با توجه به اینکه IDS ها معمولاً با درصدی از احتمال، حملات مختلف شبکه را شناسایی می کنند، به منظور اطمینان از اعمال حملات، می توان از اسکنرهای آسیب پذیری نظیر Nessus یا OpenVAS کمک گرفت. این اسکنرها امکان تشخیص آسیب پذیری دیوایس های شبکه را فراهم می کنند. با توجه به اینکه بعضی از آسیب پذیری ها دارای کد CVE بوده و همچنین رخدادهای دریافت شده از IDS نیز در بعضی موارد مربوط به یک CVE خاص می باشد با انطباق CVE های بدست آمده از IDS و اسکنر آسیب پذیری، می توان با دقت بیشتری در مورد حملاتِ هکرها نتیجه گیری نمود. بدین منظور در سامانه کورلاگ ماژولی تحت عنوان Vulnerability Management در نظر گرفته شده. با استفاده از این ماژول امکان تنظیم یک برنامه زمانی در سمت اسکنر آسیب پذیری به منظور اسکن دیوایس های شبکه و همچنین دریافت نتایج اسکن دیوایس ها فراهم است. پس از دریافت نتایج اسکن، در سامانه کورلاگ پایگاه داده ای از آسیب پذیری های دیوایس های شبکه بدست می آید. در صورتی که بر روی یکی از آسیب پذیری های یک دیوایس خاص حمله ای صورت پذیرد و IDS آن را شناسایی کرده و کدِ CVE آن نیز موجود باشد، سامانه کورلاگ با انطباق CVE شناسایی شده از رخداد IDS و CVE دریافت شده از اسکنر آسیب پذیری، یک Incident تولید کرده و در ماژول Incident Management (بخش Vulnerability Correlation) امکان مشاهده آن فراهم است. در این سند آیتم های مختلف ماژول Vulnerability Management توضیح داده می شود.
تب Vulnerability Server
در این تب می بایست سرور اسکنر آسیب پذیری اضافه گردد. در ادامه گزینه های موجود در پنل بالای تب توضیح داده می شود:
| 1 |
|
افزودن اسکنر آسیب پذیری |
| 2 |
|
ویرایش تنظیمات اسکنر |
| 3 |
|
حذف اسکنر |
| 4 |
|
کلون گرفتن از اسکنر |
| 5 |
|
اکسپورت گرفتن اسکنرهای افزوده شده |
| 6 |
|
جستجوی اسکنرها |
| 7 |
|
مدیریتاسکن های زمان بندی شده |
| 8 |
|
همگام سازی سامانه با اسکنر به منظور دریافت نتایج اسکن |
پنجره Scan Management
با کلیک بر روی آیکون 
پنجره جدیدی به نام Nessus Scan Management باز می گردد. در این پنجره امکان افزودن برنامه های زمانی به منظور اسکن دیوایس های شبکه فراهم است. در جدول زیر گزینه های موجود در پنل بالای پنجره توضیح داده می شود:
| 1 |
|
استارت دستی برنامه زمانی در ابزار اسکنر |
| 2 |
|
استاپ دستی برنامه زمانی در ابزار اسکنر |
| 3 |
|
همگام سازی سامانه با اسکنر به منظور دریافت نتایج اسکن |
| 4 |
|
افزودن برنامه زمانی اسکن |
| 5 |
|
ویرایش برنامه زمانی اسکن |
| 6 |
|
حذف برنامه زمانی اسکن |
| 7 |
|
اکسپورت گرفتن از ستون های پنجره |
| 8 |
|
جستجوی برنامه های زمانی اسکن |
با کلیک بر روی دکمه 
پنجره NewScan باز می شود. در ادامه آیتم های مختلف این پنجره توضیح داده می شود. در صورتی که از اسکنر Nessus به منظور اسکن دیوایس های شبکه استفاده شود، می بایست با نام و رمز عبور معتبر بر روی Nessus لاگین کرده و یک Policy به منظور تعیین Plugin های اسکن تعریف نماییم. بنابراین در زمان ایجاد برنامه زمانی اسکن، می بایست از یک Policy که قبلاً بر روی ابزار اسکنر تعریف شده استفاده کنیم.
پنجره New Scan
در این پنجره 3 تب مشاهده می شود:
- تب General : در این قسمت نام برنامه زمانی، توضیحات بیشتر در مورد آن و پالیسی مربوطه که در ابزار اسکنر تعریف شده، مشخص می گردد.
- تب Target : به چند روش می توان Target یا دیوایس های شبکه را به اسکنر معرفی نمود:
- Device : از لیست دیوایس های موجود در CMDB استفاده می شود. با انتخاب هر دیوایس و زدن دکمه
به لیست اسکن اضافه می گردد. - Network : از لیست شبکه های تعریف شده در CMDB استفاده می شود. با انتخاب هر Network و زدن دکمه به لیست اسکن اضافه می گردد.
- Business Services : از لیست Business Service های تعریف شده در CMDB استفاده می شود. با انتخاب هر کدام و زدن دکمه به لیست اسکن اضافه می گردد.
- Custom Target : می توان از آدرس دیوایس ها را به صورت دستی وارد کرد. با انتخاب هر آدرس و زدن دکمه به لیست اسکن اضافه می گردد.
- Device : از لیست دیوایس های موجود در CMDB استفاده می شود. با انتخاب هر دیوایس و زدن دکمه
- تب Schedule : با زدن تیک Enable Schedule برنامه زمانی فعال شده و می بایست زمان بندی مورد نظر تنظیم گردد:
- Date : تاریخ شروع اولین اسکن
- Repeat Type : تکرار اسکن که می تواند فقط یک بار، روزانه، هفتگی، ماهانه و سالانه باشد.
- Start At : ساعت شروع اولین اسکن
به عنوان مثال در صورتی که بخواهیم اسکن مربوطه از تاریخ 1 ژانویه 2018 هر هفته ساعت صفر بامداد تکرار گردد تنظیمات این تب به صورت زیر لحاظ می شود:
تب Scan Reports
در این تب اطلاعات آسیب پذیری های شناسایی شده توسط اسکنر آسیب پذیری مشاهده می گردد. در واقع اطلاعات کامل تمام آسیب پذیری های شناسایی شده به تفکیک هر دیوایس لیست شده است. در ادامه ستون های مختلف این تب تشریح می گردد.
IP : آدرس IP دیوایس اسکن شده
Name : در صورتی که دیوایس مربوطه در سامانه کورلاگ Add شده باشد نامی که در ماژول CMDB برای آن درنظر گرفته شده در این ستون نمایش داده می شود.
Date : تاریخ و زمان شناسایی آسیب پذیری های دیوایس مربوطه توسط اسکنر
Severity : در این ستون بالاترین میزان شدت آسیب پذیری های شناسایی شده بر روی دیوایس مربوطه مشاهده می گردد. بنابراین در صورتی که میزان Severity یک دیوایس برابر 5 باشد مطمئناً آسیب پذیری با شدت بیشتر از 5 بر روی دیوایس مربوطه وجود ندارد.
Scan Results : تعداد آسیب پذیری های شناسایی شده به تفکیک High، Medium، Low و Log نمایش داده می شود.
Scanner : نام اسکنر مربوطه که می تواند Nessus و یا OpenVAS باشد.
با کلیک بر روی هر سطر پنجره جدیدی باز شده که در آن اطلاعات کامل آسیب پذیری های شناسایی شده بر روی دیوایس مربوطه نمایش داده می شود. (اطلاعاتی نظیر نام آسیب پذیری، شدت آن، توضیحات بیشتر، کد CVE و …) همچنین در پنجره باز شده با کلیک بر روی هر آسیب پذیری، در پنجره ای جدا توضیحات مربوطه به همراه راه حلی به منظور برطرف کردن آن نمایش داده می شود.
تب Devices
این تب نیز همانند تب Scan Reports بوده با این تفاوت که با کلیک بر روی هر سطر، نمودار trend آسیب پذیری های دیوایس مربوطه با توجه به میزان Severity آن نمایش داده می شود.
