env: prod

env: prod

prod,test

有关 AKS、EKS 和 GKE 的特定标签，另请参阅与 Kubernetes 集群相关的标签。

以下信息适用于普通 Kubernetes、OpenShift 以及在受支持的云平台（EKS、AKS 和 GKE）上运行的 Kubernetes。

对于每个对象类型，Cisco Secure Workload 会从 Kubernetes 集群实时导入资产，包括与对象关联的标签。标签键和值将按原样导入。

除了导入为 Kubernetes 对象定义的标签外，Cisco Secure Workload 还会生成便于在资产过滤器中使用这些对象的标签。这些附加标签在定义范围和策略时特别有用。

服务特定标签

以下标签仅为服务生成。

键	值
orchestrator_system/workload_type	service
orchestrator_system/service_name	<为此服务提供的名称>

• （仅适用于云管理的 Kubernetes）ServiceType: LoadBalancer 的服务仅支持用于收集元数据，不支持用于收集流数据或用于策略执行。

Tip	使用 orchestrator_system/service_name 过滤项目与使用 orchestrator_system/service_endpoint 过滤项目不同。 例如，使用过滤器 orchestrator_system/service_name = web 会选择名称为 web 的所有服务，而使用 orchestrator_system/service_endpoint = web 会选择提供名称为 web 的服务的所有 Pod。

 - apiVersion: v1
 kind: Node
 metadata:
   annotations:
     node.alpha.kubernetes.io/ttl: "0"
     volumes.kubernetes.io/controller-managed-attach-detach: "true"
   labels:
     beta.kubernetes.io/arch: amd64
     beta.kubernetes.io/os: linux
     kubernetes.io/hostname: k8s-controller

用户可以使用范围过滤器来快速识别不同范围的详细信息，如重叠范围和查询。过滤器功能还有助于识别查询更改、父项更改等。过滤功能还有助于识别查询更改、父项更改等。

示例：

有重叠 (Has Overlaps)

范围重叠示例

有关详细信息，请参阅范围重叠

父项更改 (Parent Change)

已在草稿中移动但尚未提交的范围。

范围按层次结构定义，范围的完整查询定义为范围及其所有父范围的逻辑“and”。使用上面的示例，资产分配给 Workloads:FrontEnd:Mongo

范围将匹配：

vrf_id = 676767 and (ip in 1.1.1.0/24) and (Hostname contains mongo)。

其中，vrf_id = 676767 来自根范围查询，1.1.1.0/24 中的 ip 来自父范围查询。

Note	最佳实践是在同一级别没有重叠查询。这样就消除了排序的重要性，并减少了混乱。请参阅范围重叠

您可以在范围上授予“读取”、“写入”、“执行”、“执行”和“所有者”功能。有关详细信息，请参阅《Cisco Secure Workload 用户指南》中的角色部分。

用户有权访问“子树”，即给定范围及其所有子项。通过使用前面的示例，您对 Workloads:FrontEnd 范围具有读取访问权限，通过继承，您将具有对 Workloads:FrontEnd 下所有范围的读取访问权限，包括：

