How to Create SITE SCAN Vulnerability(VA) เรามาต่อกันหลังจากที่ผ่าน EP1 ที่เป็นวิธีการ Download and Installation Rapid7 InsightVM กันไปแล้ว EP2 นี้จะเป็นวิธีการ Create SITE สำหรับการ SCAN นะครับ… มาเริ่มกันเลยฮะ….
Walkthrough Rapid7 InsightVM
1. Activate License หลังจากที่เราทำการขอ Trial License มา มันจะส่งมายัง Email เราก็เอามาใส่เพื่อ Activate (https://localhost:3780/ ) 2. แถบซ้ายมือใช้สำหรับ การ Configuration (navigation menu user friendly) 3. Administration คือ สำหรับการ Configuration จะทำอะไรเกี่ยวกับระบบมาทำตรงนี้ครับ!! 4. Reports คือ ใช้สำหรับ Generate Report หลังจากเราทำการ SCAN แว้ว มีให้เลือกหลายรูปแบบตามความต้องการของแต่ละองกรณ์ Create SITE for SCAN
1. เรามาเริ่มการ SCAN กันเลยดีกว่า ฮะ โดยเข้าไปที่ HOME > CREATE SITE 2. INFO & Security คือ ใส่รายละเอียด SITE ชื่อ SITE อะไรประมาณนี้ จากตัวอย่างนี้จะใช้เครื่อง Target: Metasploitable เพื่อให้มี Vulnerability เยอะ ให้เห็นภาพ ว่าจากการ SCAN นั้น มันเห็นช่องโหว่ และช่องโหว่นั้นสามารถใช้ในการโจมตีได้ด้วยฮะ !!! 3. Assets คือ ใส่ IP Address ของเครื่อง Target ที่เราจะทำการ SCAN สามารถเลือกได้หลายรูปแบบ เช่น Asset Groups, Exclude Asset เป็นต้น … ใส่เป็น Hostname, FQDN ก็ได้ หรือใส่เป็น Range ก็ได้ งัฟ (https://docs.rapid7.com/insightvm/adding-assets-to-sites/ ) 4. Authentication คือ ใส่ข้อมูลเกี่ยวกับ Authentication แต่ในการ SCAN นั้นสามารถเลือกได้เลยว่า เราจะ SCAN Service อะไรเป็นต้น…!!! 5. Example Target scan คือ Server Linux เราก็ต้องเลือก Service: Secure Shell (SSH) ใช้กับ Linux หรืออุปกรณ์ ที่ใช้การ Authentication(SSH) หรือถ้าเป็น Windows : Microsoft Windows/Samba (SMB/CIFS) เป็นต้น ฮะ…หลังจากเราทำการใส่ข้อมูลเรียบร้อยแล้ว เราสามารถ Test Credentials เพื่อ Proof ได้ว่า Credential นี้สามารถใช้งานได้ และ Network ถึงกันคุยกันได้ 6. Templates คือ เราจะเลือก Templates ในการ SCAN มันมีเยอะครับ สามารถ เลือกได้ตามความต้องการ (ส่วนตัวผมเองจะเลือก Full audit enhanced logging without web spider เพราะสามารถตรวจสอบในการ SCAN ได้ด้วยเพื่อมีปัญหา Scan ไม่ผ่านอะไรอย่างงี้…ต้องเลือกตามความต้องการของแต่ละองกรณ์ได้เลยครับ) 7. Engines คือ ถ้าเรามีการ Installation Additional Engines เพิ่มเติม เราสามารถเลือกได้…รายละเอียดตาม EP1 เกี่ยวกับ Scan Engine (https://so-sonajaa.medium.com/rapid7-insightvm-ep1-497fc31c8824 ) 8. Alerts ส่วนมากขี้เกียจสร้างอะ เพราะขี้เกียจเปิด Mail มาอ่าน 555!! 9. Schedule กำหนดเวลาในการ SCAN แล้วแต่จะกำหนดได้เลยฮะ!! แต่บางทีมันเป็นการ SCAN ช่องโหว่ ภายใน Server ไม่สมควร SCAN บ่อย ๆ นะฮะ เพราะ ทุก ๆ การ SCAN นั้น Rapid7 นั้นเหมือนจะมีใช้ Script ในการทดสอบไปยัง เครื่อง Target ถ้าเป็น Production อาจจะเกิดปัญหาได้ 555 (ไม่เชื่อตอน Scan ลอง netstat ดู ดิแม้มวิ่งมาทุก Port เหมือน nmap เลย 5555) >>> โม้มาเยอะ >>> กด Save เสร็จแว้ว ง่ายไหมครับ 555 10. หลังจากกด Save แล้วมันจะมาอยู่ที่หน้า HOME>> เรากด SCAN ได้เลย 11. รออย่างเดียว…ระหว่างนี้จิ๊บชารอเลยฮะ 555 เดียว SCAN เสร็จ แล้วจะตกใจ ทำไม่ระบบเราที่ปลอดภัย ขนาดนี้ ทำไม่ มีช่องโหว่เยอะจัง 555 (ก็เหมือน Covid อะ..ไม่ตรวจก็ไม่เป็น..พอตรวจ 2 ขีด 555) 12. Scan เสร็จแหละ ให้สั่งเกตุตรง SCAN Status, Engine Scan Status, Authentication. (Completed Successfully) อันนี้คือสมบูรณ์ 555++ เห็นตรง Vulnerabilities ไหม 700 คือมุงจะเยอะไปไหนเนีย 555 ไม่ SCAN ก็ไม่รู้หรอก ว่า มันเยอะขนาดนี้ 13. Demo Generate Report: แล้วแต่จะเลือกเลยว่า จะเลือก Template อันไหน.. แต่ตัวอย่างเลือก Highest Risk Vulnerabilities !!! แต่อย่าลืมเลือก Site ที่เรา Scan ละ และมากด Save & Run The Report 14. Download Report ได้เลยฮะ เสร็จและ 15. ตรวจสอบรายละเอียดสำหรับ Report ได้เลย (ตอน SCAN ง่ายนิสเดียว…ปัญหาคือตอนแก้นี้ละสิ อะไรกันวะเนีย 5555) เดียวมาต่อใน EP3 นะครับ เกี่ยวกับวิธีการ ทดสอบช่องโหว่ ที่ได้จากผลการ SCAN VA ว่าช่องโหว่พวกนี้ ว่าเป็นช่องโหว่จริง ๆ สามารถ โจมตีได้ 555
***หวังว่าบทความนี้อาจจะเป็นแนวทางให้เพื่อน ๆ พี่ ๆ น้อง ไม่มากก็น้อยนะครับ
