执行过滤的资产搜索
在处理大量资产的网络时,您可能会发现专注于特定的子集是必要的或有帮助的。通过过滤资产搜索功能,您可以根据IP地址、站点、操作系统、软件、服务、漏洞和资产名称等条件搜索资产。然后,您可以将结果保存为动态资产组,以用于跟踪、扫描和报告目的。
使用搜索过滤器,您可以找到您直接感兴趣的资产。这有助于您集中您的补救努力,并管理在大型网络上运行的大量资产。
开始过滤资产搜索:
单击资产过滤器图标
的下方和右侧搜索框。或单击创建选项卡,然后选择动态资产组从下拉列表中。的过滤后的资产搜索页面出现。或单击政府图标进入政府页,然后单击动态旁边的链接资产组.或
执行过滤的资产搜索是创建动态资产组的第一步
点击新的动态资产组如果你在资产组页面。
配置资产搜索过滤器
搜索过滤器允许您选择感兴趣的资产的属性。您可以添加多个过滤器以实现更精确的搜索。例如,您可以为给定的IP地址范围、特定的操作系统和特定的站点创建过滤器,然后组合这些过滤器以返回同时满足所有指定条件的所有资产的列表。使用更少的过滤器通常会增加搜索结果的数量。
您可以组合过滤器,以便搜索结果集只包含满足所有过滤器中的所有条件的资产(导致更小的结果集)。或者您可以组合过滤器,以便搜索结果集包含满足任何给定过滤器中的所有条件的任何资产(导致更大的结果集)。看到结合过滤器.
以下资产搜索过滤器可用:
来选择过滤器过滤后的资产搜索小组采取以下步骤:
- 使用第一个下拉列表。当您选择过滤器时,配置选项运营商,以便该过滤器动态变得可用。
- 选择适当的操作符。注意:有些操作符允许文本搜索。您可以在任何文本搜索中使用*通配符。
- 使用+按钮以添加过滤器。
- 使用-按钮以删除过滤器。
- 点击重置移除所有过滤器。
按资产名称过滤
资产名称过滤器允许您根据资产名称搜索资产。过滤器将搜索字符串应用于资产名称,以便搜索返回满足指定条件的资产。它与以下操作符一起工作:
- 是返回名称与搜索字符串完全匹配的所有资产。
- 不是返回名称与搜索字符串不匹配的所有资产。
- 开始于返回名称以与搜索字符串相同字符开头的所有资源。
- 结尾返回名称以与搜索字符串相同字符结尾的所有资源。
- 包含返回名称中任何地方包含搜索字符串的所有资产。
- 不包含返回名称不包含搜索字符串的所有资产。
- 不喜欢返回名称与指定资产名称不同的所有资产。
选择操作符后,在空白字段中键入资产名称的搜索字符串。
可以使用regex(正则表达式)进行搜索,以根据使用选项输入的特定正则表达式匹配或过滤资产就像或不是从下拉列表中。有关使用正则表达式的更多信息,请参见使用正则表达式.
容器图像滤波
容器图像过滤器允许您根据容器图像名称搜索资源。过滤器将搜索字符串应用于容器图像名称,以便搜索返回满足指定条件的资产。它与以下操作符一起工作:
- 是返回图像名称与搜索字符串完全匹配的所有资源。
- 不是返回图像名称与搜索字符串不匹配的所有资源。
- 开始于返回图像名称以与搜索字符串相同字符开头的所有资源。
- 结尾返回图像名称中包含搜索字符串的所有资源。
- 包含返回图像名称中包含搜索字符串的所有资源。
- 不包含返回图像名称不包含搜索字符串的所有资源。
选择操作符后,在空白字段中输入容器图像名称的搜索字符串。
请注意
可以考虑运行Docker服务的资产容器的主机.这可以包括没有图像或容器的资产。
可以使用regex(正则表达式)进行搜索,以根据使用选项输入的特定正则表达式匹配或过滤资产就像或不喜欢从下拉列表中。有关使用正则表达式的更多信息,请参见使用正则表达式.
