Documentación de Oracle Cloud Infrastructure

Solución de problemas del servicio Vulnerability Scanning

Utilice la información de solución de problemas para identificar y resolver incidencias comunes que se pueden producir al trabajar con Oracle Cloud Infrastructure Vulnerability Scanning Service.

No se pueden crear recetas de exploración ni destinos de exploración

Corrija los problemas que le impiden crear recetas de exploración o destinos de exploración para exploraciones de recursos informáticos (host) o imágenes.

Para crear una receta de Vulnerability Scanning o un destino de Vulnerability Scanning, debe contar con el tipo de acceso necesario en una política (IAM) escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta.

  1. Utilice la siguiente documentación para verificar que tiene las políticas necesarias para crear recetas y destinos de exploración de imágenes y recursos informáticos.
    1. Política de IAM necesaria para recetas de exploración de recursos informáticos
    2. Política de IAM necesaria para recetas de exploración de imágenes
  2. Agregue las políticas necesarias que falten.

Sin resultados de Vulnerability Scanning

Corrija los problemas generales que le impiden ver cualquier tipo de informe de Vulnerability Scanning.

El destino se ha creado hace menos de 24 horas

Después de crear un destino, el servicio Vulnerability Scanning no explora inmediatamente los recursos de destino especificados.

Después de crear un destino asociado a la receta, puede tardar hasta 24 horas en que el servicio Vulnerability Scanning realice la primera exploración de los recursos de destino. En el caso de destinos de recursos informáticos, este retraso se produce si ha configurado la receta con una programación Diaria o una programación Semanal.

Espere 24 horas y, a continuación, compruebe los resultados de la exploración.

Política de IAM que falta

Para ver cualquier tipo de informe de Vulnerability Scanning, debe contar con el tipo de acceso necesario en una política (IAM) escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta.

Por ejemplo, para permitir a los usuarios del grupo SecurityAuditors ver todos los recursos de Vulnerability Scanning del compartimento SalesApps:

Allow group SecurityAuditors to read vss-family in compartment SalesApps

Verifique que tiene las políticas necesarias para ver los resultados de la exploración. Consulte Políticas de IAM de Vulnerability Scanning.

Se ha especificado un compartimento incorrecto

En la consola, asegúrese de seleccionar el compartimento que contiene los resultados de Vulnerability Scanning para los destinos que desea ver.

El servicio Vulnerability Scanning guarda los resultados de una instancia informática en el mismo compartimento que el destino Vulnerability Scanning de la instancia.

Considere el siguiente ejemplo.

  • La instancia informática MyInstance está en CompartmentA.
  • MyInstance se especifica en Target1.
  • Target1 está en CompartmentB.
  • Todos los informes relacionados con MyInstance están en CompartmentB.

El servicio Vulnerability Scanning guarda los resultados de un repositorio de imágenes en el mismo compartimento que el destino de Vulnerability Scanning del repositorio.

Considere el siguiente ejemplo.

  • El repositorio MyRepo en Container Registry está en CompartmentA.
  • MyRepo se especifica en Target1.
  • Target1 está en CompartmentB.
  • Todos los informes relacionados con MyRepo están en CompartmentB.
En la consola, vaya a Scanning Reports y asegúrese de que se ha seleccionado el compartimento correcto. Consulte Scanning Reports.

Todas las Funciones de la Receta Están Desactivadas

Si ha creado una receta en el servicio Vulnerability Scanning, pero ha desactivado todas las opciones de exploración de la receta, el servicio Vulnerability Scanning no explora ningún destino asignado a esta receta.

En la consola, vaya a la receta y active las opciones de exploración necesarias. Consulte:

Sin exploraciones de host

Corrija los problemas que evitan que vea los resultados de las exploraciones de host para los destinos de recursos informáticos.

Si el problema no aparece aquí, consulte Sin resultados de Vulnerability Scanning para ver otros problemas de exploración comunes.

