使用过滤器来细化动态发现
您可以使用过滤器根据特定的发现条件来细化动态发现结果。例如,您可以将发现限制在由特定资源池管理的资产或具有特定操作系统的资产。
此过程不适用于McAfee ePolicy Orchestrator、McAfee Data Exchange Layer或Active Directory连接。
如果一组过滤器与一个动态站点相关联,并且如果您更改过滤器以包含比许可证中扫描目标的最大数量更多的资产,您将看到一条错误消息,指示您更改过滤条件以减少发现的资产数量。
使用过滤器有很多好处。您可以限制发现结果表中出现的资产的绝对数量。这在具有大量虚拟资产的环境中非常有用。此外,过滤器可以帮助您发现非常具体的资产。您可以发现一个IP地址范围内的所有资产、属于某个资源池的所有资产或上下电的所有资产。您可以组合过滤器以产生更细粒度的结果。例如,您可以在一个特定主机上发现所有开机的Windows 7虚拟资产。
对于所选择的每个筛选器,还可以选择一个决定如何应用该筛选器的操作符。然后,根据筛选器和操作符,输入字符串或为该操作符选择要应用的值。
您可以基于不同的发现结果集创建动态站点,并通过运行扫描和报告跟踪与这些类型的资产相关的安全问题。看到使用动态发现连接配置站点.
为移动设备选择过滤器
三种过滤器可用于移动设备连接:
- 操作系统
- 用户
- 最后同步时间(WinRM/PowerShell和WinRM/Office 365连接)
操作系统
与操作系统过滤器,您可以根据其操作系统发现资产。该过滤器使用以下操作符:
- 包含返回名称包含输入字符串的操作系统的所有资产。
- 不包含返回名称不包含输入字符串的操作系统的所有资产。
用户
与用户过滤器,您可以根据其关联的用户帐户发现资产。该过滤器使用以下操作符:
- 包含返回名称包含输入字符串的用户帐户的所有资产。
- 不包含返回名称不包含输入字符串的用户帐户的所有资产。
- 是返回名称与输入字符串完全匹配的用户帐户的所有资产。
- 不是返回名称与输入字符串不匹配的用户帐户的所有资产。
- 开始With返回所有与输入字符串以相同字符开头的用户帐户的资产。
最后同步时间
此过滤器仅适用于WinRM/PowerShell和WinRM/Office 365动态发现连接。
与最后同步时间过滤器,您可以根据移动设备与Exchange服务器同步的最近时间跟踪它们。如果您不希望报告中包含来自网络上不再使用的旧设备的数据,则此筛选器非常有用。它与以下操作符一起工作。
- 早于返回在文本框中输入的前几天同步的所有移动设备。
- 在过去返回您在文本框中输入的在前几天内同步的所有移动设备。
为AWS连接选择过滤器和操作符
AWS连接有八个过滤器:
- 可用性区域
- 来宾操作系统家族
- 实例ID
- 实例名
- 实例的状态
- 实例类型
- 地区
可用性区域
与可用性区域过滤器,可以发现位于特定可用分区中的资产。该过滤器使用以下操作符:
- 包含返回所有属于名称包含输入字符串的可用分区的资产。
- 不包含返回所有属于可用分区且名称中不包含输入字符串的资产。
来宾操作系统家族
与来宾操作系统家族筛选,您可以发现具有或不具有特定操作系统的资产。该过滤器使用以下操作符:
- 包含返回操作系统名称包含输入字符串的所有资产。
- 不包含返回操作系统名称不包含输入字符串的所有资产。
实例ID
与实例ID过滤器,您可以发现具有或不具有特定实例id的资产。该过滤器使用以下操作符:
- 包含返回实例名称中包含输入字符串的所有资产。
- 不包含返回实例id不包含输入字符串的所有资产。
实例名
与实例名过滤器,您可以发现具有或不具有特定实例id的资产。该过滤器使用以下操作符:
- 是返回实例名称与输入字符串完全匹配的所有资源。
- 不是返回实例名与输入字符串不匹配的所有资源。
- 包含返回实例名包含输入字符串的所有资源。
- 不包含返回实例名不包含输入字符串的所有资源。
- 开始于返回实例名以与输入字符串相同字符开头的所有资源。
实例的状态
与实例的状态筛选时,您可以发现处于或未处于特定操作状态的资产(实例)。该过滤器使用以下操作符:
- 是返回所有处于从下拉列表中选择的状态的资产。
- 不是返回所有不在从下拉列表中选择的状态中的资产。
实例状态包括等待,运行,关闭,停止,或停止.
实例类型
与实例类型筛选,您可以发现属于或不属于特定实例类型的资产。该过滤器使用以下操作符:
- 是返回从下拉列表中选择的类型的所有资产。
- 不是返回不是从下拉列表中选择的类型的所有资产。
实例类型包括c1.medium,c1.xlarge,c3.2xlarge,c3.4xlarge,或c3.8xlarge.
