O SaltStack SecOps Vulnerability oferece suporte à importação de verificações de segurança geradas por uma variedade de fornecedores de terceiros. Isso inclui a importação de arquivos de verificação do Tenable, Rapid7, Qualys e Kenna Security ou por meio de um conector Tenable.io.

Você pode importar uma verificação de segurança de terceiros diretamente para o SaltStack Config e remediar os comunicados de segurança identificados usando o SaltStack SecOps Vulnerability. É possível importar essa verificação como uma alternativa para executar uma avaliação no SaltStack SecOps Vulnerability. Consulte Executando uma avaliação obter mais informações sobre como executar uma avaliação padrão.

Quando você importa uma verificação de terceiros para uma política de segurança, o SaltStack Config corresponde seus subordinados aos nós que foram identificados pela verificação. O espaço de trabalho Preparação para importação exibe a lista de comunicados que podem ser importados e outra lista que mostra os comunicados que não podem ser importados no momento. A lista de comunicados sem suporte inclui uma explicação sobre por que eles não podem ser importados.

O dashboard da política de segurança lista os comunicados identificados pela verificação de terceiros, bem como se cada comunicado tem ou não suporte para remediação.

Observação: Se o tamanho do arquivo de exportação for grande, talvez seja necessário verificar um número menor de nós na sua ferramenta de terceiros. Como alternativa, você pode importar verificações grandes usando a interface de linha de comando (CLI) ou a API. Consulte Importando uma verificação de terceiros por meio da linha de comando para obter mais informações sobre como importar com a CLI. Para importar por meio da API, consulte a documentação sobre endpoints de RPC da API (RaaS).

Importando uma verificação de segurança de terceiros de um arquivo

Para importar uma verificação de segurança de terceiros, como o Tenable:

  1. Na sua ferramenta de terceiros, execute uma verificação e exporte-a em um dos formatos de arquivo com suporte. Consulte Formatos de arquivo com suporte para obter mais informações. Para obter instruções específicas sobre como executar uma verificação ou exportar o arquivo necessário de terceiros, consulte a respectiva documentação de ajuda.

    Ao executar a verificação, certifique-se de escolher um verificador que esteja na mesma rede que os nós que você deseja definir como destinos. Em seguida, indique os endereços IP que você deseja verificar.

  2. No SaltStack Config, certifique-se de ter baixado conteúdo do SaltStack SecOps Vulnerability.
  3. No espaço de trabalho do SaltStack SecOps Vulnerability, crie uma política de segurança direcionada aos mesmos nós incluídos na verificação de terceiros. Consulte Criando uma política para obter mais informações.
    Observação: Certifique-se de que os nós verificados na sua ferramenta de terceiros também estejam incluídos como destinos nessa política de segurança. Caso contrário, quando você importar a verificação, o SaltStack SecOps Vulnerability não poderá corresponder os subordinados direcionados aos endereços IP identificados pela sua ferramenta de terceiros.
  4. No dashboard de políticas, clique no Menu Políticavulnerability-menu-icon e selecione Importar Dados de Verificação do Fornecedor.

    Isso abre o espaço de trabalho Preparação para importação.

    Observação: Se a opção de menu Importar Dados de Verificação do Fornecedor estiver indisponível, talvez você não tenha permissão para importar uma verificação de terceiros para o SaltStack Config. Entre em contato com o administrador para obter acesso. Consulte Funções e permissões para obter mais informações.
  5. Clique em Importar > Importação de Arquivo e selecione seu fornecedor terceiro. Em seguida, selecione o arquivo para carregar sua verificação de terceiros.

    A linha do tempo do status de importação mostra o status da sua importação. Agora, o SaltStack SecOps Vulnerability está mapeando seus subordinados para os nós que foram identificados pela verificação. Ele também mapeará os comunicados identificados para os seus subordinados. Dependendo do número de comunicados e nós afetados, esse processo pode demorar um pouco. Você pode navegar para longe enquanto ele continua em segundo plano.

    Quando o processamento da importação terminar, o espaço de trabalho Preparação para importação exibirá um resumo da importação e duas tabelas: uma lista de Vulnerabilidades compatíveis e uma lista de vulnerabilidades Não compatíveis. Vulnerabilidades com suporte são os comunicados que estão disponíveis para remediação. Vulnerabilidades sem suporte são os comunicados que não podem ser corrigidos no momento. A lista de vulnerabilidades sem suporte inclui uma explicação sobre por que elas não podem ser importadas.

    Você pode filtrar os comunicados por coluna, se necessário. Por exemplo, pode filtrar comunicados por gravidade para escolher quais devem ser remediados. Se um cabeçalho de coluna incluir um ícone de filtro filter-icon, você poderá filtrar os resultados por esse tipo de coluna. Clique no ícone e selecione uma opção de filtro no menu ou digite o texto com base no qual você deseja filtrar.

    Observação: Verificações de segurança de terceiros podem incluir dados adicionais que não são exibidos por padrão no espaço de trabalho Preparação para importação. Para visualizar esses dados, clique no botão Mostrar Colunas show-columns-icon e clique na caixa de seleção ao lado dos dados que você deseja exibir.
  6. Clique em Importar Todos com Suporte para importar todos os comunicados com suporte. Como alternativa, você pode clicar na caixa de seleção ao lado de comunicados específicos na tabela Vulnerabilidades com Suporte e clicar em Importar Selecionados para importar uma seleção menor.

    Os comunicados selecionados são importados para o SaltStack SecOps Vulnerability e aparecem como uma avaliação no dashboard de políticas. O dashboard de políticas também exibe Importado sob o título da política para indicar que a avaliação mais recente foi importada da sua ferramenta de terceiros. Agora, você pode remediar esses comunicados. Consulte Remediando comunicados para obter mais informações.

    Observação: Para obter os melhores resultados, tente reduzir o tempo entre a execução de uma verificação de terceiros e a importação dessa verificação para o SaltStack Config.

Importando resultados da verificação de um conector

Para importar uma verificação de segurança de um conector:

  1. Na sua ferramenta de terceiros, execute uma verificação e certifique-se de escolher um verificador que esteja na mesma rede que os nós que você deseja definir como destinos. Em seguida, indique os endereços IP que você deseja verificar.
  2. No SaltStack Config, certifique-se de ter baixado conteúdo do SaltStack SecOps Vulnerability.
  3. No espaço de trabalho do SaltStack SecOps Vulnerability, crie uma política de segurança direcionada aos mesmos nós incluídos na verificação de terceiros. Consulte Criando uma política para obter mais informações.
    Observação:

    Certifique-se de que os nós verificados na sua ferramenta de terceiros também estejam incluídos como destinos nessa política de segurança. Caso contrário, quando você importar a verificação, o SaltStack SecOps Vulnerability não poderá corresponder os subordinados direcionados aos endereços IP identificados pela sua ferramenta de terceiros.

  4. No dashboard de políticas, clique no Menu Políticavulnerability-menu-icon e selecione Importar Dados de Verificação do Fornecedor.

    Isso abre o espaço de trabalho Preparação para importação.

    Observação: Se a opção de menu Importar Dados de Verificação do Fornecedor estiver indisponível, talvez você não tenha permissão para importar uma verificação de terceiros para o SaltStack Config. Entre em contato com o administrador para obter acesso. Para obter mais informações, consulte Funções e permissões.
  5. Clique em Importar > Importação de API e selecione o terceiro.
    Observação: Se nenhum conector estiver disponível, o menu direcionará você para o espaço de trabalho Configurações de conectores. Consulte Conectores para obter mais informações.

    Para garantir que a sua política contenha os dados de verificações mais recentes, certifique-se de executar novamente a importação depois de cada verificação. O SaltStack SecOps Vulnerability não sonda o terceiro para obter os dados de verificação mais recentes automaticamente.

    A linha do tempo do status de importação mostra o status da sua importação. Agora, o SaltStack SecOps Vulnerability está mapeando seus subordinados para os nós que foram identificados pela verificação. Ele também mapeará os comunicados identificados para os seus subordinados. Dependendo do número de comunicados e nós afetados, esse processo pode demorar um pouco. Você pode navegar para longe enquanto ele continua em segundo plano.

    Observação: Se a importação falhar, isso pode ser devido a um erro de autenticação ou por algum outro erro. Certifique-se de verificar se você inseriu as chaves corretas. Se descobrir que as chaves estão corretas, a próxima etapa na solução do problema é consultar o log do RaaS. Esse log está disponível apenas para usuários administrativos e contém a resposta do PyTenable. Para saber mais sobre os erros do PyTenable, consulte a documentação do PyTenable. Se não conseguir acessar o log do RaaS, entre em contato com o administrador para obter assistência.

    Quando o processamento da importação terminar, o espaço de trabalho Preparação para importação exibirá um resumo da importação e duas tabelas: uma lista de Vulnerabilidades compatíveis e uma lista de vulnerabilidades Não compatíveis. Vulnerabilidades com suporte são os comunicados que estão disponíveis para remediação. Vulnerabilidades sem suporte são os comunicados que não podem ser corrigidos no momento. A lista de vulnerabilidades sem suporte inclui uma explicação sobre por que elas não podem ser importadas.

    Você pode filtrar os comunicados por coluna, se necessário. Por exemplo, pode filtrar comunicados por gravidade para escolher quais devem ser remediados. Se um cabeçalho de coluna incluir um ícone de filtro filter-icon, você poderá filtrar os resultados por esse tipo de coluna. Clique no ícone e selecione uma opção de filtro no menu ou digite o texto com base no qual você deseja filtrar.

    Observação: Verificações de segurança de terceiros podem incluir dados adicionais que não são exibidos por padrão no espaço de trabalho Preparação para importação. Para visualizar esses dados, clique no botão Mostrar Colunas show-columns-icon e clique na caixa de seleção ao lado dos dados que você deseja exibir.
  6. Clique em Importar Todos com Suporte para importar todos os comunicados com suporte. Como alternativa, você pode selecionar comunicados específicos na tabela Vulnerabilidades com Suporte e clicar em Importar Selecionados para importar uma seleção menor.

    Os comunicados selecionados são importados para o SaltStack SecOps Vulnerability e aparecem como uma avaliação no dashboard de políticas. O dashboard de políticas também exibe Importado sob o título da política para indicar que a avaliação mais recente foi importada da sua ferramenta de terceiros. Agora, você pode remediar esses comunicados. Consulte Remediando comunicados para obter mais informações.

    Observação: Para obter os melhores resultados, tente reduzir o tempo entre a execução de uma verificação de terceiros e a importação dessa verificação para o SaltStack Config.

Importando uma verificação de terceiros por meio da linha de comando

Se você tem acesso de usuário RaaS, pode importar uma verificação de terceiros na CLI. A importação por meio da CLI é recomendado quando o arquivo de verificação é especialmente grande. Antes de importar usando a CLI, certifique-se de estar familiarizado com o processo de importação da verificação por meio da interface do usuário, pois o processo será semelhante. Para obter mais informações, consulte Importando uma verificação de segurança de terceiros.

Depois de exportar a verificação da sua ferramenta de terceiros e criado uma política de segurança no SaltStack SecOps Vulnerability, você poderá importar a verificação na CLI usando o seguinte comando, substituindo os argumentos de espaço reservado conforme necessário:

raas third_party_import "filepath" third_party_tool security_policy_name

No comando anterior, você substituiria filepath pelo local do arquivo exportado, third_party_tool pelo nome da ferramenta de terceiros e security_policy_name pelo nome da sua política de segurança. Por exemplo, é possível usar o seguinte comando ao importar do Tenable:

raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy