在目标系统上配置文件搜索

如果暴露通过执行利用或凭据扫描获得对资产文件系统的访问权,它可以在该系统中搜索文件的名称。

文件名搜索对于查找无法通过指纹识别检测到的软件程序非常有用。在不允许在工作站驱动器上存储某些类型的文件的公司环境中,这也是验证是否符合政策的好方法:

  • 受版权保护的内容
  • 机密信息,如符合HIPAA的患者档案数据
  • 未经授权的软件

Security Console可以读取这些文件的元数据,但它不会读取或检索文件内容。您可以在扫描结果页面的“文件和目录列表”中查看扫描文件名。

请注意

文件搜索操作可能需要相当长的时间才能完成。因此,我们不建议在例行网络扫描时进行文件搜索。相反,文件搜索最好通过临时扫描或手动扫描来实现。

如何配置文件搜索

您可以在新的或现有的自定义扫描模板上配置文件搜索功能。

在扫描模板上配置文件搜索:

  1. 在安全控制台中,打开左侧菜单并单击政府选项卡。
  2. 在“全局和控制台设置”部分,单击管理在“模板”标签旁边。
  3. 浏览到要配置的模板。
  • 如果要配置的自定义扫描模板已经存在,请浏览到该模板并单击编辑图标。
  • 如果要从内置版本创建新的自定义模板,请单击所需模板旁边的复制图标。
  1. 在“扫描模板配置”界面,单击文件搜索选项卡。
  2. 点击添加文件搜索。将显示“文件搜索编辑器”窗口。
  3. 命名您的文件搜索配置。这个名称将标识“文件搜索清单”表中的配置。
  4. 选择模式类型。有以下选项:
  • DOS通配符模式
  • GNU正则表达式

这些模式有何不同?

这两种模式类型之间最重要的区别是它们如何计算字符通配符。

DOS模式支持两个通配符,作为允许字符的替代符。这些通配符如下:

  • -匹配任何允许的字符组合
  • -匹配任何允许的单个字符

与DOS变体不同,GNU正则表达式模式只支持一个字符通配符,但它还包括几个操作符,这些操作符可以更改通配符的匹配方式。该字符通配符如下:

  • -匹配任意单个字符

您可以修改该字符的行为方式,将以下操作符附加到通配符(或您想要匹配的任何其他文字):

  • -匹配零或多个前一个字符。例如,。*将匹配零个或多个任何允许的字符。
  • +-匹配前面的一个或多个字符。而这与。*的例子,。+只有在出现至少一个字符时才匹配。
  • -如果前一个字符存在,则只匹配一次。这使得前面的字符在功能上是可选的。例如,。?将匹配任何字符一次,但如果表达式没有出现,则不会中断表达式。
  1. 在提供的字段中输入搜索字符串。确保您遵守所选模式类型的语法要求。
  2. 点击保存当完成。

您的文件搜索配置现在应该显示在“文件搜索列表”表中。点击保存在“扫描模板配置”屏幕的右上角应用您的配置,以便在下次扫描时使用。