Oracle Cloud Infrastructure-Dokumentation

Fehlerbehebung beim Vulnerability Scanning-Service

Mit den Informationen zur Fehlerbehebung können Sie allgemeine Probleme erkennen und beheben, die beim Arbeiten mit Oracle Cloud Infrastructure Vulnerability Scanning Service auftreten können.

Scanrezepte oder Scanziele können nicht erstellt werden

Beheben Sie Probleme, die verhindern, dass Sie Scanrezepte erstellen oder Ziele für Compute-(Host-) oder Imagescans scannen.

Um ein Vulnerability Scanning-Rezept oder ein Vulnerability Scanning-Ziel zu erstellen, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy (IAM) . Geben Sie dabei an, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.

  1. In der folgenden Dokumentation können Sie prüfen, ob Sie über die erforderlichen Policys zum Erstellen von Compute- und Imagescanrezepten und -zielen verfügen.
    1. Erforderliche IAM-Policy für Compute-Scanrezepte
    2. Erforderliche IAM-Policy für Imagescanrezepte
  2. Fügen Sie alle fehlenden erforderlichen Policys hinzu.

Keine Ergebnisse zum Scannen von Sicherheitslücken

Beheben Sie allgemeine Probleme, die verhindern, dass Sie irgendeine Art von Vulnerability Scanning-Bericht sehen.

Ziel wurde vor weniger als 24 Stunden erstellt

Nachdem Sie ein Ziel erstellt haben, scannt der Vulnerability Scanning-Service die angegebenen Zielressourcen nicht sofort.

Nachdem Sie ein Ziel erstellt haben, das mit Ihrem Rezept verknüpft ist, kann es bis zu 24 Stunden dauern, bis der Vulnerability Scanning-Service den ersten Scan der Zielressourcen durchführt. Für Compute-Ziele erfolgt diese Verzögerung, wenn Sie Ihr Rezept mit einem täglichen oder wöchentlichen Zeitplan konfiguriert haben.

Warten Sie 24 Stunden und prüfen Sie dann auf Scanergebnisse.

IAM-Policy fehlt

Um einen beliebigen Typ von Vulnerability Scanning-Bericht anzeigen zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy (IAM) . Dies gilt unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.

Beispiel: Benutzern in der Gruppe SecurityAuditors erlauben, alle Vulnerability Scanning-Ressourcen im Compartment SalesApps anzuzeigen:

Allow group SecurityAuditors to read vss-family in compartment SalesApps

Stellen Sie sicher, dass Sie über die erforderlichen Policys verfügen, um Scanergebnisse anzuzeigen. Siehe IAM-Policys für Vulnerability Scanning.

Falsches Compartment angegeben

Wählen Sie in der Konsole das Compartment mit den Ergebnissen des Vulnerability Scanning für die anzuzeigenden Ziele aus.

Der Vulnerability Scanning-Service speichert die Ergebnisse für eine Compute-Instanz im selben Compartment wie das Vulnerability Scanning-Ziel der Instanz.

Beachten Sie folgendes Beispiel.

  • Die Compute-Instanz MyInstance befindet sich in CompartmentA.
  • MyInstance wird in Target1 angegeben.
  • Target1 befindet sich in CompartmentB.
  • Alle Berichte für MyInstance befinden sich in CompartmentB.

Der Sicherheitslücken-Scan-Service speichert die Ergebnisse für ein Image-Repository in demselben Compartment wie das Sicherheitslücken-Scanziel des Repositorys.

Beachten Sie folgendes Beispiel.

  • Das Repository MyRepo in der Container Registry befindet sich in CompartmentA.
  • MyRepo wird in Target1 angegeben.
  • Target1 befindet sich in CompartmentB.
  • Alle Berichte für MyRepo befinden sich in CompartmentB.
Gehen Sie in der Konsole zu Scanningberichte, und stellen Sie sicher, dass das richtige Compartment ausgewählt ist. Siehe Scanning-Berichte.

Alle Features im Rezept sind deaktiviert

Wenn Sie ein Rezept im Vulnerability Scanning-Service erstellt, aber alle Scanoptionen im Rezept deaktiviert haben, scannt der Vulnerability Scanning-Service keine Ziele, die diesem Rezept zugewiesen sind.

Gehen Sie in der Konsole zum Rezept, und aktivieren Sie die erforderlichen Scanoptionen. Informationen hierzu finden Sie unter:

Keine Hostscans

Beheben Sie Probleme, die die Anzeige der Ergebnisse von Hostscans für Compute-Ziele verhindern.

Wenn Ihr Problem hier nicht aufgeführt ist, finden Sie unter Keine Ergebnisse zum Scannen von Sicherheitslücken weitere häufige Scanprobleme.

Agent-basiertes Scannen ist nicht aktiviert

Um Hostscans zu erstellen, verwendet der Vulnerability Scanning-Service den Oracle Cloud Agent, der auf den Ziel-Compute-Instanzen ausgeführt wird. Standardmäßig ist Agent-basierter Scan in einem Rezept aktiviert. Wenn Sie diese Option in Ihrem Rezept deaktiviert haben, erstellt der Vulnerability Scanning-Service keine Hostscans für die mit Ihrem Rezept verknüpften Ziele.

Gehen Sie in der Konsole zum Rezept, und aktivieren Sie die erforderlichen Scanoptionen. Siehe Compute-Scanrezept bearbeiten.

Scanning-Plug-in ist auf dem Agent deaktiviert

Der Oracle Cloud Agent-Prozess verwaltet Plug-ins, die auf der Compute-Instanz ausgeführt werden. Das Vulnerability Scanning-Plug-in wird verwendet, um Sicherheitslücken zu erkennen und CIS-Benchmarks zu testen. Standardmäßig ist das Vulnerability Scanning-Plug-in auf allen Instanzen aktiviert, auf denen der Agent ausgeführt wird. Das Plug-in kann jedoch deaktiviert werden.

Wenn Sie das Vulnerability Scanning-Plug-in auf den Compute-Zielinstanzen manuell deaktiviert haben, müssen Sie es aktivieren.

Aktivieren Sie das Vulnerability Scanning-Plug-in auf den Ziel-Compute-Instanzen. Siehe Oracle Cloud Agent.

IAM-Policy zum Bereitstellen des Agent fehlt

Wenn die Compute-Zielinstanzen den Oracle Cloud Agent nicht ausführen, stellt der Vulnerability Scanning-Service den Agent automatisch für die Instanzen bereit. Ein Administrator muss dem Vulnerability Scanning-Service jedoch die Berechtigung erteilen, Ihre Ziel-Compute-Instanzen zu aktualisieren.

Stellen Sie sicher, dass der Vulnerability Scanning-Service über die erforderlichen Policys zum Aktualisieren der Ziel-Compute-Instanzen verfügt. Siehe Erforderliche IAM-Policy für Compute-Scanrezepte.

Instanz führt den letzten Agent nicht aus

Wenn die Ziel-Compute-Instanz Oracle Cloud Agent Version 1.11.0 ausgeführt wird, wird sie möglicherweise nicht automatisch auf die neueste Version aktualisiert.

Aktualisieren Sie manuell den Oracle Cloud Agent auf der Instanz. Informationen hierzu finden Sie unter:

Servicegateway für Instanzen ohne öffentliche IP-Adresse fehlt

Eine Compute-Instanz ist mit einem virtuellen Cloud-Netzwerk (VCN) und einem Subnetz verknüpft. Wenn sich eine Instanz im Ziel in einem privaten Subnetz befindet oder keine öffentliche IP-Adresse aufweist, muss das VCN ein Servicegateway und eine Routingregel für das Servicegateway enthalten. Siehe Zugriff auf Oracle-Services: Servicegateway.

Wenn das VCN oder Servicegateway nicht richtig konfiguriert ist, kann der Vulnerability Scanning-Service nicht mit Compute-Instanzen im privaten Subnetz kommunizieren und einen Hostscan ausführen.

Konfigurieren Sie das Servicegateway so, dass Traffic für alle unterstützten Services in der Region zulässig ist. Beispiel: All PHX Services in Oracle Services Network ist ein Service-CIDR-Label, das alle unterstützten Services im Oracle Services Network in der Region "US West (Phoenix)" darstellt.
Hinweis

Das Servicegateway kann nicht so konfiguriert werden, dass nur Traffic für einen einzelnen Service zulässig ist, wie Object Storage.

Trafficweiterleitung ist für eine Instanz deaktiviert, für die keine öffentliche IP-Adresse vorhanden ist

Eine VNIC ermöglicht es einer Instanz, eine Verbindung zu einem VCN  herzustellen. Außerdem legt sie fest, wie sich die Instanz mit den Endpunkten innerhalb und außerhalb des VCNs verbindet. Jede VNIC befindet sich in einem Subnetz  in einem VCN. Wenn sich eine Compute-Instanz in Ihrem Ziel in einem privaten Subnetz befindet oder keine öffentliche IP-Adresse aufweist, müssen die VNIC der Instanz Traffic weiterleiten können.

Wenn die VNICs nicht richtig konfiguriert sind, kann der Vulnerability Scanning-Service nicht mit einer Compute-Instanz in einem privaten Subnetz kommunizieren und einen Hostscan ausführen.

Bearbeiten Sie die VNICs der Instanz, und wählen Sie die Option Quell-/Zielprüfung überspringen aus. Siehe Vorhandene VNIC aktualisieren.

Keine Containerimagescans

Beheben Sie Probleme, die die Anzeige der Ergebnisse von Containerimagescans verhindern.

Wenn Ihr Problem hier nicht aufgeführt ist, finden Sie unter Keine Ergebnisse zum Scannen von Sicherheitslücken weitere häufige Scanprobleme.

Fehlende IAM-Policy für den Zugriff auf Container Registry

Ein Administrator muss dem Vulnerability Scanning-Service die Berechtigung erteilen, Images aus Container Registry abzurufen.

Die Policy muss die Compartments angeben, die Ihre Zielimage-Repositorys enthalten.

Stellen Sie sicher, dass Sie über die erforderlichen Policys verfügen, um Images aus Container Registry abzurufen. Siehe Erforderliche IAM-Policy für Imagescanrezepte.

Scanning-Ergebnisse können nicht exportiert werden

Beheben Sie Probleme, die den Export von Scanberichten oder Berichten über Sicherheitslücken auf Ihren lokalen Rechner verhindern.

IAM-Policys fehlen

Um einen Vulnerability Scanning-Bericht exportieren zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy (IAM) . Geben Sie dabei an, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.
Hinweis

Wenn Sie die Scanergebnisse auch nicht anzeigen können: siehe Keine Vulnerability Scanning-Ergebnisse.

Ihr Administrator hat Ihnen möglicherweise die Leseberechtigung für Scanberichte und Berichte über Sicherheitslücken erteilt, nicht aber die Exportberechtigung.

Stellen Sie sicher, dass Sie über die erforderlichen Policys zum Exportieren von Vulnerability Scanning-Berichten verfügen. Siehe IAM-Policys für Vulnerability Scanning.

Beispiel: Benutzer in der Gruppe SecurityAuditors können alle Vulnerability Scanning-Ressourcen im Compartment SalesApps anzeigen und die Ergebnisse exportieren:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'
Hinweis

Der Exportvorgang ist für den Ressourcentyp host-vulnerabilities und nicht für den Ressourcentyp vss-vulnerabilities verfügbar.

Compartment konnte nicht gelöscht werden

Beheben Sie Probleme, die Sie daran hindern, ein Compartment zu löschen, das Sie für Vulnerability Scanning-Ziele und -Berichte verwendet haben.

Berichte im Compartment vorhanden

Ein Compartment muss leer sein, bevor Sie es löschen können, einschließlich aller Scanberichte. Sie können keine Berichte mit der Konsole löschen. Verwenden Sie die CLI oder API.

Für jeden Berichtstyp gibt es separate CLI-Befehle und API-Vorgänge. Beispiel:

Zum schnellen Löschen aller Berichtstypen aus einem Compartment führen Sie ein Skript mit Cloud Shell aus.

