警告
警告
在使用經典建議掃瞄時,請勿啟用 自動應用核心端點和工作負載規則
在經典的 推薦掃瞄 中,代理程式掃瞄以下內容:
  • 已安裝的應用程式
  • Windows 登錄
  • 開放的通訊埠
  • 目錄列表
  • 檔案系統
  • 執行中的程序和服務
  • 環境變數
  • 使用者

掃瞄限制

技術和邏輯限制可能導致某些類型的軟體出現不準確或缺失的建議。
  • 經典推薦掃描不包括以下內容:
    • 網路應用程式保護規則。
    • 大多數智能規則除非針對主要安全威脅或特定弱點。智能規則針對一個或多個(零日)弱點。在 伺服器與工作負載保護 中的規則列表識別具有 Smart 的智能規則,位於 Type 列中。
    • 在 Windows 系統上,應用程式內部使用 OpenSSL 規則。只有在您明確安裝 OpenSSL 時,掃描器才能對其提出建議。
  • 掃描器可能會為以下技術建議不必要的規則:
    • 紅帽 JBoss
    • Eclipse Jetty
    • Apache Struts
    • Oracle WebLogic
    • WebSphere
    • 甲骨文應用程式測試套件
    • 甲骨文金门
    • Nginx
    • Chrome 的 Adobe Flash Player 插件 - 建議基於 Chrome 版本。
    • 內容管理系統 (CMS) 及任何 CMS 插件 - 對於使用 PHP 的 Web 伺服器,掃瞄建議所有與 CMS 相關的入侵防護規則。
  • 在 Linux 系統上:
    • 如果網頁瀏覽器是唯一適用於Java相關弱點的途徑,則掃描器不建議使用此類規則。
  • 在 Unix 或 Linux 系統上:
    • 經典推薦的掃瞄引擎可能無法檢測未通過作業系統的預設套件管理器安裝的軟體。使用標準套件管理器安裝的應用程式則不會遇到此問題。
    • 建議不包括桌面應用程式弱點或本地弱點的規則。例如,瀏覽器和媒體播放器。
相關資訊

執行經典推薦掃瞄

定期執行建議掃瞄(最佳做法是每週一次),因為您環境的任何變化都可能影響規則建議。理想情況下,應在趨勢科技每週二發布新的入侵防護規則後,盡快安排建議掃瞄。經典建議掃瞄期間,系統資源的使用,包括中央處理單元(CPU)週期、記憶體和網路頻寬,會增加,因此應在非高峰時段安排掃瞄。在執行建議掃瞄後,所有有建議的電腦上會顯示警報。
注意
注意
您需要一個 Endpoint & Workload Security 授權才能執行建議掃描。
您可以使用以下任何方法執行建議掃描:

步驟

  • 建立排程任務,根據您配置的排程執行建議掃瞄。您可以將排程任務指派給所有電腦、單一電腦、定義的電腦群組,或是所有受特定政策保護的電腦。
    注意
    注意
    排程任務和持續掃描可以獨立運行經典建議掃描,並擁有各自的設定。請使用排程任務或持續掃描,但不要同時使用兩者。
  • 配置持續掃瞄政策,以定期掃瞄一組電腦以獲取建議。您也可以為個別電腦配置持續掃瞄。這種類型的掃瞄會檢查上次掃瞄發生的時間,並等待配置的間隔時間進行掃瞄。這會導致建議掃瞄在您的環境中於不同時間進行。持續掃瞄在代理可能短暫或間歇性上線的環境中非常有用。例如,經常建立和撤銷實例的雲端環境。
  • 在一台或多台電腦上手動執行單一建議掃瞄。如果您最近對平台或應用程式進行了重大更改,手動掃瞄將非常有用,因為這樣可以強制檢查新的建議,而不必等待排定的任務。
  • 使用伺服器與工作負載保護命令列介面 (CLI) 來啟動經典推薦掃瞄。請參閱命令列工具
  • 使用伺服器與工作負載保護應用程式介面(API)來啟動經典推薦掃瞄。請參閱如何使用伺服器與工作負載保護 REST API
最新建議掃瞄的結果顯示在入侵防護、完整性監控或日誌檢查保護模組的一般標籤上。

