首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载

安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
安全态势感知管理平台SIP/探针STA 文档 产品手册 资产中心 生命周期管理 资产组及资产识别
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","资产组及资产识别")}}

资产组及资产识别

更新时间:2023-05-26

 新建资产组   

 通过资产组可针对不同用户组织架构资产进行归类并匹配对应的识别场景,识别场景包括IP端划分资产场景、设备划分资产场景及IP设备混合划分资产场景等,资产组支持多层级,最多支持15层级。

新资产可支持自动识别与手动导入两种方式,自动识别可支持仅配置IP范围、仅配置接入设备及配置IP+设备3种配置方式,同时支持三种模式混合配置,各配置方式操作步骤如下:

 仅配置IP范围配置步骤

  本配置方式使用与以IP网段进行资产划分的场景,故需确保内网资产不存在重复IP,当STA探针同步数据后,会根据IP是否在资产组范围内自动识别并新增到对应资产组中,配置步骤如下:

  1. [资产中心/资产管理/主机资产]页面,资产组栏中点击<新增>,如下图所示。

  1. 在弹出页面进行资产组信息配置,配置信息包括:

基本信息:包括组名称(必填)、所属父组、标签;

资产组范围:仅配置IP范围方式需对IP属性及IP范围进行配置,可逐条进行新增,其中:

IP属性:包括自动识别(根据端口等信息进行服务器/终端类型的识别)、服务器与终端三类;

IP范围:每一行数据,可输入IP段、网段,允许与#常用私有网段#范围重合,以自定义网段优先,格式举例:

IPV4格式:

IP范围:如192.168.1.1-192.168.1.10

IP网段192.168.1.0/24192.168.1.0/255.255.255.0

IPV6格式:

IP范围:如2005::1-2005::2

IP网段2005::1/64

地理位置:可通过弹出地图页面进行搜索指定;

责任人:可选择已有责任人或全新添加;

高级设置:包括内外网访问权限及备注信息。 

仅配置接入设备配置步骤

 本配置方式适用于以日志来源进行资产划分的场景,当日志来源对应设备同步数据后,会自动识别新资产并添加到对应资产组中,配置步骤如下:

  1. [资产中心/资产管理/主机资产]页面,资产组织栏点击<+>,如下图所示。

  1. 在弹出页面进行资产组信息配置,配置信息包括:

基本信息:包括组名称(必填)、所属父组、标签;

资产组范围:仅配置接入设备需对接入设备IP进行配置,可选择多设备;

地理位置:可通过弹出地图页面进行搜索指定;

责任人:可选择已有责任人或全新添加;

高级设置:包括内外网访问权限及备注信息。

  说明:

此种情况下,资产识别较依赖于探针识别能力,可以通过添加内网IP范围来补充进行探测识别,如在内网IP范围内探测到的资产并未归至某一资产组,则会纳入“未归类组”内,配置位置为[资产中心/资产感知/资产管理/IP范围定义],并点击右侧倒三角,点击IP范围定义进行配置。

 

配置IP+设备配置流程

本配置方式适用于以IP网段和日志来源设备相结合的方式进行资产划分的场景,当只匹配到日志来源或者IP就可自动识别并添加新资产(若同时匹配上IP+设备优先级最好),配置步骤可综合参考“仅配置IP范围”及“仅配置接入设备”章节。

  说明:

混合配置划分优先级说明:

1.IP+设备>IP>设备;

2.具体资产组>内网IP范围>未归类资产组;

3.父组和子组配置相同,优先匹配子组;

 

标签设置

  1. 管理员登录SIP平台,在[资产中心/资产感知/资产管理/主机资产]页面下,点击<标签管理>,如下图所示。

  1. 在标签管理页面,点击<新增>。新增资产标签视角,通过在标签管理中新增资产标签,对资产进行分类管理,可以点击某一标签直接筛选出某一类标签的资产。

 

制造商管理

 

 

资产组管理

  1. 在左侧资产组下,可以通过点击资产组名称右侧<... >,可以对资产进行上移下移操作,可以根据需求,调整资产的排列顺序。

  1. 支持批量编辑资产操作,可以点击多个资产进行批量编辑,方便快捷。

资产识别设置  

自动识别(推荐)

为保障所有资产均可纳入资产管理,建议配置自动识别资产配置,配置步骤如下:在[资产中心/配置/高级设置]页面,勾选<自动识别资产>

  说明:

如果存在资产组,建议先通过批量导入形式先导入部分资产组,再配合自动识别              资产,会达到加快资产导入速度的效果。

配置多层级资产组过程中,可能会因为流量存在而识别资产在父级资产组内(本该在子组),配置完后检查一下,若有多余资产,删除掉即可,建议配置多级资产组用表格导入。

 

手动新增

  1. 如需手动新增相关资产设备,可在[资产中心/资产管理/主机资产]页面,点击<新增>,进行导入,如下图所示;

  1. 在弹出页面进行新增资产编辑后,点击<确定>,如下图所示;

批量导入

如需批量导入资产,需进行[资产组][资产]的批量导入两个步骤。

  1. 资产组导入

可在[资产中心/资产管理/主机资产]页面,点击[导入资产/导入组],在弹出页面下载csv示例文件进行离线编辑后,再选择从csv文件导入的方式进行资产导入,如下图所示。

  1. 资产导入

可在[资产管理/主机资产]页面,点击[导入资产],在弹出页面下载csv示例文件进行离线编辑后,再选择从csv文件导入的方式进行资产导入,如下图所示。

  说明:

1.              导入资产组最大支持3000个,导入资产单次上限为2w,导出资产单次上限为1w,如资产量大,可分次进行导入导出;

2.              不支持旧版本资产导出格式的文件导入操作,请下载全新示例文件进行重新编辑后,再进行导入操作。

 

资产扫描配置

管理员可以通过配置扫描策略,来实现资产发现和资产入库等操作。

  1. [资产中心/资产感知/资产发现/资产扫描]的页面下,点击<新增扫描策略>,如下图所示。

策略名称:支持自定义。

扫描器:可选云镜或者探针,然后选择对应设备的IP,前提需要扫描设备接入SIP

执行方式:可选立即扫描或定期扫描,立即扫描:扫描任务创建成功后进行单次扫描;定期扫描:可以配置自定义周期,进行扫描。

入库方式:可以选择自动入库或手动入库,若选择手动入库,则扫描结果可在“待审核资产”进行查看。

扫描目标:可以选择自定义或指定IP组,指定IP组:则是SIP已配置的资产组。

配置完后,可以按扫描策略对指定目标进行资产扫描,并根据入库方式进行入库。

  1. 对于扫描策略,管理员可以进行编辑、删除、和查看结果的操作,点击<查看结果>会自动跳转到资产页面。

重新识别资产属性

当发现资产数据不准确时,可清空改资产的属性,(主机名,备注,操作系统,地理位置,硬件信息,应用软件信息,账号信息,责任人信息,服务与端口信息),平台会自动补齐资产属性。点击<重新识别资产属性>,如下图所示。