Como alternativa a ejecutar una evaluación en una directiva de vulnerabilidad, SaltStack SecOps Vulnerability admite la importación de análisis de seguridad generados por diversos proveedores de terceros.

En lugar de ejecutar una evaluación en una directiva de vulnerabilidad, puede importar un análisis de seguridad de terceros directamente a SaltStack Config y corregir los avisos de seguridad identificados mediante SaltStack SecOps Vulnerability. Consulte Cómo se ejecuta una evaluación de vulnerabilidad para obtener más información sobre la forma de ejecutar una evaluación estándar.

SaltStack SecOps Vulnerability admite análisis de terceros de:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
También es posible utilizar un conector Tenable.io para los análisis de Tenable.
Al importar un análisis de terceros en una directiva de seguridad, SaltStack Config busca coincidencias entre los minions y los nodos identificados en el análisis.
Nota: De forma predeterminada, todos los usuarios de SaltStack Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de SaltStack SecOps Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector.
El panel de control de la directiva de seguridad enumera los avisos identificados por el análisis de terceros, así como si cada aviso es compatible o no con la corrección.
Nota: Si el tamaño del archivo de exportación es grande, es posible que deba analizar un segmento menor de nodos en la red con la herramienta de terceros. Como alternativa, puede importar análisis grandes mediante la interfaz de línea de comandos (Command Line Interface, CLI) o la API.
Después de importar la exploración, la política muestra un resumen que puede alternar entre dos vistas: Vulnerabilidades admitidas y Vulnerabilidades no admitidas. Las vulnerabilidades admitidas son los avisos que están disponibles para corrección usando SaltStack Config. Las vulnerabilidades no admitidas son los avisos que no se pueden corregir mediante SaltStack Config.
Nota: Esta opción de alternancia de vista solo está disponible para los datos importados por el proveedor. Los datos creados con contenido SaltStack SecOps no mostrarán esta vista mediante el campo de alternancia.

Puede importar un tercero desde un archivo, desde un conector o mediante la línea de comandos.

Requisitos previos

Para poder importar un análisis de seguridad de terceros, debe configurar un conector. Primero se debe configurar el conector con las claves de API de la herramienta del tercero.

Para configurar un conector Tenable.io:

Para configurar un conector Tenable.io, desplácese hasta Configuración > Conectores > Tenable.io, introduzca los detalles necesarios para el conector y haga clic en Guardar.
Campo de conector Descripción
Clave secreta y clave de acceso El par de claves requerido para autenticarse con la API del conector. Para obtener más información sobre cómo generar las claves, consulte la documentación de Tenable.io.
URL La URL base para las solicitudes de la API. El valor predeterminado es https://cloud.tenable.com.
Días desde La consulta del historial de análisis de Tenable.io a partir de este número de días pasados. Deje este campo en blanco para consultar un período ilimitado. Cuando se utiliza un conector para importar los resultados de los análisis, SaltStack SecOps Vulnerability utiliza los resultados por nodo más recientes disponibles en este período.
Nota: Para verificar que la directiva contenga los datos de análisis más recientes, asegúrese de volver a ejecutar la importación después de cada análisis. SaltStack SecOps Vulnerability no sondea automáticamente Tenable.io para obtener los datos de análisis más recientes.

Para configurar un conector de Carbon Black (solo Windows):

Para configurar un conector de Carbon Black, debe habilitar el permiso de lectura de dispositivo en Carbon Black Cloud y crear un código de token de API. Para obtener más información sobre cómo crear un código de token de API, consulte API de evaluación de vulnerabilidad.
Nota: SaltStack SecOps solo admite conectores y análisis desde VMware Carbon Black Cloud. SaltStack SecOps solo utiliza el dispositivo de Carbon Black e ipv4 para la coincidencia y risk_meter_score para mostrar. No se utiliza ninguna otra información.

Antes de poder configurar un conector de Carbon Black, primero debe configurar un entorno de kit de sensores de Carbon Black para minions de Windows.

