Como alternativa para executar uma avaliação sobre uma política de vulnerabilidade, o SaltStack SecOps Vulnerability é compatível com a importação de verificações de segurança geradas por uma variedade de fornecedores de terceiros.

Em vez de executar uma avaliação em uma política de vulnerabilidade, você pode importar uma verificação de segurança de terceiros diretamente para o SaltStack Config e corrigir os comunicados de segurança identificados usando o SaltStack SecOps Vulnerability. Consulte Como executar uma avaliação de vulnerabilidade para obter mais informações sobre como executar uma avaliação padrão.

O SaltStack SecOps Vulnerability oferece suporte a verificações de terceiros do:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Você também pode usar um conector Tenable.io para verificações do Tenable.
Quando você importa uma verificação de terceiros para uma política de segurança, o SaltStack Config corresponde seus subordinados aos nós que foram identificados pela verificação.
Observação: Por padrão, todos os usuários do SaltStack Config podem acessar o espaço de trabalho Conectores. No entanto, a permissão para executar a Importação de Fornecedores de Vulnerabilidades, bem como uma licença do SaltStack SecOps Vulnerability, são necessárias para que um usuário vulnerabilidades importe com êxito de um conector.
O dashboard da política de segurança lista os comunicados identificados pela verificação de terceiros, bem como se cada comunicado tem ou não suporte para remediação.
Observação: Se o tamanho do arquivo de exportação for grande, talvez seja necessário verificar um segmento menor de nós na sua rede com a ferramenta de terceiros. Como alternativa, você pode importar verificações grandes usando a interface de linha de comando (CLI) ou a API.
Depois de importar sua verificação, a política exibirá um resumo que você pode alternar entre duas exibições: vulnerabilidades com suporte e vulnerabilidades sem suporte. Vulnerabilidades com suporte são os comunicados que estão disponíveis para remediação usando o SaltStack Config. Vulnerabilidades sem suporte são os comunicados que não podem ser remediados usando o SaltStack Config.
Observação: Essa opção com alternância de exibição apenas está disponível para dados importados do fornecedor. Dados criados usando conteúdo do SaltStack SecOps não mostrarão esse campo com alternância de exibição.

Você pode importar um terceiro de um arquivo, de um conector ou usando a linha de comando.

Pré-requisitos

Antes de poder importar uma verificação de segurança de terceiros, você deve configurar um conector. O conector deve ser configurado primeiro usando as chaves de API da ferramenta de terceiros.

Para configurar um conector Tenable.io:

Para configurar um conector Tenable.io, navegue até Configurações > Conectores > Tenable.io, digite os detalhes necessários para o conector e clique em Salvar.
Campo do Conector Descrição
Chave Secreta e Chave de Acesso Par de chaves necessário para autenticação na API do conector. Para obter mais informações sobre como gerar suas chaves, consulte a documentação do Tenable.io.
URL URL base para solicitações de API. O padrão é https://cloud.tenable.com.
Dias desde Consulte o histórico de verificações do Tenable.io a contar deste número de dias atrás. Deixe em branco para consultar um período ilimitado. Quando você usa um conector para importar resultados de verificações, o SaltStack SecOps Vulnerability usa os resultados mais recentes por nó disponíveis nesse período.
Observação: Para garantir que a sua política contenha os dados de verificações mais recentes, certifique-se de executar novamente a importação depois de cada verificação. O SaltStack SecOps Vulnerability não sonda o Tenable.io para obter os dados de verificação mais recentes automaticamente.

Para configurar um conector Carbon Black (somente Windows):

Para configurar um conector Carbon Black, você precisa ativar a permissão de Leitura de Dispositivo no Carbon Black Cloud e criar um código de token da API. Para obter mais informações sobre como criar um código de token da API, consulte API de Avaliação de Vulnerabilidades.
Observação: O SaltStack SecOps é compatível apenas com conectores e verificações do VMware Carbon Black Cloud. O SaltStack SecOps usa apenas o dispositivo ipv4 e Carbon Black para correspondência e o risk_meter_score para exibição. Nenhuma outra informação é usada.

Antes de poder configurar um conector Carbon Black, você deve configurar um ambiente de kit de sensores Carbon Black para Subordinados do Windows.

