Plutôt que d'exécuter une évaluation sur une stratégie de vulnérabilité, SaltStack SecOps Vulnerability prend en charge l'importation d'analyses de sécurité générées par divers fournisseurs tiers.

Au lieu d'exécuter une évaluation sur une stratégie de vulnérabilité, vous pouvez importer une analyse de sécurité tierce directement dans SaltStack Config et corriger les avis de sécurité qu'elle a identifiés à l'aide de SaltStack SecOps Vulnerability. Pour plus d'informations sur l'exécution d'une évaluation standard, reportez-vous à la section Comment exécuter une évaluation de vulnérabilité.

SaltStack SecOps Vulnerability prend en charge les analyses tierces à partir de :
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
Vous pouvez également utiliser un connecteur Tenable.io pour les analyses Tenable.
Lorsque vous importez une analyse tierce dans une stