掃描引擎

掃描引擎

掃描引擎是掃描過程的主力軍，其操作完全由安全控制臺決定。他們負責在掃描過程中發現資產，檢查資產是否存在漏洞以及評估其策略合規性級別（如果您選擇的掃描模板已配置為這樣做）。盡管掃描引擎充當數據收集器，但它們僅將這些數據臨時存儲在各自的主機上。相反，安全控制臺將掃描引擎數據集成到PostgreSQL數據庫中，以供您查看和報告。這就是為什么Scan Engine主機存儲要求遠低于安全控制臺要求的原因。

本文涵蓋以下主題：

掃描引擎類型

安全控制臺可以使用旨在滿足網絡的配置需求和掃描需求的各種類型的多個掃描引擎。

本地掃描引擎

安全控制臺的所有安裝都包括本地掃描引擎，因此您可以在初次部署后立即開始掃描。雖然方便，但本地掃描引擎最適合于非常小規模的部署和產品的試用體驗。

注意
在大多數情況下，Rapid7建議不要依靠本地掃描引擎。如果您打算大規模部署生產掃描環境，那么分布式掃描引擎是您的最佳選擇。

分布式掃描引擎

分布式掃描引擎是使用最廣泛的引擎類型，對于任何生產掃描部署都是必不可少的。與本地版本不同，您可以在控制臺本身的不同主機上安裝分布式掃描引擎。結果，它們可以利用更多的處理資源來掃描任務，并且您可以根據資產的地理分布有效地分配它們。您還可以將每個分布式掃描引擎配置為與安全控制臺進行通信，以適應網絡上所有防火墻的存在。

外部掃描服務

如果您不想在自己的資源上部署掃描引擎，則Rapid7可以提供對通過我們的專用于您的組織的外部掃描服務配置的掃描引擎的訪問。這些外部掃描引擎對于確定攻擊者可以在Internet上可以訪問的外部資產上看到的內容也很有用。

如果您已獲得外部掃描服務的許可，請參閱“ 外部掃描服務”頁面，以獲取有關如何完成與安全控制臺的配對的說明。

掃描引擎池

如果您的產品許可證支持引擎池，則可以將多個分布式掃描引擎組合在一起，以提高站點掃描速度。

有關在您的環境中創建和使用掃描引擎池的說明，請參見“ 掃描引擎池”頁面。

虛擬和云環境中的掃描引擎

您可以在大多數虛擬和云環境中安裝掃描引擎。為了易于安裝，掃描引擎可在多家流行的云基礎架構提供商的市場中找到。您可以在以下資源中閱讀有關這些選項的更多信息：

• 我們的Amazon Web Services（AWS）集成和AWS掃描引擎文章。
• 有關掃描引擎的Azure 市場列表以及我們的隨附《Azure掃描引擎》文章。
• 我們的《虛擬設備指南》包括掃描引擎OVA下載。

不支持底層操作系統
Rapid7不支持所有這些預構建的掃描引擎映像的基礎操作系統。如果您遇到基礎操作系統的問題，我們建議刪除實例并重新部署。

站點配置中的掃描引擎

所有站點必須指定至少一個掃描引擎或引擎池，以在掃描期間使用。您可以在任何打開的站點配置的“ 引擎”選項卡上查看并從所有單個和合并的掃描引擎中選擇。

資產掃描選項

掃描引擎列表上方的“使用…掃描每個資產”部分包括以下選項：

• 在下面選擇的引擎 -這是默認方法。啟用此選項可以使用選定的掃描引擎或引擎池掃描站點中的所有目標。
• 最近用于該資產的引擎 -如果您的站點配置將一個或多個預先配置的資產組指定為掃描目標，則可以啟用此選項以根據資產組成員的引擎歷史記錄對其進行掃描。啟用后，引擎最后掃描的每個資產組成員都會對其進行掃描。如果您的目標資產組包括地理位置分散的資產，則可以提高掃描效率。

TIP
如果啟用了該資產最近使用的引擎選項，則您選擇的掃描引擎將最終負責掃描尚無掃描歷史記錄的任何單個資產組成員。

注意
盡管最近用于該資產的引擎選項在所有站點配置中均可用，但它僅適用于并影響您所包含資產組中的資產。

掃描引擎管理

您可以從引擎管理屏幕查看，創建，編輯，更新和檢查掃描引擎的狀態。要訪問此視圖，請單擊左側導航菜單中的“ 管理”選項卡。在“掃描選項”部分中，單擊“引擎”旁邊的管理。

掃描引擎管理屏幕列出了所有已添加的掃描引擎，并顯示相關信息，例如連接狀態，通信方向和版本信息。您還可以從此屏幕添加新引擎，配置引擎池以及調整現有引擎的通信方向。

TIP
掃描引擎管理屏幕的“ 刷新”功能是將掃描引擎與安全控制臺配對的最后一步。請查閱與您的掃描引擎類型相對應的幫助頁面，以獲取有關如何完成這些配對過程的說明。

分布式掃描引擎

分布式掃描引擎與安全控制臺是分開的，并且在策略上進行了配置和定位，使您的掃描環境盡可能高效。如果您打算維護安全控制臺的生產部署，則絕對需要分布式掃描引擎。

本文指導您完成分布式掃描引擎的部署和配置過程。

部署過程一覽

部署分布式掃描引擎涉及以下過程：

• 在單獨的主機上安裝新的掃描引擎
• 根據您選擇的通信方式將掃描引擎與安全控制臺配對
• 在安全控制臺中刷新掃描引擎以驗證配對是否成功

交流方式

掃描引擎和安全控制臺必須能夠相互通信才能啟動掃描并集成掃描數據。分布式掃描引擎可以通過兩種方式與安全控制臺進行通信：

• 控制臺到引擎 -這是標準的通信方法。在這種情況下，安全控制臺通過在端口40814上啟動TCP連接來指導掃描引擎執行任務。
• 引擎到控制臺 -也稱為“反向”通信方法，引擎到控制臺配對依賴于掃描引擎在引擎啟動時啟動與安全控制臺的連接。

TIP
您可以在“ 掃描引擎通信方法幫助”頁面上閱讀有關這些配置的更多信息。

要求

為確保您成功使用分布式掃描引擎，請確保完成以下初步步驟：

• 確認您打算使用的掃描引擎主機符合系統要求。
• 如果網絡上存在防火墻，請確保根據您選擇的通信方法將安全控制臺和掃描引擎主機的必要端口列入白名單。有關端口白名單要求，請參考下表。

注意
下表中顯示的端口是安全控制臺和掃描引擎使用的默認端口。如果在部署過程中修改了這些默認端口，請確保防火墻規則與您的端口修改匹配。

下載并安裝掃描引擎

確認滿足硬件和網絡要求之后，就可以在所需的主機上下載并安裝掃描引擎了。

提醒
不要在已經具有安全控制臺的主機上安裝分布式掃描引擎！
之所以稱為“分布式”掃描引擎，是因為它們使用完全保留供其使用的硬件。所有安全控制臺安裝已包含本地掃描引擎。

注意-虛擬機上的分布式掃描引擎
如果要在虛擬機上部署分布式掃描引擎，請確保根據系統要求為虛擬機提供足夠的保留內存。為虛擬機配置共享內存可能會導致掃描引擎在掃描過程中耗盡內存。

下載掃描引擎安裝程序

Nexpose產品安裝程序還負責安裝分布式掃描引擎。訪問“ 下載”頁面，根據您要使用的主機的操作系統下載Linux或Windows安裝程序。

安裝掃描引擎

TIP
以下過程適用于Linux命令行和Windows安裝向導。

啟動產品安裝程序以開始使用。按照最初的提示進行操作，直到到達組件選擇和通信方向的步驟。

選擇組件

經過必要的確認后，系統將提示您選擇要安裝的組件。

選擇“ 僅掃描引擎”。這告訴安裝程序您打算部署分布式掃描引擎。

選擇通訊方向

選擇組件后，系統將提示您選擇通信方向。

我應該使用哪種通訊方式？
最終決定掃描引擎與安全控制臺進行通信的方式取決于網絡的配置和拓撲。生產部署通常同時具有兩種掃描引擎類型，以適應諸如資產位置和防火墻存在之類的掃描條件。

有關最佳做法和用例信息，請參見“ 掃描引擎通信方法幫助”頁面。

如果選擇Engine-to-Console方法，則可以在安裝Scan Engine的過程中與安全控制臺配置反向對。盡管您可以根據需要跳過此配對步驟，但是Rapid7建議您利用此配對機會，因為安裝后反向配對過程涉及更復雜的步驟。

在掃描引擎安裝過程中配置反向對：

1. 當安裝向導提示時，輸入安全控制臺的IP地址。
2. 向安裝程序提供安全控制臺共享密鑰。
   • 通過導航到“ 管理 ”選項卡> “掃描選項”部分> “引擎” > “生成掃描引擎共享的秘密”部分> “生成”旁邊的管理，可以在安全控制臺中生成共享的秘密。

TIP
多個掃描引擎可以對每個反向配對過程使用相同的控制臺生成的共享密鑰。但是，共享機密僅在60分鐘內有效。如果您的共享密碼過期，則必須生成一個新密碼來完成任何進一步的反向配對過程。

1. 測試您的連接，以確保您的安全控制臺和掃描引擎可以正常通信。
2. 繼續進行其余的掃描引擎安裝。
3. 掃描引擎完成安裝后，直接進入本指南的“ 刷新新的掃描引擎”部分。

如果選擇“控制臺到引擎”方法，則在掃描引擎安裝完成后，需要使用安全控制臺配置標準對。此時，繼續其余的安裝。掃描引擎完成安裝后，請繼續將掃描引擎與本指南的“安全控制臺 ” 配對。

將掃描引擎與安全控制臺配對

注意

在繼續安裝后配對過程之前，請確保新的掃描引擎正在運行并且可訪問。您還必須對掃描引擎主機具有管理員級別的訪問權限，才能完成這些配對過程。

必須將所有新的掃描引擎與安全控制臺配對，才能用于掃描。這些引擎配對過程根據您要實現的通信方法而有所不同。

請參閱以下配對過程中的一種，以選擇您的通信方法：

• 標準對（從控制臺到引擎）
• 反向對（引擎到控制臺）

標準對（從控制臺到引擎）

為了配置控制臺到引擎的配對，必須使安全控制臺知道可以使用新的掃描引擎，并且必須提供有關如何到達它的說明。因此，所有標準配對過程的第一步是將新的掃描引擎添加到安全控制臺。

您可以在站點配置中或通過“ 管理”頁面添加新的掃描引擎。

在站點配置中添加引擎

要在站點配置中添加掃描引擎：

1. 在新的或現有的站點配置中，單擊“ 引擎”選項卡。
   • 您可以通過展開左側導航菜單旁邊的“ 創建”下拉列表來創建新站點，或通過單擊主頁 “站點”表中的編輯圖標來訪問現有站點。
2. 單擊添加掃描引擎子選項卡。
3. 為您的掃描引擎命名。
4. 在“地址”字段中輸入掃描引擎的IP地址。
5. 如果需要調整默認端口號，請修改“端口”字段中顯示的值。
6. 假設您的站點具有最少數量的必需信息，請在完成后單擊“ 保存”。

通過管理添加引擎

要通過“ 管理”選項卡添加掃描引擎，請執行以下操作：

1. 瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的創建。
3. 在常規選項卡上，命名您的掃描引擎。
4. 在“地址”字段中輸入掃描引擎的IP地址。
5. 完成后單擊“ 保存”。

正確添加的掃描引擎會consoles.xml在掃描引擎主機上生成一個文件。您將在下一步中修改此文件。

修改consoles.xml

consoles.xml上一步在您的掃描引擎主機上生成的文件包含添加了掃描引擎的安全控制臺的條目。您必須啟用控制臺才能完成配對。

要consoles.xml為Linux或Windows主機修改文件：

1. 瀏覽到consoles.xml掃描引擎目錄中的文件。默認情況下，根據您的掃描引擎主機的操作系統，此文件位于以下位置：
   • Linux的 -/opt/rapid7/nexpose/nse/conf/consoles.xml
   • 視窗 -Files\Rapid7\NeXpose\nse\conf\consoles.xml
2. consoles.xml用您選擇的文本編輯器打開。導航到<consoles>元素。添加了掃描引擎的安全控制臺顯示為<console>具有多個屬性的元素。
   • 您可以通過檢查lastAddress屬性是否與要配對的安全控制臺的IP地址匹配來識別正確的安全控制臺。
3. 將enabled屬性的值從更改0為1。
4. 保存并關閉consoles.xml文件。
5. 重新啟動掃描引擎主機，以使您的更改生效。

配對程序完成！
繼續執行驗證步驟以完成您的掃描引擎部署。

反向對（引擎到控制臺）

如果您在安裝Scan Engine時利用了反向配對配置的機會，那么您已經完成了這一步！直接進入本指南的“ 刷新新的掃描引擎”部分，以驗證您的掃描引擎已準備就緒，可以使用。

但是，如果您安裝了選擇了引擎到控制臺方法的掃描引擎而未完成反向配對步驟，則必須使用單獨的步驟來完成配對。有關如何執行此操作的說明，請參閱“安裝后引擎到控制臺的配對”頁面。

刷新您的新掃描引擎

在完成掃描引擎的標準對或反向對之后，您必須刷新其狀態以驗證安全控制臺是否可以與其正確通信。

要在安全控制臺中刷新新的掃描引擎：

1. 瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的管理。
3. 在“掃描引擎”部分，點擊刷新顯示的引擎。這樣可以確保您的掃描引擎表是最新的。
4. 找到您與安全控制臺配對的分布式掃描引擎。單擊“刷新”列中的圖標以完成驗證過程。

如果您已經正確配置和配對了掃描引擎，它現在將顯示最新版本和通信狀態信息。“通信狀態”列本身通過箭頭指示當前的通信方法，并通過顏色指示連接狀態。指向“引擎”的箭頭表示標準配對，而指向“控制臺”的箭頭表示反向配對。此外，箭頭圖標可以具有以下顏色代碼：

• 綠色 -掃描引擎處于活動狀態
• 橙色 -掃描引擎狀態未知
  • “未知”狀態表示即使未記錄任何錯誤，安全控制臺和掃描引擎也無法通信。這通常是ping之間間隔較大的結果。刷新掃描引擎狀態以再次嘗試通信。
• 紅色 -與該顏色代碼關聯的三種可能性：
  • 待定授權 -此狀態表示尚未在掃描引擎上啟用安全控制臺。在配對過程中，必須在掃描引擎上啟用控制臺。
  • 不兼容 -此狀態表示安全控制臺和掃描引擎的版本不同。控制臺和引擎必須使用相同的版本才能正確通信。
  • Down（關閉） -此狀態表明掃描引擎處于脫機狀態。

安裝后引擎到控制臺配對

注意
本文適用于選擇在安裝分布式掃描引擎期間跳過“引擎到控制臺”（也稱為“反向”）配對段的用戶。

有關在安裝過程中執行的標準配對和反向配對的文檔，請參閱“ 分布式掃描引擎”頁面。

如果您選擇“ 引擎到控制臺”通信方法，則分布式掃描引擎安裝向導可讓您在安裝時立即將新引擎與安全控制臺配對。但是，如果您決定跳過此配對步驟，則必須在安裝完成后以其他步驟完成配對。

本文詳細介紹了此安裝后反向配對過程。

反向對（引擎到控制臺）

為了在已安裝的掃描引擎上配置引擎到控制臺的配對（也稱為“反向”配對），必須手動向掃描引擎配置中添加新的安全控制臺條目，并使用控制臺生成的共享機密。因此，所有反向配對過程的第一步是在安全控制臺中生成共享密鑰。

生成掃描引擎共享機密

要在安全控制臺中生成共享密鑰：

1. 瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的管理。
3. 在“生成掃描引擎共享機密”部分中，單擊生成。
4. 現在復制共享密鑰。您將使用此共享密碼來驗證掃描引擎和安全控制臺之間的連接。

TIP
多個掃描引擎可以對每個反向配對過程使用相同的控制臺生成的共享密鑰。但是，共享機密僅在60分鐘內有效。如果您的共享密碼過期，則必須生成一個新密碼來完成任何進一步的反向配對過程。

將安全控制臺添加到掃描引擎

Windows和Linux掃描引擎主機的反向配對過程必須使用命令行界面完成。您可以根據主機操作系統，通過以下方式將命令傳遞給掃描引擎：

Windows命令行訪問

要在Windows主機上打開掃描引擎命令行，請執行以下操作：

1. 使用遠程桌面協議登錄到您的掃描引擎主機，或直接訪問主機。
2. 打開“ 開始”菜單，然后瀏覽到“掃描引擎”服務小程序。
3. 以交互方式啟動“掃描引擎”服務以打開命令行界面。

Linux命令行訪問

要在Linux主機上打開掃描引擎命令行，請執行以下操作：

1. 使用以下命令打開終端并通過SSH進入掃描引擎主機。替換< user >和< address >必要的值：

ssh <user>@<address>

2. 登錄到掃描引擎主機后，運行sudo -i以提升特權啟動外殼程序。
3. 現在，您的外殼程序具有提升的特權，請screen使用以下命令啟動與掃描引擎的會話：

screen -x nexpose

警告
不要使用ctrl+ c退出屏幕會話。這將終止掃描引擎服務。
要安全地從掃描引擎的屏幕會話中分離出來，請使用ctrl+ a+ d。

掃描引擎命令

現在您已打開命令行界面，可以將安全控制臺添加到掃描引擎。以下命令適用于Windows和Linux主機上的掃描引擎：

1. 使用以下命令添加所需的安全控制臺。< address >用安全控制臺的IP地址代替：

add console <address>

2. 運行show consoles以列出所有安全控制臺條目，包括新添加的條目。通過其IP地址找到新的安全控制臺，并記下其控制臺ID。
3. 使用在上一步中找到的控制臺ID，運行以下命令將掃描引擎連接到安全控制臺。< ID >用必要的控制臺ID值代替：

connect to console <ID>

4. show consoles再次運行，并驗證的值connectTo是否1適用于預期的安全控制臺。
5. 使用以下命令啟動提示以將共享密鑰提供給掃描引擎。<ID>使用與以前相同的控制臺ID進行替換：

add shared secret <ID>

6. 出現提示時，輸入在安全控制臺中生成的共享機密。驗證消息指示共享密碼已成功應用。
7. 最后，運行以下命令以在掃描引擎上啟用安全控制臺。與往常一樣，< ID > 用您的控制臺ID 代替：

enable console <ID>

8. 配對完成后，關閉會話以完成。

您的安裝后掃描引擎對已完成！
現在，您的掃描引擎已與安全控制臺配對，請刷新您的掃描引擎狀態，以確認通信線路已打開并且可以正常工作。

外部掃描服務

注意-共享托管掃描引擎的銷售終止
自2019年11月18日起，Rapid7不再出售對共享托管掃描引擎的訪問權限。

如果您希望避免在自己的資源上部署分布式掃描引擎，則Rapid7可以訪問通過我們的外部掃描服務配置的掃描引擎。如果您的組織已獲得外部掃描服務的許可，則必須先將預配置的掃描引擎與安全控制臺配對，然后才能使用它。

TIP
如果您尚未獲得外部掃描服務的許可，請聯系您的客戶成功經理以了解有關將服務添加到您的帳戶的更多信息。

外部掃描服務配對過程與分布式掃描引擎所需的配對過程不同，因為已為您完成了部署和配置。但是，Rapid7支持人員必須先授權外部掃描引擎，然后才能對其進行掃描。

本文介紹了如何為Rapid7支持提供授權外部掃描引擎所需的信息。

向Rapid7支持發送您的控制臺地址信息

購買對外部掃描引擎的訪問權限后，需要將引擎添加到“掃描引擎”表中。最后，Rapid7支持人員需要安全控制臺的IP地址才能授權引擎在您的環境中使用。

要將引擎添加并將控制臺地址信息發送到Rapid7支持：

1. 在安全控制臺中，瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的管理。
3. 在“掃描引擎”表中，點擊新建引擎。

我已經有一個名為“ Rapid7 Hosted Scan Engine”的引擎。我應該用那個嗎？
在大多數情況下，不會。安全控制臺中預先配置的“ Rapid7托管掃描引擎”條目是指Rapid7不再出售的共享托管掃描引擎。

如果您已經使用共享的托管掃描引擎進行掃描，則可以繼續進行。

4. 在“掃描引擎配置”頁面中，為您的外部掃描引擎命名。
   • 為了便于識別，您可以將此引擎稱為“ Rapid7外部掃描服務”。
5. 輸入Rapid7提供的引擎主機的IP地址作為引擎地址。
6. 將端口號保留為默認值40814。完成后，單擊“ 保存”。
7. 返回“掃描引擎”表，找到您剛剛添加的引擎，然后單擊“刷新”列中的圖標。
8. 顯示一條錯誤消息：

Cannot refresh scan engine (<Your engine name here>): Unauthorized console connection from: <IP ADDRESS>

為什么我看到錯誤？
不要驚慌！此特定的錯誤消息是預期的，并且是外部掃描引擎的授權過程的一部分。

如果看到其他錯誤怎么辦？
如果刷新外部掃描引擎所產生的錯誤與此處顯示的錯誤不同，請照常繼續進行下一步。Rapid7支持需要查看您的錯誤消息才能解決問題。
在大多數情況下，此處未預期的錯誤通常是由于安全控制臺與外部掃描引擎之間的連接問題所致。
請注意，您的防火墻規則必須允許安全控制臺訪問端口40814上第5步中顯示的外部掃描引擎地址。不支持使用代理訪問外部掃描引擎。

9. 記下該錯誤消息中顯示的IP地址或對其進行截圖。
10. 在客戶門戶中打開一個案例，并指示您需要授權的外部掃描引擎。提供（或附加）在案例詳細信息中包括控制臺IP地址的錯誤消息。

保養期

Rapid7對所有外部掃描服務引擎和其他托管服務進行定期維護。維護周期在每月的第一個星期三（美國東部標準時間10:00 AM-2:00 PM EST）進行。在此期間，以下服務將不可用：

• Nexpose外部掃描服務掃描引擎
• Nexpose托管服務和PCI / ASV掃描

注意
在配置使用外部掃描引擎的掃描計劃之前，請考慮此維護期。

從統計角度來看，與非工作時間的周末掃描時段相比，星期三是外部掃描服務引擎使用率最低的工作日。根據這些數據，我們選擇了此維護期，以便在保持所需質量和服務水平的同時，最好地提供無縫的客戶體驗。

掃描引擎池

注意
您必須獲得許可才能使用掃描引擎池在站點配置中創建和應用它們。請與您的客戶成功經理聯系，以了解有關訪問掃描引擎池的更多信息。

正確授權的Nexpose客戶可以利用掃描引擎池化功能，該功能可以平衡多個分布式掃描引擎中單個掃描的負載。當您需要為大型站點優化掃描時，掃描引擎池非常有用。

本文介紹了如何創建和配置掃描引擎池。

要求

掃描引擎池具有以下要求：

• 您的產品許可證必須支持掃描引擎池。
• 掃描引擎池只能由您的分布式掃描引擎組成。以下引擎類型在掃描引擎池中不可用：
  • 本地掃描引擎
  • Rapid7托管掃描引擎
  • 預授權的AWS掃描引擎
• 您可以將任何分布式掃描引擎添加到池中，而不管其連接狀態如何。但是，當前未處于“活動”狀態的掃描引擎將不會有助于平衡掃描負載。驗證池中的所有掃描引擎均處于“活動”狀態，以確保最大程度地優化掃描。

創建掃描引擎池

您可以在站點配置中或通過“ 管理”頁面創建掃描引擎池。

在站點配置中創建掃描引擎池

要在站點配置中創建新的掃描引擎池：

1. 在新的或現有的站點配置中，單擊“ 引擎”選項卡。
   • 您可以通過展開左側導航菜單旁邊的創建下拉菜單來創建新站點，或通過單擊主頁 “站點”表中的編輯圖標來訪問現有站點。
2. 單擊創建引擎池子選項卡。
3. 為您的掃描引擎池命名。
4. 在“掃描引擎”表中，選擇要包括在池中的每個可用掃描引擎。
5. 完成后單擊“ 保存”。

現在，新的掃描引擎池可用于您的站點配置。返回到“ 選擇掃描引擎”子選項卡，以在“掃描引擎和池”表中選擇新池。

通過管理創建掃描引擎池

通過“ 管理”頁面創建新的掃描引擎池：

1. 瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的管理。
3. 在“掃描引擎池”部分中，點擊新建引擎池。
4. 為您的掃描引擎池命名。
5. 在“掃描引擎”表中，選擇要包括在池中的每個可用掃描引擎。
6. 完成后單擊“ 保存”。

現在，新的掃描引擎池將顯示在“掃描引擎管理”頁面的“掃描引擎池”表中。

AWS掃描引擎

AWS掃描引擎Amazon Machine Image（AMI）使您能夠了解和管理與動態EC2資產相關的風險。您可以使用AWS Marketplace上的Rapid7掃描引擎列表輕松添加一個或多個掃描引擎。

創建AWS Dynamic Discovery連接后，安全控制臺將使用AWS API拉出EC2實例列表。引擎使用端口掃描，服務檢測以及未認證和已認證檢查的組合來掃描這些實例中的漏洞。

依存關系

• 在部署掃描引擎之前，您必須部署并許可安全控制臺。
• 要使用AWS掃描引擎，您必須使用要掃描的AWS賬戶配置動態發現連接。您必須指定創建動態發現連接時要使用的掃描引擎，因此請確保在開始配置發現連接之前先部署AWS掃描引擎。
• 啟動AWS Scan Engine時，必須將引擎與Security Console配對。AWS掃描引擎沒有用戶可訪問的界面，因此在啟動AMI時必須向引擎提供控制臺信息。這是使用EC2用戶數據完成的。
• 安全控制臺必須允許對TCP端口40815的訪問才能從掃描引擎接收數據。
• 掃描引擎不需要允許新的入站連接，但是它必須能夠與安全控制臺上的端口40815建立出站通信。
• 為了獲得準確的掃描結果，掃描引擎使用的EC2安全組應允許通過其私有IP地址與所有端口上的所有目標（例如要掃描的EC2實例）進行未經過濾的通信。同樣，所有目標資產必須屬于一個或多個安全組，這些安全組允許掃描引擎的安全組通過其專用IP地址與所有端口上的資產進行通信。如果使用CloudFormation模板部署掃描引擎，則可以選擇讓CloudFormation自動為掃描引擎和目標創建正確配置的安全組。安全組的設置將在安裝說明中詳細討論。

已知約束

• AWS Marketplace上可用的掃描引擎旨在僅掃描動態發現已檢測到的資產。這樣做是為了確保您遵守有關滲透測試的AWS政策，并且不會無意間掃描您不擁有的資產。
• 為了使AWS中的掃描引擎能夠跨多個VPC進行掃描，您必須將VPC配置為允許流量在它們之間流動。您可以使用幾個選項來實現此目的，包括VPC對等或Transit Gateway。VPC對等往往是最安全的選擇，但是您將需要確定哪種方法最適合您的特定情況。就像本地網絡防火墻一樣，如果您不想促進VPC之間的通信，則需要在每個VPC中安裝掃描引擎。
• 安全控制臺不會掃描某些較小的EC2實例（例如m1.small或t1.micro）。這些實例可能會出現在Dynamic Discovery結果中，但不會被掃描。

安裝，配置和使用

請參考以下過程在您的環境中部署AWS Scan Engine。

準備安全控制臺和您的AWS環境

1. 安全控制臺需要接受來自掃描引擎的端口40815上的傳入連接。
   • 如果您的安全控制臺托管在EC2實例上的AWS中，請修改實例的安全組以允許此操作。
   • 如果您的安全控制臺托管在另一個環境（例如本地部署）中，請修改防火墻和任何其他適用的安全系統以允許適當的傳入連接。
2. 請準備好您的安全控制臺IP地址或主機名。您將需要在下一部分中參考此信息。
3. 在安全控制臺中生成共享機密。要生成共享密鑰，請導航至管理>掃描選項>引擎>管理。在頁面底部生成一個新的共享機密。
   • 請注意，共享機密僅在60分鐘內有效，因此，如果您現在生成一個，則計劃在該時間范圍內完成部署。如果愿意，可以跳過此步驟，直到以后再返回安全控制臺以在需要時生成共享密鑰。

在AWS Marketplace上訪問Rapid7 AWS掃描引擎

現在您已經準備好安全控制臺和AWS環境，您可以安裝掃描引擎了。

1. 登錄到要在其中安裝掃描引擎的AWS賬戶。

需要AWS權限

請注意，只有具有特定權限的AWS用戶才能從AWS Marketplace部署資產。如果在部署過程中的任何時候收到關于“缺少權限”的錯誤，請與具有對您的AWS賬戶的管理員訪問權限的人員聯系，并請求正確的權限。

1. 轉到AWS Marketplace中的Rapid7 AWS掃描引擎列表。
2. 點擊頁面右上角的繼續訂閱，然后點擊繼續配置。
3. 在實現選項下，我們建議選擇CloudFormation模板，因為它會自動設置掃描引擎以及所需的EC2安全組。如果您想自己配置這些，請選擇Amazon Machine Image。無論選擇哪個選項，都將需要選擇軟件版本（我們始終建議使用最新版本）以及掃描引擎應運行的區域。做出這些選擇后，單擊右上角的繼續啟動。

以下各節詳細介紹了CloudFormation模板和Amazon Machine Image過程。

使用Marketplace CloudFormation模板部署AWS掃描引擎

此過程詳細介紹了從上一節的步驟4開始的CloudFormation Template部署方法。

1. 在“選擇操作”下拉菜單下，選擇“ 啟動CloudFormation”，然后單擊“ 啟動”。掃描引擎模板將在CloudFormation中打開。在首次出現的頁面上不需要配置，因此請單擊“ 下一步”。
2. 輸入堆棧的名稱。
3. 在“實例類型”下拉列表中，您可以更改掃描引擎將在其上運行的EC2實例的類型。默認選擇適用于大多數情況。
4. 無需將根磁盤的大小從其默認100GB更改，但是您可以根據需要使用“根卷大小”字段進行調整。
5. 選擇您希望掃描引擎駐留的VPC和子網。確保選擇了所選VPC內的子網。
6. 在“為掃描引擎分配公用IP地址”字段中，如果掃描引擎需要一個公用IP地址才能與Nexpose安全控制臺連接，請選擇“ 是”。如果您的掃描引擎與安全控制臺位于同一VPC上，則沒有必要。
7. 選擇是否要讓堆棧創建新的EC2安全組。
   • 選擇是將為您的掃描引擎創建一個安全組，為您要掃描的EC2實例創建另一個安全組。如果您以前尚未在您的AWS賬戶中設置Rapid7掃描引擎，建議您選擇是。
   • 如果您先前已創建安全組來支持Rapid7掃描引擎，則可以選擇否。在這種情況下，您需要將希望新的掃描引擎使用的安全組的ID粘貼到“現有掃描引擎安全組ID”字段中。
8. 如果您正在AWS中運行Nexpose安全控制臺，并且必須將Create New Security Groups字段設置為Yes，那么還必須將Add Ingress to Console Security Group字段設置為Yes并將安全控制臺的安全組的ID輸入到控制臺安全組以更新字段。這指示CloudFormation模板更新安全控制臺的安全組，以便掃描引擎可以訪問它。
9. 在“安全控制臺主機”字段中，指定未由AWS托管的安全控制臺的IP地址。如果您的控制臺托管在AWS中，請導航至EC2，找到控制臺正在運行的EC2實例，然后復制該實例的Private DNS或Private IP地址。將此地址粘貼到“安全控制臺主機”字段中。
10. 在“安全控制臺機密”字段中輸入您生成的安全控制臺共享機密。如果您尚未生成共享密碼，或者距生成密碼已超過60分鐘，請在繼續操作之前生成一個新密碼。
11. 單擊下一步。
12. 根據組織的AWS最佳實踐，將諸如標簽之類的可選項目應用于您的堆棧。單擊下一步。
13. 查看您的堆棧詳細信息，然后單擊頁面底部的創建堆棧。該CREATE_COMPLETE狀態表明你的籌碼已成功創建。
14. 部署后，掃描引擎最多可能需要15分鐘才能與安全控制臺配對。通過在管理>掃描選項>引擎>管理中檢查列出的掃描引擎，以驗證此配對。

在嘗試使用新的掃描引擎之前，請確保要掃描的資產是掃描引擎可以訪問的安全組的成員。如果選擇讓CloudFormation模板為您創建新的安全組，則將目標資產添加到新創建的ScanTargetsSG安全組中。否則，請確保將所有目標資產添加到安全組，該安全組允許包含新掃描引擎的安全組中所有端口上的所有流量。請參閱Amazon Web Services文章，以獲取有關此過程的更多信息。

確認所有內容都在正確的安全組中之后，請確保在嘗試運行掃描之前設置了動態發現。有關更多詳細信息，請參見下面的“掃描和查看”部分。

使用Marketplace AMI部署AWS掃描引擎

此過程詳細介紹了從上一節的步驟4開始的Marketplace AMI部署方法。

1. 在“選擇操作”下拉菜單下，選擇“ 通過EC2啟動”。
2. 選擇一個實例類型。Rapid7推薦m5.large或更高。繼續配置實例詳細信息。
3. 指定掃描引擎應駐留的VPC和子網。
4. 如果尚未創建共享密碼，請在安全控制臺中生成共享密碼。
   • 要生成共享密鑰，請導航至管理>掃描選項>引擎>管理。在頁面底部生成一個新的共享機密。
5. 展開頁面底部的“ 高級詳細信息”，并提供以下用戶數據。用{}有關您的安全控制臺的信息替換括號中的部分：

NEXPOSE_CONSOLE_HOST={hostname or ip of your console}
NEXPOSE_CONSOLE_PORT=40815
NEXPOSE_CONSOLE_SECRET={shared secret generated earlier}

1. 繼續添加存儲。設置根卷存儲大小。Rapid7建議至少使用100GB。
2. 繼續添加標簽。根據組織的最佳做法，添加您的Scan Engine EC2實例應具有的所有標簽。
3. 繼續配置安全組。
   • 掃描引擎的安全組不應具有阻止所有通過網絡進行遠程訪問的入站入口規則。掃描引擎的出站規則應允許在端口40815上進行出站TCP訪問，以促進與安全控制臺的通信。
   • 掃描引擎的安全組還應允許所有協議和端口上的出站訪問安全組，以控制對您要掃描的資產的訪問。
   • 控制對被掃描資產的訪問的一個或多個安全組還必須允許來自掃描引擎安全組的所有協議和端口進入。請參閱Amazon Web Services文章，以獲取有關此過程的更多信息。
4. 繼續審查并啟動。啟動實例。
5. 部署后，掃描引擎最多可能需要15分鐘才能與安全控制臺配對。通過在管理>掃描選項>引擎>管理中檢查列出的掃描引擎，以驗證此配對。

掃描并查看

設置AWS掃描引擎后，可以開始使用它來掃描AWS資產。完成以下過程，以配置所需的所需站點和動態發現連接：

1. 在您的Nexpose安全控制臺中，展開左上角的創建下拉菜單，然后點擊網站。
2. 給您的新站點起一個名字。
3. 通過指定掃描憑據，掃描模板和適合您需求的計劃來完成站點配置，但不要在“ 資產”選項卡上進行任何配置。
   • 動態發現連接將管理要掃描的資產，因此，此選項卡上的字段暫時保留空白。
4. 保存該站點，但尚未掃描。
5. 創建一個新的AWS Asset Sync發現連接。在連接配置頁面的“消耗設置”部分中，選擇剛創建的站點。
6. 完成其余的發現連接配置，然后單擊“ 保存”。

疑難排解

如果在部署過程中遇到問題，請參閱以下故障排除解決方案。

訪問掃描引擎日志

盡管AWS Scan Engine不允許交互式登錄，但是您可以檢查AWS系統日志中與您提供的用戶數據有關的錯誤。請按照以下步驟在您的AWS控制臺中查看此日志：

1. 導航到EC2控制臺。
2. 查看您的實例并選擇您之前創建的掃描引擎。
3. 單擊操作>實例設置>獲取系統日志。
4. 查找以開頭的消息pair-nexpose-engine。

如果您的安全控制臺在AWS中，請確認控制臺的安全組允許從端口40815上的引擎進行訪問。請確認掃描引擎的安全組允許對端口40815上的控制臺的安全組進行出站訪問。

如果您的安全控制臺不在AWS中，請確認引擎的安全組允許對控制臺在端口40815上的位置的出站訪問。

您的AWS掃描引擎已準備就緒！
您現在應該在AWS環境中部署了一個掃描引擎，以便與動態發現連接一起使用。

Azure掃描引擎

您可以從Microsoft的Azure市場以Azure VM的形式部署掃描引擎。本文指導您完成部署和配置過程。

設置掃描引擎

1. 登錄到您的Azure門戶。
2. 單擊市場圖塊。

3. 在Marketplace搜索中搜索“ Rapid7 VM掃描引擎”，然后選擇Rapid7 VM掃描引擎。

4. 點擊創建。
5. 為您的新VM命名（沒有空格），以及有關誰將管理引擎的一些信息。這也是您選擇身份驗證方法的地方。

6. 單擊確定。
7. 選擇D2_V2或更大的VM。

8. 在“設置”屏幕上保留默認值，但您需要仔細檢查網絡安全組（防火墻）。

如果要使用控制臺與引擎配對，則需要允許從控制臺IP在端口40814上進行入站訪問。

如果您需要公共IP地址，則需要立即進行配置，如下所示：

如果要使用引擎到控制臺配對，則無需添加任何新規則。

9. 單擊OK按鈕和一次Purchase按鈕來啟動實例。您將在儀表板中看到此圖標，指示系統正在部署中：

幾分鐘后，您將在虛擬機下看到可用的掃描引擎。公用IP地址（如果添加）將在概述選項卡上。

將掃描引擎連接到安全控制臺

選擇您想如何將引擎連接到控制臺，控制臺到引擎或引擎到控制臺的通信。

控制臺到引擎的通信

通過Web瀏覽器登錄到安全控制臺，并通過SSH登錄到Azure實例。要獲取幫助，請參閱https://azure.microsoft.com/zh-cn/documentation/articles/virtual-machines-linux-ssh-from-windows/。

按照正常的說明配對控制臺。

引擎到控制臺的通信

1. 通過Web瀏覽器登錄安全控制臺。
2. 獲取預共享密鑰。
   • 轉到管理頁面。
   • 在“掃描選項”部分的“引擎”下單擊“ 管理 ”。
   • 點擊生成。

3. 確保控制臺的防火墻在端口40815上接受來自引擎的傳入連接。
4. SSH到掃描引擎。
5. 使用以下命令停止掃描引擎服務：

sudo service nexposeengine stop

6. 創建一個如下所示的/opt/rapid7/nexpose/nse/conf/consoles.xml文件：

<?xml version='1.0' encoding='utf-8'?>2<Consoles>3   <console id="1" enabled="1" connectTo="1" name="UNAVAILABLE" lastAddress="CONSOLE_IP" port="40815" plaintext_sharedSecret="CONSOLE_SHARED_SECRET">4       <cert></cert>5   </console>6</Consoles>

7. 用控制臺中的相應值替換CONSOLE_IP及CONSOLE_SHARED_SECRET以上。
8. 使用以下命令重新啟動引擎服務：

sudo service nexposeengine start

9. 等待大約20分鐘，以使引擎啟動并與安全控制臺配對。

在Azure環境之外掃描

您應該完全打開掃描目標的防火墻，以便掃描引擎可以掃描所有端口。

1. 在Azure門戶中，轉到“ 虛擬機”。
2. 選擇一個虛擬機掃描引擎。
3. 選擇網絡接口。
4. 選擇連接的網絡接口。
5. 選擇網絡安全組。
6. 選擇安全組。
7. 單擊下圖所示的圖標以添加入站安全規則：

1. 單擊添加按鈕。
2. 使用掃描引擎的IP填寫表格：

掃描引擎通訊方式

掃描引擎可以通過以下兩種方式之一啟動與安全控制臺的通信：

這些通信方法取決于您在部署時如何將掃描引擎與安全控制臺配對。從根本上講，這兩種方法的目的都是在控制臺和引擎之間建立開放的通信通道，以便掃描指令和數據可以在兩者之間自由流動。您選擇實現的通信方法僅確定該通道的起源。在這兩種情況下，一旦建立了通信，安全控制臺和掃描引擎就會一起執行其任務。

本文介紹了標準的控制臺到引擎和反向引擎到控制臺的通信方法之間的區別，并提供了有關如何更改已配對的引擎的通信方法的說明。

TIP
有關如何根據這些方法配對掃描引擎的說明，請參閱“ 分布式掃描引擎”頁面。

標準（從控制臺到引擎）

對于分布式掃描引擎，這是最常見的通信方法。當安全控制臺確定需要對目標資產進行掃描時，它將啟動連接以與掃描引擎進行通信。

結果，掃描引擎必須允許默認端口40814上的入站流量才能創建此連接。

反向（從引擎到控制臺）

通過“反向”配對過程實現的引擎到控制臺的通信方法在您的安全策略將入站連接限制到托管掃描引擎的網絡的情況下很有用。在引擎到控制臺的配置中，掃描引擎會例行ping安全控制臺，以查看是否需要運行掃描作業。如果安全控制臺實際上確實已準備好掃描作業，則它接受來自掃描引擎的連接，并建立通信通道。

因此，安全控制臺必須允許默認端口40815上的入站流量，以便創建此連接。

如何更改掃描引擎的通信方式

重要
如果選擇調整掃描引擎的通信方式，請確保調整防火墻規則以適應其新狀態。

如果需要更改已與安全控制臺配對的分布式掃描引擎的通信方法，則可以從“掃描引擎”管理頁面進行更改。

更改分布式掃描引擎的通信方向：

1. 瀏覽到左側導航菜單中的“ 管理”選項卡，然后單擊。
2. 在“掃描選項”部分中，單擊“引擎”旁邊的管理。
3. 在“掃描引擎”表中，找到要調整的掃描引擎條目。
4. 在“通信狀態”列中，單擊箭頭圖標在通信方法之間進行切換。

掃描引擎數據收集-規則和詳細信息

本文介紹了在特定掃描方案中可能適用于掃描引擎數據收集的規則和詳細信息。

Active Directory域控制器上的枚舉限制

當漏洞掃描成功驗證到目標資產后，掃描引擎會枚舉在該資產上找到的所有單個用戶帳戶和用戶組。由于其性質和目的，已部署為Active Directory域控制器的資產通常可以具有數千個這些用戶帳戶和用戶組。

為了減輕用戶枚舉對以Active Directory域控制器為目標的掃描的潛在性能影響，掃描引擎最多只能枚舉每個資產2,000個個人用戶帳戶和2,000個用戶組。

作為此規則的結果，每個資產最大可能的枚舉用戶相關對象數為4,000。