• 不会开发的你也能管理好企业漏洞,开源免费工具:洞察(insight II)


    前言

    公司刚开始建设安全管理时,都是从一片混沌开始的,资源总是不够的,我们每个做安全的人员,又要会渗透,又要抓制度,还得管理各种漏洞。在管理楼栋是,我相信大家都遇到过以下几个问题:

    1. 漏洞提交太多,自己用表格管理不过来了
    2. 每个漏洞进度不同,自己忙着忙着可能就忘记记录各个漏洞的进度
    3. 漏洞进度变更,自己还得手动通知漏洞提交人
    4. 也没有一个好的漏洞提交激励机制

    以上都会阻碍我门更好的管理漏洞,我是深受其害,为了解决这个痛点网上找了好久,也试了好多漏洞管理工具,最后发现这款开源产品对漏洞的生命周期管理做得还是挺完善的,虽然有一些细节的小功能做得还是不到位,但是对我管理漏洞还是起到了很大的帮助,而且我也相信其他小功能,项目团队也会很快的进行修复。

    以下开始洞察这个开源软件的使用教程和常见问题答疑,以及部分自定义的的小改动。

    如何安装

    提示:
    前提先安装好docker-compose,如果未安装,可以查看这篇文档:pip安装docker-compose

    采用docker-compose 启动mysql,redis,服务

    (1) 使用Docker Compose

    git clone https://github.com/creditease-sec/insight2_docker.git
    cd insight2_docker
    sudo docker-compose up
    

    提示:
    以上命令运行完后,会在窗口输入日志信息,如果想要后台运行,请修改最后一命令为sudo docker-compose up -d

    (2) 系统登录

    地址:http://localhost:8000
    帐号:admin
    密码:admin!Aa2020
    后台地址:http://localhost:8000/#/admin
    

    提示:
    如果你是在其他机器上运行服务,在自己的电脑上访问时,请把localhost改为服务运行的机器地址,并且保证机器的防火强已关闭。

    (3) 版本更新

    docker-compose pull && docker-compose up
    or
    sudo docker-compose pull && sudo docker-compose up
    

    以上步骤采用的是项目默认配置,按照教程配置,就可以成功访问洞察这个系统了。

    常规使用

    后台配置

    后台地址:http://ip:8000/#/admin

    1. 配置Ldap认证

    提示:暂时不需要AD认证的,可以跳过这步

    打开后台管理页面——>【设置】——>【认证】,点击【新增认证方式-LDAP】,需要说明两点:

    • 登录名属性填写:sAMAccountName
    • 邮件属性填写:EmailAddress 或者 mail

    注意:
    邮箱这个字段要看你们的AD中是否维护在这个字段上的,有的可能就没有维护。我遇到的问题是配置了这个字段,但是AD账户登录时,这个邮箱地址没有正常同步过来。

    2. 配置全局配置

    打开后台管理页面——>【设置】——>【全局配置】:

    • 站点地址:配置的是邮件或者其他通知方式里的打开这个平台的域名或者地址,后边邮箱通知漏洞进度,邮件里会用到
    • 全局水印:这个配置后,页面上显示一串灰色的点(不是前端页面问题)

    3. 设置漏洞审批流程

    打开后台管理页面——>【设置】——>【漏洞审批流程】,这里可以设置漏洞管理的流程,建议全选,进行完成的漏洞流程管理

    4. 配置邮箱

    打开后台管理页面——>【设置】——>【邮箱配置】:
    这里按照对应的配置内容配置就可以了,建议这里的【认证方式】配置为SSL。
    这里的【邮件头】和【邮件签名】我没测试出来做什么的,平时的漏洞邮件通知,也用不到这里的配置。

