请阅读此页面,了解有关 SaltStack SecOps Vulnerability 支持的文件格式、安全策略字段、活动状态以及“漏洞”仪表板提供的衡量指标的参考信息。
支持的文件格式
从第三方扫描导入结果时,支持以下文件格式。
| 供应商 |
文件类型 |
|---|---|
| Tenable |
Nessus |
| Rapid7 InsightVM 导出 |
XML |
| Qualys |
XML |
| KennaSecurity 导出 |
CSV |
有关详细信息,请参见导入第三方安全扫描。
漏洞策略
漏洞策略由目标和评估调度组成。目标确定要包括在评估中的工作节点,而调度确定何时运行评估。安全策略还会将最近评估的结果存储在 SaltStack SecOps Vulnerability 中。策略还可以包含调度以及处理免除的规范。
下面详细介绍了漏洞策略的每个组件。
| 组件 |
说明 |
|---|---|
| 目标 |
目标是一个或多个 Salt 主节点中的一组工作节点,会对其应用作业的 Salt 命令。Salt 主节点也可以像工作节点一样进行管理,如果正在运行工作节点服务,也可以成为目标。在 SaltStack SecOps Vulnerability 中选择目标时,可以定义将应用策略的资产组(称为工作节点)。您可以选择现有目标或创建新目标。有关详细信息,请参见工作节点。 |
| 调度 |
从重复、重复日期和时间、一次或 Cron 表达式中选择调度频率。根据已调度的活动和所选择的调度频率,还会提供其他选项。
注:
在调度编辑器中,术语“作业”和“评估”可以互换使用。为策略定义调度时,将仅调度评估,而不是修复。
注:
定义评估调度时,可以选择额外的未调度 (按需) 选项。如果选择此选项,表示选择根据需要仅运行单个评估,而不定义任何调度。 |
活动状态
在策略主页中,“活动”选项卡显示已完成或正在进行的评估和修复列表。它包括以下状态。
| 状态 |
说明 |
|---|---|
| 已排队 |
操作已准备好运行,但是工作节点尚未选取开始操作的任务。 |
| 已完成 |
操作已完成运行。 |
| 部分 |
尽管 Salt 主节点报告操作已完成运行,但操作仍在等待某些工作节点返回。工作节点是运行工作节点服务的节点,可以侦听 Salt 主节点发出的命令并执行请求的任务。Salt 主节点是一个中央节点,用于向工作节点发出命令。 |
可以在 SaltStack Config 的主“活动”工作区中跟踪 SaltStack Config 中的所有活动,包括评估和修复。请参见活动。
保护仪表板
“漏洞”仪表板显示漏洞状态概况。它包含各种衡量指标,以及所有当前漏洞策略的最近评估中的最常见公告列表。
此仪表板可用于报告当前的漏洞状态。可以通过链接到页面 URL 或打印 PDF 副本来共享此仪表板。有关详细信息,请参见查看和打印“漏洞”仪表板。
仪表板包括以下衡量指标:
| 衡量指标 |
说明 |
|---|---|
| 漏洞摘要 |
当前受不同严重性级别(从“严重”到“无”)的漏洞影响的资产数。 |
| 修复 |
通过 SaltStack SecOps Vulnerability 修复的漏洞总数,按严重性排序。 |
| 漏洞趋势 |
显示过去 30 天内的漏洞状态的图形。 |
| 常见公告 |
系统中最常发现的漏洞列表。 |
评估结果
SaltStack SecOps Vulnerability 评估结果显示在策略主页中。该页面包含公告列表以及以下信息字段:
SaltStack SecOps Vulnerability 支持下载 JSON 格式的评估结果。有关详细信息,请参见下载评估报告。
| 字段 |
说明 |
|---|---|
| 严重性 |
严重性等级,从“严重”到“无”。严重性等级可用于确定修复的优先级。 |
| VPR(仅在 Tenable 导入的漏洞中) |
漏洞优先级等级是特定于 Tenable 的另一种严重性等级。有关 VPR 的详细信息,请参见 Tenable 文档。 |
| 公告 ID |
与公告关联的官方 ID。单击 ID 可查看公告详细信息。 |
| 公告标题 |
CVE 识别的官方公告标题。单击公告标题可查看其详细信息。 |
| CVE |
常见漏洞与暴露,公开已知的网络安全漏洞的通用标识符列表。 有关详细信息,请参见关于 CVE。 |
| 受影响的软件包 |
受公告影响的任何系统软件包的列表 |
| CVSS v3.0 |
根据通用漏洞评分系统版本 3 的漏洞等级。某些公告可能不会显示此项,因为并非所有公告都已评分。 有关详细信息,请参见通用漏洞评分系统 SIG。 |
| CVSS v2.0 |
根据通用漏洞评分系统版本 2 的漏洞等级 |
| 安装行为 |
指示公告是否需要完全重新引导系统,以便修补程序或更新在修复过程中生效。 |
| 工作节点 |
列出受该公告影响的工作节点数。 |
启用 Windows Server Update Services (WSUS)
在 Windows 节点上修复公告需要执行其他配置和修复步骤。如果您的环境使用 WSUS 服务器部署 Windows 修补程序和更新,则需要确保该服务器已启用,并确认该服务器可以收到来自 Microsoft 的定期更新。有关详细信息,请参见修复 Windows 公告。
可以运行以下状态文件,将工作节点连接到 WSUS 服务器,并将示例 IP 地址替换为 WSUS 服务器的 IP 地址和端口:
configure_windows_update:
lgpo.set:
- computer_policy:
CorpWuURL:
{% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
{% for element in policy_info["policy_elements"] %}
{% if element["element_id"] == "CorpWUContentHost_Name" %}
CorpWUContentHost_Name: ""
{% endif %}
{% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
CorpWUFillEmptyContentUrls: False
{% endif %}
{% if element["element_id"] == "CorpWUStatusURL_Name" %}
CorpWUStatusURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "CorpWUURL_Name" %}
CorpWUURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
{% endif %}
{% endfor %}
AutoUpdateCfg: Not Configured
update_local_policy:
cmd.run:
- name: "Gpupdate /Force /Target:Computer"
