资产关键性
编辑资产关键性编辑
资产关键性功能允许您根据对组织重要的各种运营因素对组织的实体进行分类。通过此分类,您可以通过将警报分类、威胁搜索和调查活动集中在高影响实体上,来提高威胁检测能力。
您可以根据实体的影响,为其分配以下资产关键性级别
- 低影响
- 中影响
- 高影响
- 极高影响
例如,您可以为业务关键实体分配 极高影响,或为对您的安全态势构成最小风险的实体分配 低影响。
查看和分配资产关键性编辑
实体没有默认资产关键性级别。您可以单独为实体分配资产关键性,或通过导入文本文件 批量分配给多个实体。
您可以在 Elastic 安全应用中的以下位置查看、分配、更改或取消分配资产关键性
-
-
-
时间线 中的主机详细信息弹出窗口和用户信息弹出窗口
批量分配资产严重性编辑
您可以通过从资产管理工具导入 CSV、TXT 或 TSV 文件来批量分配资产严重性给多个实体。
该文件必须包含三列,每条实体记录列在单独一行上
- 第一列应指示实体是
host还是user。 - 第二列应指定实体的
host.name或user.name。 -
第三列应指定以下资产严重性级别之一
-
extreme_impact -
high_impact -
medium_impact -
low_impact
-
最大文件大小为 1 MB。
文件结构示例
user,user-001,low_impact user,user-002,medium_impact host,host-001,extreme_impact
要导入文件
- 转到 管理 → 资产严重性。
-
选择或拖放要导入的文件。
文件验证步骤将突出显示任何不遵循所需文件结构的行。这些实体的资产严重性级别将不会被分配。我们建议您修复任何无效行并重新上传文件。
- 单击 分配。
此过程将覆盖导入文件中包含的实体的任何先前分配的资产严重性级别。新分配或更新的资产严重性级别将在所有资产严重性工作流中立即可见,并在下一次风险评分计算期间影响实体风险评分。
改进您的安全操作编辑
通过资产严重性,您可以通过以下方式改进安全操作
优先处理未解决警报编辑
在对警报进行分类以及执行调查和响应活动时,您可以将资产关键性用作优先级因素。
一旦您将关键性级别分配给实体,所有与该实体相关的后续警报都会得到其关键性级别的丰富。此附加上下文允许您优先处理与业务关键实体关联的警报。
监控实体风险编辑
风险评分引擎动态地考虑实体的资产关键性,以及Open和Acknowledged检测警报,以计算实体的整体风险评分。此动态风险评分允许您监控最敏感实体的风险状况的变化,并快速升级高风险威胁。
要查看资产关键性对实体风险评分的影响,请按照以下步骤操作
- 打开主机详细信息弹出窗口或用户详细信息弹出窗口。风险摘要部分显示了资产关键性对整体风险评分的贡献。
- 单击查看风险贡献以打开弹出窗口的左侧面板。
- 在风险贡献部分,验证警报生成时的实体关键性级别。
风险摘要和风险贡献部分显示实体的资产关键性,该关键性来自最新的风险评分执行。如果您更改资产关键性级别,后续风险计算将自动考虑最新的关键性级别。
