配置自定义扫描模板

要开始修改默认模板,请转到政府页面,点击管理扫描模板。控制台显示扫描模板页面。

不能直接编辑内置模板。相反,复制模板并编辑它。当你点击复制对于页面上列出的任何默认模板,控制台将显示扫描模板配置面板。

若要从头创建自定义扫描模板,请转到政府页面,点击创建扫描模板

PCI相关的扫描和报告模板是用应用程序打包的,但它们需要购买许可证以便可见并可供使用。FDCC模板仅适用于启用FDCC策略扫描的许可证。

控制台显示扫描模板配置面板。所有属性字段都是空白的。

微调:你可以调高或调低什么?

配置模板以微调扫描性能需要反复试验,一开始可能会出现意想不到的结果。您可以通过了解您的网络拓扑结构、您的资产清单以及您的组织的计划和业务实践来防止其中的一些问题。永远记住三角形。例如,如果您知道正在进行备份操作,则不要大幅增加同步扫描任务。使用高峰可能会影响带宽。

在更改任何设置或从头开始自定义模板之前,先熟悉内置扫描模板及其工作原理。看到扫描模板

默认和定制的凭证检查

许多产品在安装时提供默认的登录用户id和密码。Oracle提供了超过160个默认用户id。Windows用户可能不会在他们的系统中禁用guest帐户。如果在创建扫描模板时没有禁用默认的帐户漏洞检查类型,应用程序可以对这些项进行检查。看到漏洞检查设置的配置步骤有关启用和禁用漏洞检查类型的信息。

应用程序使用以下协议对数据库、应用程序、操作系统和网络硬件进行检查:

  • CVS
  • 赛贝斯公司
  • AS / 400
  • DB2
  • SSH
  • 甲骨文
  • 远程登录
  • CIFS (Windows文件共享)
  • FTP
  • 流行
  • HTTP
  • SNMP
  • SQL /服务器
  • SMTP

若要指定用户id和登录密码,必须在站点配置期间输入适当的凭据配置扫描凭证。如果没有选择特定的资产来限制凭据尝试,那么应用程序将尝试在所有资产上使用这些凭据。如果没有选择特定的服务,那么它将尝试使用提供的凭据来访问所有服务。

开始一个新的自定义扫描模板

如果您正在从头开始创建一个新的扫描模板,请按照以下步骤开始:

  1. 政府页面,点击创建链接扫描模板。或者如果你在浏览扫描模板窗口,单击创建
  2. 扫描模板Configuration-General页,输入新模板的名称和描述。
  3. 根据需要配置任何其他模板设置。完成扫描模板配置后,单击保存

选择您要做的扫描类型

您可以将模板配置为包括所有可用的扫描类型,或者可以限制扫描的范围,以将资源集中于特定的安全需求。要选择要进行的扫描类型,请执行以下步骤。

  1. 扫描模板Configuration-General页面。
  2. 选择以下一个或多个选项:
  • 资产发现-每次扫描都会发现资产,所以总是选中这个选项。如果你只选择资产发现,该模板将不包括任何漏洞或策略检查。默认情况下,将选中所有其他选项,因此您需要清除其他选项复选框,以只选择资产发现。
  • 漏洞-如果您希望扫描包含漏洞检查,请选择此选项。要选择或排除特定的检查,请单击漏洞检查链接在配置面板的左侧导航窗格中。看到漏洞检查设置的配置步骤
  • 网络搜索-如果您希望扫描包含在Web爬行过程中执行的检查,请选择此选项。如果只希望执行Web爬行检查,则需要单击配置面板左侧导航窗格中的Vulnerability checks链接,并禁用非Web爬行检查。看到漏洞检查设置的配置步骤。要选择Web爬行,必须首先选择漏洞选项。
  • 政策-如果希望扫描包含策略检查(包括策略管理器),请选择此选项。您需要根据策略选择单独的检查并配置其他设置。看到选择策略管理器检查配置标准策略验证,执行配置评估
  1. 根据需要配置任何其他模板设置。完成扫描模板配置后,单击保存

同步扫描任务的性能调优

您可能希望通过调优同时发生的扫描进程或任务的数量来提高扫描性能。

对于端口过多的主机,增加同时扫描进程数可以减少扫描时间。在“沥青坑”或扫描环境中,目标有非常多的端口开放,例如60,000或更多,同时扫描多个主机可以帮助扫描更快地完成,而不会超时。

在另一个例子中,当您的扫描模板允许在单个资产上运行多个扫描进程时,协议指纹和某些漏洞检查的性能将得到提高,这意味着扫描可以更快地完成。

如果协议指纹超过一个小时,它将停止并在扫描日志中报告为超时。

你可以在你的扫描模板中设置这些设置:

  • 同时扫描多个主机
  • 在一个资产上运行多个扫描进程

要访问这些设置,请单击一般选项卡的扫描模板配置面板。设置显示在底部一般页面。要更改默认设置的值,请​​在相应的文本框中输入不同的值。

对于内置扫描模板,默认值取决于扫描模板。例如,在Discovery Scan - Aggressive模板中,每个Scan Engine同时扫描的主机数量默认为25。这个设置比大多数内置模板都要高,因为它是为高速网络设计的。

您可以通过配置针对每个主机的同时扫描进程的数量来优化扫描性能,以匹配环境中每个主机打开的平均端口数。

通过对每个主机设置同时扫描进程的数量,以匹配环境中任何主机上打开的端口的最高数量,您可以进一步优化扫描性能,但使用scan Engine资源的效率会更低。

资源方面的考虑

同时扫描大量资产可能会占用大量内存。如果你遇到短期记忆问题,你可以考虑降低它们。作为一般规则,在Scan Engine上保持同步主机扫描的设置为每4gb内存不超过10。

某些扫描操作,如策略扫描或Web爬行,每台主机占用更多内存。如果启用了并行扫描,可能需要减少并行扫描的主机数量作为补偿。