Différences

Ci-dessous, les différences entre deux révisions de la page.

--- openvas_avance [2019/03/25 11:05] – [Alertes (Alerts)] nekan
+++ openvas_avance [2021/03/05 21:04] (Version actuelle) – nekan
@@ Ligne 1: / Ligne 1: @@
 ====== OpenVAS - Utilisation avancée ======
+<label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2019/03/24 15:32//
 Nous verrons ici des options avancées présentes dans le menus :
@@ Ligne 9: / Ligne 10: @@
   * Scans
     * Overrides
+  * Extras
+    * Feed Status
+===== Alertes (Alerts) =====
+Les alertes permettent de définir des méthodes d'informations ainsi que leur déclencheur. On peut en créer une nouvelle en cliquant sur {{securite:openvas_new.png}} dans le menu ''Configuration > Alerts''.
+Une nouvelle page apparaît donc.
+<WRAP group>
+<WRAP half column>
+<image shape="thumbnail">{{  securite:openvas_newalert1.png?500  }}</image>
+</WRAP>
+<WRAP half column>
+<image shape="thumbnail">{{  securite:openvas_newalert2.png?500  }}</image>
+</WRAP>
+</WRAP>
+Dans cette fenêtre, on pourra renseigner les champs suivants :
+  * **Name** : Le nom de l'alerte. Ce nom sera utiliser pour le référencement de l'alerte dans la liste du menu ''Alerts'' et dans les tâches.
+  * **Event** : L'évènement pour lequel vous souhaitez être alerté.
+  * **Condition** : Les conditions pour lesquelles se déclenche l'alerte.
+  * **Method** : La méthode d'alerte, généralement ce sera par mail.
+  * Les champs suivants dépendent de la méthode. On trouvera par exemple **To Address**, **From Address**, etc pour la méthode **Email** alors que la méthode **SNMP** donnera les champs ** Community**, **Agent** et **Message**.
+Pour la méthode **Email**, on trouvera donc les champs :
+  * **To Address** : L'adresse du destinataire de l'alerte.
+  * **From Address ** : L'expéditeur de l'alerte.
+  * **Subject** : Le sujet de l'alerte. Par défaut, il est rempli avec le préfixe ''[OpenVAS-Manager]'' et des balises indiquant le nom de la tâche et l'évènement déclencheur.
+  * **Content** : Le corps du mail. Par défaut, ce sera une simple notification mais on peut choisir le rapport dans le corps du mail ou de l'y attacher en tant que pièce jointe.
+<callout type="warning" title="Ressources" icon="true">Attention tout de même, le rapport peut être assez volumineux, ce qui entraînera un certain temps dans sa création et de possibles blocages au niveau du serveur de messagerie.</callout>
+Les balises pouvant être utilisées sont :
+  * **$c** : La condition.
+  * **$e** : L'évènement
+  * **$F** : Le nom du filtre.
+  * **$f** : La description du filtre.
+  * **$H** : Le ou les hôtes de la tâche.
+  * **$i** : Le texte du rapport.
+  * **$n** : Le nom de la tâche.
+  * **$r** : Le nom du format du rapport.
+  * **$t** : Une notification si le rapport est coupé.
+  * **$z** : Le fuseau horaire.
+Une fois tous les champs correctement remplis, on valide notre alerte en cliquant sur {{securite:openvas_create.png}}. L'alerte apparaît alors dans la liste des alertes :
+<image shape="thumbnail">{{ :securite:openvas_alertlist.png |}}</image>
+On peut désormais ajouter l'alerte à n'importe quelle tâche.
+<callout type="tip" title="Astuce" icon="true">On peut ajouter plusieurs alertes à une tâche.</callout>
 ===== Automatisation (Schedules) =====
@@ Ligne 17: / Ligne 71: @@
 Une page de paramétrage apparaît alors :
-{{ :securite:openvas_newschedule.png |}}
+<image shape="thumbnail">{{ :securite:openvas_newschedule.png |}}</image>
 Dans cette page nous pourrons alors renseigner les champs suivants :
@@ Ligne 30: / Ligne 84: @@
 Le nouveau déclencheur apparaît alors dans la liste.
-{{ :securite:openvas_schedulelist.png |}}
+<image shape="thumbnail">{{ :securite:openvas_schedulelist.png |}}</image>
-===== Alertes (Alerts) =====
-Les alertes permettent de définir des méthodes d'informations ainsi que leur déclencheur. On peut en créer une nouvelle en cliquant sur {{securite:openvas_new.png}} dans le menu ''Configuration > Alerts''.
+Une fois les déclencheurs créés, on peut en préciser un dans n'importe quelle tâche. Dès qu'un déclencheur est paramétré pour une tâche, l'icône d'exécution passe de {{securite:openvas_start.png}} à {{securite:openvas_schedule.png}}. A partir de cet instant, la tâche s'exécutera automatiquement au moment voulu. Cependant, l'exécution manuelle n'est plus possible. Pour revenir à ce mode d'exécution, il faudra d’abord éditer la tâche({{securite:openvas_modify.png}}) pour désactiver la planification.
-Une nouvelle page apparaît donc.
+===== Traitements post-scans (Overrides) =====
-{{securite:openvas_newalert1.png?500}}  {{securite:openvas_newalert2.png?500}}
+Les scans mettent en évidence toutes les failles connues par le scanner. Cependant, on peut définir, selon la politique de sécurité de son site, que certaines failles sont acceptables ou ne peuvent tout simplement pas être corrigées. On pourra citer quelques exemples :
+  * Un serveur avec un système d'exploitation obsolète mais que l'on ne peut pas mettre à jour car il fait tourner un ancien logiciel qui ne bénéficie plus de la moindre mise à jour et donc incompatible avec un OS récent.
+  * Un site web utilisant une ancienne version d'un langage mais ne pouvant être mise à jour, faute de développeurs.
+  * Un cryptage de faible qualité mis en place pour assurer une sécurité accessible par de vieux systèmes.
+  * etc...
-Dans cette fenêtre, on pourra renseigner les champs suivants :
+On pourra aussi avoir des cas où une faille minime peut être considéré en interne comme particulièrement dangereuse et souhaiter que sa criticité soit plus élevée dans les résultat de scans.
-  * **Name** : Le nom de l'alerte. Ce nom sera utiliser pour le référencement de l'alerte dans la liste du menu ''Alerts'' et dans les tâches.
-  * **Event** : L'évènement pour lequel vous souhaitez être alerté.
-  * **Condition** : Les conditions pour lesquelles se déclenche l'alerte.
-  * **Method** : La méthode d'alerte, généralement ce sera par mail.
-  * Les champs suivants dépendent de la méthode. On trouvera par exemple **To Address**, **From Address**, etc pour la méthode **Email** alors que la méthode **SNMP** donnera les champs ** Community**, **Agent** et **Message**.
-Pour la méthode **Email**, on trouvera donc les champs :
+Afin d'éviter de polluer les résultats des scans avec des failles qui ne seront pas traités ou pour ajuster le taux de criticité d'une vulnérabilité, OpenVAS donne la possibilité de modifier certains résultats, on parle alors de traitement post-scans ou ''Override''.
-  * **To Address** : L'adresse du destinataire de l'alerte.
-  * **From Address ** : L'expéditeur de l'alerte.
-  * **Subject** : Le sujet de l'alerte. Par défaut, il est rempli avec le préfixe ''[OpenVAS-Manager]'' et des balises indiquant le nom de la tâche et l'évènement déclencheur.
-  * **Content** : Le corps du mail. Par défaut, ce sera une simple notification mais on peut choisir le rapport dans le corps du mail ou de l'y attacher en tant que pièce jointe. <note important>Attention tout de même, le rapport peut être assez volumineux, ce qui entraînera un certain temps dans sa création et de possible blocage au niveau du serveur de messagerie.</note>
+Pour créer un nouvel override, il faut aller dans le menu ''Scans > Overrides''. Comme d'habitude, on crée un nouvel élément en cliquant sur {{securite:openvas_new.png}}.
+<image shape="thumbnail">{{ :securite:openvas_override.png |}}</image>
-===== Traitements post-scans (Overrides) =====
+Dans cette fenêtre, il faudra alors renseigner les champs suivants :
+  * **NVT OID** : Il s'agit de l'OID de la faille à traiter lors de sa détection. Les OID sont indiqués dans les détails des failles détectées que l'on retrouvera dans les résultats des scans ou dans l'index des NVT dans le menu ''SecInfo > NVTs''.
+  * **Active** : Permet d'activer définitivement, momentanément ou désactiver un traitement.
+  * **Hosts** : Permet d'appliquer un traitement à un hôte en particulier ou à tout le monde.
+  * **Location** : permet d'affecter le traitement sur tout le système du ou des hôtes ou sur un élément particulier. Le terme ''Location'' peut varier selon le NVT, on pourra par exemple voir apparaître le terme ''Ports''. Dans ce cas, le champs d'application sera l'ensemble des ports de la machine ou un port particulier.
+  * **New Severity** : On indique ici le nouveau niveau de sévérité à appliquer.
+  * **Task** : On choisira d'appliquer le traitement à une tâche en particulier ou à toutes les tâches.
+  * **Text** : Il s'agit en fait du titre de votre traitement. Ce titre servira à son référencement dans la listes des traitements.
+Un fois les champs renseignés, on valide avec le bouton {{securite:openvas_create.png}}.
+Le nouveau traitement apparaît alors dans la liste :
+<image shape="thumbnail">{{ :securite:openvas_overridelist.png |}}</image>
+<callout type="tip" title="Astuce" icon="true">On peut aussi créer rapidement un traitement en cliquant sur {{securite:openvas_addoverride.png}} qui apparaît dans la colonne ''Action'' à droite des failles détectés dans les résultats d'un scan.</callout>
+===== Définitions de failles (Feed Status) =====
+Ce menu ne donne accès à aucun paramétrage. Cependant, il est intéressant car il donne une indication sur l'âge des différentes définitions de failles.
+<image shape="thumbnail">{{ :securite:openvas_feedstatus.png |}}</image>
+Ces mises à jour de définitions ne sont pas automatiques. Je vous conseille de les faire régulièrement. Pour cela, il faut lancer les commandes suivantes, en tant que root, selon le type de définitions à mettre à jour :
+=== NVT ===
+<sxh bash>greenbone-nvt-sync</sxh>
+=== SCAP ===
+<sxh bash>greenbone-scapdata-sync</sxh>
+=== CERT ===
+<sxh bash>greenbone-certdata-sync</sxh>
+<callout type="tip" title="Automatisation" icon="true">''cron'' est très utile pour automatiser les mises à jour.</callout>
 ~~DISCUSSION~~