Auf dieser Seite finden Sie Referenzinformationen zu von SaltStack SecOps Vulnerability unterstützten Dateiformaten, Sicherheitsrichtlinienfeldern, Aktivitätsstatus und den im Schwachstellen-Dashboard verfügbaren Metriken.

Unterstützte Dateiformate

Die folgenden Dateiformate werden beim Importieren von Ergebnissen aus einer Drittanbieterprüfung unterstützt.

Hersteller

Dateityp

Tenable

Nessus

Rapid7 InsightVM Export

XML

Qualys

XML

KennaSecurity Export

CSV

Weitere Informationen finden Sie unter Importieren einer Sicherheitsprüfung von einem Drittanbieter.

Richtlinien für Schwachstellen

Eine Schwachstellenrichtlinie besteht aus einem Ziel und einem Bewertungszeitplan. Das Ziel bestimmt die Minions, die bei einer Bewertung berücksichtigt werden sollen, während im Zeitplan der Ausführungszeitpunkt der Bewertungen festgelegt wird. In einer Sicherheitsrichtlinie werden auch die Ergebnisse der aktuellen Bewertung in SaltStack SecOps Vulnerability gespeichert. Unter Richtlinien fallen auch Zeitpläne sowie Spezifikationen für den Umgang mit Ausnahmen.

Die einzelnen Bestandteile einer Schwachstellenrichtlinie werden unten genauer beschrieben.

Komponente

Beschreibung

Ziel

Ein Ziel ist die Gruppe von Minions, die auf einen oder mehrere Salt-Master verteilt sein können, auf die der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Master kann auch wie ein Minion verwaltet werden und ein Ziel sein, wenn er den Minion-Dienst ausgeführt. Wenn Sie in SaltStack SecOps Vulnerability ein Ziel auswählen, legen Sie fest, für welche Gruppe von Objekten (als Minions bezeichnet) die Richtlinie gelten soll. Sie können ein vorhandenes Ziel auswählen oder ein neues erstellen. Weitere Informationen finden Sie unter Minions.

Zeitplan

Wählen Sie die Häufigkeit des Zeitplans aus den folgenden Optionen aus: Regelmäßig alle, Regelmäßig am/um, Einmal oder Cron-Ausdruck. Je nach geplanter Aktivität und der von Ihnen geplanten Häufigkeit sind zusätzliche Optionen verfügbar.

Regelmäßig alle

Legen Sie ein Intervall für die Wiederholung des Zeitplans mit optionalen Feldern für Start- oder Enddatum, Splay und maximale Anzahl paralleler Aufträge fest.

Regelmäßig am/um

Wählen Sie diese Option aus, um den Zeitplan wöchentlich oder täglich zu wiederholen. Sie können optionale Felder für das Start- oder Enddatum und die maximale Anzahl paralleler Aufträge ausfüllen.

Einmal

Geben Sie Datum und Uhrzeit für die Ausführung des Auftrags an.

Cron

Geben Sie einen Cron-Ausdruck ein, um auf der Grundlage der Croniter-Syntax einen benutzerdefinierten Zeitplan zu definieren. Syntaxrichtlinien finden Sie im CronTab-Editor. Vermeiden Sie für optimale Ergebnisse die Planung von Aufträgen im Abstand von weniger als 60 Sekunden, wenn Sie einen benutzerdefinierten Cron-Ausdruck definieren.

Hinweis:

Im Zeitplan-Editor werden die Begriffe „Auftrag“ und „Bewertung“ synonym verwendet. Wenn Sie einen Zeitplan für die Richtlinie definieren, planen Sie nur die Bewertung – nicht die Standardisierung.

Hinweis:

Bei der Definition eines Bewertungszeitplans können Sie aus der zusätzlichen Option Kein Zeitplan (Ausführung bei Bedarf) auswählen. Wenn Sie diese Option auswählen, können Sie nur einmalige Bewertungen ausführen, und es ist kein Zeitplan definiert.

Aktivitätsstatus

Auf der Startseite „Richtlinien“ wird auf der Registerkarte „Aktivität“ eine Liste der abgeschlossenen und der laufenden Bewertungen und Standardisierungen angezeigt. Sie enthält die folgenden Status.

Status

Beschreibung

In der Warteschlange

Der Vorgang ist zur Ausführung bereit, aber die Minions haben die Aufgaben noch nicht abgeholt, um den Vorgang zu starten.

Abgeschlossen

Die Ausführung des Vorgangs wurde abgeschlossen.

Teilweise

Der Vorgang wartet noch auf die Rückgabe einiger Minions, obwohl der Salt-Master gemeldet hat, dass der Vorgang abgeschlossen wurde. Bei Minions handelt es sich um Knoten, auf denen der Minion-Dienst ausgeführt wird. Dieser Dienst kann Befehle eines Salt-Masters befolgen und die erforderlichen Aufgaben durchführen. Der Salt-Master ist ein zentraler Knoten, der zur Ausgabe von Befehlen an Minions verwendet wird.