按容器状态过滤
容器状态过滤器允许您根据容器的当前状态搜索资产。查询容器的状态包括:
- 创建
- 运行
- 停顿了一下
- 重新启动
- 退出
- 死
可以使用两种操作符来检查这些状态:
- 是将返回所有与指定状态匹配的容器的资源。
- 不是将返回所有与指定状态不匹配的容器的资源。
过滤的容器
容器过滤器允许您根据资产是否承载容器来搜索它们。的是操作符可在以下条件下使用:
- 现在将返回所有承载容器的资产。
- 不存在将返回所有非托管容器的资产。
请注意
容器处于死状态的资产是仍然认为容器主机,并因此返回现在条件。
按CVE ID过滤
的CVE ID过滤器允许您根据CVE ID搜索资产。CVE标识符(id)是已知信息安全漏洞的唯一通用标识符。有关更多信息,请参见https://cve.mitre.org/cve/identifiers/index.html.过滤器将搜索字符串应用于CVE id,以便搜索返回满足指定条件的资产。它与以下操作符一起工作:
- 是返回CVE id与搜索字符串完全匹配的所有资产。
- 不是返回所有CVE id不匹配搜索字符串的资产。
- 包含返回其CVE id在名称中任何位置包含搜索字符串的所有资产。
- 不包含返回CVE id不包含搜索字符串的所有资产。
选择操作符后,在空白字段中键入CVE ID的搜索字符串。
按主机类型过滤
的主机类型Filter允许您根据主机系统的类型搜索资产,其中资产可以是下列任何一种或多种类型:
- 裸露的金属是物理硬件。
- 虚拟机监控程序是一个或多个虚拟机的主机。
- 虚拟机是另一台计算机的全软件guest。
- 未知的是不确定类型的宿主。
您可以使用此筛选器跟踪和报告特定于主机类型的安全问题。例如,一个系统管理程序可能被认为是特别敏感的,因为如果它遭到破坏,那么该系统管理程序的任何客户也将面临风险。
筛选器将搜索字符串应用于主机类型,以便搜索返回与所选主机类型匹配或不匹配的资产列表。
它与以下操作符一起工作:
- 是返回与相邻下拉列表中选择的主机类型匹配的所有资产。
- 不是返回与相邻下拉列表中选择的主机类型不匹配的所有资产。
您可以在条件中组合多个主机类型,以搜索满足多个条件的资产。例如,您可以为“is Hypervisor”和“is virtual machine”创建一个过滤器,以查找所有软件管理程序。
按IP地址类型过滤
如果您的环境包括IPv4和IPv6地址,您可以找到任何一种地址格式的资产。这允许您跟踪和报告网络中这些不同部分的特定安全问题。的IP地址类型Filter使用以下操作符:
- 是返回所有具有指定地址格式的资源。
- 不是返回不具有指定地址格式的所有资源。
选择过滤器和所需的操作符后,选择所需的格式:IPv4或IPv6.
IP地址过滤
与IP地址通过过滤器,可以发现指定范围内匹配或没有指定IP地址的资产,或有IP地址的资产,或没有IP地址的资产。该过滤器使用以下操作符:
- 是返回指定IP地址的资产。
- 不是返回所有没有指定IP地址的资产。
- 在…的范围内返回IP地址范围内的所有资产。
- 不在?的范围内返回IP地址不在IP地址范围内的所有资产。
- 就像返回所有IP地址与指定IP地址匹配的资产。
- 不喜欢返回所有与指定IP地址不匹配的资产。
当您选择is在筛选器的范围内或不在筛选器的范围内时,您将看到两个由单词to分隔的空白字段。使用左字段输入IP地址范围的开始,使用右字段输入IP地址范围的结束。
IPv4地址的格式是“点分四边形”。例子:
1
192.168.2.1, 192.168.2.254
您可以在查询中组合多个搜索类型,以专注于非常特定的资产。例如,可以搜索范围为192.168.2.1 ~ 192.168.2.254的IP地址,但不包括192.168.2.7和192.168.2.199。
按上次扫描日期过滤
最后扫描日期过滤器让您搜索资产的基础上,他们最后扫描。例如,您可能希望运行关于最近扫描的资产的报告。或者,您可能想要找到长时间没有被扫描的资产,然后从数据库中删除它们,因为它们不再被认为是重要的跟踪目的。过滤器使用以下操作符:
- 或之前返回在特定日期或之前最后扫描的所有资产。选择此操作符后,单击日历图标选择日期。
- 或之后的返回在特定日期或之后最后扫描的所有资产。选择此操作符后,单击日历图标选择日期。
- 之间,包括返回两个日期之间(包括两个日期)最后扫描的所有资产。选择此操作符后,单击左侧字段旁边的日历图标,选择范围内的第一个日期。然后单击右边字段旁边的日历图标,选择范围内的最后一个日期。
- 早于返回在启动搜索日期之前的指定日期之前最后一次扫描的所有资产。选择此操作符后,在days ago字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如,您在1月23日下午3点发起搜索。您选择这个操作符并在days ago字段中输入3。搜索返回1月20日午夜之前最后扫描的所有资产。
- 在过去返回在前几天内最后一次扫描的所有资产。选择此操作员后,在天数字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如:您在1月23日下午3点启动搜索。选择此操作符并在天数字段中输入1。搜索将返回自1月22日午夜以来最后一次扫描的所有资产。
在使用这个过滤器时,请记住以下几点:
- 搜索只返回去年扫描日期。如果资产在过滤器中指定的时间范围内被扫描,并且该扫描不是最近的扫描,那么它将不会出现在搜索结果中。
- 动态资产组成员关系可以在新的扫描运行时更改。
- 动态资产组成员关系每天午夜重新计算。如果您基于使用相对日操作符的搜索创建一个动态资产组(早于或在过去),资产成员资格将相应更改。
- 该过滤器返回所有类型扫描的结果,例如发现、漏洞或策略扫描。如果你对漏洞扫描特别感兴趣,你应该看看根据评估的漏洞进行过滤.
