Oracle Cloud Infrastructure-Dokumentation

Compute-Scanrezept erstellen

Erstellen Sie ein Compute-(Host-)Scanrezept mit oder ohne Host-Agent.

Sie haben die folgenden Optionen zum Erstellen eines Compute-Scanrezepts:

Wichtig

  • Bevor Sie beginnen, lesen Sie die Dokumentation zu Policys für Vulnerability Scanning. Siehe Erforderliche IAM-Policys für Scanning.
  • Nachdem Sie einen OCI-Agent oder ein Qualys-Agent-Compute-Scanrezept erstellt haben, ändern Sie dieses Rezept nicht in Agents. Erstellen Sie ein weiteres Rezept.

  • Gehen Sie folgendermaßen vor, um ein Compute-Scanrezept ohne einen Agent zu erstellen:

    1. Wählen Sie auf der Listenseite Scanrezepte auf der Registerkarte Hosts die Option Erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Rezept benötigen, finden Sie weitere Informationen unter Compute-Scanrezepte auflisten.

      Der Bereich Scanrezept erstellen wird geöffnet.

    2. Prüfen Sie, ob der Typ des Rezepts Compute ist.
    3. Geben Sie einen Namen für das Rezept ein.

      Geben Sie dabei keine vertraulichen Informationen ein.

    4. Stellen Sie sicher, dass Sie das Rezept im ausgewählten Compartment erstellen möchten. Wählen Sie bei Bedarf ein anderes Compartment aus.
    5. Stellen Sie sicher, dass Sie das Rezept im ausgewählten Compartment erstellen möchten. Wählen Sie bei Bedarf ein anderes Compartment aus.
    6. Wählen Sie aus, wie viele öffentliche IP-Ports für dieses Rezept gescannt werden sollen.
      • Standard: Die 1.000 häufigsten Portnummern werden geprüft.
      • Licht (Standard): Die 100 häufigsten Portnummern werden geprüft.
      • Kein Wert: Nicht auf offene Ports prüfen.

      Der Vulnerability Scanning-Service verwendet einen Netzwerk-Mapper, der Ihre öffentlichen IP-Adressen durchsucht. Siehe Gescannte Ports.

    7. Deaktivieren Sie das Kontrollkästchen Agent-basierter Scan. Wenn Sie den Agent-basierten Scan deaktivieren, möchten Sie das Vulnerability Scanning-Agent-Plug-in nicht für die Ziele aktivieren, die diesem Rezept zugewiesen sind.

      Der Vulnerability Scanning-Agent wird auf den ausgewählten Zielen ausgeführt und prüft die BS-Konfiguration von Zielen auf Schwachstellen wie fehlende Patches.

      Wenn Sie sowohl agent-basierte als auch öffentliche IP-Portscans aktivieren, sucht der Agent auch nach offenen Ports, die von öffentlichen IP-Adressen aus nicht zugänglich sind.

      Hinweis

      Wenn Sie in diesem Rezept sowohl Scan von öffentlichen IP-Ports als auch Agent-basierter Scan deaktivieren, scannt der Vulnerability Scanning-Service keine Ziele, die diesem Rezept zugewiesen sind.
    8. Wählen Sie unter Zeitplan einen Zeitplan für das Scannen von öffentlichen IP-Ports aus.

      Der Plan bestimmt, wie oft die diesem Rezept zugewiesenen Ziele gescannt werden. Wählen Sie Täglich oder einen der Werte für Wöchentlich aus.

      Hinweis

      Um den Qualys-Agent-Scanplan zu konfigurieren oder andere Qualys-Agent-Konfigurationen vorzunehmen, navigieren Sie zum Qualys-Dashboard.

    9. (Optional) Wählen Sie Erweiterte Optionen anzeigen aus, um dem Rezept Tags zuzuweisen.

      Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, dieser Ressource Freiformtags hinzuzufügen.

      Um ein definiertes Tag hinzuzufügen, benötigen Sie Berechtigungen zum Verwenden des Tag-Namespace.

      Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags hinzufügen sollten, überspringen Sie diese Option, oder wenden Sie sich an den Administrator. Sie können Tags später hinzufügen.

    10. Speichern Sie das Rezept mit einer der folgenden Methoden.
      • Wählen Sie Scanrezept erstellen aus, um das Rezept im Vulnerability Scanning-Service zu erstellen.
      • Wählen Sie Als Stack speichern aus, um den Stack über den Resource Manager-Service zu verwalten. Füllen Sie im Fenster Als Stack speichern die Felder aus, und wählen Sie Speichern aus. Weitere Informationen zu Stacks finden Sie unter Stacks verwalten.

    Nachdem Sie ein Rezept erstellt haben, können Sie Scanziele erstellen und mit dem Rezept verknüpfen. Siehe Compute-Ziel erstellen.

  • Verwenden Sie den Befehl oci Vulnerability-Scanning-Hostscanrezept erstellen und die erforderlichen Parameter, um ein neues Hostscanrezept zu erstellen:

    oci vulnerability-scanning host scan recipe create --display-name <name> --compartment-id <compartment_ocid> --agent-settings '{"scanLevel": "<agent_scan_level>"}' --cis-benchmark-settings '{"scanLevel": "<CIS_scan_level>"}' --port-settings '{"scanLevel": "<port_scan_level>"}' --schedule '{"type":"<daily_or_weekly>"}'

    Beispiel:

    oci vulnerability-scanning host scan recipe create --display-name MyRecipe --compartment-id ocid1.compartment.oc1..exampleuniqueID --agent-settings '{"scanLevel": "STANDARD"}' --cis-benchmark-settings '{"scanLevel": "MEDIUM"}' --port-settings '{"scanLevel": "STANDARD"}' --schedule '{"type":"DAILY"}'

    Eine vollständige Liste der Kennzeichen und Variablenoptionen für CLI-Befehle finden Sie in der Befehlszeilenreferenz.

  • Führen Sie den Vorgang CreateHostScanRecipe aus, um ein neues Hostscanrezept zu erstellen.

    Hinweis

    Die HostEndpointProtectionSettings haben keine Auswirkungen und sind der zukünftigen Verwendung vorbehalten.

    Informationen zur Verwendung der API und zu Signaturanforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten.