更新时间:2023-02-13
资产体检是指对资产进行评估和诊断的过程。资产体检的目的是识别资产的安全脆弱点,以便可以采取行动来修复这些问题,并保护关键资产。这一过程可以通过已经安装EDR/CWPP agent的资产进行检查,根据资产的维度呈现安全事件、安全告警、攻击面风险等多角度呈现问题,结合ATT&CK矩阵更好发现风险资产已知威胁和潜在风险。通过定期进行资产体检,组织可以提高其安全防御能力,并保护其关键资产不受网络攻击、数据泄露和其他安全威胁的影响。
点击风险管理->资产体检导航栏,点击立即体检(首次进入该导航栏点击去配置),勾选需要进行体检的资产列表,点击确定后即可进行资产体检,未安装agent的资产如果在勾选列表中,需要先安装agent后进行资产体检。
资产体检模型参考Gartner、痛苦金字塔模型及 GB/T 27921-2011 风险管理风险评估技术。体检过程总共分成四个阶段,分别为现存威胁检测、明确风险监测、潜在风险监测、异常信号检测。资产右上角会展示总共资产体检数,每个资产会实时展示资产体检进度。
体检完成展示资产风险等级,ATT&CK攻击图谱命中情况、威胁实体、攻击面以及潜在风险等项目统计信息。其中资产风险等级的对应关系如下表所示
资产风险等级 |
状态描述 |
严重 |
存在未处置的严重、高危事件 |
高危 |
存在未处置的中危、低危事件;存在未处置的严重、高危告警;存在未处置的高修复优先级漏洞、弱密码 |
中危 |
存在未处置的中危、低危告警;存在未处置的中、低修复优先级漏洞;存在风险工具;存在风险端口 |
低危 |
存在异常访问行为;资产基线存在变动 |
健康 |
无任何风险项 |
点击右上角查看体检详情,体检详情主要包含以下几个部分,安全风险检测、威胁实体、安全漏洞、弱密码、风险应用、风险端口、风险访问以及异常信号,点击详细栏目查看具体检测信息。
PS:其中安全风险检测会自动将风险映射到ATT&CK攻击图谱(如安全风险不属于ATT&CK攻击图谱则不映射),点击具体的风险数字可以跳转对应的导航栏查看(如安全风险检测中初始访问,发现PHP代码注入的安全事件 2 个,安全告警 2 个,点击对应数字即可跳转到安全事件/安全告警页面并自动过滤出该2个事件/安全告警)。