Als Alternative zum Ausführen einer Bewertung für eine Schwachstellenrichtlinie unterstützt SaltStack SecOps Vulnerability den Import von Sicherheitsüberprüfungen, die von mehreren Drittanbietern erzeugt wurden.

Anstatt eine Bewertung für eine Schwachstellenrichtlinie auszuführen, können Sie eine Sicherheitsüberprüfung eines Drittanbieters direkt in SaltStack Config importieren und die mithilfe von SaltStack SecOps Vulnerability angegebenen Sicherheitsempfehlungen standardisieren. Weitere Informationen zum Ausführen einer Standardbewertung finden Sie unter Vorgehensweise zum Ausführen einer Schwachstellenbewertung.

SaltStack SecOps Vulnerability unterstützt Überprüfungen von Drittanbietern aus:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Sie können auch einen Tenable.io-Connector für Tenable-Scans verwenden.
Wenn Sie eine Drittanbieterprüfung in eine Sicherheitsrichtlinie importieren, stimmt SaltStack Config Ihre Minions mit den Knoten ab, die von der Prüfung angegeben wurden.
Hinweis: Standardmäßig können alle SaltStack Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine SaltStack SecOps Vulnerability-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.
Im Dashboard „Sicherheitsrichtlinien“ werden die von der Drittanbieterprüfung angegebenen Empfehlungen sowie Informationen dazu aufgelistet, ob alle Empfehlungen zur Standardisierung unterstützt oder nicht unterstützt werden.
Hinweis: Bei einer großen Exportdatei müssen Sie unter Umständen ein kleineres Knotensegment in Ihrem Netzwerk mit dem Drittanbietertool überprüfen. Alternativ können Sie umfangreiche Prüfungen mithilfe der Befehlszeilenschnittstelle (CLI) oder der API importieren.
Nach dem Import Ihrer Prüfung wird in der Richtlinie eine Übersicht angezeigt, in der Sie zwischen zwei Ansichten umschalten können: unterstützten Schwachstellen und nicht unterstützten Schwachstellen. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die für die Standardisierung mithilfe von SaltStack Config zur Verfügung stehen. Nicht unterstützte Schwachstellen sind Empfehlungen, die nicht mit SaltStack Config standardisiert werden können.
Hinweis: Diese Option zum Umschalten der Ansicht steht nur für vom Anbieter importierte Daten zur Verfügung. Für mit SaltStack SecOps-Inhalt erstellte Daten wird diese Ansicht nicht im Umschaltfeld angezeigt.

Sie können einen Drittanbieter aus einer Datei, einem Konnektor oder über die Befehlszeile importieren.

Voraussetzungen

Vor dem Importieren der Sicherheitsüberprüfung eines Drittanbieters müssen Sie einen Konnektor konfigurieren. Der Connector muss zuerst mithilfe der API-Schlüssel des Drittanbieter-Tools konfiguriert werden.

So konfigurieren Sie einen Tenable.io-Konnektor:

Navigieren Sie zum Konfigurieren eines Tenable.io-Konnektors zu Einstellungen > Konnektoren > Tenable.io, geben Sie notwendige Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
Geheimer Schlüssel und Zugriffsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Connector-API erforderlich ist. Weitere Informationen zum Erzeugen Ihrer Schlüssel finden Sie in der Tenable.io-Dokumentation.
URL Basis-URL für API-Anforderungen. Hierbei handelt es sich standardmäßig um https://cloud.tenable.com.
Tage seit Fragen Sie den Prüfverlauf von Tenable.io seit dieser Anzahl von Tagen in der Vergangenheit ab. Lassen Sie dieses Feld leer, um einen unbegrenzten Zeitraum abzufragen. Wenn Sie mithilfe eines Konnektors Prüfergebnisse importieren, verwendet SaltStack SecOps Vulnerability die neuesten Ergebnisse pro Knoten, die innerhalb dieses Zeitraums verfügbar sind.
Hinweis: Um sicherzustellen, dass Ihre Richtlinie die aktuellen Prüfdaten enthält, müssen Sie den Importvorgang nach jeder Prüfung erneut ausführen. SaltStack SecOps Vulnerability fragt Tenable.io nicht automatisch auf die aktuellen Prüfdaten ab.

So konfigurieren Sie einen Carbon Black-Konnektor (nur Windows):

Um einen Carbon Black-Konnektor zu konfigurieren, müssen Sie die Berechtigung zum Lesen des Geräts in Carbon Black Cloud aktivieren und einen API-Token-Code erstellen. Weitere Informationen zum Erstellen eines API-Token-Codes finden Sie unter Vulnerability Assessment API.
Hinweis: SaltStack SecOps unterstützt nur Konnektoren und Überprüfungen von VMware Carbon Black Cloud. SaltStack SecOps verwendet nur das ipv4- und Carbon Black-Gerät für den Abgleich und das risk_meter_score für die Anzeige. Es werden keine anderen Informationen verwendet.

Bevor Sie einen Carbon Black-Konnektor konfigurieren können, müssen Sie zuerst eine Windows Minion Carbon Black-Sensorkit-Umgebung einrichten.

So richten Sie eine Carbon Black-Sensor Kit-Umgebung ein:
  1. Starten Sie eine Saltstack Config-Umgebung und stellen Sie einen Windows-Server bereit.
  2. Installieren Sie den Salt-Minion auf dem Windows-Server. Weitere Informationen finden Sie unter Salt Minion Installation.
  3. Akzeptieren Sie die Master-Schlüssel in SaltStack Config und die Minion-Schlüssel von SaltStack Config oder dem Salt-Master.
  4. Installieren Sie das Carbon Black-Sensor-Kit auf dem Windows-Minion. Weitere Informationen finden Sie unter Installing Sensors on VM Workloads.
  5. Definieren Sie in SaltStack SecOps eine Richtlinie mit einer Zielgruppe, die den Windows-Minion enthält.
  6. Synchronisieren Sie nach Abschluss der SaltStack Config VMan-Erfassung das SaltStack Config Carbon Black-Modul vom Salt-Master, indem Sie die folgenden Befehle ausführen: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Legen Sie auf dem Windows-Minion das Korn („grain“) des Carbon Black-Geräts fest, indem Sie salt mywindowsminion carbonblack.set_device_grain ausführen.
Nach dem Einrichten einer Carbon Black-Sensor-Kit-Umgebung können Sie Ihren Carbon Black-Konnektor in SaltStack Config konfigurieren, indem Sie zu Einstellungen > Konnektoren > VMware Carbon Black navigieren. Geben Sie die erforderlichen Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
URL URL für API-Anforderungen
Token und Organisationsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Connector-API erforderlich ist.
Hinweis: Wenn Sie einen VMware Carbon Black-Konnektor löschen, werden diese Felder mit „xxxx“ aufgefüllt. Dies dient der Beibehaltung des Token-Schlüssel-Formats „xxxxxxxxxxxxxxxxxxxxx/xxxxxxx“
SSL überprüfen Der Standardwert ist auf „true“ festgelegt.
  1. Klicken Sie auf Minions und wählen Sie entweder Alle Minions oder einen bestimmten Minion für eine Richtlinienzielgruppe aus.
  2. Klicken Sie auf Befehl ausführen und führen Sie die folgenden Befehle aus: saltutil.sync_all, carbon_black.set_device_grain und saltutil.refresh_grains.

Prozedur

  1. Führen Sie in Ihrem Drittanbietertool eine Prüfung aus und wählen Sie unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an. Wenn Sie die Überprüfung eines Drittanbieters aus einer Datei importieren, exportieren Sie die Überprüfung in eines der unterstützten Dateiformate (Nessus, XML oder CSV).
  2. Stellen Sie in SaltStack Config sicher, dass Sie SaltStack SecOps Vulnerability-Inhalte heruntergeladen haben.
  3. Erstellen Sie im Arbeitsbereich SaltStack SecOps Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Stellen Sie sicher, dass die Knoten, die Sie in Ihrem Drittanbieter-Tool geprüft haben, auch als Ziele in der Sicherheitsrichtlinie enthalten sind. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie.
    Hinweis: Nach dem Exportieren der Überprüfung und Erstellen einer Richtlinie können Sie die Überprüfung importieren, indem Sie den Befehl raas third_party_import "filepath" third_party_tool security_policy_name ausführen. Beispiel: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Das Importieren der Überprüfung über die Befehlszeilenschnittstelle wird empfohlen, wenn die Prüfdatei besonders groß ist.
  4. Klicken Sie im Dashboard „Richtlinie“ auf den Dropdown-Pfeil im Menü Richtlinie und wählen Sie Prüfdaten des Anbieters hochladen aus.
  5. Importieren der Überprüfung:
    • Wenn Sie die Überprüfung aus einer Datei importieren, wählen Sie Hochladen > Dateiimport und den Drittanbieter aus. Wählen Sie anschließend die Datei zum Hochladen der Drittanbieterprüfung aus.
    • Wenn Sie die Überprüfung aus einem Konnektor importieren, wählen Sie Hochladen > API-Upload und den Drittanbieter aus. Wenn keine Konnektoren verfügbar sind, werden Sie über das Menü an den Arbeitsbereich „Konnektor-Einstellungen“ weitergeleitet.
    Auf der Zeitachse für den Importstatus wird der Status des Imports angezeigt, da SaltStack SecOps Vulnerability Ihre Minions den Knoten zuordnet, die bei der Überprüfung angegeben wurden. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen.
  6. Wählen Sie auf der Seite „Unterstützte auswählen“ die unterstützten Empfehlungen aus, die Sie in Ihren Dateiimport einbeziehen möchten.
  7. Wählen Sie auf der Seite „Nichtunterstützte auswählen“ die nicht unterstützten Empfehlungen aus, die Sie in Ihren Dateiimport einbeziehen möchten.
  8. Überprüfen Sie nicht übereinstimmende Empfehlungen auf Empfehlungen, die nicht mit einem Host oder Minion übereinstimmen. Folglich können sie nicht über SaltStack Config standardisiert werden.
  9. Klicken Sie auf Weiter und überprüfen Sie eine Zusammenfassung der Elemente, die in die Richtlinie importiert werden.
  10. Klicken Sie auf Import beenden, um Ihre Prüfung zu importieren.

Ergebnisse

Die ausgewählten Empfehlungen werden in SaltStack SecOps Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde.
Hinweis: Bewertungen werden nur ausgeführt, wenn die Prüfung importiert wird. Importierte Prüfungsbewertungen können nicht nach einem Zeitplan ausgeführt werden.

Nächste Maßnahme

Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Vorgehensweise zum Standardisieren von Empfehlungen.