04 Nessus 漏洞扫描模版认识

侃侃水边又鸟

已于 2024-03-28 16:04:10 修改

阅读量1k

点赞数 20

分类专栏： Nessus 合集文章标签： web安全安全网络安全运维自动化安全架构安全威胁分析

于 2024-03-28 15:51:10 首次发布

本文链接：https://blog.csdn.net/weixin_44439089/article/details/137114084

版权

Nessus 合集专栏收录该内容

5 篇文章 0 订阅

订阅专栏

Nessus 扫描

登录Nessus后

在Scans页面上，您可以创建、查看和管理扫描和资源。

要访问Scans页面上，在顶部导航栏中，单击Scans.左侧导航栏显示Folders和Resources部分。
在这里插入图片描述

一、扫描模板

在这里插入图片描述

您可以使用扫描模板为组织创建自定义策略。然后，您可以根据 Tenable 的扫描模板或自定义策略的设置运行扫描。有关更多信息，请参阅[[#创建策略]]

首次创建扫描或策略时，Scan Templatessection 或Policy Templates部分分别出现。Tenable Nessus 为扫描器和代理提供单独的模板，具体取决于要用于扫描的传感器：
扫描仪模板
Web 应用程序模板（Tenable Nessus Expert)
代理模板（仅限 Tenable Nessus Manager）

如果您有自定义策略，它们将显示在User Defined标签。

扫描仪模版定义

Tenable Nessus 中有三种扫描仪模板类别：

发现 — Tenable 建议使用发现扫描来查看网络上的主机以及相关信息，例如 IP 地址、FQDN、操作系统和开放端口（如果可用）。获得主机列表后，可以选择要在特定漏洞扫描中定位的主机。
漏洞 — Tenable 建议使用漏洞扫描模板来满足组织的大多数标准日常扫描需求。
- Tenable 还发布漏洞扫描模板，允许您扫描网络以查找特定漏洞或漏洞组.
- Tenable 经常使用可检测公共利益的最新漏洞（如 Log4Shell）的模板来更新 Nessus 扫描模板库。
合规性— Tenable 建议使用配置扫描模板来检查主机配置是否符合各种行业标准。
- 合规性扫描有时称为 配置扫描 。

模版中英文对照

Template	模板	描述
Discovery	发现
Attack Surface Discovery 仅限 Nessus Expert	攻击面发现	使用位发现扫描高级域列表并提取子域和 DNS 相关数据。有关详细信息，请参阅使用位发现创建攻击面发现扫描。
Host Discovery	主机发现	执行简单扫描以发现实时主机和打开的端口。启动此扫描以查看网络上的主机以及相关信息，例如 IP 地址、FQDN、操作系统和开放端口（如果可用）。获得主机列表后，可以选择要在特定漏洞扫描中定位的主机。 Tenable 建议没有被动网络监控器（如 Tenable Nessus Network Monitor）的组织每周运行一次扫描，以发现网络上的新资产。 Note:发现扫描识别的资产不计入您的许可证。
Vulnerabilities	漏洞
Basic Network Scan	基本网络扫描	执行适用于任何主机的完整系统扫描。使用此模板扫描一个或多个启用了 Nessus 所有插件的资产。例如，您可以在组织的系统上执行内部漏洞扫描。
Advanced Network Scan	高级网络扫描	最可配置的扫描类型。您可以配置此扫描模板以匹配任何策略。此模板的默认设置与基本扫描模板相同，但它允许其他配置选项。 Note:高级扫描模板允许您使用自定义配置（例如更快或更慢的检查）进行更深入的扫描，但错误配置可能会导致资产中断或网络饱和。请谨慎使用高级模板。
Advanced Dynamic Scan	高级动态扫描	没有任何建议的高级扫描，您可以在其中配置动态插件过滤器，而不是手动选择插件系列或单个插件。当 Tenable 发布新插件时，任何与您的过滤器匹配的插件都会自动添加到扫描或策略中。这允许您针对特定漏洞定制扫描，同时确保扫描在发布新插件时保持最新状态。
Malware Scan	恶意软件扫描	扫描 Windows 和 Unix 系统上的恶意软件。 Nessus 使用允许列表和阻止列表组合方法检测恶意软件，以监控已知的正常进程，对已知的不良进程发出警报，并通过标记未知进程以供进一步检查来识别两者之间的覆盖范围差距。
Mobile Device Scan 仅限 Tenable Nessus Manager	移动设备扫描	通过 Microsoft Exchange 或 MDM 评估移动设备。使用此模板可以扫描目标移动设备上安装的内容，并报告已安装的应用程序或应用程序版本的漏洞。移动设备扫描插件允许您从移动设备管理器（MDM）中注册的设备以及包含来自 Microsoft Exchange Server 的信息的 Active Directory 服务器获取信息。要查询信息，Tenable Nessus 扫描程序必须能够访问移动设备管理服务器。确保没有筛选设备阻止从 Nessus 扫描仪到这些系统的流量。此外，您必须向 Active Directory 服务器提供 Tenable Nessus 管理凭据（例如，域管理员）。要扫描移动设备，必须使用管理服务器和移动插件的身份验证信息配置 Tenable Nessus。由于 Tenable Nessus 直接向管理服务器进行身份验证，因此您无需配置扫描策略即可扫描特定主机。对于从 Microsoft Exchange 服务器访问数据的 ActiveSync 扫描，Tenable Nessus 会从过去 365 天内更新的电话中检索信息。
Credentialed Patch Audit	有资质的补丁审核	对主机进行身份验证并枚举缺少的更新。将此模板与凭据结合使用，使 Tenable Nessus 能够直接访问主机、扫描目标主机并枚举缺少的修补程序更新。
Intel AMT Security Bypass	英特尔 AMT 安全绕过	对 CVE-2017-5689 执行远程和本地检查。
Spectre and Meltdown	幽灵和崩溃	对 CVE-2017-5753、CVE-2017-5715 和 CVE-2017-5754 执行远程和本地检查。
WannaCry Ransomeware	WannaCry勒索软件	扫描 WannaCry 勒索软件（MS17-010）。
Ripple20 Remote Scan	Ripple20 远程扫描	检测网络中运行 Treck 堆栈的主机，这些主机可能受到 Ripple20 漏洞的影响。
Zerologon Remote Scan	Zerologon 远程扫描	检测 Microsoft Netlogon 特权提升漏洞（Zerologon）。
Solarigate	Solarigate（索拉里盖特酒店）	使用远程和本地检查检测 SolarWinds Solorigate 漏洞。
ProxyLogon: MS Exchange	ProxyLogon：MS 交换	执行远程和本地检查以检测与 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858 和 CVE-2021-27065 相关的 Microsoft Exchange Server 漏洞。
PrintNightmare	打印噩梦	对 CVE-2021-34527（PrintNightmare Windows 打印后台处理程序漏洞）执行本地检查。