  1. Kopieren Sie diesen Text, und fügen Sie ihn in eine Datei auf Ihrem lokalen Rechner ein. 
    import oci
import sys

compartment = "<compartment_ocid>"

def list(list_func, compartment):
    try:
        scans = oci.pagination.list_call_get_all_results(
            list_func,
            compartment
        ).data
        return scans
    except Exception as e:
        raise RuntimeError("Error listing scans in compartment " + compartment + ": " + str(e.args))

def delete_scans(delete_func, scans):
    for s in scans:
        try:
            delete_func(s.id)
        except Exception as e:
            raise RuntimeError("Error deleting scan " + s["id"] + ": " + str(e.args))

config = oci.config.from_file()

# Quick safety check
print("Using compartment " + compartment)
if input("Do you want to delete all scan results (host, port, CIS, container) in this compartment? [y/N]: ") != "y":
    sys.exit()

# Create the client from the config
client = oci.vulnerability_scanning.VulnerabilityScanningClient(config)

# Host agent scans
print("Listing agent scans to delete...")
host_scans = list(client.list_host_agent_scan_results, compartment)
print("Deleting " + str(len(host_scans)) + " host scans")
delete_scans(client.delete_host_agent_scan_result, host_scans)

# Host port scans
print("Listing port scans to delete...")
port_scans = list(client.list_host_port_scan_results, compartment)
print("Deleting " + str(len(port_scans)) + " port scans")
delete_scans(client.delete_host_port_scan_result, port_scans)

# Host CIS benchmarks
print("Listing CIS scans to delete...")
cis_benchmarks = list(client.list_host_cis_benchmark_scan_results, compartment)
print("Deleting " + str(len(cis_benchmarks)) + " CIS scans")
delete_scans(client.delete_host_cis_benchmark_scan_result, cis_benchmarks)

# Container scans
print("Listing container image scans to delete...")
container_scans = list(client.list_container_scan_results, compartment)
print("Deleting " + str(len(container_scans)) + " container image scans")
delete_scans(client.delete_container_scan_result, container_scans)
  2. Ersetzen Sie <compartment_ocid> durch die OCID des zu löschenden Compartments.
  3. Speichern Sie die Datei als delete-reports.py.
  4. Wählen Sie im Konsolenheader die Region aus, die die zu löschenden Berichte enthält.
  5. Wählen Sie im Konsolenheader das Symbol Cloud Shell aus.

    Cloud Shell wird unten in der Konsole angezeigt. Warten Sie, bis die Eingabeaufforderung $ angezeigt wird.

  6. Verschieben Sie delete-reports.py per Drag-and-Drop von Ihrem lokalen Rechner in Cloud Shell.
  7. Führen Sie in der Cloud Shell-Eingabeaufforderung das Python-Skript aus. 
    python3 delete-reports.py
  8. Wenn Sie aufgefordert werden, alle Berichte zu löschen, geben Sie y ein.

    Sie können das Compartment jetzt löschen, wenn keine weiteren Ressourcen darin enthalten sind.

Gemeldete CVE wurde bereits auf Host korrigiert (falsch positiv)

Beheben Sie Probleme, die dazu führen, dass Hostscans Sicherheitslücken melden, die bereits korrigiert wurden.

Oracle identifiziert anhand von CVE-Nummern (Common Schwachstellen und Risiken) Sicherheitslücken für Betriebssysteme und andere Software, einschließlich kritischer Patchupdates und Hinweise zu Sicherheitswarnungen. CVE-Nummern sind eindeutige, allgemeine IDs für öffentlich bekannte Informationen zu Sicherheitslücken. Zeigen Sie Qualys-IDs (QIDs) in der Benutzeroberfläche des Vulnerability Scanning-Service an.

Während eines Hostscans vergleicht der Vulnerability Scanning-Service die Version der BS-Packages auf dem Host mit der korrigierten Version der Packages in der Open Source CVE-Datenbank.

Wenn Sie den OS Management-Service zum Aktualisieren der Zielhosts verwenden, weist das folgende Szenario häufig auf einen falsch positiven Wert hin:

  • Der Bericht des Vulnerability Scanning-Service besagt, dass eine bestimmte CVE-Nummer nicht auf einem Zielhost korrigiert ist.
  • Der OS Management-Service gibt an, dass keine Sicherheitsupdates zur Installation auf demselben Zielhost vorhanden sind.

Ungenauigkeiten bei der CVE-Datenbank

Der Oracle Cloud Infrastructure Vulnerability Scanning Service arbeitet kontinuierlich an der Verbesserung der Scanergebnisse, indem er die neuesten Oracle Linux- und Open-Source-Datenbanken verwendet. Es kann jedoch in diesen Datenbanken oder in der vom Service zur Ermittlung der CVE verwendeten Methode zu Ungenauigkeiten kommen. Beispiel: Der Vulnerability Scanning-Service meldet möglicherweise ein Sicherheitsproblem in einer Linux-Instanz, obwohl:

  • das Problem kürzlich in der neuesten Linux-Distribution behoben wurde.
  • das Problem in der neuesten Linux-Distribution zwar behoben, aber kürzlich in ältere Versionen zurückportiert wurde.

Wenn Sie befürchten, dass eine vom Vulnerability Scanning-Service erkannte Schwachstelle möglicherweise falsch positiv ist, können Sie mit einer CVE-Nummer prüfen, ob die Schwachstelle bereits in Ihrer Compute-Instanz behoben wurde.

Beispiel: So prüfen Sie eine CVE für Oracle Linux:

  1. Suchen Sie unter Unbreakable Linux Network CVE Summary nach der CVE-Nummer.
  2. Identifizieren Sie unter Errata Information in den CVE-Details das Releasedatum für die Oracle Linux-Version, die auf der Compute-Instanz ausgeführt wird.

    Wenn es für die Version ein Releasedatum gibt, ist CVE in dieser Version korrigiert.

  3. Melden Sie sich mit SSH bei der Compute-Instanz an.
  4. Durchsuchen Sie das Packageänderungslog nach der CVE-Nummer.
    rpm -q --changelog package | grep <CVE>

CVE mit Ksplice behoben

Mit Oracle Ksplice können Sie Oracle Linux-Hosts mit wichtigen Sicherheitspatches aktualisieren, ohne dass ein Neustart erforderlich ist.

Wenn Sie eine CVE mit Ksplice behoben und den Host nicht neu gestartet haben, wird sie vom Vulnerability Scanning-Service möglicherweise weiterhin als Sicherheitslücke gemeldet. Mit der CVE-Nummer können Sie prüfen, ob die Sicherheitslücke in Ihrer Compute-Instanz bereits behoben wurde.

Oracle Autonomous Linux ist ein auf Oracle Linux basierendes Betriebssystemimage mit Self-Patching. Es wendet Patches täglich automatisch mit Oracle Ksplice an. Da Oracle Autonomous Linux den Kernel aktualisiert, ohne den Host neu zu starten, meldet der Vulnerability Scanning-Service möglicherweise weiterhin eine Schwachstelle, obwohl diese behoben wurde.

Alte Kernel- oder Packagedateien

Wenn alte, nicht verwendete Kernel- oder Packagedateien im Dateisystem Ihres Hosts vorhanden sind, kann der Vulnerability Scanning-Service diese alten Dateien als Schwachstelle melden. Dieses Szenario kann auftreten, wenn Sie Backupkopien dieser Dateien erstellt haben oder die Dateien bei einem Update oder einer Deinstallation nicht ordnungsgemäß bereinigt wurden.

  1. Lesen Sie die Beschreibung der erkannten CVE, um die Liste der mit der Sicherheitslücke verknüpften Dateien zu identifizieren.
  2. Durchsuchen Sie Ihren Zielhost nach Kopien dieser Dateien, und löschen Sie sie.

Keine Cloud Guard-Ergebnisse

Beheben Sie Probleme, die verhindern, dass Probleme beim Vulnerability Scanning in Cloud Guard angezeigt werden.

Cloud Guard analysiert die Ergebnisse des Vulnerability Scanning-Service und berichtet über die folgenden Problemtypen:

  • Das gescannte Containerimage weist Sicherheitslücken auf
  • Der gescannte Host weist Sicherheitslücken auf
  • Der gescannte Host weist offene Ports auf

Stellen Sie vor der Fehlerbehebung in Cloud Guard sicher, dass Sie Hostscans, Portscans oder Containerimagescans im Vulnerability Scanning-Service anzeigen können. Andernfalls finden Sie weitere Informationen unter Keine Ergebnisse zum Scannen von Sicherheitslücken.

