Documentazione dell'infrastruttura Oracle Cloud

Risoluzione dei problemi relativi al servizio di analisi delle vulnerabilità

Utilizza le informazioni di risoluzione dei problemi per identificare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo di Oracle Cloud Infrastructure Vulnerability Scanning Service.

Impossibile creare ricette di scansione o destinazioni di scansione

Risolvere i problemi che impediscono di creare ricette di scansione o di eseguire la scansione delle destinazioni per la computazione (host) o le scansioni di immagini.

Per creare una ricetta di analisi delle vulnerabilità o una destinazione di analisi delle vulnerabilità, è necessario disporre del tipo di accesso richiesto in un criterio (IAM) scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.

  1. Utilizzare la documentazione riportata di seguito per verificare di disporre dei criteri necessari per la creazione di ricette e destinazioni di scansione di computazione e immagine.
    1. Criteri IAM obbligatori per le ricette di scansione di computazione
    2. Criteri IAM obbligatori per le ricette di scansione delle immagini
  2. Aggiungere eventuali criteri obbligatori mancanti.

Nessun risultato di scansione delle vulnerabilità

Risolvere i problemi generali che impediscono di visualizzare qualsiasi tipo di report di analisi delle vulnerabilità.

Obiettivo creato meno di 24 ore fa

Dopo aver creato una destinazione, il servizio di analisi delle vulnerabilità non esegue immediatamente la scansione delle risorse di destinazione specificate.

Dopo aver creato una destinazione associata alla ricetta, il servizio di analisi delle vulnerabilità può richiedere fino a 24 ore per eseguire la prima scansione delle risorse di destinazione. Per le destinazioni Compute, questo ritardo si verifica se la ricetta è stata configurata con una pianificazione giornaliera o una pianificazione settimanale.

Attendere 24 ore, quindi verificare i risultati della scansione.

Criterio IAM mancante

Per visualizzare qualsiasi tipo di report di analisi delle vulnerabilità, è necessario disporre del tipo di accesso richiesto in un criterio (IAM) scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.

Ad esempio, per consentire agli utenti del gruppo SecurityAuditors di visualizzare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps:

Allow group SecurityAuditors to read vss-family in compartment SalesApps

Verificare di disporre dei criteri necessari per visualizzare i risultati della scansione. Consulta la sezione relativa alle policy IAM per la scansione delle vulnerabilità.

È stato specificato un compartimento errato

Nella console, assicurarsi di scegliere il compartimento contenente i risultati di analisi delle vulnerabilità per le destinazioni che si desidera visualizzare.

Il servizio di analisi delle vulnerabilità salva i risultati per un'istanza di computazione nello stesso compartimento della destinazione di analisi delle vulnerabilità dell'istanza.

Esaminare l'esempio seguente.

  • L'istanza di computazione MyInstance si trova in CompartmentA.
  • MyInstance è specificato in Target1.
  • Target1 si trova in CompartmentB.
  • Tutti i report correlati a MyInstance si trovano in CompartmentB.

Il servizio di analisi delle vulnerabilità salva i risultati per un repository di immagini nello stesso compartimento della destinazione di analisi delle vulnerabilità del repository.

Esaminare l'esempio seguente.

  • Il repository MyRepo in Container Registry si trova in CompartmentA.
  • MyRepo è specificato in Target1.
  • Target1 si trova in CompartmentB.
  • Tutti i report correlati a MyRepo si trovano in CompartmentB.
Nella console, andare a Scansione dei report e assicurarsi che sia selezionato il compartimento corretto. Vedere Analisi dei report.

Tutte le funzioni della ricetta sono disabilitate

Se una ricetta è stata creata nel servizio di analisi delle vulnerabilità, ma sono state disabilitate tutte le opzioni di scansione nella ricetta, il servizio di analisi delle vulnerabilità non esegue la scansione delle destinazioni assegnate a questa ricetta.

Nella console, andare alla ricetta e abilitare le opzioni di scansione necessarie. Vedere:

Nessuna scansione host

Risolvere i problemi che impediscono di visualizzare i risultati delle scansioni host per le destinazioni di computazione.

Se il problema non viene elencato qui, vedere Nessun risultato della scansione delle vulnerabilità per altri problemi di scansione comuni.

