H3C SecCenter CSAP-iSOC安全威胁发现与运营管理平台典型配置(E1501)-5W101

05-漏扫联动典型配置

H3C SecCenter CSAP-iSOC安全威胁发现与运营管理平台

漏扫联动典型配置

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 简介

本文档介绍安全威胁发现与运营管理平台（以下简称 CSAP 平台）漏扫配置功能的配置案例。

漏扫配置功能，通过联动 H3C 漏扫设备，发现主机、WEB、数据库最新漏洞信息，并提供解决方案，帮助用户预知资产风险。

2 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解 CSAP 平台和 H3C 漏扫设备的功能特性。

3 配置举例

3.1 场景一：添加SysScan-A/M/S/V设备类型漏扫任务

3.1.1 组网需求

如下图所示组网中，部署了 CSAP 平台，安装 H3C 漏扫设备，实现CSAP平台和H3C漏扫设备联动下发漏扫任务并返回漏洞结果、解决方案的联动功能，帮助用户预知资产风险。

3.1.2 配置思路

· CSAP 平台添加漏扫设备

· CSAP 平台添加漏扫设备组（可选）

· CSAP平台添加区域网段或资产

· 在CSAP平台添加漏扫任务

· CSAP平台查看漏扫结果

3.1.3 使用版本

· 本举例是在 CSAP E1501版本上进行配置和验证

· H3C 漏扫设备在 H3C i-Ware Software, Version 3.10 ESS 6903P06 版本上验证

3.1.4 配置注意事项

· CSAP 平台、H3C 漏扫设备、扫描目标之间网络互通

· 扫描目标为内网区域IP段或资产

· 不支持内网终端作为扫描目标

· 在运行的过程中H3C 漏扫设备且状态在线

· 漏扫设备目前授权实现机制对于WEB扫描任务无论站点是否在线，开始扫描后就会占用WEB站点；对于主机/数据库/弱口令破解扫描任务，扫描任务结束后根据在线主机个数占用IP数；无论是最大WEB站点还是最大IP数，占用后均无法释放，请在配置时按计划合理使用

3.1.5 配置步骤

1. 添加漏扫设备

(1) 登录 CSAP 平台，选择“系统设置 > 漏扫配置 > 漏扫设备管理”，单击<新增>漏扫设备进入配置页面，添加漏扫设备186.64.2.11，进行如下配置。

¡ 设备名称：漏扫设备的唯一标识，长度为 1-50 字符，本例取名为 186.64.2.11

¡ 设备厂商： H3C

¡ 设备型号：包含SysScan-A/M/S/V 、SysScan-AE/ME/SE/VE/Cloud/AK，本例选择SysScan-A/M/S/V设备型号都可参考本场景配置，SysScan-AE/ME/SE/VE/Cloud/AK设备可参考场景二配置

¡ 设备IP：漏扫设备业务IP，本例为186.64.2.11

¡ 设备端口：默认为8888端口

¡ 所属设备组：选填，本例为空

2. 添加漏扫设备组（可选）

(1) 登录 CSAP 平台，选择“系统设置 > 漏扫配置 > 漏扫设备管理”，单击<新增漏扫设备组>，进入配置页面，添加漏扫设备组名称为设备组1，进行如下配置。

¡ 设备组名称：设备组的唯一标识，长度为 1-50 字符，本例取名为设备组1

¡ 设备厂商： H3C

¡ 设备列表：选填，本例选择设备186.64.2.11

3. 添加WEB漏扫任务

(1) 登录 CSAP 平台，选择“资产中心 > 资产列表”，单击<新增>进入资产配置页面，添加资产 186.64.100.251。

(2) 选择“系统设置 > 漏扫配置 > 漏扫任务”，单击<新增>进入漏扫任务配置页面，进行如下配置。

¡ 任务名称：漏扫任务的唯一标识，长度为 1-30 字符，本例取名为 T1

¡ 扫描类型：扫描目标类型。不同扫描类型使用的漏扫策略和漏扫参数不同，本例选择 WEB

¡ 扫描周期：任务的执行周期与时间，本例配置选择立即执行

¡ 漏扫设备：执行任务的漏扫设备或设备组，本例配置选择漏扫设备 186.64.2.11

¡ 漏扫策略：不同扫描类型可选漏扫策略不同，以便选择有针对性的扫描策略，本例配置选择完整扫描

¡ 扫描目标：待扫描的 IP、IP 范围、URL 等，支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 URL 目标 https://186.64.100.251

¡ 关联资产：扫描目标 URL 关联 CSAP 平台已存在资产，最终将扫描目标统计的漏洞统计在所关联的资产中，此处关联资产186.64.100.251

4. 添加主机漏扫任务

(1) 登录 CSAP 平台，选择“资产中心 > 资产列表”，单击<新增>进入资产配置页面，添加资产 186.64.100.251。

(2) 选择“系统设置 > 漏扫配置 > 漏扫任务”，单击<新增>进入漏扫任务配置页面，进行如下配置。

¡ 任务名称：漏扫任务的唯一标识，长度为 1-30 字符，本例取名为 T2

¡ 扫描类型：不同扫描类型使用的漏扫策略和漏扫参数不同，本例选择主机

¡ 扫描周期：任务的执行周期与时间，本例配置选择立即执行

¡ 漏扫设备：执行任务的漏扫设备或设备组，本例配置选择漏扫设备 186.64.2.11

¡ 漏扫策略：不同扫描类型可选漏扫策略不同，以便选择有针对性的扫描策略，本例配置选择完全扫描

¡ 扫描目标：待扫描的IP、IP范围、URL等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入IP地址186.64.100.251

5. 添加数据库漏扫任务

(1) 登录 CSAP 平台，选择“资产中心 > 资产列表”，单击<新增>进入资产配置页面，添加资产 186.64.100.251。

(2) 登录 CSAP 平台，选择“系统设置 > 漏扫配置 > 漏扫任务”，单击<新增>进入漏扫任务配置页面，进行如下配置。

¡ 任务名称：漏扫任务的唯一标识，长度为 1-30 字符，本例取名为 T3

¡ 扫描类型：不同扫描类型使用的漏扫策略和漏扫参数不同，本例选择数据库

¡ 扫描周期：任务的执行周期与时间，本例配置选择立即执行

¡ 漏扫设备：执行任务的漏扫设备或设备组，本例配置选择漏扫设备 186.64.2.11

¡ 漏扫策略：不同扫描类型可选漏扫策略不同，以便选择有针对性的扫描策略，本例配置选择数据库完全检测

¡ 扫描目标：待扫描的 IP、IP 范围、URL 等。支持手工录入、从模板导入和从资产导入三种方式导入扫描目标。本例通过手工录入 IP 地址 186.64.100.251

3.1.6 验证配置

1. 设备状态验证

2. 2. 漏洞扫描验证

(1) 登录 CSAP 平台，选择“系统设置 > 漏扫配置 > 漏扫任务”，进入任务列表，分别查看web、主机、数据库漏扫任务执行完成。。

(2) 点开任务下方的箭头，可查看到任务详情，包含任务执行时间、漏洞等级数量统计、扫描时长、脆弱性主机个数、状态进度、漏洞详情、报告下载。

(3) 点击<详情>按钮可查看漏洞详情。

(4) 点击<下载>按钮可下载报告。其中报告格式包含 HTML、WORD、PDF、XML 格式，可根据需要自行选择格式下载，本例选择 HTML 格式报告。

(5) 选择“资产中心> 风险资产”页面查询资产 186.64.100.251进入资产画像页面，点击<脆弱性分析> 可查看生成的脆弱性数据。

(6) 选择“威胁中心>脆弱性视角>脆弱性风险事件”可下钻查看漏洞详情、以及对应漏洞的解决方案。

(7) 选择“综合概览 > 态势分析”，点击<脆弱性态势>进入脆弱性大屏，可以查看脆弱性大屏的数据。

3.2 场景二：添加SysScan-AE/ME/SE/VE/Cloud/AK设备类型漏扫任务

3.2.1 组网需求

如下图所示组网中，部署了 CSAP 平台、安装 H3C 漏扫设备。实现CSAP平台和H3C漏扫设备联动下发漏扫任务并返回漏洞结果、解决方案的联动功能，帮助用户预知资产风险。

3.2.2 配置思路

· CSAP 平台添加漏扫设备

· CSAP 平台添加漏扫设备组（可选）

· CSAP平台添加区域网段或资产

· 在CSAP平台添加漏扫任务

· CSAP平台查看漏扫结果

3.2.3 使用版本

· 本举例是在 CSAP E1501 版本上进行配置和验证

· H3C 漏扫设备在H3C i-Ware Software, Version 3.1, ESS 6603P01版本上验证

3.2.4 配置注意事项

· CSAP 平台、H3C 漏扫设备、扫描目标之间网络互通

· 扫描目标为内网区域IP段或资产

· 不支持内网终端作为扫描目标

· 在运行的过程中H3C 漏扫设备且状态在线

· 漏扫设备目前授权实现机制对于WEB任务无论站点是否在线开始扫描后就会占用WEB站点；对于系统/数据库/弱口令扫描任务，扫描任务结束后根据在线主机个数占用IP数；无论是最大WEB站点还是最大IP数，占用后均无法释放，请在配置时按计划合理使用