自动化多变环境中的安全操作

环境内部和外部的安全问题是不断变化的。在内部，每次您的企业聘用新员工或者用新服务器更换旧型号服务器时，新资产都要上线。或者，有时在您的网络中会看不到之前扫描的资产，这种情况发生后，之前扫描的资产要重新上线。

在外部，新的漏洞不断出现，使您的资产受到越来越多的攻击威胁。

自动化应对这些变化后，您可以让您的安全团队实时了解最新的发展情况并随时准备好采取适当的行动。如果有新资产上线，您可以立即对其进行扫描，查看是否有任何缺陷或曝光。如果宣布了新的高风险漏洞，您可以马上查找受其影响的资产。

自动化操作功能让您可以将与资产和漏洞相关的事件作为运行扫描和修改站点的触发器。

您必须是全局管理员，并且拥有使用此功能的 Nexpose 企业版许可证。

自动化应对新的漏洞

每次 Nexpose 内容更新都会添加您可以扫描的一系列新的漏洞检查。发生更新后，您或许希望马上知道您的任何资产是否受到了某些高风险或严重漏洞或者 CVSS 分数高的漏洞的影响。如果热修复补丁内容更新包含零天曝光检查，您可能会想要尽快扫描您的网络，查看是否存在该漏洞。

您可以将新漏洞作为设置自动化操作的触发器：

1. 点击自动化操作图标。
2. 点击新操作按钮。
3. 选择新漏洞作为触发器。
4. 在扫描漏洞下拉列表中，选择以下任一漏洞指标：

• CVSS 分数
• 严重性级别
• 风险评分

4. 根据您选择的指标输入最小值。

• CVSS 分数为 0.0 至 10.0 间的小数。
• 严重性级别为 1 至 10 间的整数。
• 风险评分因您用来计算分数的风险策略的不同而变化。例如，实际风险策略会得出最高分 1,000，而时间性策略则没有上限，某些高风险漏洞的分数会达到数十万。若需更多信息，请参见使用风险策略分析威胁。

选择新覆盖作为触发器

4. 点击下一步。
5. 在下拉列表中选择一项操作。因为存在新漏洞，所以扫描是唯一可采取的操作。
6. 选择要进行新漏洞扫描的站点。例如，您可能有一个站点，它包含您想要马上扫描的敏感资产。

选择在波士顿站点中扫描新漏洞的操作。

7. 点击下一步。
8. 输入一个名称，以帮助您记住该自动化操作。
9. 点击保存操作。

新操作显示在自动化操作列表中，状态为就绪，这意味着任何时候当进行的新内容更新包含符合过滤标准的漏洞时，针对该漏洞的扫描将在您选择的站点上运行。

自动化操作列表

自动化应对资产发现

您的攻击面会随着每个新员工获得笔记本电脑或者员工获得更换后的工作站而发生变化。根据您企业的规模手动追踪每项新资产可能很难做到。通过运用动态发现功能并运行扫描，您可以实时了解资产库存的最新变化情况。您还可以运用该机制触发自动操作，以便更密切地追踪“新”资产及评估它们的任何安全缺陷。

如果您使用的是以下任一发现方法，则可以将安全相关的操作自动化，以追踪新发现的资产或者过去扫描的但后来在您的网络中消失然后又重现的资产：

• vSphere
• 亚马逊网络服务 (AWS)
• DHCP 服务

发现新资产时应进行的操作

动态发现功能可不断发现添加至您环境中的任何资产。

任何时候当通过上述任一方法发现了新资产时，您都可以将其添加至某一站点，然后马上扫描该站点（如果您想）。按以下步骤设置自动化操作：

1. 点击自动化操作图标。
2. 点击新操作按钮。

3. 选择发现新资产作为触发器。
4. 为您想要进行操作的新资产选择发现连接。
5. 可选项： 如果您想要对某一特定类型的资产进行操作，则选择定义该资产的过滤器。然后，选择合适的操作符和数值。

例如，根据 vSphere 连接的监测结果，您可能很关心新虚拟机上线的问题。您可能会有资产位于为不同部门（例如营销部门或销售部门）命名的不同资源池路径中。您可能想要确保销售部门资源池中的任何新 VM 立即接受扫描。

在本例中，您可选择资源池路径作为过滤器，以及包含作为操作符。然后，您可输入销售部门作为数值。

点击 + 图标可添加新过滤器。

将出现新过滤器行。按先前步骤所述设置新过滤器。

ヒント: 添加更多的过滤器通常会缩小资产范围，因为它们必须匹配更多的标准。若需有关使用过滤器的更多信息，请参见 使用过滤器细化动态发现

选择新资产发现作为触发器

6. 选择一个操作：

• 向站点添加资产（未进行扫描）仅会在下一个预定窗口显示时或者用户对该站点运行手动扫描时扫描该资产。当不太急于对新资产进行扫描，并且不需要马上捆绑扫描资源时，可采用该选项。
• 如果比较着急扫描新资产，则可采用向站点添加资产并立即扫描该站点的选项。这对于较敏感资产来说更为如此。

9. 选择向其添加资产的站点。

注意: 您只能选择包含手动添加的资产的站点，而不是通过动态发现连接添加的资产的站点。

选择向站点添加新资产以进行扫描的操作

10. 输入一个名称，以帮助您记住该自动化操作。
11. 点击保存操作。

新操作显示在自动化操作列表中，状态为就绪，这意味着任何时候当发现符合过滤标准的新资产时，都将进行该操作。

当再次发现之前扫描的资产时进行操作

您的企业在不断变化。之前您扫描过的某些资产可能会“消失”几个星期，然后又“浮出水面”。 员工去度假，并且在离开时并未打开其笔记本电脑。或者，IT 部门在维修或升级其系统时可能会将工作站下线。

动态发现连接会在重新上线时发现这些类型的资产。您可以通过将该资产添加至站点、运行扫描或为其加上标签等自动化操作来追踪这些资产。

为帮助您跟踪这些变化类型的最新动态，您可以通过自动化向站点添加“再次发现”的资产，扫描这些资产或为其加上标签以进行追踪和报告：

1. 点击自动化操作图标。
2. 点击新操作按钮。

3. 选择发现已知资产作为触发器。
4. 为您想要进行操作的新资产选择发现连接。
5. 选择规定了您想要进行操作的资产类型的过滤器。然后，选择合适的操作符和数值。

例如，根据 vSphere 连接的监测结果，您可能很关心新虚拟机上线的问题。您可能会有资产位于为不同部门（例如营销部门或销售部门）命名的不同资源池路径中。您可能想要确保销售部门资源池中的任何新 VM 立即接受扫描。

在本例中，您可选择资源池路径作为过滤器，以及包含作为操作符。然后，您可输入销售部门作为数值。

6. 点击 + 图标可添加新过滤器。

7. 将出现新过滤器行。按先前步骤所述设置新过滤器。

ヒント: 添加更多的过滤器通常会缩小资产范围，因为它们必须匹配更多的标准。若需有关使用过滤器的更多信息，请参见 使用过滤器细化动态发现

8. 选择一个操作：

• 向站点添加资产（未进行扫描）仅会在下一个预定窗口显示时或者用户对该站点运行手动扫描时扫描该资产。当不太急于对新资产进行扫描，并且不需要马上捆绑扫描资源时，可采用该选项。
• 如果比较着急扫描新资产，则可采用向站点添加资产并立即扫描该站点的选项。
• 扫描某资产（未添加至站点）将使该资产在最近进行过扫描的站点中接受扫描。该选项可维护资产的现有站点，且不会将其添加至其他站点。该选项非常适用于扫描最近未进行预定扫描的“再次发现”的资产。而且，该选项最适用于较为敏感的资产。
• 为资产加标签让您可以为其赋予对您的业务有用的意义或环境，以便您为报告、扫描及其他目的对其进行分类和追踪。您可以将标签用于标记位置、所有权、业务关键度或对您的企业有意义的任何其他标准。若需更多信息，请参见应用带有标签的 RealContext。

选择为“再次发现”的资产加标签的操作

9. 如果选择了站点或站点/扫描选项，则选择一个站点，以向其添加资产。

注意: 您只能选择包含手动添加的资产的站点，而不是通过动态发现连接添加的资产的站点。

10. 如果您选择了加标签的选项，则选择一个资产应用的标签。
11. 输入一个名称，以帮助您记住该自动化操作。
12. 点击保存操作。

新操作显示在自动化操作列表中，状态为就绪，这意味着任何时候当再次发现符合过滤标准的资产时，都将进行该操作。