vRealize Automation SaltStack SecOps ist ein Add-On für SaltStack Config, das zwei Sicherheitsbibliotheken bereitstellt. Beide Inhaltsbibliotheken werden regelmäßig aktualisiert, wenn sich die Sicherheitsstandards ändern. Sie können Inhalte so konfigurieren, dass sie automatisch heruntergeladen (oder erfasst) werden, wenn sich die Sicherheitsstandards ändern. Dies wird für die meisten Standardsysteme empfohlen.
Die folgenden Inhaltstypen werden als Teil von SaltStack SecOps bereitgestellt:
- Konformität – Automatische Konformitätserkennung und -wartung für Ihre Infrastruktur. Die Konformitätsinhaltsbibliothek besteht aus bewährten Sicherheits- und Konformitätsinhalten der Branche, wie z. B. CIS.
- Schwachstellen – Verwaltet Schwachstellen auf allen Systemen in Ihrer Umgebung. Die dazugehörige Inhaltsbibliothek enthält Empfehlungen, die auf den neuesten CVE-Einträgen (Common Vulnerabilities and Exposures, Häufige Schwachstellen und Anfälligkeiten) basieren.
Alternativ bietet die Bibliothek die Möglichkeit, Inhalte manuell herunterzuladen oder auf Inhalte aus dem RaaS-Knoten über einen HTTP(S)-Proxy zuzugreifen. Die manuelle Erfassung ist für Air Gap-Systeme sinnvoll, während der Download über einen Proxy nützlich ist, um das direkte Herunterladen von Inhalten aus dem Internet zu vermeiden. Das Herunterladen über einen Proxy bietet auch mehr Kontrolle und Einblick darüber, was und wo heruntergeladen wird.
Bevor Sie beginnen
Die Konfiguration von SaltStack SecOps ist ein Schritt nach der Installation in einer Abfolge von mehreren Schritten, die in einer bestimmten Reihenfolge ausgeführt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:
Installieren von Python 3-RPM-Bibliotheken
SaltStack SecOps verwendet die Python 3-RPM-Bibliotheken, um Paketversionen zuverlässig zu vergleichen. Diese Programme benötigen die von diesen Bibliotheken bereitgestellte größere Genauigkeit, um Versionskonformität zu ermitteln oder Schwachstellen zu bewerten.
Derzeit benötigen alle Minions, die RedHat oder CentOS 7 verwenden, möglicherweise die Python 3-RPM-Bibliotheken, um genaue Konformitäts- oder Schwachstellenbewertungen durchführen zu können. Wenn Sie Bewertungen zu Minions ausführen möchten, die diese Versionen von RedHat oder CentOS verwenden, müssen Sie die Python 3-RPM-Bibliothek manuell auf diesen Maschinen installieren.
Es stehen weitere Problemumgehungen zur Verfügung. Wenn Sie eine alternative Problemumgehung benötigen, wenden Sie sich bitte an den Support.
So installieren Sie die Python 3-RPM-Bibliothek auf dem Salt-Master, auf dem das Master-Plug-In ausgeführt wird:
- Installieren Sie das EPEL-Repository mit dem folgenden Befehl:
yum install -y epel-release
- Installieren Sie die Python 3-RPM-Bibliothek:
yum install -y python3-rpm
Automatische Inhaltsaufnahme für Standardsysteme
Bei RaaS-Systemen, die keine Air Gap-Systeme sind, werden Inhalte in regelmäßigen Abständen heruntergeladen und erfasst, wie durch die Einstellungen in der Konfigurationsdatei festgelegt. Standardmäßig ist die automatische Inhaltserfassung bereits in SaltStack Config konfiguriert, und es sind keine weiteren Aktionen erforderlich.
