Como alternativa para executar uma avaliação sobre uma política de vulnerabilidade, o SaltStack SecOps Vulnerability é compatível com a importação de verificações de segurança geradas por uma variedade de fornecedores de terceiros.

Em vez de executar uma avaliação em uma política de vulnerabilidade, você pode importar uma verificação de segurança de terceiros diretamente para o SaltStack Config e corrigir os comunicados de segurança identificados usando o SaltStack SecOps Vulnerability. Consulte Como executar uma avaliação de vulnerabilidade para obter mais informações sobre como executar uma avaliação padrão.

O SaltStack SecOps Vulnerability oferece suporte a verificações de terceiros do:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
Você também pode usar um conector Tenable.io para verificações do Tenable.
Quando você importa uma verificação de terceiros para uma política de segurança, o SaltStack Config corresponde seus subordinados aos nós que foram identificados pela verificação. O espaço de trabalho Preparação para importação exibe a lista de comunicados que podem ser importados e outra lista que mostra os comunicados que não podem ser importados no momento. A lista de comunicados sem suporte inclui uma explicação sobre por que eles não podem ser importados.
Observação: Por padrão, todos os usuários do SaltStack Config podem acessar o espaço de trabalho Conectores. No entanto, a permissão para executar a Importação de Fornecedores de Vulnerabilidades, bem como uma licença do SaltStack SecOps Vulnerability, são necessárias para que um usuário vulnerabilidades importe com êxito de um conector.
O dashboard da política de segurança lista os comunicados identificados pela verificação de terceiros, bem como se cada comunicado tem ou não suporte para remediação.
Observação: Se o tamanho do arquivo de exportação for grande, talvez seja necessário verificar um segmento menor de nós na sua rede com a ferramenta de terceiros. Como alternativa, você pode importar verificações grandes usando a interface de linha de comando (CLI) ou a API.

Depois de importar sua verificação, o espaço de trabalho Preparação para Importação exibirá um resumo de importação e duas tabelas: uma lista de Vulnerabilidades com Suporte e uma lista de Vulnerabilidades sem Suporte. Vulnerabilidades com suporte são os comunicados que estão disponíveis para remediação. Vulnerabilidades sem suporte são os comunicados que não podem ser corrigidos no momento. A lista de vulnerabilidades sem suporte inclui uma explicação sobre por que elas não podem ser importadas.

Você pode importar um terceiro de um arquivo, de um conector ou usando a linha de comando.

Pré-requisitos

Antes de poder importar uma verificação de segurança de terceiros, você deve configurar um conector. O conector deve ser configurado primeiro usando as chaves de API da ferramenta de terceiros.

Para configurar um conector Tenable.io:

Para configurar um conector Tenable.io, navegue até Configurações > Conectores > Tenable.io, digite os detalhes necessários para o conector e clique em Salvar.
Campo Conector Descrição
Chave Secreta e Chave de Acesso Par de chaves necessário para autenticação na API do conector. Para obter mais informações sobre como gerar suas chaves, consulte a documentação do Tenable.io.
URL URL base para solicitações de API. O padrão é https://cloud.tenable.com.
Dias desde Consulte o histórico de verificações do Tenable.io a contar deste número de dias atrás. Deixe em branco para consultar um período ilimitado. Quando você usa um conector para importar resultados de verificações, o SaltStack SecOps Vulnerability usa os resultados mais recentes por nó disponíveis nesse período.
Observação: Para garantir que a sua política contenha os dados de verificações mais recentes, certifique-se de executar novamente a importação depois de cada verificação. O SaltStack SecOps Vulnerability não sonda o Tenable.io para obter os dados de verificação mais recentes automaticamente.

Procedimento

  1. Na sua ferramenta de terceiros, execute uma verificação e certifique-se de escolher um verificador que esteja na mesma rede que os nós que você deseja definir como destinos. Em seguida, indique os endereços IP que você deseja verificar. Se você estiver importando uma verificação de terceiros de um arquivo, exporte a verificação em um dos formatos de arquivo compatíveis (Nessus, XML ou CSV).
  2. No SaltStack Config, certifique-se de ter baixado o conteúdo do SaltStack SecOps Vulnerability.
  3. No espaço de trabalho do SaltStack SecOps Vulnerability, crie uma política de segurança direcionada aos mesmos nós incluídos na verificação de terceiros. Certifique-se de que os nós verificados na ferramenta de terceiros também estejam incluídos como destinos na política de segurança. Consulte Como criar uma política de vulnerabilidade para obter mais informações.
    Observação: Depois de exportar a verificação e criar uma política, você poderá importar sua verificação executando o comando do raas third_party_import "filepath" third_party_tool security_policy_name. Por exemplo, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Recomenda-se importar a verificação usando a CLI se o arquivo de verificação for especialmente grande.
  4. No painel de políticas, clique na seta suspensa do Menu de Política e selecione Carregar Dados de Verificação do Fornecedor.
  5. Importe sua verificação:
    • Se estiver importando a verificação de um arquivo, selecione Carregue > Importação de Arquivo e selecione seu fornecedor de terceiros. Em seguida, selecione o arquivo para carregar sua verificação de terceiros.
    • Se estiver importando a verificação de um conector, selecione Carregar > Carregamento de API e selecione o terceiro. Se nenhum conector estiver disponível, o menu direcionará você para o espaço de trabalho de configurações de conectores.
    A linha de tempo do status da importação mostra o status da sua importação à medida que o SaltStack SecOps Vulnerability mapeia seus subordinados para os nós que foram identificados pela verificação. Dependendo do número de comunicados e nós afetados, esse processo pode demorar um pouco.
  6. Clique em Importar Todos com Suporte para importar todos os comunicados com suporte. Como alternativa, você pode clicar na caixa de seleção ao lado de comunicados específicos na tabela Vulnerabilidades com Suporte e clicar em Importar Selecionados.

Resultados

Os comunicados selecionados são importados para o SaltStack SecOps Vulnerability e aparecem como uma avaliação no dashboard de políticas. O dashboard de políticas também exibe Importado sob o título da política para indicar que a avaliação mais recente foi importada da sua ferramenta de terceiros.

O que Fazer Depois

Agora, você pode remediar esses comunicados. Consulte Como corrigir meus comunicados para obter mais informações.