withseucretm elements vulnerability management

WithSecureTM Elements Vulnerability Management

User Guide

Contenido

Capítulo 1: Introducción.................................................................................51.1 Conceptos y componentes principales..............................................................................................................6

1.2 los Elements Vulnerability Management portal.................................................................................................7

1.3 Iniciar sesión.......................................................................................................................................................8

1.4 Tablero...............................................................................................................................................................8

1.4.1 Personalización del tablero.................................................................................................................8

1.5 Mi perfil..............................................................................................................................................................9

1.6 Utilizar filtros......................................................................................................................................................9

1.7 Guía interactiva.................................................................................................................................................10

1.8 Soporte.............................................................................................................................................................10

Capítulo 2: Implementación..........................................................................112.1 Instalación de nodos de análisis (Windows)......................................................................................................12

2.1.1 Pasos de instalación............................................................................................................................12

2.1.2 Verificar la instalación........................................................................................................................12

2.1.3 Configurar nodos de análisis..............................................................................................................13

2.1.4 Resolución de problemas relacionados con los nodos de análisis....................................................14

2.1.5 Utilizar nodos de análisis en un entorno fuera de línea.....................................................................15

2.1.6 Desinstalar nodos de análisis.............................................................................................................17

2.2 Instalación de nodos de exploración de máquinas virtuales de WithSecure Elements (Linux)........................18

2.2.1 Pasos de instalación...........................................................................................................................18

2.2.2 Verificar la instalación del nodo de análisis de Linux........................................................................20

2.2.3 Rutas de nodo de análisis de Linux...................................................................................................20

2.2.4 Configurar los nodos de análisis de Linux........................................................................................20

2.2.5 Aplicar la licencia del nodo de análisis manualmente.......................................................................21

2.2.6 Configurar claves de cifrado para el análisis autenticado.................................................................21

2.2.7 Configurar la comunicación para Elements Vulnerability Management alojado de forma

privada................................................................................................................................................22

2.2.8 Redireccionar el tráfico a un servidor proxy.....................................................................................22

2.2.9 Deshabilitar la validación del certificado SSL....................................................................................22

2.2.10 Instalar un certificado de CA local...................................................................................................23

2.2.11 Limitar la cantidad máxima de análisis simultáneos.........................................................................23

2.2.12 Actualizar los motores de análisis manualmente.............................................................................23

2.2.13 Restablecer motores de análisis......................................................................................................23

2.2.14 Desinstalar nodos de análisis..........................................................................................................24

2.3 Instalación de WithSecure Elements Agent con funciones de máquina virtual...............................................24

2.3.1 Parámetros de línea de comando......................................................................................................25

Capítulo 3: Análisis......................................................................................273.1 Análisis de detección........................................................................................................................................28

TOC |WithSecureTM Elements Vulnerability Management

3.1.1 Agregar un análisis de detección.......................................................................................................28

3.1.2 Configurar plantillas de análisis de detección...................................................................................28

3.1.3 Ejecutar un análisis de detección......................................................................................................29

3.1.4 Ver los resultados del análisis de detección.....................................................................................30

3.2 Análisis de red..................................................................................................................................................30

3.2.1 Editar grupos de análisis....................................................................................................................31

3.2.2 Ejecución de análisis de vulnerabilidades de la red...........................................................................31

3.2.3 Ver los resultados del análisis............................................................................................................32

3.2.4 Análisis del sistema...........................................................................................................................33

3.2.5 Análisis web.......................................................................................................................................35

3.3 Buscar sistemas conectados a Internet............................................................................................................38

3.4 Activación del análisis de WithSecure Elements Agent en dispositivos...........................................................38

3.4.1 Cambiar la frecuencia de las actualizaciones de estado de los puntos de conexión........................39

3.5 Análisis autenticado.........................................................................................................................................39

3.5.1 Análisis autenticado de Windows (WinRM).......................................................................................39

3.5.2 Análisis autenticado de Windows (RPC)............................................................................................45

3.5.3 Análisis autenticado de Linux...........................................................................................................50

Capítulo 4: Generación de informes..............................................................554.1 Creación de informes.......................................................................................................................................56

4.2 Edición de la configuración de un informe existente......................................................................................57

4.3 Clonar un informe existente............................................................................................................................57

4.4 Actualización del contenido de los informes existentes.................................................................................57

4.5 Eliminar informes.............................................................................................................................................58

Capítulo 5: Gestión.......................................................................................595.1 Vulnerabilidades..............................................................................................................................................60

5.1.1 Ver solicitudes...................................................................................................................................60

5.1.2 Crear una solicitud............................................................................................................................60

5.1.3 Agregar una vulnerabilidad a una solicitud existente........................................................................61

5.2 Activos..............................................................................................................................................................61

5.2.1 Visualizar los activos..........................................................................................................................61

5.2.2 Gestionar atributos de activos..........................................................................................................62

5.2.3 Administrar etiquetas de activos......................................................................................................63

5.2.4 Actualizar las notas...........................................................................................................................63

5.2.5 Eliminar activos.................................................................................................................................63

5.2.6 Eliminar activos archivados..............................................................................................................64

5.3 Nodos de análisis.............................................................................................................................................64

5.3.1 Agregar nuevos nodos de análisis....................................................................................................64

5.4 Usuarios...........................................................................................................................................................65

5.5 Configuración..................................................................................................................................................65

Capítulo 6: API de Elements Vulnerability Management................................686.1 Autenticación..................................................................................................................................................70

6.2 Caso de uso: Recuperar información del producto.........................................................................................70

6.3 Caso de uso: Buscar vulnerabilidades..............................................................................................................70

WithSecureTM Elements Vulnerability Management | TOC

6.4 Caso de uso: Exportar los resultados del análisis del sistema con formato XML.............................................70

6.5 Caso de uso: Exportar los resultados del análisis del sistema...........................................................................71

6.6 Caso de uso: Exportar los resultados del análisis web.....................................................................................72

6.7 Caso de uso: Buscar hosts detectados.............................................................................................................72

6.8 Caso de uso: Rastrear activos provenientes de una fuente personalizada (por ejemplo, Active

Directory)........................................................................................................................................................73

Capítulo 7: Descripción de seguridad............................................................75

Apéndice A: Archivo....................................................................................80A.1 Instalando el Radar Security Center.................................................................................................................81

A.1.1 Requisitos previos.............................................................................................................................81

A.1.2 Instalación y actualización del Radar Security Center......................................................................83

A.1.3 Verificar la instalación......................................................................................................................84

TOC |WithSecureTM Elements Vulnerability Management

Capítulo

1Introducción

ConSeguridadElementsVulnerabilityManagement lepermite ejecutar escaneosde puertos y detección de redes, escaneos de vulnerabilidades de plataformasy servicios, escaneos de agentes de punto final y escaneos de aplicaciones web.

Temas:

• Conceptos y componentesprincipales

El análisis devulnerabilidadesexternas secentraen los sistemasy la infraestructuraexpuestos a Internet o una serie de redes. Inevitablemente, esto revelará

• los Elements VulnerabilityManagement portal vulnerabilidades que van desde configuraciones de servidor defectuosas y

problemas de diseño de red hasta errores de software y puertas traseras.• Iniciar sesión

• Tablero

• Mi perfil

• Utilizar filtros

• Guía interactiva

• Soporte

1.1 Conceptos y componentes principales

Esta seccióndescribe algunosde los conceptos y componentes clavedeWithSecureElementsVulnerabilityManagementa los que se hace referencia a lo largo de esta documentación.

ElementsVulnerabilityManagementmantieneun inventariode todos los activos, comoservidores,computadoras, impresoras, enrutadores, dispositivos IoT, etc.dentro de su entorno de red,

Activos

descubierto por Elements Vulnerability Management durante la exploración de Discovery o unared, así como la exploración de vulnerabilidades basada en agentes. El escaneo Discovery mapeatoda su red y todos sus activos.

Además del análisis regular basado en red, donde se analizan los puertos del host y se revisan losservicios expuestos en busca de fallas, también puede ejecutar un análisis del sistema en modo

Análisisautenticado

autenticado, loque lepermite autenticar el host dedestino. El análisis autenticadoayuda aeliminarposibles falsos positivos y verificar los niveles de parches y otras configuraciones incorrectas.

El análisis de detección es un proceso de análisis relativamente simple, pero que puedemarcar unagran diferencia para su flujo de trabajo. Lo ayuda a identificar todos los sistemas y sus puertos

Análisis dedetección

(servicios) expuestos dentrode la red. El análisis dedetecciónde red crea un informequeenumeratodos los objetivos analizados con todos los servicios detectados. Una vez que se han encontradotodos los sistemas en una red, se pueden transferir fácilmente a un grupo de análisis para realizarun análisis de vulnerabilidades. Los resultados del análisis siempre se comparan con el análisisanterior, lo que facilita la deteccióndecambios en su red. Para admitir esta función, tambiénpuedeconfigurarnotificacionespor correoelectrónico, porejemplo, cuandosehayanencontradonuevoshosts.

Él Elements Vulnerability Management El portal es el componente central de todoWithSecure.Elements Vulnerability Management solución. Es una interfaz basada en web donde

los ElementsVulnerability

puedeadministrar activos, iniciar ydetener análisis, buscar vulnerabilidades, crear informesymuchomás.

Managementportal

El descubrimiento de Internet le permite recopilar datos en sistemas públicos mediante rastreo ymapeo de puertos. Puede usar esto para encontrar los sistemas conectados a Internet de suorganización y agregarlos a grupos de análisis para el análisis de vulnerabilidades de la red.

Detección deInternet

La vulnerabilidad de la red analiza los sistemas de prueba o las aplicaciones web dentro de su redenbuscadevulnerabilidadesquepodríanexplotarseenunataquecibernético.ElementsVulnerability

Análisis de red

Management incluyedos tipos separadosdeanálisis de vulnerabilidadesde red: análisis del sistemay análisis web.

WithSecure Elements Agent con capacidades de VM es una aplicación de cliente de Windows queproporcionaunenfoqueadicional para realizar exploracionesdevulnerabilidadesen losdispositivosde su red.

Elements Agentcon funciones demáquina virtual

El uso de Elements Agent con capacidades de máquina virtual para realizar análisis devulnerabilidades tiene ciertas ventajas. Por ejemplo, es posible que algunos dispositivos se utilicenprincipalmente fuera de la oficina, por lo que existe el riesgo de que no estén conectados a la redcuando se ejecutan análisis de vulnerabilidad programados. Un Elements Agent con capacidadesde VM le permite monitorear estos dispositivos incluso cuando no están en las instalaciones de laoficina. Además, esto proporciona una escalabilidad y un rendimientomejorados en comparacióncon el uso exclusivo de un nodo de exploración dedicado para manejar toda la actividad deexploración.

Los ElementsAgents con capacidades deVMtambiénbrindandatosmás consistentes enentornosque usan direcciones IP que cambian dinámicamente. Como los agentes están vinculados adispositivosespecíficosen lugardeaunadirección IP, lanotificaciónycorreccióndevulnerabilidadeses muchomás sencilla. Esto también le permite recopilar detalles sobre los dispositivos, comohardware y software, más fácilmente.

En Elements VulnerabilityManagement, todos los objetivos de exploración de vulnerabilidades dela red se almacenan en contenedores lógicos denominados grupos de exploración. Cada grupode análisis puede contener tanto análisis del sistema como análisis web.

Gruposdeanálisis

A nodo de escaneo es un servidor con una aplicación Scan Node Agent instalada. Esta aplicaciónmantiene hasta tresmotores de escaneo diferentes (descubrimiento,sistema, y escaneoweb) y los

Nodo de análisis

6 | Introducción

utiliza para ejecutar escaneos configuradosenel ElementsVulnerabilityManagementportal. Puedeadjuntar un número ilimitado de nodos de escaneo al Elements Vulnerability Management portal.Esposiblequenecesite variosnodosdeescaneosi tienevarios segmentosde redonecesitapotenciade escaneo adicional.

El análisis del sistema es un análisis de vulnerabilidades basado en la red que puede examinarcualquier sistema con una dirección IP en busca de vulnerabilidades comunes. La detección de

Análisis delsistema

vulnerabilidades del análisis del sistema se basa en comprobaciones de vulnerabilidades activas ypasivas. Por ejemplo, intentará identificar el servicio (producto) y su número de versión. Una vezque se identifica, el análisis del sistema verifica si ese software en particular tiene algunavulnerabilidadconocida.Ademásdel análisis pasivobasadoen la capturadelnombrede la aplicación,los análisis del sistema también ejecutan comprobaciones activas en un intento de confirmar laexistencia de ciertas vulnerabilidades o configuraciones erróneas del sistema. También puedeidentificar parches de seguridad faltantes y software desactualizado si se habilitó la opción Análisisautenticado.

Nota: El análisis del sistemanoes disruptivo y está diseñadopara nogenerar condicionesde denegación de servicio en sus sistemas.

Las plantillas de análisis le permiten crear fácilmente varios análisis, cada uno de los cuales puedeaplicarse a un escenario específico o una parte de su red, pero comparten una serie de

Plantillas deanálisis

configuraciones. Puede crear plantillas para cada tipo de análisis (análisis de detección, análisis delsistema y análisis web), así como plantillas de programación que se pueden aplicar a cualquieranálisis.

El análisis web le permite analizar y probar aplicaciones web. Puede utilizar análisis web durante eldesarrollodenuevasaplicacionescomopartedel ciclodevidadeldesarrollo. Estodacomoresultado

Análisis web

la posibilidad de descubrir vulnerabilidades con mayor rapidez, lo que reduce significativamenteel costoy la cantidadde recursosnecesariosparamitigar las vulnerabilidadesenunaetapaposterior,ya que los problemas de seguridad se detectan muy temprano en el proceso. El análisis web seconsidera una función de análisis adicional que se puede aplicar sobre un análisis del sistemaexistente. En otras palabras, se recomienda que siempre que examine un objetivo con un análisisweb, también deba examinarse con un análisis del sistema.

1.2 los Elements Vulnerability Management portal

Él Elements Vulnerability Management El portal es el componente central de todo WithSecure.Elements VulnerabilityManagement solución.

El Elements Vulnerability Management portal es una interfaz basada en web donde puede administrar activos, iniciar ydetener análisis, explorar vulnerabilidades, crear informes y muchomás.

Puede desplegar el Elements Vulnerability Management portal al tener la solución configurada en la nube, alojada porWithSecure Cyber Security Services.

WithSecureTM Elements Vulnerability Management | 7

ConSeguridad Elements Vulnerability Management servicio de almacenamiento en la nube:

1.3 Iniciar sesión

Instrucciones sobre cómo iniciar sesión en el Elements Security Center.

Inicie sesión en su cuenta de la siguiente manera:

1. Abra el siguiente enlace en el navegador web: https://elements.f-secure.com/El Iniciar sesión se abre la página.

2. Introduzca su nombre de usuario y contraseña, y seleccione Iniciar sesión.

Nota: Le recomendamos que utilice su dirección de correo electrónico como nombre de usuario. Si olvidasu contraseña, puede solicitar una nuevamediante el enlace ¿Olvidó su contraseña?. Las instrucciones pararestablecer su contraseña se envían a su dirección de correo electrónico.

El portal se abre. Puede alternar entre los servicios usando el menú de navegación en la barra lateral.

1.4 Tablero

Independientemente de su función (administrador, propietario del sistema, desarrollador u otro), puede personalizar elTablero demandos página y sus widgets para que se adapte a sus necesidades.

1.4.1 Personalización del tablero

Puede personalizar el Tablero demandos para adaptarse a sus necesidades específicas.

Puede agregar cualquier cantidad de widgets, cambiar su tamaño y colocarlos exactamente donde desee.

Para personalizar el panel:

1. Haga clic en el botón de menú y seleccioneAgregar nuevo widget.

2. Edite la nueva configuración del widget.

a) Escriba un nombre para el widget.

b) Seleccione Tabla,Anillo,Circulo,Histograma o Indicador como tipo de widget.

8 | Introducción

https://elements.f-secure.com/

c) Seleccione el tamaño y la posición del nuevo widget.

d) Seleccione las opciones de datos para el widget.

Las opciones disponibles varían según el tipo de widget que seleccionó.

3. Haga clic en Guardar para agregar el nuevo widget.El nuevo widget aparece en la Tablero demandos.

4. Arrastre el widget para cambiar su ubicación y tamaño en el Tablero demandos.

Cada widget también tiene un conjunto de botones de control en su esquina superior derecha para editar, clonar oeliminar el widget.

1.5 Mi perfil

Puede personalizar la configuración de su perfil en la páginaMi perfil.

Haga clic en el ícono de usuario en la esquina superior derecha de la página y seleccioneMi perfil para editar su perfil.

Debería comprobar al menos lo siguiente:

• Asegúresedequesusdatospersonales, comonombreyapellido,númerode teléfonoycorreoelectrónicodecontacto,sean correctos. Debe comunicarse con su administrador si necesita cambiar su dirección de correo electrónico.

• Notificación: De forma predeterminada, está configurado para Envía cada notificación al instante. Por ejemplo,si configuró las notificaciones por correo electrónico para que se envíen cada vez que comience y finalice un análisisde detección, recibirá 20 correos electrónicos. Para evitar grandes cantidades de correos electrónicos, cambie lafrecuencia de los correos electrónicos a una vez por hora, una vez por día o una vez por semana.

• Zona horaria: Define qué zona horaria se utiliza para mostrar fechas y horas.

• Idioma: Seleccione el idioma utilizado en el Elements Vulnerability Management portal.

• Configuración de seguridad: haga clic en Cambia la contraseña o configura la verificación en dos pasos paracambiar la configuración de seguridad de su cuenta WithSecure Business. Si el administrador de su cuenta aún no haaplicado la autenticacióndedos factoresa todos losusuarios,puedehabilitarlaustedmismoparaaumentar la seguridad.

Nota: La autenticación de dos factores es compatible con Google Authenticator, Microsoft Authenticatory cualquier otra aplicación de autenticaciónmóvil que admita el algoritmo TOTP (Contraseña de un solo usobasada en el tiempo).

1.6 Utilizar filtros

Algunas de las páginas y secciones de Elements Vulnerability Management tienen una opción de filtro para ayudarlo aver los datos que son más relevantes para usted.

En cualquiera de las páginas donde vea la sección Filtrar:

1. Abra Filtrar.

Si un filtro ya está en uso:

• Haga clic en Borrar filtro para restablecer el filtro aplicado actualmente.

• Seleccione Seleccionar filtro >Nuevo filtro para crear uno nuevo.

• Haga clic en Seleccionar filtro y elija un filtro previamente guardado.

2. Seleccione las opciones que desea utilizar en su filtro.

Las opciones disponibles varían según la página en la que se encuentra y los datos que se muestran.

3. Haga clic enAplicar.

4. Si desea guardar el filtro para futuros usos:

a) Haga clic en Guardar.

b) Introduzca un nombre para el filtro.

c) Haga clic en Guardar y aplicar.


1.7 Guía interactiva

los WithSecure Elements Endpoint Protection El portal contiene una guía interactiva que muestra cómo usar el portal einforma sobre las nuevas funciones.

Después de iniciar sesión en el portal por primera vez, le recomendamos encarecidamente que vea el recorrido deintroducciónque se abre. Para abrir la ventanadeguía interactivamás tarde, seleccioneel iconodel signode interrogaciónen la barra de acciones.

Cuando abre cualquier página en el portal, es posible que se abra una ventana emergente que explica las funciones másrecientes del portal que se han agregado. Para volver a abrir la ventana emergente más tarde, seleccione el enlaceNovedades en la parte superior de la página del Panel. Este enlace desaparece después de un par de semanas.

Nota: Si la guía interactiva no se abre, permita cookies de terceros o agregue https://elements.withsecure.coma la lista de excepciones de cookies en su navegador.

1.8 Soporte

La sección Soporte en el portal de Elements VulnerabilityManagement lemuestra las opciones disponibles de asistenciapara usar Elements Vulnerability Management.

Contactar Elements VulnerabilityManagement apoyo, vaya a la Página de soporte deWithSecure y complete los detallesde su problema. Nuestro personal de soporte se pondrá en contacto con usted lo antes posible.

Tambiénpuedehacerclicen los íconosde informaciónsobreherramientas ( )dentrodelportal deElementsVulnerabilityManagement para obtener más información sobre funciones o campos específicos.

https://elements.withsecure.com/

https://www.withsecure.com/en/support

Capítulo

2Implementación

Esta sección describe los pasos de implementación necesarios para WithSecureElements Vulnerability Management.

Temas:

• Instalación de nodos de análisis(Windows) • Si está utilizando el Elements Vulnerability Management alojado por

WithSecure, los únicos componentesquepuedequerer instalar sonElements• Instalación de nodos de exploración

demáquinas virtuales deWithSecureElements (Linux)

VM ScanNodes para escanear redes internas yWithSecure Elements Agentscon capacidades de VM para la gestión continua de vulnerabilidades en susterminales.

• Instalación de WithSecure ElementsAgent con funciones de máquinavirtual

• Si está utilizando el producto como una solución alojada de forma privada,tambiéndebe instalar el Radar SecurityCenter. Consulte el tema relacionadosobre la instalación del Radar Security Center.

Conceptos relacionados

Instalando el Radar Security Center en la página81El Radar SecurityCenter es la interfazbasadaenwebpara administrar todoslos escaneos, vulnerabilidades y los nodos de escaneo conectados a ella.

2.1 Instalación de nodos de análisis (Windows)

Los nodos de escaneo se utilizan para realizar el descubrimiento real y los escaneos de vulnerabilidad de la red.

Un nodo de análisis se puede instalar con uno omás de los siguientes motores de análisis:

• El análisis de detección es un motor de análisis de puertos y detección de red.

• El análisis del sistema puede analizar direcciones IP en busca de vulnerabilidades conocidas.

• El análisis está diseñado para analizar aplicaciones web personalizadas en busca de vulnerabilidades.

Requisitos del nodo de análisis (Windows)

• Windows Server 2012 R2 o más reciente

• Microsoft .NET Framework: recomendado 4.8 (se requiere la versión mínima 4.7.2)•

• Microsoft .NET Core 2.2

• npcap

• Microsoft Visual C++ 2013 Redistributable Package (x86) (Nota: Debe ser la versión 2013 x86)

• Se requiere un usuario local o de Active Directory con derechos de administrador durante la instalación

• Hardware

• Memoria RAMmínima de 4 GB (recomendado: 8 GB omás)•

• Procesador mínimo de 2 GHz

• Espacio en disco mínimo de 30 GB

• Acceso de la red a

• https://updates.radar.f-secure.com/, https://gateway.radar.f-secure.com/, yhttps://updates-api.radar.f-secure.com (Servicio de actualización de radar)

•

• https://api.radar.f-secure.com (Elements Vulnerability Management API)

• Si está utilizando un servidor proxy, debe habilitar los siguientes métodos de solicitud HTTP:GET,HEAD y POSThacia los servicios web mencionados

Nota: El softwareantiviruspuedereconocer losanálisisdevulnerabilidadescomoactividadmaliciosaybloquearlos.Si el software antivirus está instalado en el nodo de análisis, le recomendamos que incluya en la lista blanca todoel directorio de instalación del nodo de análisis. Los análisis antivirus programados también pueden interferircon el rendimiento de los análisis de Elements Vulnerability Management y provocar su finalización prematura.

2.1.1 Pasos de instalación

Nota: Paraobtener información sobre cómoobtener el archivode licencia que senecesita durante la instalación,consulte Agregar nuevos nodos de análisis en la página64 .

1. Descargue el paquete de instalación del nodo de análisis y el archivo de licencia del nodo de análisis:

a) En el portal de Elements VulnerabilityManagement, vaya a la páginaNodosde análisis y seleccioneNuevonodode análisis.

b) Seleccione Solicitar un nuevo nodo de escaneo > próximo.

c) Ingrese un nombre y una descripción para el nodo de análisis y luego seleccione Solicitar.La página resultante incluye el enlace de descarga e instrucciones básicas. La información de licencia incluida enel paquete de instalación es válida durante 14 días.

2. Ejecute el instalador del nodo de análisis (ejecutable) y siga los pasos del asistente de instalación.

El asistente de instalación comprueba que estén instalados todos los requisitos previos e instala el software que falta,si es necesario.

3. Una vez que finaliza la instalación, asegúrese de que todo funcione según lo previsto.

2.1.2 Verificar la instalación

1. Verifique que el servicio de Windows Agente de F-Secure Radar está instalado y funcionando.

Puede usar el administrador de tareas o los servicios de Windows para verificar si el servicio se está ejecutando.

12 | Implementación

https://dotnet.microsoft.com/download/dotnet-framework/thank-you/net48-offline-installer

https://dotnet.microsoft.com/download/thank-you/dotnet-runtime-2.2.3-windows-x64-installer

https://nmap.org/npcap/

https://www.microsoft.com/en-us/download/details.aspx?id=40784

https://updates.radar.f-secure.com/

https://gateway.radar.f-secure.com/

https://updates-api.radar.f-secure.com

https://api.radar.f-secure.com/

2. Abra Radar Scan Node - Control Center y verifique que el agente del nodo de análisis esté activo.

Scan Node Agent debe activarse unos minutos después de su primera ejecución.

3. Verifique que los motores de análisis y los complementos se puedan descargar.

Después de la instalación, espere de 5 a 10minutos para queRadar.Scan.Daemon descargue todos los binarios.Una vez completada la descarga, debería ver las siguientes carpetas:

• [drive]:\Program Files (x86)\F-Secure\RadarScanAgent\binaries_ds• [drive]:\Program Files (x86)\F-Secure\RadarScanAgent\binaries_ws• [drive]:\Program Files (x86)\F-Secure\RadarScanAgent\binaries_ss

Nota: Si se desactiva un módulo del motor de análisis, no se descargarán los binarios.

4. Verifique que el nodo de escaneo pueda conectarse al Elements Security Center:

a) Inicie sesión en el portal de Elements Vulnerability Management.

b) Vaya a la páginaNodos de análisis.

Siempre debe pasar menos de 1 minuto desde que el nodo de escaneo intentó conectarse al Elements SecurityCenter. Si Ultima vez visto es más largo, consulte la sección de solución de problemas.

5. Revise los archivos de registro en [drive]:\Program Files(x86)\F-Secure\RadarScanAgent\logs para ver otros errores.

6. Ejecute algunos análisis de prueba.

Por ejemplo:

a) Ejecute un análisis de detección con el modo de detección de host.

b) Ejecute un análisis del sistema con un rango de puertos limitado (por ejemplo, TCP/80,443).

c) Ejecute un análisis web con la opción Ejecutar ataques deshabilitada.

2.1.3 Configurar nodos de análisis

Los nodos de análisis se pueden configurar a través de la aplicación del centro de control.

1. Busque el directorio de instalación del nodo de análisis (p. ej. [drive]:\Program Files(x86)\F-Secure\RadarScanAgent\).

2. Inicie la aplicación del centro de control FSRadarAgent.Tray.exe.

3. Vaya a la pestaña Configuración para encontrar todas las opciones de configuración.

Las opciones de configuración más importantes son:

DescripciónValor(recomendado)

NombreID

La frecuencia con laqueel nododeanálisis debebuscar actualizacionesenmilisegundos. El valorpredeterminado es cada 4 horas.

14400000SCANNODE.ModuleLoopInterval

4

Define cuáles son los motores de análisis queestán habilitados en el nodo de análisis.

VerdaderoModule.{ScanEngineName}.Enabled

10-12

El identificador único para cada módulo delmotor de análisis.

Los Id. se utilizan cuando se agregan nuevosnodos de análisis al portal de ElementsVulnerability Management.

GUIDModule.{ScanEngineName}.ScanNodeId

13-15


DescripciónValor(recomendado)

NombreID

Estos valores controlan la cantidad máxima deanálisis simultáneos que el nodo de análisispuede ejecutar.

Valores demasiado altos pueden hacer que sepasen por alto puertos abiertos durante elanálisis de puertos.

DiscoveryScan:10

SystemScan: 30

WebScan: 5

Module.{ScanEngineName}.MaxSimultaneousScans

19-21

Omita la validación del certificado mientras seconecta al servicio de actualización de gestiónde vulnerabilidades de Elements.

FalsoCommunication.WebSerivce.Updates.SkipSSLCertificateValidation

127

Omita la validación del certificado mientras seconecta al portal de Elements VulnerabilityManagement.

FalsoCommunication.WebSerivce.SecurityCentre.SkipSSLCertificateValidation

128

2.1.4 Resolución de problemas relacionados con los nodos de análisis

Puede probar los siguientes pasos para resolver los problemas del nodo de análisis:

• Asegúrese de que el servicio de Windows del nodo de análisis se esté ejecutando.

• AbiertoNodo de exploración deVMde Elements - Centro de control y verifique si el nodo de escaneo está activoy si se descargaron los motores de escaneo (la revisión es mayor que 0).

• Revise los archivos de registro del nodo de análisis (C:\Program Files(x86)\F-Secure\RadarScanAgent\logs).

• Realice una prueba de conexión. Ejecute el siguiente comando como el mismo usuario que ejecuta elservicio:C:\Program Files (x86)\F-Secure\RadarScanAgent>FSRadarAgent.exe -test.

• Ejecute el agente de nodo de análisis en modo de depuración:

• A través de la línea de comando con el siguiente comando:FSRadarAgent.exe -c -vv. Porejemplo:C:\Program Files (x86)\F-Secure\RadarScanAgent>FSRadarAgent.exe -c-vv.

Nota: Recuerdeejecutar la líneadecomandocomoelusuarioqueejecutael servicio "WithSecureElementsVM Scan Node Agent".

• Alternativamente, como servicio. Para hacer esto, agregue el argumento -vv para el comando de inicio delservicio. Los parámetros de inicio del servicio se pueden modificar en el registro del sistema.

Nota: Editar el registro del sistemaes unaoperaciónmuydelicada. Proceda conprecaución si utiliza esteenfoque.

• Revise el Visor de eventos deWindows en busca de posibles errores.


• Si ningunodeestospasos lohaayudado, comuníqueseconel soportedeElementsVulnerabilityManagement.Cuandoenvíe su solicitud de soporte, describa el problema en detalle y siempre adjunte archivos de registro (al menos el dela fecha en que ocurrió el problema).

2.1.5 Utilizar nodos de análisis en un entorno fuera de línea

En algunos casos, es posible que deba instalar los nodos de análisis en un entorno fuera de línea, por ejemplo, cuandoun nodo de análisis se implementa en un entorno altamente seguro sin conexión a Internet.

El inconveniente de estos entornos es que interrumpen funciones importantes del nodo de análisis, como la activaciónautomática, las actualizaciones automáticas de productos y las actualizaciones automáticas del motor de análisis(complemento).

Elements Vulnerability Management admite este tipo de configuraciones, aunque el administrador debe gestionar lasactualizaciones del nodo de análisis manualmente.

Para gestionar la activación y las actualizaciones para los nodos de análisis en un entorno fuera de línea:

1. Vaya al equipo del nodo de análisis.

2. AbiertoNodo de exploración de VM de Elements - Centro de control (situado en C:\Program files(x86)\F-Secure\RadarScanAgent\FSRadarAgent.Tray.exe).

3. Genere la clave de autorización.

4. Copie la clave en un equipo que tenga acceso en línea al servicio de actualización de Radar.

5. Envíe la clave al servicio de actualización de Radar que se encuentra en https://updates-api.radar.f-secure.com.



6. Si su nodo de análisis aún no está activado, copie el código de activación del servicio de actualización de Radar alequipo del nodo de análisis.

7. Descargue las actualizacionesde softwarepara sunododeanálisis desdeel serviciodeactualizacióndeRadar y cópielasen el equipo del nodo de análisis.


8. Si su nodo de escaneo aún no está activado, abraNodo de exploración de VM de Elements - Centro de control yaplicar el código de activación.

9. Instale las actualizaciones.

Hay dos formas de instalar las actualizaciones en el equipo del nodo de análisis:

• Manual: Ejecute el paquete de actualización en el equipo del nodo de análisis. Le pedirá que introduzca suscredenciales de usuario del servicio de Windows.

• Semiautomático: Coloque el paquete en C:\Program Files(x86)\F-Secure\RadarScanAgent\updates y espere a que el nodo de análisis instale lasactualizaciones. Esto debería suceder en los próximos 5 minutos.

Comométodo alternativo, puede utilizar un script externo (por ejemplo, PowerShell en un equipo remoto) para realizarlas actualizaciones. La siguiente es un script de muestra que puede ayudarlo con este enfoque:

$authKey = .\FSRadarAgent.exe -authKeyS$updateService = "https://updates-api.radar.f-secure.com"$authResult = Invoke-RestMethod -Method Post -Uri"$updateService/api/1.0/ProductUpdates/Components/ScanNodeAgent/AuthKey" -Header @{"Content-Type"= "application/json"} -Body (ConvertTo-Json @{"authKey" = $authKey[0]})if ($authResult.ActivationCode) {echo $authResult.ActivationCode | .\FSRadarAgent.exe -activate}$token = $authResult.RequestToken$packageResult = Invoke-RestMethod -Method Post -Uri"$updateService/api/1.0/ProductUpdates/Packages/$token/Generate" -Header @{"Content-Type" ="application/json"} -Body (ConvertTo-Json @{"IncludeModules" = ("PSNG", "SSNG", "WSNG")})while ($packageResult.Status -eq "New" -Or $packageResult.Status -eq "InProgress"){$packageResult = Invoke-RestMethod -Method Get -Uri"$updateService/api/1.0/ProductUpdates/Packages/$token/Status" -Header @{"Content-Type" ="application/json"}}if ($packageResult.Status -eq "Ready"){mkdir .\updates\ScriptInvoke-WebRequest -Uri $packageResult.DownloadUrl -OutFile.\updates\Script\Radar_Scan_Node_Agent_installer_with_license.exe.\updates\Script\Radar_Scan_Node_Agent_installer_with_license.exe -ai} else {echo "FAILED!"}

2.1.6 Desinstalar nodos de análisis

Para desinstalar un nodo de análisis de Elements Vulnerability Management:

1. Vaya a Panel de control > Programas > Programas y características.


2. Consulte la lista de programas.

Si tú vesWithSecure Elements VM Scan Node Agent:

a) Haga doble clicWithSecure Elements VM Scan Node Agent.

b) Escriba y y presione Entrar para confirmar que desea eliminar Scan Node Agent.Scan Node Agent se desinstaló correctamente.

Si no puedes encontrarWithSecure Elements VM Scan Node Agent, significa que su versión de Scan Node Agentes anterior a la 2.6.1.1174. Para desinstalar versiones anteriores:

a) Abra un símbolo del sistema con privilegio elevado.

b) Cambie el directorio a C:\Program Files (x86)\F-Secure\RadarScanAgent.c) Desinstale el servicio de Windows de Elements VM Scan Node Agent ejecutando el siguiente

comando:FSRadarAgent.exe -u.d) Elimine la carpeta del nodo de análisis C:\Program Files (x86)\F-Secure\RadarScanAgent.e) Elimine la siguiente clave de registro:HKLM\Software\Wow6432Node\F-Secure\SN.

El software del nodo de análisis ahora está desinstalado.

Para eliminar los archivos restantes:

1. Inicie sesión en su portal de Elements Vulnerability Management.

2. Vaya a la páginaNodos de análisis.

3. Utilice el menú de acciones para anular el registro de los motores de análisis.

2.2 InstalacióndenodosdeexploracióndemáquinasvirtualesdeWithSecureElements(Linux)

Los nodos de escaneo se utilizan para realizar el descubrimiento real y los escaneos de vulnerabilidad de la red.

Un nodo de análisis se puede instalar con uno omás de los siguientes motores de análisis:

• El análisis de detección es un motor de análisis de puertos y detección de red.

• El análisis del sistema puede analizar direcciones IP en busca de vulnerabilidades conocidas.

• El análisis está diseñado para analizar aplicaciones web personalizadas en busca de vulnerabilidades.

Requisitos del nodo de análisis (Linux)

• Ubuntu Server (solo versiones de 64 bits, se admiten las versiones 16.x, 18.x, 20.x y 22.x, pero recomendamos la últimaversión con LTS): https://ubuntu.com/download/servidor ;O

• Debian (solo versiones de 64 bits, se admiten las versiones 9, 10, 11 y 12):https://www.debian.org/distrib/

• SSH (no se necesita GUI, las bibliotecas X11 requeridas se instalan automáticamente comodependencias de paquetes.deb)

• Acceso de la red a

• https://updates.radar.f-secure.com/, https://gateway.radar.f-secure.com/ y http://guts2.sp.f-secure.com/•

• https://updates-api.radar.f-secure.com (API de Radar Update Service)

• Acceso de la red a Elements Vulnerability Management:

• https://api.radar.f-secure.com para cuentas con suscripción paga

• URI asignado durante el proceso de instalación para instalaciones locales

• Si está utilizando un servidor proxy, debe habilitar los siguientes métodos de solicitud HTTP:GET,HEAD y POSThacia los servicios web mencionados

• Hardware

• Memoria RAMmínima de 4 GB (recomendado: 8 GB)•

• Procesador mínimo de 2 GHz/ 2 CPU en AWS


2.2.1 Pasos de instalación

Siga estos pasos para instalar un nodo de análisis en su sistema Linux.


https://ubuntu.com/download/server

https://www.debian.org/distrib/



http://guts2.sp.f-secure.com/


https://api.radar.f-secure.com/

1. Descargar el paquete de instalación del nodo de análisis

Mediante el uso de un paquete de instalación con información de licencia aplicada automáticamente:

a) En el portal de Elements VulnerabilityManagement, vaya a la páginaNodosde análisis y seleccioneNuevonodode análisis.

b) Seleccione Solicitar un nuevo nodo de análisis.

c) Ingrese un nombre y una descripción para el nodo de análisis y luego seleccione Solicitar.La página resultante incluye el enlace de descarga e instrucciones básicas. La información de licencia incluida enel paquete de instalación es válida durante 14 días. No es necesario que aplique la licencia manualmente cuandoutilice este tipo de paquete de instalación, aunque se requiere una conexión a Internet durante la instalación. Siencuentra algúnproblema almomentode aplicar la licencia, siga los pasos indicados para aplicarlamanualmente.

Mediante el uso de un paquete de instalación para información de licencia aplicada manualmente:

a) Descargue el paquete de instalación del nodo de análisis dehttps://updates-api.radar.f-secure.com/api/1.1/ProductUpdates/Components/ScanNodeAgent/Releases/4.0.0.0/Download.

Alternativamente, puede usar el siguiente comando para descargar el paquete de instalación:

wget -P ~ --content-dispositionhttps://updates-api.radar.f-secure.com/api/1.1/ProductUpdates/Components/ScanNodeAgent/Releases/4.0.0.0/Download

b) En el portal de Elements VulnerabilityManagement, vaya a la páginaNodosde análisis y seleccioneNuevonodode análisis.

c) Seleccione Solicitar un nuevo nodo de análisis.

d) Ingrese un nombre y una descripción para el nodo de análisis y luego seleccione Solicitar.

e) Copie la URL que aparece en Descargar licencia del nodo de análisis al portapapeles.

La URL es válida durante 14 días y debe tener el siguienteformato:https://updates-api.radar.f-secure.com/api/2.9/organizations/productLicenses/order?token=2Ub3Tfd(....).

f) Utilice el siguiente comando para descargar el archivo de licencia a su sistema Linux y reemplace <URL> con laURL que copió deElements Security Center:

wget -O ~/license.fsrl <URL>

2. Si necesita utilizar un servidor proxy para comunicarse con redes externas, configure las variables del entornoFSECURE_HTTP_PROXY_HOST y FSECURE_HTTP_PROXY_PORT.

Esta configuración seutiliza tantopara lasoperacionesnormalesdelnododeanálisis comopara finesdemantenimiento(instalación y actualización del nodo de análisis).

a) Ejecute los siguientes comandos para configurar las variables con el archivo /etc/environment:

echo "FSECURE_HTTP_PROXY_HOST=www.proxy.example.com" | sudo tee -a /etc/environmentecho "FSECURE_HTTP_PROXY_PORT=8080" | sudo tee -a /etc/environment

b) Cierre sesión para que los cambios surtan efecto y luego vuelva a iniciar sesión.

3. Ejecute los siguientes comandos para instalar los requisitos previos:

Nota: En el comando, reemplace el nombre y la versión de la distribución del sistema operativo con losdeseados si desea implementar el nodo de exploración en otro sistema operativo. El enlace en el comandodebe hacer referencia al archivo *.deb correspondiente ubicado en el siguienterepositorio:https://packages.microsoft.com/config/.

wget -q https://packages.microsoft.com/config/ubuntu/22.04/packages-microsoft-prod.debsudo apt install ./packages-microsoft-prod.debsudo apt update

4. Ejecute el siguiente comando para instalar WithSecure Elements VM Scan Node Agent:

sudo apt install ./f-secure-radar-scannodeagent-installer_<version>_amd64.deb

Reemplace <version> con el número de versión del agente que desea instalar.


https://updates-api.radar.f-secure.com/api/1.1/ProductUpdates/Components/ScanNodeAgent/Releases/4.0.0.0/Download

https://packages.microsoft.com/config/

Nota: En la pantalla de selección de licencia, presione el tabulador paramoverse entre los paneles, las teclasde flecha hacia arriba y hacia abajo para desplazarse por las listas y la barra espaciadora para seleccionar elarchivo que desea usar.

El directorio de instalación es /opt/fsecure/radar-scannodeagent. El nombre del demonio (servicio)de Linux es f-secure-radar-scannodeagent.

Si esta es la primera instalación, se le pedirá que proporcione un archivo de licencia (.fsrl).

Una vez que finaliza la instalación, asegúrese de que todo funcione según lo previsto.

2.2.2 Verificar la instalación del nodo de análisis de Linux

Una vez que haya instalado el nodo de análisis de Linux, siga los pasos que se enumeran aquí para asegurarse de que estéinstalado y funcionando correctamente.

1. Enel portal deElementsVulnerabilityManagement, vaya aNodosdeanálisis y verifiquequeel nuevonododeanálisisesté sincronizado y haya recibido las actualizaciones del motor.

2. Enelnododeanálisis, verifique los registrosdeldirectorio/opt/f-secure/radar-scannodeagent/logs/.

3. Compruebe que el directorio /opt/f-secure/radar-scannodeagent/Engines/ no esté vacío.

Este directorio contiene losmotores de análisis necesarios para ejecutar los análisis. Debe contener almenos algunosarchivos.

4. Ejecute el siguiente comando para verificar que el daemon (servicio) de Linux esté en el estado activo:

sudo systemctl status f-secure-radar-scannodeagent

5. Ejecute los siguientes comandos para verificar la configuración actual:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent get-config | more

6. Si aplicó el archivo de licencia, pero el agente del nodo de análisis no lo ha recibido, ejecute el siguiente comandopara reiniciar el servicio:

sudo systemctl restart f-secure-radar-scannodeagent

2.2.3 Rutas de nodo de análisis de Linux

Los datos almacenados del nodo de análisis pueden proporcionar información útil para la resolución de problemas y elmantenimiento.

Los nodos de análisis de Linux utilizan las siguientes rutas para almacenar sus datos de operación:

• /opt/f-secure/radar-scannodeagent/Scans/<scan_type>/<scan_id> contiene archivosrelacionados con los análisis que se están ejecutando actualmente

• /opt/f-secure/radar-scannodeagent/Engines/ contiene los binarios del motor de análisis

• /opt/f-secure/radar-scannodeagent/Updates/contienearchivosdeactualización temporalesparalos motores de análisis

• /opt/f-secure/radar-scannodeagent/logs/ contiene los archivos de registro del nodo de análisis

• /opt/f-secure/radar-scannodeagent/scannode.dbseutilizaparaalmacenardatosdeconfiguracióne información sobre los análisis que se están ejecutando actualmente

2.2.4 Configurar los nodos de análisis de Linux

Este tema enumera comandos útiles para modificar la configuración del nodo de análisis de Linux.

1. Ejecute el siguiente comando para ir al directorio de instalación de Scan Node Agent:

cd /opt/f-secure/radar-scannodeagent

2. Utilice los siguientes comandos para editar la configuración:


Para obtener todas las configuraciones:

sudo ./ScanNodeAgent get-config

Para obtener una sola configuración, por ejemplo, para verificar la entrada que indica si la dirección IP privada delAgente de nodo de escaneo se envía o no al Elements Security Center:

sudo ./ScanNodeAgent get-config HidePrivateIp

Para modificar varias configuraciones con un archivo, por ejemplo custom_config:

sudo ./ScanNodeAgent set-config < custom_config

Nota: El archivocustom_configqueutiliza debe seguir elmismo formatoqueel resultadodel comandoget-config.

Para modificar una sola configuración, por ejemplo, la cantidad máxima de análisis simultáneos del sistema:

sudo ./ScanNodeAgent set-config SystemScan.MaxSimultaneousScans 12

2.2.5 Aplicar la licencia del nodo de análisis manualmente

Para aplicar un nuevo archivo de licencia .fsrl a un WithSecure Elements VM Scan Node Agent ya instalado, debe copiarel archivo en el directorio de instalación.

1. Ejecute los siguientes comandos para aplicar el nuevo archivo de licencia:

cd /opt/f-secure/radar-scannodeagent && sudo ./ScanNodeAgent apply-license ./license.fsrl

2. Para aplicar un ID de licencia conocido deWithSecure Elements VM ScanNode Agent para unmódulo de escaneo enparticular, puede aplicar el ID de licencia directamente a la configuración del Scan Node Agent.

Por ejemplo, para el módulo de análisis del sistema, ejecute los siguientes comandos:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config SystemScan.License 85f95bbf-15cf-4d06-8347-e91a1eb539b8sudo ./ScanNodeAgent set-config SystemScan.Enabled truesudo ./ScanNodeAgent update-engines

Nota: Si el directorio de instalación (/opt/f-secure/radar-scannodeagent) ya contiene unarchivo .fsrl, los datos de ese archivo de licencia se aplican cuando reinicia el agente, sobrescribiendolos cambios manuales.

Nota: Si el directoriode instalacióncontienemásdeuna.fsrlarchivo,puedeejecutarel siguientecomandopara verificar cuál está en uso:sudo ./ScanNodeAgent get-config LicenseFileName

2.2.6 Configurar claves de cifrado para el análisis autenticado

El análisis autenticado de Windows y Linux es compatible con los nodos de análisis de Linux.

El análisis autenticado de Windows es compatible con WinRM. Seleccione la opción Especificar las credencialesexplícitamente cuando cree la plantilla de análisis del sistema.

Para el escaneo autenticado de Linux, debe configurar una vez las claves de cifrado para transferir las credenciales deforma segura. Para obtener más información e instrucciones sobre cómo hacerlo, consulte Pasos de preparación en lapágina51 .

Además de agregar las claves de cifrado que permiten el flujo seguro de credenciales para el escaneo autenticado deLinux, también puede administrar las claves ya existentes:

1. Para enumerar todas las claves de cifrado, ejecute el siguiente comando:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent list-private-keys


2. Para eliminar una clave existente, ejecute el siguiente comando:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent remove-private-key NameOfTheKeyPair

2.2.7 Configurar la comunicación para Elements Vulnerability Management alojadode forma privada

Si utiliza una instalación del portal de Elements Vulnerability Management alojada de forma privada, necesita estableceresta dirección en la configuración del nodo de análisis.

Ejecute los siguientes comandos:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config SecurityCenterUri https://securitycenter.example.com:8080

Nota: Si el directoriode instalación (/opt/f-secure/radar-scannodeagent) ya contieneun.fsrlarchivo que apunta a otro Elements Security Center dirección, los datos de ese archivo de licencia puedensobrescribir los cambios manuales.

2.2.8 Redireccionar el tráfico a un servidor proxy

ComoWithSecure Elements VM Scan Node Agent envía solicitudes al Elements Security Center y Update Service, debeconfigurar la dirección de proxy adecuada para redirigir el tráfico.


cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config SecurityCenterProxyUri http://proxy.example.com:8080sudo ./ScanNodeAgent set-config UpdateServiceProxyUri http://proxy.example.com:8080

Nota: Si usóvariablesdeentornoparaestablecer la configuracióndel proxy (FSECURE_HTTP_PROXY_HOSTy FSECURE_HTTP_PROXY_PORT) antes de la instalación, ya se deberían haber aplicado automáticamente.

Si desea restablecer la configuración del proxy, utilice los siguientes comandos para definir el valor en none:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config SecurityCenterProxyUri "(none)"sudo ./ScanNodeAgent set-config UpdateServiceProxyUri "(none)"

Para utilizar la configuración del proxy del sistema en lugar de establecer la configuración del proxy explícitamente,ejecute los siguientes comandos:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config UseDefaultProxySettingsForSecurityCenter truesudo ./ScanNodeAgent set-config UseDefaultProxySettingsForUpdateService true

2.2.9 Deshabilitar la validación del certificado SSL

Si usaun servidorproxyoaloja su local Elements SecurityCenter Si utiliza uncertificadoSSL autofirmado,puededeshabilitarla validación del certificado configurando las claves de configuración adecuadas.


cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config SkipSecurityCenterSslCertificateCheck truesudo ./ScanNodeAgent set-config SkipUpdateServiceSslCertificateCheck true

Importante: WithSecurenorecomiendadeshabilitar la verificacióndevalidacióndel certificadoSSL,especialmentepara la comunicación del Servicio de actualización de radar.


2.2.10 Instalar un certificado de CA local

Paraque los análisis de vulnerabilidadde la red validen correctamente los certificados SSL / TLS firmadospor una autoridadde certificación (CA) local, debe instalar el certificado raíz en el servidor del nodo de análisis. Los análisis del sistemautilizan el mismo almacén de certificados que OpenSSL.

Para instalar el archivo de certificado rootCA.crt en distribuciones Debian o Ubuntu:

1. Ejecute el siguiente comando para crear un directorio para sus propios certificados de CA de confianza:

sudo mkdir /usr/local/share/ca-certificates/extra

2. Copie el certificado raíz en el nuevo directorio:

sudo cp rootCA.crt /usr/local/share/ca-certificates/extra/

Asegúrese de que el certificado tenga la extensión .crt.

3. Ejecute el siguiente comando para actualizar los certificados del sistema:

sudo update-ca-certificates

2.2.11 Limitar la cantidadmáxima de análisis simultáneos

Si los límites predeterminados para los análisis simultáneos generan problemas de rendimiento, puede personalizarlos.

Ejecute los siguientes comandos para cambiar los límites predeterminados:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent set-config DiscoveryScan.MaxSimultaneousScans 3sudo ./ScanNodeAgent set-config SystemScan.MaxSimultaneousScans 10sudo ./ScanNodeAgent set-config WebScan.MaxSimultaneousScans 3

2.2.12 Actualizar los motores de análisis manualmente

De formapredeterminada, el agentedel nododeanálisis busca actualizacionesdelmotor automáticamente cada4horas,pero también puede buscar actualizaciones e instalarlas manualmente.

Ejecute los siguientes comandos para actualizar manualmente los motores de análisis:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent update-engines

2.2.13 Restablecer motores de análisis

Si hay algúnproblemacon la integridaddel directoriodelmotordeanálisis, puede restablecer losmotoresparadescargarinstancias nuevas.

Ejecute los siguientes comandos para restablecer los motores de análisis:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent reset-engines

Para restablecer un motor de análisis específico, puede utilizar el tipo de motor como argumento:

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent reset-engines DiscoveryScansudo ./ScanNodeAgent reset-engines SystemScansudo ./ScanNodeAgent reset-engines WebScan

Nota: Puede llevar unos minutos restablecer los motores de análisis. No recomendamos usar esta operaciónparaactualizar losmotores-useelsudo ./ScanNodeAgent motores de actualizacióncomandoen su lugar.


2.2.14 Desinstalar nodos de análisis

Siga estos pasos para desinstalar un nodo de análisis de su sistema Linux.

Ejecute el siguiente comando para desinstalar un nodo de análisis:

sudo apt remove --purge f-secure-radar-scannodeagent-installer

2.3 Instalación deWithSecure Elements Agent con funciones demáquina virtual

Puede descargar el paquete de instalación para WithSecure Elements Agent con capacidades de VM desde el ElementsVulnerability Management portal e instálelo en los dispositivos Windows de su red.

WithSecure Elements Agent con requisitos de capacidades de VM

WithSecure Elements Agent con capacidades de VM es compatible con las siguientes versiones del sistema operativo:

• Microsoft Windows 10 (todas las ediciones de 32 y 64 bits); las tabletas basadas en ARM no son compatibles

• Microsoft Windows 8.1 (todas las ediciones de 32 y 64 bits); las tabletas basadas en ARM no son compatibles

• Microsoft Windows 7 Service Pack 1 (todas las ediciones de 32 y 64 bits)

Puede encontrar la lista de versiones de servidor Windows compatibles aquí.

Requisitos del sistema

• Procesador: Intel Pentium 4 2GHz o superior (el procesador debe ser compatible con SSE2).

• Memoria: 1 GB en sistemas de 32 bits/2 GB o más en sistemas de 64 bits.

• Espacio en disco: 2 GB de espacio libre en disco.

• Pantalla con una resolución de 1024 x 768 o superior.

• Conexión a Internet: Se requiere una conexión a Internet para validar su suscripción, recibir actualizaciones deproductos y utilizar la detección basada en la nube.

• Javascript debe estar habilitado en la configuración del navegador para habilitar las páginas de bloqueo activas.

Navegadores compatibles

• Edge (Windows 10). No admite extensiones.

• Internet Explorer 11 (Windows 8.1).

• Internet Explorer 10 y 11 (Windows 7).

• Chrome, dos últimas versiones principales.

• Firefox, dos últimas versiones principales.

Nota: El análisis deWithSecureElementsAgent solo estádisponible si utiliza ElementsVulnerabilityManagementcomo un servicio en la nube WithSecure.

Si estás usando Elements Endpoint Protection o Elements Detection and Response en dispositivos Windows en su red ydesea ejecutar escaneos de vulnerabilidad en esos dispositivos, no necesita instalar WithSecure Elements Agent concapacidades de VM en ellos. En tales casos, puede ir directamente aHola y seleccione esos dispositivos para el análisisde vulnerabilidades.

Esto significa que en relación con Elements Endpoint Protection o Elements Detection and Response, solo necesitainstalar el agente WithSecure Elements independiente con capacidades de VM en dispositivos que no usan el cliente deWindows para los otros servicios, lo que le brindamás flexibilidad para el uso de la suscripción. Puedes consultar el estadode tu suscripción en laAjustes página debajo Configuración general > Detalles de suscripción.

Nota: Elements Vulnerability Management admite las aplicaciones Elements Endpoint Protection y ElementsDetection and Response si su cuenta empresarial (Id. de inquilino y nombre) es exactamente lamisma para cadaservicio.

Para instalarel agenteWithSecureElements independienteconcapacidadesdeVM(sinElementsVulnerabilityManagemento Elements Detection and Response):

1. En el portal de Elements VulnerabilityManagement, seleccioneDetección de dispositivos y haga clic enDescargarinstalador.

2. Hacer clic Descargar por debajo Con Agente de Elementos Seguros.


https://help.f-secure.com/product.html?business/server-protection/latest/en/concept_1D8DE1CB34114F28B71850FD9BB76CAB-server-protection-latest-en

Nota: El archivo exe descargado incluye la clave de suscripción.

Se descarga el archivo de instalación.

3. Busque el archivo de instalación descargado y haga doble clic para iniciar la instalación.

Para utilizar los parámetros de la línea de comandos, inicie la instalación con el siguiente comando:

installer_AB12-CD34-EF56-GH78_.exe

Nota: Para realizar una instalación silenciosa (si no hay una actualización adicional), agregue lo siguiente alnombre del archivo del instalador: --silent. Por ejemplo,installer_AB12-CD34-EF56-GH78_.exe --silent. Para hacer esto, debe tener la clave desuscripciónagregadaalnombredel archivodel instalador. Si desea instalarElementsVulnerabilityManagementcomouna aplicación independientepara usarla solo para el análisis de vulnerabilidades y sin eliminar ningunaaplicación antimalware existente en el dispositivo, agregue el parámetro --skip-sidegrade "*" alcomando de instalación. Por ejemplo, installer_AB12-CD34-EF56-GH78_.exe--skip-sidegrade "*".

4. Seleccione el idioma, reinicie las opciones que desea utilizar para la instalación y seleccione Siguiente.

5. Lea el contrato de licencia. Para aceptar el contrato y continuar, haga clic enAceptar.

6. En la pantalla Clave de suscripción, introduzca su clave de suscripción que puede copiar de Configuración >Configuración general > Detalles de la suscripción en el portal de Elements Vulnerability Management. Luego,seleccione Siguiente.

7. Siga las instrucciones que aparecen en pantalla.

Tareas relacionadas

Activación del análisis de WithSecure Elements Agent en dispositivos en la página38Para ejecutar análisis de vulnerabilidades en dispositivos de punto de conexión en su red, debe habilitar la función paraesos dispositivos.

2.3.1 Parámetros de línea de comando

Al instalar el producto con un archivo .exe, puede utilizar los parámetros de la línea de comandos que se enumeranaquí.

ExplicaciónPropiedad de MSIParámetro EXE

Seleccione el idioma utilizado en la instalación. El parámetro “Id.” debe ser unidentificador de idioma válido en formato IETF. Si no se especifica “id”, elinstaladormuestra el diálogo de selección de idioma. El valor de Id. puede seruno de los siguientes: en, bg, cs, da, de, el, en, es-MX, es, et, fi, fr-CA, fr, hu,it, ja, ko, lt, nl, no, pl, pt-BR, pt, ro, ru, sl, sv, tr, vi, zh-HK, zh-TW, zh.

LANGUAGE--language <id>

-l <id>

Establece el flujo de instalación silenciosa. No hay cuadros de diálogo para elusuario. Se asume que se acepta EULT. Si hay un código clave incrustado, elsoftware lo utiliza automáticamente cuando se instala. De lo contrario, elsoftware sequeda sin uncódigoclave (es decir, enunestado inicial caducado).Si la instalación requiere reiniciar el equipo, no se muestra ningún cuadro dediálogo al respecto, pero el código de retorno ejecutable es 99 y continuaráautomáticamente después del reinicio.

--silent -s

Establece la clave de suscripción. La clave de suscripción se gestiona como siestuviera incrustada en el nombrede archivo del instalador. Si existe una clavede suscripción en el nombre de archivo y también se agrega a la línea decomandos, la línea de comandos anula la clave de suscripción del nombre dearchivo.

VOUCHER--voucher<subscriptionkey>


ExplicaciónPropiedad de MSIParámetro EXE

Anula el proxy que se utilizará para las descargas. Ejemplo: --proxyhttp://proxy.gtn:3128

--proxy

Lepermite especificar una lista deproductos de la competencia quenodebendescartarse durante la instalación. "*" omite todas las actualizacionessecundarias.

También puede agregar [skip-reboot] antes de un nombre de conflicto paraindicar que esta actualización secundaria no debe requerir el reinicio (pero seaplicará la actualización secundaria). Separe los valores (Id. o nombres deactualización secundaria) con “|”:

• --skip-sidegrade "Sophos Cloud Endpoint|HitmanPro.Alert"

• --skip-sidegrade "HitmanPro.Alert|SG16|SG1"

• --skip-sidegrade "*" - nocalificar nada (incluidos losproductosWithSecure)

• --skip-sidegrade "[skip-reboot]*" - se eliminan todos los conflictos y no esnecesario reiniciar

• --skip-sidegrade "[skip-reboot]Sophos Cloud Endpoint|SG1" - SophosCloud Endpoint se desinstala sin reiniciar y SG1 no se detecta como unconflicto

SIDEGRADE_SKIPLIST--skip-sidegrade<skip options>

Etiquetas de instalación que se deben informar al portal de un servidor(Elements Endpoint Protection, Elements Detection and Response, ElementsVulnerability Management), por ejemplo: --installation-tags"ElementsEndpointProtection=tag1:tag2:tag3,ElementsVulnerabilityManagement=tag4:tag5:tag6,department=accounting,role=secretary"

INSTALLATION_TAGS--installation-tags<tags>

ParacompatibilidadconCitrix enElementsEndpoint Protection.UtiliceSMBIOSGUID como identificador único de este equipo. Cuando elmismoequipo (conel mismo smbios guid) hace la instalación o el registro nuevamente con lamismaclavede suscripción, en lugar de crear unnuevodispositivo enel portal,se conectará al mismo dispositivo en el portal.

UNIQUE_SIGNUP_ID--use_smbios_guid

Capítulo

3Análisis

En esta sección se proporcionan instrucciones información acerca del uso deElements Vulnerability Management para analizar su red.

Temas:

• Análisis de detección

El proceso de análisis

En primer lugar, el análisis de detección traza un mapa de la red disponibleutilizando la detección automática de dispositivos para obtener una descripción

• Análisis de red

• Buscar sistemas conectados aInternet

• Activacióndel análisis deWithSecureElements Agent en dispositivos

completa de los hosts, puertos y servicios activos disponibles para un análisisadicional. Esta fase le brinda una descripción general simple y rápida sobre loscomponentes que debe incluir.• Análisis autenticado

Posteriormente, todos los hosts, puertos y servicios seleccionados se analizanen busca de vulnerabilidades con el análisis del sistema y el análisis web, antesde presentar los datos en el portal de Elements Vulnerability Management. Laherramienta de informes proporciona desde una descripción general completahasta un detalle técnico extremo, demodo que recibirá toda la información quenecesita para la fase de corrección, donde asigna y gestiona sus problemas deseguridad.

Los análisis de verificación controlan que se hayan abordado los problemas, ytodo funciona con un control simple e intuitivo de apuntar y activar y un historialcompleto de evaluaciones comparativas.

Descripciones detalladas

Por logeneral, el primerpasoenel procesode realizar una auditoría de seguridades identificar los activos que se deben analizar en busca de vulnerabilidades. Elanálisis de detección proporciona una forma sencilla de asignar los dispositivosy servicios en la red de destino.

En ConSeguridad Elements Vulnerability Management, todos exploración delsistema y escaneo web Los objetivos se almacenan en contenedores lógicosllamados grupos de escaneo. Los grupos de escaneo sirven para múltiplespropósitos:

• Organizar sus activos. Por ejemplo, puede organizar sus activos según losrangos de su red, las ubicaciones físicas o los propietarios del sistema.

• Aplicar plantillas de análisis a los activos dentro del grupo de análisis.

• Aplicar la programación a los activos dentro del grupo de análisis.

• Seleccione los nodos de análisis utilizados para realizar los análisis devulnerabilidades de la red.

• Controlar las notificacionespor correo electrónicopara todo el grupodeanálisis.

3.1 Análisis de detección

Los análisis de detección lo ayudan a identificar todos los sistemas y sus puertos (servicios) expuestos dentro de la red.Conceptos relacionados

Conceptos y componentes principales en la página6Esta seccióndescribe algunosde los conceptos y componentes clavedeWithSecureElementsVulnerabilityManagementa los que se hace referencia a lo largo de esta documentación.

3.1.1 Agregar un análisis de detección

Puede agregar un nuevo análisis de detección en la páginaAnálisis de detección.

Para agregar un nuevo análisis de detección:

1. Haga clic en el botón de menú.

2. SeleccioneAgregar escaneo de descubrimiento.

3. Seleccione el modo Detección de hosts oAnálisis de puertos.

• Detección de hosts identifica si los hosts están en línea o sin conexión. Los procedimientos de análisis incluyenresolución ARP (en segmentos locales), ICMP PING y un análisis limitado para puertos SSH, HTTP y HTTPSpredeterminados, así como para servicios de escritorio remoto.

• Análisis de puertos encuentra los puertos abiertos en los hosts e informa los servicios (por ejemplo, base de datosy servicios web) que se ejecutan en cada uno.

4. Ingrese los rangosde IPpara incluir enel escaneoo seleccioneSubirobjetivosdesdeel archivopara cargarobjetivosen formato CSV.

• Escriba un nombre para cada rango de IP que ingrese. Haga clic enAgregar para agregar más rangos de IP almismo análisis.

• Para excluir un rango de IP dentro del rango incluido, agréguelo al campo Rangos de IP excluidos.

Por ejemplo: 192.168.1.0/24

5. Seleccione elNodo de análisis que se utilizará para el análisis.

6. Haga clic en Siguiente.

7. Seleccione la plantilla que se utilizará para el análisis.

8. Defina la programación del análisis si desea que el análisis se ejecute automáticamente, por ejemplo, una vez al mes.

9. Configure las notificaciones por correo electrónico si desea recibir alertas sobre eventos específicos.

10. Haga clic en Finalizar.

3.1.2 Configurar plantillas de análisis de detección

Las plantillas de análisis le brindan una manera sencilla de almacenar un conjunto de opciones que desea usar en variosanálisis de detección.

1. Vaya a la pestaña Plantillas.

2. Sobre el Plantillas de exploración de descubrimiento pestaña, haga clic enAgregar plantilla de análisis dedescubrimiento o haga clic en el botón de menú en el Comportamiento columna y seleccione Editar para editaruna plantilla existente.

3. Escriba un nombre y una descripción para la plantilla.


5. Defina la configuración de la plantilla. Seleccione unmodo análisis entre la detección de hosts o una de las opcionesde análisis de puertos:

• ElmodoDeteccióndehostsesextremadamente rápidopara identificar hosts enuna red. Seutilizaprincipalmenteen redes internas donde todos los hosts responden a un ping ICMP. El modo de detección de hosts es rápidoporque su único propósito es identificar hosts en la red. No le importa cuántos puertos abiertos tenga un sistemadeterminado.

28 | Análisis

• El modoAnálisis de puertos intentará detectar hosts en una red y sus puertos abiertos dentro del rango depuertos especificado. El análisis de puertos se utiliza principalmente para identificar hosts y servicios en sistemasconectados a Internet.

a) Para seleccionar el Análisis de puertos, seleccione el rango de puertos que desea analizar:

• Los 100 principales analiza cada IP en busca de los 100 puertos abiertos más comunes.

• Los 1000 principales analiza cada IP en busca de los 1000 puertos abiertos más comunes.

• Rango completo analiza el rango completo de TCP y UDP de 0 a 65535.

• Personalizado le permite seleccionar su propio rango. Por ejemplo, TCP 0 - 10000 y UDP 0 - 5000.

b) SeleccioneDetectar sistemaoperativo para intentar detectar el sistema operativo en función de la informaciónrecopilada durante el análisis de puertos.

c) Seleccione Proceder si no hay PING para forzar el análisis de detección a analizar un puerto IP incluso si noresponde al PING. Si esta opción está desactivada, puedeque el análisis de puertos seamás rápido, pero es posibleque no se detecten algunos puertos abiertos.

6. Seleccione el Rendimiento del análisis.

Esta configuracióncontrola el tiempodeespera, loque significa cuánto tiempodebería esperar el análisis dedetecciónuna respuesta antesdepasar al siguientenúmerodepuerto. Tengaencuentaque los ajustes agresivospuedengeneraruna condición de Denegación de servicio en el propio host de destino o en el equipo de red intermedio, como unfirewall.

7. Seleccione la Cantidad de subprocesos.

Esta configuración define la cantidad de recursos que se utilizan para analizar una única dirección IP. Una mayorcantidad de subprocesos aumenta la velocidad general del análisis, pero debe usarse con cuidado, en especial si laconfiguracióndel rendimientodel análisis estáporencimade lonormal. Esta configuraciónoptimizadapodríadisminuirla precisión del análisis.

8. Active o desactive Doble verificación

Esta configuración obliga al análisis de detección a analizar cada puerto dos veces. Utilice esta opción cuando laprecisión del análisis sea más importante que la velocidad, o si la red es lenta o inestable.

9. Active o desactive elAnálisis fragmentado.

El modo de análisis fragmentado se puede usar para fragmentar paquetes IP en un intento de eludir firewalls de bajacalidad o mal configurados.

10. Haga clic en Finalizar para guardar la plantilla.

3.1.3 Ejecutar un análisis de detección

Puede ejecutar cualquiera de los análisis de detección disponibles en la páginaAnálisis de detección.

Para ejecutar un análisis de detección:

1. Seleccione las casillas de verificación de los análisis que desea ejecutar.La barra de acciones aparece en la parte inferior de la página.

2. Seleccione Iniciar análisis desde la barra de acciones.

Consejo: Puede hacer clic en el botón Reproducir en la columna Estado para ejecutar un solo análisis.

3. Mientras se ejecuta el análisis, puede seguir su progreso en la columna Estado.

Un análisis puede tener uno de los siguientes estados:

• Inactivo: El análisis nunca se inició.

• Inicializado: El nodo de análisis lo confirmó y comenzará en breve.

• En cola: El análisis está esperando una franja de tiempo disponible en el nodo de análisis.

• En ejecución: El análisis está en curso en el nodo de análisis. Puede mover el cursor sobre la barra de progresopara ver información más detallada.

• Finalizado: El análisis finalizó.

4. Cuando se complete el análisis, haga clic en el nombre del análisis para ver los resultados.


3.1.4 Ver los resultados del análisis de detección

La página de resultados del análisis de detección contiene un resumen de los detalles del análisis, como el tiempo delanálisis y las estadísticas generales, así como una lista de los hosts identificados.

Para ver los resultados del análisis:

1. En la páginaAnálisis de detección, haga clic en el nombre del análisis que desea ver.Esto abre el informe del análisis seleccionado. Los resultados reales del análisis se enumeran debajo del filtro y elresumen del análisis. Esta lista contiene información detallada sobre cada IP, como su dirección MAC, el nombre dehost DNS inverso, el sistema operativo potencial y los puertos abiertos encontrados. Algunas direcciones IP estánmarcadas con un icono de marca de verificación verde, mientras que otras no. Hosts que ya están agregados a unexploracióndel sistemaparael análisis de vulnerabilidadesde redestánmarcadosconun iconodemarcadeverificaciónverde.

2. Si desea reducir la lista de hosts que se muestran:

a) Haga clic en Filtrar.

Esto lo ayuda a eliminar hosts irrelevantes si el análisis cubrió un amplio rango de direcciones IP y se descubrióuna gran cantidad de hosts, ya que la lista completa de hosts puede ser abrumadora.

b) Especifique los parámetros de filtrado que desea aplicar.

c) Haga clic enAplicar.

3. Para agregar hosts enumerados a un grupo de análisis:

a) Seleccione los hosts que desee.

b) Hacer clicAgregar al grupo de análisis de vulnerabilidades de la red al final de la página.

c) Seleccione los grupos de escaneo de red de destino.

d) Haga clic en Finalizar.

Nota: También puede agregar el análisis de detección como fuente para un grupo de análisis, después delo cual se agreganautomáticamentenuevoshosts al grupodeanálisis. Paraobtenermás información, consulteEditar grupos de análisis en la página31 .

3.2 Análisis de red

El Escaneos de red pestaña en el Elements Vulnerability Management El portal se utiliza para administrar sus análisismediante grupos de análisis.

Desde el Escaneos de red página, puede iniciar y detener análisis, abrir informes de análisis y configurar los análisis devulnerabilidades de la red.

Actualizar los objetivos del análisis automáticamente

Puede agregar exploraciones de descubrimiento y consultas de búsqueda de descubrimiento de Internet como fuentesqueactualizanautomáticamente losobjetivosde las exploracionesdevulnerabilidadde la red. El análisis dedescubrimientoseleccionado o la búsqueda de descubrimiento de Internet modifica automáticamente el conjunto de hosts o sitiosincluidos en el grupo de análisis según las reglas que seleccione.

Esteenfoqueesespecialmenteútil paraanalizarhosts condirecciones IPdinámicas,porejemplo.Tambiénpuedeconfigurarlas fuentes para que el análisis de vulnerabilidades se ejecute para nuevos hosts y servicios de red tan pronto como seencuentren.

Los detalles del grupo de análisis muestran los objetivos que se han agregado automáticamente desde una fuenteseleccionada. Los análisis de detección también muestran si están en uso como fuente para un grupo de análisis. Losgrupos de análisis pueden incluir objetivos agregados tanto automática comomanualmente.

Conceptos relacionados

Conceptos y componentes principales en la página6Esta seccióndescribe algunosde los conceptos y componentes clavedeWithSecureElementsVulnerabilityManagementa los que se hace referencia a lo largo de esta documentación.

30 | Análisis

https://portal.radar.f-secure.com/mmc/scans/overview.aspx

3.2.1 Editar grupos de análisis

En Elements Vulnerability Management, todos los destinos de análisis del sistema y análisis web se almacenan encontenedores lógicos denominados grupos de análisis.

Para ver o editar un grupo de análisis:

1. Sobre el Escaneos de red página, haga clic en Vista de grupo.

2. Haga clic en el botón de menú del grupo que desea editar.

3. Seleccione Editar grupo de análisis.

4. EnNombre del grupo, escriba el nombre del grupo de análisis.

5. En Responsable, especifique el usuario de Elements Vulnerability Management responsable del grupo

6. En Descripción, edite la descripción del grupo.


8. Active o desactiveAnálisis del sistema.

SiAnálisis del sistema está activado:

a) Seleccione la plantilla de análisis que se utilizará para todos los activos dentro del grupo.

b) Seleccione el nodo de análisis que se utilizará.

c) Establezca la cantidadmáximade análisis simultáneosdel sistemaque sepuedenejecutar almismo tiempodentrodel grupo.

d) Active Fuentes de actualización de activos y luego haga clic enAgregar fuente de actualización de activossi desea sincronizar los objetivos del análisis con los resultados de un análisis de detección o una búsqueda dedetección de Internet.

También debe seleccionar el tipo de Fuente, la Instancia de origen, el Desencadenador y lasAcciones para laactualización de activos. Debe tener al menos un análisis de detección ya definido para seleccionarAnálisis dedetección como fuente. Puede crear un nuevo análisis de detección en la páginaAnálisis de detección.

e) Active Programación de análisis para establecer la programación de los análisis del sistema.


10. Active o desactiveAnálisis web.

SiAnálisis web está activado:

a) Seleccione la plantilla de análisis que se utilizará para todos los activos dentro del grupo.

b) Seleccione el nodo de análisis que se utilizará.

c) Establezca la cantidadmáximade análisis simultáneosdel sistemaque sepuedenejecutar almismo tiempodentrodel grupo.

d) Active Fuentes de actualización de activos y luego haga clic enAgregar fuente de actualización de activossi desea sincronizar los objetivos del análisis con los resultados de un análisis de detección o una búsqueda dedetección de Internet.

También debe seleccionar el tipo de Fuente, la Instancia de origen, el Desencadenador y lasAcciones para laactualización de activos. Debe tener al menos un análisis de detección ya definido para seleccionarAnálisis dedetección como fuente. Puede crear un nuevo análisis de detección en la páginaAnálisis de detección.

e) Active Programación de análisis para establecer la programación de los análisis web.


12. Establezca las etiquetas predeterminadas que desea mostrar para los análisis que se agregan a este grupo.


14. Establezca las reglas de notificación para el grupo de análisis.


16. Verifique los detalles del grupo de análisis en la página Resumen y luego haga clic en Finalizar para guardar loscambios.

3.2.2 Ejecución de análisis de vulnerabilidades de la red

Puede ejecutar cualquiera de sus escaneos del sistema o escaneos web sobre el Escaneos de red página.

Para ejecutar un escaneo de vulnerabilidades de red:


1. Seleccione las casillas de verificación de los análisis que desea ejecutar.La barra de acciones aparece en la parte inferior de la página.

2. Seleccione Iniciar análisis desde la barra de acciones.

Consejo: Puede hacer clic en el botón Reproducir en la columna Estado para ejecutar un solo análisis.

3. Mientras se ejecuta el análisis, puede seguir su progreso en la columna Estado.

Un análisis puede tener uno de los siguientes estados:

• Inactivo: El análisis nunca se inició.

• Inicializado: El nodo de análisis lo confirmó y comenzará en breve.

• En cola: El análisis está esperando una franja de tiempo disponible en el nodo de análisis.

• En ejecución: El análisis está en curso en el nodo de análisis. Puede mover el cursor sobre la barra de progresopara ver información más detallada.

• Finalizado: El análisis finalizó.

4. Cuando se complete el análisis, haga clic en el nombre del análisis para ver los resultados.

3.2.3 Ver los resultados del análisis

Una vez que se haya completado un análisis del sistema o análisis web, los resultados se envían al portal de ElementsVulnerability Management.

Nota: Ademásde ver el informedel análisis basadoen laweb, tambiénpuededescargar los resultados en formatoXML oWord.

Para ver los resultados del análisis:

1. En la Vista de lista, haga clic en el ícono de menú de la columnaAcciones.

2. Seleccione Ver resultados del análisis.Esto abre la página de resultados del análisis para el análisis seleccionado.

3. Los resultados del análisis muestran las propiedades del análisis, los resultados del análisis y las estadísticas.

Consejo: Haga clic en el ícono demenú para descargar una versión XML oWord del informe y también paraver el registro del análisis.

Contiene información sobre el tipo de análisis, el grupo de análisis, la hora enque se inició el análisis y el tiempo que duró.

Propiedades del análisis

Contiene información sobrepuertos abiertos, vulnerabilidades yhallazgosqueencontró el análisis.

Resultados del análisis

Contiene detalles sobre la ejecución y las estadísticas del análisis.Estadísticas

Para el análisis web, las vulnerabilidades se enumeran según Categorías de WASC.

4. Abra Resultados del análisis > Vulnerabilidades y resultados y haga clic en cualquiera de las vulnerabilidadesenumeradas para ver toda la información correspondiente.

La siguiente información está disponible para cada vulnerabilidad enumerada:

• Id. es el identificador del complemento. Puede hacer clic en el enlace para ver todos los hosts afectados por estavulnerabilidad.

• Título de la vulnerabilidad.

• Estado yNotasdel auditor son las funcionalidades centralesdel sistemadeElementsVulnerabilityManagement.Utilice estos campos para actualizar el estado de cada vulnerabilidad y escribir notas relacionadas con ella. Estoayuda a rastrear el estado de cada vulnerabilidad a lo largo del tiempo. Cuando se establece un estado devulnerabilidad, también se refleja en análisis futuros. Por ejemplo, si una vulnerabilidad se marca como “falsopositivo”, se marcará como tal en los resultados de análisis futuros. Tenga en cuenta que los estados devulnerabilidad se pueden utilizar más adelante cuando genere Informes de resumen.

• Resumen proporciona una breve descripción de la vulnerabilidad.

• Descripción contiene una descripción detallada y, a veces, técnica de la vulnerabilidad.

• Solución describe cómo se puede solucionar la vulnerabilidad.

32 | Análisis

http://projects.webappsec.org/w/page/13246978/Threat%20Classification

• Resultados contiene detalles o evidencia sobre cómo el análisis detectó la vulnerabilidad.

• Puerto describe el puerto y el protocolo afectados por una vulnerabilidad determinada.

• Factor de riesgo se asigna a todas las vulnerabilidades y se basa en CVSS v2. Luego, el puntaje base de CVSS seconvierte a un formato más legible por el ojo humano (Alto,Medio,Bajo o Informativo).

• Denegación de servicio puede ser Sí,No o No aplicable, e indica si la vulnerabilidad puede explotarseparaprovocar condicionesdedenegaciónde servicio. Si semuestraSí, la vulnerabilidadnoafectael cumplimientode PCI.

5. Puede agregar cualquiera de las vulnerabilidades a una solicitud con fines de seguimiento, si es necesario.

a) Seleccione las vulnerabilidades que desea agregar a una solicitud.

b) En la barra de acciones, haga clic en Crear nueva solicitud oAgregar a la solicitud existente.

Cuando completa los detalles necesarios, la solicitud se abre con la nueva información incluida.

Tareas relacionadas

Crear una solicitud en la página60Puede crear solicitudes en la página Vulnerabilidades, así como desde los resultados de un análisis del sistema o unanálisis web.

Agregar una vulnerabilidad a una solicitud existente en la página61Puede agregar vulnerabilidades a una solicitud existente en la página Vulnerabilidades, así como desde los resultadosde un análisis del sistema o un análisis web.

3.2.4 Análisis del sistema

Análisis del sistema es un análisis de vulnerabilidades basado en la red que puede examinar cualquier sistema con unadirección IP en busca de vulnerabilidades comunes.

La detecciónde vulnerabilidades del análisis del sistema sebasa en comprobaciones de vulnerabilidades activas y pasivas.Por ejemplo, intentará identificar el servicio (producto) y su número de versión. Una vez que se identifica, el análisis delsistema verifica si ese software en particular tiene alguna vulnerabilidad conocida. Además del análisis pasivo basado enla captura del nombre de la aplicación, los análisis del sistema también ejecutan comprobaciones activas en un intentode confirmar la existencia de ciertas vulnerabilidades o configuraciones erróneas del sistema. También puede identificarparches de seguridad faltantes y software desactualizado si se habilitó la opción Análisis autenticado.

Nota: El análisis del sistema no es disruptivo y está diseñado para no generar condiciones de denegación deservicio en sus sistemas.

Cuando inicia un análisis del sistema, primero realiza un análisis de puertos del objetivo y, una vez que se han identificadotodos lospuertos abiertos (servicios), se evalúan las vulnerabilidades. Estos son solo algunosde los sistemasqueel análisisdel sistema puede analizar:

• Servidores web

• Firewalls

• Puertas de enlace y servidores de correo electrónico

• Enrutadores y conmutadores

• Controladores de dominio

• Servidores DNS

• Puertas de enlace antivirus

• Estaciones de trabajo

Las comprobaciones que ejecuta el análisis incluyen lo siguiente:

• Detección de servicios y sistemas operativos (UDP/TCP/ICMP)

• Prueba de vulnerabilidades y configuraciones incorrectas en servicios

• Prueba de vulnerabilidades y configuraciones incorrectas en sistemas operativos

• Prueba de vulnerabilidades y configuraciones incorrectas en dispositivos de red

• Prueba de configuración segura (SSL/SSH)

• Detección de contraseñas predeterminadas (sistemas operativos servicios/dispositivos de red)

Todas las vulnerabilidades se informan con una puntuación CVSSv2, CVE, BID, BugTraq y otras referencias cuando estándisponibles.


Agregar un análisis del sistema

Le recomendamos que agregue un nuevo análisis del sistema; para ello, agregue hosts a un grupo de análisis en funciónde los resultadosdeun análisis dedetección, pero tambiénpuedeagregarunnuevo análisis del sistema al grupodeanálisispor separado.

Si necesita agregar un nuevo análisis del sistemamanualmente:

1. Ve a la Escaneos de red página.

2. Haga clic en el icono de menú y seleccioneAgregar escaneos del sistema.Se abre la ventanaObjetivos de análisis.

3. En Rango de IP, ingrese la lista de objetivos de análisis.

Consejo: Si tiene una larga lista de objetivos de análisis, haga clic en Cargar objetivos desde el archivopara cargar un archivo de texto en formato CSV. Separe el nombre de host o la dirección IP, el nombre y elnombre de host virtual en tres columnas diferentes del archivo.


Configurar análisis del sistema

Puede utilizar plantillas para configurar varios análisis del sistema a la vez (recomendado) o puede configurar análisisindividuales.

Se asigna una plantilla de análisis a un grupo de análisis y la plantilla se aplica a todos los hosts dentro de ese grupo.

Para configurar análisis del sistema, defina el rango de puertos deseado para analizar y, si es necesario, modifique laconfiguración de rendimiento.

Consejo: Le recomendamos que utilice la configuración predeterminada.

Para configurar un análisis del sistema:

1. Para configurar un único análisis del sistema:

a) Ve a la Escaneos de red página.

b) Haga clic en el icono de menú y seleccioneAgregar escaneos del sistema.

c) Configure el análisis según sea necesario.

d) Haga clic en Finalizar.

2. Para configurar una plantilla de análisis del sistema:

a) Vaya a la página Plantillas.

b) Sobre el Plantillas de escaneo de red pestaña, haga clic enAgregar plantilla de análisis del sistema o hagaclic en el icono de menú en la columna de acciones y seleccione Editar para editar una plantilla existente.

Nota: ElementsVulnerabilityManagement tiene algunasplantillas incorporadasqueno sepuedeneditar.

c) Configure la plantilla según sea necesario y guarde los cambios.

d) Sobre el Escaneos de red página, ir a Vista de grupo.

e) Haga clic en el ícono de menú junto al nombre del grupo y seleccione Editar grupo de análisis.

f) Haga clic en Siguiente para ir a la páginaAnálisis del sistema.

g) Seleccione la plantilla que creó o editó y decida si desea sobrescribir la configuración de análisis existente.

h) Haga clic en Siguiente hasta llegar a la página Resumen. Luego, haga clic en Finalizar para guardar sus cambios.

Opciones de configuración del análisis del sistemaPuedeutilizar la información sobreherramientasque seencuentra juntoacualquierade lasopcionesde la IUparaobtenermás información sobre ellas.

General

• Defina unNombre de plantilla. Le recomendamos que sea lo más descriptivo posible.

• Defina el Rango de puertos TCP/UDP que desea analizar. Le recomendamos que realice un análisis completo depuertos TCP/UDP para garantizar una cobertura completa.

34 | Análisis

• Rendimiento del análisis decide la demora entre los paquetes enviados (durante el análisis de puertos).

• Omitir software adaptado a versiones anteriores decide si el análisis del sistema debe omitir la notificación deciertas vulnerabilidades en los sistemas operativos que admiten software adaptado a versiones anteriores.

Nota: Backporting es la acción de tomar partes de una versión más reciente de un software y transferirlas auna versión anterior del mismo software. Cuando se utiliza este enfoque para aplicar parches de seguridaden distribuciones de Linux como Red Hat, Ubuntu, Debian y otras, el número de versión del software nocambia. Por lo tanto, los análisis del sistemacontinuarán viendoel software comodesactualizado y reportaránfalsos positivos. La mejor forma de evitar estos falsos positivos es configurar el análisis autenticado, quepermitirá que los análisis del sistema verifiquen el nivel de parche real en el sistema que se está analizando.Lamentablemente, no siempre es posible ejecutar análisis autenticados, por lo que puede utilizar laconfiguraciónOmitir software con versiones anteriores. Esto le permite decidir si los análisis del sistemadeben informar vulnerabilidades en el software adaptado a versiones anteriores.

• Registro de análisis extendido. Solo habilite esta opción si necesita depurar un análisis.

Selección de complementos

Puede elegir complementos específicos para analizar. Puede definir una configuración de análisis que excluirá o incluiráel análisis de ciertos complementos. La situación más común es cuando se anuncian nuevas vulnerabilidades críticas alpúblico y le gustaría analizar esa vulnerabilidad específica. Por ejemplo, puede crear una plantilla de análisis que solobuscará la vulnerabilidad “Heartbleed”.

Para inspirarte, ve a Plantillas > Plantillas de escaneo de red para ver algunas de las plantillas de escaneo integradas.

Nota: Se recomienda analizar siempre con un conjunto completo de complementos. Un análisis que cubre unacantidad limitada de complementos da un estado de falsa seguridad del sistema analizado y puede afectar elestado de corrección de vulnerabilidades conocido por Elements Vulnerability Management. Por ejemplo, lasvulnerabilidades detectadas previamente pueden desaparecer en el último informe y considerarse reparadas.

Autenticación

Además del análisis regular basado en red, donde se analizan los puertos del host y se revisan los servicios expuestos enbusca de fallas, también puede ejecutar un análisis del sistema enmodo autenticado, lo que le permite autenticar el hostde destino. El análisis autenticado ayuda a eliminar posibles falsos positivos y verificar los niveles de parches y otrasconfiguraciones incorrectas.

Para obtener más información, consulte Análisis autenticado.

3.2.5 Análisis web

El análisis web le permite analizar y probar aplicaciones web. Puede utilizar el análisis web durante el desarrollo de nuevasaplicaciones como parte del ciclo de vida del desarrollo.

Esto da como resultado la posibilidad de descubrir vulnerabilidades conmayor rapidez, lo que reduce significativamenteel costo y la cantidadde recursos necesarios paramitigar las vulnerabilidades enunaetapaposterior, ya que los problemasde seguridad se detectan muy temprano en el proceso.

El análisis web se considera una función de análisis adicional que se puede aplicar sobre un análisis del sistema existente.En otras palabras, se recomienda que siempre que examine un objetivo con un análisis web, también deba examinarsecon un análisis del sistema.

Aplicaciones web personalizadas

Antes de crear un nuevo análisis web, primero debe comprender cuándo tiene sentido usarlo. Como regla general, solodebe analizar aplicaciones web personalizadas con un análisis web. Por ejemplo, si tiene un sistema que ejecuta unaimplementación estándar deWordPress (sin ningúnmódulo personalizado instalado), no tiene sentido analizarlo con unanálisis web, porque los análisis del sistemapuedendetectar la versióndeWordPress y cualquier vulnerabilidad conocida.Sin embargo, si sabe que su versión deWordPress contienemódulos personalizados, tiene sentido analizarlo con análisisdel sistema y análisis web. Tenga en cuenta que solo necesita analizar el código omódulo personalizado y no todo el sitioweb.

Agregar un análisis web

Puede agregar análisis web nuevos a cualquier grupo de análisis que está configurado para incluirlos.


Para agregar y configurar un nuevo análisis web:

1. Ve a la Escaneos de red página.

2. Haga clic en el ícono de menú y seleccioneAgregar análisis web.

3. Ingrese la configuración general para el análisis:

a) Ingrese la URL que desea analizar en el campoAnalizar URL de destino.

b) Escriba un nombre para el análisis en el campoNombre.

c) Seleccione el usuario de Elements Vulnerability Management responsable del análisis en el menú Responsable.

d) Agregue URL relativas al análisis.

e) Haga clic en Siguiente para continuar.

4. Ingrese la configuración de la política para el análisis.

• Ejecutar ataques: Seleccione esta opción para probar la aplicación mediante la ejecución de ataques de scriptsentre sitios y ataques de inyección SQL. Si deshabilita esta opción, el análisis terminará rápidamente, por lo quepuede ver qué parte de la aplicación el análisis web pudo rastrear o detectar. Esta opción está destinadaprincipalmente a depurar la cobertura de un análisis web.

• Habilitacióndel rastreador: Especifica si el análisis webpuede rastrear e indexar la aplicaciónono.Al deshabilitaresta función, debe usar registros para alimentar el análisis web con las URL de destino.

• Atacar formularios: Esta opciónespecifica si el análisiswebpuede atacar los formulariosweb identificadosdentrode la aplicación. Un formulario web podría ser un formulario de contacto o una función de búsqueda.

Importante: Si la aplicaciónwebdedestinocontieneun formulariowebquegeneracorreoselectrónicoso similar, y el análisis web ataca dicho formulario web, puede generar miles de correos electrónicos. Sino está seguro de si la aplicación incluye dicha funcionalidad, debe deshabilitar esta opción o incluir enla lista negra el análisis de dicha funcionalidad.

• Puntos de entrada adicionales: Aquí puede agregar rutas relativas adicionales que el análisis web podría noencontrar automáticamente porque no están vinculados a ninguna parte.

• Registro de análisis extendido: Seleccione esta opción si desea obtener un registro más extenso para fines dedepuración.

5. Ingrese las reglas de escaneo necesarias para el escaneo.

Las reglas de escaneo le permiten controlar lo que escaneo web está y no está autorizado a escanear. Puede definirrutas de URL relativas o utilizar expresiones regulares.

6. Configure los encabezados personalizados para el análisis.

Esto lepermitedefinir encabezadosde solicitudHTTPpersonalizadosquedebenusarseduranteel análisis. Porejemplo:

• Cambie el Agente de usuario para no sobrecargar las estadísticas del sitio web.

• Cambie el Agente de usuario para simular diferentes navegadores o sistemas operativos.

• Aplique cookies específicas para autenticación, equilibrio de carga, idioma, etc.

• Defina un encabezado Host personalizado para llegar a una aplicación en el servidor de destino.

7. Establezca el número de subprocesos utilizados por el análisis web.

Nota: El análisiswebesmuypotente ydemasiados subprocesospuedengenerar condicionesdeDenegaciónde servicio en algunos sitios web. Recomendamos comenzar con una baja cantidad de subprocesos paraevitar sobrecargar la aplicación.


9. Agregue los registros necesarios:

a) Seleccione el tipo de registro.

b) Seleccione Fusionar con registros agregados previamente si desea agregarlo al registro existente.

Si no se selecciona esta configuración, se sobrescribirá el registro existente.

c) Haga clic en Examinar y seleccione su archivo.

10. Seleccione la autenticación que se utilizará para el análisis.

• AutenticaciónHTTPbásica: Permitequeel análisiswebanalice aplicacionesque requierencredencialesde iniciode sesión mediante autenticación básica.

36 | Análisis

• Autenticaciónbasadaenformularios: Permitequeel análisiswebanaliceaplicacionesque requierencredencialesde inicio de sesión mediante autenticación basada en formularios. Si utiliza esta función, debe proporcionar lasiguiente información:

• Huella digital de inicio de sesión: Un string dentro de cualquier respuesta HTTP que indica que el análisis webse ha autenticado correctamente en la aplicación.

• Huella digital de cierre de sesión: Un string dentro de cualquier respuesta HTTP que indica que se ha cerradola sesión del análisis web.

• Una solicitud HTTP de inicio de sesión dentro de los registros de su análisis web.

11. Si desea que el análisis active notificaciones, habiliteNotificaciones y seleccione las condiciones.


Registros delanálisiswebLos registros se utilizan para alimentar al análisis web con solicitudes HTTP válidas para usar durante el análisis.

Conun registro, el análisis puede seguir la actividaddeunusuarionormal y, como resultado, comprenderámejor la lógicade la aplicación y potencialmente identificará más vulnerabilidades. Los registros son útiles cuando el motor de rastreono puede identificar determinadas funciones o si los formularios web requieren una entrada específica antes de que elservidor losprocese. Porejemplo, los componentesdeclientepesadocomoFlashySilverlightnopueden ser interpretadosni rastreados por análisis web, pero puede acceder al contenido manualmente y cargar las solicitudes HTTP válidas a unanálisis web. Otro ejemplo es una aplicación bancaria que solo permite transferencias a un número de cuenta bancariaespecífico. Con los registros, puede proporcionarle al análisis web la solicitud HTTP exacta que contiene el número decuenta válido, por ejemplo.

Para crear un registro, necesitará una herramienta de proxy HTTP que pueda registrar solicitudes mientras navega porel sitio web de destino. Se admiten los siguientes formatos de registro:

• Archivos XML de Burp Proxy (registro del historial de proxy)

• Archivos SAZ de Fiddler (elementos de araña guardados)

• Archivos TXT de Radar nProxy (registros de la herramienta Radar nProxy)

• Archivos XML de grabación de Elements Vulnerability Management (formato interno para las grabacionesexistentes de Elements Vulnerability Management)

Este documento solo describe cómo usar nProxy en detalle. Las otras herramientas solo se describen brevemente.

Generar registros con Burp ProxyBurp Proxy es un servidor proxy de interceptación para realizar pruebas de seguridad en aplicaciones web.

1. Descargue Burp Suite (edición gratuita) y ejecútelo.

Si no está familiarizado con la herramienta, lea la guía Introducción a Burp Suite.

2. Registre la aplicación de destino.

3. Guarde los datos en un archivo XML:

a) Vaya a la pestañaHistorial > de proxy.

b) Seleccione las solicitudes de la lista y haga clic con el botón derecho en ellas.

c) Seleccione Guardar elementos.

d) Almacene el archivo, por ejemplo como recording.xml.

Generar registros con FiddlerFiddler es un proxy de depuración web gratuito para varios navegadores, sistemas y plataformas.

1. Descargue Fiddler.

2. Configure su navegador para usarlo como proxy en el puerto localhost 8888.

Esta es la configuración de proxy predeterminada de Fiddler.

3. Examine la aplicación web de destino y guarde el registro de Fiddler como un archivo SAZ:

a) Seleccione la lista de URL que desea exportar.

b) Seleccione Guardar > Sesiones seleccionadas > en ArchiveZIP… en el menú contextual.

El archivo de sesión contiene todas las solicitudes y respuestas del tráfico generado.


3.3 Buscar sistemas conectados a Internet

Puede encontrar los sistemas de su organización que utilizan Internet en Elements Vulnerability Management conDetección de Internet.

La detección de Internet utiliza rastreo y mapeo de puertos para permitirle recopilar datos en sistemas públicos. Puedebuscar datos según la ubicación, el dominio de nivel superior, el dominio de nivel de pago, las palabras clave, el nombrede host y la dirección IP.

Puede agregar los hosts descubiertos a un grupo de análisis para el análisis de vulnerabilidades de la redmediante análisispasivo o activo. Los análisis pasivos buscan vulnerabilidades sin conectarse al host de destino. El análisis activo ejecutaun análisis regular del sistema en el host.

1. Vaya a la página Detección de Internet.

2. Abra Filtrar.

3. Escriba su consulta de búsqueda con el siguiente formato:

• Use country:<country code> para buscar hosts en un país específico

• Use tld:<top-level domain> para buscar hosts utilizando un dominio de nivel superior específico

• Use pld:<domain> para buscar hosts dentro de un dominio de nivel de pago específico

• Use host:<search string> para buscar nombres de host que contienen un string específico

• Use keyword:<search string> para buscar hosts que contienen una palabra clave específica

• Use ip:<IP address> para buscar hosts que utilizan una dirección IP específica.

4. Haga clic enAplicar.

5. Seleccione los hosts que desea analizar.

6. Haga clic enAgregar al grupo de análisis.

7. Elija el tipo de análisis que desea ejecutar.

8. Seleccione los grupos de análisis para los hosts.

9. Haga clic enAgregar.

3.4 Activación del análisis deWithSecure Elements Agent en dispositivos

Para ejecutar análisis de vulnerabilidades en dispositivos de punto de conexión en su red, debe habilitar la función paraesos dispositivos.

WithSecureElementsAgent concapacidadesdeVMesuna aplicacióndeclientedeWindowsqueproporcionaunenfoqueadicional para realizar exploraciones de vulnerabilidades en los dispositivos de su red.

Nota: El análisis deWithSecureElementsAgent solo estádisponible si utiliza ElementsVulnerabilityManagementcomo un servicio en la nube WithSecure.

1. En el portal de Elements Vulnerability Management, seleccione Detección de dispositivos.Esta página muestra una lista de los dispositivos detectados que tienen instalado WithSecure Elements Agent concapacidades de VM. Si su red tiene Elements Endpoint Protection o Elements Detection and Response instalados endispositivos Windows, estos también se muestran aquí.

2. Seleccione losdispositivos en losquedesea activar el análisis de vulnerabilidades y luego seleccioneHabilitar análisis.Esto activa el módulo de Elements Vulnerability Management en el dispositivo y desencadena el análisis devulnerabilidades inicial. También crea una programación de análisis basada en la configuración de su organización,por ejemplo, para ejecutar un análisis de vulnerabilidades cada 6 horas.

3. SeleccioneActivos y compruebe que los dispositivos activados aparezcan en la lista.Al principio, los detalles de los dispositivos solo incluyen datos de telemetría básicos, como la dirección IP, el nombredehost y la direcciónMAC.Despuésdeun tiempo, los hallazgosde vulnerabilidaddel análisis deWithSecureElementsAgent comienzanaapareceren laVulnerabilidadesyhallazgos fichade laDetallesdeactivospáginadel dispositivo.

Después del escaneo inicial, WithSecure Elements Agent con capacidades de VMejecuta un nuevo escaneo cada vez quehay cambios importantes en el software instalado en el dispositivo.Tareas relacionadas

Instalación de WithSecure Elements Agent con funciones de máquina virtual en la página24

38 | Análisis

Puede descargar el paquete de instalación para WithSecure Elements Agent con capacidades de VM desde el ElementsVulnerability Management portal e instálelo en los dispositivos Windows de su red.

3.4.1Cambiar la frecuenciade lasactualizacionesdeestadode lospuntosdeconexión

Puedeconfigurar la frecuencia con laqueElementsAgent concapacidadesdeVMenvía informacióndeestadoactualizadasobre vulnerabilidades en los dispositivos de su red al Elements Vulnerability Management portal.

Nota: Además de las actualizaciones de estado programadas, los puntos de conexión envían automáticamentecualquier información al portal de Elements VulnerabilityManagement de los análisis que se activan por cambiosen el software instalado.

1. Seleccione la página Configuración y vaya a Configuración general > Varios.

2. Seleccione la frecuencia de actualización que desee en el campo desplegable Programación de actualización dedatos de vulnerabilidad en puntos de conexión.

3. Haga clic en Guardar.

3.5 Análisis autenticado

Además del análisis regular basado en la red, donde se analizan los puertos del host y se revisan los servicios expuestosen busca de fallas, también puede ejecutar análisis del sistema enmodo autenticado, lo que le permite autenticar el hostde destino.

Nota: Solo puede ejecutar análisis autenticados para destinos de análisis del sistema Linux yWindows que esténconfigurados para utilizar nodos de análisis privados instalados en la red del cliente. Los análisis de sistemasautenticados no funcionan si están configurados para utilizar nodos de análisis en la nube.

El análisis autenticado ayuda a eliminar posibles falsos positivos y verificar los niveles de parches y otras configuracionesincorrectas. Para obtener más información sobre el modo de análisis autenticado, consulte:

• Análisis autenticado de Windows (WinRM) (recomendado)

• Análisis autenticado deWindows (RPC) (solo disponible para nodos de análisis implementados en equiposWindows)

• Análisis autenticado de Linux

3.5.1 Análisis autenticado deWindows (WinRM)

Esta sección proporciona instrucciones sobre cómo preparar su red interna para el análisis autenticado mediante laAdministración remota de Windows (WinRM).

ConSeguridad Elements Vulnerability Management admite dos formas de autenticación en sistemas Windows:

• Si el nodo de análisis está implementado en un equipo Windows, usar las credenciales de la cuenta de servicio delnodo de análisis (recomendado)

• Especifique las credenciales explícitamente en WithSecure Elements Vulnerability Management portal

ConSeguridadElementsVulnerabilityManagementutilizaWinRMpara comprobar si faltanparchesdeWindowsydetectarvulnerabilidades relacionadas con software comúnde terceros.WinRMobtiene la listadeparchesdeWindowsdelAgentede actualización de Windows utilizando una de las siguientes fuentes:

• El propio Windows Update Service de Microsoft (se requiere acceso a Internet)

• Un servicio WSUS de red interna

• Un archivo de base de datos de Windows Update (disponible solo cuando se utilizan nodos de análisis que seimplementan en equipos Windows)

Estas opciones se pueden habilitar y deshabilitar enWithSecure Elements Vulnerability Management escanear plantillas.

Si elige la primera opción (WindowsUpdate Service), también puede seleccionar la opciónComprobar otros productosdeMicrosoft. Esto lepermite recuperar actualizacionesnosolopara sistemasWindows, sino tambiénparaotrosproductosde Microsoft (comoMicrosoft Office).

Nota: Windows 10, Windows Server 2016 o sistemas de destino más recientes que no tienen la opción RecibiractualizacionesdeotrosproductosdeMicrosoft cuandoseactualizaWindowshabilitadaen la configuraciónde Windows Update, pueden no incluir el servicio necesario para buscar actualizaciones para otros productosde Microsoft. Para mitigar este problema, Elements Vulnerability Management agrega el Id. de la fuente del


servicio al destino, si es necesario. AunqueElementsVulnerabilityManagement nopuededeshacer este cambio,no debería ser una preocupación, ya que no afecta ninguna funcionalidad de Windows Update Service ni laconfiguración de las actualizaciones automáticas en un equipo analizado.

La tercera opción (archivo de base de datos de actualizaciones de Windows) se puede usar como una opción deconmutaciónpor error si los sistemasWindowsdedestinono tienenaccesode redal serviciode actualizacióndeWindowsoWSUS. Cuando está habilitado, WithSecure Elements Vulnerability Management puede comprobar si faltan parches deWindows cargando el archivo de la base de datos de actualizaciones de Windows (wsusscn2.cab) en la carpetatemporal del sistema de destino (%SystemRoot%\Temp\MBSA\Cache\). Una vez cargado, WUA utilizará estearchivo para comprobar si faltan parches de Windows, sin acceder a Internet.

Además de comprobar si faltan parches de Windows, WithSecure Elements Vulnerability Management también detectavulnerabilidades relacionadas con software comúnde terceros.WinRMobtiene la lista de softwarede tercerosdel Registrode Windows.

Configurar el análisis autenticado deWindows (WinRM)

Antes de aplicar los cambios, WithSecure recomienda discutir todos los posibles cambios con su administrador de red.

A continuación, se resumen los requisitos para habilitar el análisis autenticado de WinRM para Windows:

• Si se está utilizando un nodo de análisis de Linux, una cuenta de usuario debe cumplir con los siguientes requisitos:

• Cuenta de usuario local agregada al grupoAdministradores

• Si se está utilizando un nodo de análisis de Windows, existen dos opciones para las cuentas de usuario:

• Una cuenta de usuario de Active Directory agregada al grupoAdministradores

• Cuenta de usuario local agregada al grupoAdministradores

• Requisitos de configuración del host de destino:

• El servicio WinRM se está ejecutando y se crea el puerto de escucha HTTP o HTTPS de WinRM

Nota: Cuando se utiliza un nodo de análisis implementado en Linux, le recomendamos que utilice solola opción HTTPS debido a problemas de autenticación conocidos para las conexiones no cifradas entreLinux y Windows.

• Sistemas operativos con firewall de Windows con el componente de seguridad avanzada instalado (introducidoen Windows Vista), donde se habilita una excepción de firewall para el tráfico de WinRM

• Autenticación básica permitida en el servicio WinRM (solo para nodos de análisis implementados en Linux)

• Requisitos de configuración del nodo de análisis:

• Solo para el protocolo HTTP: El host de destino se agrega a la lista TrustedHosts

Nota: Cuando se utiliza un archivo de base de datos de Windows Updates para el análisis, el nodo de análisiscopiará el archivo de base de datos a la carpeta %SystemRoot%\Temp\MBSA\Cache\ durante el análisisy la eliminará una vez finalizado el análisis (solo para los nodos de análisis implementados en Windows).

La mayoría de los comandos de configuración requieren la ejecución de una consola de PowerShell con privilegiosadministrativos.

Actualizar PowerShellLa configuración requiere PowerShell versión 5.0 o más reciente, aunque recomendamos instalar la actualización másreciente de PowerShell.

Para verificar la versión de PowerShell y actualizarla:

1. Abra una consola de PowerShell con privilegios administrativos.

2. Ejecute el siguiente comando para verificar la versión instalada de PowerShell:

Get-Host | Select-Object Version

3. Si es necesario, descargue la versión requerida de PowerShell desde el Centro de descarga de Microsoft e instálela.

4. Reinicie el equipo.

40 | Análisis

Crear una cuenta de usuario exclusivaRecomendamosquecreeuna cuentadeusuario exclusiva para ElementsVulnerabilityManagement conacceso aWinRM.

Para crear una nueva cuenta de usuario:

1. VayaaPaneldecontrol >Herramientasadministrativas >Administracióndeequipos >Usuariosygrupos locales >Usuarios.

2. Agregue una nueva cuenta de usuario.

3. Agregue la nueva cuenta de usuario al grupoAdministradores.

Configurar el servicio deWinRM para usar HTTP en hosts individualesPuede configurar el servicio de WinRM utilizado para el análisis autenticado para gestionar el tráfico de red a través deHTTP.

Nota: No se recomienda el uso deHTTP paraWinRM fuera de un entorno de dominio donde el protocoloNTLMnoproporciona unnivel suficiente deprotecciónpara las credenciales. Esto también significa que el usodeHTTPes particularmente inadecuado cuando se utilizan nodos de análisis que se implementan en equipos Linux.

Nota: En entornos de dominio más grandes, se recomienda configurar el servicio de WinRM a través de laDirectiva de grupo.

1. En el equipo de destino donde desea ejecutar el servicio deWinRM, ejecute el siguiente comando para configurar laadministración remota:

Set-WSManQuickConfig –Force

Nota: Si el equipo está en una red pública, use el parámetro adicional-SkipNetworkProfileCheck,que habilita una regla de firewall para redes públicas.

Estecomandogarantizaqueel serviciodeWinRMseestáejecutandoyestáconfiguradopara iniciarseautomáticamente,crea un puerto de escucha HTTP para aceptar solicitudes de WinRM y crea una excepción de firewall para el tráficode WinRM.

2. En el nodo de análisis, ejecute el siguiente comando para agregar el host de destino a la lista TrustedHosts:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value '{IpAddress}'

Nota: Utilice la dirección IP del equipo de destino. Utilice el carácter comodín (*) en lugar de una direcciónIP para agregar todos los equipos.

Configurar el servicio deWinRM para usar HTTP a través del GPOPara entornos de dominiomás grandes, le recomendamos que configure el servicio deWinRM a través de la Directiva degrupo.

Nota: No se recomienda el uso deHTTP paraWinRM fuera de un entorno de dominio donde el protocoloNTLMnoproporciona unnivel suficiente deprotecciónpara las credenciales. Esto también significa que el usodeHTTPes particularmente inadecuado cuando se utilizan nodos de análisis que se implementan en equipos Linux.

1. Crear un nuevo objeto de directiva de grupo:

a) Seleccione Inicio >Herramientas administrativas >Administración de directivas de grupo.

b) Haga clic con el botón derecho en Dominios y seleccione Crear un GPO en este dominio y vincularlo aquí.

c) IntroduzcaElements Vulnerability Managementcomoelnombre requeridoyhagaclic enAceptar.

d) Haga clic con el botón derecho del mouse sobre el GPO creado (Elements Vulnerability Management) yseleccione Editar.

2. Habilite la administración remota del servidor a través de WinRM:

a) Seleccione Configuración del equipo > Políticas > Plantillas administrativas > Componentes deWindows >Administración remota deWindows (WinRM) > Servicio deWinRM.

b) Haga clic con el botón derecho enHabilitar la administración remota del servidor a través deWinRM,seleccioneHabilitado e introduzca los filtros IPv4 e IPv6 adecuados.


3. Active el servicio de WinRM:

a) Seleccione Configuración del equipo > Preferencias > Configuración del panel de control.

b) Haga clic en el botón derecho en Servicios y seleccioneNuevo > Servicio.

c) SeleccioneAutomático como el tipo de Inicio yWinRM como el ServiceName.

4. Agregue una regla de firewall para permitir el tráfico:

a) SeleccioneConfiguracióndel equipo >Políticas >ConfiguracióndeWindows >Configuraciónde seguridad >Firewall deWindows con seguridad avanzada.

b) Haga clic con el botón derecho en Reglas de entrada y seleccioneNueva regla.

c) SeleccioneAdministración remota deWindows como el tipo de regla Predefinido y haga clic en Siguiente.

d) Seleccione la regla adecuada para su perfil de red y haga clic en Siguiente.

e) Seleccione Permitir la conexión y haga clic en Finalizar.

5. En el nodo de análisis, ejecute el siguiente comando para agregar el host de destino a la lista TrustedHosts:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value '{IpAddress}'

Nota: Utilice la dirección IP del equipo de destino. Utilice el carácter comodín (*) en lugar de una direcciónIP para agregar todos los equipos.

Configurar el servicio deWinRM para usar HTTPS con un certificado firmado públicamenteDespués de crear la cuenta de usuario deWinRM exclusiva para Elements Vulnerability Management, debe configurar elservicio de WinRM en el equipo donde desea ejecutarlo.

Para configurar la administración remota en un equipo que usa un certificado firmado públicamente:

1. Ejecute el siguiente comando:

Set-WSManQuickConfig -UseSSL -Force

Nota: Cuando el equipo esté en una red pública, use el parámetro adicional-SkipNetworkProfileCheck, que también habilita una regla de firewall para redes públicas.

Estecomandogarantizaqueel serviciodeWinRMseestáejecutandoyestáconfiguradopara iniciarseautomáticamente,crea un puerto de escucha HTTPS para aceptar solicitudes de WinRM y crea una excepción de firewall para el tráficode WinRM.

2. Si está utilizando nodos de análisis de Linux, habilite la autenticación básica de WinRM:

winrm set winrm/config/service/auth '@{Basic="true"}'

Configurar el servicio deWinRM para usar HTTPS sin un certificado firmado públicamenteSi el equipo no usa un certificado firmado públicamente, debe realizar algunos pasos adicionales.

Si está utilizando una versión de Windows anterior a Windows 8/Windows Server 2012, debe crear un certificado en unequipo independiente más reciente y luego exportar el certificado a un archivo. Utilice los siguientes comandos parahacer esto:

$cert = New-SelfSignedCertificate -CertstoreLocation ^Cert:\LocalMachine\My -DnsName "{ipAddress}"$password = ConvertTo-SecureString -String "{password}" -Force ^-AsPlainTextExport-PfxCertificate -Cert $cert -FilePath "{filePath}" -Password ^$password

Nota: Utilice la dirección IP del equipo de destino.

Para configurar la administración remota en un equipo que no usa un certificado firmado públicamente, siga todos lossiguientes pasos en el equipo Windows de destino usando PowerShell:

42 | Análisis

1. Inicie el servicio WinRM y configúrelo para que se inicie automáticamente:

Set-Service -Name "WinRM" -StartupType Automatic -Status Running

2. Genere un nuevo certificado autofirmado:

Para Windows 8/Windows Server 2012 y sistemas más recientes:

a) Use el siguiente comando de PowerShell para crear el certificado:

$Cert = New-SelfSignedCertificate -CertstoreLocation ^Cert:\LocalMachine\My -DnsName "{ipAddress}"

b) Use el siguiente comando para verificar la huella digital del certificado, que necesita para la creación del puertode escucha HTTPS de WSMan:

$cert.Thumbprint

Para las versiones anteriores del sistema operativoWindows, copie el certificado exportado anteriormente al equipode destino e impórtelo a un almacén de certificados personales:

Nota: Para ver los certificados en el almacén de la máquina local, debe utilizar privilegios de administrador.

a) Escriba mmc y presione Entrar.

b) SeleccioneArchivo >Agregar/eliminar complemento.

c) En el cuadro de diálogo Complementos disponibles, seleccione Certificados.

d) Haga clic enAgregar.

e) En el cuadro de diálogo Complemento de certificados, seleccione Cuenta de equipo y luego haga clic enSiguiente.

f) En el cuadro de diálogo Seleccionar equipo, haga clic en Finalizar.

g) En el cuadro de diálogoAgregar/eliminar complemento, haga clic enAceptar.

h) SeleccioneCertificados(equipo local) >Personal, hagaclic conel botónderechoy seleccioneTodas las tareas >Importar.

i) Busque el certificado copiado y luego haga clic en Siguiente.

j) Escriba la contraseña para el certificado y luego haga clic en Siguiente.

k) Haga clic en Finalizar.

3. Agregue un nuevo puerto de escucha HTTPS de WSMan:

New-Item -Path WSMan:\LocalHost\Listener -Transport HTTPS -Address * ^-CertificateThumbPrint $Cert.Thumbprint –Force

4. Agregue una nueva regla de firewall para habilitar el tráfico HTTPS de WinRM:

Para Windows 8/Windows Server 2012, y sistemas más recientes, use el siguiente comando de PowerShell para crearla regla de firewall:

New-NetFirewallRule -DisplayName "Windows Remote Management ^(HTTPS-In)" -Name "Windows Remote Management (HTTPS-In)" -Profile ^Any -LocalPort 5986 -Protocol TCP

Para versiones anteriores del sistema operativo Windows:

a) Vaya a Panel de control > Firewall deWindows > Configuración avanzada.

b) Agregue una nueva regla para el tráfico entrante que habilite el puerto TCP 5986 para los perfiles de redseleccionados.

5. Si está utilizando nodos de análisis de Linux, ejecute el siguiente comando de PowerShell en el equipo Windows dedestino para habilitar la autenticación básica de WinRM:

winrm set winrm/config/service/auth '@{Basic="true"}'


Resolución de problemas de análisis autenticado deWindows (WinRM)

Se recomienda que verifique la funcionalidad de la nueva cuenta desde un host remoto antes de usar la cuenta para elanálisis autenticado de Windows.

Nota: Ejecute los comandos descritos en los pasos 1 a 5 directamente en el equipo de destino. Esto verifica quela Administración remota deWindows (WinRM) esté configurada correctamente en ese equipo y tengapermisossuficientes para que Windows esté listo para el análisis autenticado.

1. Asegúrese de que PowerShell 5, o una versión más reciente, esté instalado:

Get-Host | Select-Object Version

2. Verifique los permisos de WinRM para los grupos de usuarios o la cuenta de usuario individual:

(Get-PSSessionConfiguration -Name Microsoft.PowerShell).Permission

3. Asegúrese de que el servicio WinRM se esté ejecutando:

Get-Service -Name "WinRM"

4. Asegúrese de que el puerto de escucha HTTPS de WinRM esté configurado:

winrm enumerate winrm/config/listener

5. Verifique la configuración detallada de WinRM:

winrm get winrm/config/service

6. Ejecute el script de PowerShell correspondiente para su configuración desde un host remoto (por ejemplo, desde elnodo de escaneo de máquina virtual WithSecure Elements si es posible):

Nota: Si es posible, ejecute este comando en un equipo con el Agente de nodo de análisis instalado. De estamanera, puede ver si es posible configurar la sesión remota y ejecutar el comando de un nodo de análisis auna IP de Windows de destino ($ip) utilizando las credenciales de la cuenta de análisis autenticada.

• Nodo de análisis de Windows con credenciales explícitas y puerto de escucha HTTPS de WinRM en uso:

$ip = "{ip}"$user = "{username}"$pass = "{password}" | ConvertTo-SecureString -AsPlainText -Force$cred = New-Object System.Management.Automation.PSCredential ($user, $pass)

$pso = New-PSSessionOption -SkipCACheck -SkipCNCheckInvoke-Command -ComputerName $ip -Credential $cred -Authentication Negotiate -Port 5986-UseSSL -SessionOption $pso {if ((Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsNT\CurrentVersion').Property.Contains('ProductName')){(Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name'ProductName').ProductName}}

• Nodo de análisis de Linux con credenciales explícitas y puerto de escucha HTTPS de WinRM en uso:


$pso = New-PSSessionOption -SkipCACheck -SkipCNCheckInvoke-Command -ComputerName $ip -Credential $cred -Authentication Basic -Port 5986 -UseSSL-SessionOption $pso {if ((Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsNT\CurrentVersion').Property.Contains('ProductName')){(Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name'ProductName').ProductName

44 | Análisis

}}

• Nodo de análisis de Windows con credenciales explícitas y puerto de escucha HTTP de WinRM en uso:


$pso = New-PSSessionOption -SkipCACheck -SkipCNCheckInvoke-Command -ComputerName $ip -Credential $cred -Authentication Negotiate -Port 5985-SessionOption $pso {if ((Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsNT\CurrentVersion').Property.Contains('ProductName')){(Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name'ProductName').ProductName}}

• Nodo de análisis de Windows con credenciales de cuenta de servicio del nodo de análisis y puerto de escuchaHTTPS de WinRM en uso:

$ip = "{ip}"

$pso = New-PSSessionOption -SkipCACheck -SkipCNCheckInvoke-Command -ComputerName $ip -Authentication NegotiateWithImplicitCredential -Port5986 -UseSSL -SessionOption $pso {if ((Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsNT\CurrentVersion').Property.Contains('ProductName')){(Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name'ProductName').ProductName}}

• Nodo de análisis de Windows con credenciales de cuenta de servicio del nodo de análisis y puerto de escuchaHTTP de WinRM en uso:

$ip = "{ip}"

$pso = New-PSSessionOption -SkipCACheck -SkipCNCheckInvoke-Command -ComputerName $ip -Authentication NegotiateWithImplicitCredential -Port5985 -SessionOption $pso {if ((Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\WindowsNT\CurrentVersion').Property.Contains('ProductName')){(Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' -Name'ProductName').ProductName}}

Cada uno de estos scripts genera la versión del sistema operativo del host de destino.

Problemas conocidos:

• Error en la búsqueda de actualizaciones deWindows enWindows 10 (versiones 1703, 1709 y 1803): Debido aun error relacionado con el acceso a WMI de forma remota en estas versiones de Windows 10, puede producirse unerror durante la búsqueda de actualizaciones de Windows. Genera los errores Error en la búsqueda deactualizaciones de Microsoft Windows (1023713) en el informe del análisis del sistema y Accesodenegado (0x80070005) en el archivo de registro del análisis del sistema. Para resolver el problema, instale laactualizaciónmás recienteenel equipodedestino. El problemanoseproduceen las versiones anterioresni posterioresde Windows 10.

3.5.2 Análisis autenticado deWindows (RPC)

Esta sección proporciona instrucciones sobre cómo preparar su red interna para el análisis autenticado mediante laLlamada a procedimiento remoto (RPC).


Aviso: El escaneo autenticadomediante RPC es unmétodo obsoleto para el escaneo autenticado deWindows.Este método de autenticación se desactivará en un futuro próximo y no recomendamos su uso nunca más. Lesugerimos que comience a usar Análisis autenticado de Windows (WinRM) en cambio.

ConSeguridad Elements Vulnerability Management Admite dos formas de autenticarse en sistemas Windows:

• Usar las credenciales de la cuenta de servicio del nodo de análisis (recomendado)

• Especifique las credenciales explícitamente en WithSecure Elements Vulnerability Management portal

ConSeguridad Elements Vulnerability Management utiliza la API del agente de actualización de Windows (WUA) paracomprobar si faltanparchesdeWindows. Para verificarquéparches faltan,WUAdebeobtener la listadeparchesdisponiblesde una de las siguientes fuentes:

• El propio Windows Update Service de Microsoft (se requiere acceso a Internet)

• Un servicio WSUS de red interna

• Un archivo de base de datos de Windows Update

Lasdosprimerasopciones (Serviciode actualizacióndeWindows yWSUS) sepuedenhabilitar y deshabilitar enWithSecureElementsVulnerabilityManagementescanearplantillas. Si estáhabilitado, el sistemaWindowsescaneadodecidirá (segúnsu configuración) cuál de los dos métodos usar.

La tercera opción (archivo de base de datos de actualizaciones de Windows) se puede usar como una opción deconmutaciónpor error si los sistemasWindowsdedestinono tienenaccesode redal serviciode actualizacióndeWindowsoWSUS. Cuando está habilitado, WithSecure Elements Vulnerability Management puede comprobar si faltan parches deWindows cargando el archivo de la base de datos de actualizaciones de Windows (wsusscn2.cab) en la carpetatemporal del sistema de destino (%SystemRoot%\Temp\MBSA\Cache\). Una vez cargado, WUA utilizará estearchivo para comprobar si faltan parches de Windows, sin acceder a Internet.

Además de comprobar si faltan parches de Windows, WithSecure Elements Vulnerability Management también puededetectar vulnerabilidades relacionadas con software común de terceros. La lista de software de terceros se obtiene delRegistro de Windows. Lo único que se requiere para habilitar esta función es otorgar permiso al nodo de escaneo paraleer las claves de registro y habilitar Servicio de registro remoto en los sistemas Windows de destino.

Configurar el análisis autenticado deWindows (RPC)

Antes de aplicar los cambios, WithSecure recomienda que analice todos los posibles cambios de la Directiva de grupocon su administrador de red. Para obtener más información sobre la Directiva de grupo, consulte la documentación deMicrosoft sobre la implementación de la Directiva de grupo.

A continuación, se resumen los requisitos para habilitar el análisis autenticado para Windows:

• Una cuenta de usuario debe cumplir uno de los siguientes requisitos:

• Una cuenta de usuario de Active Directory agregada al grupo de administradores locales (recomendado)

• Cuenta de usuario de administrador incorporada

• Cuenta de usuario local agregada al grupo de administradores locales con la opciónModo de aprobación deadministrador deshabilitada

• Requisitos de configuración de Windows (preferentemente administrados a través de GPO)

• Tráfico de red entrante al asignador de extremos de RPC

• Tráfico de red entrante a los puertos dinámicos de RPC

• Tráfico de red entrante a TCP 445 (SMB/CIFS) y TCP 135 (RPC)

• Opcional (solo se requiere para verificar vulnerabilidades en software de terceros):

• Habilite el servicio de registro remoto (o permita que el nodo de análisis inicie el servicio automáticamentedurante el análisis)

• Otorgar acceso de lectura a las claves de registro

• Opcional (solo se requiere cuando se usa un archivo de base de datos de Windows Updates para el análisis):

• El nombredel recurso compartidode redADMIN$debe apuntar a%SystemRoot% (p. ej.C:\Windows).Utilice el comando net share para verificar esto.

Nota: Durante el análisis, el nodo de análisis copiará el archivo de la base de datos a la carpeta%SystemRoot%\Temp\MBSA\Cache\y laeliminaráunavezquesehayacompletadoel análisis.

46 | Análisis

Crear una cuenta de dominio deWindowsPara crear una nueva cuenta de dominio, puede usar el comando que se proporciona aquí, que debe ejecutarse concredenciales de administrador.

1. Inicie sesión como administrador y abra un símbolo del sistema con privilegios administrativos.

2. Ajuste el siguiente comando para que se adapte a su organización y ejecútelo:

dsadd user "cn=radar_account,cn=users,dc=ORGANIZATION,dc=COM" -samid \radar_account -upn [email protected] -pwd PASSWORD \-pwdneverexpires yes -mustchpwd no -fn radar_account -ln \fsecure_radar -display "Radar Account" -disabled no

3. Si es posible, configure la cuenta de usuario para que la contraseña no tenga fecha de vencimiento.

Se recomienda que utilice esta cuenta de dominio para ejecutar el servicio de Windows (agente de nodo de escaneo deVM deWithSecure Elements) y autenticarse en los sistemas Windows escaneados.

Deshabilitar el modo de aprobación de administradorEste paso se puede omitir si está utilizando una cuenta de dominio (recomendado) o una cuenta de administrador localincorporada para autenticarse en los sistemas Windows.

Este paso solo es necesario si WithSecure Elements Vulnerability Management está configurado para usar una cuenta deusuario local y se agrega al grupo del administrador local. Para deshabilitar elModo de aprobación del administrador,Haz lo siguiente:

1. Ejecute secpol.msc.

2. Vaya a Configuración de seguridad > Políticas locales >Opciones de seguridad y deshabilite la política Controlde cuentas de usuario: Ejecutar todos los administradores en el modo de aprobación de administrador.

3. Reinicie el equipo.

Configurar la directiva de GPOEnesta sección sedescribe la configuración recomendadade ladirectivadegrupoparael análisis autenticadode sistemasWindows.

Consulte con su administrador de red antes de realizar un cambio en la directiva de grupo, ya que los cambios puedentener un impacto adverso en las operaciones de su red, según la configuración de su red y la política de seguridad. Tengaen cuenta que la documentación detallada paramuchas de las configuraciones de la directiva de grupo que se enumerana continuación está disponible en línea cuando utiliza el Editor de directivas de grupo.

Importante: Recomendamosqueanalicecualquiercambiopotencial en ladirectivadegrupoconsuadministradorde red antes de implementar alguna modificación, ya que las configuraciones de su red local pueden dependerdequese implementenciertas configuraciones. Este servicionoverificaqueestas configuraciones seanadecuadaspara su red. Si realiza algún cambio en la directiva de grupo, puede tomar varias horas antes de que los cambiossurtan efecto en el cliente.

Para obtenermás información, consulte la documentación deMicrosoft sobre la implementación dedirectivas de grupo.

Se recomienda que cree una cuenta de usuario de Windows dedicada (como"ConSecure_Elements_Vulnerability_Management_account ") para ser utilizadoúnicamentepor losnodos de exploración WithSecure VM.

Crear unnuevoobjeto de directiva de grupo

1. Vaya a Inicio >Herramientas administrativas >Administración de directivas de grupo.

2. Haga clic con el botón derecho en Dominios y seleccione Crear un GPO en este dominio y vincularlo aquí.

3. Introduzca Elements Vulnerability Management como el nombre requerido y haga clic enAceptar.

4. Haga clic conel botónderechodelmouse sobre el GPOcreado (Elements Vulnerability Management)y seleccione Editar.Ahorapuedeeditar esteGPOenel Editor de administracióndedirectivas degrupo, dondedebe realizar los siguientespasos.

Recuerde agregar todos los equipos que se analizarán a su filtrado de seguridad.


Agregar una regla para habilitar el tráfico al asignador de extremos de RPC

1. VayaaConfiguracióndelequipo >Políticas >ConfiguracióndeWindows >Configuracióndeseguridad >FirewalldeWindowsconseguridadavanzada >FirewalldeWindowsconseguridadavanzada-LDAP >Reglasdeentrada.

2. Haga clic con el botón derecho y seleccioneNueva regla.

3. Seleccione Personalizado y haga clic en Siguiente.

4. Seleccione Esta ruta del programa e introduzca %systemroot%\system32\svchost.exe.

5. Seleccione Personalizar.

6. SeleccioneAplicar a este servicio, luego seleccione Llamadaaprocedimiento remoto (RPC) conel nombre cortoRpcSs y haga clic enAceptar.

7. Haga clic en Siguiente y acepte la ventana emergente.

8. Seleccione TCP como el Tipo de protocolo.

9. SeleccioneAsignador de extremos de RPC como el Puerto local y haga clic en Siguiente.

10. Especifique la dirección IP del nodo de análisis en la lista de direcciones IP remotas o seleccione Cualquier direcciónIP y luego haga clic en Siguiente.

11. Seleccione Permitir la conexión y haga clic en Siguiente.

12. Seleccione las casillas de verificaciónquecumplancon las condicionesdeconexióndel equipoyhagaclic enSiguiente.

13. EspecifiqueAsignador de extremos de RPC de Radar como el nombre y haga clic en Finalizar.

Agregar una regla para habilitar el tráfico a los puertos dinámicos de RPC



3. Seleccione Personalizado y haga clic en Siguiente.

4. Seleccione Todos los programas y haga clic en Siguiente.

5. Seleccione TCP como el Tipo de protocolo.

6. Seleccione Puertos dinámicos de RPC como el Puerto local y haga clic en Siguiente.

7. Especifique la dirección IP del nodo de análisis en la lista de direcciones IP remotas o seleccione Cualquier direcciónIP y luego haga clic en Siguiente.


9. Seleccione las casillas de verificaciónquecumplancon las condicionesdeconexióndel equipoyhagaclic enSiguiente.

10. Especifique Puertos dinámicos de RPC de Radar como el nombre y haga clic en Finalizar.

Agregar una regla para habilitar el tráfico a SMB/CIFS y RPC

Para agregar una regla de firewall para habilitar TCP/445 (SMB/CIFS) y TCP/135 (RPC):



3. Seleccione Puerto y haga clic en Siguiente.

4. Seleccione TCP y, en puertos locales específicos, introduzca 135, 445. Luego, haga clic en Siguiente.


6. Seleccione Dominio (u otro, según sus conocimientos) y luego haga clic en Siguiente.

7. EspecifiqueAnálisis de Radar como el nombre y haga clic en Finalizar.

Habilitar el servicio de registro remoto

1. VayaConfiguracióndel equipo >Políticas >ConfiguracióndeWindows >Configuracióndeseguridad >Serviciosdel sistema.

2. Haga doble clic en el servicio de Registro remoto.

3. Seleccione Definir esta configuración de política yAutomático y haga clicOK.

Otorgar acceso de lectura a las claves de registro

1. VayaConfiguracióndel equipo >Políticas >ConfiguracióndeWindows >Configuracióndeseguridad >Registro.

48 | Análisis

2. Haga clic con el botón derecho y seleccioneAgregar.

3. Seleccione MACHINE\System\CurrentControlSet\Control\SecurePipeServers\winreg.

4. Agregue el permiso de lectura para la cuenta de usuario previamente seleccionada (dominio o local) que utiliza paraautenticarse en los sistemas Windows.

5. Haga clicAceptar y seleccione Propagar los permisos heredables a todas las subclaves.

6. Haga clic enAceptar.

Agregar unnodode análisis al dominio

El nodo de análisis debe ser parte de su dominio y Radar_account debe configurarse como administrador local enel nodo de análisis.

Para hacer esto, habilite las siguientes configuraciones:

1. AbraHerramientas administrativas >Administración de directivas de grupo y seleccione su dominio.

2. Haga clic con el botón derecho y seleccione Crear un GPO en este dominio y vincularlo aquí.

3. Escriba un nombre, por ejemplo Scannode-Admin y haga clic enAceptar.

4. Seleccione el GPOcreado y agregue el equipo en el que se ejecutará el nodode análisis con el Filtradode seguridad.

5. Haga clic con el botón derecho y seleccione Editar.

6. Edite el GPO en el Editor de administración de directivas de grupo:

a) Vaya a Configuración del equipo > Políticas > Configuración deWindows > Configuración de seguridad >Grupos restringidos.

b) Haga clic con el botón derecho y seleccioneAgregar grupo.

c) SeleccioneAdministradores y haga clic enAceptar.

d) Junto aMiembros de este grupo, haga clic enAgregar.

e) Busque el usuario que se utilizará para ejecutar el nodo de análisis y acéptelo.

f) Para actualizar el GPO, ejecute gpupdate.exe.

Configurar el WithSecure Elements Vulnerability Management portal

1. Inicie sesión en el portal de Elements Vulnerability Management.

2. Ir Plantillas y abre el Plantillas de escaneo de red pestaña.

3. Hacer clicAgregar plantilla de escaneo de red o haga clic en el icono demenú en el Comportamiento columna yseleccione Editar para editar una plantilla existente.

4. Seleccione Credenciales deWindows desde el menú desplegableMétodo de autentificación.

5. Especifique las credenciales que deben usarse:

• Utilice la cuenta de servicio del nodo de análisis

• Especificar las credenciales de manera explícita

6. Seleccione las fuentes que puede utilizar WUA cuando comprueba si faltan parches en el sistema Windows:

• Microsoft Update Server o Windows Server Update Services (WSUS)

• Archivo de base de datos de Windows Updates

Si elArchivodebasededatosdeWindowsUpdatesestáhabilitado, tambiéndebeespecificarun recursocompartidode red donde se pueda cargar la base de datos de parches de Windows.

7. Aplique la configuración de análisis a un grupo de análisis o un objetivo de análisis individual y ejecútelo.

Resolución de problemas de análisis autenticado deWindows (RPC)

Se recomienda que verifique la funcionalidad de la nueva cuenta desde un host remoto antes de usar la cuenta para elanálisis autenticado de Windows (RPC).

El motor de análisis requiere acceso al recurso compartido de red y al registro para realizar un análisis autenticado de loshosts de Windows.

Nota: Pueden demorar varias horas para que los cambios en la Directiva de grupo entren en vigor.


1. Ejecute el siguiente comando desde el nodo de análisis para verificar la conectividad con el sistema de destino queestá intentando analizar:

telnet TARGET_IP 135telnet TARGET_IP 445

Una vez que se establece una conexión, puede enviar cualquier información y la conexión se cerrará.

2. Pruebe el acceso al servicio de Registro remoto.

Antes de probar el acceso al servicio de Registro remoto, asegúrese de haber probado el acceso a los recursoscompartidos de la red. Ejecute el siguiente script de PowerShell para probar el acceso al Registro remoto:

$Target = "IP_ADDRESS"$Reg = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey('LocalMachine', $Target)$RegKey= $Reg.OpenSubKey("SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion")$Result = $RegKey.GetValue("ProductName")echo $Result

Si la prueba fue exitosa, el comando debería devolver el nombre del sistema operativo.

3. Pruebe el análisis autenticado.Cuando finaliza el análisis autenticado, puede verificar si la autenticación se realizó de forma correcta al revisar elresultado informativo denominado La autenticación de Microsoft Windows se realizócorrectamente/falló. El campo Resultadosmuestra información útil si falla la autenticación.

Problemas conocidos:

• Error en la búsqueda de actualizaciones deWindows enWindows 10 (versiones 1703, 1709 y 1803): Debido aun error relacionado con el acceso a WMI de forma remota en estas versiones de Windows 10, puede producirse unerror durante la búsqueda de actualizaciones deWindows. Genera los erroresError en la autenticaciónde Microsoft Windows (1013914) en el informe del análisis del sistema y Acceso denegado(0x80070005) en el archivo de registro del análisis del sistema. Para resolver el problema, instale la actualizaciónmás recienteenel equipodedestino. El problemano seproduceen las versiones anterioresni posterioresdeWindows10.

3.5.3 Análisis autenticado de Linux

Esta sección proporciona una guía paso a paso para configurar WithSecure Elements Vulnerability Management paraejecutar análisis autenticados de Linux.

Por defecto, WithSecure Elements Vulnerability Management ejecuta escaneos a través de la red en un contexto noautenticadoydetectaproblemasen funciónde los serviciosexpuestosenunhostdeterminado.Aunque sepuede recopilarmucha información a través de la red, no es tan detallada como recopilar información de un contexto autenticado. Conescaneo autenticado de Linux, WithSecure Elements Vulnerability Management puede autenticarse mediante SSH yrecopilar información más detallada sobre el sistema.

Requisitos previos

Lo siguiente WithSecure Elements Vulnerability Management Se requieren componentes para realizar un escaneoautenticado de Linux:

• ConSeguridad Elements Vulnerability Management portal 2.3.4 o superior. Para verificar el número de versión, vayaaWithSecureElementsVulnerabilityManagementpáginaweb. El númerodeversión seencuentra en laparte superiorde la página, junto a WithSecure Elements Vulnerability Management logo.

• WithSecureElementsVMScanNodeversión2.3.2.646osuperior. Para verificar el númerodeversión, vayaa la aplicaciónde labandejadel nododeescaneo, seleccioneelAjustespestañayencuentraelSCANNODE.ScanNodeVersionllave. Tambiénpuede verificar el númerode versión enWithSecure Elements VulnerabilityManagement portal yendoa Escanear nodos y expandir los detalles para un nodo de escaneo.

Escaneo autenticado de Linux en WithSecure Elements Vulnerability Management admite las siguientes distribuciones:

• CentOS

• Debian

• Versión de prueba (ratón de biblioteca)

• Versión inestable (sid)

• Debian 11 (ojo de buey)

50 | Análisis

• Debian 10 (destructor)

• Debian 9 (stretch)

• Debian 8 (jessie)

• Debian 7 (wheezy)

• Oracle Linux (versión 5 y superior)

• Red Hat

• Ubuntu 6.06 LTS y superior

• Amazon Linux

• SUSE Linux 10 y superior

Pasos de preparación

ConSeguridad Elements Vulnerability Management garantiza que las credenciales necesarias para realizar escaneosautenticados se almacenen de manera segura.

Tenga en cuenta que los pasos de esta sección son únicamente para configurar el flujo de credenciales seguras dentrodeWithSecure Elements Vulnerability Management ; es decir, entre el portal y un nodo de exploración. Las credencialesutilizadas para la autenticación en un sistema Linux de destino se describen en otra parte de esta documentación. Por lotanto, aparte de esto, es necesario configurar el método de autentificación así como.

Nota: Al usar la autenticación basada en clave recomendada, debe proteger una clave privada junto con unafrase de contraseña opcional. En un análisis de Linux autenticado, se utilizan dos pares de claves: el primero seutiliza para autenticar el sistema de destino y el segundo para proteger el flujo del primer par de claves con laspartes de gestión de vulnerabilidades de WithSecure Elements.

Una vez que se envían las credenciales aWithSecure Elements VulnerabilityManagement, se cifran con una clave públicay solo se pueden descifrar directamente en el nodo de exploración con una clave privada equivalente. Esta seccióndescribe cómo configurar las claves públicas/privadas personalizadas.

Crear nuevas claves de cifradoPrimero, se debe crear un par de claves pública/privada y luego instalarlo en WithSecure.Elements VulnerabilityManagement portal y el nodo de exploración.

Las claves se utilizan para establecer un canal de comunicación encriptado entre WithSecure Elements VulnerabilityManagement portal y el nodo de exploración en cuestión.

Nota: Los pasos que se dan aquí son para crear las claves de cifrado en equipos Windows. Sin embargo, losmismos comandos openssl para generar las claves también deberían funcionar en sistemas Linux.

1. Descargue el kit de herramientas de OpenSSL para Windows enhttp://gnuwin32.sourceforge.net/packages/openssl.htm.

2. Extraiga el archivo zip.

3. Desde el símbolo del sistema de Windows, navegue al directorio bin dentro de la carpeta OpenSSL.

Por ejemplo:cd x:\openssl-{version}\bin

4. Genere un par de claves pública/privada con los siguientes comandos:

Genere la clave privada:

openssl genpkey -algorithm RSA -out private_key.pem -pkeyoptrsa_keygen_bits:4096

Para versiones anteriores de OpenSSL, use el siguiente comando:

openssl genrsa -out private_key.pem 4096

Extraiga la clave pública:

openssl rsa -pubout -in private_key.pem -out public_key.pem

Subir claves de cifrado aWithSecure Elements Vulnerability Management portalUna vez que se ha creado el par de claves pública/privada, la clave pública se puede cargar en WithSecure ElementsVulnerability Management portal.



http://gnuwin32.sourceforge.net/packages/openssl.htm

2. Vaya a Configuración y luego a la pestaña Configuración general.

3. Abra Claves de cifrado y haga clic enAgregar clave de cifrado.

4. Especifique un nombre y una descripción (opcional) para la clave pública.

Nota: El nombre de clave pública que ingresa en WithSecure Elements Vulnerability Management El portaldebe coincidir con el nombre ingresado para el nombre de la clave privada en el nodo de escaneo. Además,el nombre ingresado solo puede ser una combinación de números, letras y caracteres de subrayado ("_").No se permiten otros tipos de caracteres. Los nombres de archivo clave no necesitan coincidir con el valorde nombre ingresado. Sin embargo, la extensión .pem es obligatorio para ambos.

Se necesita esta información cada vez que carga una nueva clave pública. El valor del nombre se utiliza para identificarlas clavespúblicas yqueprivadaspertenecen juntas. Recomendamosutilizarunnombredescriptivo, yaque loayudaráa distinguir las claves de otros pares de claves que quizás desee utilizar para otros fines.

5. Haga clic en Examinar y seleccione el archivo para cargar.

Cargue claves de cifrado en el nodo de exploración demáquinas virtuales deWithSecureElements.Después de cargar la clave pública, también debe cargar la clave privada en el nodo de análisis que desea usar.

Inicie sesión en el nodo de análisis de gestión de vulnerabilidades de WithSecure Elements.

Para los nodos de análisis de Windows:

a) Iniciar elWithSecure Elements VM Scan Node - Centro de control.

Puede encontrar esto a través de laMenude inicio después de desplegar el F-seguro grupo, o lanzandoF-SecureRadar.Scan.Daemon.Tray.exe, ubicado en el directorio de instalación del nodo de exploración.

Aviso: El Centro de control debe ser abierto por un administrador local o tener al menos unSeImpersonatePrivilege para cifrar la clave privada.

b) Vaya a la pestaña Claves de cifrado y haga clic enAgregar.

c) Introduzca el mismo nombre de clave que se utilizó en el Elements Vulnerability Management portal, cargue la claveprivada y haga clic enAhorrar.

Nota: Los nombres de la clave pública y la clave privada deben coincidir para que funcione la autenticación.

Nota: Las claves de cifrado se almacenan de forma segura en el contexto de una cuenta de usuario. Se lepedirán las credenciales de la cuenta en la que se está ejecutando el servicio del nodo de análisis, ya queesta cuenta puede ser diferente de la cuenta que Scan Node Control Center está ejecutando.

Para los nodos de análisis de Linux:

a) Ejecute los siguientes comandos para aplicar una clave privada generada previamente, guardada como./private_key.pem:

Nota: Reemplace NameOfTheKeyPair con el nombre de sus claves de cifrado del portal de ElementsVulnerability Management.

cd /opt/f-secure/radar-scannodeagentsudo ./ScanNodeAgent add-private-key NameOfTheKeyPair ./private_key.pem

Preparar la cuenta de usuario para el análisis autenticado de LinuxPara permitir queWithSecure Vulnerability Management inicie sesión en un sistema Linux objetivo, se recomienda crearuna cuenta de usuario específica en cada objetivo que se escaneará.

Esto significa que dicha cuenta de usuario se usaría solo con fines de escaneo.

Para crear la cuenta de usuario:

1. Ejecute el siguiente comando para crear una nueva cuenta:

sudo useradd radar-user -m

2. Agregue la siguiente línea al archivo/etc/sudoersparaevitar queel formulariodeusuario soliciteunacontraseña:

52 | Análisis

radar-user ALL=(ALL) NOPASSWD: ALL

3. Deshabilite la opción requiretty; para ello, agregue la siguiente línea al archivo /etc/sudoers:

Defaults:radar-user !requiretty

4. Inicie el servicio SSH.

Métodos de autenticación

Losnodosdeanálisis pueden iniciar sesiónensistemasLinuxutilizandocontraseñasoclaves (recomendado). Losdiferentesmétodos de autenticación y cómo configurarlos se describen en las siguientes secciones.

Autenticación basada en contraseñaDebe configurar todos los sistemas Linux que se deben analizar para habilitar la autenticación de contraseña medianteSSH.

1. Asegúrese de que la siguiente línea esté presente en el archivo /etc/ssh/sshd_config:

PasswordAuthentication yes

2. Ejecute el siguiente comando:

sudo passwd radar-user

3. En el portal de Elements Vulnerability Management de WithSecure, vaya a Plantillas y abra la pestaña Plantillas delanálisis de red.

4. Cree una nueva plantilla de análisis o edite una existente.

5. PermitirEscaneoautenticadodeLinuxutilizandounacontraseñacomométododeautenticación seleccionandoSSH con contraseña e ingresando al puerto SSH de destino. Luego, especifique la clave de cifrado de credenciales,el nombre de usuario y la contraseña que se configuraron en la secciónPasos de preparación.

6. Guarde la plantilla.

7. En el portal de Elements Security Center de WithSecure, vaya aAnálisis de red y, en la Vista de grupo, busque elgrupo de análisis que desea configurar para el análisis autenticado.

8. Haga clic en el ícono de menú y seleccione Editar grupo de análisis.

9. Configure el grupode análisis para utilizar el nododeanálisis y la plantilla que seprepararonpara el análisis autenticadode Linux.

10. Guarde los cambios.

Si todo se ha configurado correctamente, ahora podrá analizar sistemas Linux utilizando un contexto autenticado.

Autenticación basada en claves (recomendado)La forma recomendada de autenticarse en los sistemas Linux es mediante claves públicas/privadas. Las siguientesinstrucciones describen cómo crear claves para autenticar y configurarWithSecure Elements VulnerabilityManagementportal para el escaneo autenticado de Linux usando claves.

1. Inicie sesión en el sistema Linux con WithSecure Elements Vulnerability Management cuenta de usuario y cree unnuevo par de claves usando el siguiente comando:

ssh-keygen -t rsa -b 4096 -f targetKey

Nota: Si le resulta más cómodo, puede utilizar alternativamente el abressl comando a crear las claves decifrado.

Recomendamos proteger la clave con una frase de contraseña.

Nota: El nombre de archivo de la clave privada debe incluir la extensión .pem. La clave se genera en elformato correcto, por lo que solo debe cambiar el nombre del archivo para agregar la extensión:mvtargetKey targetKey.pem.

2. Utilice el siguiente comando para agregar la nueva clave pública al archivo authorized_keys:

cd /home/radar-user/.ssh

touch authorized_keys

chmod 600 authorized_keys

cat targetKey.pub >> authorized_keys


Nota: Para utilizar la misma clave en varios sistemas, debe copiartargetKey.pub allí y repetir este pasoen cada destino.

3. Para verificar que la autenticación basada en claves funciona, inicie sesión desde un sistema diferente usando la claveprivada targetKey.pem.

Puede hacerlo en equiposWindows con la aplicación PuTTY o en Linuxmediante la ejecución del siguiente comando:ssh -i targetKey.pem radar-user@<target-ip>.

Suponiendoque los sistemas Linux sehayanconfiguradoparapermitir la autenticaciónmediante claves, solonecesitaconfigurar WithSecure Elements Security Center para usar las llaves.

4. En el portal de Elements Vulnerability Management de WithSecure, vaya a Plantillas y abra la pestaña Plantillas delanálisis de red.

5. Cree una nueva plantilla de análisis o edite una existente.

6. PermitirEscaneoautenticadodeLinuxutilizandoclaves comométododeautenticación seleccionando SSHconclaves e ingresando al puerto SSH de destino. Luego, especifique la clave de cifrado de credenciales y el nombre deusuario que se configuraron en la secciónPasos de preparación. Finalmente, cargue la clave privada creada en el paso1 e ingrese su frase de contraseña si está disponible (en el Contraseña de clave SSH campo).

7. Guarde la plantilla.

8. En el portal de Elements Security Center de WithSecure, vaya aAnálisis de red y, en la Vista de grupo, busque elgrupo de análisis que desea configurar para el análisis autenticado.

9. Haga clic en el ícono de menú y seleccione Editar grupo de análisis.

10. Configure el grupode análisis para utilizar el nododeanálisis y la plantilla que seprepararonpara el análisis autenticadode Linux.

11. Guarde los cambios.

Si todo se ha configurado correctamente, ahora podrá analizar sistemas Linux utilizando un contexto autenticado.

Resolución de problemas

Una vez que se ha completado un análisis con el análisis autenticado de Linux habilitado, el informedel análisis contendráun resultado Informativo, en el que indicará si el análisis se realizó correctamente o no.

En caso de un error, el campo Resultadosmostrará por qué falló el análisis autenticado.

Capítulo

4Generación de informes

La presentación de informes es una parte extremadamente vital de la ElementsVulnerability Management portal. Con Elements Vulnerability Management,

Temas:

• Creación de informes puede generar informes personalizados que se adapten a las necesidades de sugerente, administrador del sistema o su proveedor de servicios externo.• Edición de la configuración de un

informe existentePuede comenzar a crear informes tan pronto como se completen sus escaneos.Las vulnerabilidades detectadas durante varios análisis se pueden combinar enun solo informe.

• Clonar un informe existente

• Actualización del contenido de losinformes existentes

Para ver el informe de vulnerabilidad de un solo análisis, vaya a la Escaneos dered página y seleccione el nombre del escaneo completado deseado.• Eliminar informes

Nota: Si aúnno sehanejecutado análisis, puede iniciar suprimer análisisbasado en agente en elHola página, o vaya a la Escaneos de red páginae inicie un análisis basado en la red.

Una vez que se crea el informe, se agrega a la lista en la Informes página. Tanpronto como se ejecutan los informes, aparecen como instancias de informesdebajo del informe en el Informes página. Solo se pueden descargar del portallas 10 instancias de informesmás recientes. Esto significa que generar un nuevoinforme elimina la instancia de informemás antigua de la lista.

Puede descargar los informes a su computadora en los siguientes formatos:

• Informe XML agrupado por hosts: descargue los datos del informe sinprocesar en formato XML, organizados por host.

• Informe de Excel agrupado por vulnerabilidades: contiene todos losdetalles técnicos de los hosts en el alcance y le brinda la libertad de usar lasfunciones disponibles en Excel.

• InformedeWordagrupadoporhosts: contiene todos losdetalles técnicosde loshosts enel alcance,organizadosporhost. Estoesútil cuandosualcanceno cubre una gran cantidad de hosts.

• Informe deWord agrupado por vulnerabilidades: contiene todos losdetalles técnicos de los hosts en el alcance, organizados por tipo devulnerabilidad. Esto ledaun informemáspequeñosi el alcanceesmuygrande.

• InformedeWord, resumenejecutivo: diseñadopara ser un informe livianocon pocas páginas, incluso si el alcance del informe cubre miles de hosts.

• Informe deWord, PCI preliminar: este informe ayuda a su organización aidentificar de manera proactiva los problemas que deben abordarse paragarantizar el estado de cumplimiento de sus sistemas con los estándares dela industria de tarjetas de pago (PCI).

4.1 Creación de informes

Puede crear su propio informe en la página Informes.

Puede comenzar a crear informes una vez que se completen sus escaneos. Si aún no se han ejecutado análisis, puedeiniciar suprimer análisis basadoen agente enelHolapágina, o vaya a laEscaneosde redpágina e inicie un análisis basadoen la red.

Para crear un informe:

1. En el panel de navegación izquierdo, seleccione Informes.Se abre la página Informes.

2. SeleccioneAgregar informe.los Detalles del informe se abre la página.

3. Asigne al informe un nombre descriptivo (obligatorio) y una descripción.

4. Si desea definir una programación para el informe, active Calendario e ingrese los siguientes detalles:

• Frecuenciade informe - En funciónde los valores que seleccione, la hora del próximo informe semuestra debajode los campos de frecuencia del informe.

• Zona horaria - La zona horaria proviene de tu perfil. Si lo desea, puede cambiarlo para este informe.

• Notificaciones por correo electrónico (opcional) - Si lo desea, puede especificar que el informe se envíeautomáticamente a las direcciones de correo electrónico de su elección. Separe las direcciones de correoelectrónico con comas.

• Formato de informe compartido por correo electrónico - Seleccione el formato del informe (.xml, .xlsx o.docx) y cómo se presentan los datos en el informe.

• Elenlaceal informecaducadespuésde -Defina cuándocaducael enlaceal informeenel correoelectrónico.

Nota: Si lodesea, puededeshabilitarmás tarde laprogramacióndel informehaciendoclic en suprogramadorcolumna en el Informes página.

5. Seleccione Siguiente.losAlcance de escaneo se abre la página.

6. Seleccione el alcance del informe de una de las siguientes opciones (se debe elegir al menos un escaneo o activo):

• Activos - Tenga en cuenta que esta es la opción principal si ejecuta principalmente análisis basados en agentes.No es válido para exploraciones de red ni grupos de exploración de red.

• Grupos de análisis de vulnerabilidades de red

• Etiquetas

• Análisis de vulnerabilidades de red individuales

Nota: Si lo desea, también puede usar etiquetas asignadas al tipo o grupo de escaneo para reducir el alcancedel escaneo del informe.

7. Seleccione Siguiente.los Incluir vulnerabilidades con se abre la página.

8. Defina el alcance de la vulnerabilidad del informe:

a) Seleccione los estados y las gravedades de las vulnerabilidades que se incluirán en el informe.

b) Bajo Vulnerabilidades de escaneo del sistema, seleccione las categorías y los tipos de vectores de ataque delas vulnerabilidades que se incluirán en el informe.

c) Bajo Vulnerabilidades de escaneo web, seleccione las categorías de vulnerabilidades que se incluirán en elinforme.

Nota: Si lo desea, también puede usar etiquetas para limitar las vulnerabilidades incluidas en el informe.

9. Seleccione Siguiente.losOpciones de informe se abre la página.

10. Seleccione qué información se muestra en el informe y luego seleccione Próximo.El informe Resumen se abre la página.

56 | Generación de informes

11. Revise losdetallesdel informe.Todavíapuede regresar y realizar cambiosen la configuracióndel informeseleccionandoAnterior.

Nota: Por defecto, el Generar un informe ahora casilla de verificación está marcada. Esto significa que elnuevo informe se genera tan pronto como haya seleccionado Finalizar. Si no desea generar el informeinmediatamente sinodeacuerdoconel cronogramaquehadefinido,desmarque la casillaGenerarun informeahora casilla de verificación antes de seleccionar Finalizar. Sin embargo, si luego edita la configuración delinforme, debe marcar la casilla Generar un informe ahora casilla de verificación si desea que el informe segenere inmediatamente.

12. Para completar el asistente de informes, seleccione Finalizar.

El informe se agrega a la lista de informes en el Informes página. Tan pronto como se ejecuta y completa el informe, semuestra una instantánea del estado actual de las vulnerabilidades, o instancia del informe, debajo del informe en laInformes página. Si lo desea, puede descargar inmediatamente el informe en el formato deseado a su computadora.

4.2 Edición de la configuración de un informe existente

Puede editar fácilmente la configuración de un informe existente.

Para editar la configuración del informe:


2. Seleccione el informe cuya configuración desea editar.

3. En el Comportamiento columna del informe seleccionado, haga clic en el botón de menú y seleccione Editar.

los Detalles del informe se abre la página.

4. Siga los pasos del asistente y realice los cambios deseados en la configuración del informe hasta que Resumen seabre la página.

5. Si desea ejecutar el informe con la configuración editada inmediatamente, marque la casilla Generar un informeahora casilla de verificación y seleccione Guardar y cerrar.

La configuración del informe ahora se ha guardado.

La próxima vez que se ejecute el informe, la instancia del informe se basará en la nueva configuración. Las instancias deinformes con la configuración anterior seguirán siendodescargables en el Informespágina hasta que sean reemplazadasgradualmente por las nuevas instancias del informe, ya que cada informe puede tener hasta 10 instancias a la vez.

4.3 Clonar un informe existente

Puede clonar un informe para reutilizar la configuración de un informe existente.

Nota: Sin embargo, las instancias del informe no se clonan.

Para clonar un informe existente:


2. Seleccione el informe que desea clonar.

3. En el Comportamiento columna del informe seleccionado, haga clic en el botón de menú y seleccione Clon.

El informe se agrega a la lista de informes en el Informes página.

4. Si desea realizar cambios en la configuración de este informe, haga clic en el botón demenú en el Comportamientocolumna y seleccione Editar.

4.4 Actualización del contenido de los informes existentes

Puede actualizar fácilmente el contenido de los informes existentes para reflejar el estado actual de las vulnerabilidades.

Para actualizar informes existentes:



2. Seleccione los informes cuyos datos desea actualizar.Se abre la barra de acciones.

3. Seleccione Generar un informe ahora y para confirmar la acción, seleccione Generar un informe ahora.

Los datos del informe o informes seleccionados se actualizan para reflejar el estado actual de las vulnerabilidades.

4.5 Eliminar informes

Puede eliminar los informes que ya no necesite.

Para eliminar informes:


2. Seleccione los informes que desea eliminar.Se abre la barra de acciones.

3. Seleccione Borrar y para confirmar la acción, seleccione Eliminar.

El informe o informes seleccionados desaparecen de la Informes página.

Capítulo

5Gestión

En esta sección se proporciona información acerca de cómo administrar lasvulnerabilidades que Elements Vulnerability Management descubre dentro de

Temas:

• Vulnerabilidades su red y los usuarios de su organización que pueden acceder a ElementsVulnerability Management.• Activos

• Nodos de análisis

• Usuarios

• Configuración

5.1 Vulnerabilidades

La gestión de vulnerabilidades es un elemento fundamental para garantizar la seguridad de la red de su organización.

En Elements Vulnerability Management, puede ver y administrar las vulnerabilidades detectadas en la páginaVulnerabilidades. En lugar de enumerar las vulnerabilidades por host, la página enumera los tipos de vulnerabilidad ymuestra la cantidad de hosts afectados para cada tipo de vulnerabilidad. Esto le brinda una descripción general rápidade las vulnerabilidadesmás comunes en todos los sistemas analizados y lo ayuda a decidir qué vulnerabilidades priorizar.

El filtrado de la lista de vulnerabilidades le brinda una descripción general rápida de las vulnerabilidades más comunes ycríticas dentro de su red, lo que le facilita decidir en qué vulnerabilidades debe concentrarse.

Puede crear solicitudes y agregarles vulnerabilidades. Esto le permite asignar y rastrear vulnerabilidades específicas ogrupos de vulnerabilidades.

5.1.1 Ver solicitudes

Puede filtrar, ordenar y ver los detalles de la solicitud en el página Solicitudes.

1. Vaya a la página Solicitudes.

Consejo: Puede filtrar las solicitudes que desea ver en la página para obtener una vista más relevante.

2. Haga clic en el nombre de la solicitud que desea ver.

Cada solicitud contiene varios detalles:

• Propiedadesde la solicitudcontiene informacióngeneral sobre la solicitud, comonombre, descripción, estado,prioridad, fecha límite y la persona responsable. Todos los detalles se pueden actualizar cuando sea necesario amedida que avanza el trabajo en la solicitud.

• Etiquetas incluye tanto las etiquetas encontradas en las vulnerabilidades de la solicitud como las etiquetasagregadas manualmente. Haga clic enAgregar si desea ingresar una nueva etiqueta a la solicitud.

• Seguidores contiene una lista de usuarios de Elements VulnerabilityManagement y usuarios externos que debenrecibir notificaciones sobre los cambiosque se realizanenesta solicitud. Tengaencuentaque los usuarios externossolo reciben notificaciones, pero no pueden iniciar sesión ni ver la solicitud en sí.

• En las siguientes dos secciones,Vulnerabilidades en los hosts y Vulnerabilidades en los sitios, se enumeranlas vulnerabilidades asignadas a la solicitud, divididas en vulnerabilidades de análisis del sistema y análisis web.Puede expandir cada categoría de vulnerabilidad para ver la cantidad de hosts afectados y ver su estado devulnerabilidad. Lo más importante es que puede cambiar el estado de vulnerabilidad.

• Registro de cambios contiene un registro completo de las actividades relacionadas con la solicitud y un área decomentarios para cualquier nota que desee agregar a la solicitud.

5.1.2 Crear una solicitud

Puede crear solicitudes en la página Vulnerabilidades, así como desde los resultados de un análisis del sistema o unanálisis web.

Las solicitudesdeElementsVulnerabilityManagement lepermiten rastrear cómosegestionanymitigan las vulnerabilidadesdetectadas. Cada solicitud puede contener múltiples vulnerabilidades, que se pueden agrupar, por ejemplo, según elsegmento de red objetivo o el tipo de vulnerabilidad.

Para crear una solicitud:

1. Seleccione las vulnerabilidades que desea incluir en la solicitud.

En la página Vulnerabilidades:

a) Seleccione una o más de las vulnerabilidades enumeradas.

b) Haga clic en Crear nueva solicitud.

A partir de los resultados de un análisis de vulnerabilidades de la red:

a) En el Vista de la lista sobre el Escaneos de red página, haga clic en el icono de menú en la Comportamientocolumna.

b) Seleccione Ver resultados del análisis.

60 | Gestión

c) Abra Resultados del análisis > Vulnerabilidades y resultados y seleccione cualquiera de las vulnerabilidadesenumeradas.

d) Haga clic en Crear nueva solicitud.

Ambasopcionesabrenel asistenteCrearunanuevasolicitud. Todas las instanciasde las vulnerabilidades seleccionadasse incluyen automáticamente en la lista Vulnerabilidades para la nueva solicitud.

2. Si desea anular la selección de cualquier vulnerabilidad en la solicitud, haga clic en el conmutadorAgrupado porvulnerabilidad para expandir los elementos enumerados y borrar la selección de esa vulnerabilidad.

De forma predeterminada, se seleccionan todas las vulnerabilidades.


4. Escriba un nombre y una descripción para la solicitud.

Puede establecer una fecha límite para la resolución de la solicitud y proporcionar un cálculo de la cantidad de trabajoinvolucrado.

5. Asigne un usuario a la solicitud y establezca la prioridad.

6. Haga clic en Finalizar.La solicitud se agrega a la lista de la página Solicitudes.

5.1.3 Agregar una vulnerabilidad a una solicitud existente

Puede agregar vulnerabilidades a una solicitud existente en la página Vulnerabilidades, así como desde los resultadosde un análisis del sistema o un análisis web.

1. En la páginaVulnerabilidades, haga clic en el botónAcciones para la vulnerabilidad que desea agregar y seleccioneAgregar a la solicitud existente.

2. Seleccione la solicitud a la que desea agregar la vulnerabilidad en el menú desplegable.

3. Seleccione la vulnerabilidad en la lista y luego haga clic enAgregar.Se abre la solicitud, con la nueva vulnerabilidad incluida en la listaVulnerabilidadesen loshostsoVulnerabilidadesen los sitios, según su tipo.

5.2 Activos

Elements Vulnerability Management mantiene un inventario de todos los activos, como servidores, computadoras,impresoras, enrutadores, dispositivos IoT, etc.dentro de su entorno de red, descubierto por Elements VulnerabilityManagement durante la exploración de Discovery o una red, así como la exploración de vulnerabilidades basada enagentes.

El análisis de detección mapea toda la red y todos sus activos.

Obtiene el beneficio completo del inventario de activos con el análisis autenticado; los análisis no autenticadosproporcionarán solo un conjunto limitado de información sobre cada activo.

En la páginaActivos, puede:

• ver la lista completa de activos detectados en su entorno;

• filtrar la lista de activos para ver los datos de activos que son más relevantes para usted;

• ver información detallada sobre activos individuales, como los detalles del hardware del dispositivo y el softwareinstalado en él;

• asignar etiquetas personalizadas y clasificación de criticidad de cada activo para mejorar la priorización devulnerabilidades.

Para ver los datos de un activo individual, vaya a la páginaActivos y haga clic en el nombre del activo.

Si lo desea, puede agregar activos como fuente de datos para unwidget en el Panel de control del Elements VulnerabilityManagement portal.

5.2.1 Visualizar los activos

Hay varias formas de ver los activos en su red, y puede usar filtros para ver los datos que son más relevantes para usted.

En la páginaActivos, puede ver los datos de las dos siguientes maneras:


• Vista de lista: Muestra todos los activos en una lista plana que se puede clasificar según varios criterios, como elnombre del activo, la vulnerabilidad, la criticidad, etc.

• Agrupado por: Le permite agrupar los activos por uno de los siguientes atributos: Departamento, Propietario de laempresa, Tipo de hardware, Sistema operativo, País o Etiquetas de activo.

Nota: Solo puede agrupar activos usando etiquetas de activos agregadas manualmente.

El estandar Elements Vulnerability Managementfiltración se puede utilizar para filtrar los activos. Haga clic en el galónjunto a Filtrar para ver las opciones disponibles para filtrar los activos. Por ejemplo, el Fuente de activos La opción lepermite filtrar los activos para ver solo los activos que han sido escaneados por el escaneo de vulnerabilidades de redautenticado.

