SaltStack SecOps Vulnerability 支持导入各种第三方供应商生成的安全扫描。这包括从 Tenable、Rapid7、Qualys 和 Kenna Security 导入扫描文件,或者通过 Tenable.io 连接器导入。
可以将第三方安全扫描直接导入到 SaltStack Config,并修复使用 SaltStack SecOps Vulnerability 发现的安全公告。可以导入此扫描,作为在 SaltStack SecOps Vulnerability 中运行评估的备选方案。有关运行标准评估的详细信息,请参见运行评估。
将第三方扫描导入安全策略后,SaltStack Config 会将工作节点与扫描识别的节点进行匹配。“导入转储”工作区显示两个列表:可导入的公告列表和当前无法导入的公告列表。不支持的公告列表包含无法导入的原因说明。
安全策略仪表板列出了第三方扫描识别的公告,以及每个公告是否支持进行修复。
从文件导入第三方安全扫描
要从 Tenable 等第三方导入安全扫描,请执行以下操作:
- 在第三方工具中,运行扫描,然后以支持的文件格式之一导出扫描。有关详细信息,请参见支持的文件格式。有关运行扫描或从第三方导出所需文件的具体说明,请参阅第三方的帮助文档。
运行扫描时,请确保选择与目标节点位于同一个网络的扫描程序。然后,指明要扫描的 IP 地址。
- 在 SaltStack Config 中,确保您已下载 SaltStack SecOps Vulnerability 内容。
- 在 SaltStack SecOps Vulnerability 工作区中,创建一个以第三方扫描所含的相同节点为目标的安全策略。有关详细信息,请参见创建策略。
注: 确保在第三方工具中扫描的节点也在此安全策略中作为目标包括在内。否则,导入扫描后, SaltStack SecOps Vulnerability 无法将目标工作节点与第三方工具识别的 IP 地址进行匹配。
- 在策略仪表板中,单击策略菜单 ,然后选择导入供应商扫描数据。
此时将打开导入转储工作区。
- 单击导入 > 文件导入,并选择第三方供应商。然后选择要上载第三方扫描的文件。
导入状态时间轴显示导入的状态。SaltStack SecOps Vulnerability 现在将工作节点映射到扫描识别的节点。此外还将识别的公告映射到工作节点。此过程可能需要一些时间,具体取决于公告和受影响节点的数量。此过程在后台继续执行时,您可以离开。
导入完成处理后,导入转储工作区将显示导入摘要和两个表:支持的漏洞列表以及不支持的漏洞列表。支持的漏洞是可进行修复的公告。不支持的漏洞是当前无法修复的公告。不支持的漏洞列表包含无法导入的原因说明。
如果需要,可以按列筛选公告。例如,可以按严重性筛选公告以选择要修复的公告。如果列标题中包含筛选器图标 ,可以按该列类型筛选结果。单击图标,然后从菜单中选择一个筛选器选项,或键入要筛选的文本。
注: 第三方安全扫描可能包括 导入转储工作区中默认不显示的其他数据。要显示这些数据,请单击 显示列按钮 ,然后单击要显示的数据旁边的复选框。 - 单击导入所有受支持项,以导入所有支持的公告。或者,也可以单击支持的漏洞表中特定公告旁边的复选框,然后单击导入选定项以导入一小部分选定项。
所选公告将导入到 SaltStack SecOps Vulnerability,并在策略仪表板中显示为评估。策略仪表板还会在策略标题下显示“导入自”,以指明最新评估是从第三方工具导入的。现在,可以修复这些公告。有关详细信息,请参见修复公告。
注: 为获得最佳效果,请尝试缩短从运行第三方扫描到将扫描导入到 SaltStack Config 的时间。
从连接器导入扫描结果
要从连接器导入安全扫描,请执行以下操作:
- 在第三方工具中,运行扫描并确保选择与目标节点位于同一个网络的扫描程序。然后,指明要扫描的 IP 地址。
- 在 SaltStack Config 中,确保您已下载 SaltStack SecOps Vulnerability 内容。
