最后更新于2023年12月5日星期二17:47:17 GMT

如果这是你第一次购买和设置 InsightVM -或者如果你是一个经验丰富的老手-我强烈推荐一个“少即是多”的网站设计策略. 安全顾问为InsightVM客户执行了数千次运行状况检查之后, 大多数顾问都同意的最大挑战是网站设计太多不健康的网站. 当你有太多的站点,这也意味着你有太多的扫描时间表,这是 最复杂的 元素 一个部署. 简化您的网站结构和扫描时间表将允许您更好地优化您的扫描模板, 从而加快扫描速度,减少重叠扫描带来的潜在问题.

每周扫描一次是最好的练习.

主要目标是使用站点尽可能高效地将数据导入数据库,而不是使用站点组织资产(数据)。. 对于数据组织,您需要专门使用动态资产组(DAGs)或查询生成器, 然后使用这些dag作为所有报告和补救项目的组织范围点. 对所有数据组织使用动态资产组将减少对站点及其各自扫描计划的需求, 使它更平滑, 可自动化的, 免维护的站点体验.

例如,如果您有一组可由 相同的扫描引擎:

站点A,由桌面团队使用IP范围10进行管理.10.16.0/20

站点B,由服务器团队使用10.25.10/23

站点C,由Linux团队使用10.40.20.0/22

而不是为每个位置创建三个单独的站点, 哪一个需要三个单独的时间表点, 最好将所有三个范围放在一个站点中(只要它们使用相同的扫描引擎和相同的扫描模板), 然后创建三个动态资产组 IP地址:'在'的范围内。 过滤. 这种方式, 我们仍然可以使用dag来确定报告的范围,并使用单个扫描时间表来组合单个站点. 示例DAG:

这很重要的另一个原因是,在过去的10年里, 扫描变得非常快,而且在批量扫描时效率更高. 例如, 十年前, InsightVM(或当时的expose)只能使用16GB的Linux扫描引擎同时扫描10个资产, 而今天, 用同样的扫描引擎, InsightVM可以同时扫描400个资产. Nmap has also significantly increased in speed; it used to take a week to scan a class A network range, 但现在只需不到一天的时间, 如果不是半天的话. 有关扫描模板调优的更多信息可以在此找到 扫描模板调优博客.

取决于您的部署规模, it is okay to have more than one site per scan engine; the above is a guideline – not a policy – for a much easier-to-maintain experience. 在创建网站时,请记住这些建议. 另外,请记住,您最终会希望使用策略扫描. 为那, 您还需要考虑至少10个基于策略的站点, 除非使用基于代理的策略扫描. 保持你的网站设计简单将允许在未来添加这些额外的网站,而不会真的觉得它增加了复杂性. 看看我的 策略扫描博客 以深入了解策略扫描技术.

接下来,让我们快速浏览一下站点及其组件. 第一个标签是“信息和安全”标签. 它包含站点名称, 描述, 重要性, 标签选项, 组织选择, 访问选项. 大多数公司在这一页上只设置了名称. 我一般不建议在网站上使用标签,只给dag打标签. “重要性”选项基本上是过时的,组织和访问是可选的. 此处只需要输入站点名称即可.

接下来是Assets选项卡,您可以在其中添加站点范围和排除项. 可以使用IP地址范围、CIDR(斜杠符号)或主机名添加资产. 如果你有一个大的CSV的资产, 你可以把它们全部复制粘贴进去, 工具应该考虑到这些. 您还可以使用dag来确定和排除资产. 通过dag确定站点范围有许多有趣的策略, 例如针对您的IP范围运行发现扫描, 用结果填充dag, 以及漏洞扫描这些特定资产.

资产选项卡的最后一部分是连接选项, 在哪里可以添加动态范围元素以将站点转换为动态站点. 您可以找到有关动态站点范围的其他信息 在这里.

身份验证选项卡应该只验证您是否具有正确的 共享凭证 对于站点范围. 您应该始终使用共享凭据,而不是在站点中创建的凭据.

扫描模板部分, 我建议使用“不带网络蜘蛛的完整审计”,发现扫描, 或者使用上面提到的扫描模板博客推荐的自定义扫描模板.

在扫描引擎选项卡中,选择您计划使用的扫描引擎或扫描池. 如果在所有站点中扫描超过1500个资产,不要使用本地扫描引擎.

大多数情况下,我不使用或推荐使用站点提醒. 如果您根据漏洞结果设置警报,您可能会最终发送垃圾邮件. 警报的两个主要用例是基于“失败”或“暂停”的扫描状态发出警报,或者在扫描面向公众的资产时需要额外的警报. 你可以 阅读这个博客 有关配置面向公众扫描的其他信息.

接下来是时间表. 在很大程度上, schedules are pretty easy to figure out; just note the “frequency” is context-sensitive based on what you choose for a start date. 另外,请注意,子调度可用于隐藏调度中的复杂性. I do not recommend using this option; if you do, only use it sparingly. 这种设置会增加额外的复杂性, 如果其他系统用户不知道它已配置,可能会给他们带来问题. 你也可以设置一个扫描持续时间,这是一个很好的功能,如果你最终有太多的网站. 它可以让你控制扫描在暂停或停止之前运行的时间. 如果你的网站设计足够简单, 例如, 一周7天共7个站点, 每天可以安排一个站点, 并且不需要设置扫描持续时间. 让扫描持续到需要的时候.

站点级别的停电也可以使用,尽管很少配置. 十年前, 这是一个很好的功能,如果你每天只能在一个小窗口扫描,你想第二天继续在同一个扫描窗口扫描. 然而,扫描是如此之快,这些天,它几乎不再使用了.

最后,推荐的最佳实践是每周扫描一次. 每日扫描是不必要的,并且会产生大量多余的数据-填充您的硬盘驱动器-每月扫描之间的间隔太远, 导致网络可见性降低. 每周扫描还允许您将资产数据保留间隔设置为30天, 或者是扫描周期的4倍, 在删除“最后扫描日期”超过30天的资产之前. 可以在管理页面的维护部分设置数据保留, 你可以读到哪些 在这里.

I am a big advocate of the phrase ‘Complexity is the enemy of security’; complexity is the biggest thing I recommend avoiding with your site design. 无论是扫描一千项资产还是十万项资产, 让你的网站设置尽可能接近1:1与你的扫描引擎. 尽量保持网站的数据收集,而不是数据组织. 如果您可以在数据组织中使用dag, 它们可以很容易地在查询生成器中使用, 在哪里可以利用它们来确定仪表板甚至项目的范围. 这是一个链接 提供有关报告工作流的更多信息.

最后,创建站点可能比创建dag更容易. If, 然而, 您需要提前付出额外的努力,为所有数据组织创建dag,并保持站点的简单性, 这会给你带来巨大的回报. 你会经历更少的日程安排, 更少的维护, 希望能够减少客户在部署超过100个InsightVM站点时的那种压倒性的感觉.

更多阅读: http://kanz.ngskmc-eis.net/blog/post/2022/09/12/insightvm-best-practices-to-improve-your-console/