运行手动扫描

在各种情况下都可能需要在任何给定时间运行计划外扫描,例如,当您想要评估网络中的新的零日漏洞或验证相同漏洞的补丁时。本节提供启动手动扫描的指导,以及在扫描运行时可以采取的有用操作。

开始对站点进行手动扫描

立即开始手动扫描某个站点首页页面,点击扫描中的给定站点的图标网站清单表的首页页面。或单击扫描按钮出现在标签表下面当前扫描所有网站

或者,您可以单击扫描按钮网站页面或页面上的特定站点。

开始手动扫描单个资产

在任何给定时间扫描单个资产可能是有用的。例如,给定的资产可能包含敏感数据,您可能希望立即查明它是否暴露了零日漏洞。

若要扫描单个资产,请从任意链接到该资产的页面资产站点页面、资产组页面或任何其他相关位置上的表。单击扫描资产现在显示在资产信息窗格下方的按钮。

如何扫描单个资产与资产链接

启用资产链接后,多个站点中的资产被视为单个实体。看到跨站点链接资产为更多的信息。如果在InsightVM部署中启用了资产链接,请注意它如何影响单个资产的扫描。

资产链接和站点权限

有了资产链接,资产将与每个站点的扫描数据更新,即使用户运行扫描没有访问资产所属的至少一个站点。例如:用户希望扫描属于洛杉矶和贝尔法斯特两个站点的单个资产。该用户可以访问洛杉矶站点,但不能访问贝尔法斯特站点。但扫描会更新贝尔法斯特网站上的资产。

资产连接和停电

停电是指阻止扫描运行的预定时间段。启用资产链接后,如果您试图扫描属于任何站点的资产,且该站点当前处于禁用状态,安全控制台将显示警告并阻止扫描启动。如果您是全局管理员,则可以覆盖该限制。

更改手动扫描的设置

启动手动扫描时,安全控制台将显示开始新的扫描对话框。

手动扫描目标区域,选择扫描站点范围内所有资产的选项,或者指定特定的目标资产。如果您希望尽快扫描特定资产,例如,检查关键漏洞或验证补丁安装,则指定后者是有用的。

只能手动扫描指定为地址或范围内的资产。

如果选择扫描特定资产,请在文本框中输入资产的IP地址或主机名。IP地址和主机名请参考包含和排除资产列表。你可以复制和粘贴地址。

如果您正在扫描Amazon Web Services (AWS)实例,并且您的安全控制台和扫描引擎位于AWS网络之外,那么您没有手动指定要扫描的资产的选项。看到在AWS网络内部还是外部?

几个配置设置可以扩展您的扫描选项:

  • 如果您正在扫描属于多个站点的单个资产,您可以选择要扫描它的具体站点。这在验证Windows资产上的Patch Tuesday更新等情况下非常有用。
  • 您可以使用为选定站点分配的扫描模板之外的其他扫描模板。例如,如果您已经解决了导致资产PCI扫描失败的问题,则可以应用适当的PCI模板并确认问题已得到纠正。
  • 如果正在扫描站点,可以使用除为站点分配的扫描引擎外的其他扫描引擎。如果您知道当前分配的引擎正在使用中,您可以切换到一个空闲引擎。或者您可以改变您将“看到”资产的透视图。例如,如果当前分配的引擎是Rapid7 Hosted引擎,它提供了您的网络的“外部”视图,那么您可以切换到位于防火墙后面的分布式引擎以获得内部视图。

单击现在就开始按钮立即开始扫描。

您可以开始尽可能多的手动扫描。但是,如果您已经手动启动了对站点中所有资产的扫描,或者如果调度程序已经自动启动了完整站点扫描,应用程序将不允许您运行另一个完整站点扫描。

扫描开始时,安全控制台显示扫描的状态页,随着扫描的继续,该页面将显示更多信息。

监视扫描的进度和状态

查看扫描的进展

当扫描开始时,您可以跟踪它已经运行了多长时间,以及完成它所需的估计剩余时间。您甚至可以看到在单个资产上完成扫描需要多长时间。这些指标可以帮助您预测扫描是否可能在分配的窗口内完成。

如果您正在使用以下配置进行扫描,您还可以查看正在进行的扫描正在发现的资产和漏洞:

  • 分布式扫描引擎(如果安全控制台配置为检索增量扫描结果)
  • 本地扫描引擎(与安全控制台绑定)

如果您的扫描包含资产组,并且使用了多个扫描引擎,则该表将列出所使用的扫描引擎的计数。

查看这些发现结果有助于监视关键资产的安全性,或者确定(例如)某个资产是否存在零日漏洞。

查看扫描进度。

  1. 定位网站清单表上的首页页面。
  2. 在表中,找到正在扫描的站点。
  3. 状态列,单击扫描过程中链接。

  1. 首页页面,定位所有网站的当前扫描清单表格
  2. 在表中,找到正在扫描的站点。
  3. 进步列,单击在进行中链接。

你也可以在网站清单表上的网站页面或当前扫描清单正在扫描的站点的页面上的表。

当您单击这些位置中的任何一个进度链接时,安全控制台将显示用于扫描的进度页。

在这一页的顶部,是扫描的进展表格显示了扫描的当前状态、开始日期和时间、运行时间、完成所需的估计剩余时间以及发现的漏洞总数。它列出了已经发现的资产数量,以及以下资产信息:

  • 活跃的资产是那些目前正在被扫描的漏洞。
  • 完成资产是那些已经被扫描过的漏洞。
  • 等待资产是那些已经被发现,但尚未扫描到漏洞的资产。

这些值显示在指示完成资产百分比的进度条下面。条形图有助于一目了然地跟踪进度,并估计扫描的剩余时间。

单击扫描日志对应的图标,可以查看扫描事件的详细信息。有关更多信息,请参见查看扫描日志

完成资产表列出已成功完成扫描、因错误而失败或被用户停止扫描的资产。

不完整的资产表列出了用户正在挂起、进行中或已暂停扫描的资产。此外,由于在扫描期间脱机而不能完全扫描的任何资产都会被标记不完整的当整个扫描任务完成时。

如果一次扫描未能完成并重新启动,您可能会临时看到相同扫描的重复条目——一个是失败的尝试,另一个是尚未完成的新扫描。

这些表列出了每个资产的指纹操作系统(如果可用),在它上发现的漏洞的数量,以及它的扫描持续时间和状态。您可以单击任何资产的地址或名称链接来查看更多的详细信息,例如在其上发现的所有特定漏洞。

在每次状态更改时,表都会在整个扫描过程中刷新。您可以通过单击表格底部的图标来禁用自动刷新。这对于大型环境的扫描可能是可取的,因为持续的刷新可能会分散注意力。

了解不同的扫描引擎状态

扫描进度页还报告用于该站点的扫描引擎的状态。

如果正在扫描配置为使用每个资产最近使用的扫描引擎的资产组,则可能会看到多个扫描引擎报告的状态。有关更多信息,请参见扫描引擎页面。

状态列报告扫描引擎的状态。这些状态对应于扫描状态。看到理解不同的扫描状态.另一个可能的扫描引擎状态是:

  • 未知的:无法联系扫描引擎。您可以检查扫描引擎是否正在运行并且可达。

理解不同的扫描状态

中列出的各种扫描状态的含义是很有帮助的状态列的扫描的进展表格虽然其中一些状态是相当常规的,但其他状态可能指向您可以进行故障排除的问题,以确保将来扫描的更好性能和结果。了解某些状态如何影响扫描数据集成或恢复扫描的能力也很有帮助。在状态列时,扫描可能显示为下列任一状态:

在进行中:扫描正在收集目标资产的信息。安全控制台正在从扫描引擎导入数据,并执行数据集成操作,如关联资产或应用漏洞例外。在某些情况下,如果扫描状态保持不变在进行中在很长一段时间内,它可能表明有问题。看到确定正常状态的扫描是否有问题

成功完成:扫描引擎已完成对站点目标的扫描,安全控制台已完成对扫描结果的处理。如果扫描具有此状态,但没有显示扫描结果,请参见确定正常状态的扫描是否有问题

停止:在安全控制台完成从扫描引擎导入数据之前,用户已手动停止扫描。安全控制台在停止前导入的数据将集成到扫描数据库中,无论对单个资产的扫描是否已完成。无法恢复已停止的扫描。您将需要运行一个新的扫描。

停顿了一下:发生下列事件之一:

