管理和執行推薦掃描

掃描內容？

• 已安裝的應用程式
• Windows 登錄
• 開放埠口
• 目錄清單
• 檔案系統
• 正在執行的程序和服務
• 環境變數
• 使用者

掃瞄限制

• 建議掃描不包括以下內容：
  • Web 應用程式保護規則。
  • 大多數智慧規則除非它們解決重大安全威脅或特定弱點。智慧規則解決一個或多個（零日）弱點。Server & Workload Security保護 中的規則列表在 Type 欄中以 Smart 標識智慧規則。
  • 在 Windows 系統上，OpenSSL 由應用程式內部使用。只有在您明確安裝 OpenSSL 後，掃描器才能對其提出建議。
• 掃描器可能會為以下技術推薦不必要的規則：
  • Red Hat JBoss
  • Eclipse Jetty
  • Apache Struts
  • Oracle WebLogic
  • WebSphere
  • Oracle 應用測試套件
  • Oracle Golden Gate
  • Nginx
  • Adobe Flash Player 插件適用於 Chrome - 建議基於 Chrome 版本。
  • 內容管理系統 (CMS) 及任何 CMS 插件 - 對於具有 PHP 的 Web 伺服器，掃瞄建議所有與 CMS 相關的入侵防護規則。
• 在 Linux 系統上：
  • 如果網頁瀏覽器是唯一適用於 Java 相關弱點的途徑，掃描器不建議此類規則。
• 在 Unix 或 Linux 系統上：
  • 建議的掃瞄引擎可能無法偵測到未通過作業系統的預設套件管理器安裝的軟體。使用標準套件管理器安裝的應用程式則不會有這個問題。
  • 建議不包括桌面應用程式弱點或本地弱點的規則。例如，瀏覽器和媒體播放器。

執行推薦掃瞄

注意 您需要工作負載許可證才能運行推薦掃描。

• Scheduled task: 建立一個排程任務，根據您配置的排程執行建議掃描。您可以將排程任務指派給所有電腦、一台個別電腦、一個定義的電腦群組，或是受特定政策保護的所有電腦。請參閱 建立排程任務以定期執行建議掃描。
• Ongoing scans: 配置政策，使受該政策保護的所有電腦定期進行建議掃瞄。您也可以為個別電腦配置持續掃瞄。此類掃瞄會檢查上次掃瞄發生的時間，並等待配置的間隔時間進行掃瞄。這會導致建議掃瞄在您的環境中於不同時間發生。持續掃瞄在代理程式可能只會短暫或間歇性上線的環境中非常有用。例如，經常建立和撤銷實例的雲端環境。請參閱 配置持續掃瞄。
• Manual scans: 在一台或多台電腦上執行一次建議掃瞄。如果您最近對平台或應用程式進行了重大更改，並且希望強制檢查新建議而不是等待排程任務，手動掃瞄會很有用。請參閱 手動執行建議掃瞄。
• Command line: 使用 Server & Workload Security保護 命令列介面啟動推薦掃瞄。請參閱 命令列工具。
• API: 使用 Server & Workload Security保護 應用程式介面 (API) 啟動推薦掃瞄。請參閱 如何使用 Server & Workload Security保護 REST API。

注意 排程任務和進行中的掃描可以使用各自的設定獨立執行建議掃描。請使用排程任務或進行中的掃描，但不要同時使用兩者。

建立排程任務以定期執行推薦掃描

秘訣 對於大規模部署，請使用政策來執行所有操作，包括建議掃描。

1. 在 Server & Workload Security保護 控制台上，依次轉到 Administration → Scheduled Tasks。
2. 選擇 New → New Scheduled Task 以顯示新排程任務精靈。
3. 選擇Type → Scan Computers for Recommendations。
4. 選擇您希望掃瞄發生的頻率。
5. 點選下一步。
6. 根據您的選擇指定掃瞄頻率。
7. 點選下一步。
8. 選取要掃瞄的電腦。
9. 點選下一步。
10. 命名新的排程任務。
11. 選擇是否Run Task on Finish。
12. 點選Finish。

配置持續掃瞄

秘訣 對於大規模部署，請使用政策來執行所有操作，包括建議掃描。

1. 在 Server & Workload Security保護 主控台上，打開相應的編輯器：
   • 針對個人電腦防護。
   • 對於所有使用政策的電腦。
2. 點選設定。
3. 在General標籤下，於Recommendations中，使用Perform ongoing Recommendation Scans來啟用或關閉持續的推薦掃描。此設定可繼承。請參閱政策、繼承和覆蓋。
4. 使用Ongoing Scan Interval指定掃描的頻率。此設定是可繼承的。請參閱政策、繼承和覆蓋。

手動執行推薦掃瞄

1. 在 Server & Workload Security保護 主控台上，前往 Computers。
2. 選取您要掃瞄的電腦。
3. 點選 Actions → Scan for Recommendations。

取消推薦掃瞄

1. 在 Server & Workload Security保護 主控台上，前往 Computers。
2. 選擇您要取消掃描的電腦。
3. 點選 Actions → Cancel Recommendation Scan。

從推薦掃描中排除規則或應用程式類型

秘訣 對於大型部署，最好通過策略執行所有操作，包括建議掃描。

1. 在 Server & Workload Security保護 主控台上，打開相應的編輯器：
   • 針對個人電腦防護。
   • 對於所有使用政策的電腦。
2. 選擇您要排除的規則類型：
   • 入侵防護
   • 完整性監控
   • Log Inspection
3. 在General標籤上，選擇以下其中一項：
   • Assign/Unassign 的規則
   • Application Types 的應用程式類型
4. 雙擊您想要排除的規則或應用程式類型。
5. 點選選項標籤。
6. 請執行以下其中一項操作：
   • 對於規則，將Exclude from Recommendations設置為是或Inherited (Yes)。
   • 對於應用程式類型，選擇Exclude from Recommendations。

自動執行建議

秘訣 對於大型部署，請使用政策來執行所有操作，包括實施建議。

1. 在 Server & Workload Security保護 主控台上，打開相應的編輯器：
   • 針對個人電腦防護。
   • 對於所有使用政策的電腦。
2. 選擇您想要自動實施的類型：
   • 入侵防護
   • 完整性監控
   • Log Inspection
   您可以為每個保護模組獨立更改設定。
3. 在General標籤下，於Recommendations中，選擇是或Inherited (Yes)。

• 需要在應用之前進行配置的規則。
• 從建議掃描中排除的規則。
• 已自動指派或未指派，但使用者已覆蓋的規則。例如，如果 Server & Workload Security保護 自動指派一個規則，然後您將其未指派，則下一次建議掃瞄不會重新指派該規則。
• 在政策層級中分配於較高層級的規則無法在較低層級取消分配。分配給電腦防護的規則必須在政策層級取消分配。
• 趨勢科技已發佈的規則，但可能會產生誤報的風險。這在規則描述中有所說明。

檢查掃瞄結果並手動指派規則

1. 一旦建議掃瞄完成，請打開分配給您剛剛掃瞄的電腦的政策。
2. 前往Intrusion Prevention → General。未解決建議的數量（如果有的話）顯示在建議部分。
3. 點選Assign/Unassign以開啟規則分配視窗。
4. 顯示尚未分配的建議規則列表：
   1. 排序規則By Application Type。
   2. 選擇Recommended for Assignment。
      • 建議的規則具有矩形或完整的旗幟。
      • 三角形或部分旗幟 表示僅建議了部分應用程式類型的規則。
5. 要將單一規則指派給政策，請選擇規則名稱旁的方框。
   • 具有的規則有可供您設定的配置選項。
   • 具有 的規則在啟用規則之前，您必須先進行設定。
6. 要一次指派多個規則：
   1. 按住 Shift 或 Control 鍵以選擇規則。
   2. 右鍵點選選取項目。
   3. 點選Assign Rule(s)。

配置建議規則

某些規則需要在應用之前進行配置。例如，某些日誌檢查規則需要日誌文件的位置信息。如果是這種情況，會在提出建議的電腦上出現警報。警報的文本包含配置規則所需的信息。在策略或電腦編輯器中，帶有的規則需要在啟用規則之前進行配置。帶有的規則則有可選配置。

為常見弱點實施額外規則

疑難排解：建議掃瞄失敗

通訊

伺服器資源