F-Secure Elements Vulnerability Management User Guide
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
F-Secure Elements Vulnerability Management
User Guide
TOC | F-Secure Elements Vulnerability Management
Indice
Capitolo 1: Per iniziare...................................................................................5
1.1 Concetti e componenti principali.......................................................................................................................6
1.2 Portale Elements Vulnerability Management.....................................................................................................7
1.3 Accesso in corso.................................................................................................................................................8
1.4 Home page........................................................................................................................................................8
1.4.1 Personalizzazione dell'home page......................................................................................................8
1.5 Profilo personale................................................................................................................................................9
1.6 Utilizzo dei filtri..................................................................................................................................................9
1.7 Assistenza...........................................................................................................................................................9
Capitolo 2: Distribuzione..............................................................................11
2.1 Installazione del portale Elements Vulnerability Management.........................................................................12
2.1.1 Prerequisiti.........................................................................................................................................12
2.1.2 Installazione e aggiornamento del portale Elements Vulnerability Management............................14
2.1.3 Verifica dell'installazione...................................................................................................................15
2.2 Installazione di nodi di analisi (Windows).........................................................................................................15
2.2.1 Procedura di installazione.................................................................................................................16
2.2.2 Verificare l'installazione....................................................................................................................16
2.2.3 Configurazione dei nodi di analisi.....................................................................................................17
2.2.4 Risoluzione dei problemi dei nodi di analisi......................................................................................18
2.2.5 Utilizzo dei nodi di analisi in un ambiente offline..............................................................................18
2.2.6 Disinstallazione dei nodi di analisi.....................................................................................................21
2.3 Installazione di nodi di analisi Radar (Linux).....................................................................................................21
2.3.1 Procedura di installazione.................................................................................................................22
2.3.2 Verificare l'installazione del nodo di analisi Linux.............................................................................23
2.3.3 Percorsi del nodo di analisi Linux......................................................................................................23
2.3.4 Configurazione dei nodi di analisi Linux...........................................................................................24
2.3.5 Applicazione manuale della licenza del nodo di analisi....................................................................24
2.3.6 Configurare chiavi di crittografia per l'analisi autenticata................................................................24
2.3.7 Configurazione della comunicazione per Elements Vulnerability Management ospitato in
privato.................................................................................................................................................25
2.3.8 Reindirizzamento del traffico a un server proxy...............................................................................25
2.3.9 Disabilitazione della convalida del certificato SSL............................................................................26
2.3.10 Installazione di un certificato CA locale..........................................................................................26
2.3.11 Limite del numero massimo di analisi simultanee............................................................................26
2.3.12 Aggiornamento manuale dei motori di analisi................................................................................26
2.3.13 Reimpostazione dei motori di analisi...............................................................................................26
2.3.14 Disinstallazione dei nodi di analisi...................................................................................................27
2.4 Installazione di Radar Endpoint Agent.............................................................................................................27
2.4.1 Parametri di riga di comando............................................................................................................28
F-Secure Elements Vulnerability Management | TOC
Capitolo 3: Analisi in corso..........................................................................30
3.1 Scansione di rilevamento..................................................................................................................................31
3.1.1 Aggiunta di un'analisi di rilevamento.................................................................................................31
3.1.2 Configurazione dei modelli di analisi di rilevamento.........................................................................31
3.1.3 Esecuzione di un'analisi di rilevamento.............................................................................................32
3.1.4 Visualizzazione dei risultati di analisi di rilevamento.........................................................................32
3.2 Analisi di vulnerabilità.......................................................................................................................................33
3.2.1 Modifica di gruppi di analisi...............................................................................................................33
3.2.2 Esecuzione di analisi di vulnerabilità.................................................................................................34
3.2.3 Visualizzazione dei risultati di analisi.................................................................................................35
3.2.4 Analisi di sistema..............................................................................................................................36
3.2.5 Analisi Web........................................................................................................................................38
3.3 Individuazione dei sistemi connessi a Internet................................................................................................40
3.4 Attivazione dell'analisi degli agent endpoint sui dispositivi.............................................................................41
3.4.1 Modifica della frequenza degli aggiornamenti di stato degli endpoint............................................41
3.5 Analisi autenticata............................................................................................................................................41
3.5.1 Analisi autenticata Windows (WinRM)...............................................................................................42
3.5.2 Analisi autenticata Windows (RPC)...................................................................................................48
3.5.3 Analisi autenticata Linux....................................................................................................................52
Capitolo 4: Report.......................................................................................56
4.1 Creazione report di riepilogo...........................................................................................................................57
4.2 Creazione modelli report di riepilogo.............................................................................................................57
4.3 Eliminazione dei report....................................................................................................................................57
Capitolo 5: Gestione....................................................................................58
5.1 Vulnerabilità.....................................................................................................................................................59
5.1.1 Visualizzazione dei ticket...................................................................................................................59
5.1.2 Creazione di un ticket.......................................................................................................................59
5.1.3 Aggiunta di una vulnerabilità a un ticket esistente...........................................................................60
5.2 Asset................................................................................................................................................................60
5.2.1 Visualizzazione asset.........................................................................................................................60
5.2.2 Gestione degli attributi degli asset...................................................................................................61
5.2.3 Gestione dei tag degli asset..............................................................................................................62
5.2.4 Aggiornamento delle note...............................................................................................................62
5.2.5 Eliminazione degli asset....................................................................................................................62
5.2.6 Eliminazione degli asset archiviati....................................................................................................63
5.3 Utenti...............................................................................................................................................................63
5.4 Impostazioni....................................................................................................................................................63
5.4.1 Aggiunta di nuovi nodi di analisi.......................................................................................................64
Capitolo 6: API Elements Vulnerability Management...................................66
6.1 Autenticazione.................................................................................................................................................68
6.2 Caso d'uso: recuperare le informazioni del prodotto.....................................................................................68TOC | F-Secure Elements Vulnerability Management
6.3 Caso d'uso: verifica di vulnerabilità.................................................................................................................68
6.4 Caso d'uso: esportare i rilevamenti dell'analisi in formato XML......................................................................68
6.5 Caso d'uso: esportare i rilevamenti dell'analisi di sistema...............................................................................69
6.6 Caso d'uso: esportare i rilevamenti dell'analisi Web.......................................................................................69
6.7 Caso d'uso: cercare host rilevati......................................................................................................................70
6.8 Caso d'uso: tracciare gli asset in arrivo da un'origine personalizzata (ad esempio Active Directory).............71
Capitolo 7: Descrizione di sicurezza.............................................................73Capitolo
1
Per iniziare
Argomenti: F-Secure Elementi di gestione delle vulnerabilità consente di eseguire il
rilevamento della rete e le scansioni delle porte, le scansioni delle vulnerabilità
• Concetti e componenti principali di piattaforme e servizi, le scansioni degli agenti degli endpoint e le scansioni
• Portale Elements Vulnerability delle applicazioni web.