  • 用户手动暂停扫描。
  • 扫描已超过其预定的持续时间窗口。如果它是一个重复扫描,它将恢复它暂停的地方,而不是在它的下一个开始日期/时间重新启动。
  • 在安全控制台完成从扫描引擎导入数据之前,扫描已经超过了安全控制台的内存阈值

在所有情况下,Security Console都会处理状态为的目标的结果成功完成在扫描暂停的时候。您可以手动恢复已暂停的扫描。

当您恢复暂停扫描时,应用程序将扫描该站点中没有状态的任何资产成功完成就在你暂停扫描的时候。由于它不保留未达到完成状态的资产的部分数据,因此在重新启动时,它开始从这些资产再次收集信息。

失败的由于意外事件,扫描工作中断。无法恢复。将出现解释性信息失败的的地位。您可以使用此信息与技术支持一起排除问题。失败的一个原因可能是安全控制台或扫描引擎停止服务。在这种情况下,安全控制台无法从中断之前的扫描中恢复数据。

另一个原因可能是安全控制台和扫描引擎之间的通信问题。安全控制台通常可以恢复中断之前的扫描数据。你可以通过以下方法确定是否发生了这种情况:

  • 使用ICMP (ping)请求检查安全控制台和扫描引擎之间的连接。
  • 单击政府按TAB键,然后去扫描引擎页面。点击刷新图标,显示与失败扫描关联的扫描引擎。如果存在通信问题,您将看到一条错误消息。
  • 打开位于安全控制台\nsc目录中的nsc.log文件,查找与故障相关的扫描引擎的错误级别消息。

流产:由于崩溃或其他意外事件,扫描被中断。安全控制台在终止扫描之前导入的数据将集成到扫描数据库中。不能恢复已中止的扫描。您将需要运行一个新的扫描。

确定正常状态的扫描是否有问题

如果扫描有在进行中状态异常长,这可能表明由于与扫描引擎的通信失败,安全控制台无法确定扫描的实际状态。要测试是否为这种情况,请尝试停止扫描。如果发生通信故障,Security Console将显示一条消息,表明没有给定ID的扫描存在。

如果扫描有成功完成状态,但该扫描没有可见数据,这可能表明扫描引擎已停止与扫描作业的关联。要测试是否为这种情况,请尝试再次手动启动扫描。如果发生了此问题,安全控制台将显示一条消息,表明扫描已经使用给定的ID运行。

任何一种情况,请联系技术支持。

暂停、恢复和停止扫描

如果您是具有适当站点权限的用户,您可以暂停、恢复或停止手动扫描和应用程序调度程序自动启动的扫描。

你可以在以下几个区域暂停、恢复或停止扫描:

  • 首页页面
  • 网站页面
  • 正在扫描的站点的页面
  • 用于实际扫描的页面

若要暂停扫描,请单击暂停的扫描图标首页网站,或特定的网站页面;或单击暂停扫描按钮,在特定扫描页面。

显示一条消息,要求您确认要暂停扫描。点击好吧

若要恢复已暂停的扫描,请单击的简历的扫描图标首页网站,或特定的网站页面;或单击简历扫描按钮,在特定扫描页面。控制台显示一条消息,要求您确认要恢复扫描。点击好吧

若要停止扫描,请单击停止的扫描图标首页网站,或特定的网站页面;或单击停止扫描按钮,在特定扫描页面。控制台显示一条消息,要求您确认要停止扫描。点击好吧

停止操作可能需要30秒或更长时间来完成挂起的任何正在进行的扫描活动。

查看扫描结果

安全控制台根据您的排序首选项,按升序或降序列出任何类别的扫描结果。在资产清单表,单击所需的类别列标题,例如地址漏洞,按该类别对结果进行排序。

两列资产清单表格显示了每种资产的已知风险暴露的数量。列有Alt™图标枚举每个资产已知存在的漏洞利用数量。这个数字可能包括Metasploit和/或Exploit数据库中可用的Exploit。列有Alt图标列举了可用于利用在每个资产上检测到的漏洞的恶意软件套件的数量。

单击资产名称或地址的链接,查看该资产的扫描相关信息和其他信息。请记住,应用程序扫描的是站点,而不是资产组,但资产组可以包括也包含在站点中的资产。

要查看扫描结果,请单击链接上的站点名称首页页面。单击网站名称链接查看网站中的资产,以及有关扫描结果的相关信息。在此页面上,您还可以通过点击链接查看网站内的任何资产的名称或地址来查看相关信息。

