与项目声纳合作

工程声纳是Rapid7实验室团队的一项倡议,旨在通过对公共网络的积极分析来提高安全性。它对常见服务的公共IPv4地址进行非侵入性扫描,从服务中提取信息,并使每个人都可以获得数据。

通过分析Project Sonar数据,您可以:

  • 从局外人的角度看你的环境。
  • 找到属于您的组织但您可能没有跟踪的资产。
  • 对你的公共资产进行快照。
  • 更好地了解你的曝光表面积。

Project Sonar数据可以添加到站点,并像其他资产数据一样处理。请记住,Project Sonar的数据不是一个确定的或全面的视图;这只是一个起点,你可以用它来更多地了解你在公共互联网上的存在。

设置声纳查询

Sonar查询从Sonar的档案中提取域的信息,并将其添加到通过连接发现桌子资产页。SONAR查询由Nexpose管理员设置,并定义了您具有扫描权限的域。作为站点管理员,您可以通过动态发现连接将它们添加到站点。

在访问Project Sonar数据之前,暴露管理员必须已经为暴露控制台创建了Sonar查询。如果您有一个暴露企业许可证,并且您没有看到来自Sonar连接的结果,请与暴露管理员联系,并要求他们设置一个Sonar查询。

了解Sonar工作流程

您与声纳资产的工作方式将类似于您使用动态资产的方式。要将声纳资产添加到网站,可以使用以下工作流程:

  1. 创建一个网站。
  2. 选择Sonar连接来动态发现资源。
  3. 基于域名,主机范围或扫描日期过滤资产。
  4. 保存网站。
  5. 扫描资产。
  6. 安排一次扫描。

为声纳资产创建一个网站

为了使用声纳资产,您需要做的第一件事是创建一个使用声纳连接的动态站点。创建该网站后,您将能够与您的数据库中的任何其他资产一起使用它们。

要为Sonar资产创建一个站点:

  1. 点击创建选项卡,并选择场地从下拉列表中。
  1. 在里面信息与安全选项卡的站点配置页面中,输入将包含Sonar实验室资产的站点的名称。
  1. 点击资产标签。
  1. 选择连接作为指定资产的选项。
  1. 选择连接页面,选择声纳连接下拉列表。

选择声纳连接后,发现的资产表使用Sonar查询的结果填充。您可以应用过滤器优化添加到站点的资产列表。但是,如果要添加所有声纳资源,请不要应用任何过滤器。

安全控制台连接在公开管理员设置的每个查询中发现最多10,000个资产。这些是实验室服务器返回的前10,000个资产,列表可以随时更改。

  1. 保存网站。

从项目声纳过滤数据

过滤器是您可以用来从声纳查询中改进结果的规则。当您想指定您添加到您的网站的资产的要求时,您会创建它们。例如,如果要仅将落在某个IP范围内的资产添加到您的网站中,则可以创建过滤器。

筛选器由筛选器类型、搜索运算符和筛选器值组成。

过滤器类型

您可以基于以下内容创建过滤器:

  • 域名,例如“Rapid7.com”或'Community.Rapid7.com'
  • 主机IP范围,如“192.168.1.0-192.169.1.255”
  • 扫描日期,例如“在过去30天内”

搜索操作员

过滤器使用运算符将​​资产匹配到您提供的值。您可以使用以下运算符构建过滤器:

  • 包含- 基于部分匹配的滤波器。例如,筛选器“域名包含Rapid7.com”返回域中包含“Rapid7.com”的所有资产。
  • —基于精确匹配的过滤。例如,'domain name is rapid7.com'过滤器只返回域名为'rapid7.com'的资产。
  • 在过去-过滤器基于时间框架。此操作符仅用于扫描日期过滤器,且仅接受整数。例如,过滤器“Sonar扫描日期在过去7天内”返回Sonar在过去一周扫描过的资产。

创建一个过滤器

您需要做的第一件事是创建一个域名过滤器。在为域名创建过滤器之后,您将能够基于主机IP范围和扫描日期创建过滤器。

要创建过滤器:

  1. 资产选项卡的站点配置页面,选择连接作为指定资产的选项。
  2. 点击添加过滤器显示可用的过滤器。
  1. 使用可用的过滤器为Sonar资产构建规则。可以通过IP地址范围、域名和扫描日期进行过滤。
  1. 添加尽可能多的过滤器,然后单击滤器应用它们。结果在发现的资产根据您的过滤器更新表。
  1. 保存网站。

设置声纳查询的扫描日期

您可以创建一个扫描日期过滤器来控制资产数据的过时性。当资产已被Sonar扫描,但资产在执行扫描后已更改IP地址时,就会发生陈旧数据。通常情况下,Project Sonar扫描资产的时间越长,数据就越有可能过时。

为了减少向站点添加陈旧数据的可能性,您应该创建一个扫描日期过滤器。一个最近的扫描日期范围,如7天,确保你不会意外地添加不属于你的资产到你的网站。如果您应用扫描日期过滤器,但没有看到来自Sonar的任何结果,您可能需要扩展过滤器使用的范围。

扫描声纳资产

在你扫描你的声纳资产之前,你首先审查它们是至关重要的。Project Sonar发现生产资产,因此您需要验证这些资产实际上属于您的公司,并且您有权限扫描它们。在执行任何扫描之前,您还应该检查您的停电时间表。

要手动扫描网站:

  1. 在主页的“站点”表中,单击扫描包含声纳资源的站点的按钮。
  1. 开始新的扫描窗口出现,配置通常会配置扫描,例如选择扫描模板和站点引擎。
  1. 点击现在就开始运行扫描。

资源将被添加到扫描表的表资产如果已为其标识主机名,则返回页面。

安排扫描

现在,您已经成功地为Sonar资产创建了一个站点,您可能需要考虑为您的扫描创建一个时间表。日程表可以帮助你有规律地检查。有关安排扫描的更多信息,请参见计划扫描