通过莉斯赫托
2022年1月5日
有几个事件,往往导致资产的风险态势变化,如一个新的用户帐户或服务停止或启动;这些被称为risk-altering事件。组织使用SIEM产品巩固和分析这些事件。0 Nessus网络监视器(NNM)有能力将这些事件从SIEM产品,下载四个类别的风险改变事件。站得住脚的。sc现在支持从NNM收集这些事件通过将这些类型的事件放入这个报告。
NNM提供安全团队的能力调查事件每五到十分钟。这个新服务标识资产从DHCP日志跟踪变化以及事件风险的姿势,如软件安装、帐户和服务变化。
这些事件分为四类:
- 软件检测:添加或删除软件改变资产的风险状况,并为风险分析这个事件应该被记录下来。当用户或软件管理系统部署或安装软件,操作系统记录的过程。NNM将使用共同的语言和分析的日志SIEM找到这些事件并将其转换为插件数据,可用于自动化漏洞扫描软件更改时发生。
- 用户帐户活动:修改用户帐户改变资产的风险状况。这包括添加用户组,更改密码,等等,这些事件应该为风险分析记录。
- 修改服务:服务修改通常与软件安装,但添加一个服务时,停止,或开始,资产的风险状况将会改变。NNM会要求这些服务相关的事件,并提供基于收集的数据的细节。
- 资产发现:NNM将查询DHCP地址分配SIEM提供者的日志来记录。在DHCP交换,许多资产的属性被发现,将被记录为选择目标添加到一个漏洞扫描。
组织往往需要维护一个资产库存坚持合规、独联体等关键控制1。作为合规管理过程的一部分,安全团队需要有一个准确的计算网络上的资产,包括资产不属于组织。不是静态的,因为许多资产的可能性在一个活跃的全部资产覆盖率扫描苗条。然而安全团队将提供一个精确的资产清单,尽管不断变化的网络。可以利用这些数据来支持种基于合规性的用例,执行风险分析,建立新的扫描活动。这份报告是根据协助安全团队识别资产和风险事件改变姿势。
这份报告是站得住脚的。sc饲料,仪表板的全面收集,报告,保证报告卡(弧),和资产。这份报告很容易位于站得住脚的。sc饲料下发现&检测范畴。
报告要求:
- 站得住脚的。sc 5.20.0
- Nessus网络监视器6.0.0
通过合并risk-altering事件分析,董事可以丰富组织的安全基于风险的脆弱性管理(RBVM)程序。站得住脚的。sc一起把收集到的事件主动和被动扫描增加资产检测和提高风险意识。发现的第一步是什么RBVM生命周期;这个报告中的数据提供的信息的范围扩展到组织,使更好的资产发现。
这个报告包含以下章节:
执行概要:执行概要提供了一种快速视图到事件捕获从SIEM产品。一个业务团队提供的快照四种不同的被NNM 6.0.0 SIEM事件。
改变风险事件章:风险改变事件提供了一个行动小组详细视图被NNM 6.0.0到三个不同的事件。改变风险事件识别检测服务修改、用户帐户活动,和软件修改活动。
DHCP资产检测:DHCP资产检测章分为三个部分,涉及SIEM DHCP跟踪。部分显示DHCP的事件发生在最后一天,两个十天,超过10天前。