更新时间:2023-11-23
资产退库跟资产入库一样都为安全运营建设中关键的步骤,入库跟退库配合维持一个完整、准确的资产台账。一般在涉及在DHCP环境中或者是涉及到组织中的退库流程时需要对资产进行退库,比如资产使用年限到期、资产出现脆弱性风险等。
1、匹配到退库策略自动退库
1.1 允许配置的退库指标含义
agent状态:包含EDR/CWPP/aES设备的agent安装状态信息
资产组:包含XDR目前已经创建好的资产分组
数据源:包含XDR对接的所有设备列表(深信服设备以及第三方设备(SIEM/SOAR))
最近发现时间:只包含设备主动被动探测更新时间
最近更新时间:包含设备主动被动探测更新时间以及手动更新资产资产时间,更推荐使用该指标
1.2 退库策略配置
场景1:同一个资产出现多次,并且多个资产的agent状态为已移除
根因分析:一共4个资产IP为192.168.103.28,其中一个agent状态为在线,剩余三个agent状态为已移除,判断是重复安装agent导致,这四个资产其实是一个资产,所以需要将资产agent状态为已移除的进行退库,防止资产膨胀。
配置步骤:在资产退库策略中,选择agent状态包含已移除即可,如果需要更精细化控制可以加上资产组进行范围限制,退库策略默认不启用,需要手动将启用状态改为启用。
场景2:同一个资产xxxxxxxxDHCP
2、涉及组织退库流程手动退库
组织常见的资产退库流程一般是应用下架、资产服务年限到期、资产替换等,涉及到更多的非XDR平台上的操作,但又是实实在在日常的工作内容。一般涉及到以上场景时推荐在使用XDR内置的资产工单进行流程性、可视化管理。通过工单明确每个节点的责任人,以及需要完成的动作,更好的实现资产全生命周期的管理。下图所示的为内置的资产退库工单流程。
工单如何跟组织流程结合起来实现资产全生命周期,详细联系对接您的深信服人员咨询。