创建和管理动态发现连接

此操作为exposure提供了与管理资产环境的服务器或进程联系所需的信息。

必须具有全局管理员权限才能创建或管理动态发现连接。看管理用户和认证

创建一个连接

  1. 单击政府选项卡。
  2. 政府页面,在发现选项, 点击创建链接连接.安全控制台显示一般页面的资产发现连接控制板。
  3. 新发现的连接页,选择连接类型:
  • 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
  • Exchange ActiveSync(WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
  • Exchange ActiveSync (WinRM/Office 365)用于由运行Microsoft Office 365的基于云的Exchange Server管理的移动设备。
  • vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
  • AWS是由Amazon Web服务管理的环境。
  • DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。
  • McAfee安全ePolicy协调器用于英特尔安全ePolicy Orchestrator (ePO)管理的资产。
  • Active Directory(LDAP)用于AD服务器管理的设备。
  • 英特尔安全数据交换层用于识别ePO管理的系统中存在的文件上的恶意事件,并用于通信暴露评估数据,以便在英特尔安全产品中使用。

添加移动设备连接

  1. 控件上为新连接输入唯一名称新发现的连接页面。
  2. 输入安全控制台将连接的Active Directory(AD)服务器的名称。
  3. 从下拉列表中选择一个协议。LDAPS在SSL上的LDAP,是更安全的选项,如果在广告服务器上启用它,建议使用。
  4. 为成员输入用户名和密码组织管理安全Microsoft Exchange中的组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。
  5. 点击节省
  6. 继续初始化动态发现

添加Amazon Web Services Asset Sync Connection

请注意

亚马逊Web服务资产同步连接要求静态网站。

  1. 为新连接输入唯一名称。
  2. 从下拉列表中,选择部署AWS实例的地理区域。如果需要,单个连接可以指定多个区域。
  1. 如果安全控制台部署在AWS网络内部,请选择适当的复选框。如果您指示Security Console在AWS网络内部,则凭据链接将从左侧导航窗格中消失。您不需要配置凭据,因为AWS API识别安装了安全控制台的AWS实例的IAM角色。
  2. 如果您将用于扫描AWS环境的扫描引擎部署在AWS网络内部,请选择适当的复选框。这将使应用程序能够扫描私有IP地址。
  3. 输入访问密钥ID和秘密访问密钥,应用程序将使用它们登录到AWS API。
  4. 如果您使用AWS假设角色进行跨帐户访问,请输入一个每行角色ARN,并为假设的角色会话提供一个可选的Session Name。会话名是由大小写字母数字字符组成的字符串,不包含空格。您还可以包含下划线或以下任何字符:=、.@-

提示

当存在多个ARN时,应用程序将遍历每个ARN,并尝试从指定的区域导入资产。

  1. 如果需要,请点击测试证书确认连接成功。
  2. 选择Synchronize Amazon Web Services Asset同步资产进口AWS资产并删除陈旧资产。
  3. 选择要关联资产的站点。要排除特定的资产被导入,请在不导入带有以下标记的资产:盒子。格式为key:value + key:value +…如果此框为空,则导入所有资产。
  4. 选择进口标签以导入所有Amazon Web Services标记。要包含特定的标记,请将这些标记输入只导入以下标签:盒子。格式为键:值+键:值+ ...如果此框为空,则会导入所有标记。AWS标签在相应资产上导入为自定义标签,并且可以通过前缀轻松识别亚马逊网络服务

创建默认的标签

默认情况下,无论状态如何进口标签复选框,亚马逊Web服务资产同步连接时会根据导入的实例的VPC ID创建一个安全控制台标签。

  1. 点击节省

添加VMware vSphere连接

请注意

VMware vSphere Connections需要一个动态网站。

  1. 控件上为新连接输入唯一名称新发现的连接页面。
  2. 为Security Console将联系的服务器输入一个完全限定的域名,以便发现资产。
  3. 输入端口号并选择连接的协议。
  4. 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
  5. 点击节省
  6. 继续初始化动态发现

添加DHCP-Directory监控连接

请注意

DHCP连接需要动态网站。

  1. 控件上为新连接输入唯一名称新发现的连接页面。
  2. 选择事件源。
  3. 选择目录中作为收集方法。
  4. 输入包含要监视DHCP服务器日志的文件夹的网络路径。使用格式/ /服务器/路径/ /文件夹.服务器可以是主机名或IP地址。
  5. 选择将收集DHCP服务器日志信息的扫描引擎。
  6. 2 .输入访问DHCP服务器的管理员用户名和密码。
  7. 点击节省
  8. 继续初始化动态发现

提示:如果您创建了一个连接,然后将其更改为引用另一个DHCP服务器,那么您的资产发现结果将会改变。因此,如果在公开中将资产与特定的DHCP服务器关联起来对您很重要,请考虑将连接的名称与DHCP服务器关联起来,并在更改所引用的服务器时更改该名称。另外,注意您不能创建重复的DHCP连接。

添加DHCP-Syslog连接

请注意

DHCP连接需要动态网站。

提示

Syslog是Infoblox Trinzic事件源唯一可用的数据收集方法。

  1. 控件上为新连接输入唯一名称新发现的连接页面。
  2. 选择事件源类型。
  3. 选择syslog.集合的方法。
  4. 选择syslog解析器监听与资产信息相关的日志条目的端口号。
  5. 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
  6. 选择将收集DHCP服务器日志信息的扫描引擎。
  7. 点击节省
  8. 继续初始化动态发现

添加McAfee ePolicy Orchestrator连接

  1. 为新连接输入唯一名称。
  2. 输入用户连接到McAfee ePolicy Orchestrator(EPO)的用户名和密码。对于安全最佳实践,这应该是一个专门用于与Nexpose Integration一起使用的服务用户。Nexpose EPO扩展自动创建名为NexPoseServiceUser的用户。
  3. 输入ePO所在服务器的IP地址或主机名。
  4. 输入ePO运行的端口。
  5. 如果ePO服务器使用自签名证书,请选择不受信任的证书允许.否则,保持清晰。
  6. 选择使用McAfee ePolicy Orchestrator资产.为了让exposure收集有关资产的信息,这个设置对于初始配置是必要的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
  7. 选择要将资产关联到的站点。
  8. 填充Rapid7曝光洞察:十大风险最高的系统在ePO仪表盘与数据,选择推动风险评分.当暴露扫描发现ePO管理资产的风险评分变化时,数据将自动更新。
  9. 如果需要,请点击测试证书确认用户名和密码按预期连接。
  10. 点击节省
  11. 导航回站点。资产将在站点内填充。现在可以创建动态资产组并扫描资产。

添加Active Directory连接

  1. 为新连接输入唯一名称。
  2. 输入安全控制台将连接到的Active Directory (AD)服务器的服务器IP或主机名。
  3. 从下拉列表中选择一个协议。LDAPS在SSL上的LDAP,是更安全的选项,如果在广告服务器上启用它,建议使用。
  4. 输入用户名和密码,并单击测试证书确认凭证按预期连接。
  5. 如果需要,请使用基本查询字段指定要导入的域组件(DC)树的一部分,以及使用LDAP查询的搜索查询字段以进一步限定您要发现的计算机,请执行以下操作:https://technet.microsoft.com/en-us/library/aa996205 (v = exchg.65) . aspx
  6. 选择使用Active Directory (LDAP)资产.为了让exposure收集有关资产的信息,这个设置对于初始配置是必要的。如果您不想继续不断地收集关于资产的信息(例如,如果您相信信息很少会更改),那么您可以在以后回到配置并清除此设置。
  7. 选择要将资产关联到的站点。
  8. 如果需要,请单击此处预览按钮,以查看您的查询的前50个结果,以确保您的查询按照预期工作。
  9. 点击节省
  10. 导航回站点。资产将在站点内填充。根据活动目录响应查询所需的时间,完全填充站点所需的时间会有所不同。现在可以创建动态资产组并扫描资产。

添加McAfee数据交换层连接

  1. 为新连接输入唯一名称。
  2. 为连接到McAfee ePolicy Orchestrator (ePO)的用户输入用户名和密码,ePO生成允许与McAfee数据交换层(DXL)通信的证书。对于安全性最佳实践,这应该是专门为使用公开集成而创建的服务用户。该用户应该在一个ePO权限集中,并分配DXL McAfee MePO证书创建权限。您的IP地址和主机名将与您的ePO连接相同,但用户名和密码应该不同
  3. 输入安装McAfee数据交换层ePO的服务器的IP地址或主机名。
  4. 输入ePO运行的端口。
  5. 选择查找漏洞的详细信息收集已收集的漏洞详细信息。该设置在默认情况下是选中的,不能修改。该设置是强制性的,因为它允许客户端获取exposed发布的特定漏洞的额外详细信息。
  6. 选择发布漏洞将exposed发现的漏洞信息发布回McAfee数据交换层。
  7. 如果需要,请点击测试证书确认用户名和密码与ePO正常连接。
  8. 点击节省

一旦保存了安全McAfee数据交换层(DXL)连接,其他更改将不会应用,直到重新启动暴露安全控制台。您可以编辑、测试和保存凭据配置,但只有在重新启动exposure Security Console时,才会应用这些更改。这也适用于删除连接;尽管已删除的连接将不再出现在暴露安全控制台界面中,但在暴露安全控制台重新启动之前,您将无法使用相同的凭据配置创建新的DXL连接。

添加一个Microsoft Azure连接

  1. 为新连接输入唯一名称。
  2. 输入与Azure实例关联的租户ID。
  3. 输入与在Azure AD实例中创建的Rapid7应用程序关联的应用程序ID。
  4. 输入为在Azure AD实例中创建的Rapid7应用程序生成的应用程序密钥。
  5. 如果需要,请点击测试证书确认连接成功。
  6. 如果用于扫描Azure环境的扫描引擎部署在Azure网络中,请选择适当的复选框。这将使应用程序能够扫描私有IP地址。
  1. 选择同步微软Azure资产导入Azure资产并删除陈旧资产。
  2. 选择要将资产关联到的站点。
  3. 要从导入中排除特定资产,请在“不使用以下标记导入资产中的标记”中,进入“不导入资产:”框。格式是键:value +键:值+ ...如果此框为空,则导入所有资产。
  4. 选择进口标签导入所有Azure标签。
  5. 要包含特定的标签,请在“只导入以下标签”框中输入这些标签。格式是键:value +键:值+ ...如果此框为空,则导入所有标签。
  6. 点击节省

查看可用的连接

  1. 单击政府选项卡在左侧导航菜单上。
  2. 在“发现选项”部分,单击管理旁边的“连接”。

“发现连接”页面显示现有的连接。

编辑现有的连接

请注意

为编辑而打开的连接不会显示或记住敏感字段,如密码或密钥。如果试图编辑连接,则必须重新输入这些值。

  1. 在先前描述的“发现连接”页面上,单击任何发现连接的名称链接以打开它。
  2. 根据需要修改字段。
  3. 点击节省当完成。

删除连接

警告

安全控制台可以请您确认删除连接。确保在继续之前完全打算删除连接。

  1. 在“发现连接”页面,浏览到您想要删除的连接。
  2. 点击“删除”列下的垃圾图标删除连接。

不能删除具有动态站点或与之关联的正在进行扫描的连接。此外,更改连接设置可能会影响动态站点的资产成员资格。看使用动态发现连接配置站点.您可以通过进入的任何连接确定哪些动态站点发现管理页面。看监测动态发现

如果使用其他帐户更改连接,则可能会影响您的发现结果,具体取决于新帐户可以访问的虚拟机。例如:您首先创建与只能访问所有广告部门的虚拟机的帐户的连接。然后,您启动发现并创建一个动态站点。稍后,您将使用凭据更新连接配置,以获取只能访问人力资源部门的虚拟机的帐户。您的动态站点和发现结果仍将包括广告部门的虚拟机;但是,有关这些计算机的信息将不再动态更新。信息仅适用于连接帐户具有访问权限的计算机。

在站点配置中创建连接

请注意

只有下面列出的连接可以在站点配置中创建。

如果您想在配置新站点时创建连接,请单击创建网站按钮首页页面。或单击创建页面顶部的选项卡然后选择网站从下拉列表中。

如果要为现有站点创建连接,请单击该站点的编辑图标网站表上的首页页面。

  1. 单击资产链接在站点配置中。
  2. 选择连接作为指定资产的选项。
  3. 点击创建连接
  4. 选择连接类型:
  • 交换ActiveSync (LDAP)用于AD服务器管理的移动设备。
  • Exchange ActiveSync(WinRM / PowerShell)用于由使用PowerShell访问的内部Exchange服务器管理的移动设备。
  • Exchange ActiveSync (WinRM/Office 365)用于由运行Microsoft Office 365的基于云的Exchange Server管理的移动设备。
  • vmware vSphere用于VMware vCenter或ESX/ESXi管理的环境。
  • DHCP服务用于扫描引擎通过从DHCP服务器收集日志数据发现的资产。

添加LDAP (Exchange ActiveSync)连接

请注意

ActiveSync连接需要动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 输入安全控制台将连接的Active Directory(AD)服务器的名称。
  3. 从下拉列表中选择一个协议。LDAPS在SSL上的LDAP,是更安全的选项,如果在广告服务器上启用它,建议使用。
  4. 为成员输入用户名和密码组织管理Microsoft Exchange中的安全组。此帐户将使安全控制台能够发现连接到AD服务器的移动设备。注意:在此设置中保存凭据后,在重新启动exposure之前,更改不会生效。
  5. 点击节省.连接出现在连接下拉列表,单击即可查看选择连接
  6. 继续初始化动态发现

增加Exchange ActiveSync (WinRM/PowerS/hell或WinRM/Office 365)连接

请注意

ActiveSync连接需要动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 输入安全控制台将连接到的WinRM网关服务器的名称。
  3. 在网关服务器上输入具有WinRM权限的帐户的用户名和密码。
  4. 输入管理移动设备信息的Exchange服务器的完全限定域名。
  5. 请输入管理员或具有“组织管理只读”及以上角色的用户的用户名和密码组织管理Microsoft Exchange中的安全组。
  6. 点击节省.连接出现在连接下拉列表,单击即可查看选择连接
  7. 继续初始化动态发现

添加VMware vSphere连接(站点配置)

请注意

VMware vSphere Connections需要一个动态网站。

  1. 控件上为新连接输入唯一名称新连接选项卡。
  2. 为Security Console将联系的服务器输入一个完全限定的域名,以便发现资产。
  3. 输入端口号并选择连接的协议。
  4. 输入安全控制台将登录到服务器的用户名和密码。确保该帐户可以访问您想要发现的任何虚拟机。
  5. 点击节省.连接出现在连接下拉列表,单击即可查看选择连接
  6. 继续初始化动态发现

添加DHCP-Directory监控连接(站点配置)

请注意

DHCP连接需要动态网站。

  1. 为新连接输入唯一名称。
  2. 选择事件源类型。
  3. 选择目录中集合的方法。
  4. 设置待查询的DHCP服务器日志文件夹的网络路径。使用格式/ /服务器/路径/ /文件夹.服务器可以是主机名或IP地址。
  5. 选择将收集DHCP服务器日志信息的扫描引擎。
  6. 2 .输入访问DHCP服务器的管理员用户名和密码。
  7. 点击节省.连接出现在连接下拉列表,单击即可查看选择连接
  8. 继续初始化动态发现

添加DHCP-Syslog连接(站点配置)

请注意

DHCP连接需要动态网站。

提示

Syslog是Infoblox Trinzic事件源唯一可用的收集方法。

  1. 为新连接输入唯一名称。
  2. 选择事件源类型。
  3. 选择syslog.集合的方法。
  4. 为syslog解析器监听与资产信息相关的日志条目的端口输入编号。
  5. 为syslog解析器监听与资产信息相关的日志条目的端口选择协议。
  6. 选择将收集DHCP服务器日志信息的扫描引擎。
  7. 点击节省.连接出现在连接下拉列表,单击即可查看选择连接
  8. 继续初始化动态发现