La scansione basata su agente non è abilitata

Per creare scansioni host, il servizio di analisi delle vulnerabilità utilizza l'agente Oracle Cloud, che viene eseguito sulle istanze di computazione di destinazione. Per impostazione predefinita, l'opzione Scansione basata su agente è abilitata in una ricetta. Se questa opzione è stata disabilitata nella ricetta, il servizio di analisi delle vulnerabilità non crea le scansioni host per le destinazioni associate alla ricetta.

Nella console, andare alla ricetta e abilitare le opzioni di scansione necessarie. Vedere Modifica di una ricetta di scansione di computazione.

Il plugin di scansione è disabilitato nell'agente

Il processo Agente Oracle Cloud gestisce i plugin in esecuzione nell'istanza di computazione. Il plugin Vulnerability Scanning viene utilizzato per rilevare le vulnerabilità e per testare i benchmark CIS. Per impostazione predefinita, il plugin Scansione vulnerabilità è abilitato su tutte le istanze che eseguono l'agente, ma è possibile disabilitare il plugin.

Se il plugin Scansione vulnerabilità è stato disabilitato manualmente nelle istanze di computazione di destinazione, è necessario abilitarlo.

Abilita il plugin Scansione vulnerabilità nelle istanze di computazione di destinazione. Vedere Agente Oracle Cloud.

Criterio IAM mancante per la distribuzione dell'agente

Se le istanze di computazione di destinazione non eseguono l'agente Oracle Cloud, il servizio di analisi delle vulnerabilità distribuisce automaticamente l'agente alle istanze. Tuttavia, un amministratore deve concedere al servizio di analisi delle vulnerabilità l'autorizzazione per aggiornare le istanze di computazione di destinazione.

Verificare che il servizio di analisi delle vulnerabilità disponga dei criteri necessari per aggiornare le istanze di computazione di destinazione. Vedere Criterio IAM obbligatorio per le ricette di scansione di computazione.

L'istanza non esegue l'agente più recente

Se l'istanza di computazione di destinazione esegue l'agente Oracle Cloud versione 1.11.0, potrebbe non aggiornarsi automaticamente alla versione più recente.

Aggiornare manualmente l'agente Oracle Cloud nell'istanza. Vedere:

Gateway del servizio mancante per le istanze senza indirizzo IP pubblico

Un'istanza di computazione è associata a una rete cloud virtuale (VCN) e a una subnet . Se un'istanza nella destinazione si trova in una subnet privata o non dispone di un indirizzo IP pubblico, la VCN deve includere un gateway di servizi e una regola di instradamento per il gateway del servizio. Consulta la sezione relativa all'accesso ai servizi Oracle: gateway del servizio.

Se la VCN o il gateway di servizi non è configurato correttamente, il servizio di analisi delle vulnerabilità non è in grado di comunicare con le istanze di computazione nella subnet privata ed eseguire una scansione dell'host.

Configurare il gateway del servizio per consentire il traffico per tutti i servizi supportati nell'area. Ad esempio, Tutti i servizi PHX in Oracle Services Network è un'etichetta CIDR del servizio che rappresenta tutti i servizi supportati in Oracle Services Network nell'area occidentale degli Stati Uniti (Phoenix).
Nota

Il gateway di servizi non può essere configurato in modo da consentire il traffico solo per un singolo servizio, come lo storage degli oggetti.

Inoltro traffico disabilitato in un'istanza senza indirizzo IP pubblico

Una scheda VNIC consente a un'istanza di connettersi a una VCN e determina la modalità di connessione tra l'istanza e gli endpoint all'interno e all'esterno della VCN. Ogni VNIC risiede nella subnet in una VCN. Se un'istanza di computazione nella destinazione si trova in una subnet privata o non dispone di un indirizzo IP pubblico, le VNIC dell'istanza devono essere in grado di inoltrare il traffico.

Se le VNIC non sono configurate correttamente, il servizio di analisi delle vulnerabilità non è in grado di comunicare con un'istanza di computazione in una subnet privata ed eseguire una scansione dell'host.

Modificare le VNIC dell'istanza e selezionare l'opzione Salta controllo origine/destinazione. Vedere Aggiorna una VNIC esistente.

Nessuna scansione immagini contenitore

Risolvi i problemi che ti impediscono di vedere i risultati delle scansioni delle immagini dei container.

Se il problema non viene elencato qui, vedere Nessun risultato della scansione delle vulnerabilità per altri problemi di scansione comuni.

Criterio IAM mancante per accedere al registro dei contenitori

Un amministratore deve concedere al servizio di analisi delle vulnerabilità l'autorizzazione per estrarre le immagini da Container Registry.

Il criterio deve specificare i compartimenti che contengono i repository di immagini di destinazione.

Verificare di disporre dei criteri necessari per estrarre le immagini da Container Registry. Vedere Criterio IAM obbligatorio per le ricette di scansione delle immagini.

Impossibile esportare i risultati della scansione

Risolvere i problemi che impediscono l'esportazione di report di scansione o di vulnerabilità nel computer locale.

Criteri IAM mancanti

Per esportare un report di analisi delle vulnerabilità, è necessario disporre del tipo di accesso richiesto in un criterio (IAM) scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.
Nota

Se non è possibile visualizzare i risultati della scansione, vedere Nessun risultato della scansione delle vulnerabilità.

L'amministratore potrebbe aver concesso autorizzazioni di lettura per i report di scansione e i report sulle vulnerabilità, ma non le autorizzazioni di esportazione.

Verificare di disporre dei criteri necessari per esportare i report di analisi delle vulnerabilità. Consulta la sezione relativa alle policy IAM per la scansione delle vulnerabilità.

Ad esempio, per consentire agli utenti del gruppo SecurityAuditors di visualizzare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps ed esportare i risultati:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'
Nota

L'operazione di esportazione è disponibile per il tipo di risorsa host-vulnerabilities e non per il tipo di risorsa vss-vulnerabilities.

Eliminazione del compartimento non riuscita

Correggere i problemi che impediscono di eliminare un compartimento utilizzato per le destinazioni e i report di analisi delle vulnerabilità.

Report esistenti nel compartimento

Un compartimento deve essere vuoto prima di poterlo eliminare, inclusi tutti i report di scansione. Impossibile eliminare i report utilizzando la console. Utilizzare l'interfaccia CLI o l'API.

Per ogni tipo di report sono disponibili comandi CLI e operazioni API separati. Ad esempio:

Per eliminare rapidamente tutti i tipi di report da un compartimento, è possibile eseguire uno script utilizzando Cloud Shell.

  1. Copiare e incollare questo testo in un file sul computer locale. 
    import oci
import sys

compartment = "<compartment_ocid>"

def list(list_func, compartment):
    try:
        scans = oci.pagination.list_call_get_all_results(
            list_func,
            compartment
        ).data
        return scans
    except Exception as e:
        raise RuntimeError("Error listing scans in compartment " + compartment + ": " + str(e.args))

def delete_scans(delete_func, scans):
    for s in scans:
        try:
            delete_func(s.id)
        except Exception as e:
            raise RuntimeError("Error deleting scan " + s["id"] + ": " + str(e.args))

config = oci.config.from_file()

# Quick safety check
print("Using compartment " + compartment)
if input("Do you want to delete all scan results (host, port, CIS, container) in this compartment? [y/N]: ") != "y":
    sys.exit()

# Create the client from the config
client = oci.vulnerability_scanning.VulnerabilityScanningClient(config)

# Host agent scans
print("Listing agent scans to delete...")
host_scans = list(client.list_host_agent_scan_results, compartment)
print("Deleting " + str(len(host_scans)) + " host scans")
delete_scans(client.delete_host_agent_scan_result, host_scans)

# Host port scans
print("Listing port scans to delete...")
port_scans = list(client.list_host_port_scan_results, compartment)
print("Deleting " + str(len(port_scans)) + " port scans")
delete_scans(client.delete_host_port_scan_result, port_scans)

# Host CIS benchmarks
print("Listing CIS scans to delete...")
cis_benchmarks = list(client.list_host_cis_benchmark_scan_results, compartment)
print("Deleting " + str(len(cis_benchmarks)) + " CIS scans")
delete_scans(client.delete_host_cis_benchmark_scan_result, cis_benchmarks)

# Container scans
print("Listing container image scans to delete...")
container_scans = list(client.list_container_scan_results, compartment)
print("Deleting " + str(len(container_scans)) + " container image scans")
delete_scans(client.delete_container_scan_result, container_scans)
  2. Sostituire <compartment_ocid> con l'OCID del compartimento che si desidera eliminare.
  3. Salvare il file come delete-reports.py.
  4. Dall'intestazione della console, selezionare l'area contenente i report che si desidera eliminare.
  5. Dall'intestazione della console, selezionare l'icona Cloud Shell.

    Cloud Shell viene visualizzata nella parte inferiore della console. Attendere la visualizzazione del prompt $.

  6. Trascinare la selezione di delete-reports.py dal computer locale in Cloud Shell.
  7. Eseguire lo script Python dal prompt di Cloud Shell. 
    python3 delete-reports.py
  8. Quando viene richiesto di eliminare tutti i report, immettere y.

    Ora puoi eliminare il compartimento se non ci sono altre risorse al suo interno.

CVE segnalato già corretto nell'host (falso positivo)

Risolvere i problemi che causano le scansioni host per segnalare le vulnerabilità già risolte.

Oracle utilizza i numeri CVE (Common Vulnerabilities and Exposures) per identificare le vulnerabilità della sicurezza per i sistemi operativi e altri software, inclusi gli aggiornamenti di patch critiche e gli avvisi di avviso sulla sicurezza. I numeri CVE sono identificatori univoci e comuni per informazioni pubblicamente note sulle vulnerabilità della sicurezza. Visualizzare gli ID Qualys (QID) nell'interfaccia utente del servizio di analisi delle vulnerabilità.

Durante una scansione host, il servizio Vulnerability Scanning confronta la versione dei pacchetti del sistema operativo sull'host con la versione fissa dei pacchetti nel database CVE open source.

Se si utilizza il servizio di gestione del sistema operativo per aggiornare gli host di destinazione, lo scenario riportato di seguito indica spesso un falso positivo.

  • Il report del servizio di analisi delle vulnerabilità indica che un numero CVE specifico non è fisso in un host di destinazione.
  • Il servizio di gestione del sistema operativo indica che non sono presenti aggiornamenti di sicurezza da installare sullo stesso host di destinazione.

Inaccuratezze database CVE

Oracle Cloud Infrastructure Vulnerability Scanning Service lavora continuamente per migliorare i risultati della scansione utilizzando i database Oracle Linux e open source più recenti, ma possono esserci imprecisioni in questi database o nel metodo utilizzato dal servizio per rilevare il CVE. Ad esempio, il servizio di analisi delle vulnerabilità può segnalare un problema di sicurezza in un'istanza Linux anche se:

  • Il problema è stato recentemente risolto nell'ultima distribuzione Linux
  • Il problema è stato risolto nell'ultima distribuzione Linux, ma recentemente è stato riportato alle versioni precedenti.

Se sei preoccupato che una vulnerabilità rilevata dal servizio di analisi delle vulnerabilità possa essere un falso positivo, puoi utilizzare un numero CVE per verificare se la vulnerabilità è già stata corretta nell'istanza di computazione.

Ad esempio, per verificare un CVE per Oracle Linux:

  1. Da Riepilogo CVE di rete Unbreakable Linux, cercare il numero CVE.
  2. Nelle Informazioni sull'errore nei dettagli CVE, identificare la data di rilascio per la versione di Oracle Linux in esecuzione nell'istanza di computazione.

    Se la versione ha una data di rilascio, il CVE viene corretto in quella versione.

  3. Connettersi all'istanza di computazione mediante SSH.
  4. Cercare il numero CVE nel log delle modifiche del pacchetto.
    rpm -q --changelog package | grep <CVE>

CVE corretto mediante Ksplice

Oracle Ksplice consente di aggiornare gli host Oracle Linux con importanti patch di sicurezza senza dover eseguire il reboot.

Se è stato corretto un CVE utilizzando Ksplice e non è stato eseguito il reboot dell'host, il servizio di analisi delle vulnerabilità potrebbe continuare a segnalarlo come vulnerabilità. Puoi utilizzare il numero CVE per verificare se la vulnerabilità è già stata corretta nell'istanza di computazione.

Oracle Autonomous Linux è un'immagine di sistema operativo auto-patching basata su Oracle Linux. Applica automaticamente le patch ogni giorno utilizzando Oracle Ksplice. Poiché Oracle Autonomous Linux aggiorna il kernel senza riavviare l'host, il servizio di analisi delle vulnerabilità potrebbe continuare a segnalare una vulnerabilità anche se è stato corretto.

File kernel o package precedenti

Se i vecchi file kernel o package non utilizzati sono presenti nel file system dell'host, il servizio di analisi delle vulnerabilità potrebbe segnalare questi vecchi file come vulnerabilità. Questo scenario può verificarsi se sono state create copie di backup di questi file o se il cleanup dei file non è stato eseguito correttamente durante un aggiornamento o una disinstallazione.

  1. Fare riferimento alla descrizione CVE rilevata per identificare l'elenco dei file associati alla vulnerabilità.
  2. Cercare nell'host di destinazione eventuali copie di questi file ed eliminarli.

Nessun risultato di Cloud Guard

Correggere i problemi che impediscono di visualizzare eventuali problemi di analisi delle vulnerabilità in Cloud Guard.

Cloud Guard analizza i risultati del servizio di analisi delle vulnerabilità e segnala i tipi di problemi riportati di seguito.

  • L'immagine del contenitore sottoposta a scansione presenta vulnerabilità
  • L'host sottoposto a scansione presenta vulnerabilità
  • L'host sottoposto a scansione dispone di porte aperte

Prima di risolvere i problemi di Cloud Guard, assicurarsi di essere in grado di visualizzare le scansioni dell'host, le scansioni delle porte o le scansioni di immagini dei container nel servizio di analisi delle vulnerabilità. In caso contrario, vedere Nessun risultato della scansione delle vulnerabilità.

Per ulteriori informazioni sui problemi comuni di Cloud Guard, vedere Risoluzione dei problemi di Cloud Guard.

Le destinazioni Cloud Guard non includono host o container di destinazione

Le destinazioni Cloud Guard sono risorse separate dalle destinazioni di analisi delle vulnerabilità. Per utilizzare Cloud Guard per rilevare i problemi nei report di analisi delle vulnerabilità, il compartimento di destinazione di analisi delle vulnerabilità deve essere uguale al compartimento di destinazione Cloud Guard o essere un sottocompartimento del compartimento di destinazione Cloud Guard.

Si consideri questo scenario.

  • CompartmentA e CompartmentB sono pari livello (uno non è un sottocompartimento dell'altro).
  • L'istanza di computazione MyInstance e il repository di immagini MyRepo si trovano in CompartmentA.
  • La destinazione di analisi delle vulnerabilità ScanTarget1 è impostata su CompartmentA.
  • La destinazione Cloud Guard CGTarget1 è impostata su CompartmentB.

In questo esempio, Cloud Guard non mostra i problemi relativi alle vulnerabilità rilevate in MyInstance e MyRepo. Ispezionare le impostazioni di destinazione in Cloud Guard e nel servizio di analisi delle vulnerabilità. Se la destinazione Cloud Guard è impostata sul compartimento radice per la tenancy in uso, non sono necessarie modifiche.

Creare una destinazione Cloud Guard che includa i compartimenti nelle destinazioni di analisi delle vulnerabilità. Vedere Gestione delle destinazioni.

Le regole di analisi delle vulnerabilità sono disabilitate

In una ricetta del rilevatore gestita da Oracle, ad esempio Ricetta del rilevatore di configurazione OCI, tutte le regole del rilevatore sono abilitate. Tuttavia, se hai creato una ricetta del rilevatore personalizzata e non hai abilitato le regole del rilevatore di analisi delle vulnerabilità, Cloud Guard non segnala problemi di analisi delle vulnerabilità.

Abilitare le regole del rilevatore di scansione. Vedere Utilizzo delle regole del rilevatore di vulnerabilità Cloud Guard.

Le impostazioni delle regole di analisi delle vulnerabilità escludono le vulnerabilità

Nelle ricette del rilevatore Cloud Guard, le impostazioni per le regole del rilevatore di scansione delle vulnerabilità controllano quali vulnerabilità vengono segnalate come problemi in Cloud Guard.

  • Numeri di porta non consentiti segnalati da Cloud Guard come problema
  • Numeri di porta consentiti ignorati da Cloud Guard
  • Livelli di rischio di vulnerabilità (basso, medio, alto, critico) segnalati da Cloud Guard come problema

Esaminare gli esempi seguenti.

