InsightVM如何跨站点链接资产

为了确保安全控制台准确地将新扫描数据集成到现有的唯一资产记录中,当前具有资产链接的InsightVM安全控制台残废现在还将考虑“Rapid7 Insight Agents”的网站,除了必威体育app登录用于执行扫描的网站之外还可以为相关目的。截至2021年1月13日,如果您使用Insight Agents执行漏洞评估,则此行为将自动应用。必威体育app登录

阅读本文,了解原始资产链接功能的工作原理、禁用资产链接时Insight Agent现在在关联过程中所扮演的角色、基于预先存在的资产链接设置应该看到的内容,以及如何执行任何必要的资产记录清理。必威体育app登录

在跨网站中联系资产 - 历史

原始资产链接能力在安全控制台中,当扫描引擎是唯一的数据收集方法时,在使用Insight Agent进行漏必威体育app登录洞评估之前。如果您的网络和站点配置导致多个站点扫描同一设备,则此可选设置非常有用。启用资产链接的决定取决于以下哪种扫描和站点配置策略应用于您:

  • “将从每个“我的站点”中的所有节点检索到的扫描数据作为唯一资产进行集成”- 为了实现这一结果,资产链接将是残废。网站包含列表中的所有节点都将集成到InsightVM作为唯一资产。确定新的扫描数据是否与现有资产相关联时,InsightVM只会考虑与之相关的现有资产记录同一个网站

例如,此用例非常适合扫描零售连锁店,每个零售连锁店都有相同的网络映射,因此拥有非常相似的资产集。为了确保每个商店内的设备在扫描后在InsightVM中显示为唯一的资产,每个商店都有自己的专用站点用于扫描目的。

  • “将我的站点上的重叠节点关联到InsightVM中正确的唯一资产记录”- 为了实现这一结果,资产链接将是启用。如果多个站点最终扫描网络上的相同设备,InsightVM将将每个站点的扫描数据与相同的唯一资产记录相关联。资产链接确保了InsightVM考虑所有网站确定新扫描数据是否与现有资产相关时。

启用资产链接是基于不同资产类别配置您网站的情况。例如,您可以配置一个站点,配置为在某个业务单元(例如金融或人力资源)中扫描资产以及专用于特定操作系统的另一个站点(例如Windows或Linux)。在这种情况下,每个站点都可以定位相同的节点(例如财务业务单位中的Windows工作站)。启用资产链接可确保来自每个站点的扫描数据将关联并将其集成为InsightVM中的一个资产。

什么是“节点”?

“节点”是指网络上的设备,站点可以根据站点包含列表的配置对其进行扫描。在扫描数据完全集成到InsightVM中之前,节点不被视为资产。

InsightVM如何确定资产唯一性

由于InsightVM从设备中收集扫描数据,它使用以下节点属性来确定设备是否与安全控制台中的现有资产匹配,或者完全匹配新资产:

  • 主机名
  • IP地址
  • MAC地址
  • 一个或多个uuids

InsightVM将此属性数据(以及基于您的扫描模板的节点的漏洞评估数据以及任何其他评估数据类型以及安全控制台数据库中的唯一资产集成。为了确保随后的扫描仍然是独一无二的,InsightVM分配资产记录资产ID. 此简单标识符允许InsightVM最终将资产彼此区分开来,并将新的扫描数据关联到正确的资产记录(如果它已存在于安全控制台数据库中)。

在InsightVM中哪里可以看到资产的ID?

由于其功能仅与后端进程相关,因此在InsightVM接口中不填充资产id。但是,如果您感兴趣,可以通过检查附加到的值来查看资产ID德维德=当查看任何资产的详细信息页面时,您的浏览器中的URL部分。

InsightVM的使用和分配资产ID的使用情况因您的资产链接设置而异:

  • 如果资产链接是残废,每个站点中的所有节点都集成到InsightVM作为唯一资产并接收自己的资产ID。只要InsightVM具有足够的属性数据,随后,这些设备的后续扫描将与其现有的资产记录相关联。在这种情况下,InsightVM只会考虑与之相关的现有资产记录同一个网站
  • 如果资产链接是启用,InsightVM将来自任何站点扫描的任何节点的传入属性数据与数据库中已有的资产记录进行比较。如果匹配的属性数据足够,它将根据资产的ID将新扫描数据与现有资产记录关联。如果InsightVM无法将此属性数据与现有资产关联,它将假定设备是一个新的唯一资产,并使用其自己的资产ID为其创建一个新记录。

如何引入Insight代理受影响资产链接必威体育app登录

当Insightvm开始支持时必威体育app登录Insight代理作为替代漏洞评估方法,所有基于代理的资产都是在安全控制台中实现的,在它们自己的不可变站点中称为“Rapid7 Insight Agents”。必威体育app登录这个站点的引入,加上现在Scan Engines和Insight Agents可以分别评估资产的可能性,不可避免地意味着这些站点将经历一些节点重叠。必威体育app登录只要资产链接存在,这种情况就不构成问题启用

但是,此条件确实会导致资产链接的安全控制台残废如果使用传统的Scan Engine扫描同一设备,则生成相同设备的重复资产记录由Insight代理进行评估。必威体育app登录由于缺少资产链接,InsightVM无法查看节点所属的站点之外的数据,因此InsightVM会将每个评估方法中的数据整合为两个具有单独历史记录的独特资产,即使它们都用于同一设备。

产品版本6.6.59于2021年1月13日发布的改进解决了这个问题。

当这个更改生效时,我应该期待看到什么?

如前所述,已有资产链接的安全控制台启用在1月13日之前,2021年将没有改变他们的结果。此外,不需要配置调整。

另一方面,有资产链接的安全控制台残废如果通过扫描引擎扫描设备并由Insight Agent评估,则在2021年1月13日之前将看到陈旧资产记录。必威体育app登录这是因为随着产品版本6.6.59,InsightVM除了禁用资产链接时,InsightVM还将始终考虑“Rapid7 Insight Agents”站点,即使禁用资产链接,也会考虑执行扫描的网必威体育app登录站。这种扩大的相关池可确保InsightVM仅选择其中一个唯一资产记录来更新。使用扫描引擎进行扫描并在将来的洞察力评估中扫描的设备也将与InsightVM中的一个资产记录相关联。必威体育app登录

如何执行资产清理

如果您的安全控制台有资产链接残废在此更改之前,您可以创建一个静态资产组来清理过时的、冗余的、不再更新的资产记录:

  1. 在InsightVM中,展开创建下拉菜单首页页面并单击资产集团
  2. 在过滤器选择下拉列表中,选择最后一次扫描数据早于操作员。
  3. 输入与已停止接收扫描数据更新的资产相对应的天数,现在此更改已效果。
    • 你在这里输入的数字完全由你自己决定,取决于你浏览资产的频率。你在这里输入的数字应该与数据保留策略您可能已经在Insightvm中的其​​他地方配置。
  4. 点击搜寻获取您的匹配资产列表。
  5. 确保Type选项被设置为静止的
  6. 姓名并描述此资产组,以便您可以轻松识别它。
  7. 点击节省等结束了。
  8. 返回到首页页面并浏览到资产组表。单击并打开刚刚创建的资产组。
  9. 在资产组中,浏览到资产表并选中复选框列顶部的全局框以选择所有记录。
  10. 点击删除资产从安全控制台中删除这些过时记录。