Para ver los datos de un activo individual:

1. En la páginaActivos, haga clic en el nombre del activo.Se abre la página Detalles del activo con toda la información disponible sobre el activo.

2. Si desea editar o agregar datos manualmente a los detalles del activo, los diversos atributos asignados al activo de lapestañaDescripción o los datos de la pestañaNotas, haga clic en el ícono de lápiz en la esquina superior derecha dela pestaña correspondiente, edite o agregue los datos deseados y seleccione Guardar.

Nota: Para ver el último informe de escaneo de vulnerabilidades de red para el activo en cuestión, haga clic enel ícono de enlace junto a las calificaciones de vulnerabilidad.

Rastrear cambios de activos

Los activos también se pueden filtrar por los siguientes atributos: Primera detección, Última detección, Último análisis yÚltima actualización.

Utilice estos atributos junto con los análisis de detección programados para ver los cambios (si corresponde) que se hanproducido en un activo de su red.

SignificadoAtributo

Indica cuándo el sistema detectó el activo en cuestión por primera vez. Lafuente de información puede ser cualquier tipo de análisis, incluido unanálisis de detección.

Primera detección

Indica cuándo se detectó por última vez el activo en cuestión. La fuente deinformación puede ser cualquier tipo de análisis, incluido un análisis dedetección.

Última detección

Indica cuándo se analizó por última vez el activo en cuestión en busca devulnerabilidades.

Último análisis

Indica cuándo se actualizó por última vez la información sobre el activo encuestión en Elements Vulnerability Management. Esto ocurre una vez queel sistema detecta nueva información sobre el activo y la confiabilidad de lafuentede informaciónes lo suficientementealta. Porejemplo, la informaciónrecopiladaduranteel escaneodepuertosdel activoesmenosconfiablequela recopilada durante un escaneo de red autenticado.

Última actualización

5.2.2 Gestionar atributos de activos

En la páginaActivos, puede complementar manualmente los datos del activo con varios atributos.

Una vez que un análisis detecta un activo, todos los datos disponibles sobre el activo se obtendrán de forma automática.Más adelante, puede editar manualmente los datos o agregar más detalles al activo.

62 | Gestión

Para administrar atributos relacionados con un activo:

1. En la páginaActivos, seleccione la casilla de verificación del activo (o de los activos) cuyos datos desea administrar.La barra de acciones aparece en la parte inferior de la página.

2. SeleccioneAdministrar atributos desde la barra de acciones.

3. En el menú desplegable, seleccione el atributo que desea administrar.Según el tipo de atributo, se muestra un campo o un conjunto de campos.

4. Introduzca los datos que desea agregar.

5. Seleccione Guardar.

Los datos ahora se pueden ver en los detalles del activo en la pestaña Descripción, donde también se pueden editar.

5.2.3 Administrar etiquetas de activos

En la páginaActivos, puede agregar etiquetas a los activos y eliminar etiquetas de ellos.

Para agregar o eliminar etiquetas relacionadas con un activo o varios activos:

1. En la páginaActivos, seleccione la casilla de verificacióndel activo (ode los activos) cuyas etiquetas desea administrar.La barra de acciones aparece en la parte inferior de la página.

2. SeleccioneAdministrar etiquetas desde la barra de acciones.

3. Si desea agregar etiquetas a los activos:

a) SeleccioneAgregar las siguientes etiquetas a los activos y seleccione Siguiente.

b) Haga clic en el campo y seleccione una etiqueta existente de la lista de etiquetas que se muestra o ingrese unanueva etiqueta para agregarla a los activos y seleccioneAgregar.

4. Si desea eliminar etiquetas de los activos:

a) Seleccione Eliminar las siguientes etiquetas de los activos y seleccione Siguiente.

b) Haga clic en el campo y, en la lista de etiquetas que se muestra, seleccione la etiqueta que desea eliminar de losactivos y luego seleccione Eliminar.

Nota: También puede agregar etiquetas a un activo individual a través de la página Detalles del activo.

5.2.4 Actualizar las notas

Si lo desea, puede agregar notas a los activos seleccionados.

Nota: Cuando actualiza las notas, se sobrescriben las notas existentes ya asignadas a los activos seleccionados.

Hay dos formas de agregar notas a un activo:

• En la páginaDetalles del activo del activo seleccionado, seleccione la pestañaNotas y haga clic en el ícono del lápizen la esquina superior derecha de la pestaña, introduzca los datos deseados y seleccione Guardar.

• En la páginaActivos:

1. Seleccione la casilla de verificación del activo (o los activos) cuyas notas desea actualizar.La barra de acciones aparece en la parte inferior de la página.

2. SeleccioneActualizar notas desde la barra de acciones.

3. Introduzca los datos que desea agregar a las notas y seleccione Guardar.

Puede ver las notas en la pestañaNotas de la página Detalles del activo.

5.2.5 Eliminar activos

En la páginaActivos, puede eliminar inmediatamente los activos de su inventario.

Nota: Cuandoeliminaunactivo, tambiéneliminará los análisis de vulnerabilidadde la redasociados conel activo.

Para eliminar un activo o varios activos:

1. En la páginaActivos, seleccione la casilla de verificación del activo (o los activos) que desea eliminar.


La barra de acciones aparece en la parte inferior de la página.

2. Seleccione Eliminar activos desde la barra de acciones.

3. Seleccione Eliminar.

El activoo activos seleccionados junto con los análisis de vulnerabilidades asociados se eliminandeElementsVulnerabilityManagement.

Tambiénpuedeconfigurar ElementsVulnerabilityManagementparaqueelimine los activos archivados automáticamentedespués de un período específico.

5.2.6 Eliminar activos archivados

Si configuróElementsVulnerabilityManagementpara archivar activos antiguos, puedeconfigurarlo tambiénpara eliminarlos activos archivados automáticamente después de un tiempo especificado.

Si configuró Elements VulnerabilityManagement para archivar activos antiguos, estos se archivan en función de la últimavez que un tipo de análisis los detectó.

Para eliminar los activos archivados automáticamente:

1. Vaya a Configuración > Configuración general > Varios.

2. EnArchivar activos, utilice el menú desplegable para especificar cuándo se archivarán los activos en función de laúltima vez que se detectaron.

Las opciones son: Nunca, 1 mes, 1 trimestre, Medio año, 1 año o 2 años.

3. EnAlmacenar activos, utilice el menú desplegable para especificar durante cuánto tiempo se almacenan los activosarchivados antes de que se eliminen automáticamente.

Las opciones son: Siempre, 1 mes, 1 trimestre, Medio año, 1 año o 2 años.

4. Seleccione Guardar.

Todos los activos que cumplen con los criterios especificados se eliminarán automáticamente de Elements VulnerabilityManagement.

5.3 Nodos de análisis

La páginaNodos de análisis se utiliza para administrar todos los nodos de análisis disponibles en su cuenta de ElementsVulnerability Management.

La tabla muestra la siguiente información para cada nodo de análisis enumerado:

• Tipo indica el tipo de análisis asociado con el nodo de análisis (análisis de detección, análisis del sistema o análisisweb).

• Nombre contiene un texto descriptivo del nodo. Puede colocar el cursor sobre el nombre para ver más detalles.

• Carga actual indica la capacidad máxima del nodo de análisis y cuántos análisis se están ejecutando actualmente enel nodo.

• Actualizacióndelmotor indica cuándo se actualizó por última vez elmotor de análisis. Tenga en cuenta que algunosmotores de análisis se actualizan con más frecuencia que otros. Por ejemplo, debe esperar actualizaciones diariaspara el análisis del sistema, pero actualizaciones menos frecuentes para los otros motores.

• Ultimavezvistomuestra cuándoel nododeexploración sepusoencontactoporúltimavez conel Elements SecurityCenter. De forma predeterminada, los nodos de exploración están configurados para conectarse cada 60 segundos.

• Estado indica si el nodo estáActivo o Inactivo.

Consejo: Haga clic en el icono de flecha hacia abajo para ver más detalles del nodo de exploración.

5.3.1 Agregar nuevos nodos de análisis

Para utilizar un nuevo nodo de análisis, debe solicitar una nueva licencia o registrar un nodo de análisis ya instalado en elportal de Elements Vulnerability Management.

1. Vaya a la páginaNodos de análisis.

2. Haga clic enNuevo nodo de análisis.

64 | Gestión

Si necesita una licencia para un nuevo nodo de análisis:

a) Seleccione Solicitar un nuevo nodo de análisis y haga clic en Siguiente.

b) Escriba un nombre y una descripción (opcional) para el nodo de análisis y haga clic en Solicitar.Cuando se aprueba su solicitud, el archivo de licencia comienza a descargarse automáticamente. Siga los pasosque aparecen en la página Resumen para instalar el nodo de análisis.

c) Haga clic en Listo.

Si ya tiene un archivo de licencia del nodo de análisis:

a) Seleccione Registrar un nodo de análisis solicitado previamente y haga clic en Siguiente.

b) Escriba un nombre y una descripción (opcional) para el nodo de análisis.

Utilice un nombre que identifique el servidor del nodo de análisis, como un nombre de host y preferiblemente ladirección IP de origen, para que otros usuarios de Elements Vulnerability Management puedan ver fácilmentedesde qué dirección IP analizará el nodo.

c) Utilice los conmutadores para seleccionar los tipos de nodos que desea registrar e introduzca los identificadoresde módulo correspondientes.

Inicie sesión en el servidor del nodo de análisis y abra la aplicación del centro de control del nodo de análisis. Enla pestaña Configuración, encontrará el identificador del nodo de análisis.

Para obtener más información, consulte cómo instalar un nodo de análisis.

Asegúrese de que el tipo de nodo de análisis coincida con el identificador del nodo.

d) Tipodeconexión.Definecómosecomunicanelnododeanálisis yelportaldeElementsVulnerabilityManagement.

De formapredeterminada, el nododeanálisis inicia la conexión. Si seha instaladoun “nododeanálisis deconexióninversa”, el portal de Elements Vulnerability Management debe iniciar la conexión.

5.4 Usuarios

La página Usuarios le permite controlar el acceso de los usuarios a Elements Vulnerability Management mediante losprincipios de control de acceso basado en roles (RBAC).

La administración de usuarios en Elements Vulnerability Management implica tres conceptos: Usuarios, Grupos deusuarios y Roles.

Usuarios

LapáginaUsuariosmuestra una lista de todos los usuarios conaccesoa su cuentadeElementsVulnerabilityManagement.En esta página puede revisar cuáles son los usuarios y a qué tienen acceso y, por supuesto, agregar y eliminar usuarios.

Grupos de usuarios

Losgruposdeusuarios actúancomocontenedoresparaunoomásusuarios. Con losgrupos, puedecontrolar lospermisos(roles) para el conjunto de usuarios. La columna Grupos de usuariosmuestra a qué grupos pertenece cada usuario dela lista.

Roles

Los roles se utilizan para definir a qué puede acceder un usuario. Por ejemplo, puede crear roles como: Solo vista,Propietario del sistema,Administrador. Para ver yeditar los rolesde sucuentadeElementsVulnerabilityManagement, haga clic en el botón de menú Usuarios y seleccioneAdministrar roles.

5.5 Configuración

Puede controlar el comportamiento de la cuenta de Elements Vulnerability Management para todos los usuarios en lapágina Configuración.

Configuración general

Esta sección contiene los datos de contacto de la organización seleccionada.Detalles del contacto

Esta secciónproporciona información sobre la suscripciónde laorganización seleccionada.Detalles de la suscripción


Esta sección se utiliza para administrar la personalización del producto si está habilitada.Personalización delproducto

Esta sección se puede usar para controlar qué rangos de IP Elements VulnerabilityManagement tiene permiso para escanear, y también para controlar cuándo se permiteo deniega el inicio de ciertos escaneos.

Restricciones del análisis

Esta sección se utiliza para administrar las claves de cifrado que se utilizan como parte dela función de análisis autenticado de Linux.

Claves de cifrado

Esta sección sepuedeutilizarparadefinir si los estadosdevulnerabilidadabiertos ycerradosse tienen en cuenta o no, por ejemplo, al determinar el estado de cumplimiento de PCI,o si se incluyen o no en los recuentos de vulnerabilidades, estadísticas en el tablero.

Estadosdevulnerabilidad

Esta sección se puede usar para definir qué hacer con las entradas que se han cerrado oreabierto automáticamente, si notificar o no a los participantes sobre las fechas límite de

Flujo de trabajo

las entradas, cuándo notificar a los participantes sobre las fechas límite de las entradas, simarcar o no nuevos activos para la exposición en Internet y marcar o no los hallazgosduplicados como duplicados automáticamente.

Esta sección se puede utilizar para definir la zona horaria predeterminada para laorganización, para especificar durante cuánto tiempo se almacenan los informes, para

Varios

definir cuándomarcar los activos comoarchivados, paraespecificardurantecuánto tiempose almacenan los activos archivados, para definir si ocultar o no el tablero y para definircon qué frecuencia se activan los análisis de vulnerabilidades en los puntos finales.

Configuración de seguridad

Cuando esta opción está habilitada, los usuarios que pertenecen a las entidadessuperiores en la jerarquía de la organización no podrán acceder a esta organización.

Aislar mi organización

Solo los usuarios presentes en la lista Administración de la cuenta podrán ver datosde esta organización.

Esta configuración sepuedeusarpara controlar quién tienepermisopara autenticarseen suElementsVulnerabilityManagement cuentabasadaen la dirección IPdeorigen.

Restringir inicio de sesiónbasado en la dirección IP

Por ejemplo, puede mejorar la seguridad de su cuenta permitiendo solo una lista dedirecciones IP de confianza.

Si está habilitado, esto aplica la autenticación de dos factores para todos los usuarios.Si está desactivada, la autenticación de dos factores se vuelve opcional. Los usuarios

Forzar la autenticación de dosfactores

puedenoptar por habilitar la autenticación de dos factoresmanualmente a través delMi perfil página.

Nota: La autenticación de dos factores es compatible con GoogleAuthenticator, Microsoft Authenticator y cualquier otra aplicación deautenticación móvil que admita el algoritmo TOTP (Contraseña de un solouso basada en el tiempo).

Si está habilitado, los usuarios no autenticadospueden restablecer su contraseña conel ¿Se te olvidó tu contraseña? Enlace. Si está deshabilitado, solo los usuarios y

El usuariopuede restablecer lacontraseña sin iniciar sesión

administradores existentes (autenticados) pueden restablecer la contraseña de otrousuario.

Estaconfiguraciónafecta lospermisospredeterminadosde losusuarios reciéncreados:Postura de seguridadpredeterminada

• Permitir significa que todo lo que no está explícitamente prohibido, estápermitido.

• Denegar (predeterminado) significa que todo lo que no está explícitamentepermitido, está prohibido.

Esta configuración define cuántos detalles se pueden comunicar por correoelectrónico, que a menudo no está cifrado y, en general, se considera inseguro.

Las notificaciones por correoelectrónico incluyen

66 | Gestión

Configuración de notificaciones

Nota: La configuracióndenotificaciones se aplica únicamente a su cuentadeusuario personal. Enotras palabras,no se aplican a toda la organización.

Registro de eventos

El registro de eventos le permite revisar todos los eventos realizados por cualquier usuario. Puede usar el filtro para versolo eventos de un tipo específico, para un rango de fechas específico o un usuario específico. El registro de eventos esmuy útil para rastrear quién inició o eliminó análisis específicos, o hizo ciertos cambios en el Elements VulnerabilityManagement.


Capítulo

6API de Elements Vulnerability Management

El ConSeguridad Elements Vulnerability Management La API está destinada adesarrolladores que desean integrar WithSecure Elements VulnerabilityManagement con aplicaciones de terceros.

Temas:

• Autenticación

• Caso de uso: Recuperar informacióndel producto

Esta documentación ofrece una introducción rápida a WithSecure.ElementsVulnerability Management API y analiza sus convenciones y mejores prácticas.

• Casodeuso: Buscar vulnerabilidades Puede encontrar el manual de referencia completo para WithSecure Elements• Caso de uso: Exportar los resultados

del análisis del sistema con formatoXML

Vulnerability Management APIaquí:https://api.radar.f-secure.com/apidoc/integration/.

Estructura de URI

ConSeguridad Elements Vulnerability Management API proporciona acceso arecursos (entidades de datos) a través de rutas URI. Por defecto, WithSecure

• Caso de uso: Exportar los resultadosdel análisis del sistema

• Caso de uso: Exportar los resultadosdel análisis web Elements Vulnerability Management La API usa JSON como formato de

comunicación y métodos HTTP estándar como GET, PUT, POST y DELETE,generalmente de la siguiente manera:

• Casodeuso: Buscarhostsdetectados

• Caso de uso: Rastrear activosprovenientes de una fuente • GET: Para leer recursospersonalizada (por ejemplo, ActiveDirectory)

• POST : Para crear nuevos recursos

• PUT: Para actualizar los recursos existentes• DELETE: Para eliminar recursos

ConSeguridad Elements Vulnerability Management proporciona dos tipos decanales de API (pueden considerarse como dos versiones de API con diferentespropósitos):

• último canal: desarrollo de API actualizado. Puede introducir cambiosimportantes sin previo aviso.

• canal de integración: designado para desarrolladores que desean integrarseconWithSecure Elements VulnerabilityManagement. Conservará los puntosfinales existentes por el momento si se introduce un cambio importante enel canal "más reciente".

Accesoa lamayoría de los recursos a travésdeWithSecureElementsVulnerabilityManagement LaAPI requiere autenticacióndeusuario, consulte laAutenticaciónsección para más detalles. Sin embargo, hay varias acciones de la API que sepueden realizar de forma anónima.

Todas las solicitudesdemuestraenestadocumentación se realizanhacia el canalde integración de la API ubicada enhttps://api.radar.f-secure.com. Si está utilizando una instanciadiferente deWithSecure Elements Vulnerability Management, reemplácelo conla URL del servidor adecuada.

Encabezados y parámetros de la solicitud

Para seguir las prácticas recomendadas y asegurarse de que todas las solicitudesfuncionen correctamente, aplique el siguiente encabezado HTTP a todas lassolicitudes de la API:

Content-Type: application/json;

68 | API de Elements Vulnerability Management

https://api.radar.f-secure.com/apidoc/integration/

Los encabezadosdeautenticaciónde la solicitud (ApiAccessKey yApiAccessKey)junto con sus valores distinguen entre mayúsculas y minúsculas.

Los nombres de los parámetros en el cuerpo de la solicitud también distinguenentre mayúsculas y minúsculas.


6.1 Autenticación

ConSeguridad Elements Vulnerability Management API utiliza claves de API para la autenticación.

Una clave API consta de una clave de acceso (por ejemplo,PA3IAKNANLM9) y una clave secreta (porejemplo,UO9mkDEHFGa1Vau6o#1AfxwRmBQW@!qV). Tenga en cuenta que las solicitudes de muestra que seindican en esta documentación muestran las claves secretas y de acceso entre corchetes, que deben omitirse cuandoenvíe solicitudes.

Para crear una clave de API:


2. Haga clic en el ícono de usuario en la esquina superior derecha de la página y seleccioneMi perfil.

3. Desplácese hacia abajo hasta la sección Configurar claves de API.

4. Agregue una nueva clave de API y guárdela de forma segura.Aplique la clave de API creada en el encabezado HTTP de cada solicitud de API que requiera autenticación.

5. Ejecute una solicitud simple para verificar la autenticación:

curl -X GET https://api.radar.f-secure.com/api/integration/authenticationcheck-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

Si la autenticación fue exitosa, obtendrá una respuesta HTTP con el código de estado 200 Authenticated.

6.2 Caso de uso: Recuperar información del producto

Este ejemplo describe cómo obtener información general sobre WithSecure Elements Vulnerability Management.

Esta es una solicitud simple a WithSecure Elements Vulnerability Management API que no requiere autenticación.

Ejecute la siguiente solicitud:

curl -X GET https://api.radar.f-secure.com/api/integration/productinfo-H 'Content-Type: application/json'

Una respuesta HTTP con código de estado 200 contiene información general sobre WithSecure Elements VulnerabilityManagement.

6.3 Caso de uso: Buscar vulnerabilidades

Este ejemplo describe cómo comprobar si hay vulnerabilidades en la organización actual.

Ejecute la siguiente solicitud:

curl -X GET https://api.radar.f-secure.com/api/integration/vulnerabilities/any-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

Una respuestabooleanaHTTPconcódigodeestado200 indica si sedetectaronvulnerabilidadesdentrode laorganizaciónactual.

6.4 Caso de uso: Exportar los resultados del análisis del sistema con formato XML

Este ejemplo describe cómo exportar informes del análisis del sistema de los últimos análisis como archivos con formatoXML.

1. Obtenga una lista de los grupos de análisis dentro de la organización actual:

curl -X GET https://api.radar.f-secure.com/api/integration/scangroups/simple-H 'Content-Type: application/json'


-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

2. Extraiga el identificador único Id. de cada uno de los grupos de análisis devueltos.

3. Obtenga una lista de los análisis del sistema asignados a cada grupo de análisis:

Utilice el Id. del grupo de análisis extraído previamente como parámetro.

curl -X GET https://api.radar.f-secure.com/api/integration/scangroups\/{scanGroupId}/systemscans-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

4. Extraiga el Id. de cada uno de los análisis web devueltos.

5. Obtenga una lista de los resultados:

Utilice el Id. del análisis del sistema extraído previamente como parámetro.

curl -X GET https://api.radar.f-secure.com/api/integration/systemscans\/{scanId}/reports/latest-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

Nota: También puede exportar el informe del análisis del sistema en formato docx:

curl -X GET https://api.radar.f-secure.com/api/integration/systemscans\/{scanId}/reports/latest?fileType=docx-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

6.5 Caso de uso: Exportar los resultados del análisis del sistema

Este ejemplo describe cómo exportar todos los resultados del análisis del sistema de los últimos análisis.


curl -X GET https://api.radar.f-secure.com/api/integration/scangroups/simple-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'


3. Obtenga una lista de los análisis del sistema asignados a cada grupo de análisis:


curl -X GET https://api.radar.f-secure.com/api/integration/scangroups/{scanGroupId}/systemscans

-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

4. Extraiga el Id. de cada uno de los análisis web devueltos.


Utilice el Id. del análisis del sistema extraído previamente como parámetro.

curl -X POST https://api.radar.f-secure.com/api/integration/systemscans/{scanId}\/reports/latest/vulnerabilitiesandfindings/withstartindex/0/andpagesize/1000-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d ''


6. Extraiga los datos requeridos como Title o RiskLevel de cada uno de los resultados devueltos.

6.6 Caso de uso: Exportar los resultados del análisis web

Este ejemplo describe cómo exportar todos los resultados del análisis web de los últimos análisis.


curl -X GET https://api.radar.f-secure.com/api/integration/scangroups/simple-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'


3. Obtenga una lista de los análisis web asignados a cada grupo de análisis:


curl -X GET https://api.radar.f-secure.com/api/integration/scangroups/{scanGroupId}/webscans

-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'

4. Extrae el Identificación de cada uno de los análisis web devueltos.


Utilice el Id. del análisis web extraído previamente como parámetro.

curl -X POST https://api.radar.f-secure.com/api/integration/webscans/{scanId}\/reports/latest/vulnerabilitiesandfindings/withstartindex/0/andpagesize/1000-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d ''

6. Extraiga los datos requeridos como Title o RiskLevel de cada uno de los resultados devueltos.

6.7 Caso de uso: Buscar hosts detectados

Este ejemplo describe cómo buscar hosts detectados con puertos TCP/UDP determinados abiertos y ver si ya se hananalizado en busca de vulnerabilidades.

1. Obtenga una lista de análisis de detección dentro de la organización actual:

curl -X POST https://api.radar.f-secure.com/api/integration/discoveryscans\/withstartindex/0/andpagesize/1000-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d ''

2. Extraiga el identificador único Id. de cada uno de los análisis de detección devueltos.

3. Obtenga una lista de hosts asignados a cada análisis de detección:

Utilice el Id. del análisis de detección extraído previamente como parámetro.

curl -X POST https://api.radar.f-secure.com/api/integration/discoveryscans\/{discoveryScanId}/reports/latest/hosts/withstartindex/0/andpagesize/100-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d ''

4. Extraiga Puertos de cada uno de los hosts devueltos y tenga en cuenta solo aquellos en los que se encontraronabiertos los puertos TCP/UDP determinados.

Un identificador único SystemScanLastReportId para el host seleccionado indica que ya se ha analizado enbusca de vulnerabilidades.


6.8 Caso de uso: Rastrear activos provenientes de una fuente personalizada (porejemplo, Active Directory)

ConSeguridad Elements Vulnerability Management tiene un mecanismo incorporado para vincular y rastrear activosprovenientes de diferentes fuentes para escaneos de vulnerabilidad de red dentro de un grupo de escaneo específico.

Esto significa que si el nuevo activo se descubre en una fuente de activos determinada, se creará o eliminará como unanálisis de vulnerabilidad de la red (análisis web o análisis del sistema) dentro de un grupo de análisis. Actualmente, lasfuentes de activos integradas admitidas son los escaneos de descubrimiento y el descubrimiento de Internet, que soncompatibles a travésde laAPI y la interfaz deusuario. También se admite la cargadeunpunto final de activopersonalizado,pero solo a través de API.

1. Enumere las fuentes de activos personalizados configuradas actualmente:

curl -X POSThttps://api.radar.f-secure.com/api/integration/assetMonitoring/withStartIndex/0/andPageSize/250

-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d '{"AssetSourceType": "Custom"}'

2. Cree una nueva fuente de activos personalizada.

Reemplace los parámetros marcados con {} con sus propios valores.

curl -X POST https://api.radar.f-secure.com/api/integration/assetmonitoring/custom-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d '{"ScanGroupId": "{ScanGroupId}","TrackSystemScans": true,"TrackWebScans": true,"AlwaysAddNewSystemScans": false,"AlwaysAddNewWebScans": false,"RemoveSystemScanWhenUndiscovered": true,"RemoveWebScanWhenUndiscovered": true,"AssetSourceType": "Custom","TrackedHttpPortRangeForWebScan": "80","TrackedHttpsPortRangeForWebScan": "443","RunSystemScanImmediatelyAfterAdd": false,"RunWebScanImmediatelyAfterAdd": false,"ScheduleId": null,"RunSystemScanImmediatelyIfNewServicesDiscovered": false,"TrackedSystemScanByHostname": true}'

La respuesta le proporcionará el identificador único para la configuración de la fuente de actualización de activos.

3. Recupere una lista de equipos de Active Directory, por ejemplo, mediante el comando ldapsearch en Linux, yconviértala al formato JSON.

4. Cargue la lista de equipos que deben usar la configuración de actualización de la fuente de activos personalizada yverifique que los análisis se hayan creado dentro del grupo de análisis definido:

curl -X POSThttps://api.radar.f-secure.com/api/integration/assetmonitoring/custom/{AssetSourceId}/assets

-H 'Content-Type: application/json'-H 'ApiAccessKey: {ApiAccessKey}'-H 'ApiSecretKey: {ApiSecretKey}'-d '[{"IPAddress": "192.168.1.1"},{"IPAddress": "192.168.1.2","HostName": "domain2.com"},{"IPAddress": "192.168.1.3","HostName": "domain3.com","DiscoveredAssetPorts": [{


"Port": "80","Protocol": "TCP","Service": "https"}]}]'

La carga activa la adición de una nueva definición de escaneo solo si no se cargó antes. Por lo tanto, volver a cargarla misma lista no cambia la lista de análisis de vulnerabilidades de red dentro del grupo de análisis definido.

5. Cree una tarea programada de Windows para ejecutar WithSecure Elements Vulnerability Management guión deseguimiento de activos.

Por logeneral, debeconfigurar la tareaparaque se active enun intervalodevarias horas. Paraobtenermás informaciónsobre cómo programar una tarea, consulte:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc748993(v=ws.11).

