执行过滤的资产搜索
在处理大量资产的网络时,您可能会发现必要或有助于专注于特定的子集。过滤的资产搜索功能允许您根据可包含IP地址,站点,操作系统,软件,服务,漏洞和资产名称的标准搜索资产。然后,您可以将结果保存为用于跟踪,扫描和报告目的的动态资产组。
使用搜索过滤器,你可以找到切身利益的资产给你。这可以帮助你集中你的整治力度,并能够管理大型网络上运行资产的绝对数量。
要启动过滤资产搜索:
点击资产过滤器图标
,它出现在下方和右侧搜索框在Web界面。或点击创建选项卡,然后选择动态资产组从下拉列表中。这过滤资产搜索出现页面。或点击政府图标去政府页面,然后单击动态的链接到资产群体.或
执行过滤的资产搜索是创建动态资产组的第一步
点击新动态资产组如果你在资产群体页。
配置资产搜索筛选器
搜索过滤器允许您选择您感兴趣的资产的属性。您可以为更精确的搜索添加多个过滤器。例如,您可以为给定IP地址范围,特定操作系统和特定站点创建过滤器,然后将这些过滤器组合以返回同时满足所有指定标准的所有资产的列表。使用更少的过滤器通常会增加搜索结果的数量。
您可以组合过滤器,以便搜索结果集仅包含符合所有滤波器中所有条件的资产(导致较小的结果集)。或者您可以组合过滤器,以便搜索结果集包含满足任何给定滤波器(导致更大结果集)的所有标准的任何资产。看结合过滤器.
以下资产搜索过滤器可用:
来选择过滤器过滤资产搜索小组采取以下步骤:
- 使用第一个下拉列表。选择过滤器时,配置选项,运营商,对于该滤波器动态可用。
- 选择相应的运算符。注意:某些操作员允许文本搜索。您可以在任何文本搜索中使用*通配符。
- 使用+按钮添加过滤器。
- 使用-按钮删除过滤器。
- 点击重置删除所有过滤器。
通过资产名称过滤
资产名称过滤器允许您根据资产名称搜索资产。过滤器将搜索字符串应用于资产名称,以便搜索返回满足指定条件的资产。它适用于以下运营商:
- 是返回任何名称匹配搜索字符串的所有资产。
- 不是返回所有名称与搜索字符串不匹配的所有资产。
- 开始于返回名称以与搜索字符串相同字符开头的所有资源。
- 以。。结束返回名称以与搜索字符串相同的字符结尾的所有资产。
- 包含返回名称中包含名称中的所有资产的所有资产。
- 不包含返回名称不包含搜索字符串的所有资产。
- 不喜欢返回名称与指定资产名称不同的所有资产。
选择操作符后,在空白字段中键入资产名称的搜索字符串。
可以使用regex(正则表达式)进行搜索,以根据使用选项输入的特定正则表达式匹配或过滤资产喜欢或不是从下拉列表中。有关使用Regex的更多信息,请参阅使用正则表达式.
通过容器图像过滤
容器图像过滤器允许您通过容器图像名称搜索资产。过滤器将搜索字符串应用于容器图像名称,以便搜索返回满足指定条件的资产。它适用于以下运营商:
- 是返回图像名称与搜索字符串完全匹配的所有资源。
- 不是返回所有图像名称与搜索字符串不匹配的所有资产。
- 开始于返回任何图像名称以与搜索字符串的字符开头的所有资产。
- 以。。结束返回所有资产,其映像名称包含名称中的任何位置。
- 包含返回所有资产,其映像名称包含名称中的任何位置。
- 不包含返回图像名称不包含搜索字符串的所有资产。
选择操作符后,在空白字段中输入容器图像名称的搜索字符串。
注
运行Docker服务的资产被认为是容器的主机.这可以包括没有图像或容器的资产。
可以使用regex(正则表达式)进行搜索,以根据使用选项输入的特定正则表达式匹配或过滤资产喜欢或不喜欢从下拉列表中。有关使用Regex的更多信息,请参阅使用正则表达式.
