应用带有标签的RealContext

在跟踪组织中的资产时,您可能希望根据资产对业务的影响程度对其进行识别、分组和报告。

例如,您在位于俄亥俄州克利夫兰的会计办公室拥有一个具有敏感财务数据的服务器和一些工作站。会计部最近增加了三名新职员。他们的工作站刚刚上线,需要马上打一些安全补丁。您希望将这些会计资产的安全相关维护工作分配给不同的IT管理员:SQL和Linux专家负责服务器,Windows管理员负责工作站。您希望让这些管理员知道这些资产具有高优先级。

这些资产对您的组织非常重要。如果他们受到攻击,您的业务运营可能会中断甚至停止。他们的数据丢失或损坏可能是灾难性的。

扫描数据通过IP地址、漏洞计数、风险分数以及安装的操作系统和服务来区分这些资产。它不会根据前面场景中描述的独特业务条件来隔离它们。

使用一个叫做RealContext,你可以申请标签对这些资产进行投资。你可以用a标记所有这些会计资产克利夫兰位置和A.很高临界水平。您可以使用标签标记记帐服务器,金融类股,并为其分配一个名为克里斯,他是具有SQL专业知识的Linux管理员。您可以将Windows工作站分配给名为的Windows管理员所有者布雷特.你可以用这个标签标记新的工作站第一季度招聘. 然后,您可以基于这些标记创建动态资产组,并将有关标记资产的报告发送给Chris和Brett,以便他们知道工作站资产应优先进行修复。有关使用标记相关搜索过滤器创建动态资产组的信息,请参见执行过滤的资产搜索

您还可以使用标记作为报告范围的过滤器。看到创建基本报告

类型的标签

你可以使用几个内置标签:

  • 您可以根据资产的地理位置或物理位置标记和跟踪资产位置,如数据中心。
  • 您可以将资产与主人,例如负责管理它们的IT或安全团队成员。
  • 你可以应用等级临界资产,以表明它们对你的业务的重要性,或对它们的攻击造成的负面影响。一个临界级别可以是非常低的,低的,媒介,,或很高.此外,您可以将数值应用到临界级别,并将这些数字用作影响风险评分的乘数。有关更多信息,请参见以临界性调整风险. 您还可以创建自定义标记,允许您根据对您可能有意义的任何上下文隔离和跟踪资产。例如,您可以标记某些资产一种总线标准,网站后台,或顾问的笔记本电脑

标记资产、站点和资产组

您可以在该资产的详细信息页面上单独标记该资产。您还可以标记站点或资产组,这将把标记应用到所有成员资产。无论你在哪里标记资产,标记工作流都是相同的:

  1. 如果您正在创建或编辑一个站点:进入一般页面的网站配置面板,并选择添加标签.如果您正在创建或编辑静态资产组一般页面的资产组配置面板,并选择添加标签. 如果要创建或编辑动态资产组:在配置面板的资产组,选择添加标签. 如果刚刚运行了筛选的资产搜索:要标记所有搜索结果,请选择添加标签,它显示在上的搜索结果表上方过滤后的资产搜索页面。

标签配置章节展开。

  1. 选择标记类型。
  2. 如果您选择自定义标记,位置,或老板,键入新标记名称以创建新标记。要添加多个名称,请输入一个名称,按ENTER键,输入下一个名称,按ENTER键,然后根据需要重复。要应用先前创建的标记,请输入标记的名称,直到该名称的其余部分填满文本框。如果您正在创建一个新的自定义标记,请选择标记名称将显示的颜色。所有的内置标签都有预设的颜色。

如果选择“临界”,请在下拉列表中选择临界级别。

  1. 点击添加
  2. 如果您正在创建或编辑站点或资产组,请单击保存保存配置更改。

将资源导入到标签中

为了简化跨大量资产的标记管理,您可以使用文本(.txt)包含主机名和/或IP地址和范围列表的文件。安全控制台使用新行作为分隔符来评估这些文本文件,因此,如果要指定多个目标,请确保每个主机名或IP地址都打印在文件中自己的行上。

要使用文本文件将资源导入到标记中,请执行以下操作:

  1. 点击首页选项卡。
  2. 资产标签区域中,选择一个资产标记。此时将显示“资产标记”页面。
  3. 资产区域,点击从文件中添加资产. 这个从文件中添加资产窗口出现。
  4. 点击选择文件,然后选择适当的文本文件。请记住,文件中的每一行应该只包含一个主机名或IP地址。
  5. 选择一个选项:
    • 点击覆盖标签如果你想替换所有的流动资产。此功能不影响资产标准。
    • 点击附加到标记将新资产添加到当前资产。

所选标记应用于所有有效资产。

使用动态资产过滤器应用业务上下文

应用标记的另一种方法是指定可以动态应用哪些标记的标准。这允许您基于过滤器应用业务上下文,而不必创建新的站点或组。它还允许您根据自己的想法为哪些资产添加标签,而不是在第一个标签资产时添加新的标准。例如,您可能已经搜索了满足某些支付卡行业(PCI)标准的所有资产,并应用了临界水平。稍后,您决定还要筛选Windows操作系统。您可以在页面上为临界水平本身。

要使用动态资产过滤器应用业务环境:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击添加标记条件
  3. 选择搜索筛选器。可用的筛选器与资产搜索筛选器中的筛选器相同。看到执行过滤的资产搜索. 对于哪些过滤器可以与关键性标记一起使用,存在一些限制。看见临界标记的过滤限制
  4. 选择搜索
  5. 选择保存

要查看标记的现有业务上下文:

  • 在该标记的详细信息页面上,选择视图标签标准

编辑、添加或删除标签的动态资产过滤器:

  1. 单击任何标记的名称以转到该标记的详细信息页面。
  2. 点击编辑标签标准
  3. 编辑或添加搜索过滤器。可用的筛选器与资产搜索筛选器中的筛选器相同。看到执行过滤的资产搜索. 对于哪些过滤器可以与关键性标记一起使用,存在一些限制。看见临界标记的过滤限制
  4. 选择搜索
  5. 选择保存

移除标签的所有条件:

  • 在该标记的详细信息页面上,选择清除标记标准

临界标记的过滤限制

某些过滤器被限制为临界标签,以防止循环引用. 这个se restrictions apply to criticality tags applied through标签标准,以及通过动态资产组添加的。看见执行过滤的资产搜索

以下过滤器不能与关键性标签一起使用:

  • 资产风险评分
  • 用户添加临界水平
  • 用户添加自定义标记
  • 用户添加标记(位置)
  • 用户添加的标签(所有者)

删除和删除标签

如果标记不再准确地反映资产的业务上下文,则可以将其从该资产中删除。要这样做,请单击x按钮旁边的标签名称。如果标记名称超过一行,将鼠标放在名称下面的&号上展开它,然后单击x按钮。删除标签与删除标签不一样。

如果标记站点或资产组,则所有成员资产都将“继承”该标记。不能在单个资产级别删除继承的标记。相反,您需要编辑应用了标记的站点或资产组,并将其删除。

如果标记不再具有任何业务相关性,则可以将其完全删除。

不能删除关键性标记。

要删除标记,请转到标签页面:

单击任何标记的名称以转到该标记的详细信息页面。然后点击查看所有标签面包屑。

点击资产图标,然后单击所列出的标签数量标记资产,即使该数字为零。

资产标签清单表的标签页面。选中要删除的任何标记的复选框。要选择所有显示的标记,请选中顶行中的复选框。然后,点击删去

提示:如果您想在删除标记之前查看与该标记关联的资产,请单击标记名称查看其详细信息页面。如果您想对这些资源应用不同的标记,这可能会很有帮助。

改变资产的临界性

随着时间的推移,资产的关键性可能会发生变化。例如,笔记本电脑最初可能由临时工作人员使用,并且不包含敏感数据,这表明危险性较低。该笔记本电脑可能稍后由高级管理人员使用,并包含敏感数据,这将需要更高的临界级别。

更改资产临界级别的选项取决于初始临界级别最初应用的位置以及更改的位置:

  • 如果对站点应用关键级别,然后更改成员资产的关键级别,则只能增加关键级别。例如,如果应用的临界级别为媒介,然后更改单个成员资产的临界级别,您只能将该级别更改为很高
  • 如果对资产组应用关键性级别,并且如果任何资产在其他地方(在现场、其他资产组或单独)应用了关键性级别,则该资产将保留应用的最高关键性级别。例如,名为服务器1属于名为波士顿临界水平为媒介.临界水平很高,然后分别应用到Server_1。如果你申请对于包含Server_1的新资产组,它将保留很高临界水平。
  • 如果将关键性级别应用于单个资产,则可以稍后将关键性更改为任何所需级别。

创建标签而不应用它们

您可以创建标记,而不需要立即将它们应用到资源中。例如,如果您想为标记名的书写方式建立约定,这可能会很有帮助。

  1. 点击资产图标,然后单击所列出的标签数量标记资产,即使该数字为零。或者单击创建选项卡,然后选择标签从下拉列表中。
  2. 点击添加标签和添加任何标签的描述标记资产、站点和资产组

在标记资产组时避免“循环引用”

您可以将相同的标记应用于一个资产以及包含它的资产组。例如,您可能希望基于标记有特定位置或所有者的资产创建组。这可能偶尔会导致一个循环引用循环,在这个循环中,标签引用自己,而不是最初应用它们的资产或组。这可能会阻止您从标记中获得有用的上下文。

下面的例子展示了如何使用位置和自定义标记进行循环引用:

  1. 第一个用户用位置标记一些资产克利夫兰
  2. 用户创建一个名为中西部办事处使用基于标记资产的搜索结果克利夫兰
  3. 用户应用名为会计中西部办事处因为组中的所有资产都是由会计小组使用的。
  4. 另一个用户,他没有意识到中西部办事处动态资产组或克利夫兰标签创建一个新的动态资产组财政的搜索结果基于会计标签。
  5. 用户标记财政的克利夫兰,期望组中的所有资产将继承该标记。而是因为资产被标记了克利夫兰由第一个用户克利夫兰标记现在在一个潜在的无限循环中引用自身。

下面的例子展示了如何在临界情况下进行循环引用:

  1. 您将创建一个动态资产组优先事项所有原始风险评分低于1000的资产。其中一个资产被命名服务器1
  2. 您可以使用很高临界级别,以便组中的每个资产都继承标记。
  3. 您的安全控制台已配置为使用很高临界水平。看见以临界性调整风险
  4. 服务器1其风险评分是否翻倍,导致其不再符合过滤标准优先事项. 因此,它从优先事项
  5. 自从服务器1不再继承很高适用于的临界水平优先事项,它会恢复到最初的风险评分,低于1000。
  6. 服务器1现在再次符合会员资格的标准优先事项,所以它再次继承了很高应用到资产组的临界级别。这再次导致它的风险评分翻倍,因此它不再符合加入欧盟的标准优先事项.这是一个循环参考循环。

防止循环引用的最佳方法是查看Tags页面,查看已经创建了哪些标记。然后转到您正在考虑使用的标签的详细信息页面,并查看它应用于哪些资产、站点和资产组。如果您有多个Security Console用户以及大量的标记和资产组,这将特别有用。要访问标记的详细信息页面,只需单击标记名称。