SaltStack SecOps Vulnerability prend en charge l'importation d'analyses de sécurité générées par divers fournisseurs tiers. Cela inclut l'importation de fichiers d'analyse depuis Tenable, Rapid7, Qualys et Kenna Security, ou via le connecteur Tenable.io.

Vous pouvez importer une analyse de sécurité tierce directement dans SaltStack Config et corriger les avis de sécurité qu'elle a identifiés à l'aide de SaltStack SecOps Vulnerability. Vous pouvez importer cette analyse plutôt que d'exécuter une évaluation dans SaltStack SecOps Vulnerability. Reportez-vous à la section Exécution d'une évaluation pour plus d'informations sur l'exécution d'une évaluation standard.

Lorsque vous importez une analyse tierce dans une stratégie de sécurité, SaltStack Config met en correspondance les minions avec les nœuds identifiés par l'analyse. L'espace de travail Préparation d'importation affiche la liste des avis qui peuvent être importés et une autre liste indiquant les avis qui ne peuvent actuellement pas être importés. La liste des avis non pris en charge inclut une explication des raisons pour lesquelles ils ne peuvent pas être importés.

Le tableau de bord de stratégie de sécurité répertorie les avis identifiés par l’analyse tierce, ainsi que si chaque avis est pris en charge ou non pour la correction.

Note : Si la taille de votre fichier d’exportation est importante, vous devrez peut-être analyser un plus petit nombre de nodes dans votre outil tiers. Vous pouvez également importer des analyses de grande taille à l'aide de l'interface de ligne de commande ou de l'API. Pour plus d'informations sur l'importation via l'interface de ligne de commande, reportez-vous à la section Importation d'une analyse tierce via la ligne de commande. Pour l'importation via l'API, reportez-vous à la Documentation sur le point de terminaison RPC API (RaaS).

Importation d’une analyse de sécurité tierce à partir d’un fichier

Pour importer une analyse de sécurité d'un tiers tel que Tenable :

  1. Dans votre outil tiers, exécutez une analyse et exportez-la dans l'un des formats de fichiers pris en charge. Pour plus d'informations, reportez-vous à la section Formats de fichiers pris en charge. Pour obtenir des instructions spécifiques sur l'exécution d'une analyse ou l'exportation du fichier requis à partir d'un tiers, reportez-vous à la documentation d'aide du tiers.

    Lors de l’exécution de l’analyse, assurez-vous de choisir un scanner qui se trouve sur le même réseau que les nodes que vous souhaitez cibler. Indiquez ensuite les adresses IP que vous souhaitez analyser.

  2. Dans SaltStack Config, assurez-vous d'avoir téléchargé le contenu SaltStack SecOps Vulnerability.
  3. Dans l'espace de travail SaltStack SecOps Vulnerability, créez une stratégie de sécurité qui cible les mêmes nœuds que ceux qui ont été inclus dans l'analyse tierce. Pour plus d'informations, reportez-vous à la section Création d'une stratégie.
    Note : Assurez-vous que les nodes que vous avez analysés dans votre outil tiers sont également inclus en tant que cibles dans cette stratégie de sécurité. Sinon, lorsque vous importez l'analyse, SaltStack SecOps Vulnerability ne peut pas faire correspondre les minions ciblés aux adresses IP identifiées par votre outil tiers.
  4. Dans le tableau de bord de stratégie, cliquez sur Menu de stratégievulnerability-menu-icon, puis sélectionnez Importer les données d'analyse du fournisseur.

    Cela ouvre l'espace de travail Préparation d'importation.

    Note : Si l'option Importer les données d'analyse du fournisseur n'est pas disponible, vous n'avez peut-être pas l'autorisation d'importer une analyse tierce dans SaltStack Config. Contactez votre administrateur pour obtenir l'accès. Pour plus d'informations, reportez-vous à la section Rôles et autorisations.
  5. Cliquez sur Importer > Importation de fichiers et sélectionnez votre fournisseur tiers. Sélectionnez ensuite le fichier pour télécharger votre analyse tierce.

    La chronologie de l’état de l’importation affiche l’état de votre importation. SaltStack SecOps Vulnerability mappe les minions aux nœuds qui ont été identifiés par l'analyse. Il mappe également les avis identifiés aux minions. En fonction du nombre de conseils et de nodes affectés, ce processus peut prendre un certain temps. Vous pouvez naviguer ailleurs pendant l'exécution en arrière-plan.

    Lorsque le traitement de l'importation est terminé, l'espace de travail Transfert d'importation affiche un résumé de l'importation et deux tableaux : une liste de Vulnérabilités prises en charge et une liste de Vulnérabilités non prises en charge. Les vulnérabilités prise en charge sont les avis disponibles pour correction. Les vulnérabilités non prises en charge sont les avis qui ne peuvent actuellement pas être corrigés. La liste des vulnérabilités non prises en charges inclut une explication des raisons pour lesquelles elles ne peuvent pas être importées.

    Vous pouvez filtrer les avis par colonne si nécessaire. Par exemple, vous pouvez filtrer les avis par gravité pour choisir ceux à corriger. Si un en-tête de colonne inclut une icône de filtre filter-icon, vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer.

    Note : Les analyses de sécurité tierces peuvent inclure des données supplémentaires qui ne s'affichent pas par défaut dans l'espace de travail Préparation d'importation. Pour afficher ces données, cliquez sur le bouton Afficher les colonnes show-columns-icon, puis cochez la case en regard des données que vous souhaitez afficher.
  6. Cliquez sur Importer tous les avis pris en charge pour importer tous les avis pris en charge. Vous pouvez également cocher la case en regard d'avis spécifiques dans le tableau Vulnérabilités prises en charge et cliquer sur Importer les avis sélectionnés pour importer une sélection plus petite.

    Les avis sélectionnés sont importés dans SaltStack SecOps Vulnerability et figurent comme évaluation dans le tableau de bord de la stratégie. Le tableau de bord de la stratégie affiche également Importé de sous le titre de la stratégie pour indiquer que la dernière évaluation a été importée à partir de votre outil tiers. Vous pouvez maintenant corriger ces avis. Pour plus d'informations, reportez-vous à la section Correction d'avis.

    Note : Pour obtenir de meilleurs résultats, essayez de raccourcir le laps de temps entre l'exécution d'une analyse tierce et l'importation de l'analyse dans SaltStack Config.

Importation des résultats d'une analyse à partir d'un connecteur

Pour importer une analyse de sécurité à partir d'un connecteur :

  1. Dans votre outil tiers, exécutez une analyse et assurez-vous de sélectionner un scanner qui se trouve sur le même réseau que les nodes que vous souhaitez cibler. Indiquez ensuite les adresses IP que vous souhaitez analyser.
  2. Dans SaltStack Config, assurez-vous d'avoir téléchargé le contenu SaltStack SecOps Vulnerability.
  3. Dans l'espace de travail SaltStack SecOps Vulnerability, créez une stratégie de sécurité qui cible les mêmes nœuds que ceux qui ont été inclus dans l'analyse tierce. Pour plus d'informations, reportez-vous à la section Création d'une stratégie.
    Note :

    Assurez-vous que les nodes que vous avez analysés dans votre outil tiers sont également inclus en tant que cibles dans cette stratégie de sécurité. Sinon, lorsque vous importez l'analyse, SaltStack SecOps Vulnerability ne peut pas faire correspondre les minions ciblés aux adresses IP identifiées par votre outil tiers.

  4. Dans le tableau de bord de stratégie, cliquez sur Menu de stratégievulnerability-menu-icon, puis sélectionnez Importer les données d'analyse du fournisseur.

    Cela ouvre l'espace de travail Préparation d'importation.

    Note : Si l'option Importer les données d'analyse du fournisseur n'est pas disponible, vous n'avez peut-être pas l'autorisation d'importer une analyse tierce dans SaltStack Config. Contactez votre administrateur pour obtenir l'accès. Pour plus d'informations, reportez-vous à la section Rôles et autorisations.
  5. Cliquez sur Importer >Importation d'API et sélectionnez le tiers.
    Note : Si aucun connecteur n'est disponible, le menu vous dirige vers l'espace de travail Paramètres des connecteurs. Pour plus d'informations, reportez-vous à la section Connecteurs.

    Pour vous assurer que votre stratégie contient les dernières données d'analyse, n'oubliez pas de réexécuter votre importation après chaque analyse. SaltStack SecOps Vulnerability n'interroge pas le tiers pour obtenir automatiquement les dernières données d'analyse.

