更新时间:2023-12-20
若平台管理信息缺失较多,可参阅
一、资产治理最佳实践
1、如何做好资产梳理
全网资产根据其是否被管理起来,可以划分为:已知资产和未知资产。已知资产,即为已经纳入资产台账被管理起来的资产;未知资产,即为尚未纳入管理且不清楚是否需要管理的资产。
您可以根据当前资产被管理的情况来决定如何使用资产中心:
1)全部资产管理完善,不存在未知资产
在已经拥有比较完善治理手段的环境中,将已治理好的数据源接入XDR平台,用好这些数据源即可,建议您再做好必要配置(标记 * 的配置项)的基础上,参考资产配置指引,重点设置以下内容:
- 数据源接入:将所有可信数据源接入XDR平台
- 入库规则配置:在入库规则中启用“全部资产自动入库”规则,并禁用其他规则
- 退库规则配置:根据实际情况配置退库规则即可,如果没有相关需求可以不配置
配置好后,XDR平台将会自动同步已接入数据源的资产信息,您可以在XDR进行资产统一管理。
2)部分资产管理完善,仍存在未知资产
- 在对资产已经有一定的管理基础的环境中,可能存在一些未知的资产,可以通过对接已有资产数据,并使用未知资产分析来补充现有的资产台账信息。
- 建议您参考 资产配置指引 ,做好完整的配置,并且根据您平时做未知资产分析的习惯,设置好未知资产分析参数,提升日常工作效率。
- 未知资产分析,详见 “第2节:如何做好未知资产分析” 。
- 若发现当前的参数无法支撑您日常做未知资产分析,可以联系我们做现有功能的优化或者新功能的补充。
3)几乎没有管理起来,存在大量未知资产
- 在对资产几乎没有管理起来的环境中,会存在大量的未知资产,需要充分利用未知资产分析模块来补充资产台账信息,逐步完善资产台账,提升资产管理水平。
- 建议您参考 资产配置指引 ,做好完整的配置,并且根据您平时做未知资产分析的习惯,设置好未知资产分析参数,提升日常工作效率。
- 未知资产分析,详见 “第2节:如何做好未知资产分析” 。
2、 如何做好未知资产分析
未知资产可以通过管理手段和技术手段来治理。
1)管理手段
- 针对办公终端资产,推荐引入网络准入等设备,可以有效管控办公终端资产;
- 针对服务器资产,推荐对服务器进行集中管理
2)技术手段
- 如果无法进行管理方面的变化,可以使用XDR的“未知资产”分析模块做分析和研判。
- 网络设备(如云镜、STA等)上报的资产或者其他可信度较低的数据源上报的资产,默认会先进入“未知资产”模块中。
在 “未知资产” 中,我们提供了IP段视角和资产组视角:在IP段视角下,默认按照每个IP段所含未知资产的数量,从高到低排序,您可以一眼看到哪些网段的未知资产数量较多,重点关注并分析;在资产组视角下,可以看到哪些资产组存在未知资产,从未而做下一步分析。
此外,我们还提供了一些常见的未知资产分析指标,用于辅助分析未知资产:
-
- 数据源准确性较高的资产:可以在未知资产分析中,自定义关注的数据源
- 存在端口开放的资产:存在端口开放的资产,可能开放某些服务,需要重点关注
- 最近活跃的资产:默认为最近7天被发现的资产,可以在未知资产分析中自定义
- 已关联资产组的资产:所属资产组非空的资产
后续还会继续扩充未知资产分析指标(如:资产流量数据、是否存在安全事件活告警、是否存在脆弱性数据、是否持续活跃等等),提升未知资产分析效率。
使用上述指标分析后,您可以选择需要被管理的资产执行 “入库” 操作;如果仅本次不需要管理,后续发现后仍希望上报,则您可以选择 “删除” 操作;如果某些资产永远不需要被管理,您可以直接添加不需要管理的网段到“非管理IP范围”中。
3、 如何治理好资产管理属性
