概觀

安全運作方式

WebSphere 管理者會以 WebSphere Automation來登錄其 WebSphere Application Server 或 WebSphere Application Server Liberty 伺服器。 WebSphere Automation 漏洞管理程式會對每一部伺服器的安全相符性狀態進行評量。 每一部伺服器的通用漏洞披露 (CVE) 都會顯示在互動式清單中的 WebSphere Automation 使用者介面中，且會針對每一部伺服器進行風險層次的評量。 管理者可以使用 WebSphere Automation 使用者介面，進一步瞭解相關 CVE、規劃其回應，以及完成將必要的安全修正程式套用至其受管理伺服器。

當 IBM Product Security Incident Response Team (PSIRT) 發佈新的或更新的安全公告時， WebSphere Automation CVE/PSIRT 監視器會偵測它們，並從公告收集 CVE 的相關資料。 WebSphere Automation 漏洞管理程式會檢查新 CVE 對已登錄伺服器的適用性。 如果發現了漏洞披露，則 WebSphere Automation 漏洞通知者會將電子郵件通知傳送至新漏洞存在的可自訂位址清單。

在定義曝光緩解方案之後，管理者接著會使用 WebSphere Automation 使用者介面來選取已發佈的修正套件或臨時修正程式，以修復漏洞。 在修正程式安裝程序期間， WebSphere Automation 會向 IBM Fix Central要求選取的修正程式，將它儲存在 Kafka 資料儲存庫中，然後將它安裝在指出的伺服器上。

性能如何運作

WebSphere 管理者會以 WebSphere Automation來登錄其 WebSphere Application Server 或 WebSphere Application Server Liberty 伺服器。 它們也會在其 WebSphere Automation 系統與 WebSphere Application Server 及 WebSphere Application Server Liberty 伺服器之間設定 SSH 或 WinRM 連線功能，以啟用自動收集診斷程式。

Instana 監視系統是設定為監視 WebSphere Application Server 或 WebSphere Application Server Liberty 伺服器。 Instana 管理者可配置 Instana，以便在偵測到記憶體洩漏時隨即傳送警示給 WebSphere Automation Webhook API。 此外， WebSphere 管理者可以隨時使用 WebSphere Automation 使用者介面來起始伺服器的記憶體分析。

當呼叫 WebSphere Automation Webhook API 以報告記憶體洩漏時， WebSphere Automation 調查管理程式會開啟新的調查，並傳送通知。 調查管理程式可使用 Runbook 管理程式，從發生記憶體洩漏的伺服器中收集資料堆傾出。 然後，調查管理程式會使用分析管理程式來分析所收集的檔案。 分析完成時，管理者可以在 WebSphere Automation 使用者介面中檢視洩漏可能當事人的相關資訊。 從使用者介面，管理者可以從調查下載任何或所有檔案，以與應用程式擁有者共用。 應用程式擁有者可以使用此資訊來修正應用程式中的記憶體洩漏。

元件概觀（安全）

IBM 支援中心、PSIRT 及安全公告

IBM 產品資安事件回應團隊 (PSIRT) 發佈安全公告，將已披露的一般漏洞與曝光 (CVE) 之紓解詳細資料傳達給他們的產品與服務。 WebSphere Automation 中的 CVE/PSIRT 監視器會定期檢查 WebSphere Application Server 及 WebSphere Application Server Liberty (ibm.com) 是否有新的或更新的安全公佈欄。 如果有新的或已變更的公佈欄，則 WebSphere Automation 會擷取這些公佈欄中任何新 CVE 的相關詳細資料並移入本端資料庫。

安全公告是一種結構化文件，其詳細說明漏洞類型及其潛在影響。 如需 IBM 安全公告的相關資訊，請參閱 IBM 安全公告。 如需 WebSphere Application Server 和 IBM HTTP Server的安全公告清單，請參閱 WebSphere Application Server 和 IBM HTTP Server 安全公告清單。

每一個 CVE 都會依據業界標準的一般漏洞評分系統 (CVSS) 獲得評分，該系統是漏洞風險層次的數值表示法，其尺度為 0 到 10。 CVSS 標準是由事件回應與安全團隊論壇 (FIRST) 的 CVSS-SIG（特別利益相關群組）負責維護。 如需相關資訊，請參閱 https://www.first.org/cvss/。

CVE/PSIRT 監視器

依預設，監視器會每小時存取 WebSphere Application Server 及 IBM HTTP Server 安全公告清單 ，以檢查是否有新的或更新的安全公告。 偵測到新/更新的安全公告時，便會從發佈的資訊中擷取詳細資料，並儲存在本端資料庫中。

附註: 在氣隙環境中， CVE/PSIRT 監視器無法與 WebSphere Application Server 及 IBM HTTP Server 安全公佈欄清單通訊。 在此情況下， WebSphere Automation 會使用已安裝的 CVE 資料來評估您的伺服器。

漏洞管理程式

WebSphere Automation 漏洞管理程式會將已登錄伺服器的相關資訊與其資料庫中一般漏洞及曝光 (CVE) 的適用性資料進行比較。 WebSphere Automation 會製表並顯示伺服器的安全狀態，以協助管理者瞭解影響其伺服器的漏洞或曝光。

取得新的伺服器資料或新的 CVE 資料時，漏洞管理程式便會將每一部伺服器的資訊與其所知的 CVE 相關資訊做比較。 判定某一 CVE 會影響到已登錄的伺服器時，便會宣告該伺服器有安全風險。 可以針對此類事件配置通知，且此漏洞會顯示在 WebSphere Automation 使用者介面中。

因為 WebSphere Automation 使用情形計量特性來收集伺服器的相關資料，所以不會進行作用中掃描或滲透測試。 因此，登錄伺服器以取得漏洞追蹤結果並不會影響該伺服器的效能。

修正程式管理程式

WebSphere Automation 修正程式管理程式會使用您提供的認證來存取 IBM Fix Central ，以要求修正程式。 修正程式會提取並儲存在定義給 websphereSecure 自訂資源的檔案儲存體中。 修正程式管理程式會根據使用頻率來管理儲存體空間，並刪除較舊的修正程式，以騰出空間給最近要求的修正程式。

Installation Manager

WebSphere Automation 安裝管理程式會使用您提供的管理者專用權來與已登錄伺服器進行通訊。 當您起始安裝修正程式時， Installation Manager 會確保目標伺服器有足夠的空間來進行修正程式，將修正程式傳送至目標伺服器，安裝修正程式，並建立所採取步驟的日誌檔。 如果您在修正程式安裝中要求伺服器環境的備份，則 Installation Manager 會檢查伺服器上是否有足夠的磁碟空間，並建立 Installation Manager、 Installation Manager 資料及 WebSphere Application Server 或 WebSphere Application Server Liberty 伺服器安裝目錄的保存檔。

元件概觀（性能）

Webhook API

Webhook API 會從 Instana 監視系統接收記憶體洩漏通知，並觸發調查管理程式啟動記憶體洩漏調查。

調查管理程式

由 Webhook API 觸發調查管理程式時會起始調查作業。 調查管理程式會指示 Runbook 管理程式執行 Runbook，以收集有疑似記憶體洩漏的伺服器相關身分資訊。 如果伺服器登錄處理器察覺到伺服器，則調查管理程式會指示該 Runbook 管理程式從該伺服器收集資料堆傾出。 然後，調查管理程式會指示分析管理程式執行診斷工具，處理資料堆傾出以取得記憶體洩漏的詳細資料。 進行調查的進度和結果會顯示在 WebSphere Automation 使用者介面中。 系統會傳送通知，指出調查開始或完成的時間。

Runbook 管理程式

Runbook 管理程式負責在 WebSphere Application Server 或 WebSphere Application Server Liberty 系統上執行 Runbook，以收集協助調查問題所需的資訊和診斷程式。 Runbook 管理程式會啟動 Runbook 工作，其使用 Ansible 教戰手冊來自動進行遠端資料收集。 Ansible 使用 SSH 或 WinRM與伺服器進行安全通訊。

分析管理程式

分析管理程式負責分析所收集的診斷檔案。 對於記憶體洩漏，分析管理程式會啟動分析工作，然後再啟動記憶體分析工具來分析資料堆傾出，並提供記憶體洩漏可疑的相關詳細資料。

元件概觀 (一般)

WebSphere Application Server、 WebSphere Application Server Liberty及伺服器登錄處理器

WebSphere Automation 使用 WebSphere Application Server 和 WebSphere Application Server Liberty 內的使用情形計量特性，來收集您所要監視的伺服器相關資料，以便評量其漏洞狀態或性能狀態。 在要管理的每一部伺服器上，必須手動配置使用情形計量特性，讓它可以與 WebSphere Automation 通訊。 使用情形計量特性是 WebSphere Application Server 和 WebSphere Application Server Liberty 所支援且穩定的元件，可與 WebSphere Automation 搭配使用。 它先前與 IBM Cloud Private 中現在已移除的計量服務一起使用。 此特性的穩定性取代了其在 WebSphere Application Server 或 WebSphere Application Server Liberty 文件中提及的淘汰。

WebSphere Automation 無法與沒有此特性的伺服器進行通訊。 由於此限制以及使用情形計量特性的發行日期，WebSphere Automation 不會評估 2018 年以前建立的安全公告。 可以管理下列應用程式伺服器：

• WebSphere Application Server (所有版本) 8.5.5.15 以及更新版本
• WebSphere Application Server (所有版本) 9.0.0.9 以及更新版本
• WebSphere Application Server Liberty (所有版本) 18.0.0.3 以及更新版本

隨著 WebSphere 軟體的服務程式更新或新版本的安裝，伺服器庫存的安全狀態也會更新。

通知者

當發現安全漏洞或記憶體洩漏、套用安全修正程式或完成記憶體洩漏調查時，通知者可以將電子郵件傳送至電子郵件位址清單。 對於標準電子郵件通知，管理者可以使用 WebSphere Automation 使用者介面來配置 SMTP 伺服器，並定義電子郵件位址清單以接收這些通知。 電子郵件包含相關資訊，例如漏洞通知 CVE 的 CVSS ，但不包含機密性資訊。 電子郵件也包含使用者介面中對應頁面的鏈結。 具有適當專用權的使用者接著可以登入 WebSphere Automation 使用者介面，以取得漏洞或記憶體洩漏的相關資訊。

從 WebSphere Automation 1.6.2開始，管理者可以針對 WebSphere Automation中發生的特定事件 自訂通知 。 可以設定為觸發通知的事件包括建立、更新或刪除動作、資產、公佈欄、修正程式、安裝、調查或漏洞。 除了傳送電子郵件之外，通知者現在還可以呼叫 Webhook。 電子郵件通知目前具有有限的自訂作業選項。

WebSphere Automation 使用者介面和 API

WebSphere Automation 基於 IBM Cloud Pak foundational services。 因此， WebSphere Automation 使用者介面會整合至 IBM Cloud Pak foundational services 使用者介面，並可使用瀏覽器來存取。 WebSphere Automation 使用者介面會顯示已登錄伺服器的互動式清單，其中包含安全漏洞及特定 CVE 資料。 資料也可以是 CSV 格式的輸出。 WebSphere Automation 使用者介面也會顯示記憶體洩漏調查的清單。 該使用者介面使用 API 來擷取資料。 這些 API 在此版本中以技術預覽形式提供。

IBM Cloud Pak foundational services

WebSphere Automation 基於 IBM Cloud Pak foundational services。 WebSphere Automation 使用 Apache Kafka 進行資料串流和事件處理，並使用 IBM Cloud Pak foundational services Identity Access Management (IAM) 特性來連接至使用者登錄 (LDAP)。 如需相關資訊，請參閱 IBM Cloud Pak foundational services 的說明文件。