创建和管理动态发现连接

此操作为InsightVM提供它与管理资产环境的服务器或进程联系所需要的信息。

必须具有全局管理员权限才能创建或管理动态发现连接。看到管理用户和认证

创建连接

  1. 单击政府选项卡。
  2. 政府页面,在发现选项,单击创建链接连接.安全控制台显示一般页面的资产发现连接面板。
  3. 新发现连接页,选择连接类型:
  • 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
  • 交换ActiveSync (WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
  • Exchange ActiveSync (WinRM/Office 365)适用于运行Microsoft Office 365的基于云计算的Exchange服务器管理的移动设备。
  • vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
  • AWS用于Amazon Web Services管理的环境。
  • DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。
  • McAfee安全ePolicy协调器用于英特尔安全ePolicy Orchestrator (ePO)管理的资产。
  • Active Directory (LDAP)用于AD服务器管理的设备。
  • 英特尔安全数据交换层用于识别ePO管理的系统中存在的文件上的恶意事件,并用于通信InsightVM评估数据,以便在英特尔安全产品中使用。

添加移动设备连接

  1. 控件上为新连接输入唯一名称新发现连接页面。
  2. 输入安全控制台将连接到的Active Directory (AD)服务器的名称。
  3. 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
  4. 为成员输入用户名和密码组织管理安全Microsoft Exchange中的组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。
  5. 点击保存
  6. 继续初始化动态发现

添加Amazon Web Services资产同步连接

请注意

亚马逊网络服务资产同步连接要求静止的网站。

  1. 输入新连接的唯一名称。
  2. 从下拉列表中,选择部署AWS实例的地理区域。如有必要,单个连接可以指定多个区域。
  1. 如果安全控制台部署在AWS网络内部,请选择适当的复选框。如果您指示Security Console在AWS网络内部,则凭据链接将从左侧导航窗格中消失。您不需要配置凭据,因为AWS API识别安装了安全控制台的AWS实例的IAM角色。
  2. 如果您将使用扫描引擎扫描AWS环境,请在AWS网络中部署,选择相应的复选框。这将使应用程序能够扫描私有IP地址。
  3. 输入访问密钥ID和秘密访问密钥,应用程序将使用它们登录到AWS API。
  4. 如果您使用AWS假设交叉帐户访问,请输入一个每行角色ARN,并为假设的角色会话提供一个可选的Session Name。会话名是由大小写字母数字字符组成的字符串,不包含空格。您还可以包含下划线或以下任何字符:=、.@-

提示

当存在多个ARN时,应用程序将遍历每个ARN,并尝试从指定的区域导入资产。

  1. 如果需要,请点击测试证书确认连接成功。
  2. 选择同步Amazon Web服务资产同步资产导入AWS资产并删除过期资产。
  3. 选择要关联资产的站点。要排除特定的资产被导入,请在不导入带有以下标记的资产:盒子。格式为key:value + key:value +…如果此框为空,则导入所有资产。
  4. 选择进口标签以导入所有Amazon Web Services标记。要包含特定的标记,请将这些标记输入只导入以下标签:盒子。的格式是Key:value + Key:value +….您可以使用*作为值,以便只在Key上进行匹配,而不管值是多少。如果此框为空,则导入所有标签。AWS标签作为自定义标签导入到相应的资产中,可以很容易地通过前缀识别亚马逊网络服务

创建默认的标签

默认情况下,无论状态如何导入标记复选框,亚马逊网络服务资产同步连接时会根据导入的实例的VPC ID创建一个安全控制台标签。

  1. 点击保存

添加VMware vSphere连接

请注意

VMware vSphere的连接要求动态网站。

  1. 控件上为新连接输入唯一名称新发现连接页面。
  2. 输入安全控制台将联系的服务器的完全限定域名,以便发现资产。
  3. 输入端口号并选择连接的协议。
  4. 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
  5. 点击保存
  6. 继续初始化动态发现

添加DHCP-Directory监控连接

请注意

DHCP连接需要一个动态网站。

  1. 控件上为新连接输入唯一名称新发现连接页面。
  2. 选择事件源。
  3. 选择目录观察员作为集合方法。
  4. 设置需要监控的DHCP服务器日志文件夹的网络路径。使用格式//服务器/路径/到/文件夹.服务器可以是主机名或IP地址。
  5. 选择将收集DHCP服务器日志信息的扫描引擎。
  6. 2 .输入访问DHCP服务器的管理员用户名和密码。
  7. 点击保存
  8. 继续初始化动态发现

提示:如果您创建了一个连接,然后将其更改为引用另一个DHCP服务器,那么您的资产发现结果将会改变。因此,如果在InsightVM中将资产与特定的DHCP服务器关联很重要,请考虑将连接名称与DHCP服务器关联,并在更改所引用的服务器时更改名称。另外,注意您不能创建重复的DHCP连接。

添加DHCP-Syslog连接

请注意

DHCP连接需要一个动态网站。

提示

Syslog是Infoblox Trinzic事件源唯一可用的数据收集方法。

  1. 控件上为新连接输入唯一名称新发现连接页面。
  2. 选择事件源类型。
  3. 选择Syslog集合的方法。
  4. 选择syslog解析器监听与资产信息相关的日志条目的端口号。
  5. 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
  6. 选择将收集DHCP服务器日志信息的扫描引擎。
  7. 点击保存
  8. 继续初始化动态发现

添加McAfee ePolicy Orchestrator连接

  1. 输入新连接的唯一名称。
  2. 输入连接McAfee ePolicy Orchestrator (ePO)的用户名和密码。对于安全最佳实践,这应该是一个专门用于InsightVM集成的服务用户。InsightVM ePo扩展会自动创建一个名为“NexposeServiceUser”的用户。
  3. 输入ePO所在服务器的IP地址或主机名。
  4. 输入ePO运行的端口。
  5. 如果ePO服务器使用自签名证书,请选择不受信任的证书允许.否则,保持清晰。
  6. 选择使用McAfee ePolicy Orchestrator资产.为了使InsightVM收集资产信息,此设置是初始配置所必需的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
  7. 选择要将资产关联到的站点。
  8. 填充Rapid7 Nexpose Insight:十大风险系统仪表板在EPO与数据,选择推动风险评分.当InsightVM扫描发现ePO管理资产的风险评分变化时,数据将自动更新。
  9. 如果需要,请点击测试证书确认用户名和密码按预期连接。
  10. 点击保存
  11. 导航回站点。资产将在站点内填充。现在可以创建动态资产组并扫描资产。

添加Active Directory连接

  1. 输入新连接的唯一名称。
  2. 输入安全控制台将连接的Active Directory(AD)服务器的服务器IP或主机名。
  3. 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
  4. 输入用户名和密码,并单击测试证书确认凭证按预期连接。
  5. 如果需要,使用Base Query字段指定要导入的域组件(DC)树的部分,使用Search Query字段进一步限定要发现的计算机,使用LDAP查询:https://technet.microsoft.com/en-us/library/aa996205 (v = exchg.65) . aspx
  6. 选择消耗Active Directory(LDAP)资产.为了使InsightVM收集资产信息,此设置是初始配置所必需的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
  7. 选择要将资产关联到的站点。
  8. 如果需要,单击预览按钮可查看查询的前50个结果,以确保您的查询按预期工作。
  9. 点击保存
  10. 导航回站点。资产将在站点内填充。根据活动目录响应查询所需的时间,完全填充站点所需的时间会有所不同。现在可以创建动态资产组并扫描资产。

添加McAfee数据交换层连接

  1. 输入新连接的唯一名称。
  2. 为连接到McAfee ePolicy Orchestrator (ePO)的用户输入用户名和密码,ePO生成允许与McAfee数据交换层(DXL)通信的证书。对于安全最佳实践,这应该是专门为与InsightVM集成使用而创建的服务用户。该用户应该在一个ePO权限集中,并分配DXL McAfee MePO证书创建权限。您的IP地址和主机名将与您的ePO连接相同,但用户名和密码应该不同
  3. 输入安装McAfee数据交换层ePO的服务器的IP地址或主机名。
  4. 输入ePO运行的端口。
  5. 选择查找漏洞的详细信息收集已收集的漏洞详细信息。该设置在默认情况下是选中的,不能修改。该设置是强制性的,因为它允许客户端获取InsightVM发布的特定漏洞的额外细节。
  6. 选择发布漏洞将InsightVM发现的漏洞信息发布回McAfee数据交换层。
  7. 如果需要,请点击测试证书确认用户名和密码与ePO正常连接。
  8. 点击保存

一旦安全McAfee数据交换层(DXL)连接被保存,额外的更改将不会应用,直到InsightVM安全控制台重启。您可以编辑、测试和保存凭据配置,但只有在重启InsightVM Security Console时,更改才会生效。这也适用于删除连接;尽管已删除的连接将不再出现在InsightVM Security Console界面中,但在重新启动InsightVM Security Console之前,您将无法使用相同的证书配置创建新的DXL连接。

添加一个Microsoft Azure连接

  1. 输入新连接的唯一名称。
  2. 输入与Azure实例关联的租户ID。
  3. 输入与在Azure AD实例中创建的Rapid7应用程序关联的Application ID。
  4. 输入为在Azure AD实例中创建的Rapid7应用程序生成的Application Secret Key。
  5. 如果需要,请点击测试证书确认连接成功。
  6. 如果用于扫描Azure环境的扫描引擎部署在Azure网络中,请选中复选框。这将使应用程序能够扫描私有IP地址。
  1. 要导入Azure资产并删除陈旧资产,请选择同步微软Azure资产并在下拉菜单中选择要将资产关联到的站点。
  • 要避免导入特定的资产,请在“不要导入带有以下标签的资产”框中输入标签。的格式是键:value +键:值+ ...如果此框为空,则导入所有资产。
  1. 选择进口标签导入所有Azure标签。
  • 要包含特定的标签,请在“只导入以下标签”框中输入这些标签。的格式是键:value +键:值+ ...如果此框为空,则导入所有标签。
  1. 点击保存

查看可用的连接

  1. 单击政府左侧导航菜单上的选项卡。
  2. 在“发现选项”部分,单击管理旁边的“连接”。

“发现连接”页面显示您现有的连接。

编辑现有的连接

请注意

要编辑的连接不显示或记住敏感字段,如密码或密钥。如果您尝试编辑连接,则必须重新输入这些值。

  1. 在前面描述的“发现连接”页面上,单击任何发现连接的名称链接来打开它。
  2. 根据需要修改字段。
  3. 点击保存当完成。

删除连接

警告

安全控制台可以请求您确认删除连接。在继续之前,请确保您完全打算删除连接。

  1. 在“发现连接”页面,浏览到您想要删除的连接。
  2. 单击“删除”列下的垃圾图标以删除连接。

不能删除具有动态站点或与之关联的正在进行扫描的连接。此外,更改连接设置可能会影响动态站点的资产成员资格。看到使用动态发现连接配置站点.您可以通过转到发现管理页面。看到监测动态发现

如果您使用不同的帐户更改连接,可能会影响您的发现结果,这取决于新帐户可以访问哪些虚拟机。例如:您首先用一个帐户创建一个连接,该帐户只能访问广告部门的所有虚拟机。然后启动发现并创建一个动态站点。稍后,您将使用一个帐户的凭据更新连接配置,该帐户只能访问人力资源部门的虚拟机。你的动态网站和发现结果仍将包括广告部门的虚拟机;但是,关于这些机器的信息将不再被动态更新。只有连接帐户可以访问的机器才会动态更新信息。

在站点配置中创建连接

请注意

只有下面列出的连接可以在站点配置中创建。

如果要在配置新站点时创建连接,请单击“创建网站按钮在页面。或单击创建选项卡,然后选择网站从下拉列表中。

如果要为现有站点创建连接,请单击该站点的编辑图标在网站表上的页面。

  1. 单击资产链接在站点配置中。
  2. 选择连接作为指定资产的选项。
  3. 点击创建连接
  4. 选择连接类型:
  • 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
  • 交换ActiveSync (WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
  • Exchange ActiveSync (WinRM/Office 365)适用于运行Microsoft Office 365的基于云计算的Exchange服务器管理的移动设备。
  • vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
  • DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。

添加LDAP (Exchange ActiveSync)连接

请注意

ActiveSync连接需要动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 输入安全控制台将连接到的Active Directory (AD)服务器的名称。
  3. 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
  4. 为成员输入用户名和密码组织管理Microsoft Exchange中的安全组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。注意:在此设置中保存凭据后,在重新启动InsightVM之前,更改不会生效。
  5. 点击保存.连接出现在连接下拉列表,单击即可查看选择连接
  6. 继续初始化动态发现

添加Exchange ActiveSync (WinRM/PowerShell或WinRM/Office 365)连接

请注意

ActiveSync连接需要动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 输入安全控制台将连接到的WinRM网关服务器的名称。
  3. 输入具有网关服务器的WinRM权限的帐户的用户名和密码。
  4. 输入管理移动设备信息的Exchange服务器的完全限定域名。
  5. 输入管理员帐户或用户帐户的用户名和密码,该用户帐户具有仅视图组织管理或更高的角色组织管理Microsoft Exchange中的安全组。
  6. 点击保存.连接出现在连接下拉列表,单击即可查看选择连接
  7. 继续初始化动态发现

添加VMware vSphere连接(站点配置)

请注意

VMware vSphere的连接要求动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 输入安全控制台将联系的服务器的完全限定域名,以便发现资产。
  3. 输入端口号并选择连接的协议。
  4. 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
  5. 点击保存.连接出现在连接下拉列表,单击即可查看选择连接
  6. 继续初始化动态发现

添加DHCP-Directory监控连接(站点配置)

请注意

DHCP连接需要一个动态网站。

  1. 输入新连接的唯一名称。
  2. 选择事件源类型。
  3. 选择目录观察员集合的方法。
  4. 输入包含要查询的DHCP服务器日志的文件夹的网络路径。使用格式//服务器/路径/到/文件夹.服务器可以是主机名或IP地址。
  5. 选择将收集DHCP服务器日志信息的扫描引擎。
  6. 2 .输入访问DHCP服务器的管理员用户名和密码。
  7. 点击保存.连接出现在连接下拉列表,单击即可查看选择连接
  8. 继续初始化动态发现

添加DHCP-Syslog连接(站点配置)

请注意

DHCP连接需要一个动态网站。

提示

Syslog是Infoblox Trinzic事件源唯一可用的收集方法。

  1. 输入新连接的唯一名称。
  2. 选择事件源类型。
  3. 选择Syslog集合的方法。
  4. 为syslog解析器监听与资产信息相关的日志条目的端口输入编号。
  5. 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
  6. 选择将收集DHCP服务器日志信息的扫描引擎。
  7. 点击保存.连接出现在连接下拉列表,单击即可查看选择连接
  8. 继续初始化动态发现