调查假阳性

暴露允许您直接从安全控制台调查易受攻击的结果,作为潜在的误报。如果您的调查显示结果可能是假阳性,您可以通过单击鼠标将结果报告给Rapid7支持团队。

当你准备好创建案例时客户门户网站,支持团队将已经有他们需要的信息来排除问题。

什么是假阳性?

“假阳性”是当暴露错误地确定目标资产容易受到特定漏洞检查时。假阳性可能会出现,因为检查逻辑中的错误或目标软件中的更改,而检查不是设计来处理的。

如果结果中出现假阳性,应立即向Rapid7报告。这使我们有机会修复漏洞检查,并确保您的评估结果尽可能准确。

假阳性调查是如何运作的

调查是对受影响资产的重新扫描,该资产仅限于所讨论的漏洞检查。此重新扫描使用没有Web Spider的全面审计内置扫描模板,增强日志记录功能。如果此重新扫描产生与之前相同的易受攻击结果,且满足所有先决条件,则可以将结果报告为潜在的假阳性结果。调查工具以XML格式向Rapid7发送假阳性报告包。

就像常规扫描一样,你可以立即进行调查或安排调查在稍后的时间自动运行。

假阳性调查是漏洞发现.这意味着您为一个漏洞结果提交的任何调查都包括该资产上该漏洞的所有检测实例(如果发现了多个实例)。

如何使用这个工具

假阳性调查工具的设计目的是帮助您识别您的扫描配置(包括凭证的存在和强度以及扫描模板的覆盖范围)如何产生不准确的结果,并建议更改以纠正它。在我们允许您向Rapid7支持团队报告潜在的假阳性以进行进一步调查之前,您必须进行此项尽职调查。

这个工具应该用于清除由于已知扫描错误配置而导致的不准确结果。当使用假阳性调查时,请记住以下目标:

  • 根据调查结果提供的配置建议采取行动,以确保您的扫描配置处于最佳位置,以便进行准确扫描。
  • 通过报告那些与资质不足或扫描模板覆盖面无关的调查,帮助Rapid7对真实假阳性候选人进行优先排序。

假阳性报告要求

要进行假阳性调查,必须满足以下要求。

用户角色权限

exposure有两个与假阳性调查相关的权限(也详细介绍了管理用户和认证页面):

  • 视图脆弱性调查
  • 管理脆弱性调查

您的用户角色必须具有管理脆弱性调查允许创建新的调查,向Rapid7提交符合条件的结果,并密切调查。

检查类型的先决条件

任何您希望报告为潜在假阳性的易受攻击的结果都必须满足基于其检查类型的一些先决条件:

  • 验证检查-通过身份验证的漏洞检查的准确性取决于Scan Engine是否能够使用您指定的凭据成功地对目标资产进行身份验证,以及它对识别资产的软件的确定程度。在您的调查结束后,如果扫描成功地申请了凭据,并且系统指纹返回a,您只能将一个易受攻击的结果作为潜在的假阳性报告进行身份验证检查确定的值1.0
    • 如果您的调查显示您没有满足这两个先决条件,您将需要检查您的凭证(或使用更强的凭证集)并再次运行调查。
  • 未经身份验证的(远程)检查-未经身份验证的检查是不使用身份验证的“从外到内”检查。因此,您可以将未经身份验证的检查的易受攻击的结果报告为仅基于积极调查结果的潜在假阳性结果。

开始进行调查

您可以从以下任何地点开始假阳性调查:

  • 任何资产详细页面上的漏洞表
  • 任何漏洞详细页面上的Instances表(通过资产详细页面访问时)
  • 在任何漏洞详细信息页上的影响表(通过漏洞选项卡在你的左边菜单)

您不能从节点详细信息页面开始调查

“节点”是网络上的一个设备,网站可以根据网站包含列表的配置扫描它。直到扫描数据完全集成到exposure中,节点才被认为是资产。尽管您可以通过任何站点完整的扫描历史来浏览节点检测到的漏洞,但您不能从它们开始调查。

在您找到您认为可能是假阳性的易受攻击的结果后,请完成以下步骤开始调查:

  1. 在列表中,单击调查在调查一栏。
  2. 弹出“漏洞调查”窗口。这个窗口详细描述了调查过程。
    • 如果你想让曝光稍后再进行调查,选中旁边的复选框你想晚点再调查吗?安排调查。
  3. 点击调查.窗口关闭并返回到上一个表视图。你脆弱的结果现在显示待办的的地位。状态变为在进行中启动调查的重新扫描部分时。在调查进行期间,您可以像往常一样继续使用exposure。
    • 您可以单击您的调查的状态链接,以查看您以前进行过的任何其他调查的列表。

曝光说我的调查失败了现在该做什么?

运行调查意味着暴露必须重新扫描受影响的资产。如果调查开始时您的资产在您的网络上不可达,或者如果暴露在扫描过程中与您的资产失去连接,则调查将失败。如果出现这种情况,请在再次尝试之前检查资产的连通性。

回顾调查结果

在您的调查成功完成后,它的状态变为审查.点击这个审查链接查看结果。

失去了调查的线索?

您可以通过导航来访问调查历史表政府选项卡>异常和覆盖>评审

在点击审查,将显示“调查结果”窗口。根据所运行的漏洞检查类型,在此窗口中公开调查步骤的详细信息。的许多步骤将根据漏洞检查是否需要身份验证而变化:

  • 如果调查符合所有要求的标准,并产生与之前相同的易受攻击的结果,则结果是合格的报告为潜在的假阳性。
    • 点击发送结果将包含XML报告和高级扫描日志的包发送到Rapid7。这一行动将使您的调查状态变为提交
  • 如果调查没有返回易受攻击的结果,或如果调查未能满足的标准其他步骤,结果没有资格报告为潜在的假阳性。
    • 如果调查结果不符合报告的资格,因为凭证失败或低系统指纹确定性,检查您配置的凭据可以给曝光所需的访问权限,在再次尝试之前进行精确扫描。
    • 如果调查最终确定资产不容易受到攻击,这可能是由于原始扫描模板的配置问题。针对特定扫描场景调优的自定义扫描模板通常缺乏精确扫描特定漏洞所需的全面覆盖。的没有Web Spider的全面审计调查使用的模板是几乎所有暴露扫描场景的标准扫描模板。如果您发现自定义扫描模板产生了假阳性结果,而随后的调查又解决了这个问题,请考虑修改自定义扫描模板,或者用覆盖面更强的东西替换它。

提醒-这个调查工具有一个特定的目的

使用假阳性调查来清除你所知道的不准确的结果是由不充分的扫描模板造成的此工具的设计意图.这里的目标是确定哪些配置条件可能导致不准确的扫描结果,并进行更改以纠正它们。如果调查显示一个被质疑的漏洞结果确实与配置无关,那么应该将这些结果报告给Rapid7进行额外的测试。

你不提交的调查结果留在Rapid7审查状态,直到你决定提交他们,重新调查他们,或关闭他们在你的自由裁量权。暴露在漏洞调查表中保存所有关闭的调查记录。

使用RAPID7支持创建一个案例

如果你把调查结果发给Rapid7,揭露会告诉你在客户门户网站以便我们的支持团队可以启动故障排除流程。在创建案例时,确保显示您已经直接从曝光发送了假阳性报告包。

Rapid7支持是在工作!

感谢您使用本假阳性调查报告工具!您的努力帮助我们确保所有exposure客户的评估结果尽可能准确。