在目标系统上配置文件搜索

如果InsightVM通过执行利用或凭据扫描获得对资产文件系统的访问权,它可以在该系统中搜索文件的名称。

文件名搜索对于查找无法通过指纹识别检测到的软件程序非常有用。在不允许在工作站驱动器上存储某些类型的文件的公司环境中,这也是验证是否符合政策的好方法:

  • 受版权保护的内容
  • 机密信息,如HIPAA合规情况下的患者档案数据
  • 未经授权的软件

安全控制台可以读取这些文件的元数据,但不会读取或检索文件内容。您可以在扫描结果页面的“文件和目录列表”窗格中查看扫描文件名的名称。

笔记

文件搜索操作可能需要相当长的时间才能完成。因此,我们不建议在常规网络扫描期间搜索文件。相反,文件搜索最好通过临时或手动扫描来实现。

如何配置文件搜索

您可以在新的或现有的自定义扫描模板上配置文件搜索功能。

要在扫描模板上配置文件搜索,请执行以下操作:

  1. 在安全控制台中,打开左侧菜单并单击管理标签。
  2. 在“全局和控制台设置”部分,单击管理“模板”标签旁边。
  3. 浏览到要配置的模板。
  • 如果要配置的自定义扫描模板已经存在,请浏览到该模板并单击编辑图标。
  • 如果要从内置版本创建新的自定义模板,请单击所需模板旁边的复制图标。
  1. 在“扫描模板配置”屏幕上,单击文件搜索标签。
  2. 点击添加文件搜索. 将显示“文件搜索编辑器”窗口。
  3. 命名您的文件搜索配置。此名称将标识“文件搜索列表”表中的配置。
  4. 选择模式类型。有以下选项:
  • DOS通配符模式
  • GNU正则表达式

这些模式有何不同?

这两种模式类型之间最重要的区别是它们如何计算字符通配符。

DOS模式支持两个通配符,作为允许字符的替代。这些通配符如下所示:

  • *-匹配任何允许的字符组合
  • ?-匹配任何一个允许的字符

与DOS变体不同,GNU正则表达式模式只支持一个单字符通配符,但它还包括几个运算符,用于更改通配符的匹配方式。此通配符如下所示:

  • .-匹配任何单个字符

可以通过将以下运算符之一附加到通配符(或要匹配的任何其他文字)来修改此字符的行为方式:

  • *-匹配前面的零个或多个字符。例如.*将匹配零个或多个允许的字符。
  • +-匹配前面的一个或多个字符。而这与.*实例.+将仅在至少存在一个字符时匹配。
  • ?-与前面的字符匹配一次(如果存在)。这在功能上使前面的字符成为可选字符。例如.?将与任何字符匹配一次,但如果表达式未出现,则不会中断表达式。
  1. 在提供的字段中输入搜索字符串。确保您遵守所选模式类型的语法要求。
  2. 点击保存完成后。

您的文件搜索配置现在应该显示在“文件搜索列表”表中。点击保存在“扫描模板配置”屏幕的右上角应用您的配置,以便在下次扫描时使用。