Nexpose安裝中文使用教程添加資產的最佳做法
為站點選擇資產時,請考慮幾件事。資產選擇可能會影響掃描和報告的質量。
選擇分組策略以使用手動選擇的資產創建網站
有很多方法可以將網絡資產劃分為站點。最明顯的分組原則是物理位置。一家在費城,檀香山,大阪和馬德里擁有資產的公司可能有四個站點,每個城市一個。以這種方式對資產進行分組很有意義,尤其是在每個物理位置都有自己專用的掃描引擎的情況下。請記住,每個站點都分配給一個特定的掃描引擎。
考慮到這一點,您可能會發現僅基于掃描引擎放置位置創建站點就很實用。將掃描引擎部署在網絡中的隔離和連接區域時,它們是最有效的。因此,例如,您可以基于子網創建站點。
其他有用的分組原則包括常見資產配置或功能。您可能希望為所有工作站和數據庫服務器使用單獨的站點。或者,您可能希望將所有Windows 2008 Server分組在一個站點中,而將所有Debian計算機分組在另一個站點中。相似的資產可能具有相似的漏洞,或者它們可能會帶來相同的登錄挑戰。
如果您正在執行掃描以測試資產是否符合特定標準或策略(例如支付卡行業(PCI)或聯邦桌面核心配置(FDCC)),則可能會發現創建要審核資產符合性的站點很有幫助。此方法將掃描資源集中在合規性工作上。它還使跟蹤這些資產的掃描結果以及將它們包括在報告和資產組中變得更加容易。
網站成員靈活
在為站點選擇資產時,靈活性可能是有利的。您可以將資產包含在多個站點中。例如,您可能希望使用Microsoft修補程序掃描模板對所有Windows Vista工作站進行每月掃描,以驗證這些資產是否安裝了正確的Microsoft修補程序。但是,如果您的組織是醫療機構,則“ Windows Vista”站點中的某些資產也可能是“患者支持”站點的一部分,您可能需要每年使用HIPAA遵從性模板進行掃描。
您也可以在站點內定義資產組,以便基于特定的邏輯分組進行掃描。
Example,Inc.的分組選項
您的分組方案可以相當廣泛或更細化。
下表顯示了Example,Inc.的可服務的高級站點分組。該方案提供了非常基本的掃描指南,并利用了整個網絡基礎結構。
| 網站名稱 | 地址空間 | 資產數量 | 零件 |
|---|---|---|---|
| 紐約 | 10.1.0.0/2210.1.0.0/2310.1.0.0/24 | 360 | 安全控制臺 |
| 紐約DMZ | 172.16.0.0/22 | 30 | 掃描引擎1 |
| 馬德里 | 10.2.0.0/2210.2.10.0/2310.2.20.0/24 | 233 | 掃描引擎1 |
| 馬德里DMZ | 172.16.10.0/24 | 15 | 掃描引擎1 |
這種分組的潛在問題是,大批量管理掃描數據既費時又困難。更好的配置將元素分組到較小的掃描站點中,以實現更完善的報告和資產所有權。
在以下配置中,Example,Inc.將資產功能作為分組原則進行了介紹。先前配置中的紐約站點可分為銷售,IT,管理,打印機和DMZ。這些標準也將馬德里細分。添加更多站點可減少掃描時間,并促進更集中的報告。
| 網站名稱 | 地址空間 | 資產數量 | 零件 |
|---|---|---|---|
| 紐約銷售 | 10.1.0.0/22 | 254 | 安全控制臺 |
| 紐約IT | 10.1.10.0/24 | 25 | 安全控制臺 |
| 紐約政府 | 10.1.10.1/24 | 25 | 安全控制臺 |
| 紐約打印機 | 10.1.20.0/24 | 56 | 安全控制臺 |
| 紐約DMZ | 172.16.0.0/22 | 30 | 掃描引擎1 |
| 馬德里銷售 | 10.2.0.0/22 | 65 | 掃描引擎2 |
| 馬德里發展 | 10.2.10.0/23 | 130 | 掃描引擎2 |
| 馬德里打印機 | 10.2.20.0/24 | 35 | 掃描引擎2 |
| 馬德里DMZ | 172.16.10.0/24 | 15 | 掃描引擎3 |
下表中顯示了一種最佳配置,其中包含了物理隔離的原理。掃描時間將更短,報告將更加集中。
| 網站名稱 | 地址空間 | 資產數量 | 零件 |
|---|---|---|---|
| 紐約銷售1樓 | 10.1.1.0/24 | 84 | 安全控制臺 |
| 紐約銷售2樓 | 10.1.2.0/24 | 85 | 安全控制臺 |
| 紐約銷售三樓 | 10.1.3.0/24 | 85 | 安全控制臺 |
| 紐約IT | 10.1.10.0/25 | 25 | 安全控制臺 |
| 紐約政府 | 10.1.10.128/25 | 25 | 安全控制臺 |
| 紐約打印機大樓1 | 10.1.20.0/25 | 28 | 安全控制臺 |
| 紐約打印機大樓2 | 10.1.20.128/25 | 28 | 安全控制臺 |
| 紐約DMZ | 172.16.0.0/22 | 30 | 掃描引擎1 |
| 馬德里銷售辦事處1 | 10.2.1.0/24 | 31 | 掃描引擎2 |
| 馬德里銷售辦事處2 | 10.2.2.0/24 | 31 | 掃描引擎2 |
| 馬德里銷售辦事處3 | 10.2.3.0/24 | 33 | 掃描引擎2 |
| 馬德里開發廳2樓 | 10.2.10.0/24 | 65 | 掃描引擎2 |
| 馬德里開發廳3樓 | 10.2.11.0/24 | 65 | 掃描引擎2 |
| 馬德里打印機大樓3 | 10.2.20.0/24 | 35 | 掃描引擎2 |
| 馬德里DMZ | 172.16.10.0/24 | 15 | 掃描引擎3 |
推薦文章: