不會開發(fā)的你也能管理好企業(yè)漏洞,開源免費工具:洞察(insight II)

前言

公司剛開始建設(shè)安全管理時,都是從一片混沌開始的,資源總是不夠的,我們每個做安全的人員,又要會滲透,又要抓制度,還得管理各種漏洞。在管理樓棟是,我相信大家都遇到過以下幾個問題:

  1. 漏洞提交太多,自己用表格管理不過來了
  2. 每個漏洞進(jìn)度不同,自己忙著忙著可能就忘記記錄各個漏洞的進(jìn)度
  3. 漏洞進(jìn)度變更,自己還得手動通知漏洞提交人
  4. 也沒有一個好的漏洞提交激勵機(jī)制

以上都會阻礙我門更好的管理漏洞,我是深受其害,為了解決這個痛點網(wǎng)上找了好久,也試了好多漏洞管理工具,最后發(fā)現(xiàn)這款開源產(chǎn)品對漏洞的生命周期管理做得還是挺完善的,雖然有一些細(xì)節(jié)的小功能做得還是不到位,但是對我管理漏洞還是起到了很大的幫助,而且我也相信其他小功能,項目團(tuán)隊也會很快的進(jìn)行修復(fù)。

以下開始洞察這個開源軟件的使用教程和常見問題答疑,以及部分自定義的的小改動。

如何安裝

提示:
前提先安裝好docker-compose,如果未安裝,可以查看這篇文檔:pip安裝docker-compose

采用docker-compose 啟動mysql,redis,服務(wù)

(1) 使用Docker Compose

git clone https://github.com/creditease-sec/insight2_docker.git
cd insight2_docker
sudo docker-compose up

提示:
以上命令運行完后,會在窗口輸入日志信息,如果想要后臺運行,請修改最后一命令為sudo docker-compose up -d

(2) 系統(tǒng)登錄

地址:http://localhost:8000
帳號:admin
密碼:admin!Aa2020
后臺地址:http://localhost:8000/#/admin

提示:
如果你是在其他機(jī)器上運行服務(wù),在自己的電腦上訪問時,請把localhost改為服務(wù)運行的機(jī)器地址,并且保證機(jī)器的防火強(qiáng)已關(guān)閉。

(3) 版本更新

docker-compose pull && docker-compose up
or
sudo docker-compose pull && sudo docker-compose up

以上步驟采用的是項目默認(rèn)配置,按照教程配置,就可以成功訪問洞察這個系統(tǒng)了。

常規(guī)使用

后臺配置

后臺地址:http://ip:8000/#/admin

1. 配置Ldap認(rèn)證

提示:暫時不需要AD認(rèn)證的,可以跳過這步

打開后臺管理頁面——>【設(shè)置】——>【認(rèn)證】,點擊【新增認(rèn)證方式-LDAP】,需要說明兩點:

  • 登錄名屬性填寫:sAMAccountName
  • 郵件屬性填寫:EmailAddress 或者 mail

注意:
郵箱這個字段要看你們的AD中是否維護(hù)在這個字段上的,有的可能就沒有維護(hù)。我遇到的問題是配置了這個字段,但是AD賬戶登錄時,這個郵箱地址沒有正常同步過來。

2. 配置全局配置

打開后臺管理頁面——>【設(shè)置】——>【全局配置】:

  • 站點地址:配置的是郵件或者其他通知方式里的打開這個平臺的域名或者地址,后邊郵箱通知漏洞進(jìn)度,郵件里會用到
  • 全局水印:這個配置后,頁面上顯示一串灰色的點(不是前端頁面問題)

3. 設(shè)置漏洞審批流程

打開后臺管理頁面——>【設(shè)置】——>【漏洞審批流程】,這里可以設(shè)置漏洞管理的流程,建議全選,進(jìn)行完成的漏洞流程管理

4. 配置郵箱

打開后臺管理頁面——>【設(shè)置】——>【郵箱配置】:
這里按照對應(yīng)的配置內(nèi)容配置就可以了,建議這里的【認(rèn)證方式】配置為SSL。
這里的【郵件頭】和【郵件簽名】我沒測試出來做什么的,平時的漏洞郵件通知,也用不到這里的配置。

5. 生成測試數(shù)據(jù)

為了查看平臺的實際效果,可以點擊【生成示例數(shù)據(jù)】,就會生出漏洞信息、知識庫等模擬數(shù)據(jù)。

提示:
如果點擊了【生成示例數(shù)據(jù)】,數(shù)據(jù)想要清零只能自己手動清理,清理后貌似還是會統(tǒng)計數(shù)據(jù)痕跡,可能是我的操作不徹底吧,所以我就又重裝了一邊數(shù)據(jù)庫。

6. 后臺其他功能介紹

  • 總覽: 數(shù)據(jù)統(tǒng)計大屏
  • 漏洞: 可以在此添加漏洞,或者管理審批其他人員添加的漏洞(如果添加漏洞,需要先添加資產(chǎn)和應(yīng)用)
  • 資產(chǎn): 在這里添加公司的資產(chǎn)和資產(chǎn)上的應(yīng)用(要先添加資產(chǎn),再添加漏洞,否則加不上)
  • 知識: 漏洞平臺的知識庫,添加的文檔,可以在添加漏洞時,關(guān)聯(lián)這里的文檔,但是有一個問題,就是添加漏洞時沒有關(guān)聯(lián)文檔,后期更改漏洞時,就無法再關(guān)聯(lián)了,這個應(yīng)該是設(shè)計的問題,需要完善
  • 用戶: 添加本地用戶,或者添加AD賬戶(AD賬戶應(yīng)該是有問題的,我嘗試通過AD賬戶添加,發(fā)現(xiàn)沒有響應(yīng)),里邊還有角色和組,就是常用的權(quán)限管理了,奇怪的是,組不能設(shè)置權(quán)限,這又跟常見的權(quán)限管理方式不一樣了,不知道怎么考慮的
  • 俗事: 積分管理,但是不夠完善
  • 設(shè)置: 上邊介紹過了
  • 文檔: 平臺的接口文檔,API的key在右上角賬戶名那里生成
  • 擴(kuò)展: 暫時沒有使用到

前臺使用

1. 面板

數(shù)據(jù)大屏,沒什么可說的。

2. 我的-待處理漏洞

處理屬于你的漏洞,支持導(dǎo)出

3. 我的-已完成漏洞

這里存放你已經(jīng)完成的漏洞。

這里最最最坑的地方就是:作為普通用戶提交漏洞竟然深藏在這個頁面下,剛開始找了好久,以為普通用戶沒有提交漏洞的功能呢。

4. 知識

漏洞平臺的文檔中心

5. 積分

積分排行榜,目前尚不夠完善,但是可以做個積分記錄。

簡單的定制化修改

1. 修改平臺的web端口為80

修改/實際存放路徑/insight2_docker目錄下的docker-compose.yml文件,修改為以下內(nèi)容:

  front:
    image: "crediteaseitsec/insight2_front"
    restart: always
    ports:
     - "80:80"

就是把原來的8000:80改為80:80,如果你是已經(jīng)跑起來的服務(wù),你需要重新應(yīng)用修改過的docker-compose.yml
命令是:docker-compose up -d 作用是創(chuàng)建與啟動容器,會重建有變化的服務(wù)器(刪掉以前建立的容器)

2. 修改郵件的默認(rèn)簽名

進(jìn)入到后端的docker容器中,命令:

# 查看在運行的docker列表
docker ps 

# 找到NAMES為insight2_docker_backend_1的CONTAINER ID,并記錄
# 進(jìn)入這個容器,xxxx為剛才記錄的CONTAINER ID
docker exec -it xxxxx /bin/bash

# 修改文件 /app/insight2/template/alert.html
郵件默認(rèn)簽名在文檔的最底部,改成你要的樣式就可以了

修改完后,重啟一下這個后端容器,命令:docker restart xxxxx xxxx為對應(yīng)的CONTAINER ID

3. 增加默認(rèn)漏洞類型等

同上邊一行,進(jìn)入到docker容器中,默認(rèn)配置路徑在文件/app/insight2/logic/define.py里,增加完后,記得重啟重啟。

提示: 修改為,瀏覽器打開可能還是沒有變化,那就需要強(qiáng)制刷新一下瀏覽器,清理緩存就好了。

總結(jié)

作為一個沒有開發(fā)能力的安全團(tuán)隊,針對漏洞的生命周期管理,基本功能是能夠滿足需求的,要是想要和其他系統(tǒng)聯(lián)動,就需要有接口對接開發(fā)的能力了。

項目地址:https://github.com/creditease-sec/insight2

歡迎大家跟我交流日常安全的運營管理

本文首發(fā)于BigYoung小站

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容