通过容器状态过滤
容器状态过滤器允许您根据其容器的当前条件搜索资产。可以根据以下状态查询容器:
- 创建
- 运行
- 暂停
- 重新启动
- 退出
- 死的
可以使用两种操作符来检查这些状态:
- 是将返回包含与指定状态匹配的容器的所有资产。
- 不是将返回所有资产,不符合规定的状态容器。
过滤的容器
容器过滤器允许您根据它们是否正在托管容器搜索资产。这是操作员可以与以下条件一起使用:
- 现在将返回托管容器的所有资产。
- 不存在将返回所有非托管容器的资产。
注
容器处于死状态的资产是仍然认为因此,容器主机将由现在健康)状况。
通过CVE ID过滤
这CVE ID.过滤器可以搜索基础上,CVE ID资产。该CVE标识符(ID)是众所周知的信息安全漏洞唯一的常见的标识符。有关更多信息,请参见https://cve.mitre.org/cve/identifiers/index.html..过滤器将搜索字符串应用于CVE ID,以便搜索返回满足指定条件的资产。它适用于以下运营商:
- 是返回CVE id与搜索字符串完全匹配的所有资产。
- 不是返回所有CVE id不匹配搜索字符串的资产。
- 包含返回所有CVE ID包含名称中的搜索字符串的所有资产。
- 不包含返回CVE ID不包含搜索字符串的所有资产。
选择运算符后,您键入空白字段中的CVE ID的搜索字符串。
按主机类型过滤
这主机类型过滤器允许您根据主机系统的类型搜索资产,其中资产可以是以下一种或多种类型:
- 裸金属是物理硬件。
- 虚拟机管理程序是一个或多个虚拟机的主机。
- 虚拟机是另一台电脑的全部软件嘉宾。
- 未知的是一种不确定的类型。
您可以使用此筛选器跟踪和报告特定于主机类型的安全问题。例如,一个系统管理程序可能被认为是特别敏感的,因为如果它遭到破坏,那么该系统管理程序的任何客户也将面临风险。
过滤器将搜索字符串应用于主机类型,以便搜索返回匹配或不匹配所选主机类型的资产列表。
它适用于以下运营商:
- 是返回匹配主机类型,你从旁边的下拉列表中选择所有资产。
- 不是返回与相邻下拉列表中选择的主机类型不匹配的所有资产。
您可以将多个主机类型组合在条件中以搜索满足多个标准的资产。例如,您可以为“是虚拟机管理程序”创建过滤器,另一个用于“虚拟机”以查找全软软件虚拟机管理程序。
通过IP地址类型过滤
如果您的环境包括IPv4和IPv6地址,您可以找到任何一种地址格式的资产。这允许您跟踪和报告网络中这些不同部分的特定安全问题。这IP地址类型过滤器适用于以下运算符:
- 是返回所有具有指定地址格式的资源。
- 不是返回任何没有指定地址格式的资产。
选择过滤器和所需的操作符后,选择所需的格式:IPv4或IPv6.
按IP地址过滤
与之IP地址过滤器,您可以发现匹配或没有特定IP地址或具有IP地址的资产,或者在特定范围内没有IP地址。该过滤器使用以下操作符:
- 是返回具有指定IP地址的资产。
- 不是返回没有指定IP地址的所有资产。
- 在…的范围内返回具有落在IP地址范围内的IP地址的所有资产。
- 不在范围内返回IP地址不在IP地址范围内的所有资产。
- 喜欢返回所有IP地址与指定IP地址匹配的资产。
- 不喜欢返回其IP地址与指定IP地址不匹配的所有资产。
选择在范围或不在过滤器范围内时,您将看到两个由单词分隔的空白字段。您使用左字段进入IP地址范围的开始,并使用右侧进入范围的结尾。
IPv4地址的格式是“虚线四边形”。例子:
1
192.168.2.1, 192.168.2.254
您可以在查询中组合多个搜索类型,以专注于非常特定的资产。例如,可以搜索范围为192.168.2.1 ~ 192.168.2.254的IP地址,但不包括192.168.2.7和192.168.2.199。
按上次扫描日期过滤
最后扫描日期过滤器让您搜索资产的基础上,他们最后扫描。例如,您可能希望运行关于最近扫描的资产的报告。或者,您可能想要找到长时间没有被扫描的资产,然后从数据库中删除它们,因为它们不再被认为是重要的跟踪目的。过滤器使用以下操作符:
- 当日或之前返回在特定日期或之前最后扫描的所有资产。选择此操作员后,单击日历图标以选择日期。
- 或之后的返回在特定日期或之后最后扫描的所有资产。选择此操作员后,单击日历图标以选择日期。
- 在和包括返回上次扫描之间的所有资产,包括两个日期。选择此操作符后,单击左侧字段旁边的日历图标,选择范围内的第一个日期。然后单击右边字段旁边的日历图标,选择范围内的最后一个日期。
- 早于返回最早扫描的所有资产,这些资产比在您发起搜索日期之前的指定天数。选择此操作符后,在days ago字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如,您在1月23日下午3点发起搜索。您选择这个操作符并在days ago字段中输入3。搜索返回1月20日午夜之前最后扫描的所有资产。
- 在最后一个返回上次扫描在指定的前几天内的所有资产。选择此操作员后,在Days字段中输入数字。搜索的起始点是执行搜索的当天午夜。例如:您将在下午3点启动搜索。1月23日。您选择此操作员并在Days Field中输入1。搜索返回自1月22日午夜以来扫描的所有资产。
在使用这个过滤器时,请记住以下几点:
- 搜索只返回最后的扫描日期。如果资产是在过滤器中指定的时间范围内扫描,如果该扫描是不是最近的扫描,就不会出现在搜索结果中。
- 动态资产组成员关系可以在新的扫描运行时更改。
- 动态资产组成员在午夜每天重新计算。如果您根据与相对日运算符的搜索创建动态资产组(早于或在最后一个),资产成员资格将相应更改。
- 该过滤器返回所有类型扫描的结果,例如发现、漏洞或策略扫描。如果你对漏洞扫描特别感兴趣,你应该看看根据评估的漏洞进行过滤.
