资产重要性
编辑资产重要性
编辑资产重要性功能允许您根据对您组织重要的各种运营因素对组织中的实体进行分类。通过这种分类,您可以通过将警报分类、威胁搜寻和调查活动集中在高影响实体上,来提高威胁检测能力。
您可以根据实体的影响,将以下资产重要性级别之一分配给实体
- 低影响
- 中等影响
- 高影响
- 极高影响
例如,您可以将极高影响分配给业务关键实体,或将低影响分配给对您的安全态势构成最小风险的实体。
查看和分配资产重要性
编辑实体没有默认的资产重要性级别。您可以单独为实体分配资产重要性,或者通过导入文本文件批量分配给多个实体。或者,您可以通过资产重要性 API 分配和管理资产重要性记录。
当您分配、更改或取消分配单个实体的资产重要性级别时,该实体的风险评分会立即重新计算。
如果您使用文件导入功能分配资产重要性,风险评分不会立即重新计算。但是,您可以通过单击立即重新计算实体风险评分来触发立即重新计算。否则,新分配或更新的资产重要性级别将在下一个小时的风险评分计算中被考虑在内。
您可以在 Elastic Security 应用程序的以下位置查看、分配、更改或取消分配资产重要性
如果您启用了实体存储,您还可以在实体分析仪表板的实体部分中查看资产重要性分配
批量分配资产重要性
编辑您可以通过从资产管理工具导入 CSV、TXT 或 TSV 文件来批量分配多个实体的资产重要性。
该文件必须包含三列,每个实体记录列在单独的一行上
- 第一列应指示实体是
host还是user。 - 第二列应指定实体的
host.name或user.name。 -
第三列应指定以下资产重要性级别之一
-
extreme_impact -
high_impact -
medium_impact -
low_impact
-
最大文件大小为 1 MB。
文件结构示例
user,user-001,low_impact user,user-002,medium_impact host,host-001,extreme_impact
要导入文件
- 在主菜单中查找实体存储,或使用全局搜索字段。
-
选择或拖放要导入的文件。
文件验证步骤会突出显示任何不符合所需文件结构的行。这些实体的资产重要性级别将不会被分配。我们建议您修复任何无效行并重新上传文件。
- 单击分配。
此过程会覆盖导入文件中包含的实体的任何先前分配的资产重要性级别。新分配或更新的资产重要性级别会立即在所有资产重要性工作流程中可见。
您可以通过单击立即重新计算实体风险评分来触发实体风险评分的立即重新计算。否则,新分配或更新的资产重要性级别将在下一个小时的风险评分计算中被考虑在内。
改进您的安全运营
编辑通过资产重要性,您可以改进您的安全运营,具体方法如下
优先处理未处理的警报
编辑在分类警报和进行调查与响应活动时,您可以使用资产重要性作为优先级因素。
一旦您为实体分配重要性级别,与该实体相关的所有后续警报都将使用其重要性级别进行丰富。这种额外的上下文允许您优先处理与业务关键实体相关的警报。
监控实体风险
编辑风险评分引擎会动态考虑实体的资产重要性,以及打开和已确认的检测警报,以便计算实体的总体风险评分。这种动态风险评分允许您监控最敏感实体的风险状况变化,并快速升级高风险威胁。
要查看资产重要性对实体风险评分的影响,请按照以下步骤操作
