将资产与Insight Agent uuid必威体育app登录关联
如果您同时使用Scan Engines和Insight Agents评估您的资产,您可能偶尔会在S必威体育app登录ecurity Console中看到同一资产的多个条目。虽然一些环境和配置因素可能导致类似的重复,但Insight Platform中的Agent管理经验现在包含了一个全球唯一标识符(UUID)检索特性,可以解决这个问题。dota2必威联赛
资产相关解释
Security Console被设计成将相同资产的多个评估关联到单个资产记录中,即使资产获得了新的IP地址,或者资产在不同站点下被多次扫描。但是,如果Security Console没有足够的数据进行关联,则可能发生资产记录复制。
这个UUID资产关联特性旨在提高安全控制台的关联准确性,即使扫描数据不够。
InsightVM如何使用uuid
UUID是Security Console在区分不同资产时使用的几个资产属性之一。根据评估方法,InsightVM可以为每个资产枚举多个uuid:
- 扫描引擎在扫描期间从资产操作系统提取UUID。它们以基于Windows或Unix的形式出现在安全控制台中。
- 必威体育app登录洞察代理为安装它们的每个资产生成它们自己的UUID。它们出现在安全控制台中,带有R7代理ID标签。
资产关联特性是如何工作的
该特性本身是一个全局设置,您可以为环境中的所有代理打开或关闭该设置。启用它将指示您的代理根据请求将它们为相应资产生成的uuid提供给Scan Engine。当扫描引擎扫描资产上的UDP端口31400时,代理知道扫描引擎正在请求该信息。
由于安全控制台集成了新的评估数据,它将知道扫描的资产是否已经由代理计算,并且不会冒在结果中重复计算它们的风险。
何时开启此功能
如果有以下情况适用于你,你应该启用这个资产关联特性:
- 您可以使用Insight Agents和传统的本地扫描引擎来评估资产必威体育app登录。
- 您可以使用Scan Engines在代理资产上运行互补的未经身份验证的扫描以进行远程评估。未经验证的扫描产生的数据要比经过验证的扫描产生的数据少得多。这种情况使得Security Console可以用于关联的数据点更少。如果您希望减轻此数据差距的影响,那么启用此特性尤其重要。
准备你的环境
在启用此关联特性之前,请验证以下扫描模板和代理资产配置。
扫描模板配置
您要使用的扫描模板必须配置为扫描UDP端口31400。截至2019年初,该端口已经包含在默认值中众所周知的端口号InsightVM内置扫描模板的服务发现配置中的选项。如果您打算使用这些内置模板或在此更改生效后创建的自定义模板进行扫描,则不需要进一步配置。
但是,如果您想使用在此更改之前已经存在的自定义模板进行扫描,则必须手动指定该端口。如果这种情况适用于您,请遵循以下步骤:
- 在InsightVM中,单击政府在你左边的菜单里。
- 在扫描选项部分,单击管理在模板标签旁边。
- 浏览到您需要调整的自定义扫描模板,并单击编辑图标。
- 单击服务发现选项卡。
- 2 .在“UDP扫描”中输入
31400在附加端口字段中。 - 点击保存.
代理资产配置
您的代理资产必须满足以下要求才能使该关联特性生效:
- 代理资产必须至少运行Insight Agent软件2.0版本。必威体育app登录
- 代理资产必须打开UDP端口31400。
- 这允许代理在扫描期间响应扫描引擎。如果此端口关闭,代理将不会向扫描引擎提供其UUID,安全控制台将无法将此信息用于关联目的。
如何开启资产关联开关
在验证您的环境已经为这个功能做好了准备之后,就可以启动它了。该开关目前默认是禁用的,但平台或产品管理员可以在其Insight帐户页面的Agent Management体验中启用它。
按照以下步骤打开资产关联开关:
- 去insight.rapid7.com并使用您的Insight账户电子邮件和密码登录。
- 如果您登录时没有看到“我的产品和服务”界面,请打开屏幕左上角的应用程序切换器,单击我的账户.
- 在“我的产品和服务”屏幕上,单击数据采集管理选项卡在你的左边菜单上。该接口将默认进入Agent Management视图。
- 扩大设置下拉菜单。点击资产相关.
- 将特性切换到在设置。
- 点击保存来应用您的更改。
从现在开始,您的代理将知道为关联目的提供它们的uuid。