Como alternativa a ejecutar una evaluación en una directiva de vulnerabilidad, SaltStack SecOps Vulnerability admite la importación de análisis de seguridad generados por diversos proveedores de terceros.

En lugar de ejecutar una evaluación en una directiva de vulnerabilidad, puede importar un análisis de seguridad de terceros directamente a SaltStack Config y corregir los avisos de seguridad identificados mediante SaltStack SecOps Vulnerability. Consulte Cómo se ejecuta una evaluación de vulnerabilidad para obtener más información sobre la forma de ejecutar una evaluación estándar.

SaltStack SecOps Vulnerability admite análisis de terceros de:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
También es posible utilizar un conector Tenable.io para los análisis de Tenable.
Al importar un análisis de terceros en una directiva de seguridad, SaltStack Config busca coincidencias entre los minions y los nodos identificados en el análisis. El área de trabajo Copias intermedias de importación muestra la lista de avisos que se pueden importar y otra lista con los avisos que no se pueden importar actualmente. La lista de avisos no compatibles incluye una explicación del motivo por el que no se pueden importar.
Nota: De forma predeterminada, todos los usuarios de SaltStack Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de SaltStack SecOps Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector.
El panel de control de la directiva de seguridad enumera los avisos identificados por el análisis de terceros, así como si cada aviso es compatible o no con la corrección.
Nota: Si el tamaño del archivo de exportación es grande, es posible que deba analizar un segmento menor de nodos en la red con la herramienta de terceros. Como alternativa, puede importar análisis grandes mediante la interfaz de línea de comandos (Command Line Interface, CLI) o la API.

Una vez importado el análisis, el área de trabajo Copias intermedias de importación mostrará un resumen de la importación y dos tablas: una lista de Vulnerabilidades admitidas y una lista de Vulnerabilidades no admitidas. Las vulnerabilidades admitidas son los avisos que se encuentran disponibles para corrección. Las vulnerabilidades no admitidas son los avisos que actualmente no se pueden corregir. La lista de vulnerabilidades no admitidas incluye una explicación del motivo por el que no se pueden importar.

Puede importar un tercero desde un archivo, desde un conector o mediante la línea de comandos.

Requisitos previos

Para poder importar un análisis de seguridad de terceros, debe configurar un conector. Primero se debe configurar el conector con las claves de API de la herramienta del tercero.

Para configurar un conector Tenable.io:

Para configurar un conector Tenable.io, desplácese hasta Configuración > Conectores > Tenable.io, introduzca los detalles necesarios para el conector y haga clic en Guardar.
Campo de conector Descripción
Clave secreta y clave de acceso El par de claves requerido para autenticarse con la API del conector. Para obtener más información sobre cómo generar las claves, consulte la documentación de Tenable.io.
URL La URL base para las solicitudes de la API. El valor predeterminado es https://cloud.tenable.com.
Días desde La consulta del historial de análisis de Tenable.io a partir de este número de días pasados. Deje este campo en blanco para consultar un período ilimitado. Cuando se utiliza un conector para importar los resultados de los análisis, SaltStack SecOps Vulnerability utiliza los resultados por nodo más recientes disponibles en este período.
Nota: Para verificar que la directiva contenga los datos de análisis más recientes, asegúrese de volver a ejecutar la importación después de cada análisis. SaltStack SecOps Vulnerability no sondea automáticamente Tenable.io para obtener los datos de análisis más recientes.

Procedimiento

  1. En la herramienta del tercero, ejecute un análisis y asegúrese de seleccionar un escáner en la misma red que los nodos de destino. A continuación, indique las direcciones IP que desea analizar. Si desea importar un análisis de terceros desde un archivo, exporte el análisis en uno de los formatos de archivo compatibles (Nessus, XML o CSV).
  2. En SaltStack Config, asegúrese de haber descargado el contenido de SaltStack SecOps Vulnerability.
  3. En el área de trabajo de SaltStack SecOps Vulnerability, cree una directiva de seguridad destinada a los mismos nodos que se incluyeron en el análisis de terceros. Asegúrese de que los nodos analizados en la herramienta del tercero también se incluyan como destinos en la directiva de seguridad. Consulte Cómo se crea una directiva de vulnerabilidad para obtener más información.
    Nota: Después de exportar el análisis y crear una directiva, puede importar el análisis mediante la ejecución del comando raas third_party_import "filepath" third_party_tool security_policy_name. Por ejemplo, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Se recomienda importar el análisis mediante la CLI si el archivo del análisis es especialmente grande.
  4. En el panel de control de la directiva, haga clic en la flecha desplegable Menú de directivas y seleccione Cargar datos de análisis de proveedor.
  5. Importe el análisis:
    • Si importa el análisis desde un archivo, seleccione Cargar > Importar archivo y seleccione el proveedor externo. A continuación, seleccione el archivo para cargar el análisis de terceros.
    • Si importa el análisis desde un conector, seleccione Cargar > Carga de API y seleccione el tercero. Si no existe ningún conector disponible, el menú lo dirigirá al área de trabajo Configuración de conectores.
    La escala de tiempo de estado de importación mostrará el estado de la importación mientras SaltStack SecOps Vulnerability asigna los minions a los nodos identificados en el análisis. Según el número de avisos y los nodos afectados, este proceso puede demorar algún tiempo.
  6. Haga clic en Importar todo lo admitido para importar todos los avisos compatibles. Como alternativa, puede hacer clic en la casilla de verificación junto a avisos específicos de la tabla Vulnerabilidades admitidas y hacer clic en Importar selección.

Resultados

Los avisos seleccionados se importarán en SaltStack SecOps Vulnerability y se mostrarán como una evaluación en el panel de control de directivas. El panel de control de directivas también mostrará el aviso "Se importó de" debajo del título de la directiva para indicar que la última evaluación se importó desde la herramienta del tercero.

Qué hacer a continuación

Ahora puede corregir estos avisos. Consulte Cómo se corrigen los avisos para obtener más información.