Managed Risk 的內部掃描
您必須先新增授權聯絡人並完成外部資產的掃描設定,才能設定內部資產的掃描。請參閱 Managed Risk - 設定。
您可以在網路上設定內部資產的探索與漏洞掃描。
在建立掃描之前,您必須先設定並部署虛擬漏洞掃描應用裝置。
如需 Sophos 掃描設備的詳細需求,請參閱 Managed Risk設備要求。
主要步驟如下:
- 新增掃描器。
- 部署設備。
- 建立探索掃描。
- 建立漏洞掃描。
您可以建立多個掃描器與掃描工作。
新增掃描器
請依下列步驟建立掃描器的虛擬映像檔:
-
在 掃描 頁面上,選取 內部 索引標籤。
-
按一下 新增掃描器。
-
輸入掃描器名稱與描述。
-
在 虛擬平台 中選取 VMware 或 Hyper-V。
-
指定 IP 設定:這將設定設備的管理介面。
-
若選擇 DHCP,系統會自動指派 IP 位址。
注意
若您選擇 DHCP,請務必保留該 IP 位址。
-
若選擇 手動,則可自行指定網路設定。
-
-
按一下 儲存。
-
設備建立完成。會顯示一個快顯對話方塊,提供您存取與管理設備所需的認證資訊。
認證資訊僅顯示一次。請立即複製並妥善保存這些資訊。
-
按一下 關閉。
在 掃描 頁面,您新增的掃描器現在已列在清單中,狀態為 「等待部署」。
-
在掃描器的項目中,按一下 動作 欄中的三個點。
建立虛擬映像檔後,功能表中會顯示 下載 選項。 若等待數分鐘仍未出現,請按一下頁面右上角的重新整理按鈕。
-
按一下 下載 以下載虛擬映像檔。
部署設備
接下來,請使用您下載的映像檔,將設備部署至您的虛擬基礎架構中。
我們目前支援以下平台:
- VMware ESXi 6.7 Update 3 或更新版本。
- Hyper-V 版本 6.0.6001.18016 (Windows Server 2016) 或更新版本。
如需完整的設備需求,請參閱 Managed Risk設備要求。
請按一下下方對應平台的索引標籤以查看詳細指引。
限制條件
如果您使用的是 ESXi,OVA 檔案會與 Sophos Central 進行驗證,因此只能使用一次。如果您需要重新部署新的虛擬機,則必須在 Sophos Central 中重新產生 OVA 檔案。
在您的 ESXi 主機上,請依下列步驟操作:
- 選取 虛擬機器。
-
按一下 建立/註冊虛擬機器。
-
在 選取建立類型 中,請選擇 從 OVF 或 OVA 檔案部署虛擬機器。按一下 下一步。
-
在 選取 OVF 與 VMDK 檔案 中,請依下列步驟操作:
- 輸入 VM 名稱。
- 按一下頁面以選取檔案。選取您已下載的 OVA 檔案。
- 按一下 下一步。
-
在 選取儲存裝置 中,選擇 標準儲存空間,然後選取您要放置虛擬機器的資料存放區。 按一下 下一步。
-
在 部署選項 中,請輸入以下設定:
- SPAN1 和 SPAN2。這些設定不適用於漏洞掃描設備。您可以選擇任何連接埠群組作為預留位置,稍後再於虛擬機器設定中中斷連接。
- SYSLOG。此介面不會用於漏洞掃描設備。建議您將它設定為使用與下方管理介面相同的網路卡。
-
在 MGMT 中,選取設備的管理介面。這是您先前在 Sophos Central 中所設定的介面。將用於執行漏洞掃描並與 Sophos 通訊。
若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。
-
在 磁碟配置 中,請確保選取 精簡配置。
- 請確保選取 自動開機。
- 按一下 下一步。
-
略過 其他設定 步驟。
-
按一下 完成。等候新的虛擬機器出現在虛擬機器清單中,這可能需要幾分鐘。
-
開啟虛擬機器電源並等候安裝完成。
虛擬機器第一次開機時,會檢查是否能連接至正確的連接埠群組與網際網路,接著會重新啟動,此過程可能需要長達 30 分鐘。
-
在 Sophos Central 中,前往 我的產品 > Managed Risk > 掃描。
- 並確保已選取 內部 索引標籤。
-
在清單中找到您的掃描器,將滑鼠游標移至其 狀態 上方以檢視詳細資訊。您將看到設備的狀態從 已下載 變更為 等待設備,再變更為 載入外掛程式,最後變更為 已連線。
掃描器在清單中的狀態也會顯示為「已連線」。
您現在可以設定內部資產的探索與漏洞掃描。
您從 Sophos Central 下載的 Zip 壓縮檔包含部署虛擬機器所需的所有檔案:虛擬磁碟、seed.iso
,以及一個 PowerShell 指令檔。
若要部署虛擬機器,請依下列步驟操作:
- 將 Zip 檔解壓縮至硬碟上的資料夾。
- 前往該資料夾,右鍵按一下
ndr-sensor.ps1
檔案,選取 使用 PowerShell 執行。 -
若出現 安全性警告 訊息,請按一下 開啟 以允許執行該檔案。
指令檔會提示您依序輸入相關資訊:
-
請輸入虛擬機器的名稱。
- 指令檔會顯示虛擬機器檔案的儲存位置。這會是在您預設的虛擬磁碟安裝位置下建立的新資料夾。請輸入
C
以允許指令碼建立該資料夾。 - 輸入要分配給虛擬機器的處理器數量。
- 輸入要配置的記憶體大小 (以 GB 為單位)。
-
指令碼會顯示目前所有 vSwitch 的編號清單。
請選擇您要用於連接管理介面的 vSwitch,並輸入其編號。這是您先前在 Sophos Central 中所設定的介面。此 vSwitch 將用於執行漏洞掃描並與 Sophos 通訊。
若您在設定時選擇了 DHCP,請確認虛擬機器能透過 DHCP 取得 IP 位址。
-
請輸入您要指派給 Syslog 介面的 vSwitch。
此介面不會用於漏洞掃描設備。請輸入要用於上述管理介面的 vSwitch。
-
您不需要指定 vSwitch 來擷取網路流量。這些設定僅適用於使用 Sophos NDR 的情況。您可以選擇任意 vSwitch 作為預留位置,並於虛擬機器設定中將其斷線。
PowerShell 指令碼會在 Hyper-V 中設定虛擬機器。完成後會顯示 安裝成功完成 訊息。
-
按任意鍵離開。
-
開啟 Hyper-V 管理員。您現在可以在虛擬機器清單中看到該虛擬機器。如有需要,您可以變更任何設定,然後啟動該虛擬機器。
虛擬機器首次開機時,會檢查是否能成功連接至正確的 vSwitch 和網際網路,接著會重新啟動,此過程可能需要長達 30 分鐘。
- 在 Sophos Central 中,前往 我的產品 > Managed Risk > 掃描。
- 並確保已選取 內部 索引標籤。
-
在清單中找到您的掃描器,將滑鼠游標移至其 狀態 上方以檢視詳細資訊。您將看到設備的狀態從 已下載 變更為 等待設備,再變更為 載入外掛程式,最後變更為 已連線。
掃描器在清單中的狀態也會顯示為「已連線」。
您現在可以設定內部資產的探索與漏洞掃描。
建立探索掃描。
探索掃描可用來回報您的內部資產。
我們建議您先建立一次探索掃描並查看掃描報告, 以確認是否偵測到您預期的資產。
請依下列步驟設定探索掃描:
- 前往 我的產品 > Managed Risk > 設定。
- 在 掃描 頁面上,選取 內部 索引標籤。
-
按一下 建立探索掃描。
系統會開啟 建立探索掃描 頁面。
-
在 選取掃描器 中,從清單中選取您的掃描器。
- 在 設定掃描詳細資料 中,輸入掃描的名稱與描述。
-
在 新增掃描目標 中,指定您要掃描的資產,然後按一下 新增。
您可以輸入 IP 位址、CIDR IP 範圍,以及主機名稱。若您逐一輸入項目,請在每項之後按一下 ++Enter++ 鍵。您也可以將以逗號分隔的項目清單貼上到目標清單中。
-
在 排程每週掃描 中,選取您要執行內部每週掃描的日期與時間。
預設情況下,掃描會在所選時區的午夜執行。
掃描完成後,報告將可在 Managed Risk > 報告記錄 頁面中查看。
建立漏洞掃描。
若要充分運用內部漏洞掃描,請參閱 內部漏洞掃描指南。
內部漏洞掃描為未經驗證的掃描,不會使用認證資訊來掃描目標裝置,模擬外部攻擊者試圖存取裝置的行為。
若要設定內部資產的漏洞掃描,請依下列步驟操作:
- 前往 我的產品 > Managed Risk > 設定。
- 在 掃描 頁面上,選取 內部 索引標籤。
-
按一下建立漏洞掃描。
系統會開啟 建立漏洞掃描 頁面。
-
在 選取掃描器 中,從清單中選取您的掃描器。
- 在 設定掃描詳細資料 中,輸入掃描的名稱與描述。
-
在 新增掃描目標 中,指定您要掃描的資產,然後按一下 新增。
您可以輸入 IP 位址、CIDR IP 範圍,以及主機名稱。若您逐一輸入項目,請在每項之後按一下 ++Enter++ 鍵。您也可以將以逗號分隔的項目清單貼上到目標清單中。
-
在 排程每週掃描 中,選取您要執行內部每週掃描的日期與時間。
預設情況下,掃描會在所選時區的午夜執行。
-
按一下頁面右上角的 儲存。
您的漏洞掃描現已設定完成,並將依照排程時間執行。
每週的內部漏洞掃描完成後,報告將可在 Managed Risk > 報告記錄 頁面中查看。
內部漏洞掃描指南
對於內部漏洞掃描,可掃描的內部資產數量上限為 Managed Risk 授權數量的 120%。
您可以設定漏洞掃描,以掃描實體網路中不同 VLAN 上的資產。但前提是:掃描設備必須能與其他 VLAN 中的所有連接埠與通訊協定進行完整的雙向通訊。
若新增 CIDR 範圍 (子網後綴為 /16
或更低),可能因掃描器試圖掃描大量項目而導致掃描逾時。為避免此情況,建議您建立多個掃描工作,分別在不同日期與時間掃描不同的網路範圍。