配置基本静态站点

一个站点的基本组成包括目标资产和一个扫描模版。

静态站点的创建与动态站点不同，它需要手动选择资产。选择过程可以基于一项策略，并可能对扫描和报告的质量产生影响。

为静态站点选择一个分组策略

要把网络资产划分为站点有许多办法。最明显的分组原则是根据实际地点。一个在费城、檀香山、大阪和马德里均有资产的公司可能有四个站点，每个城市对应一个站点。以这种方式对资产分组是行得通的，特别是当每个实际地点都有自己专属的扫描引擎时。记住，每个站点都被分配到了一个具体的扫描引擎。

记住这点的话，您可能会发现基于扫描引擎的布置创建站点是行之有效的方法。扫描引擎在您的网络中的独立和连接区域部署时最有效用。举个例子来说，您可以基于子网络创建站点。

其他有用的分组原则包括共同资产配置或功能。您可能希望为所有工作站和数据库服务器分配独立的站点。或者，您可能希望把所有 Windows 2008 服务器分组到一个站点，把所有 Debian 机器分组到另一个站点。相似的资产可能有相似的漏洞，或者它们可能产生完全一样的登录挑战。

如果您正执行扫描以测试资产是否合规某标准或政策，如支付卡行业 (PCI) 或联邦桌面核心配置 (FDCC)，那么您可能发现创建一个资产站点以进行合规审计的方法很有帮助。这种方法将扫描资源集中在合规行为上。追踪这些资产的扫描结果并把结果加进报告和资产组中也会更加简单。

站点成员身份的灵活性

当对站点选择资产时，灵活性是一项优势。您可以把一项资产加入不止一个站点中。例如，您可能希望每月使用微软的热修复补丁扫描模版对您的所有 Windows Vista 工作站运行扫描，验证这些资产是否已安装了正确的微软补丁。但如果您的企业是医疗机构，那么您的“Windows Vista”站点中的一些资产也可能成为“患者支持”站点的一部分，您可能需要使用 HIPAA 合规模版每年都对其扫描。

另一项需记住的要点是，虽然您把资产结合到站点中进行扫描，但您能以不同的方式安排资产形成资产组。您创建站点的标准可能相当宽泛。但当您运行一项扫描时，您可以使用不同的报告模版将资产数据解析为许多不同的“视图”。然后您可以出于各种原因分配资产组成员以阅读这些报告。

避免您的站点创建有过多的粒度。您拥有的站点越多，您需要运行的扫描就越多，这会使时间和带宽过度膨胀。

某公司的分组选项

您的分组方案可以相当宽泛或粒度更大。

以下表格显示了某公司的实用高级别站点分组。此方案为扫描提供了非常基本的指导，充分使用了整个网络基础设施。

这种分组的潜在问题是大块地管理扫描数据非常耗时并且相当困难。更好的配置是把元素分组为更小的扫描站点，获得更细化的报告和资产拥有者。

在以下配置中，某公司引进了资产功能作为分组原则。此前配置的纽约站点被再分类为销售部、IT 部、行政部、打印部和 DMZ。马德里亦按这些标准再分类。添加更多的站点减少了扫描时间，促进了更专注的报告。

在下表中所见的最优配置引入了实际分隔的原则。扫描时间会更短，报告会更专注。

开始静态站点配置

执行下列步骤开始设置站点：

1. 点击主页上的新静态站点按钮。



主页 —启动新的静态站点

或者

点击资产标签。在资产页面，点击站点旁边的查看选项。在站点页面，选择新站点。

2. 在站点配置–一般页面，输入站点名称。

您可能希望把站点名称与您将在站点执行的扫描类型关联，比如全面审计或拒绝服务。

3. 输入对站点的简短描述。
4. 如果您愿意，可以把业务环境标签加进站点。您添加进站点的任何标签均会适用于所有成员资产。若需更多信息和指南，请参看应用带有标签的 RealContext。
5. 从下拉列表中选择重要性级别。

• 非常低设置将风险指数降低到初始值的 1/3。
• 低设置将风险指数降低到初始值的 2/3。
• 高和非常高设置将风险指数分别增加到初始值的两倍和三倍。
• 正常设置不会改变风险指数。

重要性级别与用于计算每个站点风险指数的风险因素相符。

指定在静态站点扫描的资产

注意: 如果您正在配置扫描亚马逊网络服务 (AWS) 实例的站点，且如果您的安全控制台和扫描引擎位于 AWS 网络外，则您不可以选择手动指定要扫描的资产。查看 AWS 网络内部或外部？。

1. 前往资产页面列出您的新站点的资产。
2. 在标记为需扫描资产的文本框中输入地址和主机名。

您可以用任意顺序输入 IPv4 和 IPv6 地址。

例如：

2001:0:0:0:0:0:0:12001::2
10.1.0.2
server1.example.com
2001:0000:0000:0000:0000:0000:0000:0003
10.0.1.3

您可以使用单个地址与主机名混合地址范围。

例如：

10.2.0.1
2001:0000:0000:0000:0000:0000:0000:0001-2001:0000:0000:0000:0000:0000:0000:FFFF
10.0.0.1 - 10.0.0.254
10.2.0.3
server1.example.com

IPv6 地址可以是完整的、部分的或未压缩的。以下为等式：

2001:db8::1 == 2001:db8:0:0:0:0:0:1 ==

您可以使用 IPv4 和 IPv6 格式的 CIDR 记法。例如：

10.0.0.0/24

2001:db8:85a3:0:0:8a2e:370:7330/124

您也可以导入逗号或新行定界 ASCII-文本，它列出了您想扫描资产的 IP 地址和主机名。执行以下步骤可导入一份资产列表：

1. 点击已包括资产区域里的浏览。
2. 从本地计算机或准许读取访问的共享网络驱动器中选择合适的 .txt 文件。

文件中的每一个地址将在各自的行中显示。地址可能包含任何有效的 InsightVM 约定，包括 CIDR 记法、主机名、完全符合资格的域名和设备范围。查看标记为更多信息的方框。

（可选）如果您是全局管理员，则您可以编辑或删除已列于站点细节页面的地址。

您可以阻止一个 IP 地址范围的资产被扫描、手动在标记为需排除的资产文本框中输入地址和主机名以排除扫描；或导入一个逗号或新行定界 ASCII-文本文件，此文件列出了您不想扫描的地址和主机名。若要阻止一个 IP 地址范围内的资产被扫描，则执行以下步骤：

1. 点击已排除设备区域中的浏览
2. 从本地计算机或准许读取访问的共享网络驱动器中选择合适的 .txt 文件。

注意: 文件中的每一个地址将在各自的行中显示。地址可能包含任何有效的约定，包括 CIDR 记法、主机名、完全符合资格的域名和资产范围。

如果您指定一个排除的主机名，则本应用程序将尝试在扫描前把它解析到一个 IP 地址。如果应用程序最初无法这么做，则它将对指定资产进行一个或多个阶段的扫描，比如 ping 或端口发现。在此过程中，应用程序将确定资产已从扫描范围中排除并中止对其扫描。但如果不能做出确定，则资产将继续被扫描。

您可以在全局资产排除页面整个部署期间的所有站点中排除对某些资产的扫描。

在所有站点中排除对某些资产扫描

您可能想阻止某些资产不被扫描，或是因为它们没有安全相关性，或是因为对其扫描将扰乱业务运营。

在站点配置面板的资产页面，您可以在正在创建的站点中排除对某些资产进行扫描。然而资产可以属于多个站点。如果您正管理许多站点，那么从每个站点排除资产会非常耗时。您或许希望在任何情况下都快速地阻止对某个资产进行扫描。一项全局配置功能实现了这个想法。在资产排除页面，您可以快速在整个部署过程中的所有站点排除对某些资产进行扫描。

如果您指定一个排除的主机名，则本应用程序将尝试在扫描前把它解析到一个 IP 地址。如果应用程序最初无法这么做，则它将对指定资产进行一个或多个阶段的扫描，比如 ping 或端口发现。在此过程中，本应用程序将确定资产已从扫描范围中排除并中止对其扫描。但如果应用程序无法做出确认，则它将继续扫描资产。

您必须为全局管理员才能访问这些设置。

若要在所有可能的站点中排除对某个资产进行扫描，则执行以下步骤：

1. 进入管理页面。
2. 点击管理链接进入全局设置

安全控制台将显示全局设置页面。

3. 点击左导航窗格中的资产排除链接。

安全控制台将显示资产排除页面。

4. 在本文框中手动输入地址和主机名。

或者

若要导入一个列出了您不想对其扫描的地址和主机名的逗号或新行定界 ASCII-文本文件，则点击选择文件。然后从本地计算机或准许读取访问的共享网络驱动器中选择合适的 .txt文件。

文件中的每一个地址将在各自的行中显示。地址可能包含任何有效的约定，包括 CIDR 记法、主机名、完全符合资格的域名和设备范围。

5. 点击保存。

添加用户到一个站点

您必须给予用户访问一个站点的权利，以让用户可以查看资产或执行资产相关的操作，如在此站点中资产的扫描或报告。

执行下列步骤添加用户到一个站点：

1. 进入站点配置面板的访问页面。
2. 添加用户进入站点访问列表。
3. 点击添加用户。
4. 针对您想将其添加到添加用户对话框访问列表的每位用户账户，选择其对应的复选框。

或者

5. 选择顶行的复选框以添加所有用户。
6. 点击保存。
7. 点击面板任何页面的保存以保存站点配置。