跳至內容

Managed Risk 的內部掃描

您必須先新增授權聯絡人並完成外部資產的掃描設定,才能設定內部資產的掃描。請參閱 Managed Risk - 設定

您可以在網路上設定內部資產的探索與漏洞掃描。

在建立掃描之前,您必須先設定並部署虛擬漏洞掃描應用裝置。

如需 Sophos 掃描設備的詳細需求,請參閱 Managed Risk設備要求

主要步驟如下:

  • 新增掃描器。
  • 部署設備。
  • 建立探索掃描。
  • 建立漏洞掃描。

您可以建立多個掃描器與掃描工作。

新增掃描器

請依下列步驟建立掃描器的虛擬映像檔:

  1. 掃描 頁面上,選取 內部 索引標籤。

    畫面顯示「掃描」頁面,已選取「內部」索引標籤。

  2. 按一下 新增掃描器

    畫面顯示「內部」索引標籤與「新增掃描器」按鈕。

  3. 輸入掃描器名稱與描述。

  4. 虛擬平台 中選取 VMwareHyper-V

    畫面顯示虛擬平台選項。

  5. 指定 IP 設定:這將設定設備的管理介面。

    • 若選擇 DHCP,系統會自動指派 IP 位址。

      注意

      若您選擇 DHCP,請務必保留該 IP 位址。

    • 若選擇 手動,則可自行指定網路設定。

    畫面顯示選取 DHCP 的 IP 設定。

  6. 按一下 儲存

  7. 設備建立完成。會顯示一個快顯對話方塊,提供您存取與管理設備所需的認證資訊。

    認證資訊僅顯示一次。請立即複製並妥善保存這些資訊。

    畫面顯示設備認證的快顯視窗。

  8. 按一下 關閉

    掃描 頁面,您新增的掃描器現在已列在清單中,狀態為 「等待部署」。

    畫面顯示在掃描頁面列出的新掃描器。

  9. 在掃描器的項目中,按一下 動作 欄中的三個點。

    建立虛擬映像檔後,功能表中會顯示 下載 選項。 若等待數分鐘仍未出現,請按一下頁面右上角的重新整理按鈕。

  10. 按一下 下載 以下載虛擬映像檔。

部署設備

接下來,請使用您下載的映像檔,將設備部署至您的虛擬基礎架構中。

我們目前支援以下平台:

  • VMware ESXi 6.7 Update 3 或更新版本。
  • Hyper-V 版本 6.0.6001.18016 (Windows Server 2016) 或更新版本。

如需完整的設備需求,請參閱 Managed Risk設備要求

請按一下下方對應平台的索引標籤以查看詳細指引。

限制條件

如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。如果您需要重新部署新的虛擬機,則必須在 Sophos Central 中重新產生 OVA 檔案。

在您的 ESXi 主機上,請依下列步驟操作:

  1. 選取 虛擬機器
  2. 按一下 建立/註冊虛擬機器

    「建立/註冊虛擬機器」索引標籤。

  3. 選取建立類型 中,請選擇 從 OVF 或 OVA 檔案部署虛擬機器。按一下 下一步

    畫面顯示「選取建立類型」。

  4. 選取 OVF 與 VMDK 檔案 中,請依下列步驟操作:

    1. 輸入 VM 名稱。
    2. 按一下頁面以選取檔案。選取您已下載的 OVA 檔案。
    3. 按一下 下一步

    選取 OVA 檔案。

  5. 選取儲存裝置 中,選擇 標準儲存空間,然後選取您要放置虛擬機器的資料存放區。 按一下 下一步

    畫面顯示「選取儲存裝置」。

  6. 部署選項 中,請輸入以下設定:

    1. SPAN1SPAN2。這些設定不適用於漏洞掃描設備。您可以選擇任何連接埠群組作為預留位置,稍後再於虛擬機器設定中中斷連接。
    2. SYSLOG。此介面不會用於漏洞掃描設備。建議您將它設定為使用與下方管理介面相同的網路卡。
    3. MGMT 中,選取設備的管理介面。這是您先前在 Sophos Central 中所設定的介面。將用於執行漏洞掃描並與 Sophos 通訊。

      若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。

    4. 磁碟配置 中,請確保選取 精簡配置

    5. 請確保選取 自動開機
    6. 按一下 下一步

    畫面顯示「部署選項」。

  7. 略過 其他設定 步驟。

  8. 按一下 完成。等候新的虛擬機器出現在虛擬機器清單中,這可能需要幾分鐘。

    準備完成。

  9. 開啟虛擬機器電源並等候安裝完成。

    虛擬機器第一次開機時,會檢查是否能連接至正確的連接埠群組與網際網路,接著會重新啟動,此過程可能需要長達 30 分鐘。

  10. 在 Sophos Central 中,前往 我的產品 > Managed Risk > 掃描

  11. 並確保已選取 內部 索引標籤。
  12. 在清單中找到您的掃描器,將滑鼠游標移至其 狀態 上方以檢視詳細資訊。您將看到設備的狀態從 已下載 變更為 等待設備,再變更為 載入外掛程式,最後變更為 已連線

    掃描器在清單中的狀態也會顯示為「已連線」。

    畫面顯示已連線的新掃描器。

您現在可以設定內部資產的探索與漏洞掃描。

您從 Sophos Central 下載的 Zip 壓縮檔包含部署虛擬機器所需的所有檔案:虛擬磁碟、seed.iso,以及一個 PowerShell 指令檔。

若要部署虛擬機器,請依下列步驟操作:

  1. 將 Zip 檔解壓縮至硬碟上的資料夾。
  2. 前往該資料夾,右鍵按一下 ndr-sensor.ps1 檔案,選取 使用 PowerShell 執行
  3. 若出現 安全性警告 訊息,請按一下 開啟 以允許執行該檔案。

    指令檔會提示您依序輸入相關資訊:

  4. 請輸入虛擬機器的名稱。

  5. 指令檔會顯示虛擬機器檔案的儲存位置。這會是在您預設的虛擬磁碟安裝位置下建立的新資料夾。請輸入 C 以允許指令碼建立該資料夾。
  6. 輸入要分配給虛擬機器的處理器數量。
  7. 輸入要配置的記憶體大小 (以 GB 為單位)。
  8. 指令碼會顯示目前所有 vSwitch 的編號清單。

    請選擇您要用於連接管理介面的 vSwitch,並輸入其編號。這是您先前在 Sophos Central 中所設定的介面。此 vSwitch 將用於執行漏洞掃描並與 Sophos 通訊。

    若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。

    檢查虛擬機器是否能成功取得 IP 位址。

  9. 請輸入您要指派給 Syslog 介面的 vSwitch。

    此介面不會用於漏洞掃描設備。請輸入要用於上述管理介面的 vSwitch。

  10. 您不需要指定 vSwitch 來擷取網路流量。這些設定僅適用於使用 Sophos NDR 的情況。您可以選擇任意 vSwitch 作為預留位置,並於虛擬機器設定中將其斷線。

    PowerShell 指令碼會在 Hyper-V 中設定虛擬機器。完成後會顯示 安裝成功完成 訊息。

  11. 按任意鍵離開。

  12. 開啟 Hyper-V 管理員。您現在可以在虛擬機器清單中看到該虛擬機器。如有需要,您可以變更任何設定,然後啟動該虛擬機器。

虛擬機器首次開機時,會檢查是否能成功連接至正確的 vSwitch 和網際網路,接著會重新啟動,此過程可能需要長達 30 分鐘。

  1. 在 Sophos Central 中,前往 我的產品 > Managed Risk > 掃描
  2. 並確保已選取 內部 索引標籤。
  3. 在清單中找到您的掃描器,將滑鼠游標移至其 狀態 上方以檢視詳細資訊。您將看到設備的狀態從 已下載 變更為 等待設備,再變更為 載入外掛程式,最後變更為 已連線

    掃描器在清單中的狀態也會顯示為「已連線」。

您現在可以設定內部資產的探索與漏洞掃描。

建立探索掃描。

探索掃描可用來回報您的內部資產。

我們建議您先建立一次探索掃描並查看掃描報告, 以確認是否偵測到您預期的資產。

請依下列步驟設定探索掃描:

  1. 前往 我的產品 > Managed Risk > 設定
  2. 掃描 頁面上,選取 內部 索引標籤。
  3. 按一下 建立探索掃描

    系統會開啟 建立探索掃描 頁面。

    畫面顯示「建立探索掃描」頁面。

  4. 選取掃描器 中,從清單中選取您的掃描器。

  5. 設定掃描詳細資料 中,輸入掃描的名稱與描述。
  6. 新增掃描目標 中,指定您要掃描的資產,然後按一下 新增

    您可以輸入 IP 位址、CIDR IP 範圍,以及主機名稱。若您逐一輸入項目,請在每項之後按一下 ++Enter++ 鍵。您也可以將以逗號分隔的項目清單貼上到目標清單中。

  7. 排程每週掃描 中,選取您要執行內部每週掃描的日期與時間。

    預設情況下,掃描會在所選時區的午夜執行。

掃描完成後,報告將可在 Managed Risk > 報告記錄 頁面中查看。

建立漏洞掃描。

若要充分運用內部漏洞掃描,請參閱 內部漏洞掃描指南

內部漏洞掃描為未經驗證的掃描,不會使用認證資訊來掃描目標裝置,模擬外部攻擊者試圖存取裝置的行為。

若要設定內部資產的漏洞掃描,請依下列步驟操作:

  1. 前往 我的產品 > Managed Risk > 設定
  2. 掃描 頁面上,選取 內部 索引標籤。
  3. 按一下建立漏洞掃描

    系統會開啟 建立漏洞掃描 頁面。

  4. 選取掃描器 中,從清單中選取您的掃描器。

  5. 設定掃描詳細資料 中,輸入掃描的名稱與描述。
  6. 新增掃描目標 中,指定您要掃描的資產,然後按一下 新增

    您可以輸入 IP 位址、CIDR IP 範圍,以及主機名稱。若您逐一輸入項目,請在每項之後按一下 ++Enter++ 鍵。您也可以將以逗號分隔的項目清單貼上到目標清單中。

  7. 排程每週掃描 中,選取您要執行內部每週掃描的日期與時間。

    預設情況下,掃描會在所選時區的午夜執行。

  8. 按一下頁面右上角的 儲存

您的漏洞掃描現已設定完成,並將依照排程時間執行。

每週的內部漏洞掃描完成後,報告將可在 Managed Risk > 報告記錄 頁面中查看。

內部漏洞掃描指南

對於內部漏洞掃描,可掃描的內部資產數量上限為 Managed Risk 授權數量的 120%。

您可以設定漏洞掃描,以掃描實體網路中不同 VLAN 上的資產。但前提是:掃描設備必須能與其他 VLAN 中的所有連接埠與通訊協定進行完整的雙向通訊。

若新增 CIDR 範圍 (子網後綴為 /16 或更低),可能因掃描器試圖掃描大量項目而導致掃描逾時。為避免此情況,建議您建立多個掃描工作,分別在不同日期與時間掃描不同的網路範圍。