• Workloads:FrontEnd:Mongo

• Workloads:FrontEnd:ElasticSearch

• Workloads:FrontEnd:Redis

• 等。。

可以定义具有多个范围访问权限的角色。例如，“Mongo 管理员”角色可能对范围具有所有者访问权限：

• Workloads:FrontEnd:Mongo:MongoServer

• Workloads:FrontEnd:Mongo:MongoDBArbiter

角色和功能允许您水平访问范围层次结构。

范围功能也会被继承。例如，对范围具有“写入”功能还让用户能够读取该信息。

每位用户都可以查看他们有权访问的范围树。在根范围上拥有“所有者”权限的用户能够在该树中创建、编辑和删除范围。要访问此视图，请执行以下操作：

在左侧的导航栏中，点击整理 (Organize) > 范围和资产 (Scopes and Inventory)。

您可以遍历自己有权访问的任何范围的完整范围层次结构（直至根）。这种完整的遍历提供了用户可以创建任何范围的策略的情景。在此页面上可执行多项操作：

• 点击范围层次结构中的 V 形图标可显示该范围的子项。

• 点击范围卡可更新右侧窗格，以便显示有关该范围的详细信息以及其所有资产的可过滤列表。

“范围”(Scopes) 页面上提供了一些快捷方式，可帮助用户在需要搜索流的一个或两个终端都在提供的范围内的情况下搜索流。

如上图所示，在范围树（左侧面板）中选择所需的范围后，用户可以在以下三个选项中进行选择：

1. 流搜索 - 作为使用者 (Flow Search - As Consumer) 提供流搜索页面的快捷方式，以帮助搜索选定范围为流的使用者范围的流。换句话说，流中的使用者或源终端属于所选的范围。

2. 流搜索 - 作为提供者 (Flow Search - As Provider) 提供流搜索页面的快捷方式，以帮助搜索选定范围为流的提供者范围的流。换句话说，流中的提供者或目标终端属于所选范围。

3. 流搜索 - 内部流量 (Flow Search - Internal Traffic) 提供流搜索页面的快捷方式，以帮助搜索完全限制在所选范围内的流。换句话说，流的两个终端（使用者和提供者）都属于所选范围。

在添加范围时，建议避免范围重叠。当范围重叠时，为重叠范围生成的策略最终可能会让最终用户感到困惑。如果存在任何重叠的范围成员身份，即同一资产属于范围树中同一深度的多个范围（同级范围），则此功能会主动通知用户。目的是避免相同的工作负载存在于范围树的不同部分。

要查看属于多个范围的资产项目，请使用范围过滤器并输入 Has Overlaps = true 分面。

通过向下遍历范围树并选择重叠范围 (Overlapping Scopes) 选项卡，可以查看重叠范围列表和相应的重叠 IP 地址。

只有在根范围上具有 SCOPE_OWNER 功能的用户才能编辑范围。站点管理员是所有范围的所有者。

编辑范围名称

编辑范围名称会立即进行，根据需要更新的子范围的数量，可能需要几分钟时间。

Note	在更改范围名称时，按范围名称进行的流搜索将受到影响。

仅当您具有根范围所有者权限时，才能删除范围。站点管理员是所有范围的所有者。

删除范围会影响父范围的应用资产成员资格（父范围成员的工作负载）。删除范围后，父范围的状态会更改为草稿更改。提交更改以及工作空间、策略和配置意图等依赖关系。有关详细信息，请参阅确认更改。

无法删除具有从属对象的范围。在以下情况下会显示错误消息：

• 为范围定义了工作空间。

• 将资产过滤器分配给范围。

• 存在使用范围定义其使用者或提供者的策略。

• 代理配置意图在范围中定义。

• 接口配置意图在范围中定义。

• 取证配置意图在范围中定义。

  有关查看范围/过滤更改影响 (Review Scope/Filter Change Impact) 页面中范围依赖关系的详细信息，请点击依赖关系 (Dependencies) 选项卡。请先删除冗余对象，然后再删除范围。

  Note	删除没有任何子范围的范围。 要删除根范围，请先从租户 (Tenants) 页面中删除 VRF。

  1. 从导航窗格中，点击整理 (Organize) > 范围和资产 (Scopes and Inventory)。

  2. 点击要查看其相应子范围的范围。

  3. 选择要删除的子范围。

  4. 点击编辑 (Edit) 和添加 (Add) 按钮旁边的删除 (Delete) 按钮。

  5. 点击查看范围更改影响 (Review Scope Change Impact) 链接以在删除范围之前查看范围更改。

  6. 点击返回 (Back) 关闭页面。

     

     