    5. 生成测试数据

    为了查看平台的实际效果,可以点击【生成示例数据】,就会生出漏洞信息、知识库等模拟数据。

    提示:
    如果点击了【生成示例数据】,数据想要清零只能自己手动清理,清理后貌似还是会统计数据痕迹,可能是我的操作不彻底吧,所以我就又重装了一边数据库。

    6. 后台其他功能介绍

    • 总览: 数据统计大屏
    • 漏洞: 可以在此添加漏洞,或者管理审批其他人员添加的漏洞(如果添加漏洞,需要先添加资产和应用)
    • 资产: 在这里添加公司的资产和资产上的应用(要先添加资产,再添加漏洞,否则加不上)
    • 知识: 漏洞平台的知识库,添加的文档,可以在添加漏洞时,关联这里的文档,但是有一个问题,就是添加漏洞时没有关联文档,后期更改漏洞时,就无法再关联了,这个应该是设计的问题,需要完善
    • 用户: 添加本地用户,或者添加AD账户(AD账户应该是有问题的,我尝试通过AD账户添加,发现没有响应),里边还有角色和组,就是常用的权限管理了,奇怪的是,组不能设置权限,这又跟常见的权限管理方式不一样了,不知道怎么考虑的
    • 俗事: 积分管理,但是不够完善
    • 设置: 上边介绍过了
    • 文档: 平台的接口文档,API的key在右上角账户名那里生成
    • 扩展: 暂时没有使用到

    前台使用

    1. 面板

    数据大屏,没什么可说的。

    2. 我的-待处理漏洞

    处理属于你的漏洞,支持导出

    3. 我的-已完成漏洞

    这里存放你已经完成的漏洞。

    这里最最最坑的地方就是:作为普通用户提交漏洞竟然深藏在这个页面下,刚开始找了好久,以为普通用户没有提交漏洞的功能呢。

    4. 知识

    漏洞平台的文档中心

    5. 积分

    积分排行榜,目前尚不够完善,但是可以做个积分记录。

    简单的定制化修改

    1. 修改平台的web端口为80

    修改/实际存放路径/insight2_docker目录下的docker-compose.yml文件,修改为以下内容:

      front:
        image: "crediteaseitsec/insight2_front"
        restart: always
        ports:
         - "80:80"
    

    就是把原来的8000:80改为80:80,如果你是已经跑起来的服务,你需要重新应用修改过的docker-compose.yml
    命令是:docker-compose up -d 作用是创建与启动容器,会重建有变化的服务器(删掉以前建立的容器)

    2. 修改邮件的默认签名

    进入到后端的docker容器中,命令:

    # 查看在运行的docker列表
    docker ps 
    
    # 找到NAMES为insight2_docker_backend_1的CONTAINER ID,并记录
    # 进入这个容器,xxxx为刚才记录的CONTAINER ID
    docker exec -it xxxxx /bin/bash
    
    # 修改文件 /app/insight2/template/alert.html
    邮件默认签名在文档的最底部,改成你要的样式就可以了
    
    

    修改完后,重启一下这个后端容器,命令:docker restart xxxxx xxxx为对应的CONTAINER ID

    3. 增加默认漏洞类型等

    同上边一行,进入到docker容器中,默认配置路径在文件/app/insight2/logic/define.py里,增加完后,记得重启重启。

    提示: 修改为,浏览器打开可能还是没有变化,那就需要强制刷新一下浏览器,清理缓存就好了。

    总结

    作为一个没有开发能力的安全团队,针对漏洞的生命周期管理,基本功能是能够满足需求的,要是想要和其他系统联动,就需要有接口对接开发的能力了。

    项目地址:https://github.com/creditease-sec/insight2

    欢迎大家添加我微信,跟我交流日常安全的运营管理

    da73c40cb446948fb42c3c1893ec1cfc.md.jpg

    本文首发于BigYoung小站

  • 相关阅读:
    英式音标
    音标
    JavaWeb中文件的上传和下载
    SpringMVC简单实例(看起来有用)
    C语言指针的初始化和赋值
    VC++ CopyFile函数使用方法
    未将对象引用设置到对象的实例--可能出现的问题总结
    strip 命令的使用方法
    css3 animation动画事件
    CSS中的几个概念--------Day39
  • 原文地址:https://www.cnblogs.com/bigyoung/p/14359343.html
Copyright © 2020-2023  润新知