创建 Nessus 插件扫描

所需的 OT Security 用户角色:管理员、主管

Nessus 插件扫描会根据用户定义的插件列表对 CIDR 和 IP 地址列表中指定的资产启动高级 Nessus 扫描。

OT Security 针对指定 CIDR 内的响应式资产执行扫描。但是,为了保护您的 OT 设备,OT Security 只会扫描给定范围内(非 PLC)已确认的网络资产。OT Security 会从扫描中排除端点类型的资产。

OT Security 4.1 版开始,可以使用以下选项创建新的扫描:

  • 执行全面测试:此选项允许 Nessus 执行详细的扫描,其中包含可能增加扫描时长但有助于发现深入细节(例如 JAR 文件或已安装的 Python 库)的插件。

  • 高详细等级处理:此选项可让扫描提供有关漏洞的额外详细信息,您可利用这些信息排查扫描结果中的问题。此选项还允许 Attack Path Analysis 利用 Nessus 扫描连接数据。

  • 网络超时(秒):Nessus 在从主机得到响应之前必须等待的最长时间。如果在速度较慢的主机上进行扫描,则可以增加秒数。默认值为 15 秒。

  • 每个主机的最大同时检查数量:Nessus 针对主机必须执行的最大检查数量。默认检查数量为 2。

  • 每次扫描的最大同时主机数量:Nessus 可同时扫描的最大主机数量。默认主机数量为 10。

用于授权扫描的 Nessus 扫描信息包括以下详细信息:

  • 上次成功的扫描

  • 上次扫描的时长

  • 上次成功的经身份验证的扫描

Nessus 扫描信息有助于您:

  • 了解已评估和未评估的资产。

  • 了解您的资产是否成为授权或无授权扫描的目标。

  • 执行扫描和漏洞管理方面的最佳实践。例如,对运行 Windows、Linux 的 IT 类型资产执行漏洞评估扫描。扫描(无论有无授权)有助于评估组织的攻击面在内部和外部暴露的程度。

OT Security 中的 Nessus 扫描使用与 Tenable NessusTenable Security CenterTenable Vulnerability Management 中的基本网络扫描相同的策略设置。唯一的差别是 OT Security 中的性能选项。以下是 OT Security 中用于 Nessus 扫描的性能选项。这些选项也适用于从“清单”>“所有资产”页面启动的“Nessus 基本扫描”。

  • 5 个可同时使用的主机(最多)

  • 每台主机可同时执行 2 次检查(最多)

  • 15 秒网络读取超时

注意Tenable Nessus 是最适合在 IT 环境中使用的侵入式工具。Tenable 建议不要在 OT 设备上使用 Tenable Nessus,因为它可能会干扰该等设备正常运作。

如要对任何一项资产运行基本的 Nessus 扫描,请参阅“执行特定于资产的 Tenable Nessus 扫描”。

创建 Nessus 插件扫描

若要创建 Nessus 插件扫描,请执行以下操作:

  1. 转至“主动查询”>“查询管理”。

    此时会出现“主动查询管理”页面。

  2. 转至“数据收集”>“主动查询”。

    此时会出现“主动查询管理”页面。

  3. 单击“Nessus 扫描”选项卡。

    此时会出现“Nessus 扫描”页面。

  4. 单击右上角的“创建扫描”。

    此时会显示“创建 Nessus 插件列表扫描”面板。

    注意:此图显示了用于创建新的 Nessus 扫描的默认值。如果您选择以默认值运行扫描,则扫描使用与之前的扫描相同的配置进行。

  5. 在“名称”框中,为 Nessus 扫描输入一个名称。

  6. 在“IP 范围”框中,为 IP 或 CIDR 输入范围。

  7. (可选)单击“全面测试”切换开关,以启用详细扫描。

    注意:“全面测试”选项包含可能会增加扫描时长的插件,但启用此选项有助于 Nessus 扫描发现深入细节,例如 JAR 文件或已安装的 Python 库。

  8. (可选)单击“更高详细等级”切换开关,以启用扫描并获取关于漏洞的额外详细信息。

    注意:启用“更高详细等级”可让扫描提供有关漏洞的额外详细信息,或有助于排查扫描结果中的问题。此选项还允许 Attack Path Analysis 利用 Nessus 扫描连接数据。

  9. 在“网络超时(秒)”框中,输入 Nessus 在从主机得到响应之前必须等待的最长时间。如果在速度较慢的主机上进行扫描,则可以增加秒数。默认超时值为 15 秒。

  10. 在“每个主机的最大同时检查数量”中,输入 Nessus 针对主机必须执行的最大检查数量。默认检查数量为 2。

  11. 在“每次扫描的最大同时主机数量”框中。输入 Nessus 可同时扫描的最大主机数量。默认主机数量为 10。

  12. 单击“下一步”。

    此时会出现“插件”窗格。

    注意OT Security 仅会列出特定于该设备的插件。必须使用最新的许可证才能接收新插件。如需更新许可证,请参阅更新许可证

  13. 在“插件系列名称”列中,选择要包含在扫描中的所需插件系列。在右列中,根据需要清除单个插件的复选框。

    注意:有关 Tenable Nessus 插件系列的更多信息,请参阅 https://zh-cn.tenable.com/plugins/nessus/families

  14. 单击“保存”。

    新的 Nessus 扫描会在“Nessus 扫描”页面中显示。

    注意:如要编辑或删除现有的 Tenable Nessus 扫描,右键单击所需的扫描行并选择“编辑”或“删除”。

运行 Nessus 插件扫描

若要运行 Nessus 插件扫描,请执行以下操作:

  1. 在“Nessus 扫描”页面上,执行下列操作之一:

    • 右键单击所需的扫描并选择“立即运行”。

    • 选择要运行的扫描,然后点击“操作” > “立即运行”。

    此时会出现“批准 Nessus 扫描”对话框。

  2. 如果您知道 OT 设备不在扫描范围内 ,请单击“仍然继续”。

    对话框关闭,OT Security 会保存扫描。

  3. 若要运行扫描,再次右键单击扫描行并选择“立即运行”。

    随后会再次出现“批准 Nessus 扫描”对话框。

  4. 单击“仍然继续”。

    OT Security 现在会运行扫描。您可以根据扫描的当前状态暂停/恢复、停止或终止扫描。