Demo Starten

Optimieren Sie Schwachstellen-Scanner

Schwachstellenscanner erzeugen eine große Menge an Aktivitäten in Ihrem Netzwerk, während das System Anwendungen kontinuierlich auf Sicherheitslücken scannt. Durch die Erstellung von Optimierungsregeln können Sie Erkennungen mit niedrigen Werten reduzieren, die mit bekannten Scanneraktivitäten verknüpft sind.

Im Folgenden finden Sie einige wichtige Überlegungen zur Abstimmung von Schwachstellenscannern:
  • Kommunizieren Sie mit den Teams in Ihrer Organisation, die Scanner konfigurieren. Effektive Optimierungsregeln setzen ein Verständnis der Scanziele und -zeitpläne voraus.
  • Vergewissern Sie sich, dass Ihr ExtraHop-Sensor den Standort Ihres Scanners korrekt klassifiziert. Wenn Sie beispielsweise einen Schwachstellenscanner in einem Teil Ihres Netzwerk hosten, der nicht von einem ExtraHop-Sensor beobachtet wird, wird dieser Datenverkehr als extern angezeigt. Möglicherweise müssen Sie Geben Sie eine Netzwerklokalität an für den Verkehr, bevor Sie den Remote-Scanner zu einer Tuning-Regel hinzufügen können.
  • Wenn Sie mit cloudbasierten Scannern zu tun haben oder eine große Anzahl von Optimierungsregeln erstellen müssen, können Sie Tunen Sie Erkennungen mit der ExtraHop REST-API.

Inventarisieren Sie Schwachstellenscanner und Ziele

Bevor Sie mit der Erstellung von Optimierungsregeln beginnen, sollten Sie alle Schwachstellenscanner überprüfen , die in Ihrer Umgebung aktiv sind.

Inventarisieren Sie Ihre Scanner
Stellen Sie eine Liste aller Schwachstellenscanner zusammen, die in Ihrer Umgebung aktiv sind, einschließlich der folgenden Arten von Details:
  • Anwendbare IP-Adressen und Hostnamen für Scangeräte.
  • Der Name Ihres externen Scananbieters, z. B. Teneble oder Qualys. Für die meisten externen Scandienste wird nur der Anbietername benötigt, da ExtraHop eine Bibliothek mit IP-Adressen für gängige Cloud-basierte Scan-Anbieter verwaltet.
  • Zugeordnete CIDR-Blöcke für weniger verbreitete externe Scandienste.
Inventarisieren Sie Ihre Scanner-Ziele
Stellen Sie eine Liste aller Netzwerke zusammen, die Ziel von Schwachstellenscannern sind. Ihre Liste sollte alle Netzwerke, CIDR-Blöcke oder Gerätegruppen enthalten, die regelmäßig von Ihren Schwachstellenscannern gescannt werden.

Sie haben jetzt eine Liste von Schwachstellenscanner Scanner-Geräten, mit denen Sie Tuning-Regeln erstellen können. Lokale Schwachstellenscanner-Geräte sollte in der Gerätegruppe Vulnerability Scanner erscheinen damit du kannst fügen Sie die Vulnerability Scanner-Gerätegruppe zu einer Tuning-Regel hinzu. Jeder Ihrer externen Scandienste kann zu einzelnen Tuning-Regeln hinzugefügt.

Überprüfen Sie die Vulnerability Scanner-Gerätegruppe

Vergewissern Sie sich, dass alle Ihre lokalen Scangeräte erkannt und in die Gerätegruppe Vulnerability Scanner eingestuft wurden.

Die integrierte Vulnerability Scanner-Gerätegruppe ist eine dynamische Gerätegruppe. Geräte werden automatisch hinzugefügt, nachdem ein Muster der Scanaktivitäten festgelegt wurde und das Quellgerät als Vulnerability Scanner eingestuft wurde. Wenn Sie keinen erwarteten Scanner in der Gerätegruppe sehen, können Sie abwarten, ob das Gerät dynamisch hinzugefügt wird, oder Sie können den nächsten Schritten folgen, um den Geräterolle manuell.
  1. Überprüfen Sie die Geräte in der Vulnerability Scanner-Gerätegruppe.
    1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
    2. Klicken Sie oben auf der Seite auf Vermögenswerte.
    3. Klicken Sie unter Geräte nach Rolle auf Schwachstellen-Scanner.
    4. Klicken Sie Geräte um eine Liste der Schwachstellenscanner in Ihrer Umgebung anzuzeigen.
    5. Überprüfen Sie die Geräte und notieren Sie sich alle Scanner aus Ihrer zusammengestellten Liste, die nicht in der Gerätegruppe des Schwachstellenscanner enthalten sind.
  2. Optional: Wenn das ExtraHop-System einen Scanner nicht automatisch klassifiziert hat, können Sie Ändern Sie die Geräterolle manuell.
    1. In der globale Suche Geben Sie in das Feld oben auf der Seite die IP-Adresse oder den Hostnamen des Scanners ein , der nicht in der Vulnerability Scanner-Gerätegruppe erscheint.
    2. Klicken Sie in den Suchergebnissen auf das Gerät, um die Geräteübersichtsseite zu öffnen.
    3. Klicken Sie Eigenschaften bearbeiten.
    4. Klicken Sie auf Rolle des Geräts Drop-down-Menü und wählen Schwachstellen-Scanner.
    5. Klicken Sie Erledigt.
    Vergewissern Sie sich, dass das Gerät jetzt in der Gerätegruppe des Schwachstellenscanner erscheint. Wiederholen Sie diese Schritte, um alle Scanner aus Ihrer zusammengestellten Liste hinzuzufügen, die nicht in der Gerätegruppe enthalten sind.
  3. Optional: Entfernen Sie alle Geräte, die nicht in der Vulnerability Scanner-Gerätegruppe erscheinen sollen.
    1. Klicken Sie auf das Gerät, um die Geräteübersichtsseite zu öffnen.
    2. Klicken Sie Eigenschaften bearbeiten.
    3. Klicken Sie auf Rolle des Geräts Drop-down-Menü und wählen Sie die richtige Rolle für das Gerät aus.
    4. Klicken Sie Erledigt.

Erstellen Sie eine Optimierungsregel, um die Vulnerability Scanner-Gerätegruppe auszublenden

Erstellen Sie eine Optimierungsregel, um alle Erkennungen auszublenden, bei denen es sich bei dem Täter um ein Gerät handelt, das Mitglied der integrierten Vulnerability Scanner-Gerätegruppe ist.

Before you begin

  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Tuning-Regeln.
  3. Klicken Sie Erstellen.
  4. Aus dem Entdeckungstyp Drop-down-Menü auswählen Alle Arten von Sicherheitserkennungen.
  5. Aus dem Täter Drop-down-Menü auswählen Gerätegruppe oder Gerät.
  6. In der Gerätegruppe oder Gerät Feld, Typ Schwachstellen-Scanner klicken Sie dann auf die integrierte Vulnerability Scanner-Gerätegruppe.
  7. Aus dem Opfer Drop-down-Menü wählen Sie das Ziel Ihres Scanners aus, z. B. Gerätegruppe oder Gerät, IP-Adresse oder CIDR-Block, oder Netzwerk-Lokalität.
    Wir empfehlen, dass Sie nicht auswählen Irgendein Opfer für Ihre Regeln zum Scannen von Schwachstelle. Durch das Hinzufügen bestimmter Scanziele zu den Optimierungsregeln wird verhindert, dass bösartige Scanaktivitäten versehentlich ausgeblendet werden.
  8. Aus dem Ablauf Wählen Sie im Dropdownmenü einen Wert aus, der Ihre internen Richtlinien widerspiegelt.
    Wir empfehlen, einen Ablaufwert auszuwählen, der Sie dazu auffordert, Ihre Vulnerability Scanner-Gerätegruppenmitgliedschaft zu überprüfen.
  9. Geben Sie im Feld Beschreibung Details an, die anderen Administratoren oder Analysten helfen, den Geltungsbereich der Regel zu verstehen.
    Zum Beispiel: „Diese Optimierungsregel verbirgt alle Schwachstellenscanner Scanner-Geräte , die sich in der integrierten Vulnerability Scanner-Gerätegruppe befinden. Die Gerätegruppenmitgliedschaft wurde zuletzt am 30. Januar von Gary überprüft."
  10. Klicken Sie Speichern.
    Die Regel wird dem hinzugefügt Tuning-Regeln Tabelle.

Fügen Sie eine Optimierungsregel hinzu, um einen externen Scandienst auszublenden

Erstellen Sie eine Optimierungsregel, um alle Erkennungen auszublenden, bei denen es sich bei dem Täter um einen externen Scandienst handelt.

Hinweis:Externe Scandienste werden anhand von IP-Adressen oder CIDR-Blöcken optimiert, die von Load Balancern oder Gateway-Geräten in Ihrem Netzwerk maskiert werden können. Wenn Sie eine Regel erstellen, die einen externen Scandienst nicht verbergen kann, müssen Sie möglicherweise Geben Sie eine Netzwerklokalität an oder ein benutzerdefiniertes Gerät erstellen mit dem Service-CIDR-Block, und erstellen Sie dann eine Optimierungsregel mit Ihrem neuen Standort oder benutzerdefinierten Gerät.

Before you begin

  • Besorgen Sie sich den Namen Ihres Scandienstanbieters. Das ExtraHop-System liefert automatisch die IP-Adressen für gängige externe Scandienste. Besorgen Sie sich für weniger verbreitete Anbieter den CIDR-Block, der dem Dienst zugeordnet ist.
  • Sie können einzelne Geräte oder externe Scandienste ausblenden direkt aus Erkennungen wo das Gerät als Täter erscheint.
  • Benutzer müssen Vollschreiben oder höher haben Privilegien um eine Erkennung zu optimieren.
  • Erfahre mehr über Abstimmung von Best Practices.
  1. Loggen Sie sich in das ExtraHop-System ein über https://<extrahop-hostname-or-IP-address>.
  2. Klicken Sie auf das Symbol Systemeinstellungen und klicken Sie dann Tuning-Regeln.
  3. Klicken Sie Erstellen.
  4. Aus dem Entdeckungstyp Drop-down-Menü auswählen Alle Arten von Sicherheitserkennungen.
  5. Aus dem Täter Drop-down-Menü auswählen Externer Scan-Service.
    Das ExtraHop-System verwaltet einen Katalog von CIDR-Blöcken, die externen Scandiensten zugeordnet sind. Nicht alle Dienstleistungen sind enthalten. Sie können auf das Dropdownmenü Externer Scan-Service klicken, um die vollständige Liste der abgedeckten Dienste zu überprüfen und zu bestätigen, dass Ihre Dienste enthalten sind.

    Wenn Sie Ihren Service nicht sehen, ändern Sie Ihre Täter-Auswahl in IP-Adresse oder CIDR-Block und geben Sie den CIDR-Block ein, der von Ihrem externen Scandienst bereitgestellt wird.

  6. Wählen Sie im Feld Externer Scandienst eine der folgenden Optionen aus:
    • Wählen Jeder externe Scandienst um den Datenverkehr aller IP-Adressen zu verbergen, die mit externen Scandiensten verknüpft sind. Klicken Sie dann auf Speichern.
    • Wählen Sie den Namen Ihres externen Scandienstes aus. Sie können mehrere Scandienste auswählen. Klicken Sie dann auf Speichern.
  7. Aus dem Opfer Drop-down-Menü auswählen Irgendein Opfer.
  8. Aus dem Ablauf Wählen Sie im Dropdownmenü einen Wert aus, der Ihre internen Richtlinien widerspiegelt.
    Wir empfehlen, einen Ablaufwert auszuwählen, der Sie dazu auffordert, Ihre aktiven externen Scandienste zu überprüfen.
  9. Geben Sie im Feld Beschreibung Details an, die anderen Administratoren oder Analysten helfen, den Geltungsbereich der Regel zu verstehen.
    Zum Beispiel: „Diese Tuning-Regel verbirgt alle Erkennungen, bei denen unser Qualys- oder Rapid7-Scanservice der Täter ist. Die Scandienste wurden zuletzt am 30. Januar von Gary überprüft."
  10. Klicken Sie Speichern.
    Die Regel wird dem hinzugefügt Tuning-Regeln Tabelle.
Last modified 2025-03-28