Sie können alle Aktivitäten in SaltStack Config verfolgen. Unter anderem können Sie Bewertungen und Standardisierungen im Hauptarbeitsbereich „Aktivität“ von SaltStack Config verfolgen. Weitere Informationen finden Sie unter Aktivität.

Schutz-Dashboard

Im Schwachstellen-Dashboard wird eine Übersicht über den Schwachstellen-Status angezeigt. Es enthält verschiedene Metriken sowie eine Liste der häufigsten Empfehlungen innerhalb der jüngsten Bewertungen für alle Ihre aktuellen Schwachstellenrichtlinien.

Auf dem Dashboard können Sie den aktuellen Schwachstellenstatus verfolgen. Sie können das Dashboard freigeben, indem Sie auf die Seiten-URL verlinken oder eine PDF-Kopie drucken. Weitere Informationen hierzu finden Sie unter Anzeigen und Drucken des Schwachstellen-Dashboards.

Das Dashboard enthält die folgenden Metriken:

Metrik

Beschreibung

Schwachstellenübersicht

Die Anzahl der Objekte, die derzeit von Schwachstellen unterschiedlicher Schweregrade betroffen sind, von „Kritisch“ bis „Null“.

Standardisierungen

Die Gesamtanzahl der über SaltStack SecOps Vulnerability behobenen Schwachstellen, sortiert nach Schweregrad.

Schwachstellentrend

Diagramm mit einer Darstellung des Schwachstellenstatus in den letzten 30 Tagen.

Häufigste Empfehlungen

Liste der am häufigsten erkannten Schwachstellen in Ihren Systemen.

Bewertungsergebnisse

Die Bewertungsergebnisse von SaltStack SecOps Vulnerability werden auf der Startseite „Richtlinien“ angezeigt. Die Seite enthält eine Liste von Ratgebern mit den folgenden Informationsfeldern:

Hinweis:

In SaltStack SecOps Vulnerability haben Sie die Möglichkeit, die Bewertungsergebnisse in JSON herunterzuladen. Weitere Informationen finden Sie unter Herunterladen des Bewertungsberichts.

Feld

Beschreibung

Schweregrad

Die Bewertung des Schweregrads von „Kritisch“ bis „Null“. Die Bewertung des Schweregrads ist hilfreich für die Priorisierung der Standardisierungen.

VPR (Schwachstellen-Prioritätsbewertung, nur bei aus Tenable importierten Schwachstellen)

Die Schwachstellen-Prioritätsbewertung ist eine alternative Bewertung des Schweregrads speziell in Tenable. Weitere Informationen zur VPR finden Sie in der Tenable-Dokumentation.

Empfehlungs-ID

Der Empfehlung zugeordnete offizielle ID. Klicken Sie auf die ID, um Details zur Empfehlung anzuzeigen.

Empfehlungstitel

Vom CVE anerkannter offizieller Titel für die Empfehlung. Klicken Sie auf den Titel der Empfehlung, um deren Details anzuzeigen.

CVEs

Common Vulnerabilities and Exposures (CVE, deutsch: Häufige Schwachstellen und Anfälligkeiten), eine Liste gemeinsamer Bezeichner für öffentlich bekannte Cybersicherheitslücken.

Weitere Informationen finden Sie unter Über CVE.

Betroffene Pakete

Liste aller Systempakete, die von der Empfehlung betroffen sind.

CVSS v3.0

Bewertung der Schwachstellen nach dem Common Vulnerability Scoring System Version 3. Dieser Industriestandard wird für bestimmte Empfehlungen möglicherweise nicht angezeigt, da noch nicht alle Empfehlungen bewertet wurden.

Weitere Informationen finden Sie unter Common Vulnerability Scoring System SIG.

CVSS v2.0

Bewertung der Schwachstellen nach dem Common Vulnerability Scoring System Version 2.

Installationsverhalten

Gibt an, ob die Empfehlung möglicherweise einen vollständigen Systemneustart erfordert, damit ein Patch oder Update im Rahmen einer Standardisierung wirksam wird.

Minions

Listet die Anzahl der Minions auf, die von dieser Empfehlung betroffen sind.

Aktivieren von Windows Server Update Services (WSUS)

Zur Standardisierung von Empfehlungen auf Windows-Knoten sind zusätzliche Konfigurations- und Standardisierungsschritte notwendig. Wenn Ihre Umgebung Windows-Patches und -Updates mithilfe eines WSUS-Servers bereitstellt, müssen Sie sicherstellen, dass der Server aktiviert ist und dass er regelmäßig Updates von Microsoft empfangen kann. Weitere Informationen finden Sie unter Standardisieren von Windows-Empfehlungen.

Sie können die folgende Zustandsdatei ausführen, um den Minion mit dem WSUS-Server zu verbinden und die Beispiel-IP-Adressen durch die IP-Adresse und den Port des WSUS-Servers zu ersetzen:

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"