Als Alternative zum Ausführen einer Bewertung für eine Schwachstellenrichtlinie unterstützt Automation for Secure Hosts Vulnerability den Import von Sicherheitsüberprüfungen, die von mehreren Drittanbietern erzeugt wurden.

Anstatt eine Bewertung für eine Schwachstellenrichtlinie auszuführen, können Sie eine Sicherheitsüberprüfung eines Drittanbieters direkt in Automation Config importieren und die mithilfe von Automation for Secure Hosts Vulnerability angegebenen Sicherheitsempfehlungen standardisieren. Weitere Informationen zum Ausführen einer Standardbewertung finden Sie unter Vorgehensweise zum Ausführen einer Schwachstellenbewertung.

Automation for Secure Hosts Vulnerability unterstützt Überprüfungen von Drittanbietern aus:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Wenn Sie eine Drittanbieterprüfung in eine Sicherheitsrichtlinie importieren, stimmt Automation Config Ihre Minions mit den Knoten ab, die von der Prüfung angegeben wurden.
Hinweis: Standardmäßig können alle Automation Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine Automation for Secure Hosts Vulnerability-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.
Im Dashboard „Sicherheitsrichtlinien“ werden die von der Drittanbieterprüfung angegebenen Empfehlungen sowie Informationen dazu aufgelistet, ob alle Empfehlungen zur Standardisierung unterstützt oder nicht unterstützt werden.
Hinweis: Bei einer großen Exportdatei müssen Sie unter Umständen ein kleineres Knotensegment in Ihrem Netzwerk mit dem Drittanbietertool überprüfen. Alternativ können Sie umfangreiche Prüfungen mithilfe der Befehlszeilenschnittstelle (CLI) oder der API importieren.
Nach dem Import Ihrer Prüfung wird in der Richtlinie eine Übersicht angezeigt, in der Sie zwischen zwei Ansichten umschalten können: unterstützten Schwachstellen und nicht unterstützten Schwachstellen. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die für die Standardisierung mithilfe von Automation Config zur Verfügung stehen. Nicht unterstützte Schwachstellen sind Empfehlungen, die nicht mithilfe von Automation Config standardisiert werden können.

Hinweis: Diese Option zum Umschalten der Ansicht steht nur für vom Anbieter importierte Daten zur Verfügung. Für mit Automation for Secure Hosts-Inhalt erstellte Daten wird diese Ansicht nicht im Umschaltfeld angezeigt.

Konfigurieren eines Drittanbieter-Konnektors

Vor dem Importieren der Sicherheitsüberprüfung eines Drittanbieters müssen Sie einen Konnektor konfigurieren. Der Konnektor muss zuerst mithilfe der API-Schlüssel des Drittanbieter-Tools konfiguriert werden.

So konfigurieren Sie einen Tenable.io-Konnektor

Navigieren Sie zum Konfigurieren eines Tenable.io-Konnektors zu Einstellungen > Konnektoren > Tenable.io, geben Sie notwendige Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
Geheimer Schlüssel und Zugriffsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Konnektor-API erforderlich ist. Weitere Informationen zum Erzeugen Ihrer Schlüssel finden Sie in der Tenable.io-Dokumentation.
URL Basis-URL für API-Anforderungen. Hierbei handelt es sich standardmäßig um https://cloud.tenable.com.
Tage seit Fragen Sie den Prüfverlauf von Tenable.io seit dieser Anzahl von Tagen in der Vergangenheit ab. Lassen Sie dieses Feld leer, um einen unbegrenzten Zeitraum abzufragen. Wenn Sie mithilfe eines Konnektors Prüfergebnisse importieren, verwendet Automation for Secure Hosts Vulnerability die neuesten Ergebnisse pro Knoten, die innerhalb dieses Zeitraums verfügbar sind.
Hinweis: Um sicherzustellen, dass Ihre Richtlinie die aktuellen Prüfdaten enthält, müssen Sie den Importvorgang nach jeder Prüfung erneut ausführen. Automation for Secure Hosts Vulnerability fragt Tenable.io nicht automatisch auf die aktuellen Prüfdaten ab.

So konfigurieren Sie einen Carbon Black-Konnektor (nur Windows)

Um einen Carbon Black-Konnektor zu konfigurieren, müssen Sie die Berechtigung zum Lesen des Geräts in Carbon Black Cloud aktivieren und einen API-Token-Code erstellen. Weitere Informationen zum Erstellen eines API-Token-Codes finden Sie unter Vulnerability Assessment API.
Hinweis: Automation for Secure Hosts unterstützt nur Konnektoren und Überprüfungen von VMware Carbon Black Cloud. Automation for Secure Hosts verwendet nur das ipv4- und Carbon Black-Gerät für den Abgleich und das risk_meter_score für die Anzeige. Es werden keine anderen Informationen verwendet.

Bevor Sie einen Carbon Black-Konnektor konfigurieren können, müssen Sie zuerst eine Windows Minion Carbon Black-Sensorkit-Umgebung einrichten.

So richten Sie eine Carbon Black-Sensor Kit-Umgebung ein:
  1. Starten Sie eine Automation Config-Umgebung und stellen Sie einen Windows-Server bereit.
  2. Installieren Sie den Salt-Minion auf dem Windows-Server. Weitere Informationen finden Sie unter Salt Minion Installation.
  3. Akzeptieren Sie die Master-Schlüssel in Automation Config und die Minion-Schlüssel aus Automation Config oder dem Salt-Master.
  4. Installieren Sie das Carbon Black-Sensor-Kit auf dem Windows-Minion. Weitere Informationen finden Sie unter Installing Sensors on VM Workloads.
  5. Definieren Sie in Automation for Secure Hosts eine Richtlinie mit einer Zielgruppe, die den Windows-Minion enthält.
  6. Synchronisieren Sie nach Abschluss der Automation Config VMan-Erfassung das Automation Config Carbon Black-Modul im Salt-Master, indem Sie die folgenden Befehle ausführen: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Legen Sie auf dem Windows-Minion das Korn („grain“) des Carbon Black-Geräts fest, indem Sie salt mywindowsminion carbonblack.set_device_grain ausführen.
Nach dem Einrichten einer Carbon Black-Sensor-Kit-Umgebung können Sie Ihren Carbon Black-Konnektor in Automation Config konfigurieren, indem Sie zu Einstellungen > Konnektoren > VMware Carbon Black navigieren. Geben Sie die erforderlichen Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
URL URL für API-Anforderungen
Token und Organisationsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Konnektor-API erforderlich ist.
Hinweis: Wenn Sie einen VMware Carbon Black-Konnektor löschen, werden diese Felder mit „xxxx“ aufgefüllt. Dies dient der Beibehaltung des Token-Schlüssel-Formats „xxxxxxxxxxxxxxxxxxxxx/xxxxxxx“
SSL überprüfen Der Standardwert ist auf „true“ festgelegt.
  1. Klicken Sie auf Ziele und wählen Sie entweder Alle Minions oder ein bestimmtes Minion für eine Richtlinienzielgruppe aus.
  2. Klicken Sie auf Befehl ausführen und führen Sie die folgenden Befehle aus: saltutil.sync_all, carbon_black.set_device_grain und saltutil.refresh_grains.

So konfigurieren Sie einen Qualys-Konnektor

Navigieren Sie zum Konfigurieren eines Qualys-Konnektors zu Einstellungen > Konnektoren > Qualys, geben Sie notwendige Details für den Konnektor ein und klicken Sie auf Speichern.

Die Anmeldedaten für URL, Benutzername und Kennwort werden von Qualys bereitgestellt.

Vorgehensweise zum Importieren einer Drittanbieterprüfung

Sie können eine Drittanbieterprüfung aus einer Datei, einem Konnektor oder über die Befehlszeile importieren.

Voraussetzungen

Stellen Sie sicher, dass Sie Ihren Drittanbieter-Konnektor in der Benutzeroberfläche für Konnektoren konfiguriert haben.

Prozedur

  1. Führen Sie in Ihrem Drittanbietertool eine Prüfung aus und wählen Sie unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an. Wenn Sie die Überprüfung eines Drittanbieters aus einer Datei importieren, exportieren Sie die Überprüfung in eines der unterstützten Dateiformate (Nessus, XML oder CSV).
  2. Stellen Sie in Automation Config sicher, dass Sie Automation for Secure Hosts Vulnerability-Inhalte heruntergeladen haben.
  3. Erstellen Sie im Arbeitsbereich Automation for Secure Hosts Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Stellen Sie sicher, dass die Knoten, die Sie in Ihrem Drittanbieter-Tool geprüft haben, auch als Ziele in der Sicherheitsrichtlinie enthalten sind. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie.
    Hinweis: Nach dem Exportieren der Überprüfung und Erstellen einer Richtlinie können Sie die Überprüfung importieren, indem Sie den Befehl raas third_party_import "filepath" third_party_tool security_policy_name ausführen. Beispiel: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Das Importieren der Überprüfung über die Befehlszeilenschnittstelle wird empfohlen, wenn die Prüfdatei besonders groß ist.
  4. Klicken Sie im Dashboard „Richtlinie“ auf den Dropdown-Pfeil im Menü Richtlinie und wählen Sie Prüfdaten des Anbieters hochladen aus.
  5. Importieren der Überprüfung:


    • Wenn Sie die Überprüfung aus einer Datei importieren, wählen Sie Hochladen > Dateiupload und den Drittanbieter aus. Wählen Sie anschließend die Datei zum Hochladen der Drittanbieterprüfung aus.
    • Wenn Sie die Überprüfung aus einem Konnektor importieren, wählen Sie Hochladen > API-Upload und den Drittanbieter aus. Wenn keine Konnektoren verfügbar sind, werden Sie über das Menü an den Arbeitsbereich „Konnektor-Einstellungen“ weitergeleitet.
    Auf der Zeitachse für den Importstatus wird der Status des Imports angezeigt, da Automation for Secure Hosts Vulnerability Ihre Minions den Knoten zuordnet, die bei der Überprüfung angegeben wurden. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen.
    Hinweis: Wenn Sie Qualys als Drittanbieter auswählen, müssen alle Prüfungen im XML-Format vorliegen. Es werden keine anderen Formate unterstützt.
  6. Wählen Sie auf der Seite „Unterstützte auswählen“ die unterstützten Empfehlungen aus, die Sie in Ihren Dateiimport einbeziehen möchten.
  7. Wählen Sie auf der Seite „Nicht unterstützte auswählen“ die nicht unterstützten Empfehlungen aus, die Sie in Ihren Dateiimport einbeziehen möchten.
  8. Überprüfen Sie nicht übereinstimmende Empfehlungen auf Empfehlungen, die nicht mit einem Host oder Minion übereinstimmen. Folglich können sie nicht über Automation Config standardisiert werden.
  9. Klicken Sie auf Weiter und überprüfen Sie eine Zusammenfassung der Elemente, die in die Richtlinie importiert werden.
  10. Klicken Sie auf Import beenden, um Ihre Prüfung zu importieren.

Ergebnisse

Die ausgewählten Empfehlungen werden in Automation for Secure Hosts Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde.
Hinweis: Bewertungen werden nur ausgeführt, wenn die Prüfung importiert wird. Importierte Prüfungsbewertungen können nicht nach einem Zeitplan ausgeführt werden.

Nächste Maßnahme

Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Vorgehensweise zum Standardisieren von Empfehlungen.