- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-漏扫联动典型配置
本章节下载: 06-漏扫联动典型配置 (3.37 MB)
H3C安全威胁发现与运营管理平台
漏洞扫描典型配置举例
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍安全威胁发现与运营管理平台(以下简称 CSAP 平台)漏扫配置功能的配置案例。
漏扫配置功能,通过联动 H3C 漏扫设备,发现主机、WEB、数据库最新漏洞信息,并提供解决方案,帮助用户预知资产风险。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解 CSAP 平台和 H3C 漏扫设备的功能特性。
如下图所示组网中,部署了 CSAP 平台,安装 H3C 漏扫设备,实现CSAP平台和H3C漏扫设备联动下发漏扫任务并返回漏洞结果、解决方案的联动功能,帮助用户预知资产风险。
CSAP 平台添加漏扫设备
CSAP 平台添加漏扫设备组(可选)
CSAP平台添加区域网段或资产
在CSAP平台添加漏扫任务
CSAP平台查看漏扫结果
· 本举例是在 CSAP E1148P05 版本上进行配置和验证
· H3C 漏扫设备在 H3C i-Ware Software, Version 3.10 ESS 6903P06 版本上验证
CSAP 平台、H3C 漏扫设备、扫描目标之间网络互通
扫描目标为内网区域IP段或资产
不支持内网终端作为扫描目标
在运行的过程中H3C 漏扫设备且状态在线
漏扫设备目前授权实现机制对于WEB扫描任务无论站点是否在线,开始扫描后就会占用WEB站点;对于主机/数据库/弱口令破解扫描任务,扫描任务结束后根据在线主机个数占用IP数;无论是最大WEB站点还是最大IP数,占用后均无法释放,请在配置时按计划合理使用
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,单击<新增>漏扫设备进入配置页面,添加漏扫设备186.64.2.11,进行如下配置。
设备名称:漏扫设备的唯一标识,长度为 1-50 字符,本例取名为 186.64.2.11
设备厂商: H3C
设备型号:包含SysScan-A/M/S/V 、SysScan-AE/ME/SE/VE/Cloud/AK,本例选择SysScan-A/M/S/V设备型号都可参考本场景配置,SysScan-AE/ME/SE/VE/Cloud/AK设备可参考场景二配置。
设备IP:漏扫设备业务IP,本例为186.64.2.11
设备端口:默认为8888端口
所属设备组:选填,本例为空
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,单击<新增漏扫设备组>,进入配置页面,添加漏扫设备组名称为设备组1,进行如下配置。
设备组名称:设备组的唯一标识,长度为 1-50 字符,本例取名为 设备组1
设备厂商: H3C
设备列表:选填,本例选择设备186.64.2.11
(1) 登录 CSAP 平台,选择“资产中心 > 资产列表”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 T1
¡ 扫描类型:扫描目标类型。不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择 WEB
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.11
¡ 漏扫策略:不同扫描类型可选漏扫策略不同,以便选择有针对性的扫描策略,本例配置选择完整扫描
¡ 扫描目标:待扫描的 IP、IP 范围、URL 等,支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 URL 目标 https://186.64.100.251
¡ 关联资产:扫描目标 URL 关联 CSAP 平台已存在资产,最终将扫描目标统计的漏洞统计在所关联的资产中,此处关联资产186.64.100.251
(1) 登录 CSAP 平台,选择“资产中心 > 资产列表”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 T2
¡ 扫描类型:不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择主机
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.11
¡ 漏扫策略:不同扫描类型可选漏扫策略不同,以便选择有针对性的扫描策略,本例配置选择完全扫描
¡ 扫描目标:待扫描的IP、IP范围、URL等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入IP地址186.64.100.251
(1) 登录 CSAP 平台,选择“资产中心 > 资产列表”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 T3
¡ 扫描类型:不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择数据库
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.11
¡ 漏扫策略:不同扫描类型可选漏扫策略不同,以便选择有针对性的扫描策略,本例配置选择数据库完全检测
¡ 扫描目标:待扫描的 IP、IP 范围、URL 等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 IP 地址 186.64.100.251
登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,进入设备管理页面,查看新增的漏扫设备状态在线。
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫任务”,进入任务列表,分别查看web、主机、数据库漏扫任务执行完成。
(2) 点开任务下方的箭头,可查看到任务详情,包含任务执行时间、漏洞等级数量统计、扫描时长、脆弱性主机个数、状态进度、漏洞详情、报告下载。
(3) 点击<详情>按钮可查看漏洞详情。
(4) 点击<下载>按钮可下载报告。其中报告格式包含 HTML、WORD、PDF、XML 格式,可根据需要自行选择格式下载,本例选择 HTML 格式报告。
(5) 选择“威胁中心> 风险资产”页面查询资产 186.64.100.251进入资产画像页面,点击<脆弱性分析> 可查看生成的脆弱性数据。
(6) 选择“威胁中心>脆弱性台账>脆弱性风险”可下钻查看漏洞详情、以及对应漏洞的解决方案。
(7) 选择“综合概览 > 大屏可视”,点击<脆弱性态势>进入脆弱性大屏,可以查看脆弱性大屏的数据。
如下图所示组网中,部署了 CSAP 平台、安装 H3C 漏扫设备。实现CSAP平台和H3C漏扫设备联动下发漏扫任务并返回漏洞结果、解决方案的联动功能,帮助用户预知资产风险。
· CSAP 平台添加漏扫设备
· CSAP 平台添加漏扫设备组(可选)
· CSAP平台添加区域网段或资产
· 在CSAP平台添加漏扫任务
· CSAP平台查看漏扫结果
· 本举例是在 CSAP E1148P05 版本上进行配置和验证
· H3C 漏扫设备在H3C i-Ware Software, Version 3.1, ESS 6202P04版本上验证
· CSAP 平台、H3C 漏扫设备、扫描目标之间网络互通
· 扫描目标为内网区域IP段或资产
· 不支持内网用户作为扫描目标
· 在运行的过程中H3C 漏扫设备且状态在线
· 漏洞设备目前授权实现机制对于WEB任务无论站点是否在线开始扫描后就会占用WEB站点;对于系统/数据库/弱口令扫描任务,扫描任务结束后根据在线主机个数占用IP数;无论是最大WEB站点还是最大IP数,占用后均无法释放,请在配置时按计划合理使用
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,单击<新增>漏扫设备配置页面,添加漏扫设备186.64.2.20,进行如下配置。
¡ 设备名称:漏扫设备的唯一标识,长度为 1-50 字符,本例取名为 186.64.2.20
¡ 设备厂商: H3C
¡ 设备型号:包含SysScan-A/M/S/V 、SysScan-AE/ME/SE/VE/Cloud/AK,本例选择SysScan-AE/ME/SE/VE/Cloud/AK,SysScan-A/M/S/V设备型号可参考场景一配置
¡ 设备版本:漏扫设备的版本信息,支持选择H3C i-Ware Software, Version 3.1, ESS 6202P04、H3C i-Ware Software, Version 3.1, ESS 6202P08,本例选择H3C i-Ware Software, Version 3.1, ESS 6202P04
¡ 设备IP:漏扫设备业务IP,本例为186.64.2.20
¡ 设备端口:默认为443端口
¡ 所属设备组:选填,本例为空
¡ 账户:为设备admin用户的账户
¡ 密码:为设备admin用户的密码
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,单击<新增漏扫设备组>,进入漏扫设备组配置页面,添加漏扫设备组名称为设备组2,进行如下配置。
¡ 设备组名称:设备组的唯一标识,长度为 1-50 字符,本例取名为 设备组2
¡ 设备厂商: H3C
¡ 设备列表:选填,本例选择设备186.64.2.20
(1) 登录 CSAP 平台,选择“资产中心 > 资产配置”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 Test1
¡ 扫描类型:扫描目标类型。不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择 WEB
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择设备 186.64.2.20
¡ 漏扫策略:不同扫描类型可选漏扫策略不同,以便选择有针对性的扫描策略,本例配置全部 WEB 漏洞
¡ 扫描目标:待扫描的IP、IP范围、URL等,支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入URL目标 https://186.64.100.251
¡ 关联资产:扫描目标 URL 关联 CSAP 平台已存在资产,最终将扫描目标统计的漏洞统计在所关联的资产中,此处关联资产186.64.100.251
(1) 登录 CSAP 平台,选择“资产中心 > 资产配置”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 Test2
¡ 扫描类型:不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择主机
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.20
(3) 漏扫策略:不同扫描类型可选漏扫策略不同,以便选择有针对性的扫描策略,本例配置选择全部漏洞扫描
¡ 扫描目标:待扫描的 IP、IP 范围、URL 等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 IP 地址 186.64.100.251
(1) 登录 CSAP 平台,选择“资产中心 > 资产配置”,单击<新增>进入资产配置页面,添加资产 186.64.100.251。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 Test3
¡ 扫描类型:不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择弱口令破解
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.20
¡ 扫描目标:待扫描的 IP、IP 范围、URL 等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 IP 地址186.64.100.251
(1) 登录 CSAP 平台,选择“资产中心 > 资产列表”,单击<新增>进入资产配置页面,添加资产 186.64.100.245。
(2) 选择“资产中心 > 漏扫配置 > 漏扫任务”,单击<新增>进入漏扫任务配置页面,进行如下配置。
¡ 任务名称:漏扫任务的唯一标识,长度为 1-30 字符,本例取名为 Test4
¡ 扫描类型:不同扫描类型使用的漏扫策略和漏扫参数不同,本例选择弱口令破解
¡ 扫描周期:任务的执行周期与时间,本例配置选择立即执行
¡ 漏扫设备:执行任务的漏扫设备或设备组,本例配置选择漏扫设备 186.64.2.20
¡ 扫描目标:待扫描的 IP、IP 范围、URL 等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 IP 地址186.64.100.245
(3) 扫描目标配置后,单击操作列<设置>进入设置页面,进行如下配置。
登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫设备管理”,进入设备管理页面,查看新增的漏扫设备状态在线。
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫任务”,进入任务列表,查看 Test2 任务执行完成。此时已完成漏扫任务。
(2) 点开任务下方的箭头,可查看到任务详情,包含任务执行时间、漏洞等级数量统计、扫描时长、脆弱性主机个数、状态进度、漏洞详情。
(3) 点击<详情>按钮可查看漏洞详情。
(4) 选择“威胁中心> 风险资产”页面查询资产 186.64.100.251 进入资产画像页面,点击<脆弱性分析> 可查看生成的脆弱性数据。
(5) 选择“威胁中心>脆弱性台账>脆弱性风险”可下钻查看漏洞详情、以及对应漏洞的解决方案。
(6) 选择“综合概览 > 大屏可视 > 打开应用”,点击<脆弱性态势>进入脆弱性大屏,可以查看脆弱性大屏的数据。
如下图所示组网中,部署了 CSAP 平台。现需将漏扫报告导入 CSAP 平台,通过 CSAP 平台展示解析数据。
扫描目标 FW
· 导入漏扫报告
· 查看导入结果
· 本举例是在CSAP E1148P05版本上进行配置和验证
· H3C 漏扫设备在 H3C i-Ware Software, Version 3.10 ESS 6903P06版本上验证
· 支持导入的漏扫报告包括H3C SysScan-A/M/S/V 、SysScan-AE/ME/SE/VE/Cloud/AK系列漏扫设备及绿盟、启明星辰、中华箭的漏扫报告。以下配置SysScan-A/M/S/V的漏扫报告为例,其他设备漏扫报告导入同理。
· 导入漏扫文件中的 HostIP 为内网资产
登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,单击<导入>进入漏扫报告导入配置页面,进行如下配置,导入web漏扫报告。
¡ 设备厂商:生成该报告的漏扫设备的生产厂商,本例选择 H3C
¡ 设备型号:生成该报告的漏扫设备型号,本例选择 SysScan-A/M/S/V
¡ 文件类型:漏扫报告文件格式,本例选择 XML
¡ 扫描类型:漏扫报告文件的解析模板,本例选择 WEB
¡ 导入漏扫报告:选择上传漏扫文件,本例选择 WEB 漏扫报告
登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,单击<导入>进入漏扫报告导入配置页面,进行如下配置,导入数据库漏扫报告。
¡ 设备厂商:生成该报告的漏扫设备的生产厂商,本例选择 H3C
¡ 设备型号:生成该报告的漏扫设备型号,本例选择 SysScan-A/M/S/V
¡ 文件类型:漏扫报告文件格式,本例选择 XML
¡ 扫描类型:漏扫报告文件的解析模板,本例选择数据库
¡ 导入漏扫报告:选择上传漏扫文件,本例选择数据库漏扫报告
登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,单击<导入>进入漏扫报告导入配置页面,进行如下配置,导入主机漏扫报告。
¡ 设备厂商:生成该报告的漏扫设备的生产厂商,本例选择 H3C
¡ 设备型号:生成该报告的漏扫设备型号,本例选择 SysScan-A/M/S/V
¡ 文件类型:漏扫报告文件格式,本例选择 XML
¡ 扫描类型:漏扫报告文件的解析模板,本例选择主机
¡ 导入漏扫报告:选择上传漏扫文件,本例选择主机漏扫报告
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,进入任务列表,查看Web 漏扫报告导入任务执行完成。
(2) 点击导入详情,可查看导入结果,包含漏洞等级、漏洞类型、漏洞名称、受影响的URL 数目, 点击漏洞详情可以查看漏洞详细信息。
(3) 选择“威胁中心>风险资产”,点击进入风险资产可以查看到对应的漏洞导入数据。
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,进入任务列表,查看数据库漏扫报告导入任务执行完成。
(2) 点击任务详情,可查看导入结果,包含漏洞等级、漏洞类型、漏洞名称、受影响的IP 数目。点击漏洞详情可以查看漏洞详细信息。
(3) 选择“威胁中心>风险资产”,点击进入风险资产可以查看到对应的漏洞导入数据。
(1) 登录 CSAP 平台,选择“资产中心 > 漏扫配置 > 漏扫报告导入”,进入任务列表,查看主机漏扫报告导入任务执行完成。
(2) 点击任务详情,可查看导入结果,包含漏洞等级、漏洞类型、漏洞名称、受影响的IP 数目。点击漏洞详情可以查看漏洞详细信息。
(3) 选择“威胁中心>风险资产”,点击进入风险资产可以查看到对应的漏洞导入数据。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
