全部文档
当前文档
最近更新时间:2025-06-23 16:07:44
资产清点,致力于帮助用户从安全角度自动化构建细粒度资产信息,其使用Agent-Server架构,提供主机核心资产清点,200余类业务应用自动识别,并拥有良好的扩展能力。全面及时的资产数据支持大大缩短了发生安全事故时的排查时间,资产信息与补丁、风险、基线等功能协同联动,能够快速定位问题主机并能够及时查看到应用详情信息,帮助用户快速处理存在的风险,减少不必要的损失。
目前系统支持采集进程端口、账号资产、硬件资产、注册表、Web服务、数据库等各类资产数据,具体资产支持明细可查看资产边界清单。
操作步骤:
点击资产查询页面右上角的“全部资源”按钮可查看全部资产。
除了采集上述资产之外,您还可根据自己需求进行资产扩充,添加自定义资产。
操作步骤:
进入到资产管理页面的自定义资产中,点击"新建资产"。
参数说明:
资产分类:可选择已有资产分类或自定义创建资产分类。
最大缓存时间:决定采集端数据的缓存时效,超出时效系统会重新执行脚本进行计算。对于返回值经常变化的资产类型,如运行进程,您可以设置较短的缓存时效。如果您不想缓存,可将该值设置为0。
脚本执行周期:可为资产设置定时更新周期,每次更新都会重新执行脚本,获取最新数据。
资产采集脚本:
当前仅支持Linux、Windows和AIX系统的脚本
资产脚本需经过金山云进行脚本签名和校验
支持同时上传同一个资产不同操作系统的脚本,进行统一配置
结果视图:
结果视图列字段由脚本定义并解析,该视图决定了资产数据的默认展示样式。
支持配置字段标题、字段展示顺序、字段显示性、是否参与首页检索等
点击字段后面的设置按钮,可配置该字段的枚举转换
创建完成后,可对自定义资产进行编辑、删除及管理配置操作,具体可见下文介绍。
资产采集的数据会定时进行更新,当您需要更改资产定时更新周期时,可自定义更新策略。
资产定时更新:
操作步骤:
每个预置资产都有默认的定时更新周期,支持用户自定义创建采集策略,指定更新周期。
自定义更新策略可通过“资产管理-管理配置”按钮进入到资产的采集策略tab页,点击该页面的“新建策略”按钮,填写相关信息。
对于新建的策略,可进行编辑、删除和批量删除等操作。
说明:
每台Agent最终执行的采集策略是根据优先级计算得出:
对于主机资产来说,单台主机范围>条件选择范围>全部主机范围。若一台主机匹配到多个同级策略,则以最后修改时间最近的为准。
支持批量配置资产的采集策略,创建成功后,会给所选资产按照执行范围各自新增一条采集策略。机器的最终生效策略由该资产的全部策略以优先级计算得出。
资产立即更新:
除了按照资产类别进行更新外,还支持按照主机范围,立即触发一次更新。支持按主机、按业务组进行更新。
操作步骤:
点击资产查询页面右上角"全部更新"右侧的 按钮,可以选择更新的维度,进行资产手动更新。
单个管理对象和单个资产也可进入列表页面点击"更新"按钮,进行更新。
说明:镜像安装包资产仅支持手动触发更新,为避免资产更新超时,建议每次选择少量镜像、分多次完成更新。处于更新中状态的镜像不会重复添加到队列中。
"是否启用"这个参数决定是否进行该类资产数据的采集。启用则表示会跟随每一次的定时更新策略或即刻 更新操作,禁用则表示不再继续采集更新该资产数据,但仍会保留已采集的历史数据。
操作步骤:
进入资产管理列表,点击“是否启用”列的按钮切换资产采集状态。
当您需要监控某些关键资产在一段时间内的变化时,可开启资产的变化监控配置。
操作步骤:
首先需先打开资产管理列表中的"是否监控变化"按钮,开启后则代表对该类资产的新增或删除事件进行监控。
如果需要监控某类资产具体某个字段值的变化,则可通过"管理配置"按钮进入到变更配置页面,选择监控的变更字段。不填写则代表不监控资产的修改事件。
资产具体的变更结果可通过资产对比功能进行查询,详情内容可查看本文档"资产对比"章节介绍。
对资产进行新增、删除,启用、禁用或管理配置等变更操作之后,皆需进行手动同步后方可生效。
操作步骤:
可点击资产管理页面的"同步资产"按钮进行配置的手动同步。
系统对搜索框输入方式提供了使用说明,您可以点击 按钮进行查看。
查找资产时,可以使用统一查询框去查找一个管理对象,管理对象上的关键资产,以及具体的某类资产。
场景一:查找管理对象
根据IP、名称、ID等信息查找一台机器、一个或一个;并查看这个对象上的重点资产情况,包括进程、端口、系统账号、运行应用、Jar包等。
操作步骤:
以主机为例,选择主机的检索属性,如主机IP、主机名等;通过输入检索属性的值,完成查询。
"进入资产页面"对应单类资产页,匹配您输入的检索属性。单条数据后的"详情"对应单类资产页,匹配定位该条数据。
点击高亮的主机IP值,便可弹出对应的主机详情页;其中包含该台主机的基本信息、管理信息以及关联的业务风险和设备告警。
如果您想查看该台主机的资产数据变化,可以点击右上角的"资产对比"按钮进行查看。
若您想更新单台主机的资产数据,可通过点击右上角的"更新数据"按钮来实现。
场景二:查找某类资产
根据名称、路径等关键信息查找进程端口、账号、应用或包。
操作步骤:
以进程为例,通过输入对应检索属性的值完成查询。
说明:
在该查询结果页面,您可对数据进行更新、分析和导出 ;也可以将输入框中的简单检索切换为高级检索语句,详情内容可查看本文档"列表查询"章节。
资产查询页面包括了统一查询框、预置看板以及资产导航视图。
资产导航视图两级分层,一级展示资产分类;二级展示资产名称。通过点击资产导航视图的二级资产名称,可直接进入该类资产列表页。
每类资产后的数字代表该资产的总数据量,该统计值每日03:00定时更新,看板右上角展示最近一次统计更新时间,也可点击立即触发一次更新。
预置看板:系统预置的看板包括快速查询、系统资产、应用资产等三个看板,您可以对这些看板进行管理,并添加自定义看板。
快速查询:从安全视角出发,预置常用的资产和查询场景,便于快捷查询。其中:
查询场景主要帮助您排查资产的安全问题,如查看高权限运行站点、特殊账号等。您可以直接点击相应的查询场景进入到结果页。
系统资产:从安全视角出发,聚焦主机和集群的系统资产数据。
应用资产:从安全视角出发,聚焦应用类资产,如软件应用、数据库、Web服务、软件包等。
设置看板:随着资产类别的不断丰富,系统也为您提供了更加灵活的导航查询方式。您可以根据自己需求自定义看板内容,统一展示在资产查询页面。
操作步骤:
点击资产查询看板tab后面的 按钮,弹出"设置看板"抽屉,可对看板进行管理:
点击 按钮,可以选择预置看板以及自定义看板展示或隐藏。
自定义看板:您可点击"添加看板",自定义配置个性化看板,支持新建、编辑、删除、显示/隐藏看板。
保存之后,在资产查询页面会新增一个空白看板tab。系统支持对看板内容进行配置,包括添加模块、编辑模块、删除模块、排序、收起/展开模块。
操作步骤:
您可通过点击 按钮,让卡片变为编辑状态,自行选择内容添加至该模块。
当鼠标停留在模块内某条数据时,按下鼠标左键可上下拖拽内容进行排序。
您可以点击资产查询页面的二级资产或通过统一查询,皆可进入到资产列表页面,该页面支持简单检索和高级检索。
简单检索:
操作步骤:
光标移入搜索框,单击则展示支持筛选的条件,包括管理对象(类型)、管理对象相关筛选条件(如主机)、资产相关筛选条件。
点击高亮的资产名称,查看该应用的详情信息,包括基本信息以及关联资产信息。
点击高亮的管理对象,可弹出对应管理对象的详情信息。
如果您想对该资产的数据进行更新、分析和导出,都可通过点击右上角的对应按钮实现。