Para configurar un entorno de kit de sensores de Carbon Black:
  1. Inicie un entorno de Saltstack Config e implemente un servidor de Windows.
  2. Instale el minion de Salt en el servidor de Windows. Para obtener más información, consulte Instalación de un minion de Salt.
  3. Acepte las claves maestras en SaltStack Config y las claves de minion de SaltStack Config o el maestro de Salt.
  4. Instale el kit de sensores de Carbon Black en el minion de Windows. Para obtener más información, consulte Instalar sensores en cargas de trabajo de máquina virtual.
  5. En SaltStack SecOps, defina una directiva con un grupo de destino que contenga el minion de Windows.
  6. Una vez completada la ingesta de VMan de SaltStack Config, sincronice el módulo de Carbon Black de SaltStack Config desde el maestro de Salt mediante la ejecución de estos comandos: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. En el minion de Windows, establezca el grano del dispositivo de Carbon Black mediante la ejecución de salt mywindowsminion carbonblack.set_device_grain.
Después de configurar un entorno de kit de sensores de Carbon Black, puede configurar el conector de Carbon Black en SaltStack Config desplazándose hasta Configuración > Conectores > VMware Carbon Black. Introduzca los detalles necesarios para el conector y haga clic en Guardar.
Campo de conector Descripción
URL URL para solicitudes de API
Clave de token y de organización El par de claves requerido para autenticarse con la API del conector.
Nota: Si elimina un conector de VMware Carbon Black, estos campos se rellenan con caracteres ‘xxxx’. Se hace para mantener el formato de clave de token 'xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx'
Comprobar SSL De forma predeterminada, se establece en true.
  1. Haga clic en Minions y seleccione Todos los minions o un minion específico para un grupo de destino de directiva.
  2. Haga clic en Ejecutar comando y ejecute los estos comandos: saltutil.sync_all, carbon_black.set_device_grain y saltutil.refresh_grains.

Procedimiento

  1. En la herramienta del tercero, ejecute un análisis y asegúrese de seleccionar un escáner en la misma red que los nodos de destino. A continuación, indique las direcciones IP que desea analizar. Si desea importar un análisis de terceros desde un archivo, exporte el análisis en uno de los formatos de archivo compatibles (Nessus, XML o CSV).
  2. En SaltStack Config, asegúrese de haber descargado el contenido de SaltStack SecOps Vulnerability.
  3. En el área de trabajo de SaltStack SecOps Vulnerability, cree una directiva de seguridad destinada a los mismos nodos que se incluyeron en el análisis de terceros. Asegúrese de que los nodos analizados en la herramienta del tercero también se incluyan como destinos en la directiva de seguridad. Consulte Cómo crear una directiva de vulnerabilidad para obtener más información.
    Nota: Después de exportar el análisis y crear una directiva, puede importar el análisis mediante la ejecución del comando raas third_party_import "filepath" third_party_tool security_policy_name. Por ejemplo, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Se recomienda importar el análisis mediante la CLI si el archivo del análisis es especialmente grande.
  4. En el panel de control de la directiva, haga clic en la flecha desplegable Menú de directivas y seleccione Cargar datos de análisis de proveedor.
  5. Importe el análisis:
    • Si importa el análisis desde un archivo, seleccione Cargar > Importar archivo y seleccione el proveedor externo. A continuación, seleccione el archivo para cargar el análisis de terceros.
    • Si importa el análisis desde un conector, seleccione Cargar > Carga de API y seleccione el tercero. Si no existe ningún conector disponible, el menú lo dirigirá al área de trabajo Configuración de conectores.
    La escala de tiempo de estado de importación mostrará el estado de la importación mientras SaltStack SecOps Vulnerability asigna los minions a los nodos identificados en el análisis. Según el número de avisos y los nodos afectados, este proceso puede demorar algún tiempo.
  6. En la página Seleccionar compatible, seleccione los avisos compatibles que desea incluir como parte de la importación de archivos.
  7. En la página Seleccionar no compatible, seleccione los avisos no admitidos que desea incluir como parte de la importación de archivos.
  8. Revise los avisos no coincidentes para los avisos que no coinciden con un host o un minion. Este resultado no se puede corregir mediante SaltStack Config.
  9. Haga clic en Siguiente y revise un resumen de lo que se importará en la directiva.
  10. Haga clic en Finalizar importación para importar el análisis.

Resultados

Los avisos seleccionados se importarán en SaltStack SecOps Vulnerability y se mostrarán como una evaluación en el panel de control de directivas. El panel de control de directivas también mostrará el aviso "Se importó de" debajo del título de la directiva para indicar que la última evaluación se importó desde la herramienta del tercero.
Nota: Las evaluaciones solo se ejecutan cuando el análisis se importa. Las evaluaciones de análisis importadas no se pueden ejecutar según una programación.

Qué hacer a continuación

Ahora puede corregir estos avisos. Consulte Cómo se corrigen los avisos para obtener más información.