通过移动设备过滤最后一次同步时间
此筛选器仅适用于WinRM/PowerShell和WinRM/Office 365动态发现连接。
与之最后同步时间过滤器,你可以跟踪基于最近一次他们与Exchange服务器同步移动设备。如果你不想让你的报告中包括从不再在网络上使用旧设备的数据该过滤器可以是有用的。它适用于以下运算符。
- 早些时候而不是返回比在文本框中输入的前几天同步的所有移动设备。
- 之内最后一个返回在文本框中输入的前几天内同步的所有移动设备。
按开放端口号过滤
开放的某些端口可能会违反配置策略。这开放的端口号筛选器允许您搜索具有打开的指定端口的资产。通过隔离具有打开端口的资产,您可以关闭这些端口,然后重新扫描它们以验证它们是否已关闭。选择一个操作员,然后输入您的端口或端口范围。根据您的条件,搜索结果将返回具有打开端口的资产和没有打开端口的资产ve开放端口,以及具有一系列开放端口的资产。
过滤器使用以下操作符:
- 是返回与该端口打开的所有资产。
- 不是返回没有该端口开放的所有资产。
- 在…的范围内返回一系列指定端口中的所有资产。
通过操作系统名称过滤
这操作系统名称过滤器允许您根据其托管的操作系统搜索资产。根据搜索,您可以从操作系统列表中进行选择,或输入搜索字符串。过滤器返回满足指定条件的资产列表。
它适用于以下运营商:
- 包含返回操作系统的名称包含在搜索字符串中指定的字符上运行的所有资产。您可以在相邻的字段中输入搜索字符串。您可以使用Asterisk(*)作为通配符。
- 不包含返回运行在操作系统上且名称不包含搜索字符串中指定的字符的所有资源。您可以在相邻的字段中输入搜索字符串。您可以使用Asterisk(*)作为通配符。
- 是空的返回在扫描结果中没有标识的操作系统的所有资产。如果在Web界面或报告中未列出扫描资产的操作系统,这意味着资产可能没有指纹。如果使用凭据扫描资产,则失败指示灯指示凭据未在目标资产上进行身份验证。因此,此操作员可用于查找已扫描失败凭据或没有凭据的资产。
- 不是空的返回所有在其扫描结果中标识的操作系统的资产。此操作员可用于查找使用经过身份验证的凭据和指纹扫描的资产。
按其他IP地址类型筛选
此过滤器允许您查找除您知道的地址外还有其他IPv4或IPv6地址的资产。当应用程序扫描站点配置中包含的IP地址时,它会发现该资产的任何其他地址。这可能包括未被扫描的地址。例如:给定的资产可能有一个IPv4地址和一个IPv6地址。当为您的站点配置扫描目标时,您可能只知道IPv4地址,因此您只在站点配置中包含要扫描的地址。当您运行扫描时,应用程序发现IPv6地址。通过使用这个资产搜索过滤器,您可以搜索此场景应用的所有资产。您可以将发现的地址添加到站点,以便将来扫描,以增加您的安全覆盖率。
选择过滤器和运算符后,您可以选择IPv4或IPv6从下拉列表中。
过滤器适用于一个运算符:
- 是返回具有IPv4或IPv6其他IP地址的所有资产。
通过PCI合规状态过滤
这PCI状态过滤器允许您根据在扫描PCI审计模板时是否返回传递或失败结果,搜索资产。查找失败合规性扫描的资产可以帮助您一目了然地确定,需要在官方PCI审核之前需要修复。
它适用于两个运营商:
- 是返回拥有的所有资产经过或失败地位。
- 不是返回所有资产,没有一个经过或失败地位。
选择运算符后,选择经过或失败从下拉列表中的选项。
按服务名称过滤
这服务名称Filter允许您基于在资产上运行的服务搜索资产。过滤器将搜索字符串应用于服务名称,以便搜索返回具有或不具有指定服务的资产列表。
它适用于以下运营商:
- 包含返回所有运行名称包含搜索字符串的服务的资源。您可以使用Asterisk(*)作为通配符。
- 不包含返回任何不运行名称包含搜索字符串的服务的所有资产。您可以使用Asterisk(*)作为通配符。
选择操作符后,在空白字段中键入服务名称的搜索字符串。
按网站名称过滤
这网站的名字过滤器允许您根据资产所属站点的名称搜索资产。
如果要控制用户无法访问的站点中的新发现资产,则这是一个重要的过滤器。看到笔记使用动态资产组.
筛选器将搜索字符串应用于站点名称,以便搜索返回属于或不属于指定站点的资产列表。
它适用于以下运营商:
- 是返回所有属于所选站点的资产。您可以从相邻的列表中选择一个或多个站点。
- 不是返回不属于所选站点的所有资产。您可以从相邻的列表中选择一个或多个站点。
通过软件名称过滤
_software name过滤器允许您根据资产上安装的软件搜索资产。过滤器将搜索字符串应用于软件名称,以便搜索返回运行或不运行指定软件的资产列表。
它适用于以下运营商:
- 包含返回安装软件的所有资产,使得软件的名称包含搜索字符串。您可以使用Asterisk(*)作为通配符。
- 不包含返回所有未安装软件的资产,以便软件名称不包含搜索字符串。您可以使用Asterisk(*)作为通配符。
选择操作符后,在空白处输入软件名称的查询字符串。
通过验证漏洞的存在进行过滤
这经过验证的漏洞过滤器允许您搜索具有通过Metasploit集成的利用验证过的漏洞的资产。通过使用此过滤器,您可以将资产与已被证明具有高度确定性的漏洞隔离开来。有关更多信息,请参见与验证漏洞工作.
过滤器适用于一个运算符:
- 这是操作员,结合了现在下拉列表选项,返回具有验证漏洞的所有资产。
- 这是操作员,结合了不存在下拉列表选项,返回无验证漏洞的所有资产。
根据用户添加的临界级别进行过滤
这用户添加的临界级别过滤器允许您根据您和您的用户应用于它们的关键性标签搜索资产。例如,用户可以将属于公司高管的所有资产设置为其组织中的“非常高”的关键性。使用此过滤器,您可以识别具有该关键性集的资产,无论其网站还是其他关联。您可以搜索有或没有特定临界级别的资产,其关键性高于或低于特定级别的资产,或有或没有任何关键性集的资产。有关关键级别的更多信息,请参阅使用标记应用realcontext.
过滤器使用以下操作符:
- 是返回所有被设置为指定临界级别的资产。
- 不是返回所有资产未设置为指定的临界级别。
- 高于返回临界级别高于指定级别的所有资产。
- 低于返回临界级别低于指定级别的所有资产。
- 应用返回具有任何关键性集的所有资产。
- 没有应用返回任何没有关键性集的资产。
选择操作员后,从下拉菜单中选择关键级别。可用的关键级别包括很高那高那中等的那低, 和非常低.
