在更改环境中自动化安全操作

安全性,事情总是在环境内外变化。内部,新资产每次组织雇用新的员工或佣金新服务器以替换旧模型。或者,先前扫描的资产在您网络中未见一段时间后返回。

在外面,新的漏洞不断进入存在并威胁,使您的资产暴露于越来越多的攻击。

通过自动对这些变化进行响应,您可以让您的安全团队告知最新的发展,并准备随时采取适当的行动。如果新资产上网,您可以立即扫描任何缺陷或曝光。如果宣布新的高风险漏洞,您可以立即找到哪些资产受其影响。

自动操作功能使您可以使用涉及资产和漏洞的事件作为运行扫描和修改站点的触发器。

您必须是全局管理员,并具有Nexpose Enterprise许可证以使用此功能。

自动对新漏洞的回应

每个Nexpose内容更新都会添加一组可以扫描的新的新漏洞检查。发生更新后,如果您的任何资产受到某些高风险或高严重程度漏洞或高CVSS分数的影响,您可能会立即了解。如果修补程序内容更新有零日曝光检查,则可能希望尽快扫描您的网络。

使用新漏洞作为触发器,您可以设置自动操作:

  1. 点击自动措施左侧导航窗格中的图标alt..
  2. 点击新行动按钮alt..
  3. 选择可用的新漏洞覆盖作为触发器。
  1. 在里面选择触发过滤器下拉列表中,选择一个漏洞度量:
  • CVE ID.
  • CVSS得分
  • 风险分数
  • 漏洞标题
  • 漏洞类别
  1. 根据您选择的公制,选择操作员。
  • CVSS分数为小数,范围为0.0到10.0。
  • 风险评分因其用于计算分数的风险策略而异。例如,真正的风险策略产生最大得分为1,000,而时间策略没有上限,具有一些高风险的漏洞得分达到数十万。有关更多信息,请参阅使用风险策略分析威胁.
  1. 点击下一个.
  2. 从下拉列表中选择一个操作。对于新的漏洞,唯一可用的操作是扫描。
  3. 选择要扫描新漏洞的站点。例如,您可能有一个包含您想要立即扫描的敏感资产的网站。
  4. 点击下一个.
  5. 输入一个名称以帮助您记住自动操作。
  6. 点击节省.

新动作显示在自动操作列表中,其状态准备好,这意味着,任何时候应用新内容更新时,只要存在符合筛选条件的漏洞,就会在您选择的站点上运行这些漏洞的扫描。

自动响应资产发现

您的攻击表面随着每次新租用的攻击而变化,获得笔记本电脑或雇员获得替代工作站。根据您组织的大小,可能难以通过手动努力跟踪每个新资产。通过使用动态发现功能和运行扫描,您可以及时了解您的资产清单的最新更改。您还可以使用这些机制来触发自动操作以更接近地跟踪“新”资产,并评估任何安全漏洞。

您可以自动执行与安全相关的操作以跟踪过去扫描的新发现的资产或资产,然后在您的网络上消失并重新出现。

在发现新资产时采取行动

动态发现功能持续在可用站点或发现连接中查找添加到环境中的任何资产。

任何时候,通过这些方法之一发现新资产时,您都可以将其添加到站点,然后,如果需要,立即扫描该站点。采取以下步骤设置自动操作:

  1. 点击自动措施左侧导航窗格中的图标alt..
  2. 点击新行动按钮alt..
  3. 选择新资产发现作为触发器。
  4. 为您想要采取行动的新资产选择一个站点或发现连接。
  5. 可选:如果要对特定类型的资产执行操作,请选择定义该资产的筛选器。然后选择适当的运算符和值。例如,您可能担心VMware vSphere连接检测到新的虚拟机即将联机。您可以在不同的资源池路径中为不同的部门命名资产,例如营销或者销售额.也许你想确保你的任何新的VM销售额资源池立即扫描。

在此示例中,您将选择资源池路径作为过滤器和包含作为运营商。然后你会进入销售额作为价值。

要添加新过滤器,请单击+图标。

出现一个新的过滤器行。如前一步骤中所述设置新过滤器。

提示:添加更多过滤器通常缩小资产领域,因为它们必须匹配更多标准。有关使用过滤器的更多信息,请参阅使用过滤器改进动态发现.