系统也支持将您输入的简单检索切换为高级检索语句,详情查看本文档1.2.1.3"高级检索"。
高级检索:为了支撑更复杂的查询场景,系统提供了高级检索的方式方便查询,您可通过输入QSL语句进行检索。
操作步骤:
点击 按钮可查看QSL语法说明。
在高级检索输入框,支持展示最近10条历史查询语句,再展示该表可用于查询的字段。
如果您选择历史查询语句,回车或点击搜索,便可执行查询。
若您选择了常用字段,可输入对应的值,根据语法说明构建查询语句,直接执行查询;
说明:
简单查询和高级查询的切换:
简单查询执行后,您可以点击高亮的"高级检索"按钮,将其转换为高级查询语句。
在高级查询模式下,若您的查询语句进行了更新,且执行了查询,则不可直接切换为简单查询。
场景保存:高级检索构建的内容可保存为常用查询。后续您可通过查看已保存的查询列表,选择某一个查询,快速复现保存的查询语句,并展示查询结果。
操作步骤:
在进行一次查询后,您可以点击 按钮进行查询场景的保存。其中:
选择分类可选择已有的分类,也可新建分类。
如果您想查看已保存的查询列表,可点击高级筛选框左侧的 按钮进行查看。也可前往“全部资源-已保存的查询”页面进行查询和管理。
您选择其中的某一个查询,便可快速复现该查询语句,系统会跳转至新页签展示查询结果。
若您想修改该查询语句,也可直接在查询结果页面的搜索框中进行修改。
当您的鼠标停留在某一个查询时,可点击删除按钮进行删除。
数据分析:系统支持对查询后的结果进行分析, 您可以通过点击某类资产列表页的"分析"按钮,对该资产数据进行可视化。
详细操作说明见“数据中心”模块文档。
当黑客入侵一台主机后,可能会出现新启进程、新增定时任务、修改注册表等行为。若能监控到这些资产的变化,并对资产变化事件进行分析比对,您就可以更好地了解资产、管理资产。
本产品提供了“资产对比”功能实现对关键资产的变更比对分析。
操作步骤:
若您想查看资产对比结果,首先需要提前一天在管理配置模块打开该资产的”是否监控变化“按钮,自行选择监控的变更字段。
然后在资产对比页面指定查询主机,系统将会跳转至比对结果页。
系统默认展示近30天的资产数据变化,您可以点击切换至近60天和近90天。
您还可以通过点击时间轴上的点,切换要比对的日期。时间轴上高亮加长的点代表您当前选中的日期;而橙色普通圆点代表该日期相对上一次的资产数据有变化。
若您点击某类资产,该卡片高亮,展示该资产在选定两个日期前后的数据快照比对情况。
结果展示包括资产的删除、新建、修改事件,可通过勾选取消或展示部分事件的比对结果。
红色标识删除事件,绿色标识新增事件,黄色标识修改事件。
点击数据前的小三角icon,您可以查看某一条数据的具体详情。
该功能主要用于发现客户内网环境中未防护的主机、集群节点 ,暴露业务风险,促进Agent安装覆盖和风险防护。
主机节点发现支持通过 ARP 缓存扫描、Ping 扫描、Nmap 扫描等多种扫描技术,帮助您检测和识别内网环境中未纳入平台管控范围的活跃主机,建议及时安装 Agent 进行防护,以降低安全风险。
操作步骤:
新建扫描任务:点击“新建扫描任务”,填写基本设置、选择扫描方式、配置扫描设置等信息,完成任务创建。
查看任务列表:点击“扫描任务列表”,可查看已创建的任务,包括任务状态、执行时间等,支持编辑、删除、立即执行操作。
查看发现主机列表:任务执行后, 新发现的主机会展示在主机发现列表中,可根据相关字段进行筛选。
导出:支持导出列表数据
忽略主机:支持将发现的主机加入忽略,忽略后主机会从该列表移除,且后续扫描也会忽略该主机。可以在「忽略主机管理」中恢复。
忽略主机管理:该列表展示所有被加入忽略的主机信息,支持将主机移除忽略。移除后,主机将会重新出现在主机节点发现列表中。
纯净模式