通过用户添加的自定义标记过滤
这用户添加了自定义标记过滤器允许您根据用户应用于它们的自定义标记搜索资产。例如,您的公司可能有涉及在整个位置和子网的在线分布的网上银行进程中的资产,并且用户可能会使用自定义“网上银行业务”标记标记所涉及的资产。使用此过滤器,您可以使用该标签识别资产,而不管其网站还是其他关联。您可以搜索有或没有特定标签的资产,自定义标记符合某些标准的资产,或有或没有任何用户添加的自定义标记的资产。有关用户添加的自定义标签的更多信息,请参阅使用标记应用realcontext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的自定义标记的所有资产。
- 不是返回所有没有自定义标记的资产与确切的搜索字符串匹配。
- 开始于返回具有自定义标记的所有资产,以与搜索字符串相同的字符开头。
- 以。。结束返回所有资产自定义标签具有相同的字符作为搜索字符串结尾。
- 包含返回自定义标记在其名称中的任何位置包含搜索字符串的所有资产。
- 不包含返回所有自定义标记不包含搜索字符串的资源。
- 应用返回应用了任何自定义标记的所有资源。
- 没有应用返回所有没有应用自定义标记的资源。
选择运算符后,您键入空白字段中的自定义标记的搜索字符串。
通过用户添加的标记(位置)过滤
这用户添加标记(位置)Filter允许您根据用户应用到资产上的位置标记搜索资产。例如,用户可能已经创建并应用了“Akron”和“Cincinnati”的标签,以用户友好的方式明确资产的物理位置。使用此筛选器,您可以使用该标记标识资产,而不管它们的其他关联。您可以搜索带有或不带有特定标记的资产、位置标记满足特定条件的资产、带有或不带有任何用户添加的位置标记的资产。有关用户添加的位置标记的更多信息,请参见使用标记应用realcontext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的位置标记的所有资产。
- 不是返回所有没有与搜索字符串匹配的位置标记的资源。
- 开始于返回具有与搜索字符串相同字符开头的位置标记的所有资产。
- 以。。结束返回具有以与搜索字符串相同的字符以与搜索字符为止的位置标记的所有资产。
- 包含返回其位置标记在其名称中任何位置包含搜索字符串的所有资产。
- 不包含返回位置标记不包含搜索字符串的所有资产。
- 应用返回所有应用位置标签的资源。
- 没有应用返回所有没有应用位置标签的资源。
选择操作符后,在空白字段中键入位置标记的搜索字符串。
通过用户添加的标记(所有者)过滤
这用户添加的标记(所有者)Filter允许根据用户应用到资产的所有者标记搜索资产。例如,一个公司可能有不同的人负责不同的资产。用户可以标记每个人负责的资产,并使用该信息跟踪这些资产的风险级别。您可以搜索具有或不具有特定标记的资产、所有者标记满足特定条件的资产、具有或不具有任何用户添加的所有者标记的资产。有关用户添加的所有者标记的更多信息,请参见使用标记应用realcontext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的所有者标记的所有资产。
- 不是返回没有与确切搜索字符串匹配的所有者标记的所有资产。
- 开始于使用与搜索字符串相同的字符开头的所有者标记返回所有资产。
- 以。。结束使用与搜索字符串相同的字符以相同的字符结尾的所有者标记返回所有资产。
- 包含返回其所有者标记在其名称中任何地方包含搜索字符串的所有资产。
- 不包含返回所有者标记不包含搜索字符串的所有资产。
- 应用返回应用任何所有者标记的所有资产。
- 没有应用返回所有没有应用所有者标记的资产。
选择操作符后,在空白字段中键入位置标记的搜索字符串。
使用vasset滤波器
以下vAsset过滤器允许您使用VASSET Discovery搜索跟踪的虚拟资产。基于特定条件为虚拟资产创建动态资产组可能是用于分析虚拟环境的不同段。例如,您可能需要为会计部门使用的所有虚拟资产运行报告或评估风险,并且它们都是由特定资源池支持的。有关Vasset Discovery的信息,请参阅发现由VMware vCenter或ESX / ESXi管理的虚拟机.
通过vAsset集群进行过滤
这VASSET集群筛选器用于搜索属于或不属于特定群集的虚拟资产。此筛选器可与以下运算符一起使用:
- 是返回所有属于名称与输入字符串完全匹配的集群的资产。
- 不是返回所有属于名称与输入字符串不匹配的集群的资产。
- 包含返回属于群集的所有资产,其名称包含输入的字符串。
- 不包含返回属于其名称不包含输入字符串的群集的所有资产。
- 开始于返回属于群集的所有资产,其名称以与输入的字符串相同的字符开头。
选择操作符后,在空白处输入集群的搜索字符串。
通过VASSET数据中心进行过滤
这Vasset Datacenter.Filter允许您搜索由特定数据中心管理或未管理的资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的数据中心管理的所有资产。
- 不是返回名称与输入字符串不匹配的数据中心管理的所有资产。
选择操作后,您输入的空白字段的数据中心名称的搜索字符串。
通过VASSET主机过滤
这VASSET主机Filter允许您搜索特定主机系统的客户或非客户资产。该过滤器使用以下操作符:
- 是返回一个主机的所有资产,其名称与输入的字符串匹配。
- 不是返回的主机,其名称不匹配输入的字符串的客人所有资产。
- 包含返回名称包含输入字符串的主机来宾的所有资产。
- 不包含返回名称不包含输入字符串的主机的来宾的所有资产。
- 开始于返回所有作为主机的客户的资产,其名称以与输入的字符串相同的字符开头。
选择操作符后,在空白处输入主机名的搜索字符串。
通过VASSET POWER状态过滤
这vAsset功率状态筛选器用于搜索处于或不处于特定电源状态的资产。此筛选器可与以下运算符一起使用:
- 是返回从下拉列表中选择的处于电源状态的所有资产。
- 不是返回从下拉列表中选择的所有未处于电源状态的资产。
选择操作员后,从下拉列表中选择电源状态。电源状态包括打开、关闭或挂起。
按vAsset资源池路径筛选
这VASSET资源池路径Filter允许您发现属于或不属于特定资源池路径的资产。该过滤器使用以下操作符:
- 包含返回由资源池路径支持的所有资产,其名称包含输入的字符串。
- 不包含返回由资源池路径,其名称不包含输入的字符串支持的所有资产。
您可以指定路径的任意级别,也可以指定多个级别,每个级别由连字符和右箭头分隔:->。如果资源池路径级别具有相同的名称,这将非常有用。
例如,您可能有两个具有以下级别的资源池路径:人力资源
管理层
工作站
广告
管理层
工作站
属于的虚拟机管理层和工作站每条路径都不同。如果您只指定管理层在您的过滤器中,搜索将返回属于管理层和工作站两个资源池路径下的级别。
但是,如果您指定广告->管理层->工作站,搜索将只返回属于工作站虚拟资产与路径池广告作为最高水平。
选择操作员后,您将在空白字段中输入资源池路径的搜索字符串。
CVSS风险向量过滤
以下常见漏洞评分系统(CVSS)风险向量的过滤器可让您根据漏洞搜索资产,对组织安全构成不同类型或风险水平的漏洞:
- CVSS访问复杂性(AC)
- CVSS访问向量(AV)
- 需要CVSS认证(Au)
- CVSS可用性影响(A)
- CVSS机密影响(c)
- CVSS完整性影响(i)
您也可以根据新的CVSS版本3的风险载体应用过滤器:
- CVSSv3攻击复杂性(AC)
- 攻击矢量(AV)
- CVSSV3可用性影响(A)
- CVSSV3保密性影响(C)
- CVSSv3完整性影响(i)
- 所需的CVSSv3权限(PR)
- 用户交互(UI)
漏洞可能可能不是有版本3数据,在将版本3过滤器应用于资产搜索时,请注意这一点。版本3筛选器排除的资产仍可能受版本2向量的影响。
这些过滤器是指在计算CVSS分数和PCI严重性级别时使用的行业标准向量。它们也用于风险策略计算的风险评分。有关CVSS矢量的详细信息,请访问国家脆弱性数据库网站https://nvd.nist.gov/.
使用这些过滤器,你可以找到基于漏洞的可利用性不同属性的资产,在他们身上,或者基础上,通过对他们的发现漏洞的不同类型,不同程度的影响到资产在妥协的事件。隔离这些资产可以帮助你做出更明智的决策整治的优先级或为PCI审计做准备。
所有CVSS都与两个运营商一起使用:
- 是返回与与CVSS向量相关联的特定风险级别或属性匹配的所有资产。
- 不是返回与CVSS向量相关的特定风险级别或属性不匹配的所有资产。
选择筛选器和操作符后,从下拉列表中选择所需的影响级别或可能性属性。版本2的属性如下:
- 对于三个影响向量中的每一个(保密那完整性, 和可用性),选项有完全的那部分的,或没有一个.
- 为了CVSS访问向量,选项是当地(L)那邻近(a),或网络(n).
- 为了CVSS访问复杂性,选项是低那中等的,或高.
- 为了需要CVSS身份验证,选项是没有一个那单,或多种的.
版本3属性:
- 为三个冲击矢量的(机密性、完整性和可用性),选项是没有一个那低,或高.
- 为了CVSSv3攻击矢量,选项是网络(n)那邻近(a)那当地(L),或物理(P).
- 为了CVSSv3攻击复杂性,选项是低或高.
- 为了需要CVSSV3特权,选项是没有一个那低,或高.
- 为了CVSSv3用户交互,选项是没有一个或要求.
根据评估的漏洞进行过滤
漏洞评估过滤器允许您根据上一次扫描漏洞的时间搜索资产。与…相反最后一次扫描过滤器,此选项允许您专注于漏洞评估。例如,您可能希望运行关于最近扫描的资产的报告。或者,您可能想要找到长时间没有被扫描的资产,然后从数据库中删除它们,因为它们不再被认为是重要的跟踪目的。过滤器使用以下操作符:
- 当日或之前返回在特定日期或之前扫描漏洞的所有资产。选择此操作员后,单击日历图标以选择日期。
- 或之后的返回在特定日期或之后最后一次扫描漏洞的所有资产。选择此操作员后,单击日历图标以选择日期。
- 在和包括返回在两个日期之间(包括两个日期)最后一次扫描漏洞的所有资产。选择此操作符后,单击左侧字段旁边的日历图标,选择范围内的第一个日期。然后单击右边字段旁边的日历图标,选择范围内的最后一个日期。
- 早于返回在启动搜索日期的指定日期之前的指定天数内最后一次扫描漏洞的所有资产。选择此操作符后,在days ago字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如,您在1月23日下午3点发起搜索。您选择这个操作符并在days ago字段中输入3。搜索返回1月20日午夜之前最后扫描的所有资产。
- 在最后一个返回该上次的前几天指定数量内扫描安全漏洞的所有资产。选择此操作员后,在Days字段中输入数字。搜索的起始点是执行搜索的当天午夜。例如:您将在下午3点启动搜索。1月23日。您选择此操作员并在Days Field中输入1。搜索返回自1月22日午夜以来扫描的所有资产。
在使用这个过滤器时,请记住以下几点:
- 搜索只返回最后的扫描日期。如果资产是在过滤器中指定的时间范围内扫描,如果该扫描是不是最近的扫描,就不会出现在搜索结果中。
- 动态资产组成员关系可以在新的扫描运行时更改。
- 动态资产组成员在午夜每天重新计算。如果您根据与相对日运算符的搜索创建动态资产组(早于或在最后一个),资产成员资格将相应更改。
通过漏洞类别过滤
这漏洞类别过滤器允许您根据扫描期间在其上标记的漏洞类别的漏洞类别搜索资产。这是一个有用的滤波器,用于快速浏览多少,并且哪些资产具有特定类型的漏洞,例如与Adobe,Cisco或Telnet相关的漏洞。漏洞类别列表可以在其中找到漏洞检查扫描模板配置或报表配置的部分,您可以在其中过滤基于漏洞的报表范围。
筛选器将搜索字符串应用于漏洞类别,以便搜索返回与该搜索字符串匹配的类别中存在或不存在漏洞的资产列表。它适用于以下运营商:
- 包含返回其类别包含搜索字符串的所有具有漏洞的资产。您可以使用星号(*)作为通配符。
- 不包含返回所有不存在其类别包含搜索字符串的漏洞的资源。您可以使用Asterisk(*)作为通配符。
- 是返回所有具有漏洞且类别与搜索字符串完全匹配的资产。
- 不是返回所有没有漏洞的资产,其类别与确切的搜索字符串匹配。
- 开始于返回包含漏洞的所有资产,其类别以与搜索字符串相同的字符开始。
- 以。。结束返回包含漏洞的所有资产,其类别以与搜索字符串相同的字符结尾。
选择操作符后,在空白字段中键入漏洞类别的搜索字符串。
按漏洞CVSS分数筛选
这漏洞CVSS得分筛选器允许您搜索具有特定CVSS分数或在分数范围内的漏洞的资产。您可能会发现,根据与PCI严重性级别相对应的CVSS分数范围创建资产组很有帮助:低(0.0-3.9)、中(4.0-6.9)和高(7.0-10)。这样做可以帮助您确定修复资产的优先级。
过滤器使用以下操作符:
- 是返回具有指定CVSS分数的漏洞的所有资产。
- 不是返回包含没有指定的CVSS分数的漏洞的所有资产。
- 在…的范围内返回具有落在两个指定CVSS分数的范围内且包括在该范围的高和低分漏洞所有资产。
- 高于返回具有漏洞的所有资产,该资产具有比指定分数高的CVSS得分。
- 低于返回具有CVSS分数低于指定分数的漏洞的所有资产。
