您企业的资产经常会在数量、类型和状态方面发生波动,这并非异常现象。由于工作人员的数量会发生增减,工作站的数量也会相应地发生变化。服务器可以上网,也会发生损坏。通过虚拟专用网络 (VPN),在外出差或在家办公的员工可以多次接通网络。
这种波动突显了拥有动态资产库存的重要性。依靠手动维护的电子数据表存在风险。经常会出现表单未列出网络中的资产的情况。而且,如果资产未在表单上列出,则它们无法获得相应的管理。结果:风险增加。
管理“动态库存”的一个方法是定期运行发现扫描。查看 配置资产发现。因为在扫描时会提供您的资产库存的快照,所以此方法有限制。另一种方法,即动态发现,可让您无需运行扫描而发现和追踪资产。这种方法为启动与管理资产环境的服务器或 API 的连接,如管理虚拟机的项目,然后接收关于此环境变化的定期更新。这样做有几点优势:
若要与亚马逊网络服务、DHCP 日志服务器和 VMware 服务器连接,您的 InsightVM 必须启用动态发现选项。
对于可让您发现移动设备的 ActiveSync 连接,您的许可证必须启用移动设备选项。
安全控制台将显示管理页面。
安全控制台将显示安全控制台配置面板。
安全控制台将显示许可页面。
越来越多的用户正将其个人移动设备连接到公司网络中。由于这些设备带来的一些漏洞允许攻击者绕过安全限制和执行未经授权的操作或任意代码,所以会增加和扩张您的环境受攻击的范围。
您可以发现通过 ActiveSync 连接到 Microsoft Exchange 的 Apple iOS 设备或 Google Android 操作系统的设备。支持所有版本的 iOS 和 Android。
安全控制台可以发现由 Microsoft Exchange ActiveSync 协议管理的移动设备。动态发现功能当前支持 2010 和 2013 版本的 Exchange 及 Office 365。
您可以通过以下三种 Microsoft Windows 服务器配置之一连接移动数据:
运用其中一项 WinRM 配置的优势是:通过上述方法之一发现的资产数据包括每台移动设备与 Exchange 服务器同步的最新数据。如果您不希望报告中包含网络中已不再使用的旧设备提供的数据,此方法将十分奏效。您可以为已过滤掉旧设备的移动设备创建一个动态资产组。请参见 执行已过滤资产搜索。
您将需要根据您正在使用的 Windows 服务器配置采取一些初步措施,以准备进行发现的目标环境。
若要进行动态连接,安全控制台要求用户拥有活动目录移动设备对象读取权限的凭证。此用户必须是 Microsoft Exchange 中组织管理安全组的成员,或拥有移动设备对象的读取访问权。这样,安全控制台可以执行 LDAP 查询。
对于包括拥有 ActiveSync(移动)设备的用户的 AD 组织单元 (OU),可在 AD 服务器上按以下步骤向其授予账户只读权限:
在 ADSI Edit 中选择 Users OU
对其他包含 ActiveSync(移动)设备的 OU 重复上述步骤。
在目标环境中的设置要求和步骤与 PowerShell 和 Office 365 的配置基本相同:
注意: 如果安全控制台在 Windows 环境下运行,WinRM 网关也可以是 Exchange 服务器或 InsightVM。
注意: 如果您不熟悉这些步骤,请咨询 Windows 服务器管理员。
WinRM 网关在端口 5986 处必须有可用的 https WinRM 监听器。启用该监听器的典型步骤包括:
C:\> winrm quickconfig -transport:https
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048
C:\> netsh advfirewall firewall add rule name=
"Windows Remote Management (HTTPS-In)" dir=in action=allow protocol=TCP localport=5986
以下说明介绍了如何启用非管理员账户的 WinRM:http://docs.scriptrock.com/kb/using-winrm-without-admin-rights.html