Weitere Informationen zu häufigen Cloud Guard-Problemen finden Sie unter Fehlerbehebung bei Cloud Guard.

Die Cloud Guard-Ziele enthalten keine Zielhosts oder Container

Cloud Guard-Ziele sind von Vulnerability Scanning-Zielen separate Ressourcen. Um mit Cloud Guard Probleme in Vulnerability Scanning-Berichten zu ermitteln, muss das Ziel-Compartment für Vulnerability Scanning mit dem Cloud Guard-Ziel-Compartment identisch oder ein Sub-Compartment des Cloud Guard-Ziel-Compartments sein.

Hierzu ein Beispiel.

  • CompartmentA und CompartmentB sind Geschwister (keines der Compartments ist ein Sub-Compartment des anderen).
  • Die Compute-Instanz MyInstance und das Image-Repository MyRepo befinden sich in CompartmentA.
  • Das Vulnerability Scanning-Ziel ScanTarget1 ist auf CompartmentA gesetzt.
  • Das Cloud Guard-Ziel CGTarget1 ist auf CompartmentB gesetzt.

In diesem Beispiel zeigt Cloud Guard keine Probleme für Schwachstellen an, die in MyInstance und MyRepo ermittelt wurden. Prüfen Sie die Zieleinstellungen in Cloud Guard und den Vulnerability Scanning-Service. Wenn das Cloud Guard-Ziel auf das Root Compartment für Ihren Mandanten gesetzt ist, sind keine Änderungen erforderlich.

Erstellen Sie ein Cloud Guard-Ziel, das die Compartments in Ihren Vulnerability Scanning-Zielen enthält. Siehe Ziele verwalten.

Die Sicherheitslücken-Scanregeln sind deaktiviert

In einem von Oracle verwalteten Detektorrezept, wie einem OCI-Konfigurationsdetektorrezept, sind alle Detektionsregeln aktiviert. Wenn Sie jedoch ein benutzerdefiniertes Detektorrezept erstellt und die Detektorregeln für Vulnerability Scanning nicht aktiviert haben, meldet Cloud Guard keine Probleme beim Vulnerability Scanning.

Aktivieren Sie die Suchdetektorregeln. Informationen hierzu finden Sie unter Sicherheitslücken-Scanning-Detektorregeln von Cloud Guard verwenden.

Die Einstellungen der Sicherheitslücken-Scanregel schließen Sicherheitslücken aus

In Cloud Guard-Melderrezepten steuern die Einstellungen für die Vulnerability Scanning-Melderregeln, welche Schwachstellen in Cloud Guard als Probleme gemeldet werden.

  • Nicht zulässige Portnummern, die Cloud Guard als Problem meldet
  • Zulässige Portnummern, die Cloud Guard ignoriert
  • Risikostufen von Schwachstellen (Niedrig, Mittel, Hoch, Kritisch), die Cloud Guard als Problem meldet

Beachten Sie folgende Beispiele.

  • Ein Port Scan im Vulnerability Scanning-Service identifiziert die offenen Ports 111 und 123. Die Vulnerability Scanning-Detektorregeln in Cloud Guard sind jedoch so konfiguriert, dass die Ports 111 und 123 zulässig sind.
  • Ein Hostscan im Vulnerability Scanning-Service identifiziert Schwachstellen mit der Risikoebene "Mittel". Die Regeln des Vulnerability Scanning-Detektors in Cloud Guard sind jedoch nur für die Meldung hoher oder kritischer Schwachstellen konfiguriert.

Prüfen Sie die Einstellungen für die Regeln des Vulnerability Scanning-Detektors im Konfigurationsdetektorrezept. Siehe Sicherheitslücken-Scanning-Detektorregeln aktualisieren.

Installation von Qualys-Agent fehlgeschlagen

Beheben Sie Probleme, die verhindern, dass Sie den Qualys-Agent installieren.

IAM-Policys fehlen

Um den Qualys-Agent installieren zu können, müssen Sie und der Qualys-Agent den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy (IAM) erhalten. Dies gilt unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.

  1. Stellen Sie sicher, dass Sie über die erforderlichen Policys verfügen, um den Qualys-Agent zu installieren. Siehe Agent-basierte Standard-Policys und Agent-basierte Qualys Policys.
  2. Fügen Sie alle fehlenden erforderlichen Policys hinzu.

Lizenz ungültig

Die Vulnerability Management-Anwendung wurde nicht ausgewählt, als Sie den Cloud-Agent-Aktivierungsschlüssel im Qualys-Portal generiert haben.

  1. Gehen Sie zum Qualys-Portal, und wählen Sie die Anwendung Vulnerability Management für den Aktivierungsschlüssel aus. Weitere Anweisungen finden Sie in der Dokumentation zur Qualys Cloud Platform.
  2. Installieren Sie den Qualys-Agent.

Qualys-Scanberichte können in der OCI-Konsole nicht angezeigt werden

Beheben Sie Probleme, die verhindern, dass Sie Qualys-Scanberichte in der OCI-Konsole anzeigen können.

Hinweis

Wenn die Qualys-Scanberichte nur im Qualys-Portal, nicht aber in der OCI-Konsole angezeigt werden, öffnen Sie das Supportticket mit dem Support Center.

Falsches Compartment angegeben

Wählen Sie in der Konsole das Compartment mit den Ergebnissen des Vulnerability Scanning für die anzuzeigenden Ziele aus.

Der Vulnerability Scanning-Service speichert die Ergebnisse für eine Compute-Instanz im selben Compartment wie das Vulnerability Scanning-Ziel der Instanz.

Beachten Sie folgendes Beispiel.

  • Die Compute-Instanz MyInstance befindet sich in CompartmentA.
  • MyInstance wird in Target1 angegeben.
  • Target1 befindet sich in CompartmentB.
  • Alle Berichte für MyInstance befinden sich in CompartmentB.
Führen Sie die Schritte zum Anzeigen von Hostscans aus, und stellen Sie sicher, dass das richtige Compartment ausgewählt ist. Siehe Hostscans auflisten.

Rezept ist kein Qualys-Agent-Scanrezept

Der Qualys-Agent muss im Compute-Scanrezept angegeben werden.

Stellen Sie sicher, dass Sie ein Agent-Scanrezept mit der ausgewählten Option "Qualys" erstellt haben. Informationen hierzu finden Sie unter Compute-Scanrezept mit einem Qualys-Agent erstellen.

Qualys-Lizenzschlüssel im falschen Format gespeichert

Der im Qualys-Agent-Scanrezept verwendete Lizenzschlüssel muss im Klartext gespeichert werden.

Führen Sie die Schritte zum Definieren eines Secrets für ein Scanrezept aus. Siehe Secret für ein Compute-Scanrezept definieren.

Qualys Agent-Installation nicht erfolgreich

Der Qualys-Agent ist möglicherweise nicht ordnungsgemäß installiert und bereitgestellt.

  1. Vergewissern Sie sich, dass die Compute-Instanz im Qualys-Portal angezeigt wird.
  2. Vergewissern Sie sich, dass auf der Seite "Zielfehler" keine Fehler mit der Compute-Instanz verknüpft sind.

Egress-Regeln nicht korrekt eingerichtet

Stellen Sie sicher, dass alle Egress-Regeln, die in Ihrem VCN eingerichtet sind, es dem Qualys-Agent ermöglichen, mit Servern außerhalb von OCI zu kommunizieren.

Vulnerability Scanning-Plug-in von Oracle Cloud Agent funktioniert nicht in einer Windows Domain Controller-Instanz

Beheben Sie Probleme, die verhindern, dass Sie das Vulnerability Scanning-Oracle Cloud Agent-Plug-in ausführen.

Ursache

Wenn Sie eine Windows Server-Instanz als Domaincontroller verwenden, sind Features, die von Oracle Cloud Agent abhängig sind, nicht verfügbar, wie z.B. der Monitoring-Service und der OS Management-Service.

Heilmittel

Die Abhilfe finden Sie im folgenden MOS-Artikel: Doc ID 2919839.1.