Als Alternative zum Ausführen einer Bewertung für eine Schwachstellenrichtlinie unterstützt SaltStack SecOps Vulnerability den Import von Sicherheitsüberprüfungen, die von mehreren Drittanbietern erzeugt wurden.

Anstatt eine Bewertung für eine Schwachstellenrichtlinie auszuführen, können Sie eine Sicherheitsüberprüfung eines Drittanbieters direkt in SaltStack Config importieren und die mithilfe von SaltStack SecOps Vulnerability angegebenen Sicherheitsempfehlungen standardisieren. Weitere Informationen zum Ausführen einer Standardbewertung finden Sie unter Vorgehensweise zum Ausführen einer Schwachstellenbewertung.

SaltStack SecOps Vulnerability unterstützt Überprüfungen von Drittanbietern aus:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
Sie können auch einen Tenable.io-Connector für Tenable-Scans verwenden.
Wenn Sie eine Drittanbieterprüfung in eine Sicherheitsrichtlinie importieren, stimmt SaltStack Config Ihre Minions mit den Knoten ab, die von der Prüfung angegeben wurden. Im Arbeitsbereich „Staging importieren“ wird die Liste der Empfehlungen, die importiert werden können, sowie eine weitere Liste mit den Empfehlungen angezeigt, die aktuell nicht importiert werden können. In der Liste der nicht unterstützten Empfehlungen wird erläutert, warum sie nicht importiert werden können.
Hinweis: Standardmäßig können alle SaltStack Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine SaltStack SecOps Vulnerability-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.
Im Dashboard „Sicherheitsrichtlinien“ werden die von der Drittanbieterprüfung angegebenen Empfehlungen sowie Informationen dazu aufgelistet, ob alle Empfehlungen zur Standardisierung unterstützt oder nicht unterstützt werden.
Hinweis: Bei einer großen Exportdatei müssen Sie unter Umständen ein kleineres Knotensegment in Ihrem Netzwerk mit dem Drittanbietertool überprüfen. Alternativ können Sie umfangreiche Prüfungen mithilfe der Befehlszeilenschnittstelle (CLI) oder der API importieren.

Nach dem Importieren der Überprüfung werden im Arbeitsbereich „Staging importieren“ eine Importübersicht und zwei Tabellen angezeigt: eine Liste mit der Bezeichnung „Unterstützte Schwachstellen“ und eine Liste mit der Bezeichnung „Nicht unterstützte Schwachstellen“. Bei den unterstützten Schwachstellen handelt es sich um die Empfehlungen, die standardisiert werden können. Bei den nicht unterstützten Schwachstellen handelt es sich um die Empfehlungen, die aktuell nicht standardisiert werden können. In der Liste der nicht unterstützten Schwachstellen wird erläutert, warum sie nicht importiert werden können.

Sie können einen Drittanbieter aus einer Datei, einem Konnektor oder über die Befehlszeile importieren.

Voraussetzungen

Vor dem Importieren der Sicherheitsüberprüfung eines Drittanbieters müssen Sie einen Konnektor konfigurieren. Der Connector muss zuerst mithilfe der API-Schlüssel des Drittanbieter-Tools konfiguriert werden.

So konfigurieren Sie einen Tenable.io-Konnektor:

Navigieren Sie zum Konfigurieren eines Tenable.io-Konnektors zu Einstellungen > Konnektoren > Tenable.io, geben Sie notwendige Details für den Konnektor ein und klicken Sie auf Speichern.
Feld „Konnektor“ Beschreibung
Geheimer Schlüssel und Zugriffsschlüssel Schlüsselpaar, das für die Authentifizierung mit der Konnektor-API erforderlich ist. Weitere Informationen zum Erzeugen Ihrer Schlüssel finden Sie in der Tenable.io-Dokumentation.
URL Basis-URL für API-Anforderungen. Hierbei handelt es sich standardmäßig um https://cloud.tenable.com.
Tage seit Fragen Sie den Prüfverlauf von Tenable.io seit dieser Anzahl von Tagen in der Vergangenheit ab. Lassen Sie dieses Feld leer, um einen unbegrenzten Zeitraum abzufragen. Wenn Sie mithilfe eines Konnektors Prüfergebnisse importieren, verwendet SaltStack SecOps Vulnerability die neuesten Ergebnisse pro Knoten, die innerhalb dieses Zeitraums verfügbar sind.
Hinweis: Um sicherzustellen, dass Ihre Richtlinie die aktuellen Prüfdaten enthält, müssen Sie den Importvorgang nach jeder Prüfung erneut ausführen. SaltStack SecOps Vulnerability fragt Tenable.io nicht automatisch auf die aktuellen Prüfdaten ab.

Prozedur

  1. Führen Sie in Ihrem Drittanbietertool eine Prüfung aus und wählen Sie unbedingt einen Scanner aus, der sich im selben Netzwerk wie die Knoten befindet, die Sie als Ziel verwenden möchten. Geben Sie dann die zu prüfenden IP-Adressen an. Wenn Sie die Überprüfung eines Drittanbieters aus einer Datei importieren, exportieren Sie die Überprüfung in eines der unterstützten Dateiformate (Nessus, XML oder CSV).
  2. Stellen Sie in SaltStack Config sicher, dass Sie SaltStack SecOps Vulnerability-Inhalte heruntergeladen haben.
  3. Erstellen Sie im Arbeitsbereich SaltStack SecOps Vulnerability eine Sicherheitsrichtlinie, die dieselben Knoten als Ziel verwendet, die in der Drittanbieterprüfung enthalten waren. Stellen Sie sicher, dass die Knoten, die Sie in Ihrem Drittanbieter-Tool geprüft haben, auch als Ziele in der Sicherheitsrichtlinie enthalten sind. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen einer Schwachstellenrichtlinie.
    Hinweis: Nach dem Exportieren der Überprüfung und Erstellen einer Richtlinie können Sie die Überprüfung importieren, indem Sie den Befehl raas third_party_import "filepath" third_party_tool security_policy_name ausführen. Beispiel: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Das Importieren der Überprüfung über die Befehlszeilenschnittstelle wird empfohlen, wenn die Prüfdatei besonders groß ist.
  4. Klicken Sie im Dashboard „Richtlinie“ auf den Dropdown-Pfeil im Menü Richtlinie und wählen Sie Prüfdaten des Anbieters hochladen aus.
  5. Importieren der Überprüfung:
    • Wenn Sie die Überprüfung aus einer Datei importieren, wählen Sie Hochladen > Dateiimport und den Drittanbieter aus. Wählen Sie anschließend die Datei zum Hochladen der Drittanbieterprüfung aus.
    • Wenn Sie die Überprüfung aus einem Konnektor importieren, wählen Sie Hochladen > API-Upload und den Drittanbieter aus. Wenn keine Konnektoren verfügbar sind, werden Sie über das Menü an den Arbeitsbereich „Konnektor-Einstellungen“ weitergeleitet.
    Auf der Zeitachse für den Importstatus wird der Status des Imports angezeigt, da SaltStack SecOps Vulnerability Ihre Minions den Knoten zuordnet, die bei der Überprüfung angegeben wurden. Je nach Anzahl der Empfehlungen und betroffenen Knoten kann dieser Vorgang einige Zeit in Anspruch nehmen.
  6. Klicken Sie auf Alle Unterstützten importieren, um alle unterstützten Empfehlungen zu importieren. Alternativ können Sie das Kontrollkästchen neben bestimmten Empfehlungen in der Tabelle Unterstützte Schwachstellen aktivieren und auf Ausgewählte importieren klicken.

Ergebnisse

Die ausgewählten Empfehlungen werden in SaltStack SecOps Vulnerability importiert und als Bewertung im Dashboard „Richtlinien“ angezeigt. Im Dashboard „Richtlinie“ wird außerdem „Importiert aus“ unter dem Richtlinientitel angezeigt, um anzugeben, dass die aktuelle Bewertung aus Ihrem Drittanbietertool importiert wurde.

Nächste Maßnahme

Sie können diese Empfehlungen jetzt standardisieren. Weitere Informationen finden Sie unter Vorgehensweise zum Standardisieren von Empfehlungen.