  • Una scansione delle porte nel servizio di analisi delle vulnerabilità identifica le porte aperte 111 e 123, ma le regole del rilevatore di analisi delle vulnerabilità in Cloud Guard sono configurate per consentire le porte 111 e 123.
  • Una scansione host nel servizio di analisi delle vulnerabilità identifica le vulnerabilità con il livello di rischio Medio, ma le regole del rilevatore di scansione delle vulnerabilità in Cloud Guard sono configurate solo per segnalare le vulnerabilità alte o critiche.

Verificare le impostazioni per le regole del rilevatore di analisi delle vulnerabilità nella ricetta del rilevatore di configurazione. Vedere Aggiornamento delle regole del rilevatore di analisi delle vulnerabilità.

Installazione dell'agente Qualys non riuscita

Risolvere i problemi che impediscono di installare l'agente Qualys.

Criteri IAM mancanti

Per installare l'agente Qualys, è necessario fornire all'utente e all'agente Qualys il tipo di accesso richiesto in un criterio (IAM) scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.

  1. Verificare di disporre dei criteri necessari per l'installazione dell'agente Qualys. Vedere Criteri standard basati su agenti e Criteri Qualys basati su agenti.
  2. Aggiungere eventuali criteri obbligatori mancanti.

Licenza non valida

L'applicazione Vulnerability Management non è stata selezionata quando è stata generata la chiave di attivazione dell'agente cloud nel portale Qualys.

  1. Vai al portale Qualys e seleziona l'applicazione Vulnerability Management per la chiave di attivazione. Per istruzioni, consulta la documentazione di Qualys Cloud Platform.
  2. Installare l'agente Qualys.

Impossibile visualizzare i report di scansione Qualys nella console OCI

Risolvere i problemi che impediscono di visualizzare i report di scansione Qualys nella console OCI.

Nota

Se i report di scansione Qualys vengono visualizzati solo nel portale Qualys, ma non nella console OCI, aprire il ticket di supporto utilizzando il Centro di supporto.

È stato specificato un compartimento errato

Nella console, assicurarsi di scegliere il compartimento contenente i risultati di analisi delle vulnerabilità per le destinazioni che si desidera visualizzare.

Il servizio di analisi delle vulnerabilità salva i risultati per un'istanza di computazione nello stesso compartimento della destinazione di analisi delle vulnerabilità dell'istanza.

Esaminare l'esempio seguente.

  • L'istanza di computazione MyInstance si trova in CompartmentA.
  • MyInstance è specificato in Target1.
  • Target1 si trova in CompartmentB.
  • Tutti i report correlati a MyInstance si trovano in CompartmentB.
Seguire i passi per visualizzare le scansioni host e assicurarsi di aver selezionato il compartimento corretto. Vedere Elenco delle scansioni host.

La ricetta non è una ricetta di scansione agente Qualys

L'agente Qualys deve essere specificato nella ricetta di scansione di computazione.

Assicurarsi di aver creato una ricetta di scansione agente con l'opzione Qualys selezionata. Vedere Creazione di una ricetta di scansione di computazione con un agente Qualys.

Chiave di licenza Qualys memorizzata nel formato errato

La chiave di licenza utilizzata nella ricetta di scansione dell'agente Qualys deve essere memorizzata in testo normale.

Seguire i passi per definire un segreto per una ricetta di scansione. Vedere Definizione di un segreto per una ricetta di scansione di computazione.

Installazione dell'agente Qualys non riuscita

È possibile che l'agente Qualys non venga installato e non venga eseguito correttamente il provisioning.

  1. Verificare che l'istanza di computazione venga visualizzata nel portale Qualys.
  2. Verificare che non vi siano errori associati all'istanza di computazione nella pagina Errori di destinazione.

Regole di uscita non impostate correttamente

Assicurarsi che le regole di uscita impostate nella VCN consentano all'agente Qualys di comunicare con i server esterni a OCI.

Il plugin agente Oracle Cloud per la scansione delle vulnerabilità non funziona in un'istanza del controller del dominio Windows

Correggere i problemi che impediscono l'esecuzione del plugin Agente Oracle Cloud per la scansione delle vulnerabilità.

Causa

Quando si utilizza un'istanza di Windows Server come controller di dominio, le funzioni che dipendono dall'agente Oracle Cloud, ad esempio il servizio di monitoraggio e il servizio di gestione del sistema operativo, non sono disponibili.

Rimedio

Per il rimedio, vedere il seguente articolo MOS: ID documento 2919839.1.