SaltStack SecOps Vulnerability 支持导入由各种第三方供应商生成的安全扫描,作为对漏洞策略运行评估的替代方法。

您可以将第三方安全扫描直接导入到 SaltStack Config 并使用 SaltStack SecOps Vulnerability 修复它标识的安全公告,用于替代对漏洞策略运行评估。有关运行标准评估的详细信息,请参见如何运行漏洞评估

SaltStack SecOps Vulnerability 支持以下来源的第三方扫描:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
您还可以使用 Tenable.io 连接器进行 Tenable 扫描。
将第三方扫描导入安全策略时,SaltStack Config 会将工作节点与扫描标识的节点进行匹配。“导入转储”工作区显示两个列表:可导入的公告列表和当前无法导入的公告列表。不支持的公告列表包含无法导入的原因说明。
注: 默认情况下,所有 SaltStack Config 用户都可以访问“连接器”工作区。但是,用户需要具有运行漏洞供应商导入的权限以及 SaltStack SecOps Vulnerability 许可证才能成功从连接器导入漏洞。
安全策略仪表板列出了第三方扫描识别的公告,以及每个公告是否支持进行修复。
注: 如果导出文件较大,可能需要使用第三方工具扫描网络中的一小部分节点。或者,也可以使用命令行界面 (CLI) 或 API 导入大型扫描。

导入扫描后,导入转储工作区将显示导入摘要和两个表:支持的漏洞列表以及不支持的漏洞列表。支持的漏洞是可进行修复的公告。不支持的漏洞是当前无法修复的公告。不支持的漏洞列表包含无法导入的原因说明。

您可以从文件、连接器或使用命令行导入第三方。

前提条件

必须先配置连接器,然后才能导入第三方安全扫描。必须先使用第三方工具的 API 密钥配置连接器。

配置 Tenable.io 连接器:

要配置 Tenable.io 连接器,请导航到 设置 > 连接器 > Tenable.io,输入连接器所需的详细信息,然后单击 保存
连接器字段 说明
密钥和访问密钥 通过连接器 API 进行身份验证所需的密钥对。有关生成密钥的更多信息,请参见 Tenable.io 文档。
URL API 请求的基本 URL。默认为 https://cloud.tenable.com
至今的天数 查询从此天数前开始的 Tenable.io 扫描历史记录。留空将查询无限时间段。使用连接器导入扫描结果时,SaltStack SecOps Vulnerability 将使用此时段内每个节点的最近可用结果。
注: 要确保策略包含最新的扫描数据,请确保每次扫描后重新运行导入。 SaltStack SecOps Vulnerability 不自动在 Tenable.io 中轮询最新扫描数据。

配置 Carbon Black 连接器(仅限 Windows):

要配置 Carbon Black 连接器,需要在 Carbon Black Cloud 中启用设备读取权限并创建 API 令牌代码。有关创建 API 令牌代码的详细信息,请参见 漏洞评估 API
注: SaltStack SecOps 仅支持 VMware Carbon Black Cloud 的连接器和扫描。

必须先设置 Windows 工作节点 Carbon Black 传感器工具包环境,然后才能配置 Carbon Black 连接器。

要设置Carbon Black 传感器套件环境,请执行以下操作:
  1. 启动 Saltstack Config 环境并部署Windows服务器。
  2. 在 Windows Server 上安装 Salt 工作节点。有关详细信息,请参见 Salt 工作节点安装
  3. 接受 SaltStack Config 中的主节点密钥以及 SaltStack Config 或 Salt 主节点中的工作节点密钥。
  4. 在 Windows 工作节点上安装 Carbon Black 传感器套件。有关详细信息,请参见在虚拟机工作负载上安装传感器
  5. SaltStack SecOps 中,对包含 Windows 工作节点的目标组定义策略。
  6. SaltStack Config VMan 摄取完成后,运行以下命令,从 Salt 主节点同步 SaltStack Config Carbon Black 模块:salt mywindowsminion saltutil.sync_modules saltenv=sse
  7. 在 Windows 工作节点上,运行 salt mywindowsminion carbonblack.set_device_grain,设置 Carbon Black 设备颗粒。
设置 Carbon Black 传感器工具包环境后,可以导航到 设置 > 连接器 > VMware Carbon Black,在 SaltStack Config 中配置 Carbon Black 连接器。输入连接器所需的详细信息,然后单击 保存
连接器字段 说明
URL API 请求的 URL
令牌和组织密钥 通过连接器 API 进行身份验证所需的密钥对。
注: 如果删除 VMware Carbon Black 连接器,这些字段将填充“xxxx”字符。这是为了保持令牌密钥格式“xxxxxxxxxxxx/xxxxxxx”
验证 SSL 默认值设置为 true。
  1. 单击工作节点,然后为策略目标组选择所有工作节点或特定的工作节点。
  2. 单击运行命令,然后运行以下命令:saltutil.sync_allcarbon_black.set_device_grainsaltutil.refresh_grains

过程

  1. 在第三方工具中,运行扫描并确保选择与目标节点位于同一个网络的扫描程序。然后,指定要扫描的 IP 地址。如果要从文件导入第三方扫描,请以支持的文件格式(Nessus、XML 或 CSV)导出扫描。
  2. 在 SaltStack Config 中,确保您已下载 SaltStack SecOps Vulnerability 内容。
  3. SaltStack SecOps Vulnerability 工作区中,创建一个以第三方扫描所含的相同节点为目标的安全策略。确保在第三方工具中扫描的节点也在此安全策略中作为目标包括在内。有关详细信息,请参见如何创建漏洞策略
    注: 导出扫描并创建策略后,可以通过运行 raas third_party_import "filepath" third_party_tool security_policy_name 命令导入扫描。例如, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy。如果扫描文件特别大,建议使用 CLI 导入扫描。
  4. 在策略仪表板中,单击策略菜单下拉箭头,然后选择上载供应商扫描数据
  5. 导入扫描:
    • 如果从文件导入扫描,请选择上载 > 文件导入,并选择第三方供应商。然后选择要上载第三方扫描的文件。
    • 如果从连接器导入扫描,请选择上载 > API 上载,然后选择第三方。如果没有可用的连接器,该菜单会将您定向到“连接器设置”工作区。
    导入状态时间轴显示导入状态,因为 SaltStack SecOps Vulnerability 会将工作节点映射到由扫描标识的节点。此过程可能需要一些时间,具体取决于公告和受影响节点的数量。
  6. 单击导入所有受支持项,以导入所有支持的公告。或者,也可以单击支持漏洞表中特定公告旁边的复选框,然后单击导入选定项

结果

所选公告将导入到 SaltStack SecOps Vulnerability,并在策略仪表板中显示为评估。策略仪表板还会在策略标题下显示“导入自”,以指明最新评估是从第三方工具导入的。

下一步做什么

现在,可以修复这些公告。有关详细信息,请参见如何修复公告