SaltStack SecOps Vulnerability unterstützt den Import von Sicherheitsprüfungen, die von einer Vielzahl von Drittanbietern erzeugt werden. Hierzu gehören der Import von Scandateien aus Tenable, Rapid7, Qualys und Kenna Security oder über einen Tenable.io-Konnektor.
Sie können die Sicherheitsprüfung eines Drittanbieters direkt in SaltStack Config importieren und die angegebenen Sicherheitsempfehlungen mithilfe von SaltStack SecOps Vulnerability standardisieren. Sie können diese Prüfung alternativ zur Ausführung einer Bewertung in SaltStack SecOps Vulnerability importieren. Weitere Informationen zum Ausführen einer Standardbewertung finden Sie unter Ausführen einer Bewertung.
Wenn Sie eine Drittanbieterprüfung in eine Sicherheitsrichtlinie importieren, stimmt SaltStack Config Ihre Minions mit den Knoten ab, die von der Prüfung angegeben wurden. Im Arbeitsbereich „Staging importieren“ wird die Liste der Empfehlungen, die importiert werden können, sowie eine weitere Liste mit den Empfehlungen angezeigt, die aktuell nicht importiert werden können. In der Liste der nicht unterstützten Empfehlungen wird erläutert, warum sie nicht importiert werden können.
Im Dashboard „Sicherheitsrichtlinien“ werden die von der Drittanbieterprüfung angegebenen Empfehlungen sowie Informationen dazu aufgelistet, ob alle Empfehlungen zur Standardisierung unterstützt oder nicht unterstützt werden.
Importieren der Sicherheitsprüfung eines Drittanbieters aus einer Datei
So importieren Sie eine Sicherheitsprüfung aus einem Drittanbieter, wie z. B. Tenable:
- Führen Sie in Ihrem Drittanbietertool eine Prüfung durch und exportieren Sie die Prüfung in eines der unterstützten Dateiformate. Weitere Informationen finden Sie unter Unterstützte Dateiformate. Spezielle Anweisungen zum Ausführen einer Prüfung oder Exportieren der erforderlichen Datei aus einem Drittanbieter finden Sie in der Hilfedokumentation des Drittanbieters.
Wählen Sie beim Ausführen der Prüfung unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an.
- Stellen Sie in SaltStack Config sicher, dass Sie SaltStack SecOps Vulnerability-Inhalte heruntergeladen haben.
- Erstellen Sie im Arbeitsbereich SaltStack SecOps Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Weitere Informationen finden Sie unter Erstellen einer Richtlinie.
Hinweis: Stellen Sie sicher, dass die im Drittanbietertool geprüften Knoten ebenfalls als Ziele in diese Sicherheitsrichtlinie aufgenommen werden. Andernfalls kann SaltStack SecOps Vulnerability beim Importieren der Prüfungen die anvisierten Minions nicht mit den IP-Adressen abgleichen, die vom Drittanbietertool angegeben wurden.
- Klicken Sie im Dashboard „Richtlinie“ auf das Menü Richtlinie und wählen Sie Prüfdaten des Anbieters importieren aus.
Hiermit wird der Arbeitsbereich Staging importieren geöffnet.
Hinweis: Wenn die Menüoption Prüfdaten des Anbieters importieren nicht verfügbar ist, fehlt Ihnen unter Umständen die Berechtigung zum Importieren einer Drittanbieterprüfung in SaltStack Config. Wenden Sie sich an den Administrator, um Zugriff zu erhalten. Weitere Informationen finden Sie unter Rollen und Berechtigungen. - Klicken Sie auf Importieren > Dateiimport und wählen Sie den Drittanbieter aus. Wählen Sie anschließend die Datei zum Hochladen der Drittanbieterprüfung aus.
Auf der Zeitachse für den Importstatus wird der Status des Importvorgangs angezeigt. SaltStack SecOps Vulnerability ordnet Ihre Minions nun den Knoten zu, die von der Prüfung angegeben wurden. Darüber hinaus werden Ihren Minions die angegebenen Empfehlungen zugeordnet. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen. Sie können die Navigation fortsetzen, während dieser Vorgang im Hintergrund ausgeführt wird.