资产管理属性是开展安全运营的基础,主要通过管理手段来补充,您可以参考一下方案:
- 方案1:接入准入设备
- 针对办公终端资产,推荐使用准入设备进行认证管理,若您已经接入了准入设备,则可以通过“第三方产品接入”联动XDR上报认证信息,目前XDR支持的准入设备包括:深信服AC、联软准入(更多详情见【资产配置指引 - 1.3数据源接入】)
- 方案2:接入桌面管理系统
- 针对办公终端资产,推荐使用桌面管理系统进行统一维护,您可以在“APP中心”使用定制APP完成对接,XDR平台将在后续版本支持桌面管理系统的对接
- 方案3:接入第三方产品
- 若您已经使用第三方产品对资产的业务属性进行维护,您可以通过“数据源接入”,将第三方产品和XDR联动,联动成功后第三方产品数据将会上报至XDR统一管理(更多详情见【资产配置指引 - 1.3数据源接入】)
- 方案4:导入excel台账
- 若您已使用excel台账对资产的责任人信息进行维护,您可以进入资产台账,将当前excel台账导入到XDR平台来做统一管理和维护(接入方式详情见【资产配置指引 - 1.3数据源接入】)
- 方案5:终端管理信息补充
- 若您已经安装了终端产品,也可以要求每台主机的使用者补充对应的主机信息,并将终端产品与XDR联动,实现XDR的统一管理(接入方式详情见【资产配置指引 - 1.3数据源接入】)
- 方案6:人工收集
- 短期内无法接入准入设备的情况下,如果资产数量不大,可以人工收集并导入XDR平台中管理起来
- 方案7:配置资产组信息
- 在无法准确知晓每个资产业务信息的情况下,您可以配置完整在的资产组信息,包括:资产类型、资产名称、责任人等,我们可以帮您定位风险资产的所属组信息(接入方式详情见【资产配置指引 -1.2资产组创建】)
4、 分散管理场景如何做好资产治理
- 我们推荐您将分散管理转变为集中管理,避免多处管理导致的信息混乱
5、 如何区分内外网资产
- 区分内外网资产可以较好的支撑安全运营的开展,您可以将内网资产添加到“IP范围-管理范围”中。
6、 如何建好资产组
- XDR的资产组目前提供了两种模式:按照IP范围分组、按照设备来源分组,可以根据实际情况,将两种模式结合起来使用。
1) IP范围清晰,且不存在IP冲突
如果您的网络中IP地址划分清晰,且不存在IP冲突的场景,您可以使用IP范围模式分组。
示例:
资产组A(接入设备:STA1)
资产组B(接入设备:STA2、STA3、STA4)
资产组B-1(接入设备:STA2)
资产组B-2(接入设备:STA3、STA4)
资产组C(接入设备:STA5)
2) 存在多分支且IP冲突
如果您的网络中存在多个子网IP冲突场景,您可以使用接入设备划分资产组
示例:
资产组A(接入设备:STA1)
资产组B(接入设备:STA2、STA3、STA4)
资产组B-1(接入设备:STA2)
资产组B-2(接入设备:STA3、STA4)
资产组C(接入设备:STA5)
3) 存在多分支且分支网络IP范围清晰
如果您的网络中存在多分支场景,多个分支之间存在I冲突,且每个分支内部的IP地址划分清晰,且您可以使用接入设备+IP范围组合模式分组。
示例:
资产组A(IP范围:192.168.1.0/24)
资产组B(IP范围:接入设备:STA1、STA2)
资产组B-1(IP范围:192.168.1.0/24)
资产组B-2(IP范围:192.168.2.0/24)
资产组B-3(IP范围:192.168.3.0/24)
资产组B-3-1(IP范围:192.168.3.40-60)
资产组B-3-2(IP范围:192.168.4.70-80)
资产组C(IP范围:192.168.3.0/24)