如果 WinRM 未能将域控制器作为 WinRM 网关,请登录以下网站查看日志以获得帮助:http://www.projectleadership.net/blogs_details.php?id=3154。通常情况下,运行 setspn -L [server_name] 会返回两个 WinRM 配置;但在这种情况下,未显示任何返回的配置。
如果 PowerShell 脚本因出错而失效:因存在 StackOverflowException,进程终止。,则 WinRM 内存限制不足。运行以下 PowerShell 命令,提高该设置:
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048
若要验证 Exchange 连接并对其进行故障排除,请用 WinRM 凭证打开 PowerShell Windows WinRM 网关服务器。然后,用您的 Exchange 用户凭证及您企业的 Exchange 服务器全限定域名运行以下 Powershell 命令:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://exchangeserver.domain.com/ -credential $cred
Import-PSSession $s
Get-ActiveSyncDevice
这样将显示一个输入凭证的窗口。如果 New-PSSession 失败,则表明 PowerShell 与 Exchange 服务器间的远程连接失败。
如果 Get-ActiveSyncDevices 命令返回了没有设备的消息,这可能表明您的 Exchange 账户没有足够的权限执行此查询。
Office 365 配置的工作原理与 PowerShell 配置几乎相同,但是 Office 365 配置与 Microsoft 的 Exchange 云服务器连通,并通过 PowerShell 与网关连接,这两方面略有不同。
使用以下脚本对 Office365 的 Exchange 连接进行故障排除:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell -credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Get-ActiveSyncDevice
在为进行发现准备好网络后,请查看 创建和管理动态发现连接。
为持续优化发现结果,请遵循管理环境的最佳实践做法:
测试您的 ActiveSync 环境,验证所有组件均正常工作和通讯。这样做会帮您扩大覆盖范围。
为网络中的 ActiveSync 设备创建规则可进一步扩展您的控制范围。例如,您可以创建适用于批准已隔离设备的规则。
您企业中的单个用户可能使用多个设备,每个设备都拥有自己的合作关系或在初始化同步中创建的一组 ActiveSync 属性。另外,用户会定期将设备的一个版本升级到另一个版本,这样增加了支持的潜在合作关系数量。管理这些合作关系对追踪您环境中的 ActiveSync 设备非常重要。它包括移除 Exchange 服务器中的旧设备,这样有助于创建更准确的移动设备风险评估。
如果您的企业使用亚马逊网络服务 (AWS) 用于计算、存储或其他操作,则亚马逊可能会偶尔将您的应用程序和数据移动到不同的主机中。通过启动 AWS 实例的动态发现和设置动态站点,您可以持续扫描和报告这些实例。此连接通过 AWS API 实现。
在 AWS 环境下,一个实例是在 AWS 云中以虚拟服务器运行的一份亚马逊机器映像的副本。扫描会基于实例 ID 关联资产。如果您终止了一个实例,又在后来从相同映像中重新创建此实例,那么它会拥有一个新的实例 ID。这说明,如果您扫描一个重建的实例,那么扫描数据将不会关联此实例先前实体的扫描数据。结果将是在扫描结果中出现两个独立的实例。
在您启动动态发现、在 AWS 环境中开启扫描前,您需要:
在配置 AWS 发现连接时,若注意一些 AWS 环境的部署和扫描事项会很有帮助。
最佳实践是使用部署在 AWS 网络(亦称作弹性云计算 EC2 网络)内的分布式扫描引擎扫描 AWS 实例。这样,您可以扫描专用 IP 地址并收集使用公共 IP 地址可能无法得到的信息,例如内部数据库。如果您使用部署在您网络内的扫描引擎扫描 AWS 网络,并且如果 AWS 网络内的任何资产拥有与您网络内的资产相同的 IP 地址,那么扫描会产生关于网络内拥有匹配地址的资产信息,而不是 AWS 实例。