排程建議掃瞄

秘訣
秘訣
對於大型部署,使用政策執行傳統建議掃描。

步驟

  1. 伺服器與工作負載保護控制台中,前往Administration Scheduled Tasks
  2. 選擇 NewNew Scheduled Task 以顯示新的排程任務精靈。
  3. 選擇 TypeScan Computers for Recommendations
  4. 選擇您希望掃瞄發生的頻率,然後點擊 下一步
  5. 指定掃瞄頻率根據您的選擇,然後點擊 下一步
  6. 選擇要掃瞄的電腦,然後點擊 下一步
  7. 請為新的排程任務命名。
  8. 要立即執行掃瞄,請選擇 Run Task on Finish
  9. 按一下「完成」。
最新的建議掃瞄結果顯示在入侵防護、完整性監控或日誌檢查保護模組的一般標籤上。

配置持續建議掃瞄

秘訣
秘訣
對於大型部署,使用 政策 來執行 經典建議掃瞄

步驟

  1. 伺服器與工作負載保護控制台中,打開編輯器:
    • 對於個人 電腦防護
    • 對於所有使用 政策 的電腦。
  2. 按一下「設定」。
  3. General標籤下的Recommendations中,使用Perform ongoing Recommendation Scans來啟用或關閉正在進行的經典建議掃描。此設定是可繼承的。請參閱政策、繼承和覆蓋
  4. 使用 Ongoing Scan Interval 指定掃描的頻率。此設定是可繼承的。請參閱 政策、繼承和覆蓋
最新的建議掃瞄結果顯示在入侵防護、完整性監控或日誌檢查保護模組的一般標籤上。

手動執行經典建議掃瞄

步驟

  1. 伺服器與工作負載保護控制台中,前往Computers
  2. 選取您要掃瞄的電腦。
  3. 點擊 Actions Scan for Recommendations
最新的建議掃瞄結果顯示在入侵防護、完整性監控或日誌檢查保護模組的一般標籤上。

取消經典推薦掃瞄

您可以在經典推薦掃瞄開始運行之前取消它。

步驟

  1. 伺服器與工作負載保護 控制台中,前往 Computers
  2. 選擇您要取消掃描的電腦。
  3. 點擊 Actions Cancel Recommendation Scan

從經典建議掃描中排除規則或應用程式類型

對於無法訪問增強建議掃瞄的大型部署,創建政策以管理建議。政策從單一來源進行規則指派,而不需要在每台電腦上管理個別規則。因此,政策可能會將某些規則指派給不需要它們的電腦。
在政策中啟用建議掃描時,請為掃描 Windows 和 Linux 電腦使用單獨的政策,以避免將 Windows 規則指派給 Linux 電腦或反之亦然。

步驟

  1. 伺服器與工作負載保護控制台中,打開編輯器:
    • 對於個人 電腦防護
    • 對於所有使用 政策 的電腦。
  2. 選擇您想要排除的規則類型:
    • 入侵防護
    • 完整性監控
    • Log Inspection
  3. General標籤中,選擇以下其中一項:
    • Assign/Unassign 用於規則
    • Application Types 用於應用程式類型
  4. 雙擊您想要排除的規則或應用程式類型。
  5. 點擊選項標籤。
  6. 執行下列其中一項作業:
    • 對於規則,將 Exclude from Recommendations 設置為 Inherited (Yes)(請參見 政策、繼承和覆蓋)。
    • 對於應用程式類型,請選擇 Exclude from Recommendations

自動執行建議

您可以配置 伺服器與工作負載保護 自動執行 建議掃瞄 的結果,但以下規則除外:
  • 需要在應用之前進行配置的規則。
  • 排除在建議掃描中的規則。
  • 已自動指派或未指派的規則,但用戶已進行覆蓋。例如,如果 伺服器與工作負載保護 自動指派一個規則,然後您未指派它,則下一次建議掃瞄不會重新指派該規則。
  • 在政策層級中已分配的規則,無法在較低層級中取消分配。分配給電腦的規則必須在政策層級中取消分配。
  • 趨勢科技 發佈的規則,但可能會導致誤報的風險。這在規則描述中有說明。

步驟

  1. 伺服器與工作負載保護控制台中,打開編輯器:
    • 對於個人 電腦防護
    • 對於所有使用 政策 的電腦。
  2. 選擇您想要自動實施的類型:
    • 入侵防護
    • 完整性監控
    • Log Inspection
    您可以為每個保護模組獨立更改設定。
  3. General標籤下的Recommendations中,選擇以下其中一項:

手動指派規則

以下範例說明如何建立政策以處理 建議掃瞄 結果以進行入侵防護:

步驟

  1. 掃瞄完成後,打開分配給掃瞄電腦的政策。
  2. 前往 Intrusion Prevention General。任何未解決的建議將顯示在建議部分。
  3. 點擊 Assign/Unassign 以打開規則分配窗口。
  4. 排序推薦的未分配規則清單 By Application Type
  5. 選擇 Recommended for Assignment
    • 建議的規則具有矩形或完整的標誌recommended_rule=114f086b-5872-4ecd-a0a2-0548ca8efd22.png
    • 一個標誌 partially_recommended_rule=2d2059eb-bb2d-4d29-80f8-5f818f9dba86.png 表示僅建議了該應用程式類型的部分規則。
  6. 要將單一規則指派給政策,請選擇規則名稱旁邊的方框。
    • 具有 warning=dfb7f735-8b48-42ab-b0eb-604833e44f85.png 的規則需要您在啟用該規則之前進行配置。
      例如,一些日誌檢查規則需要日誌檔案的位置資訊。建議出現的電腦上會顯示一個警報。該警報的文本包含配置該規則所需的信息。
    • 具有 dpi_rules_option=84381749-8bce-4bd3-82d6-ae9e9804e843.png 的規則有您可以設定的配置選項。
  7. 一次指派多個規則:
    1. 選擇多個規則。
      • 要選擇相鄰的一組規則,請按住 Shift 鍵。
      • 要選擇分開的規則,請按住 Control 鍵。
    2. 右鍵點擊所選內容。
  8. 點擊 Assign Rule(s).

常見弱點的附加規則

建議掃描提供了一個建立您應該實施的規則列表的良好起點,但一些針對常見弱點的額外規則並未被建議掃描識別,因為這些規則必須在prevent(封鎖)模式下仔細配置和測試後才能實施。趨勢科技建議您配置和測試這些規則,然後在您的政策或個別電腦中手動啟用它們。
下表包含您應該配置的最常見附加規則。您可以在 伺服器與工作負載保護 中找到其他規則,通過搜索類型為 Smart政策 的規則。
規則名稱
應用程式類型
1007598 - 檢測到可能的勒索軟體檔案重新命名活動,透過網路共享
DCERPC 服務
1007596 - 在網路共享上識別到可能的勒索軟體檔案擴展名重命名活動
DCERPC 服務
1006906 - 已識別 PsExec 命令行工具的使用
DCERPC 服務
1007064 - 可執行檔案透過 SMB 共享上傳至 System32 資料夾
DCERPC 服務
1003222 - 封鎖管理共享
DCERPC 服務
1001126 - DNS 網域阻擋器
DNS 客戶端
1000608 - 通用 SQL 注入防護
請參閱配置 SQL 注入防護規則以獲取詳細資訊。
網頁應用程式通用
1005613 - 通用 SQL 注入防護 - 2
網頁應用程式通用
1000552 - 通用跨站腳本 (XSS) 防護
網頁應用程式通用
1006022 - 已識別可疑圖像,內嵌 PHP 代碼
網頁應用程式通用
1005402 - 在 HTTP 請求中識別到可疑的用戶代理
網頁應用程式通用
1005934 - 已識別可疑命令注入攻擊
網頁應用程式通用
1006823 - 已識別可疑命令注入攻擊 - 1
網頁應用程式通用
1005933 - 在 URI 查詢參數中識別到目錄遍歷序列
網頁應用程式通用
1006067 - 識別到過多使用特定 HTTP 方法的 HTTP 請求
Web 伺服器常見
1005434 - 禁止上傳 PHP 檔案
Web 伺服器常見
1003025 - Web 伺服器限制可執行檔案上傳
Web 伺服器常見
1007212 - 不允許上傳壓縮檔案
Web 伺服器常見
1007213 - 不允許上傳類別檔案
Web 伺服器常見

疑難排解經典建議掃瞄

以下提示可以幫助您排除 經典建議掃瞄 的故障: