## 前言 公司剛開始建設安全管理時，都是從一片混沌開始的，資源總是不夠的，我們每個做安全的人員，又要會滲透，又要抓制度，還得管理各種漏洞。在管理樓棟是，我相信大家都遇到過以下幾個問題： 1. 漏洞提交太多，自己用表格管理不過來了 2. 每個漏洞進度不同，自己忙著忙著可能就忘記記錄各個漏洞的進度 3. 漏洞進度變更，自己還得手動通知漏洞提交人 4. 也沒有一個好的漏洞提交激勵機制 以上都會阻礙我門更好的管理漏洞，我是深受其害，為了解決這個痛點網上找了好久，也試了好多漏洞管理工具，最後發現這款開源產品對漏洞的生命週期管理做得還是挺完善的，雖然有一些細節的小功能做得還是不到位，但是對我管理漏洞還是起到了很大的幫助，而且我也相信其他小功能，專案團隊也會很快的進行修復。 以下開始洞察這個開源軟體的使用教程和常見問題答疑，以及部分自定義的的小改動。 ## 如何安裝 > **提示：** > 前提先安裝好`docker-compose`，如果未安裝，可以檢視這篇文件：[pip安裝docker-compose](http://bigyoung.cn/posts/22/) ### 採用docker-compose 啟動mysql,redis,服務 **(1) 使用Docker Compose** ``` git clone https://github.com/creditease-sec/insight2_docker.git cd insight2_docker sudo docker-compose up ``` > **提示：** > 以上命令執行完後，會在視窗輸入日誌資訊，如果想要後臺執行，請修改最後一命令為`sudo docker-compose up -d` **(2) 系統登入** ``` 地址：http://localhost:8000 帳號：admin 密碼：admin!Aa2020 後臺地址：http://localhost:8000/#/admin ``` > **提示：** > 如果你是在其他機器上執行服務，在自己的電腦上訪問時，請把`localhost`改為服務執行的機器地址，並且保證機器的防火強已關閉。 **(3) 版本更新** ``` docker-compose pull && docker-compose up or sudo docker-compose pull && sudo docker-compose up ``` 以上步驟採用的是專案預設配置，按照教程配置，就可以成功訪問洞察這個系統了。 ## 常規使用 ### 後臺配置 > 後臺地址：http://ip:8000/#/admin #### 1. 配置Ldap認證 > 提示：暫時不需要AD認證的，可以跳過這步 開啟後臺管理頁面——>【設定】——>【認證】，點選【新增認證方式-LDAP】，需要說明兩點： - 登入名屬性填寫：sAMAccountName - 郵件屬性填寫：EmailAddress 或者 mail > **注意：** > 郵箱這個欄位要看你們的AD中是否維護在這個欄位上的，有的可能就沒有維護。我遇到的問題是配置了這個欄位，但是AD賬戶登入時，這個郵箱地址沒有正常同步過來。 #### 2. 配置全域性配置 開啟後臺管理頁面——>【設定】——>【全域性配置】： - 站點地址：配置的是郵件或者其他通知方式裡的開啟這個平臺的域名或者地址，後邊郵箱通知漏洞進度，郵件裡會用到 - 全域性水印：這個配置後，頁面上顯示一串灰色的點（不是前端頁面問題） #### 3. 設定漏洞審批流程 開啟後臺管理頁面——>【設定】——>【漏洞審批流程】，這裡可以設定漏洞管理的流程，建議全選，進行完成的漏洞流程管理 ### 4. 配置郵箱 開啟後臺管理頁面——>【設定】——>【郵箱配置】： 這裡按照對應的配置內容配置就可以了，建議這裡的【認證方式】配置為SSL。 這裡的【郵件頭】和【郵件簽名】我沒測試出來做什麼的，平時的漏洞郵件通知，也用不到這裡的配置。 ### 5. 生成測試資料 為了檢視平臺的實際效果，可以點選【生成示例資料】，就會生出漏洞資訊、知識庫等模擬資料。 > **提示:** > 如果點選了【生成示例資料】，資料想要清零隻能自己手動清理，清理後貌似還是會統計資料痕跡，可能是我的操作不徹底吧，所以我就又重灌了一邊資料庫。 ### 6. 後臺其他功能介紹 - **總覽：** 資料統計大屏 - **漏洞：** 可以在此新增漏洞，或者管理審批其他人員新增的漏洞（如果新增漏洞，需要先新增資產和應用） - **資產：** 在這裡新增公司的資產和資產上的應用（要先新增資產，再新增漏洞，否則加不上） - **知識：** 漏洞平臺的知識庫，新增的文件，可以在新增漏洞時，關聯這裡的文件，但是有一個問題，就是新增漏洞時沒有關聯文件，後期更改漏洞時，就無法再關聯了，這個應該是設計的問題，需要完善 - **使用者：** 新增本地使用者，或者新增AD賬戶（AD賬戶應該是有問題的，我嘗試通過AD賬戶新增，發現沒有響應），裡邊還有角色和組，就是常用的許可權管理了，奇怪的是，組不能設定許可權，這又跟常見的許可權管理方式不一樣了，不知道怎麼考慮的 - **俗事：** 積分管理，但是不夠完善 - **設定：** 上邊介紹過了 - **文件：** 平臺的介面文件，API的key在右上角賬戶名那裡生成 - **擴充套件：** 暫時沒有使用到 ### 前臺使用 #### 1. 面板 資料大屏，沒什麼可說的。 #### 2. 我的-待處理漏洞 處理屬於你的漏洞，支援匯出 #### 3. 我的-已完成漏洞 這裡存放你已經完成的漏洞。 這裡**最最最坑的地方**就是：作為普通使用者**提交漏洞**竟然深藏在這個頁面下，剛開始找了好久，以為普通使用者沒有提交漏洞的功能呢。 #### 4. 知識 漏洞平臺的文件中心 #### 5. 積分 積分排行榜，目前尚不夠完善，但是可以做個積分記錄。 ### 簡單的定製化修改 #### 1. 修改平臺的web埠為80 修改`/實際存放路徑/insight2_docker`目錄下的`docker-compose.yml`檔案，修改為以下內容： ```shell front: image: "crediteaseitsec/insight2_front" restart: always ports: - "80:80" ``` 就是把原來的`8000:80`改為`80:80`，如果你是已經跑起來的服務，你需要重新應用修改過的`docker-compose.yml`， 命令是：`docker-compose up -d` 作用是建立與啟動容器，會重建有變化的伺服器（刪掉以前建立的容器） #### 2. 修改郵件的預設簽名 進入到後端的docker容器中，命令： ``` # 檢視在執行的docker列表 docker ps # 找到NAMES為insight2_docker_backend_1的CONTAINER ID，並記錄 # 進入這個容器，xxxx為剛才記錄的CONTAINER ID docker exec -it xxxxx /bin/bash # 修改檔案 /app/insight2/template/alert.html 郵件預設簽名在文件的最底部，改成你要的樣式就可以了 ``` 修改完後，重啟一下這個後端容器，命令：`docker restart xxxxx` xxxx為對應的CONTAINER ID #### 3. 增加預設漏洞型別等 同上邊一行，進入到docker容器中，預設配置路徑在檔案`/app/insight2/logic/define.py`裡，增加完後，記得重啟重啟。 > **提示：** 修改為，瀏覽器開啟可能還是沒有變化，那就需要強制重新整理一下瀏覽器，清理快取就好了。 ## 總結 作為一個沒有開發能力的安全團隊，針對漏洞的生命週期管理，基本功能是能夠滿足需求的，要是想要和其他系統聯動，就需要有介面對接開發的能力了。 專案地址：https://github.com/creditease-sec/insight2 歡迎大家新增我微信，跟我交流日常安全的運營管理 [](http://img.bigyoung.cn:1111/image/C2HY) > 本文首發於[BigYoung小站](http://bigyoung.cn)