Konfigurieren von Automation for Secure Hosts

VMware Aria Automation for Secure Hosts ist ein Add-On für Automation Config, das zwei Sicherheitsbibliotheken bereitstellt. Beide Inhaltsbibliotheken werden regelmäßig aktualisiert, wenn sich die Sicherheitsstandards ändern. Sie können Inhalte so konfigurieren, dass sie automatisch heruntergeladen (oder erfasst) werden, wenn sich die Sicherheitsstandards ändern. Dies wird für die meisten Standardsysteme empfohlen.

Die folgenden Inhaltstypen werden als Teil von Automation for Secure Hosts bereitgestellt:

Konformität – Automatische Konformitätserkennung und -wartung für Ihre Infrastruktur. Die Konformitätsinhaltsbibliothek besteht aus bewährten Sicherheits- und Konformitätsinhalten der Branche, wie z. B. CIS.
Schwachstellen – Verwaltet Schwachstellen auf allen Systemen in Ihrer Umgebung. Die dazugehörige Inhaltsbibliothek enthält Empfehlungen, die auf den neuesten CVE-Einträgen (Common Vulnerabilities and Exposures, Häufige Schwachstellen und Anfälligkeiten) basieren.

Alternativ bietet die Bibliothek die Möglichkeit, Inhalte manuell herunterzuladen oder auf Inhalte aus dem RaaS-Knoten über einen HTTP(S)-Proxy zuzugreifen. Die manuelle Erfassung ist für Air Gap-Systeme sinnvoll, während der Download über einen Proxy nützlich ist, um das direkte Herunterladen von Inhalten aus dem Internet zu vermeiden. Das Herunterladen über einen Proxy bietet auch mehr Kontrolle und Einblick darüber, was und wo heruntergeladen wird.

Bevor Sie beginnen

Die Konfiguration von Automation for Secure Hosts ist ein Schritt nach der Installation in einer Abfolge von mehreren Schritten, die in einer bestimmten Reihenfolge ausgeführt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:

Installieren von Python 3-RPM-Bibliotheken

Automation for Secure Hosts verwendet die Python 3-RPM-Bibliotheken, um Paketversionen zuverlässig zu vergleichen. Diese Programme benötigen die von diesen Bibliotheken bereitgestellte größere Genauigkeit, um Versionskonformität zu ermitteln oder Schwachstellen zu bewerten.

Derzeit benötigen alle Minions, die RedHat oder CentOS 7 verwenden, möglicherweise die Python 3-RPM-Bibliotheken, um genaue Konformitäts- oder Schwachstellenbewertungen durchführen zu können. Wenn Sie Bewertungen zu Minions ausführen möchten, die diese Versionen von RedHat oder CentOS verwenden, müssen Sie die Python 3-RPM-Bibliothek manuell auf diesen Maschinen installieren.

Hinweis:

Es stehen weitere Problemumgehungen zur Verfügung. Wenn Sie eine alternative Problemumgehung benötigen, wenden Sie sich bitte an den Support.

So installieren Sie die Python 3-RPM-Bibliothek auf dem Salt-Master, auf dem das Master-Plug-In ausgeführt wird:

Installieren Sie das EPEL-Repository mit dem folgenden Befehl:
```
yum install -y epel-release
```
Installieren Sie die Python 3-RPM-Bibliothek:
```
yum install -y python3-rpm
```

Automatische Inhaltsaufnahme für Standardsysteme

Bei RaaS-Systemen, die keine Air Gap-Systeme sind, werden Inhalte in regelmäßigen Abständen heruntergeladen und erfasst, wie durch die Einstellungen in der Konfigurationsdatei festgelegt. Standardmäßig ist die automatische Inhaltserfassung bereits in Automation Config konfiguriert, und es sind keine weiteren Aktionen erforderlich.

Wenn Sie Automation Config manuell installiert haben, führen Sie die folgenden Schritte aus, um die automatische Erfassung von Automation for Secure Hosts-Inhalten zu konfigurieren:

Fügen Sie Folgendes zur RaaS-Dienstkonfigurationsdatei /etc/raas/raas in Abschnitt sec hinzu und passen Sie es nach Bedarf an:

sec:
  stats_snapshot_interval: 3600
  username: secops
  content_url: https://enterprise.saltstack.com/secops_downloads
  ingest_saltstack_override: true
  ingest_custom_override: true
  locke_dir: locke
  post_ingest_cleanup: true
  download_enabled: true
  download_frequency: 86400
  compile_stats_interval: 10
  archive_interval: 300
  old_policy_file_lifespan: 2
  delete_old_policy_files_interval: 86400
  ingest_on_boot: true
  content_lock_timeout: 60
  content_lock_block_timeout: 120

Speichern Sie die Datei.
Starten Sie den RaaS-Dienst neu:
```
systemctl restart raas
```
Nach dem Neustart des Dienstes wird der Automation for Secure Hosts-Inhalt heruntergeladen. Dies kann je nach Internetverbindung bis zu fünf Minuten dauern.

Aufnehmen von Inhalten über HTTP(S)-Proxy

Für die Erfassung über einen Proxy müssen Sie eine Außerkraftsetzung für den RaaS-Dienst erstellen und neue Umgebungsvariablen für httpproxy und httpsproxy hinzufügen.

So konfigurieren Sie den RaaS-Knoten für die Verwendung des HTTPS-Proxys:

Führen Sie die vorherigen Schritte aus, um die automatische Erfassung zu aktivieren.
Bearbeiten Sie auf dem Master in der Befehlszeile den RaaS-Dienst:
```
systemctl edit raas
```

Fügen Sie der generierten Datei die folgenden Zeilen hinzu:

[Service]
Environment="http_proxy=http://<hostname>:234"
Environment="https_proxy=https://<hostname>:234"
Environment="HTTP_PROXY=http://<hostname>:234"
Environment="HTTPS_PROXY=http://<hostname>:234"

Wenn für Ihren Proxy eine Kennwortauthentifizierung erforderlich ist, müssen Sie dies möglicherweise als Teil der Proxy-Umgebungsvariablen festlegen. Beispiel:
```
Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
```
Wenn Ihr Proxy eine interne Zertifizierungsstelle verwendet, müssen Sie möglicherweise auch die REQUESTS_CA_BUNDLE-Umgebungsvariable festlegen, um sicherzustellen, dass der Proxy sie verwenden kann. Beispiel:
```
Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
```
Starten Sie den RaaS-Dienst neu:
```
systemctl restart raas
```

Nach dem Neustart des Dienstes wird der Inhalt heruntergeladen. Dies kann bis zu 20 Minuten dauern.

Manuelle Inhaltserfassung für Automation for Secure Hosts Compliance

Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie Automation for Secure Hosts Compliance-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.

Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:

sec:
  download_enabled: False

Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:

systemctl restart raas

So erfassen Sie die Automation for Secure Hosts Compliance-TAR-Datei manuell:

Laden Sie den Automation for Secure Hosts Compliance-Inhalt herunter.
Melden Sie sich bei einem RaaS-Knoten an.
Kopieren Sie die Konformitätsinhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner herunter.
Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf raas:raas festgelegt sind.

Erfassen Sie die Inhalte der TAR-Datei.

su - raas -c "raas ingest /path/to/locke.tar.gz.e"

Es wird Folgendes zurückgegeben:

Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127

Cleaning up: /tmp/extracted-1551290468.5497127

Results:

{'errors': [], 'success': True}

Manuelle Inhaltserfassung für Automation for Secure Hosts Vulnerability

Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie Automation for Secure Hosts Vulnerability-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.

Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:

sec:
  download_enabled: False

Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:

systemctl restart raas

So erfassen Sie die Automation for Secure Hosts Vulnerability-TAR-Datei manuell:

Laden Sie den Automation for Secure Hosts Vulnerability-Inhalt herunter.
Melden Sie sich bei einem RaaS-Knoten an.
Kopieren Sie die Schwachstelleninhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner.
Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf raas:raas festgelegt sind.

Erfassen Sie die Inhalte der TAR-Datei und ersetzen Sie den Namen der TAR-Datei in diesem Befehl durch den genauen Dateinamen der TAR-Datei.

su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"

Es wird Folgendes zurückgegeben:

'adv': {'error': 0, 'success': 60334},
  'adv_cve_xref': {'error': 0, 'success': 243781},
  'cve': {'error': 0, 'success': 162251},
  'pkgfile': {'error': 0, 'success': 42},
  'py': {'error': 0, 'success': 7},
  'sls': {'error': 0, 'success': 3}

Fehlerbehebung bei der manuellen Erfassung

Wenn Sie versuchen, die manuellen Erfassungsbefehle entweder für Automation for Secure Hosts Compliance- oder für Automation for Secure Hosts Vulnerability-Inhalte auszuführen, wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:

/home/centos/locke_date_example123.tar.gz.e not found or not readable

Diese Fehlermeldung wird manchmal angezeigt, wenn Sie die TAR-Datei nicht im tmp-Ordner ablegen. Wenn Sie die TAR-Datei im tmp-Ordner ablegen, wird das Problem behoben.

Einrichten der Splunk-Integration

Automation Config integriert die Schwachstellenbibliothek in Splunk, damit Sie Ihre digitale Infrastruktur mit dem Automation Config-Add-On für Splunk Enterprise optimieren und sichern können. Das Add-On ist auf Splunkbase verfügbar und erfordert Automation Config Version 6.3 oder höher.

Das Automation Config-Add-On in Splunk nutzt einen Prometheus-kompatiblen Metrik-Endpoint, der über 25 eindeutige Automation Config-Metriken meldet. Diese Metriken bieten Einblick in den Systemzustand Ihrer Infrastruktur. Der Zugriff auf diese in Splunk ist nützlich, um Ausfälle zu überwachen, abnormale Aktivitäten zu identifizieren und andere Funktionen auszuführen. Darüber hinaus haben Sie die Möglichkeit, automatisierte Aktionen basierend auf einem bestimmten Splunk-Ereignis mit Automation Config durchzuführen.

Anweisungen zum Installieren und Konfigurieren des Add-Ons finden Sie in der vollständigen Add-On-Dokumentation in der VMware Knowledge Base.

Weitere Informationen zum Endpoint der Automation Config-Metriken finden Sie in der Produktdokumentation für Automation for Secure Hosts.

Konfigurationsoptionen

In der folgenden Tabelle werden die verfügbaren Konfigurationsoptionen für Konformitätsinhalte beschrieben:


Option	Beschreibung
`stats_snapshot_interval`	Häufigkeit der Erfassung von Automation for Secure Hosts Compliance-Statistiken (in Sekunden)
`compile_stats_interval`	Häufigkeit der Komplierung von Automation for Secure Hosts Compliance-Statistiken (in Sekunden)
`username`	Benutzername, der beim Herstellen einer Verbindung mit Automation Config verwendet werden soll, um den neuesten Automation for Secure Hosts Compliance-Inhalt herunterzuladen (Standard: `secops`)
`content_url`	URL zum Herunterladen des Automation for Secure Hosts Compliance-Inhalts
`ingest_override`	Beim Erfassen neuer Inhalte vorhandene Benchmarks und Prüfungen überschreiben (Standard: `True`)
`locke_dir`	Pfad, in dem die Erfassung erwartet, neue Inhalte zu finden (Standard: `locke`). Wenn Sie einen relativen Pfad (kein vorangestellter `/`) verwenden, ist dieser relativ zum Cacheverzeichnis `/var/lib/raas/cache` des RaaS-Dienstes.
`post_ingest_cleanup`	Entfernt die erweiterten Inhalte nach der Erfassung aus dem Dateisystem (Standard: `True`)
`download_enabled`	Legt fest, ob Downloads von Automation for Secure Hosts Compliance-Inhalten zulässig sind (Standard: `True`). Legen Sie dies für Air Gap-Systeme auf `False` fest.
`download_frequency`	Häufigkeit der Versuche des RaaS-Dienstes, Automation for Secure Hosts Compliance-Inhalte herunterzuladen (in Sekunden) (Standard: `86400` für 24 Stunden)
`ingest_on_boot`	Soll der RaaS-Dienst versuchen, Automation for Secure Hosts Compliance-Inhalte beim Start herunterzuladen? (Standard: `True`)
`content_lock_timeout`	Dauer der Inhaltsdownloadsperren (in Sekunden) (Standard: `60`)
`content_lock_block_timeout`	Dauer des Blockierens von Inhaltsdownloadsperren, bevor sie fehlschlagen (in Sekunden) (Standard: `120`)

In der folgenden Tabelle werden die Konfigurationsoptionen beschrieben, die für Inhalte mit Schwachstellen verfügbar sind:


Option	Beschreibung
`vman_dir`	Speicherort, in dem Automation for Secure Hosts Vulnerability-Inhalte vor der Erfassung erweitert werden. Wenn der Pfad relativ ist (kein vorangestellter `/`), ist er relativ zum Cacheverzeichnis `/var/lib/raas/cache` des RaaS-Dienstes.
`download_enabled`	Wenn `True`, ist das Herunterladen von Automation for Secure Hosts Vulnerability-Inhalten aktiviert. Legen Sie dies auf `False` für Air Gap-Systeme fest.
`download_frequency`	Häufigkeit der automatisierten Downloads und der automatisierten Erfassung von Automation for Secure Hosts Vulnerability-Inhalten (in Sekunden)
`username`	Benutzername, der zur Anmeldung bei `enterprise.saltstack.com` zum Abrufen von Inhalten verwendet wurde
`content_url`	URL, von der Automation for Secure Hosts Vulnerability-Inhalte heruntergeladen werden
`ingest_on_boot`	Wenn `True`, wird der Automation for Secure Hosts Vulnerability-Inhalt heruntergeladen und erfasst, sobald der RaaS-Dienst gestartet wird (Standard: `True`)
`compile_stats_interval`	Häufigkeit der Komplierung von Automation for Secure Hosts Vulnerability-Statistiken (in Sekunden)
`stats_snapshot_interval`	Häufigkeit der Erfassung von Automation for Secure Hosts Vulnerability-Statistiken (in Sekunden)
`old_policy_file_lifespan`	Lebensdauer (in Tagen) alter Richtliniendateien, die im RaaS-Dateisystem verbleiben
`delete_old_policy_files_interval`	Häufigkeit der Löschung alter Automation for Secure Hosts Vulnerability-Richtliniendateien aus dem RaaS-Dateisystem (in Sekunden)
`tenable_asset_import_enabled`	Wenn `True`, werden Minion-Körner („Grains“) in Automation Config an Tenable.io zum Abgleichen von Assets gesendet (Standard: `True`)
`tenable_asset_import_grains`	Liste der Minion-Körner, die an Tenable.io gesendet werden, wenn der Tenable-Asset-Import aktiviert ist. Automation for Secure Hosts Vulnerability unterstützt standardmäßig nur `fqdn`, `ipv4`, `ipv6` und `hostname`. Sie können jedoch andere Informationen senden, indem Sie benutzerdefinierte Körner definieren. Weitere Informationen zu Körnern, einschließlich Informationen zum Schreiben benutzerdefinierter Körner, finden Sie in der Salt-Dokumentation zum Thema „Körner“ („Grains“). Wenn Sie nur eine Teilmenge der Schlüssel in Ihren Körnungsdaten haben, werden nur diejenigen in der Teilmenge synchronisiert. `fqdn` und `ipv4` werden auch dann gesendet, wenn sie hier nicht aufgeführt sind. Weitere Informationen finden Sie in der Dokumentation Tenable Import assets.

Häufig gestellte Fragen

F: Wie oft werden neue Automation for Secure Hosts-Inhalte veröffentlicht?
- A: Inhalte werden derzeit etwa einmal pro Quartal veröffentlicht. Sie werden in Zukunft jedoch möglicherweise häufiger veröffentlicht.
Kann ich schneller auf neue Inhalte zugreifen, wenn ich die automatische Inhaltserfassung anstelle der manuellen Erfassung verwende?
- A: Derselbe Inhalt ist verfügbar, unabhängig davon, ob Sie Inhalte manuell oder automatisch erfassen.
  Wenn Sie jedoch die manuelle Erfassung verwenden, müssen Sie einplanen, nach Sicherheitsinhaltsaktualisierungen zu suchen und einen Prozess zur manuellen Erfassung aktualisierter Inhalte entwickeln, wenn diese verfügbar sind.

Nächste Schritte

Nach der Konfiguration von Automation for Secure Hosts gibt es möglicherweise zusätzliche Schritte nach der Installation. Überprüfen Sie die Liste der Schritte nach der Installation, um sicherzustellen, dass Sie alle erforderlichen Schritte abgeschlossen haben.