资产组为您的企业成员授权访问、查看、扫描和报告资产信息提供了不同的方法。资产组让您可以创建逻辑分组,并将逻辑分组配置为动态添加满足特定标准的新资产。您也可以在站点内定义资产组,以便基于这些分组进行扫描。
一个使用案例可以显示资产组如何有组织地从站点“分割出去”。银行会采购带有固定数量 IP 地址许可的 InsightVM。网络拓扑结构含有 1 个总部和 15 个分支机构,他们都具有相似的“普遍适用的”IP 地址方案。第一个分支机构的 IP 地址均为 10.1.1.x.;第二个分支机构的地址为 10.1.2.x;以此类推。对于每个分支机构,无论整数等于什么,.x 都是某个类型的资产。例如,.5 通常是服务器。
安全团队会扫描每个站点,然后,通过为特定资产组创建报告的方式,以不同的方式“组块”信息。它可以根据位置创建资产组集,这样,分支机构的管理员就可以查看漏洞趋势和高级数据。该团队还可以根据 IP 地址中的最后一个整数创建另一个资产组集。负责修复服务器漏洞的用户仅会看见“.5”资产。如果整数“x”受制于多个粒度分区,则安全团队最终可以创建更加专业化的资产组。例如,.51 可能相当于文件服务器,而 .52 可能相当于数据库服务器。
另一种创建资产组的方法为,按照成员身份对它们进行分类。例如,您可以为负责查看关于企业内所有资产的高级业务敏感报告的公司高管设定“行政人员”资产组。您还可以为负责在特定类型资产(如数据库、工作站或网络服务器)上修复漏洞的安全团队的不同成员设定多个技术资产组。
资产组页面显示了图表,这样,您可以追踪与该组内的资产相关的风险或漏洞数量。
随时间变化的资产风险和漏洞
随时间变化的资产风险和漏洞曲线图右侧的按风险和漏洞划分的资产图表以散布图的形式显示,除非您的资产组中有 7,000 或更多项资产。在这种情况下,它以气泡式图表的形式显示,并且您可以点击气泡,查看特定资产组的散布图。
按风险和漏洞划分的资产
在该散布图中,每个点表示一项资产。将鼠标悬停在点上可查看该资产的相关信息。点击它可进入该资产的页面。
这种快照可以提供关于您的资产及对它们产生影响的安全问题的重要信息:
通过 InsightVM,您可以创建两种不同类型的“快照”。 动态资产组是一种可能跟随每次扫描发生变化的快照;而静态资产组是一种不变的快照。根据您的需求不同,每个类型的资产组可能都十分有用。
动态资产组包括满足一组特定搜索标准的已扫描资产。您可以通过资产搜索过滤器定义这些标准,如 IP 地址范围或托管操作系统。动态组中的资产列表随每次扫描而变化。在这方面,动态资产组不同于静态资产组。请参见站点与资产组有哪些区别?。在扫描过后不再符合组的资产过滤标准的资产将从列表中被删除。符合过滤标准的新发现资产将被添加到列表中。
请注意,此列表不会立即发生变化,但会在应用程序完成扫描并在数据库中整合新的资产信息后发生变化。
作为不断演化的环境快照,动态资产组允许您在快速一瞥之下追踪实时资产库存和安全态势,以及根据最新数据创建报告。例如,您可以针对含有在周二补丁日公告中发布的漏洞的资产创建动态资产组。然后,在应用漏洞补丁后,您可以扫描动态资产组,以确定任何资产是否仍然含有这种漏洞。如果补丁应用成功,从理论上看,组不应含有任何资产。
您可以利用已过滤资产搜索创建动态资产组。请参见 执行已过滤资产搜索。
具有访问动态资产组权限的用户能够访问符合组标准的新发现资产,无论这些资产是否属于用户具有访问权限的站点,均是如此。例如,您已创建一个 Windows XP 工作站的动态资产组。您授权两名用户 Joe 和 Beth 访问这个动态资产组。您针对 Beth 具有访问权限而 Joe 不具有访问权限的站点执行扫描。扫描发现 50 个新的 Windows XP 工作站。尽管 Joe 无法访问含有这些相同资产的网站,但是,Joe 和 Beth 都可以在动态资产组中看到这 50 个新的 Windows XP 工作站,而且,他们都可以将它们加入报告中。当管理用户对动态资产组的访问权限时,您需要评估这些资产组会对站点权限产生何种影响。如需确保动态资产组不含有既定站点中的任何资产,您应使用站点过滤器。请参见 按站点定位资产。
静态资产组包含满足您根据企业需要所定义的一组标准的资产。与动态资产组不同,静态组中的资产列表除手动改变外不会更改。
静态资产组可以提供关于您的环境的时间冻结有用视图,您将它们用作参考或对比。例如,您可能会觉得十分有用的做法是创建 Windows 服务器的静态资产组以及创建获取所有漏洞的报告。然后,在应用补丁和运行补丁验证扫描后,您可以创建基准报告,以对比扫描前后在相同资产上的漏洞。
您可以通过以下任一方法创建静态资产组:
注意: 只有全局管理员可以创建资产组。
手动选择资产是创建静态资产组的三种方式之一。这种手动方式对于含有少量资产的环境而言十分理想。如需了解适用于大量资产的理想方法,请参见基于资产搜索创建动态或静态资产组。
开始静态资产组配置:
点击资产图标进入资产页面,然后点击组旁边的查看。
或者
点击页面顶部的创建标签,然后在下拉列表中选择资产组。
或者
点击管理图标进入管理页面,然后点击组旁边的管理。
资产组配置面板会出现。
注意: 在针对您想要加入组的资产运行初始扫描之后,您只能创建资产组。
创建新的静态资产组
或者
点击管理页面上的资产组下方的创建。
控制台将显示资产组配置面板的一般页面。
向静态资产组添加资产:
控制台将显示一个带有搜索过滤器的页面。
例如,您可以选择在特定操作系统上运行的 IP 地址范围内的所有资产。
为静态资产组选择资产
或者
注意: 如果搜索会返回大量资产,可能会出现延迟。
在资产页面上会显示资产。
当您使用这种资产选择功能来创建新的资产组时,您不会看到页面显示任何资产。当您使用这种资产选择功能来编辑现有报告时,您会看到您在创建或最新编辑报告时选择的资产列表。
您可以重复执行资产搜索,以在资产组中加入多组搜索结果。在处理下一批结果之前,您需要保存结果组。如果您没有保存选中的搜索结果组,下一次搜索将会清除该组内容。
您可以通过复制现有资产组来创建新的动态或静态资产组。当您想要创建与现有资产组相似但又有些区别的资产组时,此方法非常有用。
若要复制资产组:
1.在主页页面的资产组列表中,选择您想要复制的资产组的复制图标。
或者
在资产组详情中选择复制资产组。
在资产组详情页面复制资产组
注意: 默认情况下,复制将附加在原名后。原组的其他副本后面将附加一个数字(例如,副本 2等)。