使用报告格式
在报告创建过程中,选择格式十分重要。格式不仅影响了报告的外观和使用方式,也对在报告中出现的信息内容有一些影响。
使用可读格式
有多种格式可以立即让报告数据变得易于分配、打开和读取:
- PDF 可以在 Adobe Reader 中被打开和查看。
- HTML 可以在网页浏览器中被打开和查看。
- RTF 可以在 Microsoft Word 中被打开、查看和编辑。如果您需要对报告进行编辑和注释,这种格式是更可取的。
- 文本可以在任何文本编辑程序中被打开、查看和编辑。
注意: 如果您想要使用亚洲语言字符生成 PDF 报告,请确保在您的主机中妥善安装 UTF-8 字体。使用 UTF-8 字体的 PDF 报告会在文件大小方面稍大些。
如果您使用自 2010 年 9 月 1 日起针对 PCI 扫描强制要求的三种报告模板之一(合规证明、PCI 执行摘要或漏洞细节),或者由这些模板中的部分组成的自定义模板,您仅可以使用 RTF 格式。这三种模板需要 ASV 以手动填写某些部分。
使用 XML 格式
ヒント: 如需了解有关 XML 导出属性的信息,请参见导出模板属性。该部分描述了在 CSV 导出模板中的相似属性,其中的一些名称稍有不同。
各种各样的 XML 格式令使用第三方系统整合报告成为可能。
- 资产报告格式 (ARF) 提供基于连接类型、主机名和 IP 地址的资产信息。此模板系要求用于向美国政府提交政策扫描结果,进行 SCAP 认证。
- XML 导出,也被称为“原始 XML”,含有具有最简结构的扫描数据综合集。它的内容必须被解析,这样,其他系统才能使用它的信息。
- XML 导出 2.0 与 XML 导出类似,但含有其他属性:
| 资产风险
| 漏洞利用程序标题 | 站点名称 |
| 漏洞利用程序 ID | 恶意软件包名称 | Site Importance |
| 所需利用技能 | PCI 合规状态 | 漏洞风险 |
| 漏洞利用程序源链接 | Scan ID | 漏洞开始时间 |
| 漏洞利用程序类型 | Scan Template | |
- InsightVM TM 简单 XML 也是一种“原始 XML”格式。它是整合扫描数据与 Metasploit 漏洞利用程序框架的理想选择。它含有在 XML 导出格式中可用的数据子集:
- 已扫描的主机
- 在这些主机上发现的漏洞
- 已扫描的服务
- 在这些服务上发现的漏洞
- SCAP 兼容 XML 也是一种“原始 XML”格式,它含有适用于经识别平台的通用平台枚举 (CPE) 名称。这种格式支持针对未经验证扫描器产品的安全内容自动化协议 (SCAP) 标准合规。
- XML 能够将数据安排在条理清楚且人类可读的 XML 中,它是导出至其他文档格式的理想选择。
- XCCDF 结果 XML 报告提供了关于单个 USGCB 或 FDCC 配置政策规则的合规测试。每个报告专用于一个规则。XML 导出包括关于规则自身的详细信息以及关于扫描结果的数据。如果任何结果被覆写,则导出内容能够识别自运行报告之时起最新的覆写。请参见覆写规则测试结果。
- XCCDF 结果 XML 报告提供了关于单个 USGCB 或 FDCC 配置政策规则的合规测试。每个报告专用于一个规则。XML 导出包括关于规则自身的详细信息以及关于扫描结果的数据。如果任何结果被覆写,则导出内容能够识别自运行报告之时起最新的覆写。请参见覆写规则测试结果。
- CyberScope XML 导出能够整理提交给 CyberScope 应用程序的扫描数据。美国行政管理和预算局要求某些实体提交 CyberScope 格式化的数据,以此作为报告威胁月度计划的部分内容。
- Qualys* XML 导出旨在整合 Qualys 报告框架。
*Qualys 是 Qualys, Inc. 的商标。
XML 导出 2.0 含有大部分信息。事实上,它含有在扫描过程中获取的所有信息。大家可以从帮助的支持页面下载它的模式。使用它可以帮助您理解数据的整理方式以及您根据自己的需要对它进行自定义设置的方式。
使用 CSV 导出
您可以在 Microsoft Excel 中打开 CSV(逗号分隔值)报告。这是一种强大且功能齐全的格式。它不仅含有大量的扫描信息(比在报告模板中获得的信息多),而且,您还可以轻松使用宏命令及其他 Excel 工具来操作数据并提供关于它的多种视图。现有两种可用的 CSV 格式:
- CSV 导出含有综合性扫描数据
- XCCDF 可读 CSV 报告提供了关于单个 USGCB 或 FDCC 配置政策规则合规的单项资产测试结果。如果任何结果被覆写,则导出内容能够基于自生成导出内容之时起最新的覆写列出结果。不过,就其本身而言,导出内容不会识别覆写或包含覆写历史记录。请参见覆写规则测试结果。
CSV 导出格式仅对基本漏洞检查结果模板和任何数据类型自定义模板有效。参看 使用自定义报告模版微调信息。
使用 Excel 数据透视表从 CSV 文件创建自定义报告
Microsoft Excel 中的数据透视表功能允许您以各种方式处理报告数据,基本上,您可以在导出的 CSV 文件上创建多个报告。下面是关于使用数据透视表的说明。这些说明体现了 Excel 2007 的功能。其他版本的 Excel 提供了类似的工作流。
如果您在连接安全控制台所用的计算机上安装了 Microsoft Excel,请点击报告页面上的 CSV 文件链接。此操作会启动 Microsoft Excel 并打开文件。如果您未在连接控制台所用的计算机上安装 Microsoft Excel,请从报告页面下载 CSV 文件,并将其传送给安装了 Excel 的计算机。然后,按以下步骤操作。
如需从 CSV 文件中创建自定义报告:
- 启动创建数据透视表的流程。
- 选择所有数据。
- 点击插入标签,然后选择PivotTable图标。
创建数据透视表对话框会显示出来。
- 点击确定,接受默认设置。
Excel 会打开一个新的空白工作表。在此工作表的右侧有一个名为 PivotTable 字段列表的栏,您可以使用它创建报告。在此栏的顶部窗格是一个您可以向报告中添加的字段的列表。大多数字段都是无需加以说明的。
结果代码字段提供了漏洞检查的结果。请参见怎样以 XML 和 CSV 格式显示漏洞例外情况,以查看结果代码及其描述的列表。
严重性字段提供了严重性的数字评分。本应用程序会为每个漏洞指定一个严重性级别,此严重性级别列于严重性栏中。三种严重性级别—关键、严重和中等—体现了既定漏洞对您的网络安全造成的风险程度。本应用程序会使用各种因素来评价严重性,包括 CVSS 分数、漏洞存在时间和发生率以及漏洞利用程序是否可用。
注意: 严重性字段与 PCI 报告中的严重性评分无关。
- 8 至 10 = 关键
- 4 至 7 = 严重
- 1 至 3 = 中等
下一个步骤是为您想要创建的报告类型选择字段,如下方三个例子所示。
例 1: 创建一个列出五个最多的利用漏洞的报告
- 拖曳结果代码至报告过滤器窗格。
- 点击 B 栏中的下拉箭头,以显示您可以加入报告的结果代码。
- 为多个项目选择选项。
- 为利用漏洞选择 ve。
- 点击确定。
- 拖曳 vuln-id 至行标签窗格。
行标签在 A 栏中显示出来。
- 拖曳 vuln-id 至数值窗格。
漏洞 ID 计数在 B 栏中显示出来。
- 点击 A 栏中的下拉箭头,将已列出漏洞的数目更改为五。
- 选择数值过滤器,然后选择前 10...
- 在前 10 个过滤器对话框中输入 5,并点击确定。
结果报告会列出五个最多的利用漏洞。
例 2: 创建一个列出每个资产所需的 Microsoft 热修复的报告
- 拖曳结果代码至报告过滤器窗格。
- 点击工作表 B 栏中的下拉箭头,以显示您可以加入报告的结果代码。
- 为多个项目选择选项。
- 为利用漏洞选择 ve,并为可入侵的版本选择 vv。
- 点击确定。
- 拖曳主机至行标签窗格。
- 拖曳 vuln-id 至行标签窗格。
- 在窗格中点击 vuln-id 一次,以在 PivotTable 字段列表栏中选择字段。
- 点击它旁边的下拉箭头并选择标签过滤器。
- 在标签过滤器对话框中选择含有...。
- 输入 windows 热修复数值。
- 点击确定。
结果报告会列出每个资产所需的 Microsoft 热修复。
例 3: 创建一个列出最关键漏洞以及处境危险的系统的报告
- 拖曳结果代码至报告过滤器窗格。
- 点击 B 栏中的下拉箭头,以显示您可以加入报告的结果代码。
- 为多个项目选择选项。
- 为利用漏洞选择 ve。
- 点击确定。
- 拖曳严重性至报告过滤器窗格。
另一个工作表。
- 点击 B 栏中的下拉箭头,以显示您可以加入报告的评分。
- 为多个项目选择选项。
- 为关键漏洞选择 8、9 和 10。
- 点击确定。
- 拖曳 vuln-titles 至行标签窗格。
- 拖曳 vuln-titles 至数值窗格。
- 点击在 A 栏中的下拉箭头并选择标签过滤器。
- 在前 10 个过滤器对话框中选择前 10...,确认该数值为 10。
- 点击确定。
- 拖曳主机至栏标签窗格。
- 另一个工作表。
- 点击 B 栏中的下拉箭头并选择标签过滤器。
- 在标签过滤器对话框中选择大于...,输入数值 1。
- 点击确定。
结果报告会列出最关键漏洞以及处境危险的资产。
怎样以 XML 和 CSV 格式显示漏洞例外情况
漏洞例外情况对于修复项目的优先次序和合规审计而言可能十分重要。报告模板含有例外情况专用的部分。请参见 漏洞例外情况。在 XML 和 CSV 报告中,例外情况信息也可用。
XML: 针对因例外情况而被取消的漏洞,漏洞测试状态属性将被设置为下列数值之一:
exception-vulnerable-exploited - Exception suppressed exploited vulnerability
exception-vulnerable-version - Exception suppressed version-checked vulnerability
exception-vulnerable-potential - Exception suppressed potential vulnerability
CSV: 针对因例外情况而被取消的漏洞,漏洞结果代码栏将被设置为下列数值之一。
漏洞结果代码
每个代码对应的是一次漏洞检查的结果:
- ds (已跳过,已禁用):由于已在扫描模板中被禁用,所以没有执行检查。
- ee (已排除,已利用):针对可利用漏洞的检查已被排除。
- ep (已排除,潜在):针对潜在漏洞的检查已被排除。
- er(检查过程中出错):在漏洞检查的过程中出现错误。
- ev (已排除,版本检查):检查已被排除。适用于因已扫描服务或应用程序的版本与已知漏洞相关而被识别的漏洞。
- nt (无测试):没有执行任何测试。
- nv (不易损):检查为否定结果。
- ov (已覆写,版本检查):由于目标服务或应用程序的版本与因其他检查信息而显示否定结果的已知漏洞相关,所以漏洞的检查结果通常是肯定的。
- sd (因 DoS 设置已跳过):sd(因 DoS 设置已跳过)—如果在扫描模板中没有启用不安全检查,那么,由于存在导致拒绝服务 (DOS) 的风险,应用程序会跳过检查。请参见漏洞检查设置的配置步骤。
- sv (因版本不适用已跳过):由于已扫描项目的版本未包含在检查列表中,应用程序未执行检查。
- uk (未知):因出现内部问题,应用程序无法报告扫描结果。
- ve (可入侵,已利用):如特定资产漏洞测试所指示的那样,检查结果是肯定的。如果已发现漏洞结果类型在报告配置中被选中,那么,带有此结果的漏洞会在 CSV 报告中显示出来。请参见 按漏洞过滤报告范围。
- vp (可入侵,潜在):潜在漏洞的检查结果是肯定的。
- vv (可入侵,版本检查):检查为肯定结果。已扫描服务或软件的版本与已知的漏洞相关。
使用数据库导出格式
您可以将数据库导出报告格式导出至 Oracle、MySQL 和 Microsoft SQL Server。
如 CSV 和 XML 格式一样,数据库导出格式含有的数据相当全面。配置数据库导出内容会含有或排除哪些内容是不可能的。请考虑将 CSV 或任一种 XML 格式作为替代。
InsightVM 提供了一种模式,以帮助您理解哪些数据会被包含在报告中以及这些数据会怎样被整理,这些内容有助于您理解如何使用数据。您可以向技术支持部门申请数据库导出。