vRealize Automation SaltStack SecOps ist ein Add-On für SaltStack Config, das zwei Sicherheitsbibliotheken bereitstellt. Beide Inhaltsbibliotheken werden regelmäßig aktualisiert, wenn sich die Sicherheitsstandards ändern. Sie können Inhalte so konfigurieren, dass sie automatisch heruntergeladen (oder erfasst) werden, wenn sich die Sicherheitsstandards ändern. Dies wird für die meisten Standardsysteme empfohlen.

Die folgenden Inhaltstypen werden als Teil von SaltStack SecOps bereitgestellt:

  • Konformität – Automatische Konformitätserkennung und -wartung für Ihre Infrastruktur. Die Konformitätsinhaltsbibliothek besteht aus bewährten Sicherheits- und Konformitätsinhalten der Branche, wie z. B. CIS.
  • Schwachstellen – Verwaltet Schwachstellen auf allen Systemen in Ihrer Umgebung. Die dazugehörige Inhaltsbibliothek enthält Empfehlungen, die auf den neuesten CVE-Einträgen (Common Vulnerabilities and Exposures, Häufige Schwachstellen und Anfälligkeiten) basieren.

Alternativ bietet die Bibliothek die Möglichkeit, Inhalte manuell herunterzuladen oder auf Inhalte aus dem RaaS-Knoten über einen HTTP(S)-Proxy zuzugreifen. Die manuelle Erfassung ist für Air Gap-Systeme sinnvoll, während der Download über einen Proxy nützlich ist, um das direkte Herunterladen von Inhalten aus dem Internet zu vermeiden. Das Herunterladen über einen Proxy bietet auch mehr Kontrolle und Einblick darüber, was und wo heruntergeladen wird.

Bevor Sie beginnen

Die Konfiguration von SaltStack SecOps ist ein Schritt nach der Installation in einer Abfolge von mehreren Schritten, die in einer bestimmten Reihenfolge ausgeführt werden müssen. Führen Sie zunächst eines der Installationsszenarien durch und lesen Sie sich dann die folgenden Seiten für die Vorgehensweise nach der Installation durch:

Installieren von Python 3-RPM-Bibliotheken

SaltStack SecOps verwendet die Python 3-RPM-Bibliotheken, um Paketversionen zuverlässig zu vergleichen. Diese Programme benötigen die von diesen Bibliotheken bereitgestellte größere Genauigkeit, um Versionskonformität zu ermitteln oder Schwachstellen zu bewerten.

Derzeit benötigen alle Minions, die RedHat oder CentOS 7 verwenden, möglicherweise die Python 3-RPM-Bibliotheken, um genaue Konformitäts- oder Schwachstellenbewertungen durchführen zu können. Wenn Sie Bewertungen zu Minions ausführen möchten, die diese Versionen von RedHat oder CentOS verwenden, müssen Sie die Python 3-RPM-Bibliothek manuell auf diesen Maschinen installieren.

Hinweis:

Es stehen weitere Problemumgehungen zur Verfügung. Wenn Sie eine alternative Problemumgehung benötigen, wenden Sie sich bitte an den Support.

So installieren Sie die Python 3-RPM-Bibliothek auf dem Salt-Master, auf dem das Master-Plug-In ausgeführt wird:

  1. Installieren Sie das EPEL-Repository mit dem folgenden Befehl:
    yum install -y epel-release
  2. Installieren Sie die Python 3-RPM-Bibliothek:
    yum install -y python3-rpm

Automatische Inhaltsaufnahme für Standardsysteme

Bei RaaS-Systemen, die keine Air Gap-Systeme sind, werden Inhalte in regelmäßigen Abständen heruntergeladen und erfasst, wie durch die Einstellungen in der Konfigurationsdatei festgelegt. Standardmäßig ist die automatische Inhaltserfassung bereits in SaltStack Config konfiguriert, und es sind keine weiteren Aktionen erforderlich.

Wenn Sie SaltStack Config manuell installiert haben, führen Sie die folgenden Schritte aus, um die automatische Erfassung von SaltStack SecOps-Inhalten zu konfigurieren:

  1. Fügen Sie Folgendes zur RaaS-Dienstkonfigurationsdatei /etc/raas/raas in Abschnitt sec hinzu und passen Sie es nach Bedarf an:
    sec:
      stats_snapshot_interval: 3600
      username: secops
      content_url: https://enterprise.saltstack.com/secops_downloads
      ingest_saltstack_override: true
      ingest_custom_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      download_enabled: true
      download_frequency: 86400
      compile_stats_interval: 10
      archive_interval: 300
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      ingest_on_boot: true
      content_lock_timeout: 60
      content_lock_block_timeout: 120
  2. Speichern Sie die Datei.
  3. Starten Sie den RaaS-Dienst neu:
    systemctl restart raas

    Nach dem Neustart des Dienstes wird der SaltStack SecOps-Inhalt heruntergeladen. Dies kann je nach Internetverbindung bis zu fünf Minuten dauern.

Aufnehmen von Inhalten über HTTP(S)-Proxy

Für die Erfassung über einen Proxy müssen Sie eine Außerkraftsetzung für den RaaS-Dienst erstellen und neue Umgebungsvariablen für httpproxy und httpsproxy hinzufügen.

So konfigurieren Sie den RaaS-Knoten für die Verwendung des HTTPS-Proxys:

  1. Führen Sie die vorherigen Schritte aus, um die automatische Erfassung zu aktivieren.
  2. Bearbeiten Sie auf dem Master in der Befehlszeile den RaaS-Dienst:
    systemctl edit raas
  3. Fügen Sie der generierten Datei die folgenden Zeilen hinzu:
    [Service]
    Environment="http_proxy=http://<hostname>:234"
    Environment="https_proxy=https://<hostname>:234"
    Environment="HTTP_PROXY=http://<hostname>:234"
    Environment="HTTPS_PROXY=http://<hostname>:234"
  4. Wenn für Ihren Proxy eine Kennwortauthentifizierung erforderlich ist, müssen Sie dies möglicherweise als Teil der Proxy-Umgebungsvariablen festlegen. Beispiel:
    Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
  5. Wenn Ihr Proxy eine interne Zertifizierungsstelle verwendet, müssen Sie möglicherweise auch die REQUESTS_CA_BUNDLE-Umgebungsvariable festlegen, um sicherzustellen, dass der Proxy sie verwenden kann. Beispiel:
    Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
  6. Starten Sie den RaaS-Dienst neu:
    systemctl restart raas

Nach dem Neustart des Dienstes wird der Inhalt heruntergeladen. Dies kann bis zu 20 Minuten dauern.

Manuelle Inhaltserfassung für SaltStack SecOps Compliance

Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie SaltStack SecOps Compliance-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.

Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:

sec:
  download_enabled: False

Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:

systemctl restart raas

So erfassen Sie die SaltStack SecOps Compliance-TAR-Datei manuell:

  1. Laden Sie den SaltStack SecOps Compliance-Inhalt herunter.
  2. Melden Sie sich bei einem RaaS-Knoten an.
  3. Kopieren Sie die Konformitätsinhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner herunter.

    Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.

  4. Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf raas:raas festgelegt sind.
  5. Erfassen Sie die Inhalte der TAR-Datei.
    su - raas -c "raas ingest /path/to/locke.tar.gz.e"

    Es wird Folgendes zurückgegeben:

    Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127
    
    Cleaning up: /tmp/extracted-1551290468.5497127
    
    Results:
    
    {'errors': [], 'success': True}

Manuelle Inhaltserfassung für SaltStack SecOps Vulnerability

Wenn es sich bei Ihrer Umgebung um eine Air-Gapped-Umgebung handelt, d. h., wenn sie keine Verbindung zu einer externen Site herstellen kann, um Updates herunterzuladen, müssen Sie SaltStack SecOps Vulnerability-Inhalte manuell aktualisieren, indem Sie die TAR-Datei von Customer Connect herunterladen und an Ihren RaaS-Knoten übertragen.

Wenn es sich bei Ihrem System um ein Air-Gapped-System handelt, ändern Sie außerdem die Einstellung für die Download-Konfiguration in der RaaS-Konfigurationsdatei zu „False“:

sec:
  download_enabled: False

Die RaaS-Konfigurationsdatei befindet sich in /etc/raas/raas. Möglicherweise müssen Sie den RaaS-Dienst auch neu starten, nachdem Sie die folgenden Konfigurationseinstellungen angewendet haben:

systemctl restart raas

So erfassen Sie die SaltStack SecOps Vulnerability-TAR-Datei manuell:

  1. Laden Sie den SaltStack SecOps Vulnerability-Inhalt herunter.
  2. Melden Sie sich bei einem RaaS-Knoten an.
  3. Kopieren Sie die Schwachstelleninhalt-TAR-Datei auf den RaaS-Knoten im tmp-Ordner.