Para configurar um ambiente de sensor do Carbon Black:
  1. Inicie um ambiente SaltStack Config e implante um servidor Windows.
  2. Instale o subordinado Salt no servidor Windows. Para obter mais informações, consulte Instalação do subordinado Salt.
  3. Aceite as chaves de mestres no SaltStack Config e as chaves de subordinados do SaltStack Config ou do Mestre Salt.
  4. Instale o kit de sensores do Carbon Black no subordinado do Windows. Para obter mais informações, consulte Instalando sensores em cargas de trabalho de VM.
  5. No SaltStack SecOps, defina uma política com um grupo de destino que contenha o subordinado do Windows.
  6. Após a conclusão da ingestão da VM do SaltStack Config, sincronize o módulo Carbon Black do SaltStack Config a partir do mestre Salt, executando estes comandos: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. No subordinado do Windows, defina a granulação de dispositivo do Carbon Black, executando salt mywindowsminion carbonblack.set_device_grain.
Depois de configurar um ambiente de kit de sensores do Carbon Black, você pode configurar seu conector Carbon Black no SaltStack Config navegando até Configurações > Conectores > VMware Carbon Black. Digite os detalhes necessários para o conector e clique em Salvar.
Campo do Conector Descrição
URL URL para solicitações de API
Token e Chave da Organização Par de chaves necessário para autenticação na API do conector.
Observação: Se você excluir um conector VMware Carbon Black, esses campos serão preenchidos com caracteres "xxxx". Isso é feito para manter o formato de chave do token de "xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx"
Verificar SSL O padrão é definido como verdadeiro.
  1. Clique em Subordinados e selecione Todos os Subordinados ou selecione um subordinado específico para um grupo-alvo de políticas.
  2. Clique em Executar Comando e execute estes comandos: saltutil.sync_all, carbon_black.set_device_grain e saltutil.refresh_grains.

Procedimento

  1. Na sua ferramenta de terceiros, execute uma verificação e certifique-se de escolher um verificador que esteja na mesma rede que os nós que você deseja definir como destinos. Em seguida, indique os endereços IP que você deseja verificar. Se você estiver importando uma verificação de terceiros de um arquivo, exporte a verificação em um dos formatos de arquivo compatíveis (Nessus, XML ou CSV).
  2. No SaltStack Config, certifique-se de ter baixado o conteúdo do SaltStack SecOps Vulnerability.
  3. No espaço de trabalho do SaltStack SecOps Vulnerability, crie uma política de segurança direcionada aos mesmos nós incluídos na verificação de terceiros. Certifique-se de que os nós verificados na ferramenta de terceiros também estejam incluídos como destinos na política de segurança. Consulte Como criar uma política de vulnerabilidade para obter mais informações.
    Observação: Depois de exportar a verificação e criar uma política, você poderá importar sua verificação executando o comando do raas third_party_import "filepath" third_party_tool security_policy_name. Por exemplo, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Recomenda-se importar a verificação usando a CLI se o arquivo de verificação for especialmente grande.
  4. No painel de políticas, clique na seta suspensa do Menu de Política e selecione Carregar Dados de Verificação do Fornecedor.
  5. Importe sua verificação:
    • Se estiver importando a verificação de um arquivo, selecione Carregue > Importação de Arquivo e selecione seu fornecedor de terceiros. Em seguida, selecione o arquivo para carregar sua verificação de terceiros.
    • Se estiver importando a verificação de um conector, selecione Carregar > Carregamento de API e selecione o terceiro. Se nenhum conector estiver disponível, o menu direcionará você para o espaço de trabalho de configurações de conectores.
    A linha de tempo do status da importação mostra o status da sua importação à medida que o SaltStack SecOps Vulnerability mapeia seus subordinados para os nós que foram identificados pela verificação. Dependendo do número de comunicados e nós afetados, esse processo pode demorar um pouco.
  6. Na página Selecionar com suporte, selecione os comunicados com suporte que você deseja incluir como parte da importação de arquivos.
  7. Na página Selecionar sem suporte, selecione os comunicados sem suporte que você deseja incluir como parte da importação de arquivos.
  8. Revise os avisos sem correspondência em busca de comunicados que não correspondem a um host ou subordinado. Como resultado, eles não podem ser remediados por meio do SaltStack Config.
  9. Clique em Avançar e revise um resumo do que será importado para a política.
  10. Clique em Finalizar Importação para importar sua verificação.

Resultados

Os comunicados selecionados são importados para o SaltStack SecOps Vulnerability e aparecem como uma avaliação no dashboard de políticas. O dashboard de políticas também exibe Importado sob o título da política para indicar que a avaliação mais recente foi importada da sua ferramenta de terceiros.
Observação: Avaliações apenas são executadas quando a verificação é importada. As avaliações de verificações importadas não podem ser executadas em uma programação.

O que Fazer Depois

Agora, você pode remediar esses comunicados. Consulte Como corrigir meus comunicados para obter mais informações.