选择一个操作符后,在空白字段中键入一个分数。如果您选择范围操作符,您将键入一个低分数和一个高分数来创建范围。可接受的值包括0.0到10之间的任何数字。只能输入小数点后1位。如果你输入了一个以上的数字,分数会自动四舍五入。例如,如果你输入2.25分,分数会自动四舍五入到2.3分。
通过漏洞曝光过滤
这漏洞暴露过滤器允许您根据已知与在这些资产上发现的漏洞相关联的以下类型的曝光搜索资产:
- 恶意软件套件漏洞利用
- metasploit漏洞利用
- 利用数据库漏洞利用
这是一个有用的滤波器,用于隔离和优先考虑由于这些曝光而具有更高的折衷的可能性。
筛选器将搜索字符串应用于一个或多个漏洞暴露类型,以便搜索返回具有或不具有与指定暴露类型相关联的漏洞的资产列表。它适用于以下运营商:
- 包括返回具有与指定暴露类型关联的漏洞的所有资产。
- 不包括返回所有没有与指定暴露类型关联的漏洞的资产。
选择运算符后,在下拉列表中选择一个或多个曝光类型。要选择多种类型,请按住
漏洞通过漏洞风险分数进行过滤
这漏洞风险得分过滤器允许您使用特定风险分数或落在一系列分数内的漏洞中搜索资产。例如,隔离和跟踪具有较高风险评分的资产,可以帮助您优先考虑对这些资产的修复。
过滤器使用以下操作符:
- 在…的范围内返回包含漏洞的所有资产,该资产均落在两个指定风险分数的范围内,并包括范围内的高低分数。
- 高于返回具有漏洞的所有资产,其风险得分高于指定分数。
- 低于返回具有漏洞的所有资产,其风险得分低于指定分数。
选择操作员后,在空白处输入一个分数。如果您选择范围操作符,您将键入一个低分数和一个高分数来创建范围。在根据风险评分搜索资产时,请记住您当前选择的风险策略。例如,如果当前选择的策略是Real Risk,您将找不到得分高于1000的资产。参考漏洞和资产表中的风险评分以获得指导。
按漏洞标题过滤
这漏洞标题过滤器可以搜索基于扫描的过程中已被标记上他们的脆弱性资产。这是使用验证补丁应用程序,或快速浏览了多少找出有用的过滤器,并且,资产具有特定高风险漏洞。
过滤器将搜索字符串应用于漏洞标题,以便搜索返回其标题中具有或没有指定字符串的资产列表。它适用于以下运营商:
- 包含返回具有名称包含搜索字符串的漏洞的所有资产。您可以使用Asterisk(*)作为通配符。
- 不包含返回名称包含搜索字符串且没有漏洞的所有资源。您可以使用Asterisk(*)作为通配符。
- 是返回名称与搜索字符串完全匹配的具有漏洞的所有资产。
- 不是返回所有没有漏洞的资产,其名称与确切的搜索字符串匹配。
- 开始于返回包含漏洞的所有资产,其名称以与搜索字符串相同的字符开头。
- 以。。结束返回所有具有漏洞的资产,其名称以与搜索字符串相同的字符结尾。
选择运算符后,您键入空白字段中的漏洞名称的搜索字符串。
结合过滤器
如果您创建多个过滤器,则可以使用InsightVM返回符合过滤器中指定的所有标准的资产列表,或匹配的资产列表任何在筛选器中指定的条件之一。您可以在筛选器底部的下拉列表中进行此选择搜索条件面板。
两者的区别所有和任何那是所有设置将仅返回与所有筛选器中的搜索条件匹配的资产,而任何设置将传回所有符合指定过滤条件的资产。出于这个原因,与搜索所有选定通常返回更少的结果任何.
例如,假设您正在扫描一个包含10个资产的站点。其中五个资产运行Linux,它们的名称是linux01、linux02、linux03、linux04和linux05。其他五个运行Windows,它们的名称是win01、win02、win03、win04和win05。
假设您创建了两个过滤器。第一个过滤器是操作系统过滤器,它返回运行Windows的资产列表。第二个过滤器是资产过滤器,它返回名称中含有“linux”的资产列表。
如果您使用两个过滤器执行过滤的资产搜索所有设置,搜索将返回运行Windows的资产列表,并在其资产名称中具有“Linux”。由于没有存在此类资产,因此不会有搜索结果。但是,如果您使用相同的过滤器任何设置,搜索将返回运行Windows的资产列表,也将在其名称中具有“Linux”。五个资产运行Windows,其他五个资产在其名称中具有“Linux”。因此,结果集将包含所有资产。