资产重要性

Elastic Stack 无服务器安全

资产重要性功能允许您根据对您的组织重要的各种运营因素对您组织的实体进行分类。 通过这种分类，您可以通过专注于高影响实体的警报分类、威胁搜索和调查活动来提高您的威胁检测能力。

您可以根据以下影响对您的实体分配以下资产重要性级别

• 低影响
• 中等影响
• 高影响
• 极端影响

例如，您可以将 极端影响 分配给业务关键实体，或将 低影响 分配给对您的安全态势构成最小风险的实体。

实体没有默认的资产重要性级别。 您可以单独为您的实体分配资产重要性，或者通过导入文本文件批量分配给多个实体。 或者，您可以通过资产重要性 API分配和管理资产重要性记录。

当您分配、更改或取消分配单个实体的资产重要性级别时，该实体的风险评分会立即重新计算。

您可以从 Elastic Security 应用程序中的以下位置查看、分配、更改或取消分配资产重要性

• 主机详细信息页面和用户详细信息页面

  
  ×

• 实体详细信息弹出窗口

  
  ×

• 时间线中的实体详细信息弹出窗口

  
  ×

如果您启用了实体存储，您还可以在实体分析仪表板的实体部分中查看资产重要性分配

×

您可以通过从您的资产管理工具导入 CSV、TXT 或 TSV 文件来批量分配资产重要性给多个实体。

该文件必须包含三列，每行一个实体记录

1. 第一列应指示实体是 host、user 还是 service。

2. 第二列应指定实体的 host.name、user.name 或 service.name。

3. 第三列应指定以下资产重要性级别之一

   • extreme_impact
   • high_impact
   • medium_impact
   • low_impact
   • unassigned (仅在无服务器中可用)

最大文件大小为 1 MB。

文件结构示例

user,user-001,low_impact
user,user-002,medium_impact
host,host-001,extreme_impact
service,service-001,extreme_impact

要导入文件

1. 在主菜单中或通过使用全局搜索字段查找 实体存储。

2. 选择或拖放您要导入的文件。

   注意

   文件验证步骤会突出显示任何不遵循所需文件结构的行。 这些实体的资产重要性级别将不会被分配。 我们建议您修复任何无效的行并重新上传文件。

3. 单击 分配。

此过程将覆盖导入文件中包含的实体的任何先前分配的资产重要性级别。 新分配或更新的资产重要性级别在所有资产重要性工作流程中立即可见。

您可以通过单击 立即重新计算实体风险评分 来触发实体风险评分的立即重新计算。 否则，新分配或更新的资产重要性级别将在下一次每小时风险评分计算中被考虑在内。

通过资产重要性，您可以通过以下方式提高您的安全运营

• 确定未解决警报的优先级
• 监控实体的风险

在分类警报和进行调查和响应活动时，您可以使用资产重要性作为优先级因素。

一旦您将重要性级别分配给实体，所有与该实体相关的后续警报都将使用其重要性级别进行丰富。 这种额外的上下文允许您确定与业务关键实体相关的警报的优先级。

风险评分引擎动态地将实体的资产重要性以及 Open 和 Acknowledged 检测警报纳入考虑，以计算实体的总体风险评分。 这种动态风险评分允许您监控最敏感实体的风险概况的变化，并快速升级高风险威胁。

要查看资产重要性对实体风险评分的影响，请按照以下步骤操作

1. 打开实体详细信息弹出窗口。 风险摘要部分显示资产重要性对总体风险评分的贡献。
2. 单击 查看风险贡献 以打开弹出窗口的左侧面板。
3. 在 风险贡献 部分，验证从生成警报时起实体的关键性级别。

×