Lisez cette page pour obtenir des informations de référence sur les formats de fichier de SaltStack SecOps Vulnerability pris en charge, les champs de stratégie de sécurité, les états d'activité et les mesures disponibles dans le tableau de bord Vulnérabilité.

Formats de fichier pris en charge

Les formats de fichier suivants sont pris en charge lors de l’importation de résultats à partir d’une analyse tierce.

Fournisseur

Type de fichier

Tenable

Nessus

Exportation Rapid7 InsightVM

XML

Qualys

XML

Exportation KennaSecurity

CSV

Pour plus d'informations, consultez Importation d'une analyse de sécurité tierce.

Stratégies de vulnérabilité

Une stratégie de vulnérabilité est composée d’une cible et d’une planification d’évaluation. La cible détermine les minions à inclure dans une évaluation et la planification détermine quand les évaluations seront effectuées. Une stratégie de sécurité stocke également les résultats de l'évaluation la plus récente dans SaltStack SecOps Vulnerability. Les stratégies peuvent également inclure des planifications, ainsi que des spécifications pour la gestion des exemptions.

Chaque composant d'une stratégie de vulnérabilité est décrit de façon plus détaillée ci-dessous.

Composant

Description

Cible

Une cible est le groupe de minions, dans un ou plusieurs masters Salt, à qui s'applique la commande Salt d'une tâche. Un master Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion. Lorsque vous choisissez une cible dans SaltStack SecOps Vulnerability, vous définissez le groupe de ressources (appelé minions) que votre stratégie appliquera. Vous pouvez choisir une cible existante ou en créer une. Pour plus d'informations, consultez Minions.

Planification

Choisissez la fréquence de planification entre Récurrent, Répéter la date et l'heure Une fois ou Expression Cron. Des options supplémentaires sont disponibles, en fonction de l’activité programmée et de la fréquence de planification que vous choisissez.

Récurrent

Définissez un intervalle pour répéter la planification, avec des champs facultatifs pour la date de début ou de fin, la répétition et le nombre maximal de tâches parallèles.

Répéter la date et l'heure

Choisissez de répéter la planification hebdomadairement ou quotidiennement, avec des champs facultatifs pour la date de début ou de fin, et le nombre maximal de tâches parallèles.

Une fois

Spécifier une date et une heure d'exécution de la tâche.

Cron

Entrez une expression cron pour définir une planification personnalisée basée sur la syntaxe Croniter. Pour les directives de syntaxe, reportez-vous à la section Éditeur CronTab. Pour obtenir de meilleurs résultats, évitez de planifier des tâches à moins de 60 secondes d'écart lors de la définition d'une expression Cron personnalisée.

Note :

Dans l'éditeur de planification, les termes « Tâche » et « Évaluation » sont utilisés de manière interchangeable. Lorsque vous définissez une planification pour la stratégie, vous planifiez uniquement l'évaluation, pas la correction.

Note :

Lors de la définition d'une planification d'évaluation, vous pouvez choisir l'option supplémentaire Non planifiée (à la demande). Si vous sélectionnez cette option, vous choisissez d'exécuter une seule évaluation si nécessaire et aucune planification n'est définie.

État de l'activité

Sur la page d'accueil de la stratégie, l'onglet Activité affiche la liste des évaluations et des corrections terminées ou en cours. Il inclut les états suivants.

État

Description

En file d'attente

L'opération est prête à s'exécuter, mais les minions n'ont pas encore choisi la tâche pour commencer l'opération.

Terminé

L'exécution de l'opération est terminée.

Partiel

L'opération attend toujours le retour de certains minions, bien que le master Salt ait signalé que l'exécution de l'opération est terminée. Les minions sont des nœuds exécutant le service de minion, qui peut écouter les commandes d'un master Salt et effectuer les tâches demandées. Le master Salt est un nœud central utilisé pour émettre des commandes aux minions.

Vous pouvez suivre toutes les activités de SaltStack Config, notamment les évaluations et les corrections, dans l'espace le travail Activité principal de SaltStack Config. Reportez-vous à la section Activité.

Tableau de bord de protection

Votre tableau de bord Vulnérabilité affiche une vue d'ensemble de votre état de vulnérabilité. Il inclut diverses mesures, ainsi qu’une liste des avis les plus courants dans les évaluations les plus récentes pour toutes vos stratégies de vulnérabilité actuelles.

Le tableau de bord est utile pour signaler votre état de vulnérabilité actuel. Vous pouvez partager le tableau de bord en le liant à l'URL de la page ou en imprimant une copie PDF. Consultez Affichage et impression de votre tableau de bord Vulnérabilité pour plus d'informations.

Le tableau de bord inclut les mesures suivantes :

Mesure

Description

Résumé de vulnérabilité

Nombre de ressources actuellement affectées par des vulnérabilités de différents niveaux de gravité, allant de Critique à Aucun.

Corrections

Nombre total de vulnérabilités corrigées par SaltStack SecOps Vulnerability, triées par gravité.

Tendance de vulnérabilité

Graphique indiquant votre état de vulnérabilité au cours des 30 derniers jours.

Principaux avis

Liste des vulnérabilités les plus fréquemment découvertes dans vos systèmes.

Résultats de l'évaluation

Les résultats d'évaluation de SaltStack SecOps Vulnerability s'affichent sur la page d'accueil de votre stratégie. La page inclut une liste de conseils avec les champs d’informations suivants :

Note :

SaltStack SecOps Vulnerability vous permet de télécharger les résultats de l'évaluation dans JSON. Consultez Téléchargement du rapport d'évaluation pour plus d'informations.

Champ

Description

Gravité

Niveau de gravité allant de Critique à Aucun. La notation de gravité est utile pour hiérériser les corrections.

VPR (uniquement dans les vulnérabilités importées de Tenable)

La note de priorité de vulnérabilité est une autre note de gravité spécifique de Tenable. Pour plus d'informations sur VPR, consultez la documentation de Tenable.

ID d'avis

ID officiel associé à l'avis. Cliquez sur l'ID pour afficher les détails de l'avis.

Titre de l'avis

Titre officiel de l'avis reconnu par CVE. Cliquez sur le titre de l'avis pour en afficher les détails.

CVE

Common Vulnerabilities and Exposures, liste d'identifiants communs pour les vulnérabilités de cybersécurité connues publiquement.

Pour plus d'informations, consultez À propos de CVE.

Modules affectés

Liste des modules système affectés par l'avis

CVSS v3.0

Notation de vulnérabilité selon Common Vulnerability Scoring System version 3. Cette valeur risque de ne pas s'afficher pour certains avis, car certains avis n'ont pas encore été notés.

Pour plus d'informations,consultez CVSS (Common Vulnerability Scoring System) SIG.

CVSS v2.0

Note de vulnérabilité selon CVSS (Common Vulnerability Scoring System) version 2

Comportement d'installation

Indique si l'avis peut nécessiter un redémarrage complet du système pour qu'un correctif ou une mise à jour prenne effet dans le cadre d'une correction.

Minions

Répertorie le nombre de sérions impactés par cette avis.

Activation de Windows Server Update Services (WSUS)

La correction des avis sur les nodes Windows nécessite des étapes de configuration et de correction supplémentaires. Si votre environnement déploie des correctifs et des mises à jour Windows à l'aide d'un serveur WSUS, vous devez vous assurer que le serveur est activé et vérifier qu'il peut recevoir des mises à jour régulières de la part de Microsoft. Pour plus d'informations, reportez-vous à la section Correction des avis Windows.

Vous pouvez exécuter le fichier d'état suivant pour connecter votre minion à votre serveur WSUS, en remplaçant les exemples d'adresses IP par l'adresse IP et le port de votre serveur WSUS :

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"