用哪些标记的标准。这允许您基于过滤器应用业务上下文,而不必创建新的站点或组。它还允许您根据自己的想法为哪些资产添加标签,而不是在第一个标签资产时添加新的标准。例如,您可能已经搜索了满足某些支付卡行业(PCI)标准的所有资产,并应用了临界水平。稍后,您决定也要过滤Windows操作系统。的页面上可以应用附加筛选器关键级别本身。

要使用动态资产过滤器应用业务上下文:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击添加标签标准
  3. 选择搜索筛选器。可用的筛选器与资产搜索筛选器中的筛选器相同。看到执行过滤的资产搜索.您可以使用的一些限制您可以使用关键性标签的过滤器。看到临界标记的过滤限制
  4. 选择搜索
  5. 选择保存

要查看标记的现有业务上下文:

  • 在该标记的详细信息页面上,选择视图标签标准

编辑、添加或删除标签的动态资产过滤器:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击编辑标签标准
  3. 编辑或添加搜索过滤器。可用的筛选器与资产搜索筛选器中的筛选器相同。看到执行过滤的资产搜索.您可以使用的一些限制您可以使用关键性标签的过滤器。看到临界标记的过滤限制
  4. 选择搜索
  5. 选择保存

移除标签的所有条件:

  • 在该标记的详细信息页面上,选择明确的标签标准

临界标记的过滤限制

某些过滤器被限制为临界标签,以防止循环引用.这些限制适用于通过应用的临界标记标签标准,以及通过动态资产组添加的人。看到执行过滤的资产搜索

以下过滤器不能与临界标签一起使用:

  • 资产风险评分
  • 用户添加临界水平
  • 用户添加自定义标记
  • 用户添加标记(位置)
  • 用户添加的标记(所有者)

删除和删除标签

如果标记不再准确地反映资产的业务上下文,则可以将其从该资产中删除。要这样做,请单击x按钮旁边的标签名称。如果标记名称超过一行,将鼠标放在名称下面的&号上展开它,然后单击x按钮。删除标签与删除标签不一样。

如果你标记一个站点或资产组,所有的成员资产将“继承”该标记。不能在单个资产级别删除继承的标记。相反,您将需要编辑应用标签的站点或资产组,并在那里删除它。

如果标签根本不再具有任何业务相关性,则可以完全删除它。

您无法删除一个关键性标记。

要删除标签,请转到标签页面:

单击任何标记的名称以转到该标记的详细信息页面。然后点击查看所有标签面包屑。

点击资产图标,然后单击所列出的标签数量标记的资产,即使这个数字是零。

资产标签清单表的标签页面。选择要删除的任何标记的复选框。若要选择显示的所有标签,请选择顶部行中的复选框。然后,单击删除

提示:如果您想在删除标记之前查看与该标记关联的资产,请单击标记名称查看其详细信息页面。如果您想对这些资源应用不同的标记,这可能会很有帮助。

改变资产的临界性

随着时间的推移,资产的关键性可能会发生变化。例如,可以最初由临时工作员使用膝上型计算机而不包含敏感数据,这将表示低临界性。稍后可以由高级管理层使用膝上型计算机并包含敏感数据,这将优于更高的临界程度。

更改资产临界级别的选项取决于初始临界级别最初应用的位置以及更改的位置:

  • 如果将临界级别应用于站点,然后更改会员资产的关键性,则只能增加临界级别。例如,如果您申请临界级别媒介,然后更改单个成员资产的临界级别,您只能将该级别更改为非常高的
  • 如果您对资产集团申请关键级别,如果任何资产在其他地方(在网站,其他资产组或单独或单独)上存在关键性水平,则资产将保留最高应用的临界程度。例如,一个名为的资产Server_1属于一个名为波士顿临界水平为媒介.临界水平非常高的,然后分别应用到Server_1。如果你申请对于包含Server_1的新资产组,它将保留非常高的临界水平。
  • 如果将关键级别应用于单个资产,则可以稍后将关键性更改为任何所需的级别。

创建标签而不应用它们

您可以创建标记,而不需要立即将它们应用到资源中。例如,如果您想为标记名的书写方式建立约定,这可能会很有帮助。

  1. 点击资产图标,然后单击所列出的标签数量标记的资产,即使这个数字是零。或单击创建选项卡,然后选择标签从下拉列表中。
  2. 点击添加标签和添加任何标签的描述标记资产、站点和资产组

在标记资产组时避免“循环引用”

您可以将相同的标记应用于一个资产以及包含它的资产组。例如,您可能希望基于标记有特定位置或所有者的资产创建组。这可能偶尔会导致一个循环引用循环,在这个循环中,标签引用自己,而不是最初应用它们的资产或组。这可能会阻止您从标记中获得有用的上下文。

下面的例子展示了如何使用位置和自定义标记进行循环引用:

  1. 第一个用户用位置标记一些资产克利夫兰
  2. 用户创建一个名为中西部办公室基于资产标记的搜索结果克利夫兰
  3. 用户应用名为会计中西部办公室因为组中的所有资产都是由会计小组使用的。
  4. 另一个用户,他没有意识到中西部办公室动态资产组或克利夫兰标签创建一个新的动态资产组金融搜索结果基于会计标签。
  5. 用户标记金融克利夫兰,期望组中的所有资产将继承该标记。而是因为资产被标记了克利夫兰由第一个用户克利夫兰标签现在在一个潜在的无限循环中引用自己。

下面的例子展示了如何在临界情况下进行循环引用:

  1. 您将创建一个动态资产组优先级所有原始风险评分低于1000的资产。其中一个资产被命名Server_1
  2. 你用a标记这个组非常高的临界级别,以便组中的每个资产都继承标记。
  3. 您的安全控制台已配置为使用非常高的临界水平。看到以临界性调整风险
  4. Server_1其风险评分是否翻倍,导致其不再符合过滤标准优先级.因此,它被移除了优先级
  5. Server_1不再继承非常高的适用于的临界水平优先级,它会恢复到最初的风险评分,低于1000。
  6. Server_1现在再一次满足了加入的条件优先级,所以它再次继承了非常高的应用到资产组的临界级别。这再次导致它的风险评分翻倍,因此它不再符合加入欧盟的标准优先级.这是一个循环参考循环。

防止循环引用的最佳方法是查看Tags页面,查看已经创建了哪些标记。然后转到您正在考虑使用的标签的详细信息页面,并查看它应用于哪些资产、站点和资产组。如果您有多个Security Console用户以及大量的标记和资产组,这将特别有用。要访问标记的详细信息页面,只需单击标记名称。