了解如何管理该产品。
了解如何为在 AppScan Enterprise 进行安全测试做准备。
了解如何在 AppScan Enterprise 中创建和导入安全测试策略。
欢迎使用 HCL AppScan Enterprise 10.6.0 文档,您可以在本文档中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
辅助功能选项可帮助残障人士(例如行动不便或视力不佳)顺利使用信息技术内容。
了解如何安装该产品。
了解如何对产品进行升级。
了解如何将产品与其他解决方案集成。
了解如何通过 REST API 和插件扩展产品。
了解使用产品的最佳做法。
了解如何配置该产品。
了解如何管理用户组和访问许可权。
当管理员需要对问题进行故障诊断时,可配置 Enterprise Console 和 AppScan Server 的日志文件的设置,并下载这些日志文件。此功能消除了对安装了 Enterprise Console 或 AppScan Server 的计算机的文件系统进行搜索的需求。
AdminUtil 工具可帮助用户阻止他人在 AppScan Enterprise Server 和 DAST 扫描程序上重新运行配置向导来重置密码。可通过下列两种方式运行该实用程序:交互方式和静默方式。有关通过交互方式重置服务帐户密码的信息,请参阅在 AppScan Enterprise 中通过 ASE AdminUtil 工具以静默方式重置服务帐户密码 。
AppScan Enterprise (ASE) AdminUtil 工具可帮助用户避免在 AppScan Enterprise Server、IAST 通信服务、DAST 扫描程序、数据库服务和警报服务上重新运行配置向导,以重置服务帐户的密码。您可通过下列两种方式运行该实用程序来实现此目标:交互方式和静默方式。有关通过交互方式重置服务帐户密码的信息,请参阅在 AppScan Enterprise 中通过 ASE AdminUtil 工具重置服务帐户密码 。
创建“活动日志”报告可确定谁正在使用 AppScan Enterprise 以及他们在对其执行什么操作。该报告列出进行更改的用户以及何时进行了更改。由于日志始终在记录活动,因此您必须做的就是创建报告。仅“管理员”能够创建“活动日志”报告;但是,可以为任何用户提供对该报告的访问权,作为报告包属性的一部分。如果您不希望其他用户查看“活动日志”报告,请将报告包的“用户和组”页面上的“所有其他用户”更改为 No Access。
活动日志可帮助确定谁正在使用 AppScan Enterprise 以及他们在对其执行什么操作。该日志列出进行更改的用户以及何时进行了更改。此信息对于安全审计检测用户可能执行的未授权活动或异常活动非常有用。只有管理员可查看活动日志。缺省情况下,活动日志数据会保留一年。
产品管理员负责管理每个服务器以使其达到最佳性能。
查看当前在运行或等待运行的扫描作业的状态,以便您能够安排关键扫描作业的运行优先顺序。例如,您可能有作为时间敏感可交付内容(如假日购物专题)的一部分的扫描作业。您可以将其移至队列顶部以确保其在安排中具有最高优先顺序。
将在 AppScan® Enterprise 发行版中更新安全规则。您可以通过查看 AppScan Enterprise 主菜单中的“关于”链接来验证安全规则的版本和发布日期。
AppScan® Standard 提供数千个测试的数据库。但是,如果您的 Web 应用程序存在特定于自身的问题,或如果您想要撰写自己的问题修订咨询,那么您可以创建自己的测试。这些测试会保存并包含在 AppScan 测试数据库中。还可将它们以 *.udt 文件的形式导出到 AppScan Enterprise 中。
SQL Server 数据库备份和维护包括升级 SQL Server、SQL 数据备份、日志文件配置和数据库使用。
服务器组是可以作为一个单元进行测试的一组项;会对组中的所有服务器应用同样的安全测试。服务器组可以是域和 IP 地址的任意组合。
如果您想要启用或禁用您的地址范围(这将影响整个安装),那么您可以这样做。如果您有处于备份过程中的服务器,那么您可能要禁用某个范围的地址。在这种情况下,您可以通过禁用服务器的 IP 地址范围,来阻止任何人在服务器上运行安全测试。限制 IP 地址测试的另一种方法是在用户级别通过服务器组的应用程序进行。
安全测试策略是一组预定义的安全测试。必须先为用户指定服务器组和测试策略,用户才能执行安全扫描。
“简单”安全测试策略是缺省测试策略。它在较高的级别定义测试。您可以创建和编辑简单测试策略,并将其指定到服务器组。然后您可以为用户指定服务器组/测试策略组合,以在安全扫描过程中使用。
使用高级安全测试策略来深入测试到漏洞的变体级别,从而使您能够完全控制在扫描期间发送的测试。您可以从 AppScan® Standard Edition 7.5(或更高版本)导入高级安全测试策略并将其指定给服务器组。
在必须从 AppScan® Standard 中重新导入安全测试策略文件时,您可以将其重新导入,而不会影响工作流程。
由产品管理员向作业管理员分配安全测试策略和服务器组。安全测试策略定义可以执行哪些测试;服务器组定义可以对哪些应用程序/服务器运行这些测试。
您创建服务器组(想要测试的内容)和安全测试策略(想要执行的测试)后,必须将其分配给用户。用户只能在指定给他们的服务器组上运行安全测试。如果不指定任何测试策略给这些用户,他们便无法执行安全扫描。
了解如何在 AppScan Enterprise 中创建扫描模板。
遵循以下工作流程来管理组织中的应用程序严重性风险。
为了帮助您理解、隔离并解决有关 HCL® 软件的问题,故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
查看该产品的参考信息。