创建和管理动态发现连接
此操作为InsightVM提供它与管理资产环境的服务器或进程联系所需要的信息。
必须具有全局管理员权限才能创建或管理动态发现连接。看到管理用户和认证.
创建连接
- 单击政府选项卡。
- 在政府页面,在发现选项,单击创建链接连接.安全控制台显示一般页面的资产发现连接面板。
- 在新发现连接页,选择连接类型:
- 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
- 交换ActiveSync (WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
- Exchange ActiveSync (WinRM/Office 365)适用于运行Microsoft Office 365的基于云计算的Exchange服务器管理的移动设备。
- vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
- AWS用于Amazon Web Services管理的环境。
- DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。
- McAfee安全ePolicy协调器用于英特尔安全ePolicy Orchestrator (ePO)管理的资产。
- Active Directory (LDAP)用于AD服务器管理的设备。
- 英特尔安全数据交换层用于识别ePO管理的系统中存在的文件上的恶意事件,并用于通信InsightVM评估数据,以便在英特尔安全产品中使用。
添加移动设备连接
- 控件上为新连接输入唯一名称新发现连接页面。
- 输入安全控制台将连接到的Active Directory (AD)服务器的名称。
- 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
- 为成员输入用户名和密码组织管理安全Microsoft Exchange中的组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。
- 点击保存.
- 继续初始化动态发现.
添加Amazon Web Services资产同步连接
请注意
亚马逊网络服务资产同步连接要求静止的网站。
- 输入新连接的唯一名称。
- 从下拉列表中,选择部署AWS实例的地理区域。如有必要,单个连接可以指定多个区域。
- 如果安全控制台部署在AWS网络内部,请选择适当的复选框。如果您指示Security Console在AWS网络内部,则凭据链接将从左侧导航窗格中消失。您不需要配置凭据,因为AWS API识别安装了安全控制台的AWS实例的IAM角色。
- 如果您将使用扫描引擎扫描AWS环境,请在AWS网络中部署,选择相应的复选框。这将使应用程序能够扫描私有IP地址。
- 输入访问密钥ID和秘密访问密钥,应用程序将使用它们登录到AWS API。
- 如果您使用AWS假设交叉帐户访问,请输入一个每行角色ARN,并为假设的角色会话提供一个可选的Session Name。会话名是由大小写字母数字字符组成的字符串,不包含空格。您还可以包含下划线或以下任何字符:=、.@-
提示
当存在多个ARN时,应用程序将遍历每个ARN,并尝试从指定的区域导入资产。
- 如果需要,请点击测试证书确认连接成功。
- 选择同步Amazon Web服务资产同步资产导入AWS资产并删除过期资产。
- 选择要关联资产的站点。要排除特定的资产被导入,请在不导入带有以下标记的资产:盒子。格式为key:value + key:value +…如果此框为空,则导入所有资产。
- 选择进口标签以导入所有Amazon Web Services标记。要包含特定的标记,请将这些标记输入只导入以下标签:盒子。的格式是
Key:value + Key:value +…
.您可以使用*作为值,以便只在Key上进行匹配,而不管值是多少。如果此框为空,则导入所有标签。AWS标签作为自定义标签导入到相应的资产中,可以很容易地通过前缀识别亚马逊网络服务.
创建默认的标签
默认情况下,无论状态如何导入标记复选框,亚马逊网络服务资产同步连接时会根据导入的实例的VPC ID创建一个安全控制台标签。
- 点击保存.
添加VMware vSphere连接
请注意
VMware vSphere的连接要求动态网站。
- 控件上为新连接输入唯一名称新发现连接页面。
- 输入安全控制台将联系的服务器的完全限定域名,以便发现资产。
- 输入端口号并选择连接的协议。
- 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
- 点击保存.
- 继续初始化动态发现.
添加DHCP-Directory监控连接
请注意
DHCP连接需要一个动态网站。
- 控件上为新连接输入唯一名称新发现连接页面。
- 选择事件源。
- 选择目录观察员作为集合方法。
- 设置需要监控的DHCP服务器日志文件夹的网络路径。使用格式//服务器/路径/到/文件夹.服务器可以是主机名或IP地址。
- 选择将收集DHCP服务器日志信息的扫描引擎。
- 2 .输入访问DHCP服务器的管理员用户名和密码。
- 点击保存.
- 继续初始化动态发现.
提示:如果您创建了一个连接,然后将其更改为引用另一个DHCP服务器,那么您的资产发现结果将会改变。因此,如果在InsightVM中将资产与特定的DHCP服务器关联很重要,请考虑将连接名称与DHCP服务器关联,并在更改所引用的服务器时更改名称。另外,注意您不能创建重复的DHCP连接。
添加DHCP-Syslog连接
请注意
DHCP连接需要一个动态网站。
提示
Syslog是Infoblox Trinzic事件源唯一可用的数据收集方法。
- 控件上为新连接输入唯一名称新发现连接页面。
- 选择事件源类型。
- 选择Syslog集合的方法。
- 选择syslog解析器监听与资产信息相关的日志条目的端口号。
- 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
- 选择将收集DHCP服务器日志信息的扫描引擎。
- 点击保存.
- 继续初始化动态发现.
添加McAfee ePolicy Orchestrator连接
- 输入新连接的唯一名称。
- 输入连接McAfee ePolicy Orchestrator (ePO)的用户名和密码。对于安全最佳实践,这应该是一个专门用于InsightVM集成的服务用户。InsightVM ePo扩展会自动创建一个名为“NexposeServiceUser”的用户。
- 输入ePO所在服务器的IP地址或主机名。
- 输入ePO运行的端口。
- 如果ePO服务器使用自签名证书,请选择不受信任的证书允许.否则,保持清晰。
- 选择使用McAfee ePolicy Orchestrator资产.为了使InsightVM收集资产信息,此设置是初始配置所必需的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
- 选择要将资产关联到的站点。
- 填充Rapid7 Nexpose Insight:十大风险系统仪表板在EPO与数据,选择推动风险评分.当InsightVM扫描发现ePO管理资产的风险评分变化时,数据将自动更新。
- 如果需要,请点击测试证书确认用户名和密码按预期连接。
- 点击保存.
- 导航回站点。资产将在站点内填充。现在可以创建动态资产组并扫描资产。
添加Active Directory连接
- 输入新连接的唯一名称。
- 输入安全控制台将连接的Active Directory(AD)服务器的服务器IP或主机名。
- 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
- 输入用户名和密码,并单击测试证书确认凭证按预期连接。
- 如果需要,使用Base Query字段指定要导入的域组件(DC)树的部分,使用Search Query字段进一步限定要发现的计算机,使用LDAP查询:https://technet.microsoft.com/en-us/library/aa996205 (v = exchg.65) . aspx
- 选择消耗Active Directory(LDAP)资产.为了使InsightVM收集资产信息,此设置是初始配置所必需的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
- 选择要将资产关联到的站点。
- 如果需要,单击预览按钮可查看查询的前50个结果,以确保您的查询按预期工作。
- 点击保存.
- 导航回站点。资产将在站点内填充。根据活动目录响应查询所需的时间,完全填充站点所需的时间会有所不同。现在可以创建动态资产组并扫描资产。
添加McAfee数据交换层连接
- 输入新连接的唯一名称。
- 为连接到McAfee ePolicy Orchestrator (ePO)的用户输入用户名和密码,ePO生成允许与McAfee数据交换层(DXL)通信的证书。对于安全最佳实践,这应该是专门为与InsightVM集成使用而创建的服务用户。该用户应该在一个ePO权限集中,并分配DXL McAfee MePO证书创建权限。您的IP地址和主机名将与您的ePO连接相同,但用户名和密码应该不同
- 输入安装McAfee数据交换层ePO的服务器的IP地址或主机名。
- 输入ePO运行的端口。
- 选择查找漏洞的详细信息收集已收集的漏洞详细信息。该设置在默认情况下是选中的,不能修改。该设置是强制性的,因为它允许客户端获取InsightVM发布的特定漏洞的额外细节。
- 选择发布漏洞将InsightVM发现的漏洞信息发布回McAfee数据交换层。
- 如果需要,请点击测试证书确认用户名和密码与ePO正常连接。
- 点击保存.
一旦安全McAfee数据交换层(DXL)连接被保存,额外的更改将不会应用,直到InsightVM安全控制台重启。您可以编辑、测试和保存凭据配置,但只有在重启InsightVM Security Console时,更改才会生效。这也适用于删除连接;尽管已删除的连接将不再出现在InsightVM Security Console界面中,但在重新启动InsightVM Security Console之前,您将无法使用相同的证书配置创建新的DXL连接。
添加一个Microsoft Azure连接
- 输入新连接的唯一名称。
- 输入与Azure实例关联的租户ID。
- 输入与在Azure AD实例中创建的Rapid7应用程序关联的Application ID。
- 输入为在Azure AD实例中创建的Rapid7应用程序生成的Application Secret Key。
- 如果需要,请点击测试证书确认连接成功。
- 如果用于扫描Azure环境的扫描引擎部署在Azure网络中,请选中复选框。这将使应用程序能够扫描私有IP地址。
- 要导入Azure资产并删除陈旧资产,请选择同步微软Azure资产并在下拉菜单中选择要将资产关联到的站点。
- 要避免导入特定的资产,请在“不要导入带有以下标签的资产”框中输入标签。的格式是
键:value +键:值+ ...
如果此框为空,则导入所有资产。
- 选择进口标签导入所有Azure标签。
- 要包含特定的标签,请在“只导入以下标签”框中输入这些标签。的格式是
键:value +键:值+ ...
如果此框为空,则导入所有标签。
- 点击保存.
查看可用的连接
- 单击政府左侧导航菜单上的选项卡。
- 在“发现选项”部分,单击管理旁边的“连接”。
“发现连接”页面显示您现有的连接。
编辑现有的连接
请注意
要编辑的连接不显示或记住敏感字段,如密码或密钥。如果您尝试编辑连接,则必须重新输入这些值。
- 在前面描述的“发现连接”页面上,单击任何发现连接的名称链接来打开它。
- 根据需要修改字段。
- 点击保存当完成。
删除连接
警告
安全控制台可以不请求您确认删除连接。在继续之前,请确保您完全打算删除连接。
- 在“发现连接”页面,浏览到您想要删除的连接。
- 单击“删除”列下的垃圾图标以删除连接。
不能删除具有动态站点或与之关联的正在进行扫描的连接。此外,更改连接设置可能会影响动态站点的资产成员资格。看到使用动态发现连接配置站点.您可以通过转到发现管理页面。看到监测动态发现.
如果您使用不同的帐户更改连接,可能会影响您的发现结果,这取决于新帐户可以访问哪些虚拟机。例如:您首先用一个帐户创建一个连接,该帐户只能访问广告部门的所有虚拟机。然后启动发现并创建一个动态站点。稍后,您将使用一个帐户的凭据更新连接配置,该帐户只能访问人力资源部门的虚拟机。你的动态网站和发现结果仍将包括广告部门的虚拟机;但是,关于这些机器的信息将不再被动态更新。只有连接帐户可以访问的机器才会动态更新信息。
在站点配置中创建连接
请注意
只有下面列出的连接可以在站点配置中创建。
如果要在配置新站点时创建连接,请单击“创建网站按钮在家页面。或单击创建选项卡,然后选择网站从下拉列表中。
如果要为现有站点创建连接,请单击该站点的编辑图标在网站表上的家页面。
- 单击资产链接在站点配置中。
- 选择连接作为指定资产的选项。
- 点击创建连接.
- 选择连接类型:
- 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
- 交换ActiveSync (WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
- Exchange ActiveSync (WinRM/Office 365)适用于运行Microsoft Office 365的基于云计算的Exchange服务器管理的移动设备。
- vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
- DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。
添加LDAP (Exchange ActiveSync)连接
请注意
ActiveSync连接需要动态网站。
- 控件上为新连接输入唯一名称新连接选项卡。
- 输入安全控制台将连接到的Active Directory (AD)服务器的名称。
- 在下拉列表中选择协议。LDAPS(即LDAP over SSL)是更安全的选项,如果您的AD服务器启用了LDAPS,建议使用它。
- 为成员输入用户名和密码组织管理Microsoft Exchange中的安全组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。注意:在此设置中保存凭据后,在重新启动InsightVM之前,更改不会生效。
- 点击保存.连接出现在连接下拉列表,单击即可查看选择连接.
- 继续初始化动态发现.
添加Exchange ActiveSync (WinRM/PowerShell或WinRM/Office 365)连接
请注意
ActiveSync连接需要动态网站。
- 控件上为新连接输入唯一名称新连接选项卡。
- 输入安全控制台将连接到的WinRM网关服务器的名称。
- 输入具有网关服务器的WinRM权限的帐户的用户名和密码。
- 输入管理移动设备信息的Exchange服务器的完全限定域名。
- 输入管理员帐户或用户帐户的用户名和密码,该用户帐户具有仅视图组织管理或更高的角色组织管理Microsoft Exchange中的安全组。
- 点击保存.连接出现在连接下拉列表,单击即可查看选择连接.
- 继续初始化动态发现.
添加VMware vSphere连接(站点配置)
请注意
VMware vSphere的连接要求动态网站。
- 控件上为新连接输入唯一名称新连接选项卡。
- 输入安全控制台将联系的服务器的完全限定域名,以便发现资产。
- 输入端口号并选择连接的协议。
- 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
- 点击保存.连接出现在连接下拉列表,单击即可查看选择连接.
- 继续初始化动态发现
添加DHCP-Directory监控连接(站点配置)
请注意
DHCP连接需要一个动态网站。
- 输入新连接的唯一名称。
- 选择事件源类型。
- 选择目录观察员集合的方法。
- 输入包含要查询的DHCP服务器日志的文件夹的网络路径。使用格式//服务器/路径/到/文件夹.服务器可以是主机名或IP地址。
- 选择将收集DHCP服务器日志信息的扫描引擎。
- 2 .输入访问DHCP服务器的管理员用户名和密码。
- 点击保存.连接出现在连接下拉列表,单击即可查看选择连接.
- 继续初始化动态发现.
添加DHCP-Syslog连接(站点配置)
请注意
DHCP连接需要一个动态网站。
提示
Syslog是Infoblox Trinzic事件源唯一可用的收集方法。
- 输入新连接的唯一名称。
- 选择事件源类型。
- 选择Syslog集合的方法。
- 为syslog解析器监听与资产信息相关的日志条目的端口输入编号。
- 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
- 选择将收集DHCP服务器日志信息的扫描引擎。
- 点击保存.连接出现在连接下拉列表,单击即可查看选择连接.
- 继续初始化动态发现.