    Dieser Inhalt kann per E-Mail oder auf andere Weise bereitgestellt werden.

  4. Stellen Sie sicher, dass die Berechtigungen von locke.tar.gz.e auf raas:raas festgelegt sind.
  5. Erfassen Sie die Inhalte der TAR-Datei und ersetzen Sie den Namen der TAR-Datei in diesem Befehl durch den genauen Dateinamen der TAR-Datei.
    su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"

    Es wird Folgendes zurückgegeben:

    'adv': {'error': 0, 'success': 60334},
      'adv_cve_xref': {'error': 0, 'success': 243781},
      'cve': {'error': 0, 'success': 162251},
      'pkgfile': {'error': 0, 'success': 42},
      'py': {'error': 0, 'success': 7},
      'sls': {'error': 0, 'success': 3}

Fehlerbehebung bei der manuellen Erfassung

Wenn Sie versuchen, die manuellen Erfassungsbefehle entweder für SaltStack SecOps Compliance- oder für SaltStack SecOps Vulnerability-Inhalte auszuführen, wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:

/home/centos/locke_date_example123.tar.gz.e not found or not readable

Diese Fehlermeldung wird manchmal angezeigt, wenn Sie die TAR-Datei nicht im tmp-Ordner ablegen. Wenn Sie die TAR-Datei im tmp-Ordner ablegen, wird das Problem behoben.

Einrichten der Splunk-Integration

SaltStack Config integriert die Schwachstellenbibliothek in Splunk, damit Sie Ihre digitale Infrastruktur mit dem SaltStack Config-Add-On für Splunk Enterprise optimieren und sichern können. Das Add-On ist auf Splunkbase verfügbar und erfordert SaltStack Config Version 6.3 oder höher.

Das SaltStack Config-Add-On in Splunk nutzt einen Prometheus-kompatiblen Metrik-Endpoint, der über 25 eindeutige SaltStack Config-Metriken meldet. Diese Metriken bieten Einblick in den Systemzustand Ihrer Infrastruktur. Der Zugriff auf diese in Splunk ist nützlich, um Ausfälle zu überwachen, abnormale Aktivitäten zu identifizieren und andere Funktionen auszuführen. Darüber hinaus haben Sie die Möglichkeit, automatisierte Aktionen basierend auf einem bestimmten Splunk-Ereignis mit SaltStack Config durchzuführen.

Anweisungen zum Installieren und Konfigurieren des Add-Ons finden Sie in der vollständigen Add-On-Dokumentation in der VMware Knowledge Base.

Weitere Informationen zum Endpoint der SaltStack Config-Metriken finden Sie in der Produktdokumentation für SaltStack SecOps.

Konfigurationsoptionen

In der folgenden Tabelle werden die verfügbaren Konfigurationsoptionen für Konformitätsinhalte beschrieben:

Option Beschreibung
stats_snapshot_interval Häufigkeit der Erfassung von SaltStack SecOps Compliance-Statistiken (in Sekunden)
compile_stats_interval Häufigkeit der Komplierung von SaltStack SecOps Compliance-Statistiken (in Sekunden)
username Benutzername, der beim Herstellen einer Verbindung mit SaltStack Config verwendet werden soll, um den neuesten SaltStack SecOps Compliance-Inhalt herunterzuladen (Standard: secops)
content_url URL zum Herunterladen des SaltStack SecOps Compliance-Inhalts
ingest_override Beim Erfassen neuer Inhalte vorhandene Benchmarks und Prüfungen überschreiben (Standard: True)
locke_dir Pfad, in dem die Erfassung erwartet, neue Inhalte zu finden (Standard: locke). Wenn Sie einen relativen Pfad (kein vorangestellter /) verwenden, ist dieser relativ zum Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes.
post_ingest_cleanup Entfernt die erweiterten Inhalte nach der Erfassung aus dem Dateisystem (Standard: True)
download_enabled Legt fest, ob Downloads von SaltStack SecOps Compliance-Inhalten zulässig sind (Standard: True). Legen Sie dies für Air Gap-Systeme auf False fest.
download_frequency Häufigkeit der Versuche des RaaS-Dienstes, SaltStack SecOps Compliance-Inhalte herunterzuladen (in Sekunden) (Standard: 86400 für 24 Stunden)
ingest_on_boot Soll der RaaS-Dienst versuchen, SaltStack SecOps Compliance-Inhalte beim Start herunterzuladen? (Standard: True)
content_lock_timeout Dauer der Inhaltsdownloadsperren (in Sekunden) (Standard: 60)
content_lock_block_timeout Dauer des Blockierens von Inhaltsdownloadsperren, bevor sie fehlschlagen (in Sekunden) (Standard: 120)

In der folgenden Tabelle werden die Konfigurationsoptionen beschrieben, die für Inhalte mit Schwachstellen verfügbar sind:

Option Beschreibung
vman_dir Speicherort, in dem SaltStack SecOps Vulnerability-Inhalte vor der Erfassung erweitert werden. Wenn der Pfad relativ ist (kein vorangestellter /), ist er relativ zum Cacheverzeichnis /var/lib/raas/cache des RaaS-Dienstes.
download_enabled Wenn True, ist das Herunterladen von SaltStack SecOps Vulnerability-Inhalten aktiviert. Legen Sie dies auf False für Air Gap-Systeme fest.
download_frequency Häufigkeit der automatisierten Downloads und der automatisierten Erfassung von SaltStack SecOps Vulnerability-Inhalten (in Sekunden)
username Benutzername, der zur Anmeldung bei enterprise.saltstack.com zum Abrufen von Inhalten verwendet wurde
content_url URL, von der SaltStack SecOps Vulnerability-Inhalte heruntergeladen werden
ingest_on_boot Wenn True, wird der SaltStack SecOps Vulnerability-Inhalt heruntergeladen und erfasst, sobald der RaaS-Dienst gestartet wird (Standard: True)
compile_stats_interval Häufigkeit der Komplierung von SaltStack SecOps Vulnerability-Statistiken (in Sekunden)
stats_snapshot_interval Häufigkeit der Erfassung von SaltStack SecOps Vulnerability-Statistiken (in Sekunden)
old_policy_file_lifespan Lebensdauer (in Tagen) alter Richtliniendateien, die im RaaS-Dateisystem verbleiben
delete_old_policy_files_interval Häufigkeit der Löschung alter SaltStack SecOps Vulnerability-Richtliniendateien aus dem RaaS-Dateisystem (in Sekunden)
tenable_asset_import_enabled Wenn True, werden Minion-Körner („Grains“) in SaltStack Config an Tenable.io zum Abgleichen von Assets gesendet (Standard: True)
tenable_asset_import_grains

Liste der Minion-Körner, die an Tenable.io gesendet werden, wenn der Tenable-Asset-Import aktiviert ist.

SaltStack SecOps Vulnerability unterstützt standardmäßig nur fqdn, ipv4, ipv6 und hostname. Sie können jedoch andere Informationen senden, indem Sie benutzerdefinierte Körner definieren. Weitere Informationen zu Körnern, einschließlich Informationen zum Schreiben benutzerdefinierter Körner, finden Sie in der Salt-Dokumentation zum Thema „Körner“ („Grains“).

Wenn Sie nur eine Teilmenge der Schlüssel in Ihren Körnungsdaten haben, werden nur diejenigen in der Teilmenge synchronisiert.

fqdn und ipv4 werden auch dann gesendet, wenn sie hier nicht aufgeführt sind.

Weitere Informationen finden Sie in der Dokumentation Tenable Import assets.

Häufig gestellte Fragen

  • F: Wie oft werden neue SaltStack SecOps-Inhalte veröffentlicht?
    • A: Inhalte werden derzeit etwa einmal pro Quartal veröffentlicht. Sie werden in Zukunft jedoch möglicherweise häufiger veröffentlicht.
  • Kann ich schneller auf neue Inhalte zugreifen, wenn ich die automatische Inhaltserfassung anstelle der manuellen Erfassung verwende?
    • A: Derselbe Inhalt ist verfügbar, unabhängig davon, ob Sie Inhalte manuell oder automatisch erfassen.

      Wenn Sie jedoch die manuelle Erfassung verwenden, müssen Sie einplanen, nach Sicherheitsinhaltsaktualisierungen zu suchen und einen Prozess zur manuellen Erfassung aktualisierter Inhalte entwickeln, wenn diese verfügbar sind.

Nächste Schritte

Nach der Konfiguration von SaltStack SecOps gibt es möglicherweise zusätzliche Schritte nach der Installation. Überprüfen Sie die Liste der Schritte nach der Installation, um sicherzustellen, dass Sie alle erforderlichen Schritte abgeschlossen haben.