Vulnerability Scanning Service 常见问题解答

常见问题

什么是 Oracle Cloud Infrastructure Vulnerability Scanning？

Oracle Cloud Infrastructure (OCI) Vulnerability Scanning Service 可通过评估和监视云主机来消除未修补的新漏洞和开放端口带来的风险。利用该服务，开发团队能够信心十足地在安装了最新安全补丁的主机上开发代码，确保顺利构建生产代码。而将其与 Oracle Cloud Guard 结合，运营团队可以获得关于所有主机的统一视图，进而快速修补 Vulnerability Scanning Service 发现的任何开放端口或不安全的包。

OCI Vulnerability Scanning 服务可以扫描基于 OCI 基本计算映像创建的虚拟机 (VM) 和裸金属 (BM)。此外，Oracle 还在 Oracle Cloud Guard 中提供了检测器，支持客户对查找结果进行微调，确定使用 Oracle Cloud Guard 来处理哪些问题。

如何启用扫描？

扫描在 OCI 租户环境下可用，您可以通过 OCI 安全控制台访问。首次启用扫描的步骤如下：

1.  将所需策略添加到 Oracle Identity and Access Management (IAM) 策略中
2.  前往导航菜单，转至“安全”->“扫描”
3.  点击“扫描配置”
4.  点击“创建”按钮
5.  指定待扫描的端口号，启用基于代理的扫描
6.  点击“目标”
7.  点击“创建”按钮
8.  指定在哪一个隔间存储扫描结果，以及包含待扫描主机的目标隔间。请选择刚才创建的扫描配置
9.   几分钟后将，扫描结果即会开始显示。单击“主机扫描”、“端口扫描”或“漏洞报告”

该服务可扫描哪些云资源？

OCI Vulnerability Scanning Service 可监视计算实例的开放端口和其他潜在漏洞，例如易受攻击的 OS 包、缺失的 CIS 基准以及已就位和运行中的端点保护。

资源扫描频率是多少？

每天或每周对目标中定义的资源进行扫描 — 详见目标配置。

扫描服务如何计费？

Oracle 免费向所有付费客户提供 OCI Vulnerability Scanning Service。客户可以在 OCI 中查看扫描结果，也可以与可选的第三方扫描服务提供商集成，在第三方平台中查看扫描结果。

Vulnerability Scanning Service 是区域服务还是全球服务？

OCI Vulnerability Scanning Service 是一项区域服务，但扫描结果会转发至全球 Oracle Cloud Guard 报告区域。这意味着客户可以查看本地区域中的扫描报告，其他人可以在集中式全球 Oracle Cloud Guard 报告视图中，查看所有区域的扫描结果。

OCI Vulnerability Scanning Service 会扫描哪些区域？

OCI Vulnerability Scanning Service 会监视租户的所有商用区域。有关受支持区域的最新列表，请参阅区域和可用性域。

报告中为何不显示扫描结果？

请确保在配置 OCI Vulnerability Scanning Service 时正确选择区域和隔间。然后，请确保目标隔间指向主机所在隔间。最后，请检查是否支持当前主机上的操作系统，包括 Oracle Linux、CentOS、Ubuntu 和 Windows Server。

如果未在计算扫描配置中启用主机代理，我能获取哪些数据？

如果未启用主机代理，Vulnerability Scanning Service 仍然会扫描所有公共 IP 并报告前 1000 个或 100 个最常见的端口以及这些端口的典型使用方式。

OS Management Service 未提供可供安装的补丁，为何 Oracle 漏洞扫描服务仍然为 Oracle Autonomous Linux 系统或其他操作系统提供 CVE？

当文件系统中存在较早的内核文件时，可能会发生这种情况。该服务服务会查找这些实例上的所有内容，检测这些较早的内核；会将这些信息与较早的 CVE 进行匹配。如果您希望忽略这些 CVE，请删除旧内核文件。Oracle Autonomous Linux 会及时获取系统补丁，同时 OSMS 将提供最新补丁供您安装，确保您的实例始终处于最新状态。

有关 OCI Vulnerability Scanning Service 的更多信息，请查看公告。