Management
La scansione delle vulnerabilità esterne si concentra sui sistemi e sull'infrastruttura
• Accesso in corso esposti a Internet o a una serie di reti. Inevitabilmente, questo rivelerà vulnerabilità
• Home page che variano da configurazioni di server difettose e problemi di progettazione
• Profilo personale della rete a bug software e backdoor.
• Utilizzo dei filtri
• Assistenza6 | Per iniziare
1.1 Concetti e componenti principali
Questa sezione descrive alcuni dei concetti e componenti chiave di F-Secure Elements Vulnerability Management
menzionati nella documentazione.
Scansioni di Le analisi di vulnerabilità testano sistemi o applicazioni Web nella rete alla ricerca di vulnerabilità
vulnerabilità sfruttabili in un attacco. Elements Vulnerability Management include due tipi separati di analisi:
sistema e Web.
Gruppi di analisi In Elements Vulnerability Management, tutte le destinazioni delle analisi di vulnerabilità sono
archiviate in contenitori logici detti gruppi di analisi. Ogni gruppo di analisi può contenere analisi
di sistema e Web.
Modelli di analisi I modelli di analisi ti permettono di creare con facilità diverse analisi, ciascuna applicabile a uno
scenario specifico o a parte della rete, ma che condividono varie impostazioni. Puoi creare modelli
per ogni tipo di analisi (rilevamento, sistema e Web) e pianificare modelli applicabili a ogni analisi.
Scansione di L'analisi di rilevamento è un processo relativamente semplice ma che può fare la differenza nel
rilevamento flusso di lavoro. Ti aiuta a individuare tutti i sistemi e le porte esposte (servizi) nella rete. L'analisi
di rilevamento di rete crea un report che elenca tutte le destinazioni analizzate con tutti i servizi
rilevati. Una volta trovati tutti i sistemi su una rete, possono essere trasferiti con facilità a un gruppo
di analisi di vulnerabilità. I risultati di analisi vengono sempre confrontati con l'analisi precedente,
facilitando l'individuazione di modifiche nella rete. Per supportare la funzionalità, puoi anche
configurare notifiche e-mail, ad esempio quando vengono trovati nuovi host.
Scansione di L'analisi di sistema è uno strumento di analisi di vulnerabilità basato su rete che analizza ogni
sistema sistema con un IP alla ricerca di vulnerabilità comuni. Il rilevamento si basa su controlli sia attivi
che passivi. Ad esempio, tenterà di identificare il servizio (prodotto) e il numero di versione.
Dopodiché, l'analisi verifica se tale software specifico ha delle vulnerabilità note. Oltre all'analisi
passiva basata sul "banner grabbing", l'analisi esegue anche controlli attivi per tentare di confermare
l'esistenza di determinate vulnerabilità o configurazioni errate del sistema. Può anche identificare
patch di sicurezza mancanti e software obsoleto se l'analisi autenticata è stata abilitata.
Nota: L'analisi di sistema non provoca interruzioni ed è pensata per non causare
condizioni Denial of Service sui sistemi.
Scansione Web L'analisi Web consente di analizzare e testare applicazioni Web. Puoi usarla durante lo sviluppo di
nuove applicazioni come parte del ciclo. Potrai così scoprire più rapidamente le vulnerabilità e
ridurre drasticamente i costi e le risorse richieste per mitigarle in un secondo momento, perché
verranno rilevate molto presto. L'analisi Web è considerata una funzione di analisi aggiuntiva
applicabile a un'analisi di sistema esistente. In altre parole, è consigliabile eseguire anche un'analisi
di sistema su una destinazione di un'analisi Web.
Rilevamento Il rilevamento Internet ti permette di raccogliere dati su sistemi pubblici tramite crawling e mapping
Internet delle porte. Puoi usarlo per trovare i sistemi connessi a Internet della tua organizzazione e
aggiungerli a gruppi di analisi di vulnerabilità.
Analisi autenticata Oltre all'analisi normale basata su rete, dove le porte host vengono analizzate e i servizi esposti
esaminati alla ricerca di problemi, puoi anche eseguire analisi di sistema in modalità autenticata,
che permette di autenticare nell'host di destinazione. L'analisi autenticata aiuta lo strumento a
eliminare potenziali falsi positivi e verificare livelli di patch e altre configurazioni errate.
Nodo di analisi UN nodo di scansione è un server con un'applicazione Scan Node Agent installata. Questa
applicazione mantiene fino a tre diversi motori di scansione (scoperta,sistema, e scansione web)
e li usa per eseguire scansioni configurate nel in Elementi di gestione delle vulnerabilità portale.
È possibile collegare un numero illimitato di nodi di scansione al to Elementi di gestione delle
vulnerabilità portale. Potrebbero essere necessari più nodi di scansione se si dispone di più
segmenti di rete o se è necessaria una potenza di scansione aggiuntiva.
Radar Endpoint Radar Endpoint Agent è un'applicazione client Windows che offre un approccio aggiuntivo
Agent all'esecuzione di analisi di vulnerabilità sui dispositivi nella rete.
L'uso di un agent endpoint per eseguire analisi di vulnerabilità ha diversi vantaggi. Ad esempio,
alcuni dispositivi potrebbero essere usati prevalentemente non in ufficio, pertanto c'è il rischio
che non siano collegati alla rete quando vengono effettuate le analisi pianificate. Un agent endpointF-Secure Elements Vulnerability Management | 7
ti permette di monitorare tali dispositivi anche quando non si trovano in ufficio. Inoltre, offre
scalabilità e prestazioni migliorate rispetto al'uso di un nodo di analisi dedicato per gestire tutte
le attività di analisi.
Gli agent endpoint, inoltre, offrono dati più coerenti negli ambienti con indirizzi IP che cambiano
in modo dinamico. Gli agent sono legati a dispositivi specifici anziché a un indirizzo IP, pertanto
reporting e risoluzione di vulnerabilità sono molto più facili. Potrai così anche raccogliere dati sui
dispositivi, come hardware e software, con più facilità.
Portale Elements Il portale Security Center è il componente di base dell'intera soluzione F-Secure Elements
Vulnerability Vulnerability Management. Si tratta di un'interfaccia basata su Web dove puoi gestire (avviare e
Management arrestare) analisi, sfogliare vulnerabilità, creare report e molto altro.
1.2 Portale Elements Vulnerability Management
Il portale è il componente base dell'intera soluzione F-Secure Elements Vulnerability Management.
Il portale Elements Vulnerability Management è un'interfaccia basata su Web dove puoi gestire (avviare e arrestare) analisi,
sfogliare vulnerabilità, crear report e molto altro.
Puoi distribuire il portale Elements Vulnerability Management in tue modi diversi:
• Il metodo più comune è configurare il portale Elements Vulnerability Management nel cloud, ospitato dagli F-Secure
Cyber Security Services.
• La soluzione alternativa consiste in un host privato per i casi in cui si desidera controllo completo dei dati.
Servizio cloud F-Secure Elements Vulnerability Management:8 | Per iniziare
Installazione locale di F-Secure Elements Vulnerability Management:
1.3 Accesso in corso
Dovrai accedere al tuo account Elements Vulnerability Management per accedere al portale Elements Vulnerability
Management.
1. Apri https://portal.radar.f-secure.com/ nel browser.
Nota: Se usi una soluzione con host privato, l'URL dipende dalla configurazione.
2. In F-Secure Business Account, fai clic su Vai all'accesso.
3. Inserisci nome utente e password per l'account.
4. Fai clic su Accedi.
Se l'autenticazione a due fattori è in uso per il tuo account, ti verrà chiesto di fornire un codice di verifica.
Si apre la pagina Home del portale Elements Vulnerability Management.
1.4 Home page
A prescindere dal tuo ruolo (responsabile, proprietario del sistema, sviluppatore o altro) puoi personalizzare la pagina
Home e i relativi widget in base alle tue esigenze.
1.4.1 Personalizzazione dell'home page
Puoi personalizzare la pagina Home in base alle tue esigenze.
Puoi aggiungere i widget che desideri, ridimensionarli e posizionarli dove vuoi.
Per personalizzare l'Home page:
1. Fai clic sul pulsante del menu e seleziona Aggiungi nuovo widget.
2. Modifica le impostazioni del nuovo widget.
a) Inserisci un nome per il widget.
b) Seleziona Tabella, Donut, Cerchio, Istogramma, o Misurazione come tipo di widget.
c) Seleziona dimensioni e posizione per il nuovo widget.
d) Seleziona le opzioni dati per il widget.
Le opzioni disponibili variano in base al tipo widget selezionato.
3. Fai clic su Salva per aggiungere il nuovo widget.F-Secure Elements Vulnerability Management | 9
Il nuovo widget compare nella pagina Home.
4. Trascina il widget per cambiarne la posizione e le dimensioni nella pagina Home.
Ogni widget dispone anche di un set di pulsanti di controllo nell'angolo in alto a destra per modificare, clonare o
rimuovere il widget.
1.5 Profilo personale
Puoi personalizzare le impostazioni del profilo nella pagina Il mio profilo.
Fai clic sull'icona utente nell'angolo in alto a destra della pagina e seleziona Il mio profilo per modificare il profilo.
Verifica almeno quanto segue:
• Assicurati che i tuoi dati personali come nome, cognome, numero di telefono ed e-mail di contatto siano corretti.
Devi contattare l'amministratore per cambiare l'indirizzo e-mail.
• Notifica: per impostazione predefinita, l'opzione è configurata su Invia subito ogni notifica. Ad esempio, se hai
configurato l'invio di notifiche e-mail ogni volta che un'analisi di rilevamento ha inizio o fine, riceverai 20 e-mail. Per
evitare grandi quantità di e-mail, modifica la frequenza in orario, giornaliera o settimanale.
• Fuso orario: definisce il fuso orario usato per visualizzare date e ore.
• Lingua: seleziona la lingua usata nel portale.
• Impostazioni di sicurezza: fai clic su Modifica password o imposta la verifica in due fattori per modificare le
impostazioni di sicurezza del tuo F-Secure Business Account. Se non è già stata applicata l'autenticazione a due fattori
su tutti gli utenti dall'amministratore dell'account, puoi abilitarla da te per una maggiore sicurezza.
Nota: L'autenticazione a due fattori supporta Google Authenticator, Microsoft Authenticator o altre app di
autenticazione sul tuo dispositivo mobile che supportino l'algoritmo TOTP (Time-based One Time Password).
1.6 Utilizzo dei filtri
Molte pagine e sezioni in Elements Vulnerability Management hanno un'opzione di filtro per agevolare la visualizzazione
dei dati più importanti.
Su ogni pagina dove vedi la sezione Filtro:
1. Apri Filtro.
Se è già in uso un filtro:
• Fai clic su Elimina filtro per reimpostare il filtro attualmente applicato.
• Seleziona Seleziona filtro >Nuovo filtro per crearne uno nuovo.
• Fai clic su Seleziona filtro e scegli un filtro salvato in precedenza.
2. Seleziona le opzioni da usare nel filtro.
Le opzioni disponibili variano in base alla pagina in cui ti trovi e ai dati elencati.
3. Fai clic su Applica.
4. Se vuoi salvare il filtro per l'uso futuro.
a) Fare clic su Salva.
b) Specifica un nome per il filtro.
c) Fai clic su Salva e applica.
1.7 Assistenza
La sezione Assistenza nel portale Elements Vulnerability Management mostra le opzioni di assistenza disponibili per
l'uso di Elements Vulnerability Management.
Per contattare il supporto Elements Vulnerability Management, apri la pagina di assistenza F-Secure e inserisci i dettagli
del problema. Il personale di assistenza ti contatterà il prima possibile.Puoi anche fare clic sulle icone di didascalia ( ) in Elements Vulnerability Management per avere più informazioni su funzionalità o campi specifici.
Capitolo
2
Distribuzione
Argomenti: Questa sezione descrive i passaggi di distribuzione richiesti per F-Secure Elements
Vulnerability Management.
• Installazione del portale Elements
Vulnerability Management • Se stai usando il Elementi di gestione delle vulnerabilità portale ospitato da
F-Secure, gli unici componenti che potresti voler installare sono i nodi di
• Installazione di nodi di analisi
scansione radar per la scansione delle reti interne e gli agenti endpoint radar
(Windows) per la gestione continua delle vulnerabilità sui tuoi endpoint.
• Installazione di nodi di analisi Radar • Se usi il prodotto come una soluzione ospitata in privato, devi installare anche
(Linux) il portale Elements Vulnerability Management.
• Installazione di Radar Endpoint Agent12 | Distribuzione
2.1 Installazione del portale Elements Vulnerability Management
Il portale Elements Vulnerability Management è un'interfaccia basata su Web per gestire analisi, vulnerabilità e nodi di
analisi collegati.
Nota: Se usi Elements Vulnerability Management come servizio cloud F-Secure, puoi ignorare gli argomenti in
questa sezione.
Elements Vulnerability Management usa una singola applicazione ospitata con IIS Server che offre interfaccia e API.
Questa sezione è pensata per gli utenti che devono configurare un'installazione interna di Elements Vulnerability
Management.
2.1.1 Prerequisiti
Se stai installato una versione locale di Elements Vulnerability Management, verifica che i requisiti elencati qui siano
rispettati prima dell'installazione.
• Hardware:
• Minimo 4 GB di RAM (consigliati: 8 GB)
• Minimo processore da 2 GHz
• Minimo 30 GB di spazio su disco
• Sono supportati i seguenti browser:
• Microsoft Internet Explorer (termine del supporto: 1° maggio 2020)
• Microsoft Edge
• Mozilla Firefox
• Google Chrome
• Safari
• Installazioni in loco di Elementi di gestione delle vulnerabilità richiedono il seguente sistema operativo Windows:
Windows Server 2012 R2 o successivo (installazione completa, non Server Core)
• Utente locale o Active Directory con diritti di amministratore richiesto durante l'installazione
• L'applicazione è configurata per utilizzare un'identità del pool di applicazioni IIS predefinita. Se desideri utilizzare
un altro utente, assicurati che disponga di un criterio "Accedi come processo batch" nell'oggetto Criteri di gruppo.
Nota: Ti consigliamo di usare le versioni inglesi del sistema operativo per installare Elements Vulnerability
Management. Ad esempio, alcune funzionalità IIS richieste potrebbero non essere rilevate correttamente
nelle versioni localizzate dei sistemi operativi.
• Funzionalità Windows (possono essere abilitate da Server Manager, con lo strumento Dism o direttamente dal file di
installazione di Elements Vulnerability Management):
• .NET Framework 4.6.1 o versioni successive (/FeatureName:NetFx4)
• .NET Core 5 - Hosting Windows Server
• IIS (Internet Information Services):
• Deve essere installato un certificato SSL valido. In alternativa, è possibile generare un certificato autonomo durante
l'installazione (opzione sconsigliata).
• Devono essere abilitate le seguenti funzionalità IIS:
Descrizione Dism FeatureName
World Wide Web Services IIS-WebServer
Process Model WAS-ProcessModel
Internet Information Services Hostable Web Core IIS-HostableWebCore
Dynamic Content Compression IIS-HttpCompressionDynamicF-Secure Elements Vulnerability Management | 13
Descrizione Dism FeatureName
Static Content Compression IIS-HttpCompressionStatic
Default Document IIS-DefaultDocument
Directory Browsing IIS-DirectoryBrowsing
HTTP Redirection IIS-HttpRedirect
Static Content IIS-StaticContent
URL Authorization IIS-URLAuthorization
Basic Authentication IIS-BasicAuthentication
Windows Authentication IIS-WindowsAuthentication
IP Security IIS-IPSecurity
Request Filtering IIS-RequestFiltering
Custom Logging IIS-CustomLogging
HTTP Errors IIS-HttpErrors
Logging Tools IIS-LoggingLibraries
HTTP Logging IIS-HttpLogging
ISAPI Extensions IIS-ISAPIExtensions
ISAPI Filters IIS-ISAPIFilter
IIS Management Scripts and Tools IIS-ManagementScriptingTools
IIS Management Console IIS-ManagementConsole
.NET Environment 3.5 WAS-NetFxEnvironment
.NET Extensibility 3.5 IIS-NetFxExtensibility
ASP.NET 4.5 IIS-ASPNET45
API di configurazione WAS-ConfigurationAPI
• Database SQL MS:
• MS SQL Server 2012 o versioni successive (è possibile usare l'edizione Express) e un livello di compatibilità di 110
(vedi
https://docs.microsoft.com/en-us/sql/t-sql/statements/alter-database-transact-sql-compatibility-level?view=sql-server-ver15
per altre informazioni sui livelli di compatibilità)
Importante: È supportata solo la versione inglese di MS SQL Server. L'unica raccolta di database supportata
è SQL_Latin1_General_CP1_CI_AS, pertanto versioni in altre lingue non funzioneranno.
• Minimo 30 GB di spazio su disco
• Raccolta database: SQL_Latin1_General_CP1_CI_AS
• Il valore Default Full-Text Language o LCID (Locale ID) per il database Elements Vulnerability Management deve
essere impostato su 1033 (Inglese)
• Elementi di gestione delle vulnerabilità il programma di installazione richiede i seguenti privilegi di database:
• db_proprietario Se Elementi di gestione delle vulnerabilità il database esiste; altrimenti il ruolo di sysadmin14 | Distribuzione
• amministratore della sicurezza - è sempre necessario verificare se l'utente del DB dell'applicazione esiste e
dispone dei privilegi richiesti. Il programma di installazione crea l'utente o concede i privilegi richiesti, se
necessario.
• Un utente del database per un'applicazione deve avere almeno db_datareader e db_datawriter ruoli e
un'autorizzazione ALTER per a dbo.ScanNodeStatusEvent tavolo. Questi privilegi vengono concessi
automaticamente durante l'installazione. Il programma di installazione può anche creare un utente SQL.
Avvertenza: Installazione Elementi di gestione delle vulnerabilità con la modalità di autenticazione di
Windows selezionata per l'applicazione non è supportata quando il server di database viene eseguito su
un'altra macchina. Il motivo è che l'applicazione è configurata con un'identità del pool di applicazioni IIS
predefinita che è un utente locale, non noto nel database remoto.
Esistono due soluzioni alternative, entrambe richiedono un programma di installazione in esecuzione con il
seguente comando:Radar_Security_Center_installer.exe -ai -!
"-useValues=Installer.IgnoreRemoteServerWinAuthCheck:="
Opzione 1: è possibile eseguire la prima installazione con un utente di database standard (nessuna autenticazione
di Windows). Dopo l'installazione è necessario modificare l'identità per il pool di applicazioni IIS denominato "Radar
Security Center" ed eseguire il Elementi di gestione delle vulnerabilità aggiornare con lo stesso programma di
installazione per poter concedere i privilegi.
Opzione 2: è possibile eseguire la prima installazione senza configurare IIS. Dopo l'installazione, è necessario
configurare manualmente l'applicazione in IIS ed eseguire il Elementi di gestione delle vulnerabilità aggiornare
con lo stesso programma di installazione per poter concedere i privilegi.
• Rete:
• Accesso in uscita a https://updates-api.radar.f-secure.com/, https://gateway.radar.f-secure.com/ e
https://updates.radar.f-secure.com/ (Servizio di aggiornamento radar)
• Elementi di gestione delle vulnerabilità richiede una connessione con Radar Update Service per vari motivi,
come aggiornamenti delle definizioni di vulnerabilità, copertura delle vulnerabilità, aggiornamenti automatici,
ordinazione dei nodi di scansione, rinnovo della licenza e supporto per Radar Endpoint Agent.
• Se sono richiesti proxy per accedere al servizio, deve consentire i metodi HTTP GET, HEAD e POST
• Altro:
• Le impostazioni server SMTP sono richieste durante l'installazione (server, nome utente, password)
Integrazione tutorial interattivo
Elements Vulnerability Management include un'integrazione con una piattaforma di terze parti per fornire istruzioni e
informazioni utili.
Questa integrazione usa uno script incluso nell'interfaccia utente del portale Elements Vulnerability Management che
richiede una connessione a sistemi esterni di terze parti. Se usi Elements Vulnerability Management in un ambiente di
rete dove è necessario impedire connessioni di terze parti, configura il firewall di sistema in modo che blocchi il nome
host cdn.walkme.com.
2.1.2 Installazione e aggiornamento del portale Elements Vulnerability Management
Segui questi passaggi per installare o aggiornare una versione locale del portale Elements Vulnerability Management.
Nota: Se stai aggiornando un'installazione esistente, assicurati di effettuare un backup del database SQL prima
di iniziare.
Nota: La procedura guidata di installazione verifica che tutti i prerequisiti siano installati e installa software
mancante, se necessario.
Prendi il tuo Elementi di gestione delle vulnerabilità pacchetto di installazione del portale dal tuo F-Secure Elementi di
gestione delle vulnerabilità referente.
1. Esegui il file di installazione (eseguibile) e segui le istruzioni guidate.F-Secure Elements Vulnerability Management | 15
Il file verificherà di essere stato eseguito con privilegi amministrativi.
2. Attendi che il file di installazione si estragga ed esamina il riepilogo del pacchetto.
3. Leggi e accetta il contratto di licenza con l'utente finale.
4. Assicurati che tutti i prerequisiti siano soddisfatti.
Il file di installazione ti guida su come correggere elementi mancanti.
5. Immettere le credenziali per un utente con privilegi di amministratore.
6. Configura il database SQL MS (per gli aggiornamenti, la configurazione è importata dall'installazione precedente):
a) Inserisci il nome del server o dell'istanza.
b) Inserisci il nome del database usato da Elements Vulnerability Management.
Se il database non esiste già, viene creato automaticamente.
c) Scegliere l'utente del database da utilizzare per creare o aggiornare il database durante l'installazione.
d) Scegliere l'utente del database affinché l'applicazione acceda al database dopo l'installazione.
7. Configura le impostazioni SMTP per le notifiche e-mail di Elements Vulnerability Management.
8. Verifica la configurazione di IIS.
Nota: Il file di installazione rafforza IIS per impostazione predefinita. L'operazione è consigliata ma opzionale
perché può influire su altri servizi nello stesso server.
9. Esamina le impostazioni di configurazione dell'installazione e fai clic su Installa.
10. Attendi il termine dell'installazione.
11. Chiudi il file di installazione e apri Elements Vulnerability Management nel browser Web.
2.1.3 Verifica dell'installazione
Segui questi passaggi per assicurarti che l'installazione locale di Elements Vulnerability Management funzioni correttamente.
1. Assicurati di poter accedere al portale Elements Vulnerability Management tramite browser.
2. Testa le impostazioni SMTP:
a) Apri la scheda Utenti.
b) Quando crei l'utente, abilita l'opzione Invia e-mail di invito.
Ciò attiverà un'e-mail inviata all'utente con istruzioni su come accedere. Se l'operazione non funziona:
a) Verifica il Log eventi di Windows e i log SMTP.
b) Nei Servizi Windows, trova Karhu.Scheduler. Assicurati che sia in esecuzione e che l'account utente usato
sia corretto.
c) Verifica le impostazioni SMTP archiviate nel database SQL MS con il comando seguente:
SELECT * FROM [radar].[dbo].[KarhuConfiguration] WHERE KeyName LIKE
'%SMTP%'
d) Testa la connettività di rete dal server Elements Vulnerability Management al server SMTP
3. Esegui analisi di test per ogni motore di analisi per assicurarti che il portale Elements Vulnerability Management si
connetta ai nodi di analisi e che i risultati di analisi vengano riconsegnati al portale Elements Vulnerability Management.
2.2 Installazione di nodi di analisi (Windows)
I nodi di analisi sono usati per eseguire le effettive analisi di vulnerabilità.
Un nodo di analisi è installabile con uno o più dei seguenti motori di analisi:
• L'analisi di rilevamento è un motore di analisi di rilevamento e porte.
• L'analisi di sistema è in grado di analizzare indirizzi IP per cercare vulnerabilità note.
• L'analisi Web è progettato per analizzare applicazioni Web personalizzate alla ricerca di vulnerabilità.
Requisiti del nodo di analisi (Windows)
• Windows Server 2012 R2 o versioni successive
• • Microsoft .NET Framework: consigliata 4.8 (versione minima 4.6.1 richiesta)16 | Distribuzione
• Microsoft .NET Core 2.2
• npcap
• Microsoft Visual C++ 2013 Redistributable Package (x86) (Nota: deve essere la versione 2013 x86)
• Utente locale o Active Directory con diritti di amministratore richiesto durante l'installazione
• Hardware
• • Minimo 4 GB di RAM (consigliati: 8 GB o più)
• Minimo processore da 2 GHz
• Minimo 30 GB di spazio su disco
• Accesso di rete a
• • https://updates.radar.f-secure.com/, https://gateway.radar.f-secure.com/, e
https://updates-api.radar.f-secure.com (Servizio di aggiornamento radar)
• https://api.radar.f-secure.com (Elementi di gestione delle vulnerabilità API)
• Se usi un server proxy, deve consentire i seguenti metodi di richiesta HTTP: GET, HEAD e POST verso i servizi
Web menzionati.
Nota: Il software antivirus potrebbe riconoscere le analisi di vulnerabilità come attività pericolose e bloccarle.
Se il software antivirus è installato sul nodo di analisi, ti consigliamo di inserire nell'elenco consentiti tutta la
directory di installazione del nodo di analisi Radar. Anche le analisi antivirus pianificate possono interferire con
le prestazioni delle analisi Elements Vulnerability Management e causarne un'interruzione prematura.
2.2.1 Procedura di installazione
Nota: Per informazioni su come ottenere il file di licenza richiesto durante l'installazione, vedi Aggiunta di nuovi
nodi di analisi nella pagina64 .
1. Scarica il pacchetto di installazione e il file di licenza del nodo di analisi
a) Nel portale Elements Vulnerability Management, vai alla pagina Nodi di analisi e seleziona Nuovo nodo di analisi.
b) Seleziona Richiedi un nuovo nodo di analisi.
c) Inserisci nome e descrizione per il nodo di analisi, quindi seleziona Richiedi.
La pagina generata include il link di download e istruzioni di base. Le informazioni di licenza incluse nel pacchetto
di installazione sono valide per 14 giorni.
2. Esegui il file di installazione (eseguibile) del nodo di analisi e segui le istruzioni.
La procedura guidata di installazione verifica che tutti i prerequisiti siano installati e installa software mancante, se
necessario.
3. Dopo l'installazione, verifica che tutto funzioni come previsto.
2.2.2 Verificare l'installazione
1. Verifica che il servizio Windows F-Secure Radar Agent sia installato e in esecuzione.
Puoi usare Gestione attività o Servizi Windows per verificarlo.
2. Apri Radar Scan Node - Centro di controllo e verifica che Scan Node Agent sia attivo.
Scan Node Agent dovrebbe attivarsi pochi minuti dopo la prima esecuzione.
3. Verifica che i motori e i plug-in di analisi siano scaricabili.
Dopo l'installazione, attendi 5-10 minuti che Radar.Scan.Daemon scarichi tutti i file binari. Una volta fatto, vedrai
le seguenti cartelle:
• [unità]:\Programmi (x86)\F-Secure\RadarScanAgent\binaries_ds
• [unità]:\Programmi (x86)\F-Secure\RadarScanAgent\binaries_ws
• [unità]:\Programmi (x86)\F-Secure\RadarScanAgent\binaries_ss
Nota: Se viene disattivato un modulo del motore di analisi, i relativi file binari non verranno scaricati.
4. Verifica che il nodo di analisi possa connettersi al portale Elements Vulnerability Management:
a) Accedi al portale F-Secure Elements Vulnerability Management.F-Secure Elements Vulnerability Management | 17
b) Vai alla pagina Nodi di analisi.
Deve essere sempre trascorso un tempo inferiore al minuto dall'ultimo tentativo di connessione del nodo di analisi
al portale Elements Vulnerability Management. Se il valore Ultimo rilevamento è superiore, consulta la sezione
di risoluzione dei problemi.
5. Esamina i file di log in [unità]:\Programmi (x86)\F-Secure\RadarScanAgent\logs per altri
errori.
6. Esegui alcune analisi di test.
Per esempio:
a) Esegui un'analisi di rilevamento con la modalità Rilevamento host.
b) Esegui un'analisi di sistema in un intervallo di porte limitato (ad esempio TCP/80,443).
c) Esegui un'analisi Web con l'opzione Esegui attacchi disabilitata.
2.2.3 Configurazione dei nodi di analisi
È possibile configurare i nodi di analisi tramite l'applicazione del centro di controllo.
1. Trova la directory di installazione del nodo di analisi (es.:. [unità:\Programmi
(x86)\F-Secure\RadarScanAgent\).
2. Avvia l'applicazione del centro di controllo FSRadarAgent.Tray.exe.
3. Vai alla scheda Impostazioni per trovare tutte le opzioni di configurazione.
Le opzioni di configurazione più importanti sono:
ID Nome Valore Descrizione
(consigliato)
4 SCANNODE.
14400000 Quanto spesso il nodo di analisi deve cercare
ModuleLoopInterval
aggiornamenti in millisecondi. Il valore
predefinito è ogni 4 ore.
10-12 Module.{ScanEngineName}.
True Definisce quali motori di analisi sono abilitati sul
Enabled
nodo di analisi.
13-15 Module.{ScanEngineName}.
GUID L'identificatore univoco per ogni modulo del
ScanNodeId
motore di analisi.
Gli ID vengono usati quando vengono aggiunti
nuovi nodi di analisi a Elements Vulnerability
Management.
19-21 Module.{ScanEngineName}.
DiscoveryScan: Questi valori controllano il numero massimo di
MaxSimultaneousScans
10 analisi simultanee che il nodo di analisi può
eseguire.
SystemScan: 30
Valori troppi alti potrebbero portare al non
WebScan: 5
rilevamento di porte aperte durante l'analisi.
127 Communication.Web
False Salta la convalida certificato durante la
Serivce.Updates.SkipSSL
connessione a Radar Update Service.
CertificateValidation
128 Communication.Web
False Salta la convalida certificato durante la
Serivce.SecurityCentre.
connessione a Elements Vulnerability
SkipSSLCertificate
Management.
Validation18 | Distribuzione
2.2.4 Risoluzione dei problemi dei nodi di analisi
Puoi provare i seguenti passaggi per risolvere i problemi dei nodi di analisi:
• Assicurati che il nodo di analisi del servizio Windows sia in esecuzione.
• Apri Radar Scan Node - Control Center e verifica se il nodo di analisi è attivo e i motori di analisi sono stati scaricati
(versione superiore a 0).
• Esamina i file di log del nodo di analisi (C:\Programmi (x86)\F-Secure\RadarScanAgent\logs).
• Esegui un test di connessione. Esegui il comando seguente con lo stesso utente che esegue il servizio: C:\Programmi
(x86)\F-Secure\RadarScanAgent>FSRadarAgent.exe -test.
• Esegui l'agent del nodo di analisi in modalità debug:
• Tramite la riga di comando con il comando seguente: FSRadarAgent.exe -c -vv. Ad esempio:
C:\Programmi (x86)\F-Secure\RadarScanAgent>FSRadarAgent.exe -c -vv.
Nota: Ricorda di eseguire la riga di comando con lo stesso utente che esegue il servizio "F-Secure Radar
Agent".
• In alternativa, come servizio. Per farlo, aggiungi l'argomento -vv al comando di avvio del servizio. I parametri
sono modificabili nel Registro di sistema.
Nota: La modifica del Registro di sistema è un'operazione molto delicata. Procedi con cautela se usi
questo approccio.
• Controlla Visualizzatore eventi Windows per possibili errori.
• Se nessuno di questi passaggi ha funzionato, contatta l'assistenza Elements Vulnerability Management. Quando invii
la richiesta di assistenza, descrivi il problema in dettaglio e allega sempre i file di log (almeno uno risalente alla data
del problema).
2.2.5 Utilizzo dei nodi di analisi in un ambiente offline
In alcuni casi potresti aver bisogno di installare i nodi di analisi in un ambiente offline, ad esempio quando un nodo di
analisi viene distribuito in un ambiente molto sicuro senza connessione a Internet.
La scomodità di tali ambienti è che disattivano importanti funzioni del nodo di analisi, ad esempio attivazione automatica
e aggiornamenti automatici del prodotto e del motore di analisi (plug-in).
Elements Vulnerability Management supporta tali configurazioni, anche se l'amministratore deve gestire manualmente
gli aggiornamenti al nodo di analisi.
Per gestire attivazione e aggiornamenti per i nodi di analisi in un ambiente offline:
1. Vai alla macchina con il nodo di analisi.
2. Apri Radar Scan Node - Centro di controllo (situata in C:\Programmi
(x86)\F-Secure\RadarScanAgent\FSRadarAgent.Tray.exe).F-Secure Elements Vulnerability Management | 19 3. Genera la chiave di autorizzazione. 4. Copia la chiave in un computer con accesso online al servizio di aggiornamento di Radar. 5. Invia la chiave al servizio di aggiornamento di Radar all'indirizzo https://updates-api.radar.f-secure.com. 6. Se il nodo di analisi non è ancora stato attivato, copia il codice di attivazione dal servizio di aggiornamento di Radar alla macchina con il nodo di analisi.
20 | Distribuzione
7. Scarica aggiornamenti software per il nodo di analisi dal servizio di aggiornamento di Radar e copiali nella macchina
con il nodo di analisi.
8. Se il nodo di analisi non è ancora stato attivato, apri Radar Scan Node - Centro di controllo e applica il codice di
attivazione.
9. Installa gli aggiornamenti.
Ci sono due modi per installare gli aggiornamenti nella macchina con il nodo di analisi.
• Manuale: esegui il pacchetto di aggiornamento nella macchina. Ti chiederà di inserire le credenziali utente del
servizio Windows.
• Semi-automatico: posiziona il pacchetto in C:\Programmi
(x86)\F-Secure\RadarScanAgent\updates e attendi che il nodo di analisi installi gli aggiornamenti.
Ciò avverrà nei prossimi 5 minuti.
Come metodo alternativo, puoi usare uno script esterno (ad esempio PowerShell su un computer remoto) per eseguire
gli aggiornamenti. Ecco uno script di esempio che può aiutarti con questo approccio:
$authKey = .\FSRadarAgent.exe -authKeyS
$updateService = "https://updates-api.radar.f-secure.com"
$authResult = Invoke-RestMethod -Method Post -Uri
"$updateService/api/1.0/ProductUpdates/Components/ScanNodeAgent/AuthKey" -Header @{"Content-Type"
= "application/json"} -Body (ConvertTo-Json @{"authKey" = $authKey[0]})
if ($authResult.ActivationCode) {echo $authResult.ActivationCode | .\FSRadarAgent.exe -activate}
$token = $authResult.RequestToken
$packageResult = Invoke-RestMethod -Method Post -Uri
"$updateService/api/1.0/ProductUpdates/Packages/$token/Generate" -Header @{"Content-Type" =F-Secure Elements Vulnerability Management | 21
"application/json"} -Body (ConvertTo-Json @{"IncludeModules" = ("PSNG", "SSNG", "WSNG")})
while ($packageResult.Status -eq "New" -Or $packageResult.Status -eq "InProgress")
{
$packageResult = Invoke-RestMethod -Method Get -Uri
"$updateService/api/1.0/ProductUpdates/Packages/$token/Status" -Header @{"Content-Type" =
"application/json"}
}
if ($packageResult.Status -eq "Ready")
{
mkdir .\updates\Script
Invoke-WebRequest -Uri $packageResult.DownloadUrl -OutFile
.\updates\Script\Radar_Scan_Node_Agent_installer_with_license.exe
.\updates\Script\Radar_Scan_Node_Agent_installer_with_license.exe -ai
} else {echo "FAILED!"}
2.2.6 Disinstallazione dei nodi di analisi
Per disinstallare un nodo di analisi di Elements Vulnerability Management:
1. Vai a Pannello di controllo >Programmi >Programmi e funzionalità.
2. Verifica l'elenco dei programmi.
Se vedi F-Secure Radar Scan Node Agent:
a) Fai doppio clic su F-Secure Radar Scan Node Agent.
b) Digita y e premi Invio per confermare di voler rimuovere Scan Node Agent.
Scan Node Agent viene disinstallato.
Se non riesci a trovare F-Secure Radar Scan Node Agent, significa che la tua versione di Scan Node Agent è precedente
alla 2.6.1.1174. Per disinstallare versioni precedenti:
a) Apri un prompt dei comandi con privilegi elevati.
b) Modifica la directory in C:\Programmi (x86)\F-Secure\RadarScanAgent.
c) Disinstalla il servizio Windows di Radar Scan Node Agent eseguendo il comando seguente: FSRadarAgent.exe
-u.
d) Elimina la cartella del nodo di analisi C:\Programmi (x86)\F-Secure\RadarScanAgent.
e) Rimuovi la seguente chiave di registro: HKLM\Software\Wow6432Node\F-Secure\SN.
Il software del nodo di analisi è ora disinstallato.
Per rimuovere file rimanenti:
1. Accedi al portale Elements Vulnerability Management.
2. Vai alla pagina Nodi di analisi.
3. Usa il menu azione per annullare la registrazione dei motori di analisi.
2.3 Installazione di nodi di analisi Radar (Linux)
I nodi di analisi sono usati per eseguire le effettive analisi di vulnerabilità.
Un nodo di analisi è installabile con uno o più dei seguenti motori di analisi:
• L'analisi di rilevamento è un motore di analisi di rilevamento e porte.
• L'analisi di sistema è in grado di analizzare indirizzi IP per cercare vulnerabilità note.
• L'analisi Web è progettato per analizzare applicazioni Web personalizzate alla ricerca di vulnerabilità.
Requisiti del nodo di analisi (Linux)
• Ubuntu Server (solo versioni a 64 bit, 18.x LTS): https://ubuntu.com/download/server
• SSH (la GUI non è necessaria, le librarie X11 richieste sono installate automaticamente come dipendenze di pacchetto
.deb)
• Accesso di rete a
• • https://updates.radar.f-secure.com/, https://gateway.radar.f-secure.com/ e http://guts2.sp.f-secure.com/
• https://updates-api.radar.f-secure.com (API Radar Update Service)
• Accesso di rete a Elements Vulnerability Management:
• https://api.radar.f-secure.com per gli account con un abbonamento22 | Distribuzione
• URI assegnato durante il processo di installazione per le installazioni locali
• Se usi un server proxy, deve consentire i seguenti metodi di richiesta HTTP: GET, HEAD e POST verso i servizi
Web menzionati.
• Hardware
• • Minimo 4 GB di RAM (consigliati: 8 GB)
• Minimo processore da 2 GHz/2 CPU in AWS
• Minimo 30 GB di spazio su disco
2.3.1 Procedura di installazione
Segui questi passaggi per installare un nodo di analisi sul sistema Linux.
Nota: Il pacchetto dotnet-runtime-deps-2.2 per Ubuntu 18.04 LTS richiede liblttng-ust0,
disponibile solo nel repository ATP universe. Per installare questo repository, esegui i seguenti comandi:
1. sudo add-apt-repository universe
2. sudo apt-get update
1. Scarica il pacchetto di installazione del nodo di analisi
Uso di un pacchetto di installazione per le informazioni di licenza applicate automaticamente:
a) Nel portale Elements Vulnerability Management, vai alla pagina Nodi di analisi e seleziona Nuovo nodo di analisi.
b) Seleziona Richiedi un nuovo nodo di analisi.
c) Inserisci nome e descrizione per il nodo di analisi, quindi seleziona Richiedi.
La pagina risultante include il link di download e istruzioni di base. Le informazioni di licenza incluse nel pacchetto
di installazione sono valide per 14 giorni. Non è necessario applicare manualmente la licenza quando usi questo
tipo di pacchetto di installazione, anche se serve una connessione Internet durante l'installazione. In caso di
problemi con l'applicazione della licenza, segui i passaggi indicati per applicarla manualmente.
Uso di un pacchetto di installazione per le informazioni di licenza applicate manualmente:
a) Scarica il pacchetto di installazione del nodo di analisi da
https://updates-api.radar.f-secure.com/api/1.1/ProductUpdates/Components/ScanNodeAgent/Releases/4.0.0.0/Download.
In alternativa, puoi usare il comando seguente per scaricare il pacchetto di installazione:
wget -P ~ --content-disposition
https://updates-api.radar.f-secure.com/api/1.1/ProductUpdates/Components/ScanNodeAgent/Releases/4.0.0.0/Download
b) Nel portale Elements Vulnerability Management, vai alla pagina Nodi di analisi e seleziona Nuovo nodo di analisi.
c) Seleziona Richiedi un nuovo nodo di analisi.
d) Inserisci nome e descrizione per il nodo di analisi, quindi seleziona Richiedi.
e) Copia l'URL in Scarica licenza del nodo di analisi negli appunti.
L'URL è valido per 14 giorni e deve avere il formato seguente:
https://updates-api.radar.f-secure.com/api/2.9/organizations/productLicenses/order?token=2Ub3Tfd(....).
f) Usa il comando seguente per scaricare il file di licenza nel sistema Linux, sostituendo con l'URL copiato
dal portale Elements Vulnerability Management:
wget -O ~/license.fsrl
2. Se devi usare un server proxy per la comunicazione con reti esterne, imposta le variabili ambiente
FSECURE_HTTP_PROXY_HOST e FSECURE_HTTP_PROXY_PORT.
Queste impostazioni vengono usate per le operazioni del nodo di analisi normali e per la manutenzione (installazione
e aggiornamento del nodo di analisi).
a) Esegui i comandi seguenti per impostare le variabili con il file /etc/environment:
echo "FSECURE_HTTP_PROXY_HOST=www.proxy.example.com" | sudo tee -a /etc/environment
echo "FSECURE_HTTP_PROXY_PORT=8080" | sudo tee -a /etc/environment
b) Disconnetti per applicare le modifiche, quindi accedi nuovamente.
3. Esegui i comandi seguenti per installare i prerequisiti:Puoi anche leggere