  7. 点击删除 (Delete) 以删除范围。

范围的应用资产查询定义是由其查询及其直接子范围的查询定义的。发生这种情况时，范围被标记为具有“草稿更改”，并且在运行提交更改 (Commit Changes) 后台任务之前，范围的查询、工作空间和集群不会更改。当范围处于草稿状态时，受影响的范围图标会显示警告三角形，并且“提交更改”(Commit Changes) 按钮显示在“范围”(Scopes) 页面（右上角）上，应点击该按钮以运行提交更改 (Commit Changes) 后台任务。

可将范围标记为草稿的事件：

• 查询更新

• 任何父项的查询都会被更新。

• 直接子项已被添加。

• 直接子项已删除。

• 直接子项的查询已被更新。

更改范围名称不会更改范围的草稿状态。

Note	提交更改任务是一个异步任务。这通常需要几秒钟，但大型范围树可能需要几分钟。

Note	当根范围不再是草稿时，范围更新任务将完成。刷新页面以获取最新状态。

站点管理员和在根范围上具有 SCOPE_OWNER 功能的用户可以通过点击右上角的溢出菜单中的更改日志来查看每个范围的更改日志。

这些用户还可以通过点击右上角的溢出菜单中的查看已删除范围 (View Deleted Scopes) 链接来查看已删除范围的列表。

“建议子范围”是一种使用机器学习算法（如网络中的社群检测）来发现可作为范围的分组的工具。在构建范围层次结构时，该工具很有帮助，有助于为给定的范围定义更精细的子范围。候选子范围会以建议的形式显示，然后可以选择并添加。

算法说明：首先创建一个基于父范围中未被认领的成员之间通信的图（注意：未被认领的成员指那些不属于父范围的任何子范围的成员），然后对图进行预处理，例如，算法会尝试识别与图中比例足够高的其他终端进行通信的终端。如果找到这样的一组终端，则会作为候选通用服务分组向用户显示。处理该图的其余部分以检测行为类似于社区的组，这大致意味着终端之间的通信频率（或在更多提供者端口上）要比与该组外部的终端通信的频率更高。每个这样的分组可以对应于组织内的一个应用或一个部门。此类分区还可能导致范围之间的策略更稀疏。

示例：

将 1 至 10 设为单个终端 IP。假设输入（通信）图如下：

然后，终端 1-4、5-7 和 8-10 将被分组在一起，因为它们彼此之间的通信程度（边缘数量）相对较高，而与其他终端的通信相对较少。

要为所需范围调用范围建议，用户应在范围页面上找到并将其选中。

在窗口中，用户可以浏览资产、未分类的资产项目，即属于当前所选范围但不属于当前所选范围的任何子范围的项目。点击未分类的资产项目可查看此列表。

选择范围后，用户可以点击建议子范围 (Suggest Child Scopes)，然后点击启动范围建议 (Start Scope Suggestion)（或点击重新运行，以防这并非第一次）。请注意，范围建议运行的输入将是未分类的资产项目。

用户可以将日期范围设置为范围建议的输入，然后点击建议范围 (Suggest Scopes)。在中等整体负载下，范围建议运行速度通常很快，并且只需几分钟即可处理十到数千个终端以及数万个对话。

输出以候选项列表的形式向用户显示，当前最多 20 个组（如图所示），每个组都附带组可信度（质量）、候选项范围名称和查询等信息。每个已发现的组都有一个关联的组社区可信度，可能的值包括：非常高 (Very High)、高 (High)、中 (Medium) 和低 (Low)。这是对组的社区 (Community) 属性的度量：可信度越高，给定的一组终端的社区属性越高（组内部的边缘很多，外部的边缘相对较少）。目前，系统根据“组社区可信度”(Group Community Confidence) 选择要显示的组子集。发现的组当前可以属于以下四种组类型之一：

• 通用组：基于社区属性通过机器学习发现的任何组。请注意，任何未明确指定以下特殊类型的组均为通用组。

• 通用服务：此组包含与大部分输入资产进行通信的终端。这些终端可能正在运行某种共享服务。

• 公共服务客户端：此组包含仅与公共服务组通信的终端。

• 未分组：此组包含因通信不足而无法分组的终端。

用户可以点击已发现的组，以便查看为所选组生成的查询列表。用户可以预览查询所涵盖的资产，这将严格定义所发现的组。查询内容包括 IP 范围、子网、主机名和用户上传的标签。有一个与每个组关联的可信度度量，称为查询可信度，它可以具有以下值范围中的一个：完美 (Perfect)、非常高 (Very High)、高 (High)、中 (Medium) 和低 (Low)。在生成查询时，首先通过图处理和机器学习发现组别，然后为每个组别生成查询。查询可信度用于衡量查询覆盖终端的程度。查询可信度为完美表示查询完全涵盖建议的（已发现）组。另一方面，低查询可信度表示查询明显错过准确捕获建议的组，这意味着查询涵盖许多额外 IP（不属于已发现的组）和/或具有许多缺失 IP（不在查询范围内）。

用户可以点击 + 范围 (+ Scope) 按钮，这会将用户带到编辑窗口，用户可以在其中编辑组名称和组查询。用户可以检查查询及其匹配的 IP，并通过调整查询决定是否需要添加或删除某些 IP。满足要求后，用户可以点击下一步 (Next)，以查看该组并将其转换为草稿视图画布上的范围。

在用户将建议的组转换为范围后，组槽位会变为绿色，并且未分类的资产项目计数会减少。

用户可以从剩余的组列表中重复创建范围的过程。用户可以从剩余的组列表中重复创建范围的过程。建议的工作流程是创建一个或多个范围，然后重新运行范围建议。 未分类资产项目的计数为零表示没有剩余要进一步确定范围（用于当前选定的父范围）的资产。

在范围创建过程结束后（未分类计数为 0），用户可以在新创建的子范围上重复此过程，以便根据需要生成更深的范围树。

Note	还有一种可能是，范围中未分类的项目无法很好地划分（例如，没有形成社区）。在这种情况下，算法可能不会返回任何分组（空结果）。

默认情况下，“成员身份”(Membership) 视图下的资产表将显示所有的列。您可以选择要显示的列。此外，您还可以下载所选成员列和行的 csv 或 json 文件，其中包含一个额外的差异列，用于标识资产是已获得、已丢失还是未更改。确保所有需要下载的表格选择在表格视图中可见。