通过移动设备上次同步时间进行过滤
此过滤器仅适用于WinRM/PowerShell和WinRM/Office 365动态发现连接。
与最后同步时间过滤器,您可以根据移动设备与Exchange服务器同步的最近时间跟踪它们。如果您不希望报告中包含来自网络上不再使用的旧设备的数据,则此筛选器非常有用。它与以下操作符一起工作。
- 早些时候比返回在文本框中输入的前几天同步的所有移动设备。
- 在最后一个返回在文本框中输入的前几天内同步的所有移动设备。
按开放端口号进行过滤
打开某些端口可能会违反配置策略。的开放的端口号Filter允许您搜索指定端口打开的资产。通过使用开放端口隔离资产,您可以关闭这些端口,然后重新扫描它们以验证它们已关闭。选择一个操作员,然后输入您的端口或端口范围。根据您的标准,搜索结果将返回具有开放端口的资产,没有开放端口的资产,以及具有一系列开放端口的资产。
过滤器使用以下操作符:
- 是返回所有打开端口的资产。
- 不是返回所有没有打开该端口的资产。
- 在…的范围内返回指定港口范围内的所有资产。
通过操作系统名称进行过滤
的操作系统名称Filter允许您基于其承载的操作系统搜索资产。根据搜索,您可以从操作系统列表中选择,或者输入搜索字符串。过滤器返回满足指定条件的资产列表。
它与以下操作符一起工作:
- 包含返回操作系统上运行的名称包含搜索字符串中指定字符的所有资源。您可以在相邻的字段中输入搜索字符串。可以使用星号(*)作为通配符。
- 不包含返回运行在操作系统上且名称不包含搜索字符串中指定的字符的所有资源。您可以在相邻的字段中输入搜索字符串。可以使用星号(*)作为通配符。
- 是空的返回扫描结果中没有识别操作系统的所有资产。如果在Web界面或报告中没有为扫描的资产列出操作系统,这意味着可能没有对资产进行指纹识别。如果对该资产进行了凭据扫描,则指纹失败表示该资产没有通过凭据身份验证。因此,此操作符对于查找凭据失败或无凭据扫描的资产非常有用。
- 不是空的返回所有在扫描结果中识别出操作系统的资产。此操作符用于查找使用经过身份验证的凭据和指纹扫描的资产。
按其他IP地址类型过滤
此过滤器允许您查找除您知道的地址外还有其他IPv4或IPv6地址的资产。当应用程序扫描站点配置中包含的IP地址时,它会发现该资产的任何其他地址。这可能包括未被扫描的地址。例如:给定的资产可能有一个IPv4地址和一个IPv6地址。当为您的站点配置扫描目标时,您可能只知道IPv4地址,因此您只在站点配置中包含要扫描的地址。当您运行扫描时,应用程序发现IPv6地址。通过使用这个资产搜索过滤器,您可以搜索此场景应用的所有资产。您可以将发现的地址添加到站点,以便将来扫描,以增加您的安全覆盖率。
选择筛选器和操作符后,选择其中之一IPv4或IPv6从下拉列表中。
过滤器使用一个操作符:
- 是返回所有其他IP地址为IPv4或IPv6的资产。
通过PCI合规状态进行过滤
的一种总线标准状态filter允许您在使用PCI审计模板扫描资产时根据它们返回的是通过还是失败结果来搜索资产。找到法规遵从性扫描失败的资产可以帮助您在正式PCI审计之前快速确定哪些资产需要补救。
它有两个操作符:
- 是返回所有具有通过或失败的地位。
- 不是返回所有资产,没有一个通过或失败的地位。
选择操作员后,选择通过或失败下拉列表中的选项。
按服务名称过滤
的服务名称Filter允许您基于在资产上运行的服务搜索资产。过滤器将搜索字符串应用于服务名称,以便搜索返回具有或不具有指定服务的资产列表。
它与以下操作符一起工作:
- 包含返回所有运行名称包含搜索字符串的服务的资源。可以使用星号(*)作为通配符。
- 不包含返回不运行名称包含搜索字符串的服务的所有资产。可以使用星号(*)作为通配符。
选择操作符后,在空白字段中键入服务名称的搜索字符串。
按网站名称过滤
的网站的名字Filter允许您根据资产所属的站点名称搜索资产。
如果您希望控制用户对用户没有访问权限的站点中新发现的资产的访问,那么这是一个重要的筛选器。请参阅使用动态资产组.
过滤器将搜索字符串应用于站点名称,以便搜索返回属于或不属于指定站点的资产列表。
它与以下操作符一起工作:
- 是返回所有属于所选站点的资产。您可以从相邻的列表中选择一个或多个站点。
- 不是返回不属于所选站点的所有资产。您可以从相邻的列表中选择一个或多个站点。
按软件名称过滤
_software name过滤器允许您根据资产上安装的软件搜索资产。过滤器将搜索字符串应用于软件名称,以便搜索返回运行或不运行指定软件的资产列表。
它与以下操作符一起工作:
- 包含返回已安装软件的所有资产,以便软件的名称包含搜索字符串。可以使用星号(*)作为通配符。
- 不包含返回所有未安装软件的资产,以便软件名称不包含搜索字符串。可以使用星号(*)作为通配符。
选择操作符后,在空白处输入软件名称的查询字符串。
通过验证漏洞的存在进行过滤
的验证漏洞过滤器允许您搜索具有通过Metasploit集成的利用验证过的漏洞的资产。通过使用此过滤器,您可以将资产与已被证明具有高度确定性的漏洞隔离开来。有关更多信息,请参见使用已验证的漏洞.
过滤器使用一个操作符:
- 的是运算符,结合现在下拉列表选项,返回所有具有经过验证的漏洞的资产。
- 的是运算符,结合不存在下拉列表选项,返回所有没有经过验证的漏洞的资产。
根据用户添加的临界级别进行过滤
的用户添加临界水平Filter允许您根据您和您的用户应用到资产上的关键标签搜索资产。例如,用户可以将属于公司高管的所有资产设置为在他们的组织中具有“非常高”的临界性。使用此过滤器,您可以使用该临界集标识资产,而不管它们的站点或其他关联。您可以搜索具有或不具有特定临界级别的资产,临界级别高于或低于特定级别的资产,或具有或不具有任何临界设置的资产。有关临界级别的更多信息,请参见应用带有标签的RealContext.
过滤器使用以下操作符:
- 是返回所有被设置为指定临界级别的资产。
- 不是返回所有资产未设置为指定的临界级别。
- 高于返回临界级别高于指定级别的所有资产。
- 低于返回临界级别低于指定级别的所有资产。
- 应用返回所有具有任何临界集的资产。
- 不是应用返回所有没有临界设置的资产。
选择操作员后,从下拉菜单中选择临界级别。可用的临界级别为非常高的,高,媒介,低,非常低的.
通过用户添加的自定义标记进行过滤
的用户添加自定义标记Filter允许您根据用户应用于资产的自定义标记搜索资产。例如,您的公司可能有分布在不同位置和子网的在线银行流程中涉及的资产,用户可能用自定义的“在线银行”标记对涉及的资产进行了标记。使用此过滤器,您可以使用该标记标识资产,而不管它们的站点或其他关联。您可以搜索具有或不具有特定标记的资产,满足特定条件的自定义标记的资产,或具有或不具有任何用户添加的自定义标记的资产。有关用户添加的自定义标记的更多信息,请参见应用带有标签的RealContext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的自定义标记的所有资产。
- 不是返回所有没有与搜索字符串匹配的自定义标记的资源。
- 开始于返回与搜索字符串以相同字符开头的自定义标记的所有资源。
- 结尾返回所有具有自定义标记的资源,该标记以与搜索字符串相同的字符结尾。
- 包含返回其自定义标记在其名称中任何地方包含搜索字符串的所有资产。
- 不包含返回所有自定义标记不包含搜索字符串的资源。
- 应用返回应用了任何自定义标记的所有资源。
- 不是应用返回所有没有应用自定义标记的资源。
选择操作符后,在空白字段中为自定义标记键入搜索字符串。
根据用户添加的标记(位置)进行过滤
的用户添加标记(位置)Filter允许您根据用户应用到资产上的位置标记搜索资产。例如,用户可能已经创建并应用了“Akron”和“Cincinnati”的标签,以用户友好的方式明确资产的物理位置。使用此筛选器,您可以使用该标记标识资产,而不管它们的其他关联。您可以搜索带有或不带有特定标记的资产、位置标记满足特定条件的资产、带有或不带有任何用户添加的位置标记的资产。有关用户添加的位置标记的更多信息,请参见应用带有标签的RealContext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的位置标记的所有资产。
- 不是返回所有没有与搜索字符串匹配的位置标记的资源。
- 开始于返回与搜索字符串以相同字符开头的位置标记的所有资源。
- 结尾返回所有与搜索字符串以相同字符结尾的位置标记的资源。
- 包含返回其位置标记在其名称中任何位置包含搜索字符串的所有资产。
- 不包含返回所有位置标签不包含搜索字符串的资源。
- 应用返回所有应用位置标签的资源。
- 不是应用返回所有没有应用位置标签的资源。
选择操作符后,在空白字段中键入位置标记的搜索字符串。
根据用户添加的标记(所有者)进行过滤
的用户添加标签(所有者)Filter允许根据用户应用到资产的所有者标记搜索资产。例如,一个公司可能有不同的人负责不同的资产。用户可以标记每个人负责的资产,并使用该信息跟踪这些资产的风险级别。您可以搜索具有或不具有特定标记的资产、所有者标记满足特定条件的资产、具有或不具有任何用户添加的所有者标记的资产。有关用户添加的所有者标记的更多信息,请参见应用带有标签的RealContext.
过滤器使用以下操作符:
- 是返回与搜索字符串完全匹配的所有者标记的所有资产。
- 不是返回所有没有与搜索字符串匹配的所有者标记的资产。
- 开始于返回所有与搜索字符串以相同字符开头的所有者标记的资产。
- 结尾返回所有具有所有者标记的资产,该标记以与搜索字符串相同的字符结尾。
- 包含返回其所有者标记在其名称中任何地方包含搜索字符串的所有资产。
- 不包含返回所有者标记不包含搜索字符串的所有资产。
- 应用返回应用了任何所有者标记的所有资产。
- 不是应用返回所有没有应用所有者标记的资产。
选择操作符后,在空白字段中键入位置标记的搜索字符串。
使用vAsset过滤器
以下vAsset过滤器让您搜索您跟踪的虚拟资产与vAsset发现。基于特定标准为虚拟资产创建动态资产组对于分析虚拟环境的不同部分非常有用。例如,您可能希望为您的会计部门使用的所有虚拟资产运行报告或评估风险,并且它们都由特定的资源池支持。有关vAsset发现的信息,请参见发现VMware vCenter或ESX/ESXi管理的虚拟机.
通过vAsset集群进行过滤
的vAsset集群Filter允许您搜索属于或不属于特定集群的虚拟资产。该过滤器使用以下操作符:
- 是返回所有属于名称与输入字符串完全匹配的集群的资产。
- 不是返回所有属于名称与输入字符串不匹配的集群的资产。
- 包含返回所有属于名称包含输入字符串的集群的资产。
- 不包含返回属于名称不包含输入字符串的集群的所有资产。
- 开始于返回所有属于名称以与输入字符串相同字符开头的集群的资产。
选择操作符后,在空白处输入集群的搜索字符串。
通过vAsset数据中心进行过滤
的vAsset数据中心Filter允许您搜索由特定数据中心管理或未管理的资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的数据中心管理的所有资产。
- 不是返回名称与输入字符串不匹配的数据中心管理的所有资产。
选择操作符后,在空白字段中输入数据中心名称的搜索字符串。
通过vAsset主机进行过滤
的vAsset主机Filter允许您搜索特定主机系统的客户或非客户资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的主机来宾的所有资产。
- 不是返回名称与输入字符串不匹配的主机来宾的所有资产。
- 包含返回名称包含输入字符串的主机来宾的所有资产。
- 不包含返回主机名称中不包含输入字符串的所有资产。
- 开始于返回主机的所有资产,这些资产的名称以与输入字符串相同的字符开头。
选择操作符后,在空白处输入主机名的搜索字符串。
通过vAsset电源状态进行过滤
的vAsset功率状态Filter允许您搜索处于或不处于特定电源状态的资产。该过滤器使用以下操作符:
- 是返回从下拉列表中选择的处于电源状态的所有资产。
- 不是返回从下拉列表中选择的所有未处于电源状态的资产。
选择操作员后,在下拉列表中选择电源状态。电源状态包括开、关或挂起。
按vAsset资源池路径过滤
的vAsset资源池路径Filter允许您发现属于或不属于特定资源池路径的资产。该过滤器使用以下操作符:
- 包含返回名称包含输入字符串的资源池路径所支持的所有资源。
- 不包含返回名称不包含输入字符串的资源池路径所支持的所有资产。
您可以指定路径的任意级别,也可以指定多个级别,每个级别由连字符和右箭头分隔:->。如果资源池路径级别具有相同的名称,这将非常有用。
例如,您可能有两个具有以下级别的资源池路径:人力资源
管理
工作站
广告
管理
工作站
所属的虚拟机管理和工作站每条路径的关卡都是不同的。如果你只指定管理在您的过滤器中,搜索将返回属于管理和工作站两个资源池路径下的级别。
但是,如果您指定广告->管理->工作站,搜索将只返回属于路径中的工作站池的虚拟资产广告作为最高水平。
选择操作符后,在空白处输入资源池路径的查询字符串。
CVSS风险向量过滤
以下通用漏洞评分系统(CVSS)风险向量的过滤器可让您根据对组织安全构成不同类型或级别风险的漏洞搜索资产:
- CVSS接入复杂性(AC)
- CVSS访问矢量(AV)
- 需要CVSS认证(Au)
- CVSS可用性影响(A)
- CVSS保密影响(C)
- CVSS完整性影响(I)
您也可以应用基于较新的CVSS版本3风险向量的过滤器:
- CVSSV3攻击复杂度(AC)
- 攻击矢量(AV)
- CVSSV3可用性影响(A)
- CVSSV3保密影响(C)
- CVSSV3完整性影响(I)
- CVSSV3 Privileges Required (PR)
- 用户交互(UI)
一个漏洞可能会不有版本3的数据,所以在将版本3过滤器应用到资产搜索时要注意这一点。被版本3过滤器排除的资产仍然可能受到版本2向量的影响。
这些过滤器是指在计算CVSS分数和PCI严重性级别时使用的行业标准向量。它们也用于风险策略计算的风险评分。有关CVSS矢量的详细信息,请访问国家脆弱性数据库网站https://nvd.nist.gov/.
使用这些过滤器,您可以根据在这些资产上发现的漏洞的不同可利用性属性找到资产,或者根据在这些漏洞上发现的泄漏事件中对资产的不同类型和影响程度找到资产。隔离这些资产可以帮助您对补救优先级做出更明智的决定,或者为PCI审计做准备。
所有CVSS过滤器工作与两个操作符:
- 是返回与CVSS向量相关联的特定风险级别或属性的所有资产。
- 不是返回与CVSS向量相关联的特定风险级别或属性不匹配的所有资产。
选择筛选器和操作符后,从下拉列表中选择所需的影响级别或可能性属性。版本2的属性如下:
- 对于三个影响矢量中的每一个(保密,完整性,可用性),选项是完整的,部分,或没有一个.
- 为CVSS访问向量,选项有本地(左),相邻(A),或网络(N).
- 为CVSS访问的复杂性,选项有低,媒介,或高.
- 为CVSS认证要求,选项有没有一个,单,或多个.
版本3属性:
- 对于三个影响矢量中的每一个(保密,完整性,可用性),选项是没有一个,低,或高.
- 为CVSSV3攻击向量,选项有网络(N),相邻(A),本地(左),或物理(P).
- 为CVSSV3攻击的复杂性,选项有低或高.
- 为CVSSV3特权要求,选项有没有一个,低,或高.
- 为CVSSV3用户交互,选项有没有一个或要求.
根据评估的漏洞进行过滤
漏洞评估过滤器允许您根据上一次扫描漏洞的时间搜索资产。与…相反最后一次扫描过滤器,此选项使您可以特别关注漏洞评估。例如,您可能希望运行关于最近扫描的资产的报告。或者,您可能想要找到长时间没有被扫描的资产,然后从数据库中删除它们,因为它们不再被认为是重要的跟踪目的。过滤器使用以下操作符:
- 或之前返回在特定日期或之前最后一次扫描漏洞的所有资产。选择此操作符后,单击日历图标选择日期。
- 或之后的返回在特定日期或之后最后一次扫描漏洞的所有资产。选择此操作符后,单击日历图标选择日期。
- 之间,包括返回在两个日期之间(包括两个日期)最后一次扫描漏洞的所有资产。选择此操作符后,单击左侧字段旁边的日历图标,选择范围内的第一个日期。然后单击右边字段旁边的日历图标,选择范围内的最后一个日期。
- 早于返回在启动搜索日期的指定日期之前的指定天数内最后一次扫描漏洞的所有资产。选择此操作符后,在days ago字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如,您在1月23日下午3点发起搜索。您选择这个操作符并在days ago字段中输入3。搜索返回1月20日午夜之前最后扫描的所有资产。
- 在过去返回在之前的指定日期内最后一次扫描漏洞的所有资产。选择此操作员后,在天数字段中输入一个数字。搜索的起始点是执行搜索的当天午夜。例如:您在1月23日下午3点启动搜索。选择此操作符并在天数字段中输入1。搜索将返回自1月22日午夜以来最后一次扫描的所有资产。
在使用这个过滤器时,请记住以下几点:
- 搜索只返回去年扫描日期。如果资产在过滤器中指定的时间范围内被扫描,并且该扫描不是最近的扫描,那么它将不会出现在搜索结果中。
- 动态资产组成员关系可以在新的扫描运行时更改。
- 动态资产组成员关系每天午夜重新计算。如果您基于使用相对日操作符的搜索创建一个动态资产组(早于或在过去),资产成员资格将相应更改。
按漏洞类别过滤
的漏洞类别Filter允许您根据在扫描过程中标记的漏洞类别搜索资产。这是一个有用的过滤器,可以快速查看有多少资产以及哪些资产具有特定类型的漏洞,比如与Adobe、Cisco或Telnet相关的漏洞。漏洞类别列表可在漏洞检查部分扫描模板配置或报告配置,在这里您可以基于漏洞过滤报告范围。
筛选器将搜索字符串应用于漏洞类别,以便搜索返回与该搜索字符串匹配的类别中存在或不存在漏洞的资产列表。它与以下操作符一起工作:
- 包含返回具有类别包含搜索字符串的漏洞的所有资产。可以使用星号(*)作为通配符。
- 不包含返回所有不存在其类别包含搜索字符串的漏洞的资源。可以使用星号(*)作为通配符。
- 是返回所有具有漏洞且类别与搜索字符串完全匹配的资产。
- 不是返回所有没有漏洞且类别与搜索字符串完全匹配的资产。
- 开始于返回包含漏洞的所有资产,其类别以与搜索字符串相同的字符开始。
- 结尾返回包含漏洞的所有资产,其类别以与搜索字符串相同的字符结尾。
选择操作符后,在空白字段中键入漏洞类别的搜索字符串。
通过漏洞CVSS评分过滤
的脆弱性CVSS分数过滤器允许您搜索具有特定CVSS分数或落在分数范围内的漏洞的资产。您可能会发现,根据与PCI严重性级别对应的CVSS评分范围创建资产组很有帮助:低(0.0-3.9)、中(4.0-6.9)和高(7.0-10)。这样做可以帮助您对资产进行优先排序,以便进行补救。
过滤器使用以下操作符:
- 是返回具有指定CVSS分数的漏洞的所有资产。
- 不是返回没有指定CVSS分数的漏洞的所有资产。
- 在…的范围内返回在两个指定CVSS分数范围内的漏洞的所有资产,并包括范围内的高和低分数。
- 高于返回具有CVSS分数高于指定分数的漏洞的所有资产。
- 低于返回具有CVSS分数低于指定分数的漏洞的所有资产。
选择一个操作符后,在空白字段中键入一个分数。如果您选择范围操作符,您将键入一个低分数和一个高分数来创建范围。可接受的值包括0.0到10之间的任何数字。只能输入小数点后1位。如果你输入了一个以上的数字,分数会自动四舍五入。例如,如果你输入2.25分,分数会自动四舍五入到2.3分。
通过漏洞暴露进行过滤
的脆弱性暴露Filter允许您根据与资产上发现的漏洞相关的以下暴露类型搜索资产:
- 恶意软件工具开发
- Metasploit利用
- 利用数据库的利用
这是一个有用的过滤器,用于隔离和优先排序资产,有较高的可能性妥协,因为这些暴露。
筛选器将搜索字符串应用于一个或多个漏洞暴露类型,以便搜索返回具有或不具有与指定暴露类型相关联的漏洞的资产列表。它与以下操作符一起工作:
- 包括返回具有与指定暴露类型关联的漏洞的所有资产。
- 不包括返回所有没有与指定暴露类型关联的漏洞的资产。
选择运营商后,在下拉列表中选择一种或多种曝光类型。要选择多种类型,请按住
通过漏洞风险评分进行过滤
的脆弱性风险评分Filter允许您搜索具有特定风险评分或评分范围内的漏洞的资产。例如,隔离和跟踪具有较高风险分数的资产,可以帮助您对这些资产的补救确定优先级。
过滤器使用以下操作符:
- 在…的范围内返回两个指定风险评分范围内的所有漏洞资产,并包括该范围内的高分和低分。
- 高于返回风险评分高于指定评分的所有漏洞资产。
- 低于返回风险评分低于指定评分的所有漏洞资产。
选择操作员后,在空白处输入一个分数。如果您选择范围操作符,您将键入一个低分数和一个高分数来创建范围。在根据风险评分搜索资产时,请记住您当前选择的风险策略。例如,如果当前选择的策略是Real Risk,您将找不到得分高于1000的资产。参考漏洞和资产表中的风险评分以获得指导。
按漏洞标题过滤
的脆弱性标题Filter允许您根据扫描期间标记的漏洞搜索资产。这是一个非常有用的过滤器,可以用来验证补丁应用程序,或者快速查看有多少资产以及哪些资产具有特定的高风险漏洞。
过滤器将搜索字符串应用于漏洞标题,以便搜索返回标题中包含或不包含指定字符串的资产列表。它与以下操作符一起工作:
- 包含返回具有名称包含搜索字符串的漏洞的所有资产。可以使用星号(*)作为通配符。
- 不包含返回名称包含搜索字符串且没有漏洞的所有资源。可以使用星号(*)作为通配符。
- 是返回名称与搜索字符串完全匹配的具有漏洞的所有资产。
- 不是返回所有名称与搜索字符串匹配且没有漏洞的资产。
- 开始于返回所有具有漏洞的资产,其名称以与搜索字符串相同的字符开头。
- 结尾返回所有具有漏洞的资产,其名称以与搜索字符串相同的字符结尾。
选择操作符后,在空白字段中键入漏洞名称的搜索字符串。
结合过滤器
如果您创建了多个过滤器,您可以让exposure返回一个匹配过滤器中指定的所有条件的资产列表,或者一个匹配的资产列表任何筛选器中指定的条件。控件底部的下拉列表可以进行此选择搜索条件面板。
之间的区别所有和任何是,所有设置将只返回所有过滤器中匹配搜索条件的资产,而任何设置将返回匹配任何给定过滤器的资源。由于这个原因,一个搜索所有Selected通常返回的结果少于任何.
例如,假设您正在扫描一个拥有10个资产的站点。其中5个资产运行Linux,它们的名称分别是linux01、linux02、linux03、linux04和linux05。另外5个运行Windows,它们的名字分别是win01、win02、win03、win04和win05。
假设您创建了两个过滤器。第一个过滤器是操作系统过滤器,它返回运行Windows的资产列表。第二个过滤器是资产过滤器,它返回名称中含有“linux”的资产列表。
属性使用两个筛选器执行筛选资产搜索所有设置,搜索将返回运行Windows的资产列表,资产名称中有“linux”。由于没有这样的资产存在,将没有搜索结果。但是,如果您使用相同的过滤器任何设置,搜索将返回运行Windows或名称中带有“linux”的资产列表。其中5个资产运行Windows,另外5个资产的名称中有“linux”。因此,结果集将包含所有资产。