Als Alternative zum Ausführen einer Bewertung für eine Schwachstellenrichtlinie unterstützt SaltStack SecOps Vulnerability den Import von Sicherheitsüberprüfungen, die von mehreren Drittanbietern erzeugt wurden.

Anstatt eine Bewertung für eine Schwachstellenrichtlinie auszuführen, können Sie eine Sicherheitsüberprüfung eines Drittanbieters direkt in SaltStack Config importieren und die mithilfe von SaltStack SecOps Vulnerability angegebenen Sicherheitsempfehlungen standardisieren. Weitere Informationen zum Ausführen einer Standardbewertung finden Sie unter Vorgehensweise zum Ausführen einer Schwachstellenbewertung.

SaltStack SecOps Vulnerability unterstützt Überprüfungen von Drittanbietern aus:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Sie können auch einen Tenable.io-Connector für Tenable-Scans verwenden.
Wenn Sie eine Drittanbieterprüfung in eine Sicherheitsrichtlinie importieren, stimmt SaltStack Config Ihre Minions mit den Knoten ab, die von der Prüfung angegeben wurden. Im Arbeitsbereich „Staging importieren“ wird die Liste der Empfehlungen, die importiert werden können, sowie eine weitere Liste mit den Empfehlungen angezeigt, die aktuell nicht importiert werden können. In der Liste der nicht unterstützten Empfehlungen wird erläutert, warum sie nicht importiert werden können.
Hinweis: Standardmäßig können alle SaltStack Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine SaltStack SecOps Vulnerability-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.
Im Dashboard „Sicherheitsrichtlinien“ werden die von der Drittanbieterprüfung angegebenen Empfehlungen sowie Informationen dazu aufgelistet, ob alle Empfehlungen zur Standardisierung unterstützt oder nicht unterstützt werden.
Hinweis: Bei einer großen Exportdatei müssen Sie unter Umständen ein kleineres Knotensegment in Ihrem Netzwerk mit dem Drittanbietertool überprüfen. Alternativ können Sie umfangreiche Prüfungen mithilfe der Befehlszeilenschnittstelle (CLI) oder der API importieren.

Nach dem Importieren der Überprüfung werden im Arbeitsbereich „Staging importieren“ eine Importübersicht und zwei Tabellen angezeigt: eine Liste mit der Bezeichnung „Unterstützte Schwachstellen“ und eine Liste mit der Bezeichnung „Nicht unterstützte Schwachstellen“. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die standardisiert werden können. Bei den nicht unterstützten Schwachstellen handelt es sich um die Empfehlungen, die aktuell nicht standardisiert werden können. In der Liste der nicht unterstützten Schwachstellen wird erläutert, warum sie nicht importiert werden können.

Sie können einen Drittanbieter aus einer Datei, einem Konnektor oder über die Befehlszeile importieren.

Voraussetzungen

Vor dem Importieren der Sicherheitsüberprüfung eines Drittanbieters müssen Sie einen Konnektor konfigurieren. Der Connector muss zuerst mithilfe der API-Schlüssel des Drittanbieter-Tools konfiguriert werden.

So konfigurieren Sie einen Tenable.io-Konnektor:

Navigieren Sie zum Konfigurieren eines Tenable.io-Konnektors zu Einstellungen > Konnektoren > Tenable.io, geben Sie notwendige Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
Geheimer Schlüssel und Zugriffsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Konnektor-API erforderlich ist. Weitere Informationen zum Erzeugen Ihrer Schlüssel finden Sie in der Tenable.io-Dokumentation.
URL Basis-URL für API-Anforderungen. Hierbei handelt es sich standardmäßig um https://cloud.tenable.com.
Tage seit Fragen Sie den Prüfverlauf von Tenable.io seit dieser Anzahl von Tagen in der Vergangenheit ab. Lassen Sie dieses Feld leer, um einen unbegrenzten Zeitraum abzufragen. Wenn Sie mithilfe eines Konnektors Prüfergebnisse importieren, verwendet SaltStack SecOps Vulnerability die neuesten Ergebnisse pro Knoten, die innerhalb dieses Zeitraums verfügbar sind.
Hinweis: Um sicherzustellen, dass Ihre Richtlinie die aktuellen Prüfdaten enthält, müssen Sie den Importvorgang nach jeder Prüfung erneut ausführen. SaltStack SecOps Vulnerability fragt Tenable.io nicht automatisch auf die aktuellen Prüfdaten ab.

So konfigurieren Sie einen Carbon Black-Konnektor (nur Windows):

Um einen Carbon Black-Konnektor zu konfigurieren, müssen Sie die Berechtigung zum Lesen des Geräts in Carbon Black Cloud aktivieren und einen API-Token-Code erstellen. Weitere Informationen zum Erstellen eines API-Token-Codes finden Sie unter Vulnerability Assessment API.
Hinweis: SaltStack SecOps unterstützt nur Konnektoren und Überprüfungen von VMware Carbon Black Cloud.

Bevor Sie einen Carbon Black-Konnektor konfigurieren können, müssen Sie zuerst eine Windows Minion Carbon Black-Sensorkit-Umgebung einrichten.

So richten Sie eine Carbon Black-Sensor Kit-Umgebung ein:
  1. Starten Sie eine Saltstack Config-Umgebung und stellen Sie einen Windows-Server bereit.
  2. Installieren Sie den Salt-Minion auf dem Windows-Server. Weitere Informationen finden Sie unter Salt Minion Installation.
  3. Akzeptieren Sie die Master-Schlüssel in SaltStack Config und die Minion-Schlüssel von SaltStack Config oder dem Salt-Master.
  4. Installieren Sie das Carbon Black-Sensor-Kit auf dem Windows-Minion. Weitere Informationen finden Sie unter Installing Sensors on VM Workloads.
  5. Definieren Sie in SaltStack SecOps eine Richtlinie mit einer Zielgruppe, die den Windows-Minion enthält.
  6. Synchronisieren Sie nach Abschluss der SaltStack Config VMan-Erfassung das SaltStack Config Carbon Black-Modul vom Salt-Master, indem Sie die folgenden Befehle ausführen: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Legen Sie auf dem Windows-Minion das Korn („grain“) des Carbon Black-Geräts fest, indem Sie salt mywindowsminion carbonblack.set_device_grain ausführen.
Nach dem Einrichten einer Carbon Black-Sensor-Kit-Umgebung können Sie Ihren Carbon Black-Konnektor in SaltStack Config konfigurieren, indem Sie zu Einstellungen > Konnektoren > VMware Carbon Black navigieren. Geben Sie die erforderlichen Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
URL URL für API-Anforderungen
Token und Organisationsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Connector-API erforderlich ist.
Hinweis: Wenn Sie einen VMware Carbon Black-Konnektor löschen, werden diese Felder mit „xxxx“ aufgefüllt. Dies dient der Beibehaltung des Token-Schlüssel-Formats „xxxxxxxxxxxxxxxxxxxxx/xxxxxxx“
SSL überprüfen Der Standardwert ist auf „true“ festgelegt.
  1. Klicken Sie auf Minions und wählen Sie entweder Alle Minions oder einen bestimmten Minion für eine Richtlinienzielgruppe aus.
  2. Klicken Sie auf Befehl ausführen und führen Sie die folgenden Befehle aus: saltutil.sync_all, carbon_black.set_device_grain und saltutil.refresh_grains.

Prozedur

  1. Führen Sie in Ihrem Drittanbietertool eine Prüfung aus und wählen Sie unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an. Wenn Sie die Überprüfung eines Drittanbieters aus einer Datei importieren, exportieren Sie die Überprüfung in eines der unterstützten Dateiformate (Nessus, XML oder CSV).
  2. Stellen Sie in SaltStack Config sicher, dass Sie SaltStack SecOps Vulnerability-Inhalte heruntergeladen haben.
  3. Erstellen Sie im Arbeitsbereich SaltStack SecOps Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Stellen Sie sicher, dass die Knoten, die Sie in Ihrem Drittanbieter-Tool geprüft haben, auch als Ziele in der Sicherheitsrichtlinie enthalten sind. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie.
    Hinweis: Nach dem Exportieren der Überprüfung und Erstellen einer Richtlinie können Sie die Überprüfung importieren, indem Sie den Befehl raas third_party_import "filepath" third_party_tool security_policy_name ausführen. Beispiel: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Das Importieren der Überprüfung über die Befehlszeilenschnittstelle wird empfohlen, wenn die Prüfdatei besonders groß ist.
  4. Klicken Sie im Dashboard „Richtlinie“ auf den Dropdown-Pfeil im Menü Richtlinie und wählen Sie Prüfdaten des Anbieters hochladen aus.
  5. Importieren der Überprüfung:
    • Wenn Sie die Überprüfung aus einer Datei importieren, wählen Sie Hochladen > Dateiimport und den Drittanbieter aus. Wählen Sie anschließend die Datei zum Hochladen der Drittanbieterprüfung aus.
    • Wenn Sie die Überprüfung aus einem Konnektor importieren, wählen Sie Hochladen > API-Upload und den Drittanbieter aus. Wenn keine Konnektoren verfügbar sind, werden Sie über das Menü an den Arbeitsbereich „Konnektor-Einstellungen“ weitergeleitet.
    Auf der Zeitachse für den Importstatus wird der Status des Imports angezeigt, da SaltStack SecOps Vulnerability Ihre Minions den Knoten zuordnet, die bei der Überprüfung angegeben wurden. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen.
  6. Klicken Sie auf Alle Unterstützten importieren, um alle unterstützten Empfehlungen zu importieren. Alternativ können Sie das Kontrollkästchen neben bestimmten Empfehlungen in der Tabelle Unterstützte Schwachstellen aktivieren und auf Ausgewählte importieren klicken.

Ergebnisse

Die ausgewählten Empfehlungen werden in SaltStack SecOps Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde.

Nächste Maßnahme

Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Vorgehensweise zum Standardisieren von Empfehlungen.