动态发现搜索结果也可能包括m1。小型或t1。微实例类型,但是Amazon目前不允许扫描这些类型。
IP地址
与IP地址通过过滤器,可以发现指定范围内匹配或没有指定IP地址的资产,或有IP地址的资产,或没有IP地址的资产。该过滤器使用以下操作符:
- 是返回指定IP地址的资产。
- 不是返回所有没有指定IP地址的资产。
- 在…的范围内返回IP地址范围内的所有资产。
- 不在?的范围内返回IP地址不在IP地址范围内的所有资产。
- 就像返回所有IP地址与指定IP地址匹配的资产。
- 不喜欢返回所有与指定IP地址不匹配的资产。
当你选择在…的范围内或不在?的范围内过滤器,您将看到两个由单词to分隔的空白字段。使用左字段输入IP地址范围的开始,使用右字段输入IP地址范围的结束。
IPv4地址的格式是“点分四边形”。例子:
1
192.168.2.1, 192.168.2.254
您可以在查询中组合多个搜索类型,以专注于非常特定的资产。例如,可以搜索范围为192.168.2.1 ~ 192.168.2.254的IP地址,但不包括192.168.2.7和192.168.2.199。
地区
与区域类型筛选,您可以发现位于或不在特定地理区域中的资产。该过滤器使用以下操作符:
- 是返回从下拉列表中选择的区域中的所有资产。
- 不是返回从下拉列表中选择的非区域中的所有资产。地区包括亚太(新加坡),亚太(悉尼),亚太(东京),欧盟(爱尔兰),或南美洲(圣保罗).
为VMware连接选择过滤器和操作符
VMware连接有8个过滤器:
- 集群
- 数据中心
- 来宾操作系统家族
- 宿主
- IP地址范围
- 电源状态
- 资源池的路径
- 虚拟机名称
集群
与集群过滤器,您可以发现属于或不属于特定集群的资产。该过滤器使用以下操作符:
- 是返回所有属于名称与输入字符串完全匹配的集群的资产。
- 不是返回所有属于名称与输入字符串不匹配的集群的资产。
- 包含返回所有属于名称包含输入字符串的集群的资产。
- 不包含返回属于名称不包含输入字符串的集群的所有资产。
- 开始于返回所有属于名称以与输入字符串相同字符开头的集群的资产。
数据中心
与数据中心筛选器,您可以发现由特定数据中心管理或未管理的资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的数据中心管理的所有资产。
- 不是返回名称与输入字符串不匹配的数据中心管理的所有资产。
来宾操作系统家族
与来宾操作系统家族筛选,您可以发现具有或不具有特定操作系统的资产。该过滤器使用以下操作符:
- 包含返回操作系统名称包含输入字符串的所有资产。
- 不包含返回操作系统名称不包含输入字符串的所有资产。
宿主
与宿主过滤器,您可以发现特定主机系统的来宾或非来宾资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的主机来宾的所有资产。
- 不是返回名称与输入字符串不匹配的主机来宾的所有资产。
- 包含返回名称包含输入字符串的主机来宾的所有资产。
- 不包含返回主机名称中不包含输入字符串的所有资产。
- 开始于返回主机的所有资产,这些资产的名称以与输入字符串相同的字符开头。
IP地址
与IP地址通过过滤器,可以发现指定范围内匹配或没有指定IP地址的资产,或有IP地址的资产,或没有IP地址的资产。该过滤器使用以下操作符:
- 是返回指定IP地址的资产。
- 不是返回所有没有指定IP地址的资产。
- 在…的范围内返回IP地址范围内的所有资产。
- 不在?的范围内返回IP地址不在IP地址范围内的所有资产。
- 就像返回所有IP地址与指定IP地址匹配的资产。
- 不喜欢返回所有与指定IP地址不匹配的资产。
当你选择在…的范围内或不在过滤器的范围内,您将看到两个由单词分隔的空白字段来.使用左字段输入IP地址范围的开始,使用右字段输入IP地址范围的结束。
电源状态
与电源状态筛选,您可以发现处于或未处于特定电源状态的资产。该过滤器使用以下操作符:
- 是返回从下拉列表中选择的处于电源状态的所有资产。
- 不是返回从下拉列表中选择的所有未处于电源状态的资产。
电源状态包括在,从,或暂停.
资源池的路径
与资源池的路径通过过滤器,您可以发现属于或不属于特定资源池路径的资产。该过滤器使用以下操作符:
- 包含返回名称包含输入字符串的资源池路径所支持的所有资源。
- 不包含返回名称不包含输入字符串的资源池路径所支持的所有资产。
您可以指定路径的任意级别,也可以指定多个级别,每个级别由连字符和右箭头分隔:->。如果资源池路径级别具有相同的名称,这将非常有用。
例如,您可能有两个具有以下级别的资源池路径:
人力资源
管理
工作站
广告
管理
工作站
所属的虚拟机管理和工作站每条路径的关卡都是不同的。如果你只指定管理在筛选器中,应用程序将发现属于管理和工作站两个资源池路径下的级别。
但是,如果您指定>广告管理>工作站,应用程序将只发现属于工作站池子在小路上广告作为最高水平。
虚拟机名称
与虚拟机名称筛选,您可以发现具有或不具有特定名称的资产。该过滤器使用以下操作符:
- 是返回名称与输入字符串完全匹配的所有资产。
- 不是返回名称与输入字符串不匹配的所有资产。
- 包含返回名称包含输入字符串的所有资产。
- 不包含返回名称不包含输入字符串的所有资产。
- 开始于返回名称以与输入字符串相同字符开头的所有资产。
为DHCP连接选择过滤器和操作符
VMware连接有三个过滤器:
- 主机名
- IP地址
- MAC地址
宿主
与宿主过滤器,可以根据主机名发现资产。该过滤器使用以下操作符:
- 是返回与输入字符串完全匹配的主机名的所有资产。
- 不是返回主机名与输入字符串不匹配的所有资产。
- 包含返回所有包含输入字符串的主机名资产。
- 不包含返回主机名不包含输入字符串的所有资产。
- 开始于返回主机名以与输入字符串相同字符开头的所有资产。
IP地址
与IP地址通过过滤器,可以发现指定范围内匹配或没有指定IP地址的资产,或有IP地址的资产,或没有IP地址的资产。该过滤器使用以下操作符:
- 是返回指定IP地址的资产。
- 不是返回所有没有指定IP地址的资产。
- 在…的范围内返回IP地址范围内的所有资产。
- 不在?的范围内返回IP地址不在IP地址范围内的所有资产。
- 就像返回所有IP地址与指定IP地址匹配的资产。
- 不喜欢返回所有与指定IP地址不匹配的资产。
当你选择在…的范围内或不在?的范围内过滤器,您将看到两个由单词to分隔的空白字段。使用左字段输入IP地址范围的开始,使用右字段输入IP地址范围的结束。
MAC地址
与MAC地址过滤器,可以根据MAC地址发现资产。该过滤器使用以下操作符:
- 是返回与输入字符串完全匹配的MAC地址的所有资产。
- 不是返回所有MAC地址与输入字符串不匹配的资产。
- 包含返回包含输入字符串的MAC地址的所有资产。
- 不包含返回所有MAC地址不包含输入字符串的资产。
- 开始于返回与输入字符串以相同字符开头的MAC地址的所有资产。
结合发现过滤器
如果您使用多个筛选器,您可以让应用程序发现匹配筛选器中指定的所有条件的资产,或者匹配筛选器中指定的任何条件的资产。
这两种选择的区别在于所有设置仅返回所有过滤器中匹配发现条件的资产,而任何设置返回匹配任何给定过滤器的资产。由于这个原因,一个搜索所有Selected通常返回的结果少于任何.
例如,目标环境包括10个资产。其中五个资源运行Ubuntu,它们的名字是Ubuntu01、Ubuntu02、Ubuntu03、Ubuntu04和Ubuntu05。另外5个运行Windows,它们的名字分别是Win01、Win02、Win03、Win04和Win05。假设您创建了两个过滤器。第一个发现筛选器是一个操作系统筛选器,它返回运行Windows的资产列表。第二个过滤器是一个资产过滤器,它返回一个名称中含有“Ubuntu”的资产列表。
如果您发现资产与两个过滤器使用所有设置,应用程序发现运行Windows并且资产名称中有“Ubuntu”的资产。因为不存在这样的资产,所以不会发现任何资产。但是,如果你使用相同的过滤器和任何设置,应用程序发现资产运行Windows或有“Ubuntu”在他们的名字。其中5个资产运行Windows,另外5个资产的名称中有“Ubuntu”。因此,结果集包含所有资产。
配置和应用过滤器
如果虚拟资产没有IP地址,则只能通过主机名发现和识别。它会出现在发现结果中,但不会添加到动态站点中。不能扫描没有IP地址的资产。
按照上一节所述启动发现后,安全控制台显示结果表,请执行以下步骤配置和应用过滤器:
配置过滤器。
- 点击添加过滤器.将出现一个筛选器行。
- 从左侧下拉列表中选择过滤类型。
- 在右侧的下拉列表框中选择相应的操作员。
- 在下拉列表右侧的字段中输入或选择一个值。
- 要添加新的筛选器,请单击+图标。将出现一个新的筛选器行。按照前面的步骤设置新的筛选器。
- 根据需要添加更多的过滤器。要删除任何过滤器,请单击相应的-图标。配置过滤器后,可以将其应用到发现结果中。或者,单击重置清除所有过滤器并重新开始。
应用过滤器。
- 选择要匹配的选项任何或所有筛选器下拉列表中的筛选器。
- 点击过滤器.
发现结果表现在显示基于筛选发现的资产。