Wenn Sie SaltStack Config manuell installiert haben, führen Sie die folgenden Schritte aus, um die automatische Erfassung von SaltStack SecOps-Inhalten zu konfigurieren:
- Fügen Sie Folgendes zur RaaS-Dienstkonfigurationsdatei
/etc/raas/raas
in Abschnittsec
hinzu und passen Sie es nach Bedarf an:sec: stats_snapshot_interval: 3600 username: secops content_url: https://enterprise.saltstack.com/secops_downloads ingest_saltstack_override: true ingest_custom_override: true locke_dir: locke post_ingest_cleanup: true download_enabled: true download_frequency: 86400 compile_stats_interval: 10 archive_interval: 300 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 ingest_on_boot: true content_lock_timeout: 60 content_lock_block_timeout: 120
- Speichern Sie die Datei.
- Starten Sie den RaaS-Dienst neu:
systemctl restart raas
Nach dem Neustart des Dienstes wird der SaltStack SecOps-Inhalt heruntergeladen. Dies kann je nach Internetverbindung bis zu fünf Minuten dauern.
Aufnehmen von Inhalten über HTTP(S)-Proxy
Für die Erfassung über einen Proxy müssen Sie eine Außerkraftsetzung für den RaaS-Dienst erstellen und neue Umgebungsvariablen für httpproxy
und httpsproxy
hinzufügen.
So konfigurieren Sie den RaaS-Knoten für die Verwendung des HTTPS-Proxys:
- Führen Sie die vorherigen Schritte aus, um die automatische Erfassung zu aktivieren.
- Bearbeiten Sie auf dem Master in der Befehlszeile den RaaS-Dienst:
systemctl edit raas
- Fügen Sie der generierten Datei die folgenden Zeilen hinzu:
[Service] Environment="http_proxy=http://<hostname>:234" Environment="https_proxy=https://<hostname>:234" Environment="HTTP_PROXY=http://<hostname>:234" Environment="HTTPS_PROXY=http://<hostname>:234"
- Wenn für Ihren Proxy eine Kennwortauthentifizierung erforderlich ist, müssen Sie dies möglicherweise als Teil der Proxy-Umgebungsvariablen festlegen. Beispiel:
Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
- Wenn Ihr Proxy eine interne Zertifizierungsstelle verwendet, müssen Sie möglicherweise auch die
REQUESTS_CA_BUNDLE
-Umgebungsvariable festlegen, um sicherzustellen, dass der Proxy sie verwenden kann. Beispiel:Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
- Starten Sie den RaaS-Dienst neu:
systemctl restart raas
Nach dem Neustart des Dienstes wird der Inhalt heruntergeladen. Dies kann bis zu 20 Minuten dauern.
Manuelle Inhaltserfassung für SaltStack SecOps Compliance
Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie SaltStack SecOps Compliance-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.
Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:
sec: download_enabled: False
Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas
. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:
systemctl restart raas
So erfassen Sie die SaltStack SecOps Compliance-TAR-Datei manuell:
- Laden Sie den SaltStack SecOps Compliance-Inhalt herunter.
- Melden Sie sich bei einem RaaS-Knoten an.
- Kopieren Sie die Konformitätsinhalt-TAR-Datei auf den RaaS-Knoten im
tmp
-Ordner herunter.Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
- Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf
raas:raas
festgelegt sind. - Erfassen Sie die Inhalte der TAR-Datei.
su - raas -c "raas ingest /path/to/locke.tar.gz.e"
Es wird Folgendes zurückgegeben:
Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127 Cleaning up: /tmp/extracted-1551290468.5497127 Results: {'errors': [], 'success': True}
Manuelle Inhaltserfassung für SaltStack SecOps Vulnerability
Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie SaltStack SecOps Vulnerability-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.
Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:
sec: download_enabled: False
Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas
. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:
systemctl restart raas
So erfassen Sie die SaltStack SecOps Vulnerability-TAR-Datei manuell:
- Laden Sie den SaltStack SecOps Vulnerability-Inhalt herunter.
- Melden Sie sich bei einem RaaS-Knoten an.
- Kopieren Sie die Schwachstelleninhalt-TAR-Datei auf den RaaS-Knoten im
tmp
-Ordner.Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.
- Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf
raas:raas
festgelegt sind. - Erfassen Sie die Inhalte der TAR-Datei und ersetzen Sie den Namen der TAR-Datei in diesem Befehl durch den genauen Dateinamen der TAR-Datei.
su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"
Es wird Folgendes zurückgegeben:
'adv': {'error': 0, 'success': 60334}, 'adv_cve_xref': {'error': 0, 'success': 243781}, 'cve': {'error': 0, 'success': 162251}, 'pkgfile': {'error': 0, 'success': 42}, 'py': {'error': 0, 'success': 7}, 'sls': {'error': 0, 'success': 3}
Fehlerbehebung bei der manuellen Erfassung
Wenn Sie versuchen, die manuellen Erfassungsbefehle entweder für SaltStack SecOps Compliance- oder für SaltStack SecOps Vulnerability-Inhalte auszuführen, wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:
/home/centos/locke_date_example123.tar.gz.e not found or not readable
Diese Fehlermeldung wird manchmal angezeigt, wenn Sie die TAR-Datei nicht im tmp
-Ordner ablegen. Wenn Sie die TAR-Datei im tmp
-Ordner ablegen, wird das Problem behoben.
Einrichten der Splunk-Integration
SaltStack Config integriert die Schwachstellenbibliothek in Splunk, damit Sie Ihre digitale Infrastruktur mit dem SaltStack Config-Add-On für Splunk Enterprise optimieren und sichern können. Das Add-On ist auf Splunkbase verfügbar und erfordert SaltStack Config Version 6.3 oder höher.
Das SaltStack Config-Add-On in Splunk nutzt einen Prometheus-kompatiblen Metrik-Endpoint, der über 25 eindeutige SaltStack Config-Metriken meldet. Diese Metriken bieten Einblick in den Systemzustand Ihrer Infrastruktur. Der Zugriff auf diese in Splunk ist nützlich, um Ausfälle zu überwachen, abnormale Aktivitäten zu identifizieren und andere Funktionen auszuführen. Darüber hinaus haben Sie die Möglichkeit, automatisierte Aktionen basierend auf einem bestimmten Splunk-Ereignis mit SaltStack Config durchzuführen.
Anweisungen zum Installieren und Konfigurieren des Add-Ons finden Sie in der vollständigen Add-On-Dokumentation in der VMware Knowledge Base.
Weitere Informationen zum Endpoint der SaltStack Config-Metriken finden Sie in der Produktdokumentation für SaltStack SecOps.
Konfigurationsoptionen
In der folgenden Tabelle werden die verfügbaren Konfigurationsoptionen für Konformitätsinhalte beschrieben:
Option | Beschreibung |
---|---|
stats_snapshot_interval |
Häufigkeit der Erfassung von SaltStack SecOps Compliance-Statistiken (in Sekunden) |
compile_stats_interval |
Häufigkeit der Komplierung von SaltStack SecOps Compliance-Statistiken (in Sekunden) |
username |
Benutzername, der beim Herstellen einer Verbindung mit SaltStack Config verwendet werden soll, um den neuesten SaltStack SecOps Compliance-Inhalt herunterzuladen (Standard: secops ) |
content_url |
URL zum Herunterladen des SaltStack SecOps Compliance-Inhalts |
ingest_override |
Beim Erfassen neuer Inhalte vorhandene Benchmarks und Prüfungen überschreiben (Standard: True ) |
locke_dir |
Pfad, in dem die Erfassung erwartet, neue Inhalte zu finden (Standard: locke ). Wenn Sie einen relativen Pfad (kein vorangestellter / ) verwenden, ist dieser relativ zum Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes. |
post_ingest_cleanup |
Entfernt die erweiterten Inhalte nach der Erfassung aus dem Dateisystem (Standard: True ) |
download_enabled |
Legt fest, ob Downloads von SaltStack SecOps Compliance-Inhalten zulässig sind (Standard: True ). Legen Sie dies für Air Gap-Systeme auf False fest. |
download_frequency |
Häufigkeit der Versuche des RaaS-Dienstes, SaltStack SecOps Compliance-Inhalte herunterzuladen (in Sekunden) (Standard: 86400 für 24 Stunden) |
ingest_on_boot |
Soll der RaaS-Dienst versuchen, SaltStack SecOps Compliance-Inhalte beim Start herunterzuladen? (Standard: True ) |
content_lock_timeout |
Dauer der Inhaltsdownloadsperren (in Sekunden) (Standard: 60 ) |
content_lock_block_timeout |
Dauer des Blockierens von Inhaltsdownloadsperren, bevor sie fehlschlagen (in Sekunden) (Standard: 120 ) |
In der folgenden Tabelle werden die Konfigurationsoptionen beschrieben, die für Inhalte mit Schwachstellen verfügbar sind:
Option | Beschreibung |
---|---|
vman_dir |
Speicherort, in dem SaltStack SecOps Vulnerability-Inhalte vor der Erfassung erweitert werden. Wenn der Pfad relativ ist (kein vorangestellter / ), ist er relativ zum Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes. |
download_enabled |
Wenn True , ist das Herunterladen von SaltStack SecOps Vulnerability-Inhalten aktiviert. Legen Sie dies auf False für Air Gap-Systeme fest. |
download_frequency |
Häufigkeit der automatisierten Downloads und der automatisierten Erfassung von SaltStack SecOps Vulnerability-Inhalten (in Sekunden) |
username |
Benutzername, der zur Anmeldung bei enterprise.saltstack.com zum Abrufen von Inhalten verwendet wurde |
content_url |
URL, von der SaltStack SecOps Vulnerability-Inhalte heruntergeladen werden |
ingest_on_boot |
Wenn True , wird der SaltStack SecOps Vulnerability-Inhalt heruntergeladen und erfasst, sobald der RaaS-Dienst gestartet wird (Standard: True ) |
compile_stats_interval |
Häufigkeit der Komplierung von SaltStack SecOps Vulnerability-Statistiken (in Sekunden) |
stats_snapshot_interval |
Häufigkeit der Erfassung von SaltStack SecOps Vulnerability-Statistiken (in Sekunden) |
old_policy_file_lifespan |
Lebensdauer (in Tagen) alter Richtliniendateien, die im RaaS-Dateisystem verbleiben |
delete_old_policy_files_interval |
Häufigkeit der Löschung alter SaltStack SecOps Vulnerability-Richtliniendateien aus dem RaaS-Dateisystem (in Sekunden) |
tenable_asset_import_enabled |
Wenn True , werden Minion-Körner („Grains“) in SaltStack Config an Tenable.io zum Abgleichen von Assets gesendet (Standard: True ) |
tenable_asset_import_grains |
Liste der Minion-Körner, die an Tenable.io gesendet werden, wenn der Tenable-Asset-Import aktiviert ist. SaltStack SecOps Vulnerability unterstützt standardmäßig nur Wenn Sie nur eine Teilmenge der Schlüssel in Ihren Körnungsdaten haben, werden nur diejenigen in der Teilmenge synchronisiert. Weitere Informationen finden Sie in der Dokumentation Tenable Import assets. |
Häufig gestellte Fragen
- F: Wie oft werden neue SaltStack SecOps-Inhalte veröffentlicht?
- A: Inhalte werden derzeit etwa einmal pro Quartal veröffentlicht. Sie werden in Zukunft jedoch möglicherweise häufiger veröffentlicht.
- Kann ich schneller auf neue Inhalte zugreifen, wenn ich die automatische Inhaltserfassung anstelle der manuellen Erfassung verwende?
- A: Derselbe Inhalt ist verfügbar, unabhängig davon, ob Sie Inhalte manuell oder automatisch erfassen.
Wenn Sie jedoch die manuelle Erfassung verwenden, müssen Sie einplanen, nach Sicherheitsinhaltsaktualisierungen zu suchen und einen Prozess zur manuellen Erfassung aktualisierter Inhalte entwickeln, wenn diese verfügbar sind.
- A: Derselbe Inhalt ist verfügbar, unabhängig davon, ob Sie Inhalte manuell oder automatisch erfassen.
Nächste Schritte
Nach der Konfiguration von SaltStack SecOps gibt es möglicherweise zusätzliche Schritte nach der Installation. Überprüfen Sie die Liste der Schritte nach der Installation, um sicherzustellen, dass Sie alle erforderlichen Schritte abgeschlossen haben.