    La chronologie de l’état de l’importation affiche l’état de votre importation. SaltStack SecOps Vulnerability mappe les minions aux nœuds qui ont été identifiés par l'analyse. Il mappe également les avis identifiés aux minions. En fonction du nombre de conseils et de nodes affectés, ce processus peut prendre un certain temps. Vous pouvez naviguer ailleurs pendant l'exécution en arrière-plan.

    Note : Si l'importation échoue, cela peut être dû à une erreur d'authentification ou à une autre erreur. Assurez-vous d'avoir entré les bonnes clés. Si les clés s'avèrent correctes, l'étape suivante du dépannage consiste à afficher le journal RaaS. Ce journal est disponible uniquement pour les administrateurs et contient la réponse de PyTenable. Pour plus d'informations sur la compréhension des erreurs PyTenable, consultez la documentation PyTenable. Si vous ne pouvez pas accéder au journal RaaS, contactez votre administrateur pour obtenir de l'aide.

    Lorsque le traitement de l'importation est terminé, l'espace de travail Transfert d'importation affiche un résumé de l'importation et deux tableaux : une liste de Vulnérabilités prises en charge et une liste de Vulnérabilités non prises en charge. Les vulnérabilités prise en charge sont les avis disponibles pour correction. Les vulnérabilités non prises en charge sont les avis qui ne peuvent actuellement pas être corrigés. La liste des vulnérabilités non prises en charges inclut une explication des raisons pour lesquelles elles ne peuvent pas être importées.

    Vous pouvez filtrer les avis par colonne si nécessaire. Par exemple, vous pouvez filtrer les avis par gravité pour choisir ceux à corriger. Si un en-tête de colonne inclut une icône de filtre filter-icon, vous pouvez filtrer les résultats sur ce type de colonne. Cliquez sur l’icône et sélectionnez une option de filtre dans le menu ou tapez le texte que vous souhaitez filtrer.

    Note : Les analyses de sécurité tierces peuvent inclure des données supplémentaires qui ne s'affichent pas par défaut dans l'espace de travail Préparation d'importation. Pour afficher ces données, cliquez sur le bouton Afficher les colonnes show-columns-icon, puis cochez la case en regard des données que vous souhaitez afficher.
  6. Cliquez sur Importer tous les avis pris en charge pour importer tous les avis pris en charge. Vous pouvez également sélectionner des avis spécifiques dans le tableau Vulnérabilités prises en charge et cliquer sur Importer les vulnérabilités sélectionnées pour importer une sélection plus petite.

    Les avis sélectionnés sont importés dans SaltStack SecOps Vulnerability et figurent comme évaluation dans le tableau de bord de la stratégie. Le tableau de bord de la stratégie affiche également Importé de sous le titre de la stratégie pour indiquer que la dernière évaluation a été importée à partir de votre outil tiers. Vous pouvez maintenant corriger ces avis. Pour plus d'informations, reportez-vous à la section Correction d'avis.

    Note : Pour obtenir de meilleurs résultats, essayez de raccourcir le laps de temps entre l'exécution d'une analyse tierce et l'importation de l'analyse dans SaltStack Config.

Importation d'une analyse tierce via la ligne de commande

Si vous avez un accès utilisateur à RaaS, vous pouvez importer une analyse tierce dans l'interface de ligne de commande. Il est recommandé d'importer le fichier d'analyse via l'interface de ligne de commande s'il est particulièrement volumineux. Avant d'effectuer l'importationr à l'aide de l'interface de ligne de commande, assurez-vous que vous connaissez bien le processus d'importation de l'analyse via l'interface utilisateur, car le processus sera similaire. Pour plus d'informations, reportez-vous à la section Importation d'une analyse de sécurité tierce.

Après avoir exporté l'analyse à partir de votre outil tiers et créé une stratégie de sécurité dans SaltStack SecOps Vulnerability, vous pouvez importer l'analyse dans l'interface de ligne de commande à l'aide de la commande suivante, en remplaçant les arguments d'espace réservé selon les besoins :

raas third_party_import "filepath" third_party_tool security_policy_name

Dans la commande précédente, vous remplacez filepath par l'emplacement du fichier exporté, third_party_tool par le nom de votre outil tiers et security_policy_name par le nom de votre stratégie de sécurité. Par exemple, vous pouvez utiliser la commande suivante lors de l’importation à partir de Tenable :

raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy