最后更新于2022年9月12日(星期一)14:43:38 GMT

多年来,我们的建议和最佳实践 InsightVM 随着我们对系统的改进和更新,控制台也发生了变化. 以下是一些最常见的改进,可以帮助您在2022年充分利用InsightVM控制台.

确保一切都是最新的

确保控制台运行状况的第一步是确保它是最新的. 用于InsightVM产品更新, 典型的发布时间安排是每周的周三, 偶尔的带外更新. 保持在最新版本, 您可以将更新频率设置为每24小时一次,并将其设置为非工作时间以执行该检查. 这将确保最新的更新被应用,并且控制台不会在工作日中重新启动.

InsightVM的内容更新包含每2小时更新一次的新漏洞. 由于这些不需要重新启动系统,因此建议将它们设置为自动更新.

确保你的扫描引擎也正确更新了. 只要扫描引擎有足够的存储空间并且能够到达InsightVM控制台即可, 它应该能够接收最新的更新.

除非您使用的是rapid7托管的控制台, 您还负责更新底层操作系统. 这意味着不只是应用最新的安全补丁, 但也要确保操作系统版本本身不会寿终正终.

Lastly, 你要确保你运行的是最新版本的InsightVM postgreSQL数据库——版本11.7. 如果您仍在运行版本9.4, 这可能会导致数据库出现一些潜在问题, 以及控制台和运行报告中的一般减速.

使用最新的InsightVM产品更新, 我们还有一个数据库自动调优功能,它可以根据控制台服务器上的RAM数量自动调优. 如果您仍然使用版本9,则此功能不起作用.4. 如果您使用的是版本11.7、要激活它,请到 Administration -> Run 然后运行命令 tune assistant 确保一切都调好了. 如果你有64GB或以上的内存,这将有更大的影响.

Check out this doc 关于调优PostgreSQL数据库的更多细节. 如果您对调优自己的数据库感到不舒服, 您可以随时联系Rapid7支持部门寻求帮助.

减少站点的数量

控制台最大的改进之一是扫描效率的提高. 在2020年10月之前,扫描的发现部分只能同时发现1024个资产. 现在,我们正在同时对65,535个ip进行发现. 这导致更快地发现更大的IP范围. Because of this, 我们建议使用更少的站点和更大的IP范围, 例如/16或/8 CIDR范围.

最好的方法是组织这些新的, 例如,较大的站点是基于功能或地理区域的, 有一个单独的网站为所有的商店和一个为所有的公司范围. 另一个例子是根据大陆划分站点, 或者是一个尽可能大的地理区域.

拥有更少的站点和更大的范围将有助于减少日程安排的微观管理,并允许在扫描更多设备时易于扩展. 对于细粒度报告, use asset groups, 它们比IP范围灵活得多,旨在让您设置报告和访问管理的范围.

防止扫描重叠

除了有太多的网站, 大多数主机面临的第二大问题是扫描在同一扫描引擎上重叠. 站点越少,计划扫描就越少, 但是你仍然应该知道这些网站使用的是什么扫描引擎. 运行扫描会耗尽扫描引擎上的RAM, 同时运行太多的扫描可能会导致扫描速度减慢,或者由于内存不足而可能导致引擎崩溃.

最好的情况是每个站点有一个扫描引擎. That way, 您的网站可以在同一时间扫描,没有任何机会,他们超载一个单一的引擎. 如果你有一些网站或地点比其他网站或地点大得多, 您可以随时在该位置部署更多引擎,并将它们集中在一起以获得更高的扫描效率.

And remember, 如果你要扫描多于2个,000台设备或具有分段网络, 您不应该使用本地扫描引擎, 因为这会占用控制台和PostgreSQL数据库的资源.

优化扫描模板

确保你的扫描不会在同一个引擎上重叠, 下一步是通过优化扫描模板来加快扫描速度. My colleague Landon Dalke 写了一篇很棒的博客 扫描模板的最佳实践. 以下是他文章中的一些亮点:

每个扫描引擎同时扫描的资产:根据您的扫描引擎的CPU和RAM大小,请参考下表. 确保你的引擎的CPU与内存的比例为1:4,以获得最佳性能. Also, 如果你的扫描引擎是虚拟的, 确保保留分配的内存,以避免内存不足问题.

向端口发送UDP报文:我们建议禁用. 不响应ICMP的设备是不可能被访问的, ARP, 或TCP,但不知何故只使用UDP.

不把TCP复位响应作为活资产:我们建议启用. 这将有助于防止没有主机名或操作系统的“幽灵资产”出现, 某些路由器或IDS/IPS发送TCP复位响应.

Nmap服务检测:我们建议禁用此功能,因为它可能导致扫描运行时间延长5到10倍. 在设备上拥有凭证或代理提供相同的信息.

跳过Insight Agent执行的检查:我们建议启用. 如果在设备上检测到代理, 它将跳过代理已经执行的漏洞检查, 缩短扫描时间.

如果所有的扫描引擎都有相同的资源, 您可以摆脱需要一个优化的扫描模板, 减少潜在的混乱,并进一步简化扫描配置.

在执行以下步骤之后, 你的主机应该处于一个更好的位置,以减少微观管理并提高整体效率. 如果你需要持续的帮助和支持, 不要犹豫,联系Rapid7支持或你的客户成功经理.

更多阅读:

NEVER MISS A BLOG

获取有关安全的最新故事、专业知识和新闻.