Nota: Asegúrese deque la tarea ejecute el script con suficientes derechos de accesopara quepueda escribiren los archivos de registro y acceder a WithSecure.Elements Vulnerability Management API.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc748993(v=ws.11)

Capítulo

7Descripción de seguridad

ConSeguridad Elements Vulnerability Management es un servicio de análisis ygestióndevulnerabilidadesoperadoporWithSecure TM. ConSeguridadElementsVulnerabilityManagement estádisponible comouna soluciónde serviciobasadoen la nube (SaaS).Elements Vulnerability Management consta de los siguientescomponentes:

• Nodos de análisis

• los Elements Vulnerability Management portal

Los nodos de escaneo realizan el escaneo real. El Elements VulnerabilityManagement El portal gestiona y coordina los nodos de exploración, recopilalos resultados y proporciona informes de los hallazgos.

El propósito de este documento es describir los controles de seguridad de altonivel que utiliza WithSecure en Elements Vulnerability Management, y paradescribir el manejo de los datos del cliente.

Datos de los clientes

Todos los datos enviados para su análisis por un cliente son propiedad del cliente. Para losclientes europeos, WithSecure utiliza centros de datos dentro de la UE.

Propiedadde losdatos Puedes leer el Elements Vulnerability Management política de privacidad aquí:

https://www.f-secure.com/en/legal/privacy/corporate/elements-vulnerability-management

Todos los metadatos, archivos y otro contenido se transfieren de forma segura mediante elcifrado TLS 1.2.

Cifrado dedatostransferidos

El accesodeWithSecurea losdatosdel clienteestá limitadoal personal de seguridadautorizadopara realizar análisis de control de calidad, atención al clienteo seguridadmejorada. Los datosde clientes anónimos también pueden utilizarse con fines estadísticos.

Acceso alos datos

WithSecure sigue lasmejores prácticas recomendadas y estándar de la industria para controlarel acceso a todas las redes de la empresa y actualiza los controles de acceso de acuerdo conlas recomendaciones predominantes de la industria.

Sistema de gestión de seguridad de la información

WithSecure cuenta con un Sistema de Gestión de Seguridad de la Informacióncertificado ISO 27001. Él Elements Vulnerability Management Actualmente, elservicio no está incluido en el alcance de la certificación, lo que significa que nose realizan auditorías periódicas independientes de terceros en el ElementsVulnerability Management servicio de conformidad con la norma ISO 27001. Sinembargo,ElementsVulnerabilityManagementsigue lasmismaspolíticas,procesosy procedimientos del SGSI que las operaciones dentro del alcance de lacertificación ISO 27001.

WithSecuremantiene unmarco de política de seguridad que cumple con la norma ISO 27001.Nuestra política de nivel superior, Principios de seguridad cibernética, es un documento

Políticas deseguridadde lainformación PÚBLICOyElementsVulnerabilityManagement los clientespueden solicitarlopara su revisión.

Las políticas se revisan a intervalos planificados o si se producen cambios significativos paragarantizar su idoneidad, adecuación y eficacia continuas.


Las políticas de seguridad de WithSecure definen las responsabilidades de la seguridad de lainformación en la organización, y WithSecure tiene una Oficina CISO encargada de liderar ycoordinar la seguridad cibernética interna.

Organizaciónde laseguridadde lainformación Los gerentes son responsables de garantizar que la seguridad de la información se ejecute

correctamente, identificando los activos y sistemas de información esenciales para elfuncionamiento continuode su servicio, la planificación, la gestión y la generaciónde informesde seguridad de la información.

Las Políticas de Clasificación de Seguridad de la Información y Uso Aceptable de WithSecureestablecen las reglas para el uso de activos bajo el control deWithSecure durante toda la vidaútil de los activos de información.

Gestión deactivos

Los controlesde seguridad incluyen reglas para lo siguiente, entreotras cosas: responsabilidadpor los activos, actividades prohibidas, traslado de activos fuera del sitio, uso de mediosextraíbles y dispositivos móviles, trabajo remoto y móvil, almacenamiento de información,uso de dispositivos personales, devolución de activos, orientación para el uso de cuentas deusuario y contraseñas, política de escritorio despejado y pantalla despejada; y reglas para elcorreo electrónico, el uso de Internet y las redes sociales.

WithSecure mantiene un procedimiento para la verificación de antecedentes del personal.Los empleados firman acuerdos de confidencialidad como parte de sus contratos de trabajo.

Seguridad delos recursoshumanos Hemosdefinidoprocedimientosquecubrenel ciclodevidadel empleodesde la incorporación

hasta el final del empleo. Todos los empleados deben completar la capacitación de seguridadobligatoria durante su incorporación. WithSecure tiene un proceso estándar para gestionarla creación de nuevas cuentas, los cambios de responsabilidades y la terminación del empleo.Los empleados que necesitan acceder a los sistemas de producción deben participar en unacapacitaciónobligatoria, que incluyecapacitaciónencontroles yprocedimientosde seguridad.WithSecure ha definido un procedimiento disciplinario, que se utiliza en casos de violacionesde seguridad.

Acceso a serviciosControl deacceso El acceso a los servicios alojados de WithSecure está restringido a WithSecure Elements

Vulnerability Management equipo. El equipo SOC solo tiene derechos de acceso limitadosque permiten servicios de monitoreo las 24 horas.

Los roles operativos de servicio y las cuentas de servicio tienen habilitada la mínima cantidadposible de permisos de Administración de accesos e identidades (IAM).

Acceso a los datos

El acceso a los datos del cliente está restringido a los miembros seleccionados del equipo deElements Vulnerability Management. El acceso se utiliza principalmente para fines demantenimiento y para gestionar casos de soporte. Cuando se completa un caso de soporte,se revoca el acceso.

Elements Vulnerability Management viene con capacidades de rastro de auditoría detalladoque registran todos los eventos, como cambios en los datos o en la configuración y el inicio,la detención y la finalización de los trabajos de análisis. Estos eventos contienen marcas detiempo, Id. deusuario ydetalles sobre las acciones realizadas. Todosestos registrosdeeventosestán disponibles en la interfaz de usuario de Elements Vulnerability Management.

Para obtener más información, consulte el Elements Vulnerability Management política deprivacidad:https://www.f-secure.com/en/legal/privacy/corporate/elements-vulnerability-management

WithSecure mantiene un estándar de cifrado, que define los requisitos para algoritmoscriptográficos y longitudes de clave.

Controlescriptográficos

También mantenemos pautas para las configuraciones recomendadas de TLS y obtenemoscertificados de servidor público de autoridades de certificación aprobadas y acreditadas. Lassolicitudes de certificados públicos se controlan y gestionan de acuerdo con procedimientosdefinidos. Las claves privadas se gestionan con cuidado y el acceso a las claves privadas estárestringidoúnicamentealpersonal autorizado.Todoel tráfico internodeElementsVulnerabilityManagement está cifrado, así como los datos en reposo.

WithSecure cuenta con una política de seguridad física, que define los requisitos de controlrelacionados con la seguridad física para los diferentes tipos de instalaciones. La seguridad

Seguridadfísica

76 | Descripción de seguridad


física de las oficinas certificadas ISO 27001 es auditada periódicamente por el organismo decertificación.

La infraestructura de producción para WithSecure Elements Vulnerability Management seejecuta en Amazon Web Services (AWS). Para obtener información sobre los controles deseguridad física de los centros de datos de AWS, consulte elSitio de cumplimiento de AWS.

WithSecuremantieneunapolíticade seguridadbásica,que identifica los requisitosde seguridadrelevantes en función del nivel de riesgo del sistema o componente.

Seguridad delasoperaciones Los procedimientos operativos se registran. Los entornos de desarrollo, prueba y producción

se separan para reducir el riesgo de cambios no autorizados o no controlados en los sistemasde producción.

Gestión de incidentes

El centro de operaciones de servicio (SOC) de WithSecure supervisa el estado del servicio las24 horas del día mediante múltiples sistemas de supervisión. Las alertas se escalan cuando esnecesario de acuerdo con criterios predefinidos, en función de la gravedad de la alerta y elposible impacto en la seguridad, con el respaldo de la disponibilidad de guardia de expertos.También recopilamos datos de seguimiento con fines de análisis predictivo.

Gestión de cambios

El ConSeguridad Elements VulnerabilityManagement El equipo utiliza un enfoqueDevOps enel trabajo de desarrollo y la implementación del servicio. Los cambios siguen el proceso degestión de cambios WithSecure y todos los cambios en el código de servicio son revisadospor pares. Todos los cambios en el código y la infraestructura se registran en los sistemas decontrol de versiones de WithSecure.

Las actualizaciones de software para los nodos de exploración se entregan a través deactualizaciones automáticas, suponiendo que los nodos de exploración tengan acceso aInternet al servicio de actualización de gestión de vulnerabilidades de Elements.Alternativamente, las actualizaciones se pueden realizar manualmentemediante el uso de unpaquete de instalación de software (exe). Actualización de una instalación local del RadarSecurity Center actualmente solo es posible mediante el uso de un paquete de instalación desoftware. Estos paquetes de instalación son entregados por WithSecure. En la premisa RadarSecurityCenter los clientes sonnotificados automáticamente tanprontocomohayaunanuevaversión disponible.

Gestión de problemas

El equipo de Elements Vulnerability Management revisa los eventos inesperados detectadosen el servicio con regularidad. Si se detectan incidentes, se realiza un análisis de causa raíz(RCA)paraelaborarunplanconel findeprevenir problemas similaresenel futuro. Loshallazgosde RCA se registran para consultas posteriores.

Disponibilidad del servicio

La disponibilidad de WithSecure Elements Vulnerability Management no puede exceder loprometido para los servicios de los que depende o de los que está construido. Los motoresdeescaneobasadosen lanubealojadosporWithSecureestánagrupadospara reducir el tiempode inactividad. La disponibilidad esperada para el núcleo Elements VulnerabilityManagementcomponentes es 99%:

• El Elements Vulnerability Management portal (portal.radar.f-secure.com)

• Servicio de actualización de Elements Vulnerability Management(updates.radar.f-secure.com)

• Nodos de escaneo en la nube

La solidez del servicio en la nube de Elements Vulnerability Management semejoramedianteel uso de los servicios de la Red de distribución de contenidos (CDN).

Para los componentes alojados por los clientes,WithSecure no puede proporcionar otra cosaque la disponibilidad del mejor esfuerzo.

Cualquier exceso de tiempo de inactividad a gran escala se trata como un problema de altaprioridad que requiere atención inmediata. El Centro deOperaciones de ServicioWithSecuremonitorea la salud y condiciónde los ElementsVulnerabilityManagement servicio las 24horasy alerta al equipo de servicio de cualquier problema potencial de inmediato. Los servicios de


https://aws.amazon.com/compliance/

soporte de WithSecure responden a cualquier problema informado por el cliente dentro dedos días hábiles.

Todas las actualizaciones de los servicios se planifican para que no generen tiempo deinactividad no programado. Es posible que no haya una notificación independiente sobre laspróximas actualizaciones en los casos en que las actualizaciones no dejen de utilizar lafuncionalidad existente.

Los componentes del servicio se segregan en segmentos de red separados, lo que permitesolo tráfico predefinido entre segmentos. Todas las solicitudes inesperadas se descartan yregistran. Todo el tráfico saliente se bloquea, a menos que se apruebe explícitamente.

Seguridad delascomunicaciones

El acceso a las puertas de enlace de seguridad de la red se controla estrictamente.

La información recuperada de sistemas externos se protege en tránsito y la exactitud de lainformación recibida se verifica mediante firmas digitales siempre que sea pertinente.

Seguridad de la red de Elements Vulnerability Management

Los nodos de escaneo público alojados por WithSecure realizan los escaneos a través de laInternet pública. Le recomendamos que informe a su Centro de operaciones de seguridad yal personal responsable de la conectividadde su red ascendente sobre la actividaddeescaneoplanificada para evitar la activación de alertas innecesarias.

Para los objetivos de escaneo que están detrás de un dispositivo de filtrado, como un firewall,y no son accesibles desde Internet, uno o más nodos de escaneo en el sitio deben colocarseen un segmento de red controlado por el cliente que tenga acceso a las redes de destino. Losnodos de exploración privados deben tener acceso HTTPS a un servidor de actualización y elRadar Security Center para obtener actualizaciones de software, coordinar las exploracionesy recopilar resultados.

En una configuración basada en la nube, WithSecure aloja el servidor de actualización y elElements Vulnerability Management portal. En una configuración privada, el Radar SecurityCenter será un host dentro de la red del cliente.

WithSecureprotege loscomponentesalojadoscon firewalls y sistemasdedetecciónde intrusos.Solo los componentes a los que es necesario acceder desde Internet se colocan en redespúblicas.

Elmodeladodeamenazas arquitectónicasesunaprácticade ingenieríade softwareobligatoria.Las actividades de modelado de amenazas se desencadenan por cambios que son losuficientemente grandes o que tienen un impacto de seguridad identificado.

Seguridad deldesarrollo delsistema

Las pruebas de seguridad se realizan en función de las amenazas y las superficies de ataqueidentificadas durante el modelado de amenazas. Para los subcomponentes seleccionadosidentificados comocríticos para la seguridad, se realizanpruebasde seguridad automatizadas.

WithSecure desarrolla continuamente su política de seguridad de ciclo de vida y prácticas deingeniería de seguridad de software.

Si se utiliza la subcontratación de desarrollo de software, los contratistas deben seguir laspolíticas y normas de seguridad de WithSecure aplicables.

Por el momento, WithSecure Elements Vulnerability Management no está incluido en elprograma público de recompensas por vulnerabilidad de WithSecure ("recompensa porerrores").Noobstante,WithSecure agradece los informesde vulnerabilidad y se comprometea investigarlos. Los hallazgos de vulnerabilidad se pueden enviar a través de los canales desoporte normales o a [email protected].

Los acuerdos con proveedores incluyen requisitos de seguridad para abordar los riesgospotenciales identificados en conexión con la relación con el proveedor. Según el riesgo, losarreglos pueden incluir cláusulas para lo siguiente:

Relacionesconproveedores

• método de identificación de la otra parte

• autorizaciones para acceder a la información

• estándares técnicos para la transferencia de datos

• respuesta al incidente

• etiquetado y manipulación de información confidencial

• derechos de autor

78 | Descripción de seguridad

Los propietarios de los servicios son responsables de garantizar que los servicios, informes yregistros proporcionados por el tercero se supervisen y revisen periódicamente, y que selleven a cabo auditorías cuando sea necesario. Se gestionan los cambios en la prestación deservicios por parte de los proveedores, incluido el mantenimiento y lamejora de las políticas,los procedimientos y los controles de seguridad de la información existentes.

WithSecuremantiene un procedimiento estándar para la gestión de incidentes de seguridad,que incluye la evaluación de la gravedad de un evento de seguridad y las responsabilidades

Gestión deincidentes de

para responderaun incidentedeseguridadsospechoso.Además,nosmantenemospreparadosseguridadde lainformación las 24 horas para responder a cualquier incidente de seguridad importante que se sospeche,

incluida la capacidad de recopilar posibles pruebas forenses. El análisis de las leccionesaprendidas es una parte obligatoria del procedimiento de incidentes mayores de seguridad.

Elpersonalestácapacitadopara informarobservacionesoactividades sospechosasa lagerencia.

La seguridad de la información está integrada en el proceso de continuidad del negocio,incluida la planificación de una redundancia suficiente para cumplir con los requisitos dedisponibilidad.

Seguridadenlacontinuidaddel negocio

WithSecure supervisa los requisitos legales, reglamentarios y contractuales pertinentes paragarantizar la capacidad de cumplir con estos requisitos.

Cumplimiento

Los gerentes son responsables de revisar periódicamente el cumplimiento dentro de su áreade responsabilidad con las políticas de seguridad, los estándares y cualquier otro requisito deseguridad adecuado.

Las acciones establecidas en esta descripción pueden estar sujetas a limitaciones impuestaspor leyes aplicables.

Revisiones de seguridad de la información

También llevamos a cabo auditorías de seguridad y revisiones de procesos con regularidadpara monitorear y mejorar la seguridad de nuestra red interna y los controles deacceso.Elements Vulnerability Management está incluido en el Programa interno derecompensas por errores de WithSecure.

WithSecure utiliza Elements Vulnerability Management para el escaneo de vulnerabilidadesinternamente.WithSecureConsultinges PCIASV (proveedordeescaneoaprobado)queutilizaWithSecure Elements Vulnerability Management.


Apéndice

AArchivo

Si estás usando Elements Vulnerability Management como servicio en la nubede WithSecure, puede ignorar los temas de esta sección.

Temas:

• Instalando el Radar Security Center

80 | Archivo

A.1 Instalando el Radar Security Center

El Radar Security Center es la interfaz basada en web para administrar todos los escaneos, vulnerabilidades y los nodosde escaneo conectados a ella.

Nota: Si estás usando Elements Vulnerability Management como servicio en la nube de WithSecure, puedeignorar los temas de esta sección.

Radar utiliza una única aplicación alojada en el servidor IIS que proporciona tanto la interfaz como la API.

Esta sección está dirigida a usuarios que necesitan configurar su propia instalación interna de Radar.

A.1.1 Requisitos previos

Si está instalando una versión in situ de Radar Security Center, compruebe que se cumplen los requisitos enumeradosaquí antes de la instalación.

• Hardware:

• Memoria RAMmínima de 4 GB (recomendado: 8 GB)

• Procesador mínimo de 2 GHz


• Se admiten los siguientes navegadores:

• Microsoft Internet Explorer (dejará de ser compatible el 1 de mayo de 2020)

• Microsoft Edge

• Mozilla Firefox

• Google Chrome

• Safari

• Instalaciones in situ de Radar Security Center requieren el siguiente sistemaoperativoWindows:Windows Server 2012R2 o más reciente (instalación completa, no Server Core)

• Se requiere un usuario local o de Active Directory con derechos de administrador durante la instalación

• La aplicación está configurada para utilizar una identidad de grupo de aplicaciones IIS predeterminada. Si deseautilizar otro usuario, asegúrese de que tenga una política de "Iniciar sesión como trabajo por lotes" en GPO.

Nota: Recomendamos utilizar versiones en inglés del sistema operativo para instalar Radar Security Center.Por ejemplo, es posiblequealgunas funcionesde IIS necesarias no sedetectencorrectamenteen las versioneslocalizadas del sistema operativo.

• Funciones deWindows (estas pueden ser habilitadas por el Administrador del servidor, usando el Dism herramienta,o directamente desde la Radar Security Center instalador):

• .NET Framework 4.7.2 o posterior (/FeatureName:NetFx4)• .NET Core 5: Alojamiento de Windows Server

• IIS (Internet Information Services):

• Sedebe instalar un certificado SSL válido. Alternativamente, se puedegenerar un certificado autofirmadodurantela instalación (no recomendado).

• Las siguientes funciones de IIS deben estar habilitadas:

Dism FeatureNameDescripción

IIS-WebServerServicios de World Wide Web

WAS-ProcessModelModelo de proceso

IIS-HostableWebCoreInternet Information Services Hostable Web Core

IIS-HttpCompressionDynamicCompresión de contenido dinámico

IIS-HttpCompressionStaticCompresión de contenido estático


https://technet.microsoft.com/en-us/library/hh824822.aspx

https://support.microsoft.com/en-us/topic/microsoft-net-framework-4-7-2-web-installer-for-windows-dda5cddc-b85e-545d-8d4a-d213349b7775

https://dotnet.microsoft.com/download/dotnet/thank-you/runtime-aspnetcore-5.0.5-windows-hosting-bundle-installer

Dism FeatureNameDescripción

IIS-DefaultDocumentDocumento predeterminado

IIS-DirectoryBrowsingNavegación de directorio

IIS-HttpRedirectRedirección HTTP

IIS-StaticContentContenido estático

IIS-URLAuthorizationAutorización de URL

IIS-BasicAuthenticationAutenticación básica

IIS-WindowsAuthenticationAutenticación de Windows

IIS-IPSecuritySeguridad IP

IIS-RequestFilteringFiltrado de solicitudes

IIS-CustomLoggingRegistro personalizado

IIS-HttpErrorsErrores HTTP

IIS-LoggingLibrariesHerramientas de registro

IIS-HttpLoggingRegistro HTTP

IIS-ISAPIExtensionsExtensiones ISAPI

IIS-ISAPIFilterFiltros ISAPI

IIS-ManagementScriptingToolsScripts y herramientas de administración de IIS

IIS-ManagementConsoleConsola de administración de IIS

WAS-NetFxEnvironment.NET Environment 3.5

IIS-NetFxExtensibility.NET Extensibility 3.5

IIS-ASPNET45ASP.NET 4.5

WAS-ConfigurationAPIAPI de configuración

• Base de datos MS SQL:

• MS SQL Server 2012 o superior (se puede utilizar la edición Express) y un nivel de compatibilidad de 110 (consultehttps://docs.microsoft.com/en-us/sql/t-sql/statements/alter-database-transact-sql-compatibility-level?view=sql-server-ver15para obtener más información sobre los niveles de compatibilidad)

Importante: Solo se admite la versión en inglés de MS SQL Server. La única intercalación de base dedatos admitida es SQL_Latin1_General_CP1_CI_AS, por lo que las versiones en otros idiomasno funcionarán.


• Intercalación de la base de datos: SQL_Latin1_General_CP1_CI_AS

• El Idioma de texto completo predeterminado o LCID (Id. De configuración regional) para el Radar la base dedatos debe configurarse en 1033 (Inglés)

• Radar El instalador requiere los siguientes privilegios de base de datos:

• db_owner Si Radar existe la base de datos; de lo contrario, el rol de administrador del sistema

82 | Archivo

https://docs.microsoft.com/en-us/sql/t-sql/statements/alter-database-transact-sql-compatibility-level?view=sql-server-ver15

• administrador de seguridad - Siempre es necesario comprobar si el usuario de la base dedatos de la aplicaciónexiste y tiene los privilegios necesarios. El instalador crea el usuario o concede los privilegios necesarios si esnecesario.

• Un usuario de base de datos para una aplicación debe tener al menos db_datareader y db_datawriter roles y unpermiso ALTER para undbo.ScanNodeStatusEventmesa. Estos privilegios se otorgan automáticamentedurante la instalación. El instalador también puede crear un usuario SQL.

Aviso: Instalando Radar con el modo de autenticación de Windows seleccionado para la aplicación noes compatible cuando el servidor de base de datos se ejecuta en otra máquina. La razón de esto es quela aplicación está configurada con una identidad de grupo de aplicaciones IIS predeterminada que es unusuario local, no conocido en la base de datos remota.

Hay dos soluciones que requieren un instalador en ejecución con el siguientecomando:Radar_Security_Center_installer.exe -ai -! "-useValues =Installer.IgnoreRemoteServerWinAuthCheck: = <[@ True @]>"

Opción 1: puede realizar la primera instalación con un usuario de base de datos estándar (sin autenticación deWindows). Después de la instalación, debe cambiar la identidad para el grupo de aplicaciones IIS llamado "RadarSecurity Center" y ejecutar el Radar actualice con el mismo instalador para poder otorgar privilegios.

Opción 2: puede realizar la primera instalación sin configurar IIS. Después de la instalación, debe configurar laaplicaciónen IISmanualmenteyejecutar el Radar actualiceconelmismo instaladorparapoderotorgarprivilegios.

• Rd:

• Acceso saliente a https://updates-api.radar.f-secure.com/, https://gateway.radar.f-secure.com/ yhttps://updates.radar.f-secure.com/ (Servicio de actualización de radar)

• Radar requiereunaconexiónconRadarUpdateServicepor varias razones, comoactualizacionesdedefinicionesde vulnerabilidades, cobertura de vulnerabilidades, actualizaciones automáticas, pedido de nodos deexploración, renovación de licencias y compatibilidad con Radar Endpoint Agent.

• Si se requieren proxies para acceder al servicio, debe habilitar los métodos HTTP GET,HEAD y POSTMétodosHTTP

• Otro:

• Se requiere la configuración del servidor SMTP durante la instalación (servidor, nombre de usuario, contraseña)

Integración de tutoriales interactivos

Radar incluye integración con una plataforma de terceros para proporcionar instrucciones e información útiles.

Esta integración utiliza un script que se incluye en el Radar Security Center portal y que requiere una conexión a sistemasexternos de terceros. Si esta usandoRadar en un entornode reddondenecesita evitar conexiones de terceros, configureel firewall de su sistema para bloquear el cdn.walkme.com nombre de host.

A.1.2 Instalación y actualización del Radar Security Center

Siga estos pasos para instalar o actualizar una versión in situ del Radar Security Center.

Nota: Si está actualizando una instalación existente, asegúrese de hacer una copia de seguridad de la base dedatos SQL antes de comenzar.

Nota: El asistentede instalación compruebaqueestén instalados todos los requisitos previos e instala el softwareque falta, si es necesario.

Conseguir su Radar Security Center paquete de instalación de su WithSecure Radar persona de contacto.

1. Ejecute el instalador (ejecutable) y siga los pasos del asistente de instalación.

El instalador comprobará si se ejecutó con privilegios administrativos.

2. Espere a que el instalador se descomprima y revise el resumen del paquete de instalación.

3. Lea y acepte el acuerdo de licencia de usuario final.


https://updates-api.radar.f-secure.com/



4. Asegúrese de que se cumplan todos los requisitos previos.

El instalador le indica cómo reparar los elementos faltantes.

5. Ingrese las credenciales de un usuario con privilegios administrativos.

6. Configure la base de datos de MS SQL (para actualizaciones, la configuración se importa de la instalación anterior):

a) Introduzca el servidor o el nombre de la instancia.

b) Ingrese el nombre de la base de datos usado por Radar.

Si la base de datos aún no existe, se crea automáticamente.

c) Elija el usuario de la base de datos que se utilizará para crear o actualizar la base de datos durante la instalación.

d) Elija el usuario de la base de datos para que la aplicación acceda a la base de datos después de la instalación.

7. Configure los ajustes de SMTP para Radar Notificaciónes de Correo Electrónico.

8. Verifique la configuración de IIS.

Nota: El instalador ejecuta la protección de IIS de forma predeterminada. Esta opción es la recomendada,pero recuerde que es opcional, ya que puede afectar a otros servicios en el mismo servidor.

9. Revise la configuración de la instalación y luego haga clic en Instalar.

10. Espere hasta que finalice el proceso de instalación.

11. Cierre el instalador y abra Radar en su navegador web.

A.1.3 Verificar la instalación

Siga estos pasos para asegurarse de que su instalación in situ de Radar está funcionando correctamente.

1. Asegúrese de poder iniciar sesión en Radar Security Center a través de un navegador.

2. Pruebe la configuración de SMTP:

a) Abra la pestaña Usuarios.

b) Durante la creación del usuario, habilite la opción Enviar correo electrónico de invitación.

Esto debería activar un correo electrónico que se envía al usuario con instrucciones sobre cómo iniciar sesión. Si estono funciona:

a) Revise los registros de eventos de Windows y los registros de SMTP.

b) En Servicios deWindows, busqueKarhu.Scheduler. Asegúresedeque seesté ejecutandoydeque la cuentade usuario utilizada sea la correcta.

c) Verifique la configuración de SMTP almacenada en la base de datos de MS SQL con el siguiente comando:

SELECT * FROM [radar].[dbo].[KarhuConfiguration] WHERE KeyName LIKE'%SMTP%'

d) Pruebe la conectividad de la red desde el Radar servidor al servidor SMTP.

3. Ejecute exploraciones de prueba para cadamotor de exploración para asegurarse de que Radar Security Center tieneuna conexión con los nodos de escaneo y que los resultados del escaneo se envían de nuevo al Radar Security Center.

withseucretm elements vulnerability management

Documents