La exploración basada en agente no está activada

Para crear análisis de host, el servicio Vulnerability Scanning utiliza el agente de Oracle Cloud, que se ejecuta en las instancias informáticas de destino. Por defecto, la exploración basada en agente está activada en una receta. Si ha desactivado esta opción en la receta, el servicio Vulnerability Scanning no crea exploraciones de host para los destinos asociados a la receta.

En la consola, vaya a la receta y active las opciones de exploración necesarias. Consulte Edición de una receta de exploración de recurso informático.

El plugin de exploración está desactivado en el agente

El proceso de Oracle Cloud Agent gestiona la ejecución de los plugins en la instancia de Compute. El plugin Vulnerability Scanning se utiliza para detectar vulnerabilidades y probar referencias de CIS. Por defecto, el plugin de Vulnerability Scanning está activado en todas las instancias que ejecutan el agente, pero el plugin se puede desactivar.

Si ha desactivado manualmente el plugin Vulnerability Scanning en las instancias informáticas de destino, debe activarlo.

Active el plugin de Vulnerability Scanning en las instancias de Compute de destino. Consulte Oracle Cloud Agent.

Falta la política de IAM para desplegar el agente

Si las instancias informáticas de destino no están ejecutando Oracle Cloud Agent, el servicio Vulnerability Scanning despliega automáticamente el agente en las instancias. Sin embargo, un administrador debe otorgar permiso al servicio Vulnerability Scanning para actualizar las instancias informáticas de destino.

Verifique que el servicio Vulnerability Scanning tiene las políticas necesarias para actualizar las instancias informáticas de destino. Consulte Política de IAM necesaria para recetas de exploración de recursos informáticos.

La instancia no está ejecutando el último agente

Si la instancia informática de destino ejecuta Oracle Cloud Agent versión 1.11.0, es posible que no se actualice automáticamente a la última versión.

Actualice manualmente Oracle Cloud Agent en la instancia. Consulte:

Falta gateway de servicio para instancias sin dirección IP pública

Una instancia informática está asociada a una red virtual en la nube (VCN) y una subred. Si una instancia del destino está en una subred privada o no tiene ninguna dirección IP pública, la VCN debe incluir un gateway de servicio y una regla de ruta para el gateway de servicio. Consulte Acceso a servicios de Oracle: gateway de servicio.

Si la VCN o el gateway de servicio no están configurados correctamente, el servicio Vulnerability Scanning no puede comunicarse con las instancias informáticas de la subred privada ni realizar una exploración de host.

Configure el gateway de servicio para permitir el tráfico de todos los servicios soportados en la región. Por ejemplo, todos los servicios de PHX en Oracle Services Network es una etiqueta CIDR de servicio que representa todos los servicios soportados en Oracle Services Network en la región Oeste de Estados Unidos (Phoenix).
Nota

El gateway de servicio no se puede configurar para permitir el tráfico solo para un servicio, como Object Storage.

El reenvío de tráfico está desactivado en una instancia sin dirección IP pública

Una VNIC permite conectar una instancia a una VCN y determinar cómo se comunica dicha instancia con los puntos finales situados dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Si una instancia informática del destino está en una subred privada o no tiene dirección IP pública, las VNIC de la instancia deben poder reenviar tráfico.

Si las VNIC no están configuradas correctamente, el servicio Vulnerability Scanning no puede comunicarse con una instancia informática de una subred privada y realizar una exploración de host.

Edite las VNIC de la instancia y seleccione la opción Skip source/destination check. Consulte Actualización de una VNIC existente.

Sin exploraciones de imágenes de contenedor

Corrija los problemas que le impiden ver los resultados de las exploraciones de imágenes de contenedor.

Si el problema no aparece aquí, consulte Sin resultados de Vulnerability Scanning para ver otros problemas de exploración comunes.

Falta la política de IAM para acceder a Container Registry

Un administrador debe otorgar al servicio Vulnerability Scanning permiso para extraer imágenes de Container Registry.

La política debe especificar los compartimentos que contienen los repositorios de imagen de destino.

