添加资产的最佳实践
在为站点选择资产时要考虑几件事。资产选择会影响扫描和报告的质量。
选择使用手动选择的资产创建站点的分组策略
有许多方法可以将网络资产划分为站点。最明显的分组原则是物理位置。在费城、火奴鲁鲁、大阪和马德里有资产的公司可以有四个站点,每个站点对应这些城市。以这种方式分组资产是有意义的,特别是当每个物理位置都有自己的专用扫描引擎时。请记住,每个站点都分配给一个特定的扫描引擎。
考虑到这一点,您可能会发现它只是在扫描引擎放置时创建的基本网站。扫描引擎在网络中部署在网络内的分离和连接区域时最有效。因此,例如,您可以根据子网创建网站。
其他有用的分组原则包括通用资产配置或功能。您可能希望为所有工作站和数据库服务器提供单独的站点。或者您可能希望将所有Windows 2008服务器组在一个站点和您的所有Debian机器中进行分组。类似的资产可能具有类似的漏洞,或者他们可能会呈现相同的登录挑战。
如果您正在执行扫描以遵守特定标准或政策的扫描,例如支付卡行业(PCI)或联邦桌面核心配置(FDCC),您可能会发现创建待遵守的审计部门的资产网站有助于。此方法将扫描资源侧重于合规工作。它还可以更轻松地跟踪这些资产的扫描结果,并在报告和资产组中包含它们。
灵活的网站会员
选择站点的资产时,灵活性可能是有利的。您可以在多个网站中包含资产。例如,您可能希望使用Microsoft Hotfix扫描模板运行所有Windows Vista工作站的每月扫描,以验证这些资产是否已安装正确的Microsoft修补程序。但是,如果您的组织是医疗办公室,您的“Windows Vista”网站中的一些资产也可能是您的“患者支持”网站的一部分,您可能必须使用HIPAA合规模板每年扫描。
您还可以在站点中定义资产组,以便基于特定的逻辑分组进行扫描。
分组选项,例如,Inc。
您的分组方案可以相当广泛,也可以更细粒度。
下表显示了Example, Inc的一个可用的高级站点分组。该方案为扫描提供了非常基本的指导,并利用了整个网络基础设施。
网站的名字 |
地址空间 |
数量的资产 |
组件 |
|---|---|---|---|
纽约 |
10.1.0.0/22 |
360 |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里 |
10.2.0.0/22 |
233 |
扫描引擎1 |
马德里非军事区 |
172.16.10.0/24 |
15 |
扫描引擎1 |
这种分组的一个潜在问题是,以大块的方式管理扫描数据既费时又困难。更好的配置是将元素分组到更小的扫描站点中,以获得更精确的报告和资产所有权。
在下面的配置中,举例,Inc.将资产功能作为分组原则进行介绍。上述配置中的纽约站点被细分为Sales、IT、Administration、Printers和DMZ。马德里也是按照这些标准划分的。添加更多的站点可以减少扫描时间并促进更集中的报告。
网站的名字 |
地址空间 |
数量的资产 |
组件 |
|---|---|---|---|
纽约的销售 |
10.1.0.0/22 |
254 |
安全控制台 |
纽约这 |
10.1.10.0/24 |
25 |
安全控制台 |
纽约政府 |
10.1.10.1/24 |
25 |
安全控制台 |
纽约打印机 |
10.1.20.0/24 |
56 |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里的销售 |
10.2.0.0/22 |
65 |
扫描引擎2. |
马德里的发展 |
10.2.10.0/23 |
130 |
扫描引擎2. |
马德里打印机 |
10.2.20.0/24 |
35 |
扫描引擎2. |
马德里非军事区 |
172.16.10.0/24 |
15 |
扫描引擎3. |
在下表中看到的最佳配置包含了物理分离的主体。扫描时间将更短,报告将更加集中。
网站的名字 |
地址空间 |
数量的资产 |
组件 |
|---|---|---|---|
纽约销售中心一楼 |
10.1.1.0/24 |
84 |
安全控制台 |
纽约销售2楼 |
10.1.2.0/24 |
85 |
安全控制台 |
纽约销售中心三楼 |
10.1.3.0/24 |
85 |
安全控制台 |
纽约这 |
10.1.10.0/25 |
25 |
安全控制台 |
纽约政府 |
10.1.10.128/25 |
25 |
安全控制台 |
纽约印刷1号楼 |
10.1.20.0/25 |
28 |
安全控制台 |
纽约印刷公司2号楼 |
10.1.20.128/25 |
28 |
安全控制台 |
纽约DMZ. |
172.16.0.0/22 |
30. |
扫描引擎1 |
马德里销售办事处1 |
10.2.1.0/24 |
31 |
扫描引擎2. |
马德里销售办事处2 |
10.2.2.0/24 |
31 |
扫描引擎2. |
马德里销售办事处3 |
10.2.3.0/24 |
33 |
扫描引擎2. |
马德里开发 |
10.2.10.0/24 |
65 |
扫描引擎2. |
马德里发展 |
10.2.11.0/24 |
65 |
扫描引擎2. |
马德里打印机大楼3 |
10.2.20.0/24 |
35 |
扫描引擎2. |
马德里非军事区 |
172.16.10.0/24 |
15 |
扫描引擎3. |