注意: AWS 网络在防火墙后,如同单个实例或网络内的资产,所以会有两个防火墙协商 AWS 扫描。
如果将用于扫描 AWS 实例的安全控制台和扫描引擎位于 AWS 网络外,那么您将只能使用分配给 EC2 实例的弹性 IP (EIP) 地址扫描它们。另外,您无法手动编辑您的站点配置或手动扫描窗口中的资产列表。动态发现将包括无 EIP 地址的实例,但这些实例不会出现在站点配置的资产列表中。了解更多关于 EIP 地址。
与 AWS 网络相关的安全控制台的位置将影响您识别实例是否为 AWS 网络中受信任实体的方式。请参见下方两个主题。
如果您的安全控制台位于 AWS 网络外,那么 AWS 应用程序编程界面 (API) 必须能够将它识别为受信任的实体,之后才能允许控制台连接和发现 AWS 实例。为实现此目的,您需要创建拥有支持动态发现权限的 IAM 用户,此用户是用于安全控制台的 AWS 身份。当您创建 IAM 用户时,您亦需创建安全控制台将用于登录 API 的访问密钥。
注意: 在创建 IAM 用户时,确保选择创建访问密钥 ID 和秘密访问密钥的选项。在设置发现连接时将需要这些凭证。您将可以选择下载这些凭证。注意,需在安全的位置下载它们。
注意: 在创建 IAM 用户时,确保选择创建自定义政策的选项。
如果您的安全控制台安装于 AWS 实例中,即在 AWS 网络内,那么您需要为此实例创建一个 IAM 角色。角色是仅一组权限。您不需要为安全控制台创建 IAM 用户或访问密钥。
注意: 在创建 IAM 角色时,确保选择创建自定义政策的选项。
在创建了 IAM 用户或角色后,您必须对其应用一项政策。政策定义了在 AWS 环境中您的权限。出于安全原因,亚马逊需要您的 AWS 政策包括最低权限。选择创建自定义政策的选项以符合此要求。
您可以使用 AWS 管理控制台的编辑器创建 JSON 格式的政策。以下代码示例指示了应如何定义政策:
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "Stmt1402346553000", "Effect": "Allow", "Action":
[ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeAddresses" ], "Resource": [ "*" ] }
]
}
越来越多的严重性高的漏洞影响虚拟目标和支持它们的设备,如以下例子:
仅仅追踪虚拟资产及其各种状态和分类就已经是一项挑战。您需要追踪重要的细节才能有效地管理它们:例如,哪些虚拟机运行 Windows 操作系统?哪些属于某一特定资源池?哪些当前正在运行?了解这份信息能使您与虚拟资产环境中的持续变化同步,帮助您更有效率地管理扫描资源。如果您知道任何扫描时间拥有哪些扫描目标,那么您就知道了要扫描什么以及怎么扫描。
本应用程序支持动态发现由 VMware vCenter 或 ESX/ESXi 管理的虚拟资产。
一旦您启动了动态发现后,只要发现连接处于活动状态,那么动态发现就自动继续。
为在 VMware 环境内执行动态发现,InsightVM 可以连接到一个 vCenter 服务器或直接连接到单机 ESX(i) 主机。
先前受支持 ESX(i) 版本列表是关于直接连接到单机主机。 若需判断本应用程序是否支持连接到由 vCenter 管理的 ESX(i) 主机,请咨询 VMware 的互操作性矩阵,网址 http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php。
您必须配置 vSphere 部署以通过 HTTPS 通讯。为执行动态发现,安全控制台会通过 HTTPS 启动与 vSphere 应用程序编程界面 (API) 的连接。
如果 InsightVM 和您的目标 vCenter 或虚拟资产主机由某设备(如防火墙)分开而处于不同的子网络内,那么您需要与网络管理员协商以启用通讯,以便本应用程序可以执行动态发现。
确保端口 443 在 vCenter 或虚拟机主机上处于开启状态,因为本应用程序需要联络目标才能启动连接。
在创建发现连接时,您需要指定账户凭证以便本应程序可以连接到 vCenter 或 ESX/ESXi 主机。确保账户拥有 root 服务器级别的权限,以保证可发现所有目标虚拟资产。如果您在目标环境的一个文件夹中分配权限,那么您将不会看到被包含的资产,除非权限亦于母资源池被定义。从最佳实践角度来看,建议账户只拥有只读访问权。
确保目标环境中的虚拟机已安装了 VMware Tools。虽然没有安装 VMware Tools 也可以发现资产且资产将出现在发现结果中,但安装了 VMware Tools 后,这些目标资产可以被加入动态站点中。这对扫描来说有重大的益处。查看 配置动态站点。
此连接可暴露可能不太明显的资产,进而让您更全面地了解您的资产库存。扫描引擎会查询 DHCP 服务器日志,该日志随新资产信息每五秒钟进行一次动态更新。该引擎可将查询结果传送至安全控制台。您要为每一个 DHCP 连接分配一个特定的扫描引擎。
在启动连接之后,该方法可发现 DHCP 服务器已检测到的资产或者 IP 地址已更新的资产。
您可以将该数量的分布式扫描引擎与多个 DHCP 服务器连通,并与可达性较低的位置中的上述服务器连接,例如防火墙后面或网络边界上。
注意: 该 DHCP 方法仅适用于发现 InsightVM 通过其他方法或扫描尚未发现的资产。
共有两个 DHCP 收集选项可用:
注意: 目前通过目录监视程序法进行的 DHCP 发现支持 Microsoft Server 2008 和 2012 版本。
请确保您的 Microsoft DHCP 配置启用了日志记录功能。另外,我们还强烈建议您将日志文件移至一个独立于 DHCP 数据库文件的目录中。Microsoft DHCP 将一周中每天的日志数据均存储在单独的文件中,并且每周会将每个文件均覆写一次。
ヒント: 在 Windows 2008 环境下,DHCP 日志文件的默认目录路径为 %windir%\System32\Dhcp。在 Windows 2012 环境下,该路径为 %systemroot%\System32\Dhcp。
此操作为 InsightVM 提供了它联络管理资产环境的服务器或进程需要的信息。
您必须拥有全局管理员权限才能创建或管理动态发现连接。参看 管理用户和认证。
如果您要在配置新站点的同时创建连接,在主页页面,点击创建站点按钮。
或者
点击页面顶部的创建标签,然后在下拉列表中选择站点。
如果您想为现有站点创建连接,则点击主页页面站点表格中的编辑图标。
选择一种发现连接类型
输入与 Exchange ActiveSync (LDAP) 建立的新连接的相关信息:
LDAPS,是通过 SSL 的 LDAP,一种更安全的选项,如果它在您的 AD 服务器已启用,则推荐您使用。
此账户将启用安全控制台去发现已连接到 AD 服务器的移动设备。
输入与 Exchange ActiveSync (WinRM/PowerS/hell or WinRM/Office 365) 建立的新连接的相关信息:
输入新连接 (AWS) 的信息:
在 AWS 网络中设置与 InsightVM 组件的连接
在 AWS 网络外设置与 InsightVM 组件的连接
输入新连接 (vSphere) 的信息。
输入新连接(DHCP-目录监视程序)的信息。
输入新连接 (DHCP-Syslog) 的信息。
注意: Syslog 是 Infoblox Trinzic 事件来源唯一可用的收集方法。
安全控制台将显示资产发现连接面板的一般页面。
选择站点配置外的发现连接类型
安全控制台将显示连接页面。
LDAPS,是通过 SSL 的 LDAP,一种更安全的选项,如果它在您的 AD 服务器已启用,则推荐您使用。
安全控制台将显示凭证页面。
此账户将启用安全控制台去发现已连接到 AD 服务器的移动设备。
安全控制台将显示连接页面。
安全控制台将显示凭证页面。
安全控制台将显示服务页面。
安全控制台将显示凭证页面。
ヒント: 如果您创建了一个连接,随后将其更改为参考另一 DHCP 服务器,则您的资产发现结果也会更改。因此,如果在 InsightVM 中将资产与特定的 DHCP 服务器相关联对您来说很重要,请考虑将连接的名称与该 DHCP 服务器相关联,并在您更改参考服务器时更改该名称。另外请注意,您不能创建重复的 DHCP 连接。
注意: Syslog 是 Infoblox Trinzic 事件来源唯一可用的数据收集方法。
按以下步骤可查看可用连接或修改连接配置:
安全控制台将显示发现连接页面。
或者
安全控制台将显示资产发现连接面板
在发现连接页面,您亦可以删除连接或将连接信息导出至 CSV 文件,您可以出于内部使用目的在电子表格中查看。
您无法删除拥有动态站点或关联着正在进行扫描的连接。另外,修改连接设置可能影响动态站点的资产成员身份。查看 配置动态站点。您可以进入发现管理页面确定哪些动态站点是否与任何连接关联。查看 监控动态发现。
如果您使用不同的账户修改一个连接,那么取决于新账户可访问的虚拟机,发现结果将受到影响。例如:您首先使用只能访问所有广告部门虚拟机的账户创建了一个连接。然后您启动发现并创建了一个动态站点。后来,您使用只可访问人力资源部虚拟机的账户凭证更新了连接配置。您的动态站点和发现结果仍会包括广告部的虚拟机,但关于这些机器的信息却不再被动态更新。只有连接账户可访问的机器的信息才能动态更新。
此操作包括了使安全控制台联络服务器或 API 并开始发现虚拟资产。当本应用程序执行了初始化发现并返回了一份已发现资产列表后,您便可以按以下主题所述根据标准过滤器细化列表。您必须拥有管理站点权限才能执行动态发现。参看管理员指南中的 配置角色和权限。
InsightVM 建立连接并执行发现。将出现一份表格,列出了关于每项已发现资产的信息。
VMware 连接中显示的资产
注意: 通过动态连接发现的资产也显示在资产页面中。请参见对比已扫描和已发现资产
安全控制台将显示资产发现连接面板的一般页面。
注意: 通过新的、已修改的或重新激活的发现连接,此发现过程必须完成后,新发现结果才可用。可能有稍许延迟后,新结果才出现在网页界面上。
InsightVM 建立连接并执行发现。将出现一份表格,列出了关于每项已发现资产的以下信息。
表格包括的关于移动设备的信息有:
表格包括的关于 AWS 连接的信息有:
表格包括的关于 VMware 连接的信息有:
表格包括的关于 DHCP 连接的信息有:
在执行了初始化发现后,只要发现连接保持活动,则本应用程序会继续发现资产。在安全控制台网页界面顶部栏中,将显示任何不活动发现连接的通知。您也可以在发现连接页面查看所有发现连接的状态。查看 创建和管理动态发现连接。
如果您创建了一个发现连接,但没有使用此连接启动发现,或如果您启动了发现,但此连接变为不活动,那么您会在网页界面页面的左上角看到一个公告图标。滚动图标可查看关于不活动连接的消息。此消息包括一条可以启动发现的链接。
InsightVM 发现资产后,这些资产也会显示在资产页面的“通过连接发现”表格中。若需更多信息,请参见 定位和使用资产。
您可以使用过滤器根据特定发现标准细化动态发现结果。例如,您可以将发现限制在由特定资源池管理的资产内或运行特定操作系统的资产内。
注意: 如果一组过滤器与一个动态站点相关,或如果您修改过滤器以包括比许可证允许的最多扫描目标数更多的资产,那么您将看到一条错误消息,指示您需更改过滤器标准以减少已发现资产的数量。
使用过滤器拥有诸多好处。您可以限制出现在发现结果表格中的资产绝对数量。在拥有极多虚拟资产的环境中此方法很有帮助。另外,过滤器可帮您发现更具体的资产。您可以发现一个 IP 地址范围内的所有资产、属于某一资源池的所有资产或已开启或关闭的所有资产。您可以组合过滤器以获得更粒度化的结果。例如,您可以发现在已开启的某一主机中的所有 Windows 7 虚拟资产。
对于您所选的每一个过滤器,您亦选择了确定怎么应用过滤器的操作符。然后,根据过滤器和操作符,您需输入一个字符串或选择操作符应用的值。
您可以根据不同的发现结果集创建动态站点,以及通过运行扫描和报告追踪与这些资产类型相关的安全问题。查看 配置动态站点。
对移动设备连接有三种可用的过滤器:
通过操作系统过滤器,您可以根据资产的操作系统发现资产。此过滤器通过以下操作符运行:
通过用户过滤器,您可以根据与资产相关的用户账户发现资产。此过滤器通过以下操作符运行:
注意: 此过滤器仅适用于 WinRM/PowerShell 和 WinRM/Office 365 动态发现连接。
通过上一次同步时间过滤器,您可以根据移动设备与 Exchange 服务器最近同步的时间来追踪这些移动设备。如果您不希望报告中包含网络中已不再使用的旧设备提供的数据,此过滤器将十分奏效。此过滤器通过以下操作符运行。
对 AWS 连接有八种可用的过滤器:
通过可用区过滤器,您可以发现位于具体可用区内的资产。此过滤器通过以下操作符运行:
通过访客操作系统家族过滤器,您可以发现拥有或没有具体操作系统的资产。此过滤器通过以下操作符运行:
通过实例 ID过滤器,您可以发现拥有或没有具体实例 ID 的资产。此过滤器通过以下操作符运行:
通过实例名称过滤器,您可以发现拥有或没有具体实例名称的资产。此过滤器通过以下操作符运行:
通过实例状态过滤器,您可以发现处于或非处于具体操作状态的资产(实例)。此过滤器通过以下操作符运行:
实例状态包括待定、正在运行、正在关闭、已停止或正在停止。
通过实例类型过滤器,您可以发现是或不是具体实例类型的资产。此过滤器通过以下操作符运行:
实例类型包括 c1.medium、c1.xlarge、c3.2xlarge、c3.4xlarge 或 c3.8xlarge。
注意: 动态发现搜索结果可能也包括 m1.small 或 t1.micro 实例类型,但亚马逊当前不准允扫描这些类型。
通过IP 地址范围过滤器,您可以在一定范围内发现拥有或没有 IP 地址的资产。此过滤器通过以下操作符运行:
当您选择了 IP 地址范围过滤器后,您将看到两个由至字分开的空白字段。在左字段内输入范围的开头,在右字段输入范围的结尾。IP 地址的格式为“分点四组”。 例如:192.168.2.1 至 192.168.2.254
通过地区过滤器,您可以发现在或不在具体地区的资产。此过滤器通过以下操作符运行:
地区包括亚太(新加坡)、亚太(悉尼)、亚太(东京)、欧盟(爱尔兰)或南美(圣保罗)。
对 VMware 连接有八种可用的过滤器:
通过集群过滤器,您可以发现属于或不属于具体集群的资产。此过滤器通过以下操作符运行:
通过数据中心,您可以发现由具体数据中心管理或不由其管理的资产。此过滤器通过以下操作符运行:
通过访客操作系统家族过滤器,您可以发现拥有或没有具体操作系统的资产。此过滤器通过以下操作符运行:
通过主机过滤器,您可以发现是或不是具体主机系统访客的资产。此过滤器通过以下操作符运行:
通过IP 地址范围过滤器,您可以在一定范围内发现拥有或没有 IP 地址的资产。此过滤器通过以下操作符运行:
当您选择了 IP 地址范围过滤器后,您将看到两个由至字分开的空白字段。在左字段内输入范围的开头,在右字段输入范围的结尾。IP 地址的格式为“分点四组”。 例如:192.168.2.1 至 192.168.2.254
通过电源状态过滤器,您可以发现处于或不在具体电源状态的资产。此过滤器通过以下操作符运行:
电源状态包括开启、关闭或暂停。
通过资源池路径过滤器,您可以发现属于不或属于具体资源池路径的资产。此过滤器通过以下操作符运行:
您可以指定路径的任何级别,或您可以指定多个级别,每个级别由连字符和向右箭头分开:->。如果您的资源池路径级别有相同的名称,则此方法很有帮助。
例如,您可能拥有具备以下级别的两个资源池:
人力资源
管理
工作站
广告
管理
工作站
属于管理和工作站级别的虚拟机在每个路径中是不同的。如果您在过滤器中只指定管理,那么本应程序将在两个资源池路径中发现属于管理和工作站级别的所有虚拟机。
但是,如果您指定广告 -> 管理 -> 工作站,那么本应程序将发现仅属于在以广告为最高级别路径中的工作站池的虚拟资产。
通过虚拟机名称过滤器,您可以发现拥有或没有具体名称的资产。此过滤器通过以下操作符运行:
对 VMware 连接有三种可用的过滤器:
您可以用主机过滤器根据主机名称发现资产。此过滤器通过以下操作符运行:
通过IP 地址范围过滤器,您可以在一定范围内发现拥有或没有 IP 地址的资产。此过滤器通过以下操作符运行:
当您选择了 IP 地址范围过滤器后,您将看到两个由至字分开的空白字段。在左字段内输入范围的开头,在右字段输入范围的结尾。IP 地址的格式为“分点四组”。 例如:192.168.2.1 至 192.168.2.254
您可以用 MAC 地址过滤器根据 MAC 地址发现资产。此过滤器通过以下操作符运行:
如果您使用多个过滤器,则您可以使本应程序发现匹配在过滤器中指定的所有标准的资产,或匹配在过滤器中指定的任何标准的资产。
这些选项的不同点在于,所有设置仅会返回匹配所有过滤器发现标准的资产,而任何设置会返回匹配任何已知过滤器的资产。所以,选择所有通常会返回比任何更少的结果。
例如,一个目标环境包括 10 个资产。有五个资产运行 Ubuntu,名称分别是 Ubuntu01、Ubuntu02、Ubuntu03、Ubuntu04 和 Ubuntu05。另外五个运行 Windows,名称分别是 Win01、Win02、Win03、Win04 和 Win05。假设您创建了两个过滤器。第一个发现过滤器是操作系统过滤器,返回运行 Windows 的资产列表。第二个是资产过滤器,返回名称中含“Ubuntu”的资产列表。
如果您在两个过滤器中使用所有设置发现资产,那么本应用程序将发现运行 Windows 及资产名中含“Ubuntu”的资产。由于不存在此类资产,所以不会发现任何资产。但是,如果您使用配有任何设置的相同过滤器,则本应程序会发现运行 Windows 或名称中含有“Ubuntu”的资产。五个资产运行 Windows,其他五个资产的名称中含有“Ubuntu”。因此,结果集含有所有资产。
注意: 如果一项虚拟资产没有 IP 地址,那么它只能通过其主机名被发现和识别。此虚拟资产会出现在发现结果中,但不会被添加进动态站点。没有 IP 地址的资产无法被扫描。
在您按先前部分所述内容启动发现后,安全控制台将显示结果表格,请按以下步骤配置和应用过滤器:
将出现过滤器行。
将出现新过滤器行。按先前步骤所述设置新过滤器。
配置完过滤器后您可以将其应用到发现结果中。
或者点击重置可清除所有过滤器并再次开始。
现在发现结果表格显示了基于已过滤发现的资产。
在站点配置中应用动态发现过滤器
只要连接是活动的,发现就是一项持续进行的过程,而监控与发现相关的事件会很有帮助。发现统计页面包括几个十分有用处的表格:
动态发现并不是用于枚举虚拟资产的主机类型。本应用程序将它发现的每项资产均归类为主机类型,并使用此种分类作为搜索创建动态资产组的过滤器。请参见 执行已过滤资产搜索。可能的主机类型包括虚拟机和虚拟机监控程序。确认资产主机类型的唯一方法是执行受信任的扫描。所以,您通过动态发现且未使用凭证扫描的任何资产将拥有未知的主机类型,会显示在此资产的扫描结果页面。动态发现只会找到虚拟资产,因此动态站点将只含有虚拟资产。
注意: 事件表格中的所列项反映了前 30 天的发现情况。
按以下步骤可监控动态发现:
查看发现统计
您必须符合以下先决条件才能创建动态站点:
如果您尝试根据比许可证允许的最多扫描目标数更多的已发现资产数创建动态站点,那么您将看到一条错误消息,指示您需更改过滤器标准以减少已发现资产的数量。参看 使用过滤器细化动态发现。
注意: 当您创建了动态站点后,符合此站点过滤器标准的所有资产将不会关联属于现有站点的资产。从许可证的角度看,列于两个站点的一个资产会被完全认为是两个资产。
在创建并启动发现连接后,您可以继续配置站点。
如果您已在站点配置外创建并启动了发现连接,则点击发现页面中的创建动态站点按钮。安全控制台将显示站点配置。继续配置站点。
只要已启动动态发现的连接处于活动状态,那么动态站点中的资产成员身份就会随着目标环境的改变而变化。
您亦可以通过改变发现连接或过滤器而更改资产成员身份。参看 使用过滤器细化动态发现。
若要查看并更改资产成员身份:
无论何时目标发现环境中发生变化,如添加或删除新虚拟机,此变化即会反映在动态站点资产列表中。这样,您会知晓目标环境的当前情况。
另一个好处是,如果在动态站点列表中的已发现资产数超过了许可证允许的扫描目标最大数,那么您将在运行扫描前看到一条警告。这样保证了您不会运行扫描并排除某些资产。如果您没有调整资产计数便运行了扫描,那么此扫描将以先前发现的资产为目标。您可以通过细化站点的发现过滤器调整资产计数。
如果您更改了发现连接或已扫描动态站点的发现过滤器标准,那么资产的成员身份会受以下方式影响:没有被扫描且不再符合新发现过滤器标准的所有资产将从站点列表中删除。已被扫描且与扫描数据关联的所有资产,无论其是否符合新过滤发现标准,都会留在站点列表中。符合新过滤标准的所有新发现资产将被添加到动态站点列表中。