Verifique que tiene las políticas necesarias para extraer imágenes de Container Registry. Consulte Política de IAM necesaria para recetas de exploración de imágenes.

No se pueden exportar los resultados de Scanning

Corrija los problemas que le impiden exportar informes de análisis o de vulnerabilidades a la máquina local.

Políticas de IAM que faltan

Para exportar un informe de Vulnerability Scanning, debe contar con el tipo de acceso necesario en una política (IAM) escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta.
Nota

Si tampoco puede ver los resultados de la exploración, consulte Sin resultados de Vulnerability Scanning.

Es posible que el administrador le haya otorgado permisos de lectura para informes de análisis e informes de vulnerabilidad, pero no permisos de exportación.

Verifique que tiene las políticas necesarias para exportar los informes de Vulnerability Scanning. Consulte Políticas de IAM de Vulnerability Scanning.

Por ejemplo, para permitir a los usuarios del grupo SecurityAuditors ver todos los recursos de Vulnerability Scanning en el compartimento SalesApps y exportar los resultados:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'
Nota

La operación de exportación está disponible para el tipo de recurso host-vulnerabilities, no para el tipo de recurso vss-vulnerabilities.

Fallo al suprimir el compartimento

Corrija los problemas que le impiden suprimir un compartimento utilizado para los destinos e informes de Vulnerability Scanning.

Existen informes en el compartimento

Un compartimento debe estar vacío para poder suprimirlo, incluidos todos los informes de exploración. No puede suprimir informes mediante la consola. Utilice la CLI o la API.

Hay comandos CLI y operaciones de API independientes para cada tipo de informe. Por ejemplo:

Para suprimir rápidamente todos los tipos de informes de un compartimento, puede ejecutar un script mediante Cloud Shell.

  1. Copie y pegue este texto en un archivo de la computadora local. 
    import oci
import sys

compartment = "<compartment_ocid>"

def list(list_func, compartment):
    try:
        scans = oci.pagination.list_call_get_all_results(
            list_func,
            compartment
        ).data
        return scans
    except Exception as e:
        raise RuntimeError("Error listing scans in compartment " + compartment + ": " + str(e.args))

def delete_scans(delete_func, scans):
    for s in scans:
        try:
            delete_func(s.id)
        except Exception as e:
            raise RuntimeError("Error deleting scan " + s["id"] + ": " + str(e.args))

config = oci.config.from_file()

# Quick safety check
print("Using compartment " + compartment)
if input("Do you want to delete all scan results (host, port, CIS, container) in this compartment? [y/N]: ") != "y":
    sys.exit()

# Create the client from the config
client = oci.vulnerability_scanning.VulnerabilityScanningClient(config)

# Host agent scans
print("Listing agent scans to delete...")
host_scans = list(client.list_host_agent_scan_results, compartment)
print("Deleting " + str(len(host_scans)) + " host scans")
delete_scans(client.delete_host_agent_scan_result, host_scans)

# Host port scans
print("Listing port scans to delete...")
port_scans = list(client.list_host_port_scan_results, compartment)
print("Deleting " + str(len(port_scans)) + " port scans")
delete_scans(client.delete_host_port_scan_result, port_scans)

# Host CIS benchmarks
print("Listing CIS scans to delete...")
cis_benchmarks = list(client.list_host_cis_benchmark_scan_results, compartment)
print("Deleting " + str(len(cis_benchmarks)) + " CIS scans")
delete_scans(client.delete_host_cis_benchmark_scan_result, cis_benchmarks)

# Container scans
print("Listing container image scans to delete...")
container_scans = list(client.list_container_scan_results, compartment)
print("Deleting " + str(len(container_scans)) + " container image scans")
delete_scans(client.delete_container_scan_result, container_scans)
  2. Reemplace <compartment_ocid> por el OCID del compartimento que desea suprimir.
  3. Guarde el archivo como delete-reports.py.
  4. En la cabecera de la consola, seleccione la región que contiene los informes que desea suprimir.
  5. En la cabecera de la consola, seleccione el icono de Cloud Shell.

    Cloud Shell se muestra en la parte inferior de la consola. Espere a que aparezca el indicador $.

  6. Arrastre y suelte delete-reports.py de la máquina local en Cloud Shell.
  7. En el indicador de Cloud Shell, ejecute el script de Python. 
    python3 delete-reports.py
  8. Cuando se le solicite que suprima todos los informes, introduzca y.

    Ahora puede suprimir el compartimento si no incluye otros recursos.

El CVE registrado ya está corregido en el host (false positivo)

Solucione los problemas que causan exploraciones de host para informar de vulnerabilidades que ya se hayan corregido.

Oracle utiliza números de exposiciones y vulnerabilidades comunes (CVE) para identificar vulnerabilidades de seguridad para sistemas operativos y otro software, incluidas las actualizaciones de parches críticos y los asesores de alertas de seguridad. Los números de CVE son identificadores únicos comunes para la información conocida públicamente sobre las vulnerabilidades de seguridad. Consulte los ID de Qualys (QID) en la interfaz de usuario del servicio Vulnerability Scanning.

Durante una exploración de host, el servicio Vulnerability Scanning compara la versión de los paquetes del sistema operativo en el host con la versión corregida de los paquetes en la base de datos de CVE de código abierto.

Si está utilizando el servicio Gestión del sistema operativo para actualizar los hosts de destino, el siguiente escenario suele indicar un falso positivo:

  • El informe del servicio Vulnerability Scanning indica que un número de CVE específico no se ha corregido en un host de destino.
  • El servicio Gestión del sistema operativo indica que no hay actualizaciones de seguridad para instalar en el mismo host de destino.

Inexactitudes de la base de datos de CVE

Oracle Cloud Infrastructure Vulnerability Scanning Service está trabajando continuamente para mejorar los resultados del análisis mediante el uso de las bases de datos más recientes de Oracle Linux y código abierto, pero puede haber imprecisiones en estas bases de datos o en el método utilizado por el servicio para detectar la CVE. Por ejemplo, el servicio Vulnerability Scanning puede notificar una incidencia de seguridad en una instancia de Linux aunque:

  • El problema se haya solucionado recientemente en la última distribución de Linux
  • El problema se haya solucionado en la última distribución de Linux, pero recientemente se ha aplicado un parche para versiones anteriores

Si le preocupa que una vulnerabilidad detectada por el servicio Vulnerability Scanning pueda ser un falso positivo, puede utilizar un número de CVE para verificar si la vulnerabilidad ya está corregida en la instancia informática.

Por ejemplo, para verificar un CVE para Oracle Linux:

  1. En el resumen de CVE de Unbreakable Linux Network, busque el número de CVE.
  2. En la información de la errata de los detalles de CVE, identifique la fecha de publicación de la versión de Oracle Linux que se ejecuta en la instancia informática.

    Si la versión tiene una fecha de publicación, CVE se corrige en esa versión.

  3. Conexión a la instancia informática mediante SSH.
  4. Busque el número de CVE en el log de cambios del paquete.
    rpm -q --changelog package | grep <CVE>

CVE corregido con Ksplice

Oracle Ksplice permite actualizar los hosts de Oracle Linux con parches de seguridad importantes, sin necesidad de reiniciar.

Si ha corregido un CVE mediante Ksplice y no ha reiniciado el host, el servicio Vulnerability Scanning puede seguir notificándolo como una vulnerabilidad. Puede utilizar el número de CVE para verificar si la vulnerabilidad ya está corregida en la instancia informática.

Oracle Autonomous Linux es una imagen de sistema operativo de aplicación automática de parches basada en Oracle Linux. Aplica parches automáticamente y de forma diaria mediante Oracle Ksplice. Dado que Oracle Autonomous Linux actualiza el núcleo sin reiniciar el host, el servicio Vulnerability Scanning puede seguir notificando una vulnerabilidad aunque se haya corregido.

