前言
公司剛開始建設(shè)安全管理時,都是從一片混沌開始的,資源總是不夠的,我們每個做安全的人員,又要會滲透,又要抓制度,還得管理各種漏洞。在管理樓棟是,我相信大家都遇到過以下幾個問題:
- 漏洞提交太多,自己用表格管理不過來了
- 每個漏洞進(jìn)度不同,自己忙著忙著可能就忘記記錄各個漏洞的進(jìn)度
- 漏洞進(jìn)度變更,自己還得手動通知漏洞提交人
- 也沒有一個好的漏洞提交激勵機(jī)制
以上都會阻礙我門更好的管理漏洞,我是深受其害,為了解決這個痛點網(wǎng)上找了好久,也試了好多漏洞管理工具,最后發(fā)現(xiàn)這款開源產(chǎn)品對漏洞的生命周期管理做得還是挺完善的,雖然有一些細(xì)節(jié)的小功能做得還是不到位,但是對我管理漏洞還是起到了很大的幫助,而且我也相信其他小功能,項目團(tuán)隊也會很快的進(jìn)行修復(fù)。
以下開始洞察這個開源軟件的使用教程和常見問題答疑,以及部分自定義的的小改動。
如何安裝
提示:
前提先安裝好docker-compose
,如果未安裝,可以查看這篇文檔:pip安裝docker-compose
采用docker-compose 啟動mysql,redis,服務(wù)
(1) 使用Docker Compose
git clone https://github.com/creditease-sec/insight2_docker.git
cd insight2_docker
sudo docker-compose up
提示:
以上命令運行完后,會在窗口輸入日志信息,如果想要后臺運行,請修改最后一命令為sudo docker-compose up -d
(2) 系統(tǒng)登錄
地址:http://localhost:8000
帳號:admin
密碼:admin!Aa2020
后臺地址:http://localhost:8000/#/admin
提示:
如果你是在其他機(jī)器上運行服務(wù),在自己的電腦上訪問時,請把localhost
改為服務(wù)運行的機(jī)器地址,并且保證機(jī)器的防火強(qiáng)已關(guān)閉。
(3) 版本更新
docker-compose pull && docker-compose up
or
sudo docker-compose pull && sudo docker-compose up
以上步驟采用的是項目默認(rèn)配置,按照教程配置,就可以成功訪問洞察這個系統(tǒng)了。
常規(guī)使用
后臺配置
1. 配置Ldap認(rèn)證
提示:暫時不需要AD認(rèn)證的,可以跳過這步
打開后臺管理頁面——>【設(shè)置】——>【認(rèn)證】,點擊【新增認(rèn)證方式-LDAP】,需要說明兩點:
- 登錄名屬性填寫:sAMAccountName
- 郵件屬性填寫:EmailAddress 或者 mail
注意:
郵箱這個字段要看你們的AD中是否維護(hù)在這個字段上的,有的可能就沒有維護(hù)。我遇到的問題是配置了這個字段,但是AD賬戶登錄時,這個郵箱地址沒有正常同步過來。
2. 配置全局配置
打開后臺管理頁面——>【設(shè)置】——>【全局配置】:
- 站點地址:配置的是郵件或者其他通知方式里的打開這個平臺的域名或者地址,后邊郵箱通知漏洞進(jìn)度,郵件里會用到
- 全局水印:這個配置后,頁面上顯示一串灰色的點(不是前端頁面問題)
3. 設(shè)置漏洞審批流程
打開后臺管理頁面——>【設(shè)置】——>【漏洞審批流程】,這里可以設(shè)置漏洞管理的流程,建議全選,進(jìn)行完成的漏洞流程管理
4. 配置郵箱
打開后臺管理頁面——>【設(shè)置】——>【郵箱配置】:
這里按照對應(yīng)的配置內(nèi)容配置就可以了,建議這里的【認(rèn)證方式】配置為SSL。
這里的【郵件頭】和【郵件簽名】我沒測試出來做什么的,平時的漏洞郵件通知,也用不到這里的配置。
5. 生成測試數(shù)據(jù)
為了查看平臺的實際效果,可以點擊【生成示例數(shù)據(jù)】,就會生出漏洞信息、知識庫等模擬數(shù)據(jù)。
提示:
如果點擊了【生成示例數(shù)據(jù)】,數(shù)據(jù)想要清零只能自己手動清理,清理后貌似還是會統(tǒng)計數(shù)據(jù)痕跡,可能是我的操作不徹底吧,所以我就又重裝了一邊數(shù)據(jù)庫。
6. 后臺其他功能介紹
- 總覽: 數(shù)據(jù)統(tǒng)計大屏
- 漏洞: 可以在此添加漏洞,或者管理審批其他人員添加的漏洞(如果添加漏洞,需要先添加資產(chǎn)和應(yīng)用)
- 資產(chǎn): 在這里添加公司的資產(chǎn)和資產(chǎn)上的應(yīng)用(要先添加資產(chǎn),再添加漏洞,否則加不上)
- 知識: 漏洞平臺的知識庫,添加的文檔,可以在添加漏洞時,關(guān)聯(lián)這里的文檔,但是有一個問題,就是添加漏洞時沒有關(guān)聯(lián)文檔,后期更改漏洞時,就無法再關(guān)聯(lián)了,這個應(yīng)該是設(shè)計的問題,需要完善
- 用戶: 添加本地用戶,或者添加AD賬戶(AD賬戶應(yīng)該是有問題的,我嘗試通過AD賬戶添加,發(fā)現(xiàn)沒有響應(yīng)),里邊還有角色和組,就是常用的權(quán)限管理了,奇怪的是,組不能設(shè)置權(quán)限,這又跟常見的權(quán)限管理方式不一樣了,不知道怎么考慮的
- 俗事: 積分管理,但是不夠完善
- 設(shè)置: 上邊介紹過了
- 文檔: 平臺的接口文檔,API的key在右上角賬戶名那里生成
- 擴(kuò)展: 暫時沒有使用到
前臺使用
1. 面板
數(shù)據(jù)大屏,沒什么可說的。
2. 我的-待處理漏洞
處理屬于你的漏洞,支持導(dǎo)出
3. 我的-已完成漏洞
這里存放你已經(jīng)完成的漏洞。
這里最最最坑的地方就是:作為普通用戶提交漏洞竟然深藏在這個頁面下,剛開始找了好久,以為普通用戶沒有提交漏洞的功能呢。
4. 知識
漏洞平臺的文檔中心
5. 積分
積分排行榜,目前尚不夠完善,但是可以做個積分記錄。
簡單的定制化修改
1. 修改平臺的web端口為80
修改/實際存放路徑/insight2_docker
目錄下的docker-compose.yml
文件,修改為以下內(nèi)容:
front:
image: "crediteaseitsec/insight2_front"
restart: always
ports:
- "80:80"
就是把原來的8000:80
改為80:80
,如果你是已經(jīng)跑起來的服務(wù),你需要重新應(yīng)用修改過的docker-compose.yml
,
命令是:docker-compose up -d
作用是創(chuàng)建與啟動容器,會重建有變化的服務(wù)器(刪掉以前建立的容器)
2. 修改郵件的默認(rèn)簽名
進(jìn)入到后端的docker容器中,命令:
# 查看在運行的docker列表
docker ps
# 找到NAMES為insight2_docker_backend_1的CONTAINER ID,并記錄
# 進(jìn)入這個容器,xxxx為剛才記錄的CONTAINER ID
docker exec -it xxxxx /bin/bash
# 修改文件 /app/insight2/template/alert.html
郵件默認(rèn)簽名在文檔的最底部,改成你要的樣式就可以了
修改完后,重啟一下這個后端容器,命令:docker restart xxxxx
xxxx為對應(yīng)的CONTAINER ID
3. 增加默認(rèn)漏洞類型等
同上邊一行,進(jìn)入到docker容器中,默認(rèn)配置路徑在文件/app/insight2/logic/define.py
里,增加完后,記得重啟重啟。
提示: 修改為,瀏覽器打開可能還是沒有變化,那就需要強(qiáng)制刷新一下瀏覽器,清理緩存就好了。
總結(jié)
作為一個沒有開發(fā)能力的安全團(tuán)隊,針對漏洞的生命周期管理,基本功能是能夠滿足需求的,要是想要和其他系統(tǒng)聯(lián)動,就需要有接口對接開發(fā)的能力了。
項目地址:https://github.com/creditease-sec/insight2
歡迎大家跟我交流日常安全的運營管理
本文首發(fā)于BigYoung小站