Nach Abschluss des Importvorgangs werden im Arbeitsbereich Staging importieren eine Importübersicht und zwei Tabellen angezeigt: eine Liste mit der Bezeichnung Unterstützte Schwachstellen und eine Liste mit der Bezeichnung Nicht unterstützte Schwachstellen. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die standardisiert werden können. Bei den nicht unterstützten Schwachstellen handelt es sich um die Empfehlungen, die aktuell nicht standardisiert werden können. In der Liste der nicht unterstützten Schwachstellen wird erläutert, warum sie nicht importiert werden können.
Sie können die Empfehlungen bei Bedarf nach Spalte filtern. Empfehlungen können beispielsweise nach Schweregrad gefiltert werden, um die zu standardisierenden Empfehlungen auszuwählen Wenn eine Spaltenüberschrift ein Filtersymbol enthält, können Sie die Ergebnisse nach diesem Spaltentyp filtern. Klicken Sie auf das Symbol und wählen Sie eine Filteroption aus dem Menü aus oder geben Sie den Text ein, nach dem Gefiltert werden soll.
Hinweis: Sicherheitsprüfungen von Drittanbietern können zusätzliche Daten enthalten, die nicht standardmäßig im Arbeitsbereich Staging importieren angezeigt werden. Klicken Sie zum Anzeigen dieser Daten auf die Schaltfläche Spalten anzeigen und aktivieren Sie das Kontrollkästchen neben den anzuzeigenden Daten. - Klicken Sie auf Alle Unterstützten importieren, um alle unterstützten Empfehlungen zu importieren. Alternativ können Sie das Kontrollkästchen neben bestimmten Empfehlungen in der Tabelle Unterstützte Schwachstellen aktivieren und auf Ausgewählte importieren klicken, um eine kleinere Auswahl zu importieren.
Die ausgewählten Empfehlungen werden in SaltStack SecOps Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde. Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Standardisieren von Empfehlungen.
Hinweis: Verkürzen Sie den Zeitraum zwischen der Ausführung der Drittanbieterprüfung und dem Importieren der Prüfung in SaltStack Config, um optimale Ergebnisse zu erzielen.
Importieren von Prüfergebnissen aus einem Konnektor
So importieren Sie eine Sicherheitsprüfung aus einem Konnektor:
- Führen Sie in Ihrem Drittanbietertool eine Prüfung aus und wählen Sie unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an.
- Stellen Sie in SaltStack Config sicher, dass Sie SaltStack SecOps Vulnerability-Inhalte heruntergeladen haben.
- Erstellen Sie im Arbeitsbereich SaltStack SecOps Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Weitere Informationen finden Sie unter Erstellen einer Richtlinie.
Hinweis:
Stellen Sie sicher, dass die im Drittanbietertool geprüften Knoten ebenfalls als Ziele in diese Sicherheitsrichtlinie aufgenommen werden. Andernfalls kann SaltStack SecOps Vulnerability beim Importieren der Prüfungen die anvisierten Minions nicht mit den IP-Adressen abgleichen, die vom Drittanbietertool angegeben wurden.
- Klicken Sie im Dashboard „Richtlinie“ auf das Menü Richtlinie und wählen Sie Prüfdaten des Anbieters importieren aus.
Hiermit wird der Arbeitsbereich Staging importieren geöffnet.
Hinweis: Wenn die Menüoption Prüfdaten des Anbieters importieren nicht verfügbar ist, fehlt Ihnen unter Umständen die Berechtigung zum Importieren einer Drittanbieterprüfung in SaltStack Config. Wenden Sie sich an den Administrator, um Zugriff zu erhalten. Weitere Informationen finden Sie unter Rollen und Berechtigungen. - Klicken Sie auf Importieren > API-Import und wählen Sie den Drittanbieter aus.
Hinweis: Wenn kein Konnektor verfügbar ist, werden Sie über das Menü an den Arbeitsbereich „Konnektor-Einstellungen“ weitergeleitet. Weitere Informationen finden Sie unter Konnektoren.
Um sicherzustellen, dass Ihre Richtlinie die aktuellen Prüfdaten enthält, müssen Sie den Importvorgang nach jeder Prüfung erneut ausführen. SaltStack SecOps Vulnerability fragt den Drittanbieter nicht automatisch auf die aktuellen Prüfdaten ab.
Auf der Zeitachse für den Importstatus wird der Status des Importvorgangs angezeigt. SaltStack SecOps Vulnerability ordnet Ihre Minions nun den Knoten zu, die von der Prüfung angegeben wurden. Darüber hinaus werden Ihren Minions die angegebenen Empfehlungen zugeordnet. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen. Sie können die Navigation fortsetzen, während dieser Vorgang im Hintergrund ausgeführt wird.
Hinweis: Wenn der Import fehlschlägt, kann dies auf einen Authentifizierungsfehler oder einen anderen Fehler zurückzuführen sein. Stellen Sie sicher, dass Sie die richtigen Schlüssel eingegeben haben. Wenn Sie feststellen, dass die Schlüssel korrekt sind, besteht der nächste Schritt bei der Fehlerbehebung in der Anzeige des RaaS-Protokolls. Dieses Protokoll ist nur für Admin-Benutzer verfügbar und enthält die Antwort aus PyTenable. Weitere Informationen zu PyTenable-Fehlern finden Sie in der Dokumentation zu PyTenable. Wenn Sie nicht auf das RaaS-Protokoll zugreifen können, wenden Sie sich an Ihren Administrator.Nach Abschluss des Importvorgangs werden im Arbeitsbereich Staging importieren eine Importübersicht und zwei Tabellen angezeigt: eine Liste mit der Bezeichnung Unterstützte Schwachstellen und eine Liste mit der Bezeichnung Nicht unterstützte Schwachstellen. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die standardisiert werden können. Bei den nicht unterstützten Schwachstellen handelt es sich um die Empfehlungen, die aktuell nicht standardisiert werden können. In der Liste der nicht unterstützten Schwachstellen wird erläutert, warum sie nicht importiert werden können.
Sie können die Empfehlungen bei Bedarf nach Spalte filtern. Empfehlungen können beispielsweise nach Schweregrad gefiltert werden, um die zu standardisierenden Empfehlungen auszuwählen Wenn eine Spaltenüberschrift ein Filtersymbol enthält, können Sie die Ergebnisse nach diesem Spaltentyp filtern. Klicken Sie auf das Symbol und wählen Sie eine Filteroption aus dem Menü aus oder geben Sie den Text ein, nach dem Gefiltert werden soll.
Hinweis: Sicherheitsprüfungen von Drittanbietern können zusätzliche Daten enthalten, die nicht standardmäßig im Arbeitsbereich Staging importieren angezeigt werden. Klicken Sie zum Anzeigen dieser Daten auf die Schaltfläche Spalten anzeigen und aktivieren Sie das Kontrollkästchen neben den anzuzeigenden Daten. - Klicken Sie auf Alle Unterstützten importieren, um alle unterstützten Empfehlungen zu importieren. Alternativ können Sie bestimmte Empfehlungen aus der Tabelle Unterstützte Schwachstellen auswählen und auf Ausgewählte importieren klicken, um eine kleinere Auswahl zu importieren.
Die ausgewählten Empfehlungen werden in SaltStack SecOps Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde. Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Standardisieren von Empfehlungen.
Hinweis: Verkürzen Sie den Zeitraum zwischen der Ausführung der Drittanbieterprüfung und dem Importieren der Prüfung in SaltStack Config, um optimale Ergebnisse zu erzielen.
Importieren einer Drittanbieterprüfung über die Befehlszeile
Wenn Sie über RaaS-Benutzerzugriff verfügen, können Sie eine Drittanbieterprüfung in die Befehlszeilenschnittstelle importieren. Das Importieren über die Befehlszeilenschnittstelle wird empfohlen, wenn die Prüfdatei besonders groß ist. Stellen Sie vor dem Durchführen eines Importvorgangs über die Befehlszeilenschnittstelle sicher, dass Sie mit dem Importieren der Prüfung über die Benutzeroberfläche vertraut sind, da die Vorgänge vergleichbar sind. Weitere Informationen finden Sie unter Importieren einer Drittanbietersicherheitsprüfung.
Nachdem Sie die Prüfung aus Ihrem Drittanbietertool exportiert und eine Sicherheitsrichtlinie in SaltStack SecOps Vulnerability erstellt haben, können Sie die Prüfung mithilfe des folgenden Befehls in die Befehlszeilenschnittstelle importieren und bei Bedarf die Platzhalterargumente ersetzen:
raas third_party_import "filepath" third_party_tool security_policy_name
Im vorherigen Befehl ersetzen Sie den „filepath“ durch den Speicherort der exportierten Datei, „third_party_tool“ durch den Namen Ihres Drittanbietertools und „security_policy_name“ durch den Namen Ihrer Sicherheitsrichtlinie. Sie können den folgenden Befehl beispielsweise verwenden, wenn Sie einen Importvorgang aus Tenable durchführen:
raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy