最后更新于2017年8月19日星期六格林尼治标准时间11:09:01
我们的许多客户都希望专门报告与微软补丁相关的问题 漏洞. 这通常包括在补丁星期二更新中修补的特定漏洞. 这篇文章将向您展示为这些内容创建报告的各种方法.
修复项目
修复项目是包含的一个特性 InsightVM 它允许您获得环境中资产状态的实时视图(请注意,此功能要求您已选择进入Insight Platform). 使用补救项目,您可以构建动态项目,跟踪在您的环境中识别出的与Microsoft补丁相关的漏洞. 要为Microsoft Patch相关漏洞建立动态项目,请遵循以下步骤:
进入InsightVM菜单中的“Projects”,点击“CREATE A PROJECT”。
您将看到一个新的覆盖出现,其中提供了配置项目的选项. 在“项目内容”部分,您可以配置“漏洞过滤器”。. 要报告所有Microsoft Patch漏洞,您可以配置以下过滤器:
脆弱性.类别IN ["Microsoft Patch"]
用于报告特定漏洞, 您可以使用类似的过滤器, 将漏洞名称更改为您在创建项目时感兴趣的漏洞名称:
脆弱性.标题包含“Microsoft CVE-2017-0175”漏洞.标题包含“Microsoft CVE-2017-0148”
当满足项目标准的新漏洞被识别时, 它们将被添加到项目中.
使用漏洞过滤器
漏洞过滤器允许您对漏洞、严重性和类别进行过滤. 这些可以应用于您正在生成的任何报告的范围部分, 使这个选项非常灵活.
在漏洞过滤器选择窗口中,我们可以选择“MICROSOFT PATCH”类别.
这允许报告特定于任何报告模板的Microsoft补丁的漏洞, 内置或自定义. 此方法的警告是,它将返回MICROSOFT PATCH类别中的所有漏洞. 如果您想报告补丁星期二更新中修复的特定漏洞, 您可以使用“SQL查询导出”导出模板来实现这一点.
SQL查询导出
使用SQL查询导出模板进行报告时, 重要的是要知道微软最近更改了其发布的安全公告的命名方案. 在2017年2月14日之前,微软使用以下格式发布安全公告: msft-cve-yyyy-nnnn. 从2017年2月14日起,微软将使用基于CVE的格式. 你可以在这里阅读更多关于这些变化的内容: 关于即将到来的微软漏洞内容更改的提醒. 这意味着在使用SQL查询导出模板时可能需要使用这两种格式, 因此,请记住您要报告的公告的格式.
下面是一个简单的查询,用于识别具有特定漏洞的主机, 以及一个还包括补救信息.
星期二补丁
SELECT
da.ip_address即ip_address;
da.host_name AS主机名;
dv.标题为漏洞;
dv.Riskscore为脆弱性风险评分,
dv.AS漏洞:
proofAsText (dv.AS 脆弱性 . description)
从fact_asset_脆弱性_finding favf
JOIN dim_asset da USING (asset_id)
JOIN dim_脆弱性 dv USING (脆弱性_id)
在dv.title ~* '(Microsoft CVE-2017-0175|Microsoft CVE-2017-0148)'
按轮(dv)排序.DESC riskscore);
注意WHERE子句中漏洞标题之间的'|'分隔符. 这允许您根据需要添加尽可能多的模式. WHERE子句中的“~*”是不区分大小写的正则表达式匹配操作符.
补丁星期二与补救
SELECT
da.ip_address即ip_address;
da.host_name AS主机名;
dv.标题为漏洞;
轮(dv.Riskscore)为脆弱性(脆弱性);
dv.AS漏洞:
ds.作为solution_summary,
proofAsText (ds.AS修复
从dim_asset_脆弱性_best_solution
JOIN dim_脆弱性 dv USING (脆弱性_id)
JOIN dim_asset da USING (asset_id)
JOIN dim_solution ds USING (solution_id)
在dv.title ~* '(Microsoft CVE-2017-0175|Microsoft CVE-2017-0148)'
按轮(dv)排序.DESC riskscore);
此查询类似于前一个查询,但还包括在主机上识别的漏洞的解决方案. 了解有关使用InsightVM/ expose数据模型进行报告的更多信息, 在这里查看文档: http://help.airportcarsonline.com/insightvm/en-us/#Files/Creating_reports_based_on_SQL_queries.html