配置文件搜索目标系统

如果InsightVM通过执行漏洞或凭据扫描来访问资产的文件系统,它可以搜索该系统中文件的名称。

文件名搜索对于查找指纹未检测到的软件程序是有用的。它也是验证在企业环境中遵守策略的好方法,这些策略不允许在工作站驱动器上存储某些类型的文件:

  • 受版权保护的内容
  • 机密信息,如符合HIPAA的患者档案数据
  • 未经授权的软件

Security Console可以读取这些文件的元数据,但它不会读取或检索文件内容。您可以在扫描结果页面的“文件和目录列表”中查看扫描文件名。

请注意

文件搜索操作可能需要相当长的时间才能完成。因此,我们不建议在例行网络扫描时进行文件搜索。相反,文件搜索最好通过临时扫描或手动扫描来实现。

如何配置文件搜索

您可以在新的或现有的自定义扫描模板上配置文件搜索功能。

在扫描模板上配置文件搜索:

  1. 在安全控制台中,打开左侧菜单并单击政府选项卡。
  2. 在“全局和控制台设置”部分,单击管理在“模板”标签旁边。
  3. 浏览到要配置的模板。
  • 如果要配置的自定义扫描模板已存在,请浏览并单击“编辑”图标。
  • 如果要从内置版本创建新的自定义模板,请单击所需模板旁边的“复制”图标。
  1. 在“扫描模板配置”界面,单击文件搜索选项卡。
  2. 点击添加文件搜索.将显示“文件搜索编辑器”窗口。
  3. 命名您的文件搜索配置。这个名称将标识“文件搜索清单”表中的配置。
  4. 选择模式类型。以下选项可用:
  • DOS通配符模式
  • GNU正则表达式

这些模式有何不同?

这两种模式类型之间最重要的区别是它们如何评估字符通配符。

DOS模式支持两个通配符,作为允许字符的替代符。这些通配符如下:

  • -匹配任何允许的字符组合
  • -匹配任何允许的单个字符

与DOS变体不同,GNU正则表达式模式只支持一个字符通配符,但它还包括几个操作符,这些操作符可以更改通配符的匹配方式。该字符通配符如下:

  • -匹配任意单个字符

您可以修改该字符的行为方式,将以下操作符附加到通配符(或您想要匹配的任何其他文字):

  • -匹配零或多个前一个字符。例如,.*将匹配零个或多个任何允许的字符。
  • +-匹配前面的一个或多个字符。而这与.*的例子,.+只有在出现至少一个字符时才匹配。
  • -如果前一个字符存在,则只匹配一次。这使得前面的字符在功能上是可选的。例如,.?将匹配任何字符一次,但如果表达式没有出现,则不会中断表达式。
  1. 在提供的字段中输入搜索字符串。确保您遵守所选模式类型的语法要求。
  2. 点击节省当完成。

您的文件搜索配置现在应该显示在“文件搜索列表”表中。点击节省在“扫描模板配置”屏幕的右上角,以应用您的配置与下一次扫描一起使用。