Archivos antiguos de núcleo o paquete

Si hay archivos de paquete o núcleo no utilizados antiguos en el sistema de archivos del host, el servicio Vulnerability Scanning puede notificar estos archivos antiguos como una vulnerabilidad. Este escenario puede ocurrir si creó copias de seguridad de estos archivos o los archivos no se limpiaron correctamente durante una actualización o desinstalación.

  1. Consulte la descripción de CVE detectada para identificar la lista de archivos asociados a la vulnerabilidad.
  2. Busque en el host de destino copias de estos archivos y suprímalos.

Sin resultados de Cloud Guard

Corrige los problemas que te impiden ver cualquier problema de Vulnerability Scanning en Cloud Guard.

Cloud Guard analiza los resultados del servicio Vulnerability Scanning e informa de los siguientes tipos de problemas:

  • La imagen de contenedor explorada tiene vulnerabilidades
  • El host explorado tiene vulnerabilidades
  • El host explorado tiene puertos abiertos

Antes de solucionar problemas de Cloud Guard, asegúrese de que puede ver Exploraciones de hosts, Exploraciones de puertos o Exploraciones de imágenes de contenedor en el servicio Vulnerability Scanning. Si no es así, consulte No Vulnerability Scanning Results.

Para obtener más información sobre los problemas comunes de Cloud Guard, consulte Solución de problemas de Cloud Guard.

Los destinos de Cloud Guard no incluyen contenedores ni hosts de destino

Los destinos de Cloud Guard son recursos independientes de los destinos de Vulnerability Scanning. Para utilizar Cloud Guard para detectar problemas en los informes de Vulnerability Scanning, el compartimento de destino de Vulnerability Scanning debe ser el mismo que el compartimento de destino de Cloud Guard o ser un subcompartimento del compartimento de destino de Cloud Guard.

Analice el siguiente escenario.

  • CompartmentA y CompartmentB son hermanos (uno no es un subcompartimento del otro).
  • La instancia informática MyInstance y el repositorio de imágenes MyRepo están en CompartmentA.
  • El destino de Vulnerability Scanning ScanTarget1 se define en CompartmentA.
  • El destino de Cloud Guard CGTarget1 se define en CompartmentB.

En este ejemplo, Cloud Guard no muestra problemas para las vulnerabilidades detectadas en MyInstance ni MyRepo. Inspeccione la configuración de destino en Cloud Guard y el servicio de Vulnerability Scanning. Si el destino de Cloud Guard está definido en el compartimento raíz para su arrendamiento, no se necesita ningún cambio.

Cree un destino de Cloud Guard que incluya los compartimentos en los destinos de Vulnerability Scanning. Consulte Gestión de destinos.

Las reglas de Vulnerability Scanning están desactivadas

En una receta de detector gestionada por Oracle, como Recea de detector de configuración de OCI, se activan todas las reglas de detector. Sin embargo, si ha creado una receta de detector personalizada y no ha activado las reglas de detector de Vulnerability Scanning, Cloud Guard no informa de ningún problema de Vulnerability Scanning.

Active las reglas del detector de Scanning. Consulte Uso de las reglas del detector de Vulnerability Scanning.

La configuración de regla de Vulnerability Scanning excluye sus vulnerabilidades

En las recetas de detector de Cloud Guard, la configuración de las reglas de detector de Vulnerability Scanning controla qué vulnerabilidades se notifican como problemas en Cloud Guard.

  • Números de puerto no permitidos que Cloud Guard notifica como problema
  • Números de puerto permitidos que Cloud Guard ignora
  • Niveles de riesgo de Vulnerabilidad (Bajo, Medio, Alto, Crítico) que Cloud Guard notifica como problema

Considere los siguientes ejemplos.

  • Una exploración de puerto en el servicio Vulnerability Scanning identifica los puertos abiertos 111 y 123, pero las reglas de detector de Vulnerability Scanning en Cloud Guard están configuradas para permitir los puertos 111 y 123.
  • Una exploración de host en el servicio Vulnerability Scanning identifica las vulnerabilidades con el nivel de riesgo Medio, pero las reglas de detector de Vulnerability Scanning en Cloud Guard solo están configuradas para notificar las vulnerabilidades con nivel Alto o Crítico.

Verifique la configuración de las reglas de detector de Vulnerability Scanning en la receta de detector de configuración. Consulte Actualización de las reglas del detector de Vulnerability Scanning.

Fallo de instalación del agente de Qualys

Solucione los problemas que le impiden instalar el agente de Qualys.

Políticas de IAM que faltan

Para instalar el agente de Qualys, usted y el agente de Qualys deben contar con el tipo de acceso necesario en una política (IAM) escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, la CLI u otra herramienta.

  1. Verifique que tiene las políticas necesarias para instalar el agente de Qualys. Consulte Agent-Based Standard Policies y Agent-Based Qualys Policies.
  2. Agregue las políticas necesarias que falten.

Licencia no válida

La aplicación Vulnerability Management no se seleccionó al generar la clave de activación de Cloud Agent en el portal de Qualys.

  1. Vaya al portal de Qualys y seleccione la aplicación Vulnerability Management para la clave de activación. Consulte la documentación de Qualys Cloud Platform para obtener instrucciones.
  2. Instale el agente de Qualys.

No se pueden ver los informes de exploración de Qualys en la consola de OCI

Corrija los problemas que le impiden ver informes de exploración de Qualys en la consola de OCI.

Nota

Si los informes de exploración de Qualys solo aparecen en el portal de Qualys, pero no en la consola de OCI, abra el ticket de soporte mediante el centro de soporte.

Se ha especificado un compartimento incorrecto

En la consola, asegúrese de seleccionar el compartimento que contiene los resultados de Vulnerability Scanning para los destinos que desea ver.

El servicio Vulnerability Scanning guarda los resultados de una instancia informática en el mismo compartimento que el destino Vulnerability Scanning de la instancia.

Considere el siguiente ejemplo.

  • La instancia informática MyInstance está en CompartmentA.
  • MyInstance se especifica en Target1.
  • Target1 está en CompartmentB.
  • Todos los informes relacionados con MyInstance están en CompartmentB.
Siga los pasos para ver las exploraciones de host y asegúrese de que tiene seleccionado el compartimento correcto. Consulte Listing Host Scans.

La receta no es una receta de exploración de agente de Qualys

El agente de Qualys se debe especificar en la receta de exploración de Compute.

Asegúrese de que ha creado una receta de exploración de agente con la opción Qualys seleccionada. Consulte Creating a Compute Scan Recipe with a Qualys Agent.

Clave de licencia de Qualys almacenada en formato incorrecto

La clave de licencia utilizada en la receta de exploración del agente de Qualys se debe almacenar en texto sin formato.

Siga los pasos para definir un secreto para una receta de exploración. Consulte Defining a Secret for a Compute Scan Recipe.

Instalación incorrecta del agente de Qualys

Es posible que el agente de Qualys no esté instalado y aprovisionado correctamente.

  1. Confirme que la instancia informática se muestra en el portal de Qualys.
  2. Confirme que no hay errores asociados a la instancia informática en la página Errores de destino.

Reglas de salida no configuradas correctamente

Asegúrese de que las reglas de salida configuradas en la VCN permitan al agente de Qualys comunicarse con servidores fuera de OCI.

El plugin de Oracle Cloud Agent de Vulnerability Scanning no funciona en una instancia de controlador de dominio de Windows

Corrija los problemas que le impiden ejecutar el plugin de Oracle Cloud Agent de Vulnerability Scanning.

Causa

Cuando utiliza una instancia de Windows Server como controlador de dominio, las funciones que dependen de Oracle Cloud Agent, como el servicio Monitoring y el servicio OS Management, no están disponibles.

Solución

Consulte el siguiente artículo de MOS para conocer la solución: Doc ID 2919839.1.