Version 25.2

PDF

Voir la table des matières

Exigences relatives aux produits

Tous les systèmes ExtraHop

Thank you! We will contact you soon to ask how we can improve our documentation. We appreciate your feedback.

Ce sujet a-t-il été utile ?

Oui Non

Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?

Comment pouvons-nous nous améliorer ?

Need more help?

Ask the Community

Ajustez les scanners de vulnérabilités

Les scanners de vulnérabilité génèrent une activité importante sur votre réseau, tandis que le système analyse en permanence les applications pour détecter les failles de sécurité. En créant des règles d'exceptions, vous pouvez réduire les détections de faible valeur associées à une activité d'analyse connue.

Voici quelques considérations importantes concernant le réglage des scanners de vulnérabilité :

Communiquez avec les équipes de votre organisation qui configurent les scanners. Pour être efficaces, les règles d'exceptions nécessitent une bonne compréhension des cibles et des planifications d'analyse.
Vérifiez que votre sonde ExtraHop classe correctement l' emplacement de votre scanner. Par exemple, si vous hébergez un scanner de vulnérabilités dans une partie de votre réseau qui n'est pas détectée par une sonde ExtraHop, ce trafic apparaîtra comme étant externe. Il se peut que vous deviez spécifier une localité du réseau pour le trafic avant de pouvoir ajouter le scanner distant à une règle de réglage.
Si vous utilisez des scanners basés sur le cloud ou si vous devez créer un grand nombre de règles d'exceptions, vous pouvez régler les détections avec l'API REST ExtraHop.

Inventaire des scanners de vulnérabilités et des cibles

Avant de commencer à créer des règles d'exceptions, vous devez passer en revue tous les scanners de vulnérabilités actifs dans votre environnement.

Dressez l'inventaire de vos scanners

Dressez une liste de tous les scanners de vulnérabilités actifs dans votre environnement, y compris les informations suivantes :

Adresses IP et noms d'hôte applicables aux appareils de numérisation.
Le nom de votre fournisseur d'analyse externe, tel que Teneble ou Qualys. Seul le nom du fournisseur est nécessaire pour la plupart des services de numérisation externes, car ExtraHop gère une bibliothèque d' adresses IP pour les fournisseurs de numérisation courants basés sur le cloud.
Blocs CIDR associés pour les services de numérisation externes moins courants.

Inventoriez les cibles de votre scanner

Dressez une liste de tous les réseaux ciblés par les scanners de vulnérabilités. Votre liste doit inclure tous les réseaux, blocs CIDR ou groupes d'équipements qui sont régulièrement analysés par vos scanners de vulnérabilités.

Vous disposez désormais d'une liste de dispositifs d'analyse de vulnérabilités pour créer des règles d'exceptions. Appareils d'analyse de vulnérabilité locaux devrait apparaître dans le groupe dtails d' équipements Vulnerability Scanner afin que vous puissiez ajouter le groupe d'équipements Vulnerability Scanner dans une règle de réglage. Chacun de vos services de numérisation externes peut être ajouté aux règles d'exceptions individuelles.

Passez en revue le groupe diciels Vulnerability Scanner

Vérifiez que tous vos périphériques d'analyse locaux ont été découverts et classés dans le groupe déquipements Vulnerability Scanner.

Le groupe de périphériques Vulnerability Scanner intégré est un groupe de périphériques dynamique. Les appareils sont ajoutés automatiquement une fois qu'un modèle d'activité d'analyse est établi et que l'équipement source est classé comme scanner de vulnérabilités. Si le scanneur attendu ne figure pas dans le groupe diciels, vous pouvez attendre de voir si l'équipement est ajouté dynamiquement, ou suivre les étapes suivantes pour modifier le rôle de l'équipement manuellement.

Passez en revue les appareils du groupe diciels Vulnerability Scanner.
1. Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
2. En haut de la page, cliquez sur Actifs.
3. Sous Appareils par rôle, cliquez sur Scanner de vulnérabilité.
4. Cliquez Appareils pour consulter la liste des scanners de vulnérabilités de votre environnement.
5. Passez en revue les appareils et notez tous les scanners de votre liste compilée qui n'apparaissent pas dans le groupe d'appareils de l'analyseur de vulnérabilité.
Facultatif : Si le système ExtraHop n'a pas automatiquement classé un scanner, vous pouvez modifier le rôle de l'équipement manuellement.
1. Dans le recherche globale dans le champ en haut de la page, saisissez l'adresse IP ou le nom d'hôte du scanner qui n'apparaît pas dans le groupe déquipements Vulnerability Scanner.
2. Cliquez sur l'appareil dans les résultats de recherche pour ouvrir la page de présentation de l'équipement.
3. Cliquez Modifier les propriétés.
4. Cliquez sur Rôle de l'appareil menu déroulant et sélectionnez Scanner de vulnérabilité.
5. Cliquez Terminé.
Vérifiez que l'équipement apparaît désormais dans le groupe d' équipements de l'analyseur de vulnérabilité. Répétez ces étapes pour ajouter tous les scanners de votre liste compilée qui n'apparaissent pas dans le groupe dvillageéquipements.
Facultatif : Supprimez tous les appareils qui ne devraient pas figurer dans le groupe d'équipements Vulnerability Scanner.
1. Cliquez sur l'appareil pour ouvrir la page de présentation de l'équipement.
2. Cliquez Modifier les propriétés.
3. Cliquez sur Rôle de l'appareil menu déroulant et sélectionnez le rôle approprié pour l'équipement.
4. Cliquez Terminé.

Créez une règle de réglage pour masquer le groupe dtails d'équipements Vulnerability Scanner

Créez une règle de réglage pour masquer toutes les détections dans lesquelles le délinquant est un équipement membre du groupe déquipements Vulnerability Scanner intégré.

Before you begin

Vous pouvez masquer des appareils individuels directement à partir des détections où l'équipement apparaît comme un délinquant.
Les utilisateurs doivent disposer d'une écriture complète ou supérieure privilèges pour régler une détection.
En savoir plus sur bonnes pratiques de réglage.

Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
Cliquez sur l'icône Paramètres système puis cliquez sur Règles de réglage.
Cliquez Créez.
À partir du Type de détection sélection dans le menu déroulant Tous les types de détection de sécurité.
À partir du Délinquant sélection dans le menu déroulant Groupe d'appareils ou appareils.
Dans le Groupe d'appareils ou appareils champ, type Scanners de vulnérabilité puis cliquez sur le groupe dequipment Vulnerability Scanners intégré.
À partir du Victime menu déroulant, sélectionnez la cible de votre scanner, telle qu'un Groupe d'appareils ou appareils, Adresse IP ou bloc CIDR, ou Localité du réseau.
Nous vous recommandons de ne pas sélectionner N'importe quelle victime pour vos règles d'analyse des vulnérabilités. L'ajout de cibles d'analyse spécifiques aux règles d' exceptions permet d'éviter de masquer accidentellement une activité d'analyse malveillante.
À partir du Date d'expiration dans le menu déroulant, sélectionnez une valeur qui reflète vos politiques internes.
Nous vous recommandons de sélectionner une valeur d'expiration qui vous invitera à vérifier l'appartenance à votre groupe dtails d'équipements Vulnerability Scanner.
Dans le champ Description, fournissez des informations qui aideront les autres administrateurs ou analystes à comprendre la portée de la règle.
Par exemple : « Cette règle de réglage masque tous les appareils analyseur de vulnérabilités qui se trouvent dans le groupe d' appareils Vulnerability Scanner intégré. L' appartenance à un groupe d'appareils a été examinée pour la dernière fois par Gary le 30 janvier. »
Cliquez Enregistrer.
La règle est ajoutée au Règles de réglage table.

Ajouter une règle de réglage pour masquer un service de numérisation externe

Créez une règle de réglage pour masquer toutes les détections où le délinquant est un service d' analyse externe.

Remarque :

Les services d'analyse externes sont réglés par des adresses IP ou des blocs CIDR, qui peuvent être masqués par des équilibreurs de charge ou des passerelles de votre réseau. Si vous créez une règle qui ne permet pas de masquer un service d'analyse externe, vous devrez peut-être spécifier une localité du réseau ou créer un équipement personnalisé avec le bloc CIDR du service, puis créez une règle de réglage avec votre nouvelle localité ou votre équipement personnalisé.

Before you begin

Obtenez le nom de votre fournisseur de services de numérisation. Le système ExtraHop fournira automatiquement les adresses IP pour les services de numérisation externes courants. Pour les fournisseurs moins courants, procurez-vous le bloc CIDR associé au service.
Vous pouvez masquer des appareils individuels ou des services de numérisation externes directement à partir des détections où l'équipement apparaît comme un délinquant.
Les utilisateurs doivent disposer d'une écriture complète ou supérieure privilèges pour régler une détection.
En savoir plus sur bonnes pratiques de réglage.

Connectez-vous au système ExtraHop via https://<extrahop-hostname-or-IP-address>.
Cliquez sur l'icône Paramètres système puis cliquez sur Règles de réglage.
Cliquez Créez.
À partir du Type de détection sélection dans le menu déroulant Tous les types de détection de sécurité.
À partir du Délinquant sélection dans le menu déroulant Service de numérisation externe.
Le système ExtraHop gère un catalogue de blocs CIDR associés à des services de numérisation externes. Tous les services ne sont pas inclus. Vous pouvez cliquer sur le menu déroulant Service de numérisation externe pour consulter la liste complète des services couverts et confirmer que vos services sont inclus.
Si vous ne voyez pas votre service, modifiez la sélection de votre délinquant en Adresse IP ou bloc CIDR et saisissez le bloc CIDR fourni par votre service de numérisation externe.
Dans le champ Service de numérisation externe, sélectionnez l'une des options suivantes :
- Sélectionnez Tout service de numérisation externe pour masquer le trafic provenant de toutes les adresses IP associées à des services d'analyse externes. Cliquez ensuite sur Enregistrer.
- Sélectionnez le nom de votre service de numérisation externe. Vous pouvez sélectionner plusieurs services de numérisation. Cliquez ensuite sur Enregistrer.
À partir du Victime sélection dans le menu déroulant N'importe quelle victime.
À partir du Date d'expiration dans le menu déroulant, sélectionnez une valeur qui reflète vos politiques internes.
Nous vous recommandons de sélectionner une valeur d'expiration qui vous invitera à passer en revue vos services de numérisation externes actifs.
Dans le champ Description, fournissez des informations qui aideront les autres administrateurs ou analystes à comprendre la portée de la règle.
Par exemple : « Cette règle de réglage masque toutes les détections impliquant notre service de numérisation Qualys ou Rapid7. Les services de numérisation ont été examinés pour la dernière fois par Gary le 30 janvier. »
Cliquez Enregistrer.
La règle est ajoutée au Règles de réglage table.

Last modified 2025-03-28

Documentation

Concepts

Comment faire

Procédures

Administration

Guides API

Déploiement

Products

Network Detection and Response

Network Performance Monitoring

RevealX™ Platform

Customers

Community

Partners

Support

Training

Resources

Customer Stories

Integrations

Company

About Us

Careers

Newsroom

Events

Blog

Ajustez les scanners de vulnérabilités

Inventaire des scanners de vulnérabilités et des cibles

Passez en revue le groupe diciels Vulnerability Scanner

Créez une règle de réglage pour masquer le groupe dtails d'équipements Vulnerability Scanner

Ajouter une règle de réglage pour masquer un service de numérisation externe