选择漏洞检查
当InsightVM在扫描的发现阶段对资产进行指纹时,它会自动根据指纹决定执行哪些漏洞检查。在漏洞检查单击“扫描模板配置”页签,可以手动配置扫描,使其包含比指纹更多的检查。您还可以按组或单独禁用检查。
访问漏洞检查TAB在您的扫描模板:
- 在安全控制台中,单击政府选项卡。
- 在扫描选项部分,单击管理旁边的模板。
- 单击现有自定义扫描模板的名称链接以打开它。如果您还没有自定义扫描模板,请单击所选内置扫描模板旁边的复制图标。
检查配置
扫描模板的检查配置部分允许您调整以下漏洞检查选项。
不安全的检查
不安全检查包括针对IIS和Apache等应用程序以及FTP和SSH等服务的缓冲区溢出测试。其他包括一些数据库客户端的协议错误,这些错误会触发系统故障。
运行不安全检查的警告
运行不安全检查的扫描可能会使系统崩溃或使系统处于不确定状态,即使它看起来运行正常。这样的扫描很可能不会对目标系统造成永久性伤害。但是,如果在系统故障的情况下,系统中运行的进程导致数据损坏,则可能会出现意想不到的副作用。
不安全检查的好处是,它们可以验证威胁拒绝服务攻击的漏洞,拒绝服务攻击通过使系统崩溃、终止服务或消费服务达到使用服务的系统无法进行任何工作的程度,从而使系统不可用。您应该在业务时间之外对目标资产运行计划的不安全检查,然后在扫描之后重新启动这些资产。在预生产环境中运行不安全的检查,以测试资产对拒绝服务条件的抵抗力,也是一个好主意。
潜在的检查
如果要检查潜在的漏洞,请选择适当的复选框。有关潜在漏洞的信息,请参见设置扫描警报.
将可靠检查与定期检查相关联
如果希望将可靠检查与常规检查关联起来,请选择适当的复选框。启用此设置后,InsightVM将更加信任操作系统补丁检查,以试图覆盖其他可能不太可靠的检查结果。操作系统补丁检查比远程、基于条幅的漏洞检查更可靠。
例如,如果Apache Web服务器的漏洞检查是基于HTTP标记的,但是操作系统补丁检查确定Apache包已经针对这个特定的漏洞进行了修补,那么它将不会报告漏洞。启用可靠的检查相关性是减少误报的最佳实践。
InsightVM对支持的操作系统进行操作系统级别的补丁校验反复出现的漏洞覆盖,包括Microsoft Windows、Solaris、VMware和几个Linux发行版。
检查相关要求
要使用检查相关性,必须使用包含补丁验证检查的扫描模板,而且通常必须包括凭证在您的站点配置中。
选择检查
扫描模板可能指定启用某些漏洞检查,这意味着InsightVM将只扫描该模板中的这些漏洞检查类型或类别。如果您没有特别启用任何漏洞检查,那么您实际上是启用了所有的漏洞检查,除了那些您特别禁用的漏洞检查。
扫描模板可能指定某些检查被禁用,这意味着InsightVM将使用该模板扫描除这些漏洞检查类型或类别之外的所有漏洞。换句话说,如果没有禁用检查,它将扫描所有漏洞。详尽模板包含所有可能的漏洞检查,而完整审计和PCI审计模板不包括策略检查,这更耗时。Web Audit模板只扫描与Web相关的漏洞。
检查按类别
以制造商命名的类别(如Microsoft)可以作为以其产品命名的类别的超集。例如,如果您选择Microsoft类别,那么您将固有地包含所有Microsoft产品类别,例如Microsoft Path和Microsoft Windows。这适用于其他“公司”类别,如Adobe、Apple和Mozilla。
根据类型检查
下面列出了可供选择的当前检查类型:
- 默认的帐户
- 当地的
- Metasploit
- 微软热修复补丁
- 补丁
- 政策
- 潜在的弱点
- RPM
- 安全
- 不安全的
- 版本
- Windows注册表
个人支票
您还可以根据您的规范配置扫描模板来运行非常特定的漏洞检查。由于InsightVM的漏洞检查库数量不断扩大,已达数十万,因此在选择它们之前,您需要搜索希望包含的个别检查。定制一个专门构建的扫描模板,只运行特定的检查,是有效地扫描资产的一些最引人注目的和关键的漏洞的一个很好的方法。
目标系统的兼容性
InsightVM只检查与它扫描的系统相关的漏洞。它不会对不兼容的系统执行检查,即使您特别选择了该检查。
微调您的扫描与选定的漏洞检查
通常,扫描模板中包含的漏洞检查越少,扫描完成得越快。但是,请注意,检查计数到扫描时间的关系并不是平均伸缩的。有些漏洞检查的扫描时间较长。
以下是一些例子:
- Microsoft IIS目录遍历检查测试500个URL组合。对于繁忙的web服务器,这可能需要几分钟的时间。
- 不安全的拒绝服务检查需要花费特别长的时间,因为它们涉及大量数据或对目标系统的多个请求。
- 跨站脚本(CSS/XSS)测试在具有多种形式的web应用程序上可能需要很长时间。
注意不要因为禁用过多的检查或必要的检查而牺牲准确性。尽可能以有重点的方式选择漏洞检查。如果您只是扫描web资产,请启用与web相关的漏洞检查。如果正在执行补丁验证扫描,请启用热修复检查。
InsightVM通过在一次扫描中分组相关的检查来最小化扫描时间。这将限制打开连接的数量和连接保持打开的时间间隔。对于只依赖于软件版本号的检查,应用程序一旦提取了版本信息,就不需要与目标系统进行进一步的通信。
管理自定义检查的插件
如果您已经创建了定制漏洞检查,使用自定义漏洞内容插件,以确保这些检查可在您的扫描模板中选择。该过程只需将检查内容复制到安全控制台安装的目录中。
在Linux中,位置在插件/ java / 1 / CustomScanner / 1
安装路径根目录中的目录。例如:
1/ opt / rapid7 / nexpose nsc /插件/ java / 1 / CustomScanner / 1
在Windows中,位置在插件\ java \ \ CustomScanner \ 1
安装路径根目录中的目录。例如:
1C:\Program Files\Rapid7\NeXpose\nsc\plugins\java\1\ CustomScanner \ 1
复制文件后,您可以通过在扫描模板配置中选择它们来立即使用检查。