查看扫描日志

为了排除与扫描相关的问题或监视某些扫描事件,您可以下载并查看正在进行或完成的任何扫描的日志。

理解扫描日志文件名称

扫描日志文件的扩展名是.log,可以在任何文本编辑程序中打开。扫描日志的文件名由三个用连字符分隔的字段组成:各自的站点名称、扫描的开始日期和扫描的开始时间(军事格式)。例如:localsite - 20111122 - 1514. -日志。

如果站点名称包含名称格式不支持的空格或字符,则将这些字符转换为等价的十六进制字符。例如,站点名称我的网站将被呈现为my_20site在扫描日志文件名中。

扫描日志文件格式支持以下字符:

  • 数字
  • 连字符(-)
  • 下划线(_)

文件名格式的站点名称字段最多支持64个字符。如果文件名长度超过64个字符,则文件名只包含前64个字符。

您可以在下载后修改日志文件名。或者,如果您的浏览器被配置为提示您指定下载文件的名称和位置,那么您可以在将文件保存到硬盘驱动器时更改文件名。

查找扫描日志

您可以在Web界面中找到有关扫描的信息的任何地方找到并下载扫描日志。根据您的权限,您只能下载您可以访问的站点的扫描日志。

  • 首页页面,在网站清单表中,单击扫描状态任何站点的正在进行或最近的扫描列。这样做将打开该扫描的摘要页面。在扫描的进展表,找到扫描日志列。
  • 在任何站点页面上,单击扫描历史观按钮站点摘要表格这样做将打开扫描该网站的页面。在浏览历史表,找到扫描日志列。
  • 浏览历史页面列出已在部署中运行的所有扫描。在Web界面的任何页面上,单击政府选项卡。在政府页面,点击视图链接浏览历史.在浏览历史表,找到扫描日志列。

下载扫描日志

要下载扫描日志,请单击下载扫描日志图标。

弹出窗口显示打开文件或将其保存到硬盘驱动器的选项。您可以选择任何一个选项。

如果您没有看到打开该文件的选项,请更改浏览器配置,使其包含一个用于打开.log文件的默认程序。任何文本编辑程序,如记事本或编辑器,都可以打开.log文件。请参阅浏览器的文档,了解如何选择默认程序。

要确保您拥有扫描日志的永久副本,请选择保存它的选项。当扫描信息从扫描数据库中删除时,建议这样做。

跟踪日志中的扫描事件

虽然Web界面提供了有关扫描进度的有用信息,但您可以使用扫描日志了解有关扫描的更多细节,并跟踪单个扫描事件。例如,如果扫描的某些阶段需要很长时间,这是特别有用的。你可能想确认长时间的扫描运行正常,没有“挂起”。您可能还希望使用某些日志信息来排除扫描故障。

介绍常见的扫描日志项及其含义。每个条目前面都有一个时间和日期戳;一个严重级别(DEBUG, INFO, WARN, ERROR);以及识别扫描线程和站点的信息。

扫描阶段的开始和结束

2013-06-26T15:02:59 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap phase started.日志含义扫描的Nmap(网络映射器)阶段包括资产发现和这些资产的端口扫描。此外,如果在扫描模板中启用,此阶段包括IP堆栈指纹。

2013-06-26T15:25:32 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap阶段完成。Nmap阶段已经完成,这意味着扫描将继续进行漏洞或策略检查。

关于扫描线程的信息

2013-06-26T15:02:59 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap一次扫描1024个IP地址。这个条目表示在Nmap进程退出并生成新的Nmap进程之前,每个独立的Nmap进程将扫描的最大IP地址数。这些是分配给每个Nmap进程的工作单元。每次扫描只存在1个Nmap进程。

2013-06-26T15:04:12 [INFO] [Thread: Scan default:1] [Site: Chicago_servers] Nmap Scan of 1024 IP addresses starting.日志含义该条目表示当前Nmap进程正在扫描的IP地址数量。在最大值下,这个数字可以等于前面条目中列出的最大值。如果小于上一项中的最大扫描IP地址数,则表示该站点的待扫描IP地址数小于最大扫描IP地址数。因此,此条目中反映的进程是扫描中使用的最后一个进程。

扫描阶段中的扫描任务信息

2013-06-26T15:04:13 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] nmap task Ping Scan started.日志含义Nmap扫描阶段的特定任务已经启动。一些常见的任务包括:

  • Ping扫描:资产发现
  • SYN隐形扫描:SYN隐形扫描TCP端口扫描(扫描模板配置)
  • 连接扫描:使用Connect scan方法扫描TCP端口(如扫描模板中配置的)
  • UDP扫描:UDP端口扫描

2013-06-26T15:04:44 [INFO] [Thread: Scan default:1:nmap:stdin]这是一个Nmap任务的进度条目示例。

发现和端口扫描状态

2013-06-26T15:06:04 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.1] DEAD (reason=no-response)扫描报告的目标IP地址为因为主机没有响应ping。

2013-06-26T15:06:04 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.2] DEAD (reason=host-unreach)扫描报告的目标IP地址为因为它收到了ICMP主机不可到达的响应。其他ICMP响应包括网络不可达,协议不可达,管理禁止.更多信息请参见RFC4443和rfc792规范。

2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.3:3389/TCP] OPEN (reason=syn:TTL=124)日志示例2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.4:137/UDP] OPEN (reason= UDP -response:TTL=124)前面两个条目提供了被扫描端口的状态和该状态的原因。SYN-ACK反映对SYN请求的SYN- ack响应。关于TTL引用,如果两个开放端口有不同的TTL,这可能意味着Scan Engine和扫描目标之间的中间人设备正在影响扫描。

2013-06-26T15:07:45 [INFO] [Thread: Scan default:1:nmap:stdin] [Site: Chicago_servers] [10.0.0.5]此条目提供了关于扫描报告主机为的原因的信息活着,以及网络主持人的质量;扫描引擎与主机之间的延迟;潜伏期的变化;以及等待目标响应时选择的超时Nmap。技术支持人员通常使用这种类型的条目来排除意外扫描行为。例如,上报主机活着,但不回应ping请求。该条目表明扫描通过TCP响应找到了主机。

以下列表显示了扫描报告的发现和端口扫描结果的最常见的原因:

  • conn-refused:目标拒绝连接请求。
  • 重置:扫描收到TCP报文的RST (reset)响应。
  • syn-ack:扫描收到对TCP SYN报文的SYN|ACK响应。
  • udp-response:扫描收到UDP探测的UDP响应。
  • perm-denied:扫描引擎操作系统拒绝扫描发送的请求。这可能发生在完全连接的TCP扫描中。例如,扫描引擎主机上启用了防火墙,阻止了Nmap发送请求。
  • net-unreach:这是一个ICMP响应,表示目标资产的网络不可达。更多信息请参见RFC4443和rfc792规范。
  • host-unreach:这是一个ICMP响应,表示目标资产不可达。更多信息请参见RFC4443和rfc792规范。
  • port-unreach: ICMP响应,表示目标端口不可达。更多信息请参见RFC4443和rfc792规范。
  • admin-prohibited:这是一个ICMP响应,表示目标资产不允许接受ICMP回显请求。更多信息请参见RFC4443和rfc792规范。
  • 回应应答:这是对一个回显请求的ICMP回显响应。它发生在资产发现阶段。
  • arp-response:扫描收到ARP响应。这发生在本地网络段的资产发现阶段。
  • 没有响应:扫描没有收到响应,如过滤端口或死主机。
  • localhost-response:扫描收到本地主机响应。换句话说,本地主机安装了一个扫描引擎,它正在扫描自己。
  • 用户设置:用户在扫描模板配置中指定禁用发现主机。在这种情况下,扫描不会验证目标主机是否活着;它“假定”目标还活着。

查看所有扫描的历史记录

控件可以快速浏览整个部署的扫描历史记录浏览历史页面。

在Web界面的任何页面上,单击政府图标。在政府页面,点击视图链接浏览历史

界面显示浏览历史页面,其中列出了所有扫描,以及谁启动或重新启动了扫描,扫描资产的总数,发现的漏洞,以及与每次扫描相关的其他信息。您可以单击日期链接完成列以查看任何扫描的详细信息。

您可以按照前面讨论的主题下载任何扫描的日志。