Перейти к содержанию

Результаты сканирования

Под результатами сканирования понимаются данные по наличию уязвимостей, полученные сторонними сканерами уязвимости в ходе работы и импортированные в платформу.

Платформа Радар поддерживает импорт данных сканирования от следующих систем:

  • REDCHECK;
  • MaxPatrol;
  • Nessus;
  • OpenVAS.

Работа с результатами сканирования включает в себя следующие процессы:

  1. Просмотр списка результатов сканирования.
  2. Просмотр результата сканирования.
  3. Импорт результатов сканирования.
  4. Сравнение результатов сканирования с существующими данными.
  5. Изменение статуса результата сканирования.

Импорт результатов сканирования

  1. Перейдите в раздел АктивыРезультаты сканирования и нажмите кнопку Создать. Откроется форма "Результаты сканирования" (см. рисунок 1).

    Рисунок 1 – Форма импорта результатов сканирования

  2. Выполните на форме следующие действия:

    • в поле Тип сканирования из выпадающего списка выберите тип сканирования;
    • в поле Загрузка файла нажмите на кнопку Выбрать файл и в открывшемся окне укажите путь к файлу;
    • если необходимо запустить сканирование после загрузки файла, то установите соответствующий флаг.

  3. Информация о загруженных файлах будет отображена на вкладке "Загруженные файлы", информация об обработанных результатах сканирования отображается на вкладке "Архивные отчеты".

  4. Для импорта загруженного результата сканирования нажмите кнопку в соответствующей строке.
  5. Для скачивания загруженного результата сканирования нажмите кнопку .

Просмотр списка результатов сканирования

Для просмотра списка результатов сканирования перейдите в раздел АктивыРезультаты сканирования (см. рисунок 2).

Рисунок 2 – Раздел "Результаты сканирования"

В разделе отображается следующая информация о результатах сканирования:

  • Название – наименование импортированного результата сканирования. По нажатию на ссылку произойдет переход к форме просмотра результата сканирования;
  • Импорт завершен – состояние успешности завершения импорта результата сканирования: да, нет;
  • Обработано – состояние обработки результата сканирования;
  • Количество хостов – количество хостов, обнаруженных в результате сканирования;
  • Ошибки – наличие ошибок в результатах сканирования;
  • Важность – отображаются количественные результаты найденных уязвимостей, разделенные на группы важности по цвету согласно оценке CVSS;
  • Тип сканирования – наименование сканнера уязвимости, который предоставил результаты сканирования;
  • Сканирование ПО – флаг выполнения сканирования программного обеспечения в результатах сканирования: да, нет;
  • Импортировано – дата и время импорта результатов сканирования в платформу;
  • Начало сканирования – дата и время начала сканирования;
  • Конец сканирования – дата и время окончания сканирования;
  • Цели – активы (IP-адреса), указанные в задаче сканирования. По наведению мыши на поле, в pop-up окне будет выведен полный список целей сканирования.

В разделе доступны следующие элементы управления:

Кнопка Действие
Сравнить сравнение результатов сканирования с существующими данными
отметить результат сканирования как обработанный или необработанный

Просмотр результата сканирования

Для просмотра и анализа результата сканирования нажмите по ссылке с наименованием результата. Откроется форма просмотра результатов сканирования (см. рисунок 3).

Рисунок 3 – Форма просмотра результата сканирования

На форме просмотра результата сканирования информация сгруппирована по следующим блокам:

  • Блок Основное – основная информация о результате сканирования;
  • Таблица Хосты/Хосты с ошибкой – информация о просканированных хостах.

Основная информация о результате сканирования

Пример блока Основное приведен на рисунке 4.

Рисунок 4 – Форма просмотра результата сканирования. Блок "Основное"

В блоке отображается следующая информация:

  • Тип сканирования – наименование сканнера уязвимости, который предоставил результаты сканирования;
  • Начало сканирования – дата и время начала сканирования;
  • Конец сканирования – дата и время окончания сканирования;
  • Обработано – обработан ли результат сканирования оператором: Да, Нет;
  • Импорт завершен – завершен ли импорт результатов сканирования: Да, Нет;
  • Наличие уязвимостей – обнаружены ли уязвимости в ходе обработки результатов сканирования: Да, Нет;
  • Сканирование ПО – выполнялось ли сканирование ПО: Да, Нет;
  • Путь сканирования – путь к файлу с результатами сканирования;
  • Найдено уязвимостей – общее количество найденных уязвимостей;
  • Количество хостов – количество просканированных хостов;
  • Уязвимости по важности – количественные результаты найденных уязвимостей, разделенные на группы важности по цвету согласно оценке CVSS.

Информация о просканированных хостах

Информация о хостах отображается на следующих вкладках:

  • "Хосты";
  • "Хосты с ошибкой".

Пример таблицы приведен на рисунке 5.

Рисунок 5 – Форма просмотра результата сканирования. Блок "Хосты"

В блоке отображается следующая информация:

  • FQDN – FQDN хоста;
  • IP – IP-адрес хоста;
  • MAC – MAC-адрес хоста;
  • Количество уязвимостей – количество уязвимостей, выявленных на хосте;
  • Важность – отображаются количественные результаты найденных уязвимостей, разделенные на группы важности от 0 до 4;
  • Установленное ПО – количество обнаруженного ПО на хосте;
  • Начало сканирования – дата и время начала сканирования;
  • Конец сканирования – дата и время окончания сканирования;
  • Ошибка сканирования – информация об ошибках (только для вкладки "Хосты с ошибкой").

Сравнение результатов сканирования

Для сравнения результатов сканирования с существующими данными перейдите в раздел АктивыРезультаты сканирования и нажмите кнопку Сравнить в строке нужного результата сканирования.

Откроется форма сравнения результатов сканирования. Информация на форме разделена на три вкладки:

  • "Новое" – на вкладке отображаются новые уязвимости и предоставляется возможность на их основе создать инциденты;
  • "Закрываемые" – на вкладке отображаются уже обнаруженные уязвимости и предоставляется возможность закрыть соответствующие инциденты.;
  • "Обработано" – перечень обработанных уязвимостей.

Пример внешнего вида формы сравнения результатов сканирования приведен на рисунке 6.

Рисунок 6 – Форма сравнения результатов сканирования с существующими данными

Информация на форме разделена по двум таблицам: Активы и Уязвимости

В таблице Активы отображается следующая информация:

  • Название – наименование актива;
  • Аутентифицированный – аутентифицированный ли актив в платформе: да (зеленый замок), нет (красный замок);
  • Статистика важности – количественные результаты найденных уязвимостей, разделенные на группы важности по цвету согласно оценке CVSS;
  • IP (MAC) – IP или MAC-адрес актива.

В таблице Уязвимости информация об уязвимости сгруппирована в две строки:

  • Первая строка. Отображается детальная информация об активе и статистике важности обнаруженных уязвимостей. Существует возможность показать подробные данные хоста при клике на соответствующую ссылку. Пример приведен на рисунке 7.

    Рисунок 7 – Таблица "Уязвимости". Строка с информацией об активе

  • Вторая строка. Отображается следующая информация:

    • ID плагина – ID плагина, который обнаружил уязвимость ,
    • Наименование инцидента/типа инцидента – если по уязвимости уже существует инцидент, то отображается соответствующая информация,
    • Название плагина – наименование плагина, выявившего уязвимость. По ссылке откроется детальная информация о плагине;
    • Сводка – сводная информация об уязвимости.

    Пример приведен на рисунке 8.

    Рисунок 8 – Таблица "Уязвимости". Строка с информацией о уязвимости

По результатам сравнения результатов сканирования с существующими данными доступны следующие действия:

  1. Создание инцидентов по результатам сравнения.
  2. Закрытие инцидентов по результатам сравнения.

Создание инцидентов по результатам сравнения

  1. Откройте результаты сравнения и перейдите на вкладку "Новое".
  2. Выберите уязвимости, установив соответствующие флаги.
  3. Нажмите кнопку Создать инциденты. Откроется окно "Массовое создание инцидентов".
  4. Проверьте в окне информацию о создаваемых инцидентах и подтвердите действие.

Закрытие инцидентов по результатам сравнения

  1. Откройте результаты сравнения и перейдите на вкладку "Закрываемые".
  2. Выберите уязвимости, установив соответствующие флаги.
  3. Нажмите кнопку Закрытие инцидента. Откроется окно "Массовое закрытие инцидентов".
  4. Проверьте в окне информацию о закрываемых инцидентах и подтвердите действие.

Изменение статуса результата сканирования

В Платформе Радар результаты сканирования могут находиться в следующих состояниях:

  • Обработано - результаты сканирования исследованы ответственным специалистом, выполнено сравнение с текущим состоянием активов.
  • Не обработано - результаты сканирования еще не были исследованы.

Для изменения статуса результата сканирования перейдите в раздел АктивыРезультаты сканирования и нажмите кнопку в соответствующей строке. По наведении курсора мыши на кнопку отобразится информация о том, на какое состояние будет изменен результат сканирования.