Для проведение сканирования методом “белого ящика” используется Модуль Audit.
В параметрах профиля нужно указать учетную запись, которой предоставлены права на выполнение команд для сбора данных об активе.
Для модуля созданы
стандартные профили:
- Checkpoint Management Server SSH Audit — для аудита систем информационной безопасности Check Point по протоколу SSH.
- Checkpoint OPSEC Audit — для аудита систем информационной безопасности Check Point через API OPSEC.
- Microsoft Active Directory Audit — для аудита ресурсов службы каталогов Microsoft Active Directory.
Для просмотра данных аудита, полученных в результате сканирования с профилями Microsoft Active Directory Audit или Windows DC Audit, необходимо создать динамическую группу активов по условию ActiveDirectory.- MSSQL Audit — для аудита СУБД Microsoft SQL Server.
- Oracle Audit — для аудита СУБД Oracle Database.
При использовании профиля Oracle Audit для снижения нагрузки на сервер рекомендуется очищать в сканируемой СУБД Oracle Database таблицу SYS.AUD$ (в пространстве SYSTEM) не реже чем раз в три месяца.- SNMP Network Device Audit — для аудита сетевых устройств по протоколу SNMP.
- SSH Cisco Audit in Enable Mode — для аудита сетевых устройств компании Cisco по протоколу SSH.
При проведении аудита с профилем SSH Cisco Audit in Enable Mode для повышения привилегий на активе (до уровня 15) нужно указать учетную запись типа «пароль» для выполнения команды enable и перехода в привилегированный режим EXEC.- SSH Network Device Audit — для аудита сетевых устройств по протоколам SSH.
- Unix Audit — для аудита ОС семейства Unix.
При проведении аудита ОС семейства Unix с профилем Unix Audit активы не будут обнаружены и добавлены, если в ОС используется ядро Linux версии 2.6.38 или ниже. Активы также не будут обнаружены и добавлены, если в ОС используется утилита dmidecode версии 2.8 или ниже.- vSphere Audit — для аудита платформ виртуализации VMware vSphere.
- Web API Audit — для аудита систем через веб-API. Например, систем Check Point, JetBrains TeamCity, JFrog Artifactory и Zabbix.
- Windows Audit — для аудита Windows.
Адаптивный контроль аномалий Kaspersky Endpoint Security блокирует возможность сбора данных механизмом WMI (например, в профиле Windows Audit). Для проведения аудита учетную запись, которая используется для доступа в ОС, требуется добавить в исключения правила адаптивного контроля аномалий «Запуск Windows PowerShell с помощью WMI».- Windows Audit Vulnerabilities Discovery — для сбора данных о приложениях и ОС, необходимых для поиска уязвимостей на узлах с Windows.
- Windows DC Audit — для сбора данных о ресурсах службы каталогов Microsoft Active Directory.
- Windows Updates Discovery — для обновления данных о приложениях и ОС, необходимых для поиска уязвимостей на узлах с Windows.
Настраивать параметры модуля вы можете при создании пользовательского профиля на базе стандартного или задачи на сбор данных. Для этого в панели с параметрами профиля в иерархическом списке нужно выбрать секцию параметров и настроить необходимые. Далее приводятся описания параметров в каждой секции.
В качестве примера я решил провести аудит профилем Windows Audit со стандартными настройками по умолчанию. В профиле необходимо указать учетную запись, обладающей всеми необходимыми разрешениями (согласно документации), для чтения информации на хосте.