资产关键性
编辑资产关键性
编辑资产关键性功能允许您根据对您的组织而言重要的各种运营因素对组织的实体进行分类。通过这种分类,您可以通过将警报分类、威胁狩猎和调查活动集中在高影响实体上,来提高威胁检测能力。
您可以根据实体的影响,为其分配以下资产关键性级别之一
- 低影响
- 中影响
- 高影响
- 极高影响
例如,您可以为业务关键型实体分配极高影响,或为对您的安全态势构成最小风险的实体分配低影响。
查看和分配资产关键性
编辑实体没有默认的资产关键性级别。您可以分别为实体分配资产关键性,也可以通过导入文本文件 批量分配 给多个实体。或者,您可以通过 资产关键性 API 分配和管理资产关键性记录。
当您分配、更改或取消分配单个实体的资产关键性级别时,该实体的风险评分会立即重新计算。
如果您使用文件导入功能分配资产关键性,则风险评分不会立即重新计算。但是,您可以通过单击立即重新计算实体风险评分来触发立即重新计算。否则,新分配或更新的资产关键性级别将在下一个小时的风险评分计算中考虑。
您可以在 Elastic Security 应用程序中的以下位置查看、分配、更改或取消分配资产关键性
如果您已启用 实体存储,您还可以在实体分析仪表盘的 实体 部分 查看资产关键性分配
批量分配资产关键性
编辑您可以通过从您的资产管理工具导入 CSV、TXT 或 TSV 文件来批量分配资产关键性给多个实体。
该文件必须包含三列,每个实体记录列在一行上
- 第一列应指示实体是
host还是user。 - 第二列应指定实体的
host.name或user.name。 -
第三列应指定以下资产关键性级别之一
-
extreme_impact -
high_impact -
medium_impact -
low_impact
-
最大文件大小为 1 MB。
文件结构示例
user,user-001,low_impact user,user-002,medium_impact host,host-001,extreme_impact
要导入文件
- 在主菜单中或使用 全局搜索字段 查找实体存储。
-
选择或拖放您要导入的文件。
文件验证步骤会突出显示任何不遵循所需文件结构的行。这些实体的资产关键性级别不会被分配。我们建议您修复任何无效的行并重新上传文件。
- 单击分配。
此过程会覆盖导入文件中包含的实体先前分配的任何资产关键性级别。新分配或更新的资产关键性级别会在所有资产关键性工作流中立即可见。
您可以通过单击立即重新计算实体风险评分来触发立即重新计算实体风险评分。否则,新分配或更新的资产关键性级别将在下一个小时的风险评分计算中考虑。
改进您的安全运营
编辑使用资产关键性,您可以改进您的安全运营,方法是:
优先处理未解决的警报
编辑在对警报进行分类以及执行调查和响应活动时,您可以使用资产关键性作为优先级因素。
一旦您为实体分配了关键性级别,所有随后与该实体相关的警报都会在其关键性级别上得到丰富。此附加上下文允许您 优先处理与业务关键型实体相关的警报。
监控实体的风险
编辑风险评分引擎动态地将实体的资产关键性以及 Open 和 Acknowledged 检测警报考虑在内,以 计算实体的整体风险评分。这种动态风险评分允许您监控最敏感实体的风险概况的变化,并快速升级高风险威胁。
要查看资产关键性对实体风险评分的影响,请按照以下步骤操作