  1. 点击下一个.
  2. 选择一个操作:
  • 添加到站点-仅将资源添加到站点(不扫描)。资产将在下一个计划窗口期间扫描,或当用户对该站点进行手动扫描时扫描。如果扫描新资产不那么紧急,并且不需要立即占用扫描资源,则此选项更可取。
  • 在现场扫描- 将资产添加到网站上并立即扫描该网站。如果扫描新资产更为紧急,这是优选的。这可能是更敏感的资产的情况。此外,这是在现场扫描选项可以将资产添加到与动态发现连接关联的动态站点。
  1. 选择要将资源添加到的站点。

您只能选择包含手动添加的资产的站点,而不是通过动态发现连接添加的资产。

  1. 输入一个名称以帮助您记住自动操作。
  2. 点击节省.

新动作显示在自动操作列表中。

再次发现以前扫描的资产时采取措施

在您的组织中,变化是一个恒常的过程。你之前被扫描过的某些资产可能会“消失”几周,然后“重新露面”。员工外出度假时不会打开笔记本电脑。或者,在修复或升级系统时,它可能会使工作站脱机。

为帮助您将当前与这些类型的更改保持,您可以使用自动化将“重新发现”资产添加到站点,扫描它们,或标记为跟踪和报告:

  1. 点击自动措施左侧导航窗格中的图标alt..
  2. 点击新行动按钮alt..
  3. 选择已知可用资产作为触发器。
  4. 为您想要采取行动的新资产选择一个站点或发现连接。
  5. 选择一个过滤器,该过滤器定义要对哪种资产执行操作。然后选择适当的运算符和值。例如,如果自上次扫描以来已超过某个小时数,您可能希望为在站点上发现的任何已知资产创建操作。在本例中,您将选择资源池路径作为过滤器和包含作为运营商。然后你会进入销售额作为价值。
  6. 要添加新过滤器,请单击+图标。
  7. 出现一个新的过滤器行。如前一步骤中所述设置新过滤器。

提示:添加更多过滤器通常缩小资产领域,因为它们必须匹配更多标准。有关使用过滤器的更多信息,请参阅使用过滤器改进动态发现.

已知的发现 - >网站有几个标签过滤器;用户添加 - 关键性级别,用户添加的自定义标记,用户添加的标记(位置)和用户添加的标记(所有者)。如果将资产添加到标记资产和站点的动态资产组中,则配置为在该动态资产组上运行扫描,则当第一次扫描资产时,即使应用程序也不会触发这些过滤器即使过滤器通过,但事件将被解雇任何第二个和扫描的资产。

  1. 选择一个操作:
  • 添加到站点-仅将资源添加到站点(不扫描)。资产将在下一个计划窗口期间扫描,或当用户对该站点进行手动扫描时扫描。如果扫描新资产不那么紧急,并且不需要立即占用扫描资源,则此选项更可取。
  • 在现场扫描- 将资产添加到网站上并立即扫描该网站。如果扫描新资产更为紧急,这是优选的。这可能是更敏感的资产的情况。此外,这是在现场扫描选项可以将资产添加到与动态发现连接关联的动态站点。
  • 扫描- 在不将其添加到网站的情况下扫描资产。这将扫描最近扫描的网站中的资产。此选项维护资产的现有站点,不会将它们添加到其他站点。这是扫描“重新发现”资产,这些资产最近未包含在预定扫描中。这也是更敏感资产的最佳选择。
  • 标签- 标记资产允许您为您提供对您的业务有意义的重要性或上下文,以便您对报告,扫描和其他目的进行分类和跟踪它。您可以应用于位置,所有权,业务关键性或对您组织有意义的任何其他标准应用标签。有关更多信息,请参阅使用标记应用realcontext.
  1. 如果选择了网站或站点/扫描选项,请选择一个站点以添加资产。

您只能选择包含手动添加的资产的站点,而不是通过动态发现连接添加的资产。

  1. 如果选择标记选项,请选择一个标签以应用于资产。
  2. 输入一个名称以帮助您记住自动操作。
  3. 点击节省.

新动作显示在自动操作列表中。

对恶意文件事件的自动响应

如果您拥有与McAfee ePolicy Orchestrator(EPO)集成的McAfee数据交换层(DXL),则可以创建在检测到文件信誉事件时触发的自动操作。文件信誉由发现文件恶意的供应商的数量决定;有关详细信息,请参阅McAfee文档。这种自动操作功能是更大集成的一部分。要了解更多信息,请参阅发现McAfee ePolicy Orchestrator管理的资产发现McAfee数据交换层(DXL)收集的漏洞数据.

与文件声誉事件检测相关的自动操作的主要用途是根据事件检测调整资产的临界额定值。要了解有关标记资产和关键标记的更多信息,请参阅使用标记应用realcontext这个关键性调整然后调整资产的风险分数。要了解更多信息,请参阅根据临界程度调整风险.因此,这些行动可能会影响哪些资产出现在EPO中出现的Nexpose摘要仪表板,以及这些资产的排名。

为了基于文件信誉的事件检测触发自动操作,必须先配置McAfee数据交换层连接。要了解更多信息,请参阅发现McAfee ePolicy Orchestrator管理的资产创建和管理动态发现连接.

设置自动操作:

  1. 点击自动措施左侧导航窗格中的图标alt..
  2. 点击新行动按钮alt..
  3. 选择TIE文件声誉事件作为触发器。
  4. 选择先前配置的McAfee数据交换层连接。
  5. 点击下一个.
  6. 选择一个动作。目前可用的行动是标签.
  7. 选择一个关键性标记。这些值对应于风险级别,然后影响资产的风险分数,如在Nexpose和EPO中显示。
  8. 输入一个名称以帮助您记住自动操作。
  9. 点击节省.

监控现有的自动化操作

在“自动操作”页面上,您可以查看已配置的自动操作的列表,请参阅成功启动并启用或禁用它们时是否启动。此视图称为活动监视器。

可能需要控制台重新启动,以便启用此功能。

查看自动操作状态

活动监视器显示已配置的所有自动操作的列表。

ON / OFF列显示当前是否已启用自动操作,以及它是否正常运行。启用动作时,除非禁用或遇到错误,否则它将继续根据指定的时间表运行。要启用一个操作,请将切换移动到右侧,以便复选标记显示。要禁用动作,请将切换移动到左侧,以便X显示。您也可以通过选择复选框,然后从顶部菜单中选择开/关,然后从顶部菜单中选择开/关,也可以打开或关闭多个操作。颜色也会更改以指示操作的当前状态。选项在+就绪(绿色),+重试(橙色),或+不可用(红色)。

此外,活动标记显示在日历上,每天尝试运行的操作,使您可以随时间查看自动操作的历史记录。您可以使用右上角的日历导航按钮更改日历上显示的天数。

活动标记的颜色也会更改,以指示操作是否在该日期成功完成。

可用状态:

  • 已启动(蓝色):操作已触发。
  • 重试(橙色):触发行动,但由于某种原因无法完成。例如,可能的原因可能是在尝试操作时,站点使用的扫描引擎不可用。该行动将继续每小时退回一周。达到阈值后,状态将更改为不可用。
  • 错误(红色):操作当前处于错误状态。需要解决的东西,以便可以执行动作。一些错误(如已删除站点)将导致操作自动变为不可用。否则,它可能在进行一定数量的尝试后从重试到错误转换。

您还可以查看每个自动操作的更详细状态。要查看详细信息,请单击要查看其详细信息的行中的行。活动详细信息面板将显示有关该操作的更多信息。这允许您了解有关该操作的更多信息,例如它启动的时间。如果运行有问题,则此抽屉允许您了解有关该状态的更多详细信息,例如它发生的原因,因此您可以进行故障排除。

重试或错误状态的潜在原因:

  • 以前与此操作关联的发现配置不再存在。
  • 先前与此操作相关联的标签不再存在。
  • 以前与此操作关联的站点已不存在。
  • 可以不授权与DXL连接连接相关联的用户。请与DXL管理员联系以确认授权。
  • 站点使用的扫描引擎不充分达到运行扫描。确保扫描引擎是最新的。操作将自动重试一周,然后操作将进入错误状态。
  • 站点使用的扫描引擎不可用。故障诊断与排除扫描引擎的可用性。
  • 无法应用指定的标签。查看日志以获取更多信息。
  • 无法在网站上启动扫描。查看日志以获取更多信息。
  • 在网站上启动扫描的意外错误。如果错误是临时的情况下,将自动重试该操作。
  • 动作配置没有正确更新到最新的软件版本。