Active Directory Starter Scan	Active Directory 初学者扫描	扫描 Active Directory 中的错误配置使用此模板可以检查 Active Directory 是否存在 Kerberoasting、弱 Kerberos 加密、Kerberos 预身份验证验证、未过期帐户密码、无约束委派、空会话、Kerberos KRBTGT、危险的信任关系、主组 ID 完整性和空白密码。。
Log4Shell	Log4Shell	通过本地检查检测Apache Log4j中的Log4Shell漏洞（CVE-2021-44228）。
Log4Shell Remote Checks	Log4Shell 远程检查	通过远程检查检测Apache Log4j中的Log4Shell漏洞（CVE-2021-44228）。
Log4Shell Vulnerability Ecosystem	Log4Shell 漏洞生态系统	通过本地和远程检查检测 Apache Log4j 中的 Log4Shell 漏洞（CVE-2021-44228）。此模板是动态的，并且会随着第三方供应商修补其软件而定期更新新插件。
CISA Alerts AA22-011A and AA22-047A	CISA 警报 AA22-011A 和 AA22-047A	对来自 CISA 警报 AA22-011A 和 AA22-047A 的漏洞执行远程和本地检查。
ContiLeaks	ContiLeaks（康蒂泄漏）	对 ContiLeaks 漏洞执行远程和本地检查。
Ransomware Ecosystem	勒索软件生态系统	对常见勒索软件漏洞执行远程和本地检查。
2022 Threat Landscape Retrospective (TLR)	2022 年威胁态势回顾（TLR）	检测 Tenable 的 2022 年威胁态势回顾报告中的漏洞。
Compliance	合规-配置扫描
Audit Cloud Infrastructure	审计云基础设施	审核第三方云服务的配置。您可以使用此模板扫描 Amazon Web Service （AWS）、Google Cloud Platform、Microsoft Azure、Rackspace、Salesforce.com 和 Zoom 的配置，前提是您提供了要审核的服务的凭据。
Internal PCI Network Scan	内部PCI网络扫描	执行内部 PCI DSS （11.2.1）漏洞扫描。此模板创建扫描，可用于满足满足 PCI 合规性要求的持续漏洞管理程序的内部（PCI DSS 11.2.1）扫描要求。您可以使用这些扫描进行持续的漏洞管理，并执行重新扫描，直到获得通过或清除的结果。您可以提供凭据来枚举缺失的补丁和客户端漏洞。 Note:虽然 PCI DSS 要求您至少每季度提供一次通过或“干净”扫描的证据，但您还必须在对网络进行任何重大更改后执行扫描（PCI DSS 11.2.3）。
MDM Config Audit	MDM 配置审核	审核移动设备管理器的配置。 MDM 配置审核模板报告各种 MDM 漏洞，例如密码要求、远程擦除设置以及使用不安全功能（如网络共享和蓝牙）。
Offline Config Audit	离线配置审计	审核网络设备的配置。离线配置审核允许 Tenable Nessus 扫描主机，而无需通过网络扫描或使用凭据。出于安全原因，组织策略可能不允许你扫描设备或知道网络上设备的凭据。脱机配置审核改用主机中的主机配置文件进行扫描。通过扫描这些文件，您可以确保设备的设置符合审核要求，而无需直接扫描主机。 Tenable 建议使用离线配置审核来扫描不支持安全远程访问的设备和扫描程序无法访问的设备。
Unofficial PCI Quarterly External Scan	非官方PCI季度外部扫描	根据 PCI 的要求执行季度外部扫描。您可以使用此模板模拟外部扫描（PCI DSS 11.2.2），以满足 PCI DSS 季度扫描要求。但是，您无法将此模板中的扫描结果提交给 Tenable 进行 PCI 验证。只有 Tenable 漏洞管理客户才能将其 PCI 扫描结果提交给 Tenable 进行 PCI ASV 验证。
Policy Compliance Auditing	策略合规性审计	根据已知基线审核系统配置。合规性检查可以根据自定义安全策略进行审核，例如 Windows 操作系统上的密码复杂性、系统设置或注册表值。对于 Windows 系统，合规性审核可以测试 Windows 策略文件中可描述的大部分内容。对于 Unix 系统，合规性审计测试正在运行的进程、用户安全策略和文件内容。
SCAP and OVAL Auditing	SCAP 和 OVAL 审计	使用 SCAP 和 OVAL 定义审核系统。美国国家标准与技术研究院（NIST）安全内容自动化协议（SCAP）是一套用于管理政府机构漏洞和策略合规性的策略。它依赖于多个开放标准和策略，包括 OVAL、CVE、CVSS、CPE 和 FDCC 策略。 SCAP 合规性审核需要将可执行文件发送到远程主机。运行安全软件（例如 McAfee Host Intrusion Prevention）的系统可能会阻止或隔离审核所需的可执行文件。对于这些系统，必须对发送的主机或可执行文件进行例外处理。使用SCAP and OVAL Auditing模板，可以执行 Linux 和 WindowsSCAP CHECKS测试 NIST 特别出版物 800-126 中规定的合规性标准。