Leia esta página para obter informações de referência sobre formatos de arquivo do SaltStack SecOps Vulnerability com suporte, campos de políticas de segurança, status de atividades e métricas disponíveis no dashboard de Vulnerabilidades.
Formatos de arquivo com suporte
Os seguintes formatos de arquivo têm suporte ao importar resultados de uma verificação de terceiros.
| Fornecedor |
Tipo de arquivo |
|---|---|
| Tenable |
Nessus |
| Rapid7 InsightVM Export |
XML |
| Qualys |
XML |
| KennaSecurity Export |
CSV |
Consulte Importando uma verificação de segurança de terceiros para obter mais informações.
Políticas de vulnerabilidades
Uma política de vulnerabilidade é formada por um destino e um agendamento de avaliação. O destino determina quais subordinados devem ser incluídos em uma avaliação, enquanto o agendamento determina quando as avaliações serão executadas. Uma política de segurança também armazena os resultados da avaliação mais recente no SaltStack SecOps Vulnerability. Políticas também podem incluir agendamentos, bem como especificações para lidar com isenções.
Cada componente de uma política de vulnerabilidades é descrito com mais detalhes abaixo.
| Componente |
Descrição |
|---|---|
| Destino |
Um destino é o grupo de subordinados, em um ou vários mestres Salt, ao qual o comando Salt de um trabalho se aplica. Um mestre Salt também pode ser gerenciado como um subordinado, podendo ser um destino se estiver executando o serviço de subordinados. Ao escolher um destino no SaltStack SecOps Vulnerability, você define o grupo de ativos (chamado de subordinados) ao qual sua política será aplicada. Você pode escolher um destino existente ou criar um novo. Consulte Subordinados para obter mais informações. |
| Agendamento |
Escolha a frequência de agendamento entre Recorrente, Repetir em Data e Hora, Uma vez ou Expressão Cron. Opções adicionais estão disponíveis dependendo da atividade agendada e da frequência de agendamento escolhida.
Observação:
No editor de agendamento, os termos “Trabalho” e “Avaliação” são usados de maneira intercambiável. Ao definir um agendamento para a política, você está agendando somente a avaliação, não a remediação.
Observação:
Ao definir o agendamento de uma avaliação, você pode escolher a opção adicional Não Agendado (sob demanda). Ao selecionar essa opção, você opta por executar apenas avaliações únicas, conforme necessário, e nenhum agendamento será definido. |
Status da atividade
Na página inicial da política, a guia Atividade mostra uma lista de avaliações e remediações concluídas ou em andamento. Ela inclui os seguintes status.
| Status |
Descrição |
|---|---|
| Em Fila |
A operação está pronta para ser executada, mas os subordinados ainda não coletaram a tarefa para iniciar a operação. |
| Concluído |
A execução da operação foi encerrada. |
| Parcial |
A operação ainda está aguardando o retorno de alguns subordinados, embora o mestre Salt tenha relatado que a operação da atividade terminou. Subordinados são nós que executam o serviço de subordinados e que podem ouvir comandos de um mestre Salt e executar as tarefas solicitadas. O mestre Salt é um nó central usado para emitir comandos para subordinados. |
Você pode rastrear todas as atividades no SaltStack Config, incluindo avaliações e remediações, no espaço de trabalho Atividade principal do SaltStack Config. Consulte Atividade.
Dashboard de proteção
Seu dashboard de Vulnerabilidades mostra uma visão geral do seu status de vulnerabilidades. Ele inclui várias métricas, bem como uma lista dos comunicados mais comuns dentro das avaliações mais recentes em todas as suas políticas de vulnerabilidade atuais.
O dashboard é útil para relatar o status atual de vulnerabilidades. Você pode compartilhá-lo estabelecendo um link para a URL da página ou imprimindo uma cópia em PDF. Consulte Visualizando e imprimindo seu dashboard de Vulnerabilidades para obter mais informações.
O dashboard inclui as seguintes métricas:
| Métrica |
Descrição |
|---|---|
| Resumo de Vulnerabilidades |
O número de ativos atualmente afetados por vulnerabilidades de diferentes níveis de gravidade, variando de Crítica a Nenhuma. |
| Remediações |
O número total de vulnerabilidades corrigidas por meio do SaltStack SecOps Vulnerability, classificadas por gravidade. |
| Tendência de Vulnerabilidades |
Gráfico mostrando seu status de vulnerabilidade nos últimos 30 dias. |
| Principais Comunicados |
Lista das vulnerabilidades mais frequentemente descobertas nos seus sistemas. |
Resultados de avaliações
Os resultados da avaliação do SaltStack SecOps Vulnerability são exibidos na página inicial da sua política. Essa página inclui uma lista de comunicados com os seguintes campos de informações:
O SaltStack SecOps Vulnerability permite que você baixe os resultados de avaliação no formato JSON. Consulte Baixando o relatório de avaliação para obter mais informações.
| Campo |
Descrição |
|---|---|
| Gravidade |
Classificação de gravidade, variando de Crítica a Nenhuma. A classificação de gravidade é útil para priorizar remediações. |
| VPR (somente em vulnerabilidades importadas do Tenable) |
A VPR (Classificação de Prioridade de Vulnerabilidades) é uma classificação de gravidade alternativa específica do Tenable. Para obter mais informações sobre a VPR, consulte a documentação do Tenable. |
| ID do Comunicado |
ID oficial associado ao comunicado. Clique no ID para ver os detalhes do comunicado. |
| Título do comunicado |
Título oficial do comunicado reconhecido por CVE. Clique no título do comunicado para visualizar seus detalhes. |
| CVEs |
Common Vulnerabilities and Exposures, uma lista de identificadores comuns para vulnerabilidades de segurança cibernética publicamente conhecidas. Consulte Sobre o CVE para obter mais informações. |
| Pacotes afetados |
Lista de quaisquer pacotes do sistema afetados pelo comunicado |
| CVSS v3.0 |
Classificação da vulnerabilidade, de acordo com o Common Vulnerability Scoring System versão 3. Isso pode não ser exibido para certos comunicados, pois nem todos foram pontuados ainda. Consulte Common Vulnerability Scoring System SIG para obter mais informações. |
| CVSS v2.0 |
Classificação da vulnerabilidade, de acordo com o Common Vulnerability Scoring System versão 2 |
| Comportamento de Instalação |
Indica se o comunicado pode exigir uma reinicialização completa do sistema para que um patch ou uma atualização entre em vigor como parte de uma remediação. |
| Subordinados |
Lista o número de subordinados afetados por esse comunicado. |
Ativando o Windows Server Update Services (WSUS)
Comunicados de remediação em nós Windows exigem etapas adicionais de configuração e remediação. Se o seu ambiente estiver implantando patches e atualizações do Windows usando um servidor WSUS, você precisará garantir que esse servidor esteja ativado e verificar se ele pode receber atualizações regulares da Microsoft. Consulte Remediando comunicados no Windows para obter mais informações.
É possível executar o seguinte arquivo de estado para conectar o subordinado ao servidor WSUS, substituindo os endereços IP de exemplo pelo endereço IP e porta do servidor WSUS:
configure_windows_update:
lgpo.set:
- computer_policy:
CorpWuURL:
{% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
{% for element in policy_info["policy_elements"] %}
{% if element["element_id"] == "CorpWUContentHost_Name" %}
CorpWUContentHost_Name: ""
{% endif %}
{% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
CorpWUFillEmptyContentUrls: False
{% endif %}
{% if element["element_id"] == "CorpWUStatusURL_Name" %}
CorpWUStatusURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "CorpWUURL_Name" %}
CorpWUURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
{% endif %}
{% endfor %}
AutoUpdateCfg: Not Configured
update_local_policy:
cmd.run:
- name: "Gpupdate /Force /Target:Computer"
