与声纳项目合作
项目声纳是Rapid7 Labs团队的一项倡议,通过对公共网络的积极分析来提高安全性。它执行公共IPv4地址的非侵入性扫描,用于共同服务,从服务中提取信息,并使每个人提供数据。
通过分析Project Sonar数据,您可以:
- 从一个局外人的角度来看待你的环境。
- 查找属于您组织的资产,您可能没有跟踪。
- 获得您的公众面临的资产快照。
- 更好地了解你的曝光表面积。
项目声纳数据可以添加到站点并与任何其他资产数据一样处理。请记住,项目声纳数据不是明确或全面的观点;这只是您可以用来了解更多有关您的公共互联网存在的起点。
设置声纳查询
声纳查询从Sonar的档案中提取域的信息,并将其添加到发现的连接表上的资产页面。Sonar查询由暴露管理员设置,并定义您有权扫描的域。作为站点管理员,您可以通过Dynamic Discovery连接将它们添加到站点。
在访问Project Sonar数据之前,您的Nexpose管理员必须已经为Nexpose控制台创建了Sonar查询。如果您有Nexpose Enterprise许可证,并且您没有看到Sonar连接的结果,请联系您的Nexpose管理员,并要求他们设置Sonar查询。
了解声纳工作流程
你使用Sonar资产的方式将类似于使用动态资产的方式。要将Sonar资产添加到站点,可以使用以下工作流:
- 创建一个网站。
- 选择声纳连接以动态发现资产。
- 根据域名、主机范围或扫描日期过滤资产。
- 保存网站。
- 扫描的资产。
- 安排扫描。
为Sonar资产创建一个站点
为了使用Sonar资产,你需要做的第一件事是创建一个使用Sonar连接的动态站点。创建站点后,就可以像处理数据库中的其他资产一样处理它们了。
要为Sonar资产创建一个站点:
- 单击创建页面顶部的标签并选择网站从下拉列表中。
- 在信息与安全选项卡网站配置页面,输入包含Sonar Labs资产的网站名称。
- 单击资产选项卡。
- 选择联系作为指定资产的选择。
- 在这一点选择连接页面,选择索纳尔从联系下拉列表。
选择Sonar连接后,发现资产表填充了Sonar查询的结果。你可以申请过滤器细化添加到站点的资产列表。然而,如果你想添加所有声纳资产,不要应用任何过滤器。
安全控制台连接每个查询由Nexpose管理员设置的最多10,000个资产。这些是实验室服务器返回的前10,000个资产,并且列表可以随时更改。
- 保存网站。
过滤声纳计划的数据
过滤器是一种规则,您可以使用它来精炼Sonar查询的结果。当您希望为添加到站点的资产指定需求时,您可以创建它们。例如,如果您想只向站点添加属于某个IP范围内的资产,您可以创建一个过滤器。
筛选器由筛选器类型、搜索操作符和筛选器值组成。
过滤器类型
您可以根据以下方式创建过滤器:
- 一个域名,如'rapid7.com'或'community.rapid7.com'
- 主机IP范围,如“192.168.1.0-192.169.1.255”
- 扫描日期,例如“最近30天内”
搜索操作符
筛选器使用操作符将资产与您提供的值匹配。您可以使用以下操作符来构建过滤器:
- 包含—基于部分匹配的过滤。例如,过滤器'domain name contains rapid7.com'返回域中包含'rapid7.com'的所有资产。
- 是- 基于完全匹配的滤波器。例如,过滤器“域名是Rapid7.com”只返回其域名为“Rapid7.com”的资产。
- 在过去- 过滤器基于时间框架。此操作员仅与扫描日期过滤器一起使用,并且只接受整数。例如,在过去7天内的过滤器“声纳扫描日期”返回了Sonar在过去一周扫描的资产。
创建过滤器
您需要做的第一件事是创建一个域名过滤器。在为域名创建过滤器之后,您将能够基于主机IP范围和扫描日期创建过滤器。
创建过滤器:
- 来自资产选项卡网站配置页面,选择联系作为指定资产的选择。
- 点击添加过滤器以显示可用的筛选器。
- 使用可用的过滤器为Sonar资产构建规则。可以通过IP地址范围、域名和扫描日期进行过滤。
- 根据需要添加尽可能多的过滤器,然后单击过滤器应用它们。结果是发现资产根据您的过滤器更新表。
- 保存网站。
设置Sonar查询的扫描日期
您可以创建一个扫描日期过滤器来控制资产数据的过时性。当资产已被Sonar扫描,但资产在执行扫描后已更改IP地址时,就会发生陈旧数据。通常情况下,Project Sonar扫描资产的时间越长,数据就越有可能过时。
为了减少向站点添加陈旧数据的可能性,您应该创建一个扫描日期过滤器。一个最近的扫描日期范围,如7天,确保你不会意外地添加不属于你的资产到你的网站。如果您应用扫描日期过滤器,但没有看到来自Sonar的任何结果,您可能需要扩展过滤器使用的范围。
扫描声纳资产
在你扫描你的声纳资产之前,你首先审查它们是至关重要的。Project Sonar发现生产资产,因此您需要验证这些资产实际上属于您的公司,并且您有权限扫描它们。在执行任何扫描之前,您还应该检查您的停电时间表。
手动扫描站点。
- 在“首页”的“站点”表中,单击扫描按钮用于包含声纳资源的站点。
- 当开始新扫描窗口出现时,像平常一样配置扫描,例如选择扫描模板和站点引擎。
- 点击现在开始运行扫描。
资产将被添加到扫描表的资产页,如果已为其标识主机名。
安排一个扫描
现在,您已经成功地为Sonar资产创建了一个站点,您可能需要考虑为您的扫描创建一个时间表。日程表可以帮助你有规律地检查。有关安排扫描的更多信息,请参见调度扫描.