- 在 SaltStack SecOps Vulnerability 工作区中,创建一个以第三方扫描所含的相同节点为目标的安全策略。有关详细信息,请参见创建策略。
注:
确保在第三方工具中扫描的节点也在此安全策略中作为目标包括在内。否则,导入扫描后,SaltStack SecOps Vulnerability 无法将目标工作节点与第三方工具识别的 IP 地址进行匹配。
- 在策略仪表板中,单击策略菜单 ,然后选择导入供应商扫描数据。
此时将打开导入转储工作区。
- 单击导入 > API 导入并选择第三方。
注: 如果没有可用的连接器,该菜单会将您定向到“连接器设置”工作区。有关详细信息,请参见 连接器。
要确保策略包含最新的扫描数据,请确保每次扫描后重新运行导入。SaltStack SecOps Vulnerability 不自动在第三方轮询最新扫描数据。
导入状态时间轴显示导入的状态。SaltStack SecOps Vulnerability 现在将工作节点映射到扫描识别的节点。此外还将识别的公告映射到工作节点。此过程可能需要一些时间,具体取决于公告和受影响节点的数量。此过程在后台继续执行时,您可以离开。
注: 如果导入失败,可能是因为存在身份验证错误或其他错误。请务必确认输入的密钥正确无误。如果发现密钥正确,则故障排除的下一步是查看 RaaS 日志。此日志仅可供管理员用户使用,其中包含 PyTenable 的响应。有关了解 PyTenable 错误的详细信息,请参见 PyTenable 文档。如果您无法访问 RaaS 日志,请联系您的管理员以寻求帮助。导入完成处理后,导入转储工作区将显示导入摘要和两个表:支持的漏洞列表以及不支持的漏洞列表。支持的漏洞是可进行修复的公告。不支持的漏洞是当前无法修复的公告。不支持的漏洞列表包含无法导入的原因说明。
如果需要,可以按列筛选公告。例如,可以按严重性筛选公告以选择要修复的公告。如果列标题中包含筛选器图标 ,可以按该列类型筛选结果。单击图标,然后从菜单中选择一个筛选器选项,或键入要筛选的文本。
注: 第三方安全扫描可能包括 导入转储工作区中默认不显示的其他数据。要显示这些数据,请单击 显示列按钮 ,然后单击要显示的数据旁边的复选框。 - 单击导入所有受支持项,以导入所有支持的公告。或者,也可以选择支持的漏洞表中的特定公告,然后单击导入选定项以导入一小部分选定项。
所选公告将导入到 SaltStack SecOps Vulnerability,并在策略仪表板中显示为评估。策略仪表板还会在策略标题下显示“导入自”,以指明最新评估是从第三方工具导入的。现在,可以修复这些公告。有关详细信息,请参见修复公告。
注: 为获得最佳效果,请尝试缩短从运行第三方扫描到将扫描导入到 SaltStack Config 的时间。
通过命令行导入第三方扫描
如果您具有 RaaS 用户访问权限,则可以在 CLI 中导入第三方扫描。如果扫描文件过大,建议通过 CLI 导入。在使用 CLI 导入之前,请确保您熟悉通过 UI 导入扫描的过程,因为该过程与此类似。有关详细信息,请参见导入第三方安全扫描。
从第三方工具导出扫描并在 SaltStack SecOps Vulnerability 中创建安全策略后,可以在 CLI 中使用以下命令导入扫描,并根据需要替换占位符参数:
raas third_party_import "filepath" third_party_tool security_policy_name
在上述命令中,将 filepath 替换为导出文件的文件位置,将 third_party_tool 替换为第三方工具的名称,将 security_policy_name 替换为安全策略的名称。例如,从 Tenable 导入时,可以使用以下命令:
raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy