前言
公司剛開始建設安全管理時,都是從一片混沌開始的,資源總是不夠的,我們每個做安全的人員,又要會滲透,又要抓制度,還得管理各種漏洞。在管理樓棟是,我相信大家都遇到過以下幾個問題:
- 漏洞提交太多,自己用表格管理不過來了
- 每個漏洞進度不同,自己忙著忙著可能就忘記記錄各個漏洞的進度
- 漏洞進度變更,自己還得手動通知漏洞提交人
- 也沒有一個好的漏洞提交激勵機制
以上都會阻礙我門更好的管理漏洞,我是深受其害,為了解決這個痛點網上找了好久,也試了好多漏洞管理工具,最後發現這款開源產品對漏洞的生命週期管理做得還是挺完善的,雖然有一些細節的小功能做得還是不到位,但是對我管理漏洞還是起到了很大的幫助,而且我也相信其他小功能,專案團隊也會很快的進行修復。
以下開始洞察這個開源軟體的使用教程和常見問題答疑,以及部分自定義的的小改動。
如何安裝
提示:
前提先安裝好docker-compose,如果未安裝,可以檢視這篇文件:pip安裝docker-compose
採用docker-compose 啟動mysql,redis,服務
(1) 使用Docker Compose
git clone https://github.com/creditease-sec/insight2_docker.git
cd insight2_docker
sudo docker-compose up
提示:
以上命令執行完後,會在視窗輸入日誌資訊,如果想要後臺執行,請修改最後一命令為sudo docker-compose up -d
(2) 系統登入
地址:http://localhost:8000
帳號:admin
密碼:admin!Aa2020
後臺地址:http://localhost:8000/#/admin
提示:
如果你是在其他機器上執行服務,在自己的電腦上訪問時,請把localhost改為服務執行的機器地址,並且保證機器的防火強已關閉。
(3) 版本更新
docker-compose pull && docker-compose up
or
sudo docker-compose pull && sudo docker-compose up
以上步驟採用的是專案預設配置,按照教程配置,就可以成功訪問洞察這個系統了。
常規使用
後臺配置
1. 配置Ldap認證
提示:暫時不需要AD認證的,可以跳過這步
開啟後臺管理頁面——>【設定】——>【認證】,點選【新增認證方式-LDAP】,需要說明兩點:
- 登入名屬性填寫:sAMAccountName
- 郵件屬性填寫:EmailAddress 或者 mail
注意:
郵箱這個欄位要看你們的AD中是否維護在這個欄位上的,有的可能就沒有維護。我遇到的問題是配置了這個欄位,但是AD賬戶登入時,這個郵箱地址沒有正常同步過來。
2. 配置全域性配置
開啟後臺管理頁面——>【設定】——>【全域性配置】:
- 站點地址:配置的是郵件或者其他通知方式裡的開啟這個平臺的域名或者地址,後邊郵箱通知漏洞進度,郵件裡會用到
- 全域性水印:這個配置後,頁面上顯示一串灰色的點(不是前端頁面問題)
3. 設定漏洞審批流程
開啟後臺管理頁面——>【設定】——>【漏洞審批流程】,這裡可以設定漏洞管理的流程,建議全選,進行完成的漏洞流程管理
4. 配置郵箱
開啟後臺管理頁面——>【設定】——>【郵箱配置】:
這裡按照對應的配置內容配置就可以了,建議這裡的【認證方式】配置為SSL。
這裡的【郵件頭】和【郵件簽名】我沒測試出來做什麼的,平時的漏洞郵件通知,也用不到這裡的配置。
5. 生成測試資料
為了檢視平臺的實際效果,可以點選【生成示例資料】,就會生出漏洞資訊、知識庫等模擬資料。
提示:
如果點選了【生成示例資料】,資料想要清零隻能自己手動清理,清理後貌似還是會統計資料痕跡,可能是我的操作不徹底吧,所以我就又重灌了一邊資料庫。
6. 後臺其他功能介紹
- 總覽: 資料統計大屏
- 漏洞: 可以在此新增漏洞,或者管理審批其他人員新增的漏洞(如果新增漏洞,需要先新增資產和應用)
- 資產: 在這裡新增公司的資產和資產上的應用(要先新增資產,再新增漏洞,否則加不上)
- 知識: 漏洞平臺的知識庫,新增的文件,可以在新增漏洞時,關聯這裡的文件,但是有一個問題,就是新增漏洞時沒有關聯文件,後期更改漏洞時,就無法再關聯了,這個應該是設計的問題,需要完善
- 使用者: 新增本地使用者,或者新增AD賬戶(AD賬戶應該是有問題的,我嘗試通過AD賬戶新增,發現沒有響應),裡邊還有角色和組,就是常用的許可權管理了,奇怪的是,組不能設定許可權,這又跟常見的許可權管理方式不一樣了,不知道怎麼考慮的
- 俗事: 積分管理,但是不夠完善
- 設定: 上邊介紹過了
- 文件: 平臺的介面文件,API的key在右上角賬戶名那裡生成
- 擴充套件: 暫時沒有使用到
前臺使用
1. 皮膚
資料大屏,沒什麼可說的。
2. 我的-待處理漏洞
處理屬於你的漏洞,支援匯出
3. 我的-已完成漏洞
這裡存放你已經完成的漏洞。
這裡最最最坑的地方就是:作為普通使用者提交漏洞竟然深藏在這個頁面下,剛開始找了好久,以為普通使用者沒有提交漏洞的功能呢。
4. 知識
漏洞平臺的文件中心
5. 積分
積分排行榜,目前尚不夠完善,但是可以做個積分記錄。
簡單的定製化修改
1. 修改平臺的web埠為80
修改/實際存放路徑/insight2_docker目錄下的docker-compose.yml檔案,修改為以下內容:
front:
image: "crediteaseitsec/insight2_front"
restart: always
ports:
- "80:80"
就是把原來的8000:80改為80:80,如果你是已經跑起來的服務,你需要重新應用修改過的docker-compose.yml,
命令是:docker-compose up -d 作用是建立與啟動容器,會重建有變化的伺服器(刪掉以前建立的容器)
2. 修改郵件的預設簽名
進入到後端的docker容器中,命令:
# 檢視在執行的docker列表
docker ps
# 找到NAMES為insight2_docker_backend_1的CONTAINER ID,並記錄
# 進入這個容器,xxxx為剛才記錄的CONTAINER ID
docker exec -it xxxxx /bin/bash
# 修改檔案 /app/insight2/template/alert.html
郵件預設簽名在文件的最底部,改成你要的樣式就可以了
修改完後,重啟一下這個後端容器,命令:docker restart xxxxx xxxx為對應的CONTAINER ID
3. 增加預設漏洞型別等
同上邊一行,進入到docker容器中,預設配置路徑在檔案/app/insight2/logic/define.py裡,增加完後,記得重啟重啟。
提示: 修改為,瀏覽器開啟可能還是沒有變化,那就需要強制重新整理一下瀏覽器,清理快取就好了。
總結
作為一個沒有開發能力的安全團隊,針對漏洞的生命週期管理,基本功能是能夠滿足需求的,要是想要和其他系統聯動,就需要有介面對接開發的能力了。
專案地址:https://github.com/creditease-sec/insight2
歡迎大家新增我微信,跟我交流日常安全的運營管理
本文首發於BigYoung小站