<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    HCL AppScan Enterprise 中文文檔 10.0.1
    展開或關閉
    概述
    概述 應用程序安全管理 AppScan Enterprise 組件 隨 AppScan Enterprise 一起提供的 AppScan Standard 組件 應用程序安全管理入門(鏈接未重置) HCL AppScan? Enterprise 中的新增功能(外部英文文檔) 支持的技術 已知問題和變通方法 不推薦的功能 良好安全實踐聲明
    安裝
    規劃部署和安裝 安裝需求(需要二級目錄) 安裝拓撲示例 安裝前任務 安裝任務 安裝任務—— 在一臺計算機上安裝所有必需組件 安裝任務——在多機器環境中安裝必需的組件 安裝任務——在 Linux for AppScan Source 上安裝用戶組件 安裝后任務 安裝后任務—— 在 SQL Server Enterprise Edition 上啟用 TDE 安裝后任務—— 對 FIPS 140-2 和 NIST SP800-131a 安全標準的支持 安裝后任務——以通用訪問卡 (CAC) 進行認證 高級安裝場景
    升級和遷移
    您從先前版本升級時的產品更改 修訂包安裝 將 Jazz Team Server 替換為 WebSphere Liberty - 常見問題 在 AppScan Enterprise 中將 Jazz Team Server 用戶遷移到 Liberty 升級到最新版本的 AppScan Enterprise 為 AppScan Enterprise 配置 SQL Server 數據庫 使用 Liberty 證書庫中的證書 升級 AppScan Source LDAP 與 Oracle 數據庫的連接 在 WebSphere Liberty 概要文件上啟用 FIPS 140-2 或 NIST SP800-131a
    集成
    與 IBM Security SiteProtector 集成 與 IBM Security QRadar 集成 與 QA 自動化系統集成 與缺陷跟蹤系統集成
    最佳實踐
    針對內容掃描的最佳做法 常見問題 關于在生產環境中運行安全掃描的最佳做法 針對性能的最佳做法 了解測試優化
    配置期間
    配置用戶設置 配置 Enterprise Console 配置日志保留期限屬性
    管理
    配置和下載 Enterprise Console 和 AppScan Server 的日志文件 在AppScan Enterprise中更新服務帳戶密碼 監視 AppScan Enterprise 使用情況 管理服務器 管理掃描隊列 更新安全規則 從 AppScan Standard 導入用戶定義的測試 維護 SQL Server 數據庫 準備安全測試 準備安全測試——創建和導入安全測試策略 創建掃描模板
    管理應用程序風險
    用于管理應用程序安全的工作流程示例 步驟1:創建應用程序清單 應用程序屬性 創建應用程序概要信息模板 創建應用程序 導入和導出應用程序的清單列表 從應用程序創建掃描 將掃描與應用程序關聯 步驟 5:度量進度并獲得合規性證明——度量進度 應用程序的用戶訪問控制 步驟 2:測試應用程序以查找漏洞——從第三方掃描程序導入問題 步驟 2:測試應用程序以查找漏洞——創建第三方掃描程序 第三方掃描程序導入問題 v9.0.2 和更高版本和先前版本中的掃描配置差異概述 從模板創建掃描 編輯掃描 使用 AppScan Standard 中的掃描屬性創建 QuickScan 模板 從 AppScan Standard 上載高級掃描 運行和調度作業 在兩個 Enterprise Console 之間復制掃描 步驟 3:確定風險和劃分漏洞優先級 確定風險——公式組成部分 確定風險——函數示例 確定風險——內置公式 確定風險——定制風險分級公式 確定風險——創建具有公式的屬性 確定風險——確定問題嚴重性 對應用程序中的安全問題列表進行過濾 步驟 4:補救任務 獲得合規性證明
    故障診斷和技術支持
    對問題進行故障診斷 模板:聯系 HCL 支持人員 Dynamic Analysis Scanner 故障診斷——作業故障診斷 Dynamic Analysis Scanner 故障診斷——對手動探索進行故障診斷 Dynamic Analysis Scanner 故障診斷——對會話中檢測進行故障診斷 Dynamic Analysis Scanner 故障診斷——對安全測試策略進行故障診斷 Enterprise Server 故障診斷
    參考
    配置向導 文件夾資源管理器 在文件夾資源管理器中創建掃描——使用 AppScan Enterprise 中的掃描屬性創建 QuickScan 模板 使用 AppScan Enterprise 中的掃描屬性配置安全掃描 安全掃描的工作方式 安全測試的工作流程 文件夾資源管理器——JavaScript 源代碼分析的工作方式 文件夾資源管理器—— 通過高級配置選項優化掃描 文件資源管理器中創建掃描——連接Web服務器 靜態分析數據與動態的相關工作——混合分析示例 靜態分析數據與動態的相關工作——測試web服務是否存在安全漏洞 文件夾資源管理器中創建掃描——捕獲并導入流量數據 從 AppScan Standard 導入基于操作的登錄文件 從報告包中過濾報告數據 組織報告和儀表板結果以供分析——將報告數據分組 管理報告中的問題 導出脫機分析的數據 將靜態分析數據與動態分析數據相關
    REST API
    掃描管理 REST API(舊) 掃描管理 REST API——服務 掃描管理REST API ——服務——運行掃描 掃描管理REST API ——服務——獲取報告結果 AppScan Enterprise REST API AppScan Enterprise REST API 示例 缺陷跟蹤系統集成 REST API

    準備安全測試——創建和導入安全測試策略

    HCL AppScan Enterprise 中文文檔 10.0.1 /

    安全測試策略

    安全測試策略是一組預定義的安全測試。必須先為用戶指定服務器組和測試策略,用戶才能執行安全掃描。

    無需為管理員授予對測試策略的明確訪問權,也無需將其指定到服務器組。有兩種類型的測試策略可用:

    • Simple security test policy 在較高的級別定義測試。您可以在 AppScan? Enterprise Server 中創建和編輯簡單測試策略,并將其指定到服務器組。
    • Advanced security test policy 定義更精細級別的測試。您可以從 AppScan 7.7(或更高版本)中導入高級測試策略,然后將其指定到服務器組,但不能編輯其屬性:
      • 僅應用程序:包含所有應用程序級別的測試,但侵入式和端口偵聽器測試除外。
      • 已完成:包含所有 AppScan 測試。
      • 缺省值:包含所有測試,但侵入式和端口偵聽器測試除外。
      • 開發者精要:包含一些成功可能性極高的應用程序測試的精選。在時間有限時對站點評估可能有用。
      • 僅限基礎結構:包含所有基礎結構級別的測試,但侵入式和端口偵聽器測試除外。
      • 侵入式:包含所有侵入式測試(可能影響服務器穩定性的測試)。
      • 生產站點:排除可能破壞站的侵入式測試或可能導致其他用戶的“拒絕服務”的測試。
      • 關鍵的少數:包含一些成功可能性極高的測試精選。在時間有限時對站點評估可能有用。
      • 僅第三方:包含所有第三方級別的測試,但侵入式和端口偵聽器測試除外。
      • Web Service:包含所有 SOAP 相關測試,但侵入式和端口偵聽器測試除外。

    創建簡單安全測試策略

    “簡單”安全測試策略是缺省測試策略。它在較高的級別定義測試。您可以創建和編輯簡單測試策略,并將其指定到服務器組。然后您可以為用戶指定服務器組/測試策略組合,以在安全掃描過程中使用。

    過程

    1. 轉至“管理”視圖。
    2. 在“安全測試策略”頁面上,單擊創建。
    3. 在“創建簡單安全測試策略”頁面上,為測試策略給定名稱和描述,然后單擊創建。
    4. 在“編輯簡單安全測試策略”頁面上,配置將包含在測試策略中的測試,然后單擊保存。

    下一步做什么

    將測試策略指定給一個或多個用戶。

    從 AppScan Standard 導入高級安全測試策略

    使用高級安全測試策略來深入測試到漏洞的變體級別,從而使您能夠完全控制在掃描期間發送的測試。您可以從 AppScan? Standard Edition 7.5(或更高版本)導入高級安全測試策略并將其指定給服務器組。

    關于此任務

    從 AppScan 7.5(或更高版本)中導出這些測試策略,且這些測試策略為只讀。針對測試策略的任何必需修改都必須在 AppScan 中執行,然后再重新導入。

    過程

    1. 轉至“管理”視圖。

    2. 在“安全性測試策略”頁面上,單擊導入高級安全測試策略。

    3. 在“導入高級安全測試策略”頁面上,給定策略名稱。

    4. 輸入 .policy 文件的位置,然后單擊導入。

      注: 如果您不知道 .policy 文件的位置,請單擊瀏覽,以在文件系統中定位該文件,然后再單擊導入。“編輯高級測試策略”頁面會打開,您可以在此查看測試策略包含的測試的只讀版本。

    5. 在“編輯高級安全測試策略”頁面上,按照要求編輯測試策略的名稱和描述,然后單擊保存。

    6. 通過檢查測試策略的詳細信息,來驗證是否已導入正確的測試策略。

    下一步做什么

    將安全測試策略指定給一個或多個用戶。

    重新導入高級安全測試策略

    在必須從 AppScan? Standard 中重新導入安全測試策略文件時,您可以將其重新導入,而不會影響工作流程。

    關于此任務

    有時候您必須重新導入安全測試策略文件,其中包括:

    • 您已經將測試策略指定給用戶,而這些用戶當前正在掃描作業上使用該策略
    • 測試策略規則版本已經在 AppScan Standard 中更新,并且您想要在 AppScan Enterprise 中使用這些版本

    要避免不得不重新指定測試策略上的安全許可權的情況,并避免影響到當前正在使用該安全測試策略的作業,您可以從 AppScan 中將其重新導入,而不會影響工作流程。否則,您必須刪除 AppScan Enterprise 中的測試策略,放棄引用已刪除策略的任何作業,創建新的測試策略。

    1. 在 AppScan Standard 中應用更新,然后關閉 AppScan Standard。
    2. 重新打開 AppScan,然后將該測試策略導出為 .policy 文件。
    3. 將安全測試策略重新導入到 AppScan Enterprise 中。

    定義要測試的服務器和要執行的安全測試

    由產品管理員向作業管理員分配安全測試策略和服務器組。安全測試策略定義可以執行哪些測試;服務器組定義可以對哪些應用程序/服務器運行這些測試。

    開始之前

    注:

    • 可用的測試策略取決于產品管理員已分配給您的內容。
    • 每個測試策略都與特定服務器組相關聯,因此,更改測試策略也會更改服務器組。

    關于此任務

    用戶屬性列出了已指定給您的安全測試策略和服務器組。當“作業管理員”創建作業時,其安全測試策略和服務器組已預先確定。但是,其他“作業管理員”能夠更改作業可以運行的測試及其可以測試的應用程序。任何其他“作業管理員”都能夠獲得作業的“所有權”。當“作業管理員”獲得作業所有權時,可用的安全測試策略和服務器組會成為新“作業管理員”的安全測試策略和服務器組。

    過程

    1. 移至“文件夾內容摘要”,選擇作業并單擊編輯。
    2. 在“常規屬性”頁面上,單擊選擇作業所有者,并選擇您自己作為新的作業所有者。
    3. 單擊選擇作業所有者 > 保存。

    下一步做什么

    將安全測試策略和服務器組分配給用戶

    將安全測試策略和服務器組分配給用戶

    您創建服務器組(想要測試的內容)和安全測試策略(想要執行的測試)后,必須將其分配給用戶。用戶只能在指定給他們的服務器組上運行安全測試。如果不指定任何測試策略給這些用戶,他們便無法執行安全掃描。

    關于此任務

    可以為各用戶指定特定的安全測試策略和服務器組。但是,如果想讓所有新用戶自動擁有相同的測試策略和服務器組,那么請將他們指定到“缺省用戶”。

    要將安全測試策略和服務器組指定到用戶,請執行下列操作:

    1. 轉至“管理”視圖。
    2. 在“用戶和組”頁面上,從現有用戶的列表中選擇用戶或者選擇“缺省用戶”,然后單擊編輯。
    3. 在“編輯用戶”頁面的“安全掃描許可權”部分中,選擇測試策略和對應的服務器組,然后單擊添加。
    4. 將測試策略和服務器組的其他組合添加到當前分配的安全測試策略和服務器組列表,然后單擊保存。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类