添加资产的最佳实践
在为站点选择资产时要考虑几件事。资产选择会影响扫描和报告的质量。
选择使用手动选择的资产创建站点的分组策略
有很多方法可以将网络资产分成网站。最明显的分组原则是物理位置。一家在费城,檀香山,大阪和马德里有资产的公司可以有四个网站,每个城市都是一个。以这种方式进行分组资产是有道理的,特别是如果每个物理位置都有自己的专用扫描引擎。请记住,每个站点都分配给特定的扫描引擎。
考虑到这一点,您可能会发现它只是在扫描引擎放置上的基本创建。扫描引擎在网络中部署在网络内的分离和连接区域时最有效。因此,例如,您可以根据子网创建网站。
其他有用的分组原则包括通用资产配置或功能。您可能想要为所有工作站和数据库服务器提供单独的网站。或者您可能希望将所有Windows 2008服务器组在一个站点和您的所有Debian Machines中进行分组。类似的资产可能具有类似的漏洞,或者他们可能会呈现相同的登录挑战。
如果您正在执行扫描以遵守特定标准或政策的资产,例如支付卡行业(PCI)或联邦桌面核心配置(FDCC),您可能会发现创建待遵守审计的资产站点有助于。此方法将扫描资源侧重于合规工作。它还可以更轻松地跟踪这些资产的扫描结果,并在报告和资产组中包含它们。
拥有网站会员的灵活性
选择站点的资产时,灵活性可能是有利的。您可以在多个网站中包含资产。例如,您可能希望使用Microsoft Hotfix扫描模板运行所有Windows Vista工作站的每月扫描,以验证这些资产是否已安装正确的Microsoft修补程序。但是,如果您的组织是医疗办公室,您的“Windows Vista”网站中的一些资产也可能是您的“患者支持”网站的一部分,您可能必须使用HIPAA合规模板扫描。
您还可以在站点中定义资产组,以便基于特定的逻辑分组进行扫描。
分组选项,例如,Inc。
您的分组方案可以相当广泛,也可以更细粒度。
下表显示了可维修的高级站点分组,例如,Inc。该方案提供了一个非常基本的扫描指南,并利用整个网络基础架构。
网站名称 |
地址空间 |
资产数量 |
组件 |
---|---|---|---|
纽约 |
10.1.0.0/22 |
360. |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里 |
10.2.0.0/22 |
233. |
扫描引擎1 |
马德里DMZ. |
172.16.10.0/24 |
15. |
扫描引擎1 |
该分组的潜在问题是管理大块中的扫描数据是耗时和困难。更好的配置将元素组分为更小的扫描站点以获取更精细的报告和资产所有权。
在下面的配置中,举例,Inc.将资产功能作为分组原则进行介绍。上述配置中的纽约站点被细分为Sales、IT、Administration、Printers和DMZ。马德里也是按照这些标准划分的。添加更多的站点可以减少扫描时间并促进更集中的报告。
网站名称 |
地址空间 |
资产数量 |
组件 |
---|---|---|---|
纽约的销售 |
10.1.0.0/22 |
254. |
安全控制台 |
纽约它 |
10.1.10.0/24 |
25. |
安全控制台 |
纽约政府 |
10.1.10.1/24 |
25. |
安全控制台 |
纽约打印机 |
10.1.20.0/24 |
56. |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里销售所 |
10.2.0.0/22 |
65. |
扫描引擎2. |
马德里开发 |
10.2.10.0/23 |
130. |
扫描引擎2. |
马德里打印机 |
10.2.20.0/24 |
35. |
扫描引擎2. |
马德里DMZ. |
172.16.10.0/24 |
15. |
扫描引擎3. |
在下表中看到的最佳配置包含了物理分离的主体。扫描时间将更短,报告将更加集中。
网站名称 |
地址空间 |
资产数量 |
组件 |
---|---|---|---|
纽约销售1楼 |
10.1.1.0/24 |
84. |
安全控制台 |
纽约销售2楼 |
10.1.2.0/24 |
85. |
安全控制台 |
纽约销售中心三楼 |
10.1.3.0/24 |
85. |
安全控制台 |
纽约它 |
10.1.10.0/25 |
25. |
安全控制台 |
纽约政府 |
10.1.10.128/25 |
25. |
安全控制台 |
纽约打印机建筑1 |
10.1.20.0/25 |
28. |
安全控制台 |
纽约打印机建筑2 |
10.1.20.128/25 |
28. |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里销售办事处1 |
10.2.1.0/24 |
31. |
扫描引擎2. |
马德里销售办公室2 |
10.2.2.0/24 |
31. |
扫描引擎2. |
马德里销售办公室3 |
10.2.3.0/24 |
33. |
扫描引擎2. |
马德里发展楼层2 |
10.2.10.0/24 |
65. |
扫描引擎2. |
马德里开发楼3 |
10.2.11.0/24 |
65. |
扫描引擎2. |
马德里打印机建筑3 |
10.2.20.0/24 |
35. |
扫描引擎2. |
马德里DMZ. |
172.16.10.0/24 |
15. |
扫描引擎3. |