SaltStack SecOps Vulnerability 支持导入由各种第三方供应商生成的安全扫描,作为对漏洞策略运行评估的替代方法。

您可以将第三方安全扫描直接导入到 SaltStack Config 并使用 SaltStack SecOps Vulnerability 修复它标识的安全公告,用于替代对漏洞策略运行评估。有关运行标准评估的详细信息,请参见如何运行漏洞评估

SaltStack SecOps Vulnerability 支持以下来源的第三方扫描:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
您还可以使用 Tenable.io 连接器进行 Tenable 扫描。
将第三方扫描导入安全策略时,SaltStack Config 会将工作节点与扫描标识的节点进行匹配。
注: 默认情况下,所有 SaltStack Config 用户都可以访问“连接器”工作区。但是,用户需要具有运行漏洞供应商导入的权限以及 SaltStack SecOps Vulnerability 许可证才能成功从连接器导入漏洞。
安全策略仪表板列出了第三方扫描识别的公告,以及每个公告是否支持进行修复。
注: 如果导出文件较大,可能需要使用第三方工具扫描网络中的一小部分节点。或者,也可以使用命令行界面 (CLI) 或 API 导入大型扫描。
导入扫描后,策略将显示一个摘要,您可以在两个视图之间切换:支持的漏洞和不支持的漏洞。支持的漏洞是可以使用 SaltStack Config 进行修复的公告。不支持的漏洞是无法使用 SaltStack Config 进行修复的公告。
注: 此“查看方式”切换选项仅适用于供应商导入的数据。使用 SaltStack SecOps 内容创建的数据不显示此“查看方式”切换字段。

您可以从文件、连接器或使用命令行导入第三方。

前提条件

必须先配置连接器,然后才能导入第三方安全扫描。必须先使用第三方工具的 API 密钥配置连接器。

配置 Tenable.io 连接器:

要配置 Tenable.io 连接器,请导航到 设置 > 连接器 > Tenable.io,输入连接器所需的详细信息,然后单击 保存
连接器字段 说明
密钥和访问密钥 通过连接器 API 进行身份验证所需的密钥对。有关生成密钥的更多信息,请参见 Tenable.io 文档。
URL API 请求的基本 URL。默认为 https://cloud.tenable.com
至今的天数 查询从此天数前开始的 Tenable.io 扫描历史记录。留空将查询无限时间段。使用连接器导入扫描结果时,SaltStack SecOps Vulnerability 将使用此时段内每个节点的最近可用结果。
注: 要确保策略包含最新的扫描数据,请确保每次扫描后重新运行导入。 SaltStack SecOps Vulnerability 不自动在 Tenable.io 中轮询最新扫描数据。

配置 Carbon Black 连接器(仅限 Windows):

要配置 Carbon Black 连接器,需要在 Carbon Black Cloud 中启用设备读取权限并创建 API 令牌代码。有关创建 API 令牌代码的详细信息,请参见 漏洞评估 API
注: SaltStack SecOps 仅支持 VMware Carbon Black Cloud 的连接器和扫描。 SaltStack SecOps 仅使用 IPv4 和 Carbon Black 设备进行匹配,并使用 risk_meter_score 进行显示。未使用任何其他信息。

必须先设置 Windows 工作节点 Carbon Black 传感器工具包环境,然后才能配置 Carbon Black 连接器。

要设置 Carbon Black 传感器套件环境,请执行以下操作:
  1. 启动 Saltstack Config 环境并部署 Windows 服务器。
  2. 在 Windows 服务器上安装 Salt 工作节点。有关详细信息,请参见 Salt 工作节点安装
  3. 接受 SaltStack Config 中的主节点密钥以及 SaltStack Config 或 Salt 主节点中的工作节点密钥。
  4. 在 Windows 工作节点上安装 Carbon Black 传感器套件。有关详细信息,请参见在虚拟机工作负载上安装传感器
  5. SaltStack SecOps 中,对包含 Windows 工作节点的目标组定义策略。
  6. SaltStack Config VMan 摄取完成后,运行以下命令,从 Salt 主节点同步 SaltStack Config Carbon Black 模块:salt mywindowsminion saltutil.sync_modules saltenv=sse
  7. 在 Windows 工作节点上,运行 salt mywindowsminion carbonblack.set_device_grain,设置 Carbon Black 设备颗粒。
设置 Carbon Black 传感器工具包环境后,可以导航到 设置 > 连接器 > VMware Carbon Black,在 SaltStack Config 中配置 Carbon Black 连接器。输入连接器所需的详细信息,然后单击 保存
连接器字段 说明
URL API 请求的 URL
令牌和组织密钥 通过连接器 API 进行身份验证所需的密钥对。
注: 如果删除 VMware Carbon Black 连接器,这些字段将填充“xxxx”字符。这是为了保持令牌密钥格式“xxxxxxxxxxxx/xxxxxxx”
验证 SSL 默认值设置为 true。
  1. 单击工作节点,然后为策略目标组选择所有工作节点或特定的工作节点。
  2. 单击运行命令,然后运行以下命令:saltutil.sync_allcarbon_black.set_device_grainsaltutil.refresh_grains

过程

  1. 在第三方工具中,运行扫描并确保选择与目标节点位于同一个网络的扫描程序。然后,指定要扫描的 IP 地址。如果要从文件导入第三方扫描,请以支持的文件格式(Nessus、XML 或 CSV)导出扫描。
  2. 在 SaltStack Config 中,确保您已下载 SaltStack SecOps Vulnerability 内容。
  3. SaltStack SecOps Vulnerability 工作区中,创建一个以第三方扫描所含的相同节点为目标的安全策略。确保在第三方工具中扫描的节点也在此安全策略中作为目标包括在内。有关详细信息,请参见如何创建漏洞策略
    注: 导出扫描并创建策略后,可以通过运行 raas third_party_import "filepath" third_party_tool security_policy_name 命令导入扫描。例如, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy。如果扫描文件特别大,建议使用 CLI 导入扫描。
  4. 在策略仪表板中,单击策略菜单下拉箭头,然后选择上载供应商扫描数据
  5. 导入扫描:
    • 如果从文件导入扫描,请选择上载 > 文件导入,并选择第三方供应商。然后选择要上载第三方扫描的文件。
    • 如果从连接器导入扫描,请选择上载 > API 上载,然后选择第三方。如果没有可用的连接器,该菜单会将您定向到“连接器设置”工作区。
    导入状态时间轴显示导入状态,因为 SaltStack SecOps Vulnerability 会将工作节点映射到由扫描标识的节点。此过程可能需要一些时间,具体取决于公告和受影响节点的数量。
  6. 在“选择受支持项”页面上,选择要在文件导入时包含的受支持公告。
  7. 在“选择不受支持项”页面上,选择要在文件导入时包含的不受支持公告。
  8. 查看不匹配的公告,查找与主机或工作节点不匹配的公告。因此,无法通过 SaltStack Config 对其进行修复。
  9. 单击下一步,并查看将导入到策略中的内容摘要。
  10. 单击完成导入以导入扫描。

结果

所选公告将导入到 SaltStack SecOps Vulnerability,并在策略仪表板中显示为评估。策略仪表板还会在策略标题下显示“导入自”,以指明最新评估是从第三方工具导入的。
注: 仅当导入扫描时,才会运行评估。无法按计划运行导入的扫描评估。

下一步做什么

现在,可以修复这些公告。有关详细信息,请参见如何修复公告