Lea esta página para obtener información de referencia sobre los formatos de archivo compatibles, los campos de directivas de seguridad, los estados de actividad y las métricas disponibles en el panel de control Vulnerabilidad de SaltStack SecOps Vulnerability.

Formatos de archivo compatibles

Se admiten los siguientes formatos de archivo al importar los resultados de un análisis de terceros.

Proveedor

Tipo de archivo

Tenable

Nessus

Exportación de Rapid7 InsightVM

XML

Qualys

XML

Exportación de KennaSecurity

CSV

Consulte Importar un análisis de seguridad de terceros para obtener más información.

Directivas de vulnerabilidad

Una directiva de vulnerabilidad se compone de un destino y una programación de evaluación. El destino determina qué minions se deben incluir en una evaluación y la programación indica cuándo se deben ejecutar las evaluaciones. Una directiva de seguridad también almacena los resultados de la evaluación más reciente en SaltStack SecOps Vulnerability. Las directivas también pueden incluir programaciones, así como especificaciones sobre el manejo de exenciones.

A continuación, se describe en detalle cada componente de una directiva de vulnerabilidad.

Componente

Descripción

Destino

Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. Al elegir un destino en SaltStack SecOps Vulnerability, defina el grupo de activos (denominados minions) a los que se aplicará la directiva. Puede elegir un destino existente o crear uno nuevo. Consulte Minions para obtener más información.

Programación

Elija la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.

Periódica

Establezca un intervalo para repetir la programación, con campos opcionales para la fecha de inicio o finalización, la visualización y el número máximo de trabajos en paralelo.

Fecha y hora de repetición

Elija repetir la programación de forma semanal o diaria, con campos opcionales para la fecha de inicio o finalización y el número máximo de trabajos en paralelo.

Una vez

Especifique una fecha y una hora para ejecutar el trabajo.

Cron

Introduzca una expresión CRON para definir una programación personalizada basada en la sintaxis Croniter. Consulte Editor CronTab para obtener directrices de sintaxis. Para obtener mejores resultados, evite programar trabajos con menos de 60 segundos de diferencia al definir una expresión CRON personalizada.

Nota:

En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.

Nota:

Al definir una programación de evaluación, puede elegir la opción adicional No programada (a petición). Si selecciona esta opción, puede ejecutar solo evaluaciones individuales según sea necesario, sin definir ninguna programación.

Estado de actividad

En la página de inicio de la directiva, la pestaña Actividad muestra una lista de las evaluaciones y las correcciones completadas o en curso. Incluye los siguientes estados.

Estado

Descripción

En cola

La operación está lista para ejecutarse, pero los minions aún no han seleccionado la tarea para iniciar la operación.

Completado

La operación ha terminado de ejecutarse.

Parcial

La operación sigue esperando que se devuelvan algunos minions, aunque el maestro de Salt ha informado que la operación finalizó su ejecución. Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de un maestro de Salt y realizar las tareas solicitadas. El maestro de Salt es un nodo central que se utiliza para emitir comandos a los minions.

Puede realizar un seguimiento de toda la actividad en SaltStack Config, incluidas las evaluaciones y las correcciones, en el área de trabajo Actividad principal de SaltStack Config. Consulte Actividad.

Panel de control de protección

El panel de control Vulnerabilidad muestra una descripción general del estado de vulnerabilidad. Este incluye diversas métricas, así como una lista de los avisos más comunes dentro de las evaluaciones más recientes con todas las directivas de vulnerabilidad actuales.

El panel de control es útil para informar sobre el estado de vulnerabilidad actual. Para compartir el panel de control, extraiga un vínculo a la URL de la página o imprima una copia en PDF. Consulte Ver e imprimir el panel de control Vulnerabilidad para obtener más información.

El panel de control incluye las siguientes métricas:

Métrica

Descripción

Resumen de vulnerabilidad

El número de activos afectados actualmente por vulnerabilidades de diferentes niveles de gravedad, desde Crítica hasta Ninguna.

Correcciones

El número total de vulnerabilidades corregidas a través de SaltStack SecOps Vulnerability, ordenadas por gravedad.

Tendencia de vulnerabilidad

Un gráfico donde se muestra el estado de vulnerabilidad durante los últimos 30 días.

Principales avisos

Una lista de las vulnerabilidades detectadas con más frecuencia en los sistemas.

Resultados de la evaluación

Los resultados de las evaluaciones de SaltStack SecOps Vulnerability se muestran en la página de inicio de la directiva. La página incluye una lista de avisos con los siguientes campos de información:

Nota:

SaltStack SecOps Vulnerability permite descargar los resultados de la evaluación en JSON. Consulte Descargar el informe de la evaluación para obtener más información.

Campo

Descripción

Gravedad

La calificación de gravedad desde Crítica hasta Ninguna. La calificación de gravedad es útil para priorizar las correcciones.

VPR (solo en las vulnerabilidades importadas de Tenable)

La calificación de prioridad de vulnerabilidad (Vulnerability Priority Rating, VPR) es una calificación de gravedad alternativa específica de Tenable. Para obtener más información sobre VPR, consulte la documentación de Tenable.

Identificador de aviso

El identificador oficial asociado con el aviso. Haga clic en el identificador para ver los detalles del aviso.

Título de aviso

El título oficial del aviso reconocido por CVE. Haga clic en el título del aviso para ver sus detalles.

CVE

Las vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE). Una lista de identificadores comunes para las vulnerabilidades de ciberseguridad conocidas públicamente.

Consulte Acerca de CVE para obtener más información.

Paquetes afectados

Una lista de los paquetes del sistema afectados por el aviso.

CVSS v3.0

La calificación de vulnerabilidad según la versión 3 del sistema común de puntuación de vulnerabilidades (Common Vulnerability Scoring System, CVSS). Es posible que esto no se muestre en ciertos avisos, ya que todavía no se han puntuado todos los avisos.

Consulte SIG del sistema común de puntuación de vulnerabilidades para obtener más información.

CVSS v2.0

La calificación de vulnerabilidad según la versión 2 del sistema común de puntuación de vulnerabilidades (Common Vulnerability Scoring System, CVSS).

Comportamiento de instalación

Indica si es posible que el aviso requiera un reinicio completo del sistema para que una revisión o una actualización surtan efecto como parte de una corrección.

Minions

Muestra el número de mínimos afectados por ese aviso.

Habilitar Windows Server Update Services (WSUS)

La corrección de avisos en nodos de Windows requiere pasos de configuración y corrección adicionales. Si el entorno implementa revisiones y actualizaciones de Windows mediante un servidor WSUS, debe asegurarse de que el servidor esté habilitado y pueda recibir actualizaciones periódicas de Microsoft. Consulte Corregir avisos de Windows para obtener más información.

Puede ejecutar el siguiente archivo de estado para conectar su minion al servidor WSUS. Reemplace las direcciones IP de muestra por la dirección IP y el puerto de su servidor WSUS:

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"