风险资产查看及处置
背景信息
理清自有资产是进行安全管理的必要前提。如果用户购买了华为乾坤多个安全服务,检出的威胁事件对应的资产可能有所重叠,资产管理服务可以帮助用户从资产的角度,全方位、多维度了解其安全属性。
相比于全部资产,用户可能更关心风险资产。为了帮助用户精准定位需要关注的资产,资产管理服务分别提供了全部资产和风险资产的审视窗口:
- 全部资产:用于全量资产清单维护,包含资产的通用信息。
- 风险资产:用于对高风险资产进行运维和处置,包含风险资产的风险评分、威胁标签、待处理问题、自定义标签等。
查看风险资产(通过资源中心)
- 登录华为乾坤控制台,选择。
- 选择“风险资产”页签,查看风险资产列表。
图1 风险资产列表
表1 风险资产列表参数说明 参数
说明
资产名称
自定义资产名称。
风险评分
基于算法,结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息,整体评估出资产的风险值,帮助用户全面了解资产存在的风险。
资产风险评分是量化数据,由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。
- 边界防护威胁分:从边界防护与响应服务实时获取。
- 漏洞扫描得分:根据扫描出的漏洞数量、漏洞级别而确定。
- 终端防护威胁分:从终端防护与响应服务实时获取。
说明:如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务,未开通服务的资产评估得分将被算法剔除,不计入资产风险评分的加权计算。
根据资产是否进行过风险评估以及得分,风险评分分为以下几个等级:
- 未评估:未使用防护服务,无法评估。
- 低风险:评分≥70。
- 中风险:70>评分≥ 30。
- 高风险:评分<30
威胁标签
资产的威胁标签,由资产关联安全服务根据检出的威胁事件自动生成,威胁事件包含以下几类:
- 边界防护与响应服务近24小时未处置的威胁事件。
- 漏洞扫描服务基于资产维度检出的全量漏洞。
- 终端防护与响应服务近15天未处置的威胁事件。
待处理问题
用户通过边界防护与响应服务、漏洞扫描服务、终端防护与响应服务等安全服务检出资产关联威胁事件,在此列显示未处置的资产漏洞数量。
重要性等级
用户在录入资产时根据实际填写。
- 核心:其安全属性破坏后可能对组织造成非常严重的损失。
- 普通:其安全属性破坏后可能对组织造成较低程度的损失。
自定义标签
- 资产无标签时,单击
图标添加标签。 - 资产有标签时,单击
图标添加、删除标签。 - 不支持对已有标签进行修改,如需修改,请删除后重新添加。
- 单个资产最多支持添加6个自定义标签。
- 支持在高级搜索中,按自定义标签对风险资产进行筛选。
查看风险资产(通过工作台资产卡片)
- 登录华为乾坤控制台,选择“工作台”。
- 单击资产卡片,统计数据为风险资产/资产总数。
图2 资产卡片
- 在右侧资产统计页面,查看风险资产详情。
表2 资产统计列表参数说明 参数
说明
资产名称
自定义资产名称。
风险评分
基于算法,结合资产的漏洞扫描结果、资产面临的威胁事件、威胁情报等信息,整体评估出资产的风险值,帮助用户全面了解资产存在的风险。
资产风险评分是量化数据,由边界防护威胁分、漏洞扫描得分、终端防护威胁分加权计算所得。
- 边界防护威胁分:从边界防护与响应服务实时获取。
- 漏洞扫描得分:根据扫描出的漏洞数量、漏洞级别而确定。
- 终端防护威胁分:从终端防护与响应服务实时获取。
说明:如果用户只开通了边界防护与响应服务、漏洞扫描服务和终端防护与响应服务中的部分服务,未开通服务的资产评估得分将被算法剔除,不计入资产风险评分的加权计算。
根据资产是否进行过风险评估以及得分,风险评分分为以下几个等级:
- 未评估:未使用防护服务,无法评估。
- 低风险:评分≥70。
- 中风险:70>评分≥ 30。
- 高风险:评分<30
重要性等级
用户在录入资产时根据实际填写。
- 核心:其安全属性破坏后可能对组织造成非常严重的损失。
- 普通:其安全属性破坏后可能对组织造成较低程度的损失。
Agent状态
- 在线:资产已安装Agent,Agent已上报资产信息,Agent与云端网络连通。
- 离线:资产已安装Agent,Agent已上报资产信息,Agent与云端网络不连通。
- 未安装:资产未安装Agent。
处置风险资产
- 点击某个风险资产的“资产名称”,进入资产详情界面。
- 查看“待优化项”中的威胁事件和脆弱性问题,根据相应的处置建议逐条进行处置。
