SaltStack SecOps Vulnerability admite la importación de los análisis de seguridad que generan diversos proveedores externos. Esto incluye la importación de archivos de análisis desde Tenable, Rapid7, Qualys y Velona Security, o a través de un conector Tenable.io.

Puede importar un análisis de seguridad de terceros directamente en SaltStack Config y corregir los avisos de seguridad identificados en el análisis mediante SaltStack SecOps Vulnerability. Puede importar este análisis como alternativa a ejecutar una evaluación en SaltStack SecOps Vulnerability. Consulte Ejecutar una evaluación para obtener más información sobre la ejecución de una evaluación estándar.

Al importar un análisis de terceros en una directiva de seguridad, SaltStack Config busca coincidencias entre los minions y los nodos identificados en el análisis. El área de trabajo Copias intermedias de importación muestra la lista de avisos que se pueden importar y otra lista con los avisos que no se pueden importar actualmente. La lista de avisos no compatibles incluye una explicación del motivo por el que no se pueden importar.

El panel de control de la directiva de seguridad enumera los avisos identificados por el análisis de terceros, así como si cada aviso es compatible o no con la corrección.

Nota: Si el tamaño del archivo de exportación es grande, es posible que deba analizar una menor cantidad de nodos en la herramienta de terceros. Como alternativa, puede importar análisis grandes mediante la interfaz de línea de comandos (Command Line Interface, CLI) o la API. Consulte Importar un análisis de terceros a través de la línea de comandos para obtener más información sobre la importación a través de la CLI. Para importar a través de la API, consulte Documentación de endpoints de RPC para la API (RaaS).

Importar un análisis de seguridad de terceros desde un archivo

Para importar un análisis de seguridad de un tercero, como Tenable:

  1. En la herramienta del tercero, ejecute un análisis y expórtelo en uno de los formatos de archivo compatibles. Consulte Formatos de archivo compatibles para obtener más información. Para obtener instrucciones específicas sobre cómo ejecutar un análisis o exportar el archivo requerido de un tercero, consulte la documentación de ayuda del tercero.

    Al ejecutar el análisis, asegúrese de seleccionar un escáner en la misma red que los nodos de destino. A continuación, indique las direcciones IP que desea analizar.

  2. En SaltStack Config, asegúrese de haber descargado el contenido de SaltStack SecOps Vulnerability.
  3. En el área de trabajo de SaltStack SecOps Vulnerability, cree una directiva de seguridad destinada a los mismos nodos que se incluyeron en el análisis de terceros. Consulte Crear una directiva para obtener más información.
    Nota: Asegúrese de que los nodos analizados en la herramienta del tercero también se incluyan como destinos en esta directiva de seguridad. De lo contrario, al importar el análisis, SaltStack SecOps Vulnerability no podrá buscar coincidencias entre los minions de destino y las direcciones IP identificadas en la herramienta del tercero.
  4. En el panel de control de directivas, haga clic en Menú de directivasicono de menú de vulnerabilidad y seleccione Importar datos de análisis de proveedor.

    Se abrirá el área de trabajo Copias intermedias de importación.

    Nota: Si la opción Importar datos de análisis de proveedor no está disponible, es posible que no tenga permiso para importar un análisis de terceros en SaltStack Config. Póngase en contacto con el administrador para obtener acceso. Consulte Funciones y permisos para obtener más información.
  5. Haga clic en Importar > Importar archivo y seleccione el proveedor externo. A continuación, seleccione el archivo para cargar el análisis de terceros.

    La escala de tiempo de estado de la importación mostrará el estado de su importación. SaltStack SecOps Vulnerability asignará sus minions a los nodos identificados en el análisis. También asignará los avisos identificados a sus minions. Según el número de avisos y los nodos afectados, este proceso puede demorar algún tiempo. Puede salir, ya que el proceso continuará en segundo plano.

    Cuando se complete la importación, el área de trabajo Copias intermedias de importación mostrará un resumen de la importación y dos tablas: una lista de Vulnerabilidades admitidas y una lista de Vulnerabilidades no admitidas. Las vulnerabilidades admitidas son los avisos que se encuentran disponibles para corrección. Las vulnerabilidades no admitidas son los avisos que actualmente no se pueden corregir. La lista de vulnerabilidades no admitidas incluye una explicación del motivo por el que no se pueden importar.

    Puede filtrar los avisos por columna si es necesario. Por ejemplo, puede filtrar los avisos por gravedad para elegir cuáles corregir. Si un encabezado de columna incluye un icono de filtro icono de filtro, es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar.

    Nota: Los análisis de seguridad de terceros pueden incluir datos adicionales que no se muestran de forma predeterminada en el área de trabajo Copias intermedias de importación. Para mostrar estos datos, haga clic en el botón Mostrar columnas icono de mostrar columnas y haga clic en la casilla de verificación situada junto a los datos que desea mostrar.
  6. Haga clic en Importar todo lo admitido para importar todos los avisos compatibles. También puede hacer clic en la casilla de verificación junto a avisos específicos de la tabla Vulnerabilidades admitidas y hacer clic en Importar selección para importar una selección más pequeña.

    Los avisos seleccionados se importarán en SaltStack SecOps Vulnerability y se mostrarán como una evaluación en el panel de control de directivas. El panel de control de directivas también mostrará el aviso "Se importó de" debajo del título de la directiva para indicar que la última evaluación se importó desde la herramienta del tercero. Ahora puede corregir estos avisos. Consulte Corregir avisos para obtener más información.

    Nota: Para obtener mejores resultados, intente reducir la cantidad de tiempo transcurrido desde el momento en que se ejecuta un análisis de terceros hasta el momento en que se importa el análisis en SaltStack Config.

Importar resultados de análisis desde un conector

Para importar un análisis de seguridad desde un conector:

  1. En la herramienta del tercero, ejecute un análisis y asegúrese de seleccionar un escáner en la misma red que los nodos de destino. A continuación, indique las direcciones IP que desea analizar.
  2. En SaltStack Config, asegúrese de haber descargado el contenido de SaltStack SecOps Vulnerability.
  3. En el área de trabajo de SaltStack SecOps Vulnerability, cree una directiva de seguridad destinada a los mismos nodos que se incluyeron en el análisis de terceros. Consulte Crear una directiva para obtener más información.
    Nota:

    Asegúrese de que los nodos analizados en la herramienta del tercero también se incluyan como destinos en esta directiva de seguridad. De lo contrario, al importar el análisis, SaltStack SecOps Vulnerability no podrá buscar coincidencias entre los minions de destino y las direcciones IP identificadas en la herramienta del tercero.

  4. En el panel de control de directivas, haga clic en Menú de directivasicono de menú de vulnerabilidad y seleccione Importar datos de análisis de proveedor.

    Se abrirá el área de trabajo Copias intermedias de importación.

    Nota: Si la opción Importar datos de análisis de proveedor no está disponible, es posible que no tenga permiso para importar un análisis de terceros en SaltStack Config. Póngase en contacto con el administrador para obtener acceso. Para obtener más información, consulte Funciones y permisos.
  5. Haga clic en Importar > API de importación y seleccione el tercero.
    Nota: Si no existe ningún conector disponible, el menú lo dirigirá al área de trabajo Configuración de conectores. Consulte Conectores para obtener más información.

    Para verificar que la directiva contenga los datos de análisis más recientes, asegúrese de volver a ejecutar la importación después de cada análisis. SaltStack SecOps Vulnerability no sondea automáticamente el tercero para obtener los datos de análisis más recientes.

    La escala de tiempo de estado de la importación mostrará el estado de su importación. SaltStack SecOps Vulnerability asignará sus minions a los nodos identificados en el análisis. También asignará los avisos identificados a sus minions. Según el número de avisos y los nodos afectados, este proceso puede demorar algún tiempo. Puede salir, ya que el proceso continuará en segundo plano.

    Nota: Si se produce un error en la importación, esto puede deberse a un error de autenticación u otro problema. Asegúrese de haber introducido las claves correctas. Si descubre que las claves son correctas, el siguiente paso en la solución de problemas es ver el registro de RaaS. Este registro solo está disponible para los usuarios administradores y contiene la respuesta de PyTenable. Para obtener más información sobre los errores de PyTenable, consulte la documentación de PyTenable. Si no puede acceder al registro de RaaS, póngase en contacto con el administrador para obtener ayuda.

    Cuando se complete la importación, el área de trabajo Copias intermedias de importación mostrará un resumen de la importación y dos tablas: una lista de Vulnerabilidades admitidas y una lista de Vulnerabilidades no admitidas. Las vulnerabilidades admitidas son los avisos que se encuentran disponibles para corrección. Las vulnerabilidades no admitidas son los avisos que actualmente no se pueden corregir. La lista de vulnerabilidades no admitidas incluye una explicación del motivo por el que no se pueden importar.

    Puede filtrar los avisos por columna si es necesario. Por ejemplo, puede filtrar los avisos por gravedad para elegir cuáles corregir. Si un encabezado de columna incluye un icono de filtro icono de filtro, es posible filtrar los resultados por ese tipo de columna. Haga clic en el icono y seleccione una opción de filtro del menú o escriba el texto por el que desee filtrar.

    Nota: Los análisis de seguridad de terceros pueden incluir datos adicionales que no se muestran de forma predeterminada en el área de trabajo Copias intermedias de importación. Para mostrar estos datos, haga clic en el botón Mostrar columnas icono de mostrar columnas y haga clic en la casilla de verificación situada junto a los datos que desea mostrar.
  6. Haga clic en Importar todo lo admitido para importar todos los avisos compatibles. Como alternativa, puede seleccionar avisos específicos de la tabla Vulnerabilidades admitidas y hacer clic en Importar selección para importar una selección más pequeña.

    Los avisos seleccionados se importarán en SaltStack SecOps Vulnerability y se mostrarán como una evaluación en el panel de control de directivas. El panel de control de directivas también mostrará el aviso "Se importó de" debajo del título de la directiva para indicar que la última evaluación se importó desde la herramienta del tercero. Ahora puede corregir estos avisos. Consulte Corregir avisos para obtener más información.

    Nota: Para obtener mejores resultados, intente reducir la cantidad de tiempo transcurrido desde el momento en que se ejecuta un análisis de terceros hasta el momento en que se importa el análisis en SaltStack Config.

Importar un análisis de terceros a través de la línea de comandos

Si tiene acceso de usuario de RaaS, puede importar un análisis de terceros en la CLI. Se recomienda importar a través de la CLI si el archivo de análisis es especialmente grande. Antes de importar mediante la CLI, asegúrese de estar familiarizado con el proceso de importación de análisis a través de la interfaz de usuario, ya que el proceso será similar. Para obtener más información, consulte Importar un análisis de seguridad de terceros.

Después de exportar el análisis desde la herramienta de terceros y crear una directiva de seguridad en SaltStack SecOps Vulnerability, puede importar el análisis en la CLI mediante el siguiente comando, donde debe reemplazar los argumentos de marcador de posición según sea necesario:

raas third_party_import "filepath" third_party_tool security_policy_name

En el comando anterior, se debe reemplazar filepath por la ubicación del archivo exportado, third_party_tool por el nombre de la herramienta del tercero y security_policy_name por el nombre de la directiva de seguridad. Por ejemplo, puede usar el siguiente comando al importar desde Tenable:

raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy