。或者
点击页面顶部的创建标签,然后在下拉列表中选择动态资产组。
当您处理拥有大量资产的网络时,可能有必要集中于一组特定子集或这样做很有帮助。已过滤资产搜索功能允许您根据标准搜索资产,标准包括 IP 地址、站点、操作系统、软件、服务、漏洞和资产名。然后您可以另存结果为动态资产组,用于追踪、扫描和报告。参看 使用搜索功能。
使用搜索过滤器,您可以发现对您有即时利益的资产。这样会帮助您专注于修复事项,管理运行于大型网络中资产的绝对数量。
若要开始已过滤资产搜索:
点击位于网页界面搜索栏下方和右侧的资产过滤器图标 。
或者
点击页面顶部的创建标签,然后在下拉列表中选择动态资产组。
将出现已过滤资产搜索页面。
或者
点击管理图标进入管理页面,之后点击资产组按钮旁边的动态链接。
或者
注意: 执行已过滤资产搜索是创建动态资产组的第一步
如果您在资产组页面,点击新动态资产组。
搜索过滤器允许您选择感兴趣的资产属性。您可以添加多个过滤器以获得更精确的搜索结果。例如,您可以基于某一 IP 地址范围、某一特定操作系统和某一特定站点的过滤器,然后组合这些过滤器以返回同时满足所有指定标准的所有资产列表。使用较少的过滤器一般会增加搜索结果。
您可以组合过滤器,以使搜索结果集只包括满足所有过滤器的所有标准的资产(结果集会更小)。或者,您可以组合过滤器,以使搜索结果集只包括满足任何指定过滤器的所有标准的资产(结果集会更大)。参看 组合过滤器。
以下资产搜索过滤器可用:
当您选择一个过滤器时,此过滤器的配置选项操作符会自动变为可用。
资产搜索过滤器
通过资产名称过滤器,您可以根据资产的名称搜索资产。过滤器将搜索字符串应用于资产名称,所以搜索会返回满足指定标准的资产。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入资产名称的搜索字符串。
通过 CVE ID 过滤器,您可以根据 CVE ID 搜索资产。CVE 标识符 (ID) 是用于周知信息安全漏洞的唯一、通用的标识符。若需更多信息,请登入 https://cve.mitre.org/cve/identifiers/index.html。过滤器将搜索字符串应用于 CVE ID,所以搜索会返回满足指定标准的资产。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入 CVE ID 的搜索字符串。
通过主机类型过滤器,您可以根据主机系统类型搜索资产,据此,资产可以是以下任何一项或多项类型:
您可以使用此过滤器来追踪和报告特定主机类型的安全问题。例如,如果一虚拟机监控程序受到侵害,那么它可能尤其地敏感,此虚拟机监护程序的任何访客亦处于风险之中。
过滤器将搜索字符串应用于主机类型,搜索便会返回一份资产列表,这些资产要么匹配、要么不匹配所选的主机类型。
此过滤器通过以下操作符运行:
您可以根据您的标准组合多个主机类型,搜索满足多个标准的资产。例如,您可以创建一个“是虚拟机监控程序”的过滤器以及一个“是虚拟机”的过滤器,查找全软件虚拟机监控程序。
如果您的环境包括 IPv4 和 IPv6 地址,则您可以发现地址格式是任意一种的资产。这样您便可以在网络的不同区段中追踪和报告特定安全问题。IP 地址类型过滤器通过以下操作符运行:
选择了过滤器和需要的操作符后,选择需要的格式:IPv4 或 IPv6。
通过 IP 地址范围过滤器,您可以指定一个 IP 地址范围,搜索便会返回属于或不属于此 IP 地址范围的资产列表。此过滤器通过以下操作符运行:
当您选择了 IP 地址范围过滤器后,您将看到两个由至字分开的空白字段。在左边字段输入 IP 地址范围的开始值,在右边字段输入地址范围的结束值。
192.168.2.1 至 192.168.2.254
通过最后扫描日期过滤器,您可以基于资产最后扫描的日期搜索资产。例如,您可能想对最近已扫描的资产运行报告。或者您可能想查找很久未被扫描的资产,再将其从数据库中删除,因为它们在追踪方面不再有用。此过滤器通过以下操作符运行:
在使用这个过滤器时要记住几点:
注意: 此过滤器仅适用于 WinRM/PowerShell 和 WinRM/Office 365 动态发现连接。
通过上一次同步时间过滤器,您可以根据移动设备与 Exchange 服务器最近同步的时间来追踪这些移动设备。如果您不希望报告中包含网络中已不再使用的旧设备提供的数据,此过滤器将十分奏效。此过滤器通过以下操作符运行。
开启某些端口可能违反配置政策。通过开启端口号过滤器,您可以搜索开启了指定端口的资产。通过隔离端口开启的资产后,您可以关闭并重新扫描这些端口,验证是否已关闭。选择一个操作符,再输入端口或端口范围。根据您的标准,搜索结果将返回拥有开启端口的资产、没有开启端口的资产和拥有一系列开启端口的资产。
此过滤器通过以下操作符运行:
通过操作系统名称过滤器,您可以基于资产的托管式操作系统搜索资产。根据搜索,您可从操作系统列表中选择或输入搜索字符串。过滤器会返回满足指定标准的资产列表。
此过滤器通过以下操作符运行:
这个过滤器可让您查找拥有其他 IPv4 或 IPv6 地址的资产(除已知道的地址外)。当本应用程序扫描一个已包括在站点配置中的 IP 地址时,它会发现此资产的其他任何地址。这些可能包括未被扫描的地址。例如:某资产可能拥有一个 IPv4 地址和一个 IPv6 地址。在配置站点的扫描目标时,您可能只注意到了 IPv4 地址,所以您只在站点配置中加入了这个待扫描地址。在运行扫描时,本应用程序会发现 IPv6 地址。通过使用这个资产搜索过滤器,您可以搜索适用此种情况的所有资产。您可以将已发现的地址添加到站点,作为未来扫描之用,以增加安全覆盖。
选择了此过滤器和操作符后,您需从下拉菜单中选择 IPv4 或 IPv6。
此过滤器通过一种操作符运行:
当用 PCI 审计模板扫描时,PCI 状态过滤器可让您基于是否返回通过或失败结果搜索资产。找出未通过合规扫描的资产有助于您在正式 PCI 审计前,快速确定哪些资产需要修复。
此过滤器通过两种操作符运行:
选择操作符后,从下拉列表中选择通过或失败选项。
通过服务名称过滤器,您可以根据在资产中运行的服务搜索资产。过滤器将搜索字符串应用于服务名称,搜索便会返回一份资产列表,这些资产要么拥有、要么没有指定的服务。
此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入服务名称的搜索字符串。
通过站点名称过滤器,您可以基于资产所属的站点名称搜索资产。
如果您想控制用户对站点内新发现资产的访问,且这些用户没有对这些站点的访问权,则此过滤器有重要作用。参看使用动态资产组中的注释。
过滤器将搜索字符串应用于站点名称,搜索便会返回一份资产列表,这些资产要么属于、要么不属于指定的站点。
此过滤器通过以下操作符运行:
通过软件名称过滤器,您可以根据安装于资产中的软件搜索资产。过滤器将搜索字符串应用于软件名称,搜索便会返回一份资产列表,这些资产要么运行、要么未运行指定的软件。
此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入软件名称的搜索字符串。
通过已验证漏洞过滤器,您可以搜索带有漏洞的资产,而这些漏洞须是已通过 Metasploit 整合由漏洞利用程序验证。使用这个过滤器可以隔离带有某些漏洞的资产,这些漏洞须均以较高的确认度被证明存在。若需更多信息,请参看使用已验证漏洞 。
此过滤器通过一种操作符运行:
通过用户添加的关键度级别过滤器,您可以基于您和您的用户已应用于资产的关键度标签搜索资产。例如,用户可能设置属于公司主管们的所有资产在企业中的关键度为“非常高”。使用这个过滤器可以不管站点或其他相关设置,而通过关键度识别资产。您可以搜索有或没有具体关键度级别的资产、关键度级别高于或低于具体关键度级别的资产、有或没有任何已设置关键度的资产。若需关于关键度级别的更多信息,请参看应用带有标签的 RealContext。
此过滤器通过以下操作符运行:
选择操作符后,从下拉菜单中选择一个关键度级别。可用的关键度级别有非常高、高、中等、低和非常低。
通过用户添加的自定义标签过滤器,您可以基于用户已应用于资产的自定义标签搜索资产。例如,您公司的一些资产涉及一项网银程序,分布于各个位置和子网络,一个用户便可以用自定义“网上银行”标签对其标记。使用这个过滤器可以不管站点或其他相关设置,而通过此标签识别资产。您可以搜索带有或没有具体标签的资产、自定义标签符合某些标准的资产、有或没有任何用户添加的自定义标签的资产。若需关于用户添加的自定义标签的更多信息,请参看应用带有标签的 RealContext。
此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入自定义标签的搜索字符串。
通过用户添加的标签(位置)过滤器,您可以基于用户已应用于资产的位置标签搜索资产。例如,用户可能已创建并应用了“亚克朗”和“辛辛那提”标签,以用户友好型的方式指明了资产的实际位置。使用这个过滤器可以不管其他相关设置,而通过此标签识别资产。您可以搜索带有或没有具体标签的资产、位置标签符合某些标准的资产、有或没有任何用户添加的位置标签的资产。若需关于用户添加的位置标签的更多信息,请参看应用带有标签的 RealContext。
此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入位置标签的搜索字符串。
通过用户添加的标签(拥有者)过滤器,您可以基于用户已应用于资产的拥有者标签搜索资产。例如,一个公司可能有不同的人负责不同的资产。用户可为每个人负责的资产做标记,使用此信息追踪这些资产的风险级别。您可以搜索带有或没有具体标签的资产、拥有者标签符合某些标准的资产、有或没有任何用户添加的拥有者标签的资产。若需关于用户添加的拥有者标签的更多信息,请参看应用带有标签的 RealContext。
此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入位置标签的搜索字符串。
以下的 vAsset 过滤器可让您搜索使用 vAsset 发现追踪的虚拟资产。根据具体标准创建虚拟资产的动态资产组,有助于分析您的虚拟环境中的不同区段。例如,您可能想针对所有会计部门使用的虚拟资产运行报告或评估风险,并且它们都由一个具体的资源池支持。若需要关于 vAsset 发现的信息,请参看 发现 VMware vCenter 或 ESX/ESXi 管理的虚拟机。
通过 vAsset 集群过滤器,您可以搜索属于或不属于具体集群的虚拟资产。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入集群的搜索字符串。
通过 vAsset 数据中心过滤器,您可以搜索由具体数据中心管理或不由其管理的资产。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入数据中心名称的搜索字符串。
通过 vAsset 主机过滤器,您可以搜索是或不是具体主机系统访客的资产。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入主机名称的搜索字符串。
通过 vAsset 电源状态过滤器,您可以搜索处于或不在具体电源状态的资产。此过滤器通过以下操作符运行:
选择操作符后,从下拉列表中选择一个电源状态。电源状态包括开启、关闭或暂停。
通过 vAsset 资源池路径过滤器,您可以发现属于或不属于具体资源池路径的资产。此过滤器通过以下操作符运行:
您可以指定路径的任何级别,或您可以指定多个级别,每个级别由连字符和向右箭头分开:->。如果您的资源池路径级别有相同的名称,则此方法很有帮助。
例如,您可能拥有具备以下级别的两个资源池:
人力资源
管理
工作站
广告
管理
工作站
属于管理和工作站级别的虚拟机在每个路径中是不同的。如果您在过滤器中只指定管理,那么搜索将返回属于两个资源池路径中管理和工作站级别的所有虚拟机。
但是,如果您指定广告 -> 管理 -> 工作站,那么搜索将仅返回属于在以广告为最高级别路径中的工作站池的虚拟资产。
选择了一项操作符后,在空白字段输入资源池路径的搜索字符串。
通过以下通用漏洞评分系统 (CVSS) 风险矢量的过滤器,您可以根据对您的企业安全造成不同类型或级别风险的漏洞搜索资产:
这些过滤器指用于计算 CVSS 分数和 PCI 严重性级别的业界标准矢量。它们亦用于风险策略计算进行风险评分。若需关于 CVSS 矢量的详细信息,请登入(美国)国家漏洞数据库网站 nvd.nist.gov/cvss.cfm。
通过这些过滤器,您可以根据在资产中发现的漏洞的不同可利用属性查找资产,或者,根据在发生侵害时,在资产中发现的漏洞对资产造成影响的不同类型和程度查找资产。隔离这些资产可帮您在确定修复优先项或准备 PCI 审计时做出更明智的决定。
所有六种过滤器均通过两种操作符运行:
选择了过滤器和操作符后,从下拉列表中选择需要的影响级别或可能性属性:
通过漏洞类别过滤器,您可以根据在扫描中已标记在资产上的漏洞类别搜索资产。在快速查找出有多少和哪些资产有特定类型的漏洞时,比如与 Adobe、Cisco 或 Telnet 相关的漏洞,这个过滤器帮助很大。漏洞类别列表位于扫描模板配置或报告配置的漏洞检查部分,您可以根据漏洞过滤报告范围。
过滤器将搜索字符串应用于漏洞类别,这样搜索会返回一份资产列表,这些资产要么有、要么没有匹配搜索字符串的类别的漏洞。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入漏洞类别的搜索字符串。
通过漏洞 CVSS 分数过滤器,您可以搜索拥有具体 CVSS 分数或属于某一分数范围的漏洞的资产。根据符合 PCI 严重性级别:低 (0.0-3.9)、中等 (4.0-6.9) 和高 (7.0-10) 的 CVSS 分数范围创建资产组是很有帮助的,这样可帮您确定修复资产的优先顺序。
此过滤器通过以下操作符运行:
选择操作符后,在空白字段输入一个分数。如果您选择了范围操作符,您需要输入一个低分数和一个高分数以创建一个范围。可接受的值包括从 0.0 至 10 的任意数字。小数点后只可保留一位。如果您输入了多位,分数会自动四舍五入。例如,如果您输入的分数为 2.25,则分数会自动四舍五入为 2.3。
通过漏洞曝光过滤器,您可以根据以下已知在资产中发现的漏洞相关的曝光类型搜索资产:
一些资产因为这些曝光遭受侵害的可能性更大,而此过滤器对隔离和优先排序这些资产十分有用。
过滤器将搜索字符串应用于一个或多个漏洞曝光类型,这样搜索会返回一份资产列表,这些资产要么有、要么没有与指定曝光类型相关的漏洞。此过滤器通过以下操作符运行:
选择操作符后,在下拉列表中选择一个或多个曝光类型。若要选择多个类型,按住 <Ctrl> 键,点击所有需要的类型。
通过漏洞风险评分过滤器,您可以搜索拥有具体风险评分或属于某一分数范围的漏洞的资产。例如,隔离和追踪具有更高风险评分的资产可以帮您优先对这些资产的修复事项的顺序。
此过滤器通过以下操作符运行:
选择操作符后,在空白字段输入一个分数。如果您选择了范围操作符,您需要输入一个低分数和一个高分数以创建一个范围。在根据风险评分搜索资产时,要记住当前选择的风险策略。例如,如果您当前选择的策略是实际风险,那么您将无法查找到分数高于 1,000 的资产。请参考漏洞和资产表格中的风险评分做为指导。
通过漏洞标题过滤器,您可以根据在扫描中已标记在资产上的漏洞搜索资产。在验证补丁应用程序或快速查找有多少和哪些资产具有特定高风险漏洞时,这个过滤器帮助很大。
过滤器将搜索字符串应用于漏洞标题,搜索便会返回一份资产列表,这些资产的漏洞标题中要么拥有、要么没有指定的字符串。此过滤器通过以下操作符运行:
选择了一项操作符后,在空白字段输入漏洞名称的搜索字符串。
如果您创建了多个过滤器,则您可以使 InsightVM 返回匹配在过滤器中指定的所有标准的资产列表,或匹配在过滤器中指定的任何标准的资产列表。在搜索标准面板的底部,可以通过下拉列表做出选择。
所有和任何的不同点在于,所有设置仅会返回匹配所有过滤器搜索标准的资产,而任何设置会返回匹配任何已知过滤器的资产。所以,选择所有通常会返回比任何更少的结果。
例如,假设您正扫描拥有 10 个资产的站点,其中五个资产运行 Linux,名称为别为 linux01、linux02、linux03、linux04 和 linux05。另外五个运行 Windows,名称分别为 win01、win02、win03、win04 和 win05。
假设您创建了两个过滤器。第一个过滤器是操作系统过滤器,返回运行 Windows 的资产列表。第二个是资产过滤器,返回名称中含“linux”的资产列表。
如果您使用所有设置,用两个过滤器执行已过滤资产搜索,则搜索将返回运行 Windows 和资产名称中有“linux”的资产列表。由于不存在这样的资产,所有不会有搜索结果。但是,如果您使用配有任何设置的相同过滤器,则搜索会返回运行 Windows 或名称中有“linux”的资产列表。五个资产运行 Windows,其他五个资产的名称中含有“linux”。因此,结果集将含有所有资产。