不會開發的你也能管理好企業漏洞，開源免費工具：洞察（insight II）

• 2021 年 2 月 1 日
• 筆記
• django, Python

前言

公司剛開始建設安全管理時，都是從一片混沌開始的，資源總是不夠的，我們每個做安全的人員，又要會滲透，又要抓制度，還得管理各種漏洞。在管理樓棟是，我相信大家都遇到過以下幾個問題：

1. 漏洞提交太多，自己用表格管理不過來了
2. 每個漏洞進度不同，自己忙著忙著可能就忘記記錄各個漏洞的進度
3. 漏洞進度變更，自己還得手動通知漏洞提交人
4. 也沒有一個好的漏洞提交激勵機制

以上都會阻礙我門更好的管理漏洞，我是深受其害，為了解決這個痛點網上找了好久，也試了好多漏洞管理工具，最後發現這款開源產品對漏洞的生命周期管理做得還是挺完善的，雖然有一些細節的小功能做得還是不到位，但是對我管理漏洞還是起到了很大的幫助，而且我也相信其他小功能，項目團隊也會很快的進行修復。

以下開始洞察這個開源軟體的使用教程和常見問題答疑，以及部分自定義的的小改動。

如何安裝

提示：
前提先安裝好docker-compose，如果未安裝，可以查看這篇文檔：pip安裝docker-compose

採用docker-compose 啟動mysql,redis,服務

(1) 使用Docker Compose

git clone //github.com/creditease-sec/insight2_docker.git
cd insight2_docker
sudo docker-compose up

提示：
以上命令運行完後，會在窗口輸入日誌資訊，如果想要後台運行，請修改最後一命令為sudo docker-compose up -d

(2) 系統登錄

地址：//localhost:8000
帳號：admin
密碼：admin!Aa2020
後台地址：//localhost:8000/#/admin

提示：
如果你是在其他機器上運行服務，在自己的電腦上訪問時，請把localhost改為服務運行的機器地址，並且保證機器的防火強已關閉。

(3) 版本更新

docker-compose pull && docker-compose up
or
sudo docker-compose pull && sudo docker-compose up

以上步驟採用的是項目默認配置，按照教程配置，就可以成功訪問洞察這個系統了。

常規使用

後台配置

後台地址：//ip:8000/#/admin

1. 配置Ldap認證

提示：暫時不需要AD認證的，可以跳過這步

打開後台管理頁面——>【設置】——>【認證】，點擊【新增認證方式-LDAP】，需要說明兩點：

• 登錄名屬性填寫：sAMAccountName
• 郵件屬性填寫：EmailAddress 或者 mail

注意：
郵箱這個欄位要看你們的AD中是否維護在這個欄位上的，有的可能就沒有維護。我遇到的問題是配置了這個欄位，但是AD賬戶登錄時，這個郵箱地址沒有正常同步過來。

2. 配置全局配置

打開後台管理頁面——>【設置】——>【全局配置】：

• 站點地址：配置的是郵件或者其他通知方式里的打開這個平台的域名或者地址，後邊郵箱通知漏洞進度，郵件里會用到
• 全局水印：這個配置後，頁面上顯示一串灰色的點（不是前端頁面問題）

3. 設置漏洞審批流程

打開後台管理頁面——>【設置】——>【漏洞審批流程】，這裡可以設置漏洞管理的流程，建議全選，進行完成的漏洞流程管理

4. 配置郵箱

打開後台管理頁面——>【設置】——>【郵箱配置】：
這裡按照對應的配置內容配置就可以了，建議這裡的【認證方式】配置為SSL。
這裡的【郵件頭】和【郵件簽名】我沒測試出來做什麼的，平時的漏洞郵件通知，也用不到這裡的配置。

5. 生成測試數據

為了查看平台的實際效果，可以點擊【生成示例數據】，就會生出漏洞資訊、知識庫等模擬數據。

提示:
如果點擊了【生成示例數據】，數據想要清零隻能自己手動清理，清理後貌似還是會統計數據痕迹，可能是我的操作不徹底吧，所以我就又重裝了一邊資料庫。

6. 後台其他功能介紹

• 總覽： 數據統計大屏
• 漏洞： 可以在此添加漏洞，或者管理審批其他人員添加的漏洞（如果添加漏洞，需要先添加資產和應用）
• 資產： 在這裡添加公司的資產和資產上的應用（要先添加資產，再添加漏洞，否則加不上）
• 知識： 漏洞平台的知識庫，添加的文檔，可以在添加漏洞時，關聯這裡的文檔，但是有一個問題，就是添加漏洞時沒有關聯文檔，後期更改漏洞時，就無法再關聯了，這個應該是設計的問題，需要完善
• 用戶： 添加本地用戶，或者添加AD賬戶（AD賬戶應該是有問題的，我嘗試通過AD賬戶添加，發現沒有響應），裡邊還有角色和組，就是常用的許可權管理了，奇怪的是，組不能設置許可權，這又跟常見的許可權管理方式不一樣了，不知道怎麼考慮的
• 俗事： 積分管理，但是不夠完善
• 設置： 上邊介紹過了
• 文檔： 平台的介面文檔，API的key在右上角賬戶名那裡生成
• 擴展： 暫時沒有使用到

前台使用

1. 面板

數據大屏，沒什麼可說的。

2. 我的-待處理漏洞

處理屬於你的漏洞，支援導出

3. 我的-已完成漏洞

這裡存放你已經完成的漏洞。

這裡最最最坑的地方就是：作為普通用戶提交漏洞竟然深藏在這個頁面下，剛開始找了好久，以為普通用戶沒有提交漏洞的功能呢。

4. 知識

漏洞平台的文檔中心

5. 積分

積分排行榜，目前尚不夠完善，但是可以做個積分記錄。

簡單的訂製化修改

1. 修改平台的web埠為80

修改/實際存放路徑/insight2_docker目錄下的docker-compose.yml文件，修改為以下內容：

  front:
    image: "crediteaseitsec/insight2_front"
    restart: always
    ports:
     - "80:80"

就是把原來的8000:80改為80:80，如果你是已經跑起來的服務，你需要重新應用修改過的docker-compose.yml，
命令是：docker-compose up -d 作用是創建與啟動容器，會重建有變化的伺服器（刪掉以前建立的容器）

2. 修改郵件的默認簽名

進入到後端的docker容器中，命令：

# 查看在運行的docker列表
docker ps 

# 找到NAMES為insight2_docker_backend_1的CONTAINER ID，並記錄
# 進入這個容器，xxxx為剛才記錄的CONTAINER ID
docker exec -it xxxxx /bin/bash

# 修改文件 /app/insight2/template/alert.html
郵件默認簽名在文檔的最底部，改成你要的樣式就可以了

修改完後，重啟一下這個後端容器，命令：docker restart xxxxx xxxx為對應的CONTAINER ID

3. 增加默認漏洞類型等

同上邊一行，進入到docker容器中，默認配置路徑在文件/app/insight2/logic/define.py里，增加完後，記得重啟重啟。

提示： 修改為，瀏覽器打開可能還是沒有變化，那就需要強制刷新一下瀏覽器，清理快取就好了。

總結

作為一個沒有開發能力的安全團隊，針對漏洞的生命周期管理，基本功能是能夠滿足需求的，要是想要和其他系統聯動，就需要有介面對接開發的能力了。

項目地址：//github.com/creditease-sec/insight2

歡迎大家添加我微信，跟我交流日常安全的運營管理

本文首發於BigYoung小站