与声纳项目合作

项目声纳是Rapid7实验室团队的一项倡议,旨在通过对公共网络的积极分析来提高安全性。它对常见服务的公共IPv4地址进行非侵入性扫描,从服务中提取信息,并使每个人都可以获得数据。

通过分析Project Sonar数据,您可以:

  • 从一个局外人的角度来看待你的环境。
  • 找到属于您的组织但您可能没有跟踪的资产。
  • 对你的公共资产进行快照。
  • 更好地了解你的曝光表面积。

Project Sonar数据可以添加到站点,并像其他资产数据一样处理。请记住,Project Sonar的数据不是一个确定的或全面的视图;这只是一个起点,你可以用它来更多地了解你在公共互联网上的存在。

设置声纳查询

Sonar查询从Sonar的档案中提取域的信息,并将其添加到发现的连接表上的资产页面。Sonar查询由暴露管理员设置,并定义您有权扫描的域。作为站点管理员,您可以通过Dynamic Discovery连接将它们添加到站点。

在访问Project Sonar数据之前,暴露管理员必须已经为暴露控制台创建了Sonar查询。如果您有一个暴露企业许可证,并且您没有看到来自Sonar连接的结果,请与暴露管理员联系,并要求他们设置一个Sonar查询。

了解Sonar工作流程

你使用Sonar资产的方式将类似于使用动态资产的方式。要将Sonar资产添加到站点,可以使用以下工作流:

  1. 创建一个网站。
  2. 选择Sonar连接来动态发现资源。
  3. 根据域名、主机范围或扫描日期过滤资产。
  4. 保存网站。
  5. 扫描的资产。
  6. 安排一次扫描。

为Sonar资产创建一个站点

为了使用Sonar资产,你需要做的第一件事是创建一个使用Sonar连接的动态站点。创建站点后,就可以像处理数据库中的其他资产一样处理它们了。

要为Sonar资产创建一个站点:

  1. 单击创建选项卡,并选择网站从下拉列表中。
  1. 信息与安全选项卡的网站配置页面,输入包含Sonar Labs资产的网站名称。
  1. 单击资产选项卡。
  1. 选择连接作为指定资产的选项。
  1. 选择连接页面,选择声纳连接下拉列表。

选择Sonar连接后,发现资产表使用Sonar查询的结果填充。您可以应用过滤器细化添加到站点的资产列表。然而,如果你想添加所有声纳资产,不要应用任何过滤器。

安全控制台连接在公开管理员设置的每个查询中发现最多10,000个资产。这些是实验室服务器返回的前10,000个资产,列表可以随时更改。

  1. 保存网站。

过滤声纳计划的数据

过滤器是一种规则,您可以使用它来精炼Sonar查询的结果。当您希望为添加到站点的资产指定需求时,您可以创建它们。例如,如果您想只向站点添加属于某个IP范围内的资产,您可以创建一个过滤器。

筛选器由筛选器类型、搜索操作符和筛选器值组成。

过滤器类型

您可以根据以下方式创建过滤器:

  • 一个域名,如'rapid7.com'或'community.rapid7.com'
  • 主机IP范围,如“192.168.1.0-192.169.1.255”
  • 扫描日期,例如“最近30天内”

搜索操作符

筛选器使用操作符将资产与您提供的值匹配。您可以使用以下操作符来构建过滤器:

  • 包含—基于部分匹配的过滤。例如,过滤器'domain name contains rapid7.com'返回域中包含'rapid7.com'的所有资产。
  • —基于精确匹配的过滤。例如,'domain name is rapid7.com'过滤器只返回域名为'rapid7.com'的资产。
  • 在过去-过滤器基于时间框架。此操作符仅用于扫描日期过滤器,且仅接受整数。例如,过滤器“Sonar扫描日期在过去7天内”返回Sonar在过去一周扫描过的资产。

创建一个过滤器

您需要做的第一件事是创建一个域名过滤器。在为域名创建过滤器之后,您将能够基于主机IP范围和扫描日期创建过滤器。

创建过滤器:

  1. 资产选项卡的网站配置页面,选择连接作为指定资产的选项。
  2. 点击添加过滤器以显示可用的筛选器。
  1. 使用可用的过滤器为Sonar资产构建规则。可以通过IP地址范围、域名和扫描日期进行过滤。
  1. 根据需要添加尽可能多的过滤器,然后单击过滤器应用它们。结果是发现资产根据您的过滤器更新表。
  1. 保存网站。

设置声纳查询的扫描日期

您可以创建一个扫描日期过滤器来控制资产数据的过时性。当资产已被Sonar扫描,但资产在执行扫描后已更改IP地址时,就会发生陈旧数据。通常情况下,Project Sonar扫描资产的时间越长,数据就越有可能过时。

为了减少向站点添加陈旧数据的可能性,您应该创建一个扫描日期过滤器。一个最近的扫描日期范围,如7天,确保你不会意外地添加不属于你的资产到你的网站。如果您应用扫描日期过滤器,但没有看到来自Sonar的任何结果,您可能需要扩展过滤器使用的范围。

扫描声纳资产

在你扫描你的声纳资产之前,你首先审查它们是至关重要的。Project Sonar发现生产资产,因此您需要验证这些资产实际上属于您的公司,并且您有权限扫描它们。在执行任何扫描之前,您还应该检查您的停电时间表。

手动扫描站点。

  1. 在“首页”的“站点”表中,单击扫描按钮用于包含声纳资源的站点。
  1. 开始新的扫描窗口出现时,像平常一样配置扫描,例如选择扫描模板和站点引擎。
  1. 点击现在就开始运行扫描。

资源将被添加到扫描表的资产页,如果已为其标识主机名。

安排一个扫描

现在,您已经成功地为Sonar资产创建了一个站点,您可能需要考虑为您的扫描创建一个时间表。日程表可以帮助你有规律地检查。有关安排扫描的更多信息,请参见调度扫描