Kurumsal bir çok kuruluşun zafiyet tarama ve yönetimi için tercih etmiş olduğu Nexpose ürünün report modülünü inceledim ve izlenimlerimi sizlerle paylaşıyorum.
Üründe default olarak birçok report çeşiti mevcut, bunlardan bazıları; PCI Executive Summary, PCI Attestation of Scan Compliance, Basic Vulnerability Check Results (CSV), Highest Risk Vulnerabilities v.b. gibi.
Ancak bu raporlar bazen kurumlar için yeterli gelemeye biliyor, bu gibi durumlarda custom reportlardan faydalanmak gerekiyor.
Örneğin Owasp ın 2013 için yayınladığı zafiyetlere göre durumumuzu değerlendirmek istedik, Top da bizim durumumuz ne diye bakmak istedik kısaca…
İşlem adımları şu şekilde ilerliyor,
1- Nexpose Web GUI den login olarak, Report > Manage Report Template > New adımlarını izliyoruz.
2-Yeni Template için name, Desc. ve Type belirtiyoruz. indirmiş olduğumuz template dosyasını upload ediyoruz. (Linkten Owasp Top 10 template indirebilirsiniz, farklı templateler community de bulabilirsiniz.)
3- Eklemiş olduğumuz template manage template bölümünde görülebilir.
4- Şimdi create report ile yeni bir report oluşturmayı deniyoruz, search bölümünden owasp yazarak upload etmiş olduğumuz template seçebiliriz. Report formatı olarak html, pdf v.b. seçebilirsiniz.
5- Scope bölümünden hangi tarama sonucu için rapor oluşturacağımızı seçiyoruz(web, mail server v.b.) ve raporda yer alacak zafiyet seviyelerini belirtiyoruz, sadece kritik zafiyet yer alsın gibi.
6- Ben şimdilik tüm zafiyet seviyelerini görüntülemek istiyorum.
7- Proje1 kapsamındaki sunucuları taramıştım, bu sunucular için rapor oluşturmak istiyorum.
Bu adımdan sonra proje1 deki zafiyetleri owasp template göre şekillendirecektir.
Bizde Owasp TOP 10 daki zafiyetlere göre durumumuzu değerlendirmiş olacağız.
Faydalı olabilmesi temnnisi ile.