您可以通过进一步选择查看依赖关系 (Review Dependencies) 来遍历嵌套依赖关系

您可以通过选择所选的“父”链接来向后遍历依赖关系树：

以下是可能存在的范围依赖关系：

以下是可能存在的过滤器依赖关系：

软件包选项卡会列出主机上安装的软件包以及影响这些软件包的漏洞。

长期进程会显示在进程列表选项卡下。

系统会在进程快照选项卡下显示进程树中所有进程的漏洞信息。

漏洞 (VULNERABILITIES) 选项卡显示 Cisco Secure Workload 在工作负载上识别的 CVE。

对于每个 CVE，除了基本影响指标外，还会显示基于威胁智能的漏洞攻击信息：

• 漏洞利用计数：过去一年 CVE 被广泛利用的次数

• 上次被利用：我们的威胁智能上次发现 CVE 被广泛利用的时间

使用 CVE ID 创建的资产过滤器可以搜索受特定 CVE 影响的主机。

要搜索受特定 CVE 影响的主机，请按以下格式输入 CVE ID：CVE-XXXX-XXXX

支持以下操作：

• =：返回包含受 CVE ID 影响的软件包的主机。

• ≠：返回包含不受 CVE ID 影响的软件包的主机。

• 包含 (contains)：返回输入字符串中存在受 CVE 影响的软件包的主机（输入 cve 会返回受 CVE 影响的主机）。

• 不包含 (doesn't contain)：返回包含不受输入字符串中存在的 CVE 影响的软件包的主机（输入 cve 会返回不受 CVE 影响的主机）。

• 匹配 (matches)：返回包含受与输入字符串匹配的 CVE 影响的软件包的主机。

基于通用漏洞评分系统 (CVSS) 的过滤器允许通过输入数字格式的评分来搜索具有指定 CVSS V2 或 CVSS V3 影响评分的 CVE 的主机。

例如，要搜索 CVSS V2 影响评分大于 7.5 的 CVE 的主机，则查询为 CVE Score v3 > 7.5。

支持以下操作：

• =：返回具有具有指定 CVSS V2 或 V3 影响评分的 CVE 的主机。

• ≠：返回不具有具有指定 CVSS V2 或 V3 影响评分的 CVE 的主机。

• >：返回 CVE 的 CVSS V2 或 V3 影响评分大于指定的 CVSS V2 或 V3 影响评分的主机。

• ≥：返回具有 CVSS V2 或 V3 影响评分大于或等于指定 CVSS V2 或 V3 影响评分的 CVE 的主机。

• <：返回具有 CVSS V2 或 V3 影响评分分别小于指定 CVSS V2 或 V3 影响评分的 CVE 的主机。

• ≤：返回 CVE 的 CVSS V2 或 V3 影响评分小于或等于指定的 CVSS V2 或 V3 影响评分的主机。

可以使用访问向量和访问复杂性来创建资产过滤器，以识别易受攻击的主机。过滤器支持以下操作：

• =：返回包含受与过滤器匹配的漏洞影响的软件包的主机。

• ≠：返回包含不受与过滤器匹配的漏洞影响的软件包的主机。

攻击媒介、攻击复杂性和影响 CVSS V3 评分所需的权限可用于资产过滤器。过滤器支持以下操作：

• =：返回包含受与过滤器匹配的漏洞影响的软件包的主机。

• ≠：返回包含不受与过滤器匹配的漏洞影响的软件包的主机。

通过基于思科安全风险评分的过滤器，您可以通过输入数字格式的评分来搜索具有指定思科安全风险评分的 CVE 的主机。例如，要搜索思科安全风险评分大于 67 的 CVE 的主机，则查询为思科安全风险评分 ≥ 67。

思科安全风险评分范围的严重性如下：

• 高：评分在 67 到 100 之间

• 中：评分在 34 到 66 之间

• 低：评分在 0 到 33 之间

过滤器查询支持以下操作：

• =：返回具有具有指定思科安全风险评分的 CVE 的主机。

• ≠：返回没有具有指定思科安全风险评分的 CVE 的主机。

• >：返回具有思科安全风险评分高于指定思科安全风险评分的 CVE 的主机。

• ≥：返回具有思科安全风险评分大于或等于指定思科安全风险评分的 CVE 的主机。

• <：返回 CVE 且思科安全风险评分低于指定的思科安全风险评分的主机。

• ≤：返回 CVE 且思科安全风险评分小于或等于指定的思科安全风险评分的主机。

思科安全风险评分属性可用于资产过滤器。查询过滤器支持以下操作：

• =：返回包含受与过滤器匹配的漏洞影响的软件包的主机。

• ≠：返回包含不受与过滤器匹配的漏洞影响的软件包的主机。

属性的值为布尔值；输入 true 或 false 可根据属性过滤 CVE。

默认情况下，识别已知恶意 IP 地址的功能处于禁用状态。启用该功能后，您可以使用恶意资产过滤器来识别所有已知的恶意 IPv4 地址。使用只读过滤器在工作负载上创建和执行策略，以阻止从工作负载到已知恶意 IPv4 地址的通信。

默认情况下，恶意资产过滤器的查询设置为 * Is_malicious = true。

有关以下主题的详细信息，请参阅相应部分：

• 启用恶意使用者和提供者 IP 地址检测，请参阅已知恶意 IPv4 地址的可视性。

• 要创建微分段策略，请参阅创建和发现策略。

• 要对工作负载执行策略，请参阅执行策略。