调查误报

InsightVM允许您直接从安全控制台调查潜在的误报漏洞结果。如果您的调查显示结果可能是假阳性,您可以通过单击鼠标将结果报告给Rapid7支持团队。

当你准备好创建案例时客户门户网站,支持团队将已经有他们需要的信息来排除问题。

什么是假阳性?

“假阳性”是InsightVM错误地确定目标资产是否容易受到特定漏洞检查的影响。由于检查逻辑的错误或检查未设计为处理的目标软件的更改,可能会出现误报。

如果结果中出现假阳性,应立即向Rapid7报告。这使我们有机会修复漏洞检查,并确保您的评估结果尽可能准确。

虚假的积极调查如何工作

调查是对受影响资产的重新扫描,该资产仅限于所讨论的漏洞检查。此重新扫描使用没有Web Spider的全面审计启用增强日志记录的内置扫描模板。如果此Rescan产生与以前一样的易受攻击结果,则满足所有先决条件,您可以将结果报告为潜在的误报。调查工具以XML格式向RAPIT7发送错误正面报告包。

就像常规扫描一样,你可以立即进行调查或安排调查在稍后的时间自动运行。

假阳性调查是脆弱性寻找.这意味着您为一个漏洞结果提交的任何调查都包括该资产上该漏洞的所有检测实例(如果发现了多个实例)。

如何使用此工具

假阳性调查工具的设计目的是帮助您识别您的扫描配置(包括凭证的存在和强度以及扫描模板的覆盖范围)如何产生不准确的结果,并建议更改以纠正它。在我们允许您向Rapid7支持团队报告潜在的假阳性以进行进一步调查之前,您必须进行此项尽职调查。

这个工具应该不是用于清除由于已知扫描错误配置而导致的不准确结果。当使用假阳性调查时,请记住以下目标:

  • 采取调查结果提供的配置建议采取行动,以确保您的扫描配置处于最佳位置,以准确向前扫描。
  • 通过报告那些与资质不足或扫描模板覆盖面无关的调查,帮助Rapid7对真实假阳性候选人进行优先排序。

假阳性报告要求

要进行假阳性调查,必须满足以下要求。

用户角色权限

InsightVM有两种与假阳性调查相关的权限(详见管理用户和身份验证页面):

  • 视图脆弱性调查
  • 管理漏洞调查

您的用户角色必须具有管理漏洞调查允许创建新的调查,向Rapid7提交符合条件的结果,并密切调查。

检查类型的先决条件

任何您希望报告为潜在假阳性的易受攻击的结果都必须满足基于其检查类型的一些先决条件:

  • 验证检查-通过身份验证的漏洞检查的准确性取决于Scan Engine是否能够使用您指定的凭据成功地对目标资产进行身份验证,以及它对识别资产的软件的确定程度。在您的调查结束后,如果扫描成功地申请了凭据,并且系统指纹返回a,您只能将一个易受攻击的结果作为潜在的假阳性报告进行身份验证检查确定性值1.0
    • 如果您的调查显示您没有满足这两个先决条件,您将需要检查您的凭证(或使用更强的凭证集)并再次运行调查。
  • 未经身份验证的(远程)检查- 未经身份验证的检查是“外部”检查,不使用身份验证。出于这个原因,您可以向未经认证的检查报告易受攻击的结果,作为仅基于积极调查结果的潜在误报。

开始进行调查

您可以从InsightVM中的任何一个位置开始假阳性调查:

  • 任何资产详细信息页面上的漏洞表
  • 任何漏洞细节页面上的实例表(通过资产详细信息页面访问时)
  • 在任何漏洞详细信息页上的影响表(通过漏洞选项卡在你的左边菜单)

您不能从节点详细信息页面开始调查

“节点”是网络上的一个设备,网站可以根据网站包含列表的配置扫描它。在扫描数据完全集成到InsightVM之前,节点不会被视为资产。尽管您可以通过任何站点完整的扫描历史来浏览节点检测到的漏洞,但您不能从它们开始调查。

找到您认为可能是假阳性的易受攻击的结果后,完成以下步骤以开始调查:

  1. 在列表中,单击调查在调查一栏。
  2. 出现漏洞调查窗口。此窗口详细说明了调查过程。
    • 如果您希望InsightVM在以后运行调查,请选中旁边的复选框你想晚点再调查吗?安排调查。
  3. 点击调查.窗口关闭并返回到上一个表视图。你脆弱的结果现在显示等待的地位。状态变为进行中启动调查的重新扫描部分时。在调查运行期间,您可以像往常一样继续使用InsightVM。
    • 您可以单击您的调查的状态链接,以查看您以前进行过的任何其他调查的列表。

InsightVM说我的调查失败了。现在该做什么?

跑步调查意味着InsightVM必须重新审查受影响的资产。如果您在调查开始或InsightVM在扫描过程中对您的资产失去连接连接时,调查将失败。如果发生这种情况,请在再次尝试之前检查资产的连接。

回顾调查结果

在您的调查成功完成后,它的状态变为审查.点击这个审查链接查看结果。

失去了调查的线索?

您可以通过通过导航来访问调查历史表行政标签>异常和覆盖>评审

在点击审查,将显示“调查结果”窗口。InsightVM根据其运行的漏洞检查类型在此窗口中详细说明了调查步骤。的许多步骤将根据漏洞检查是否需要身份验证而变化:

  • 如果调查符合所有所需的标准,并产生与以前相同的弱势效果,结果是合格的作为潜在的假阳性报告。
    • 点击发送结果将包含XML报告和高级扫描日志的包发送到Rapid7。这一行动将使您的调查状态变为提交
  • 如果调查没有返回易受攻击的结果,或如果调查未能满足的标准其他步骤,结果没有资格作为潜在的假阳性报告。
    • 如果调查结果由于凭证失败或低系统指纹确定性而有资格报告,请检查您配置的凭据可以给InsightVM所需的访问权限,以便在再次尝试之前进行精确扫描。
    • 如果调查最终确定资产不容易受到攻击,这可能是由于原始扫描模板的配置问题。针对特定扫描场景调优的自定义扫描模板通常缺乏精确扫描特定漏洞所需的全面覆盖。的没有Web Spider的全面审计调查使用的模板是几乎所有InsightVM扫描场景的标准扫描模板。如果您发现自定义扫描模板产生了假阳性结果,而随后的调查又解决了这个问题,请考虑修改自定义扫描模板,或者用覆盖面更强的东西替换它。

提醒-这个调查工具有一个特定的目的

使用假阳性调查来清除你所知道的不准确的结果是由不充分的扫描模板造成的不是此工具的设计意图.这里的目标是确定哪些配置条件可能导致不准确的扫描结果,并进行更改以纠正它们。如果调查显示一个被质疑的漏洞结果确实与配置无关,那么应该将这些结果报告给Rapid7进行额外的测试。

你不提交的调查结果留在Rapid7审查状态,直到你决定提交他们,重新调查他们,或关闭他们在你的自由裁量权。InsightVM在漏洞调查表中保留所有关闭的调查记录。

用Rapid7支持创建一个案例

如果你将调查结果发送给Rapid7, InsightVM会告诉你在客户门户网站以便我们的支持团队可以启动故障排除流程。在创建案例时,确保显示您已经直接从InsightVM发送了一个误报报告包。

Rapid7支持正在工作!

感谢您使用此错误的积极调查和报告工具!您的努力帮助我们确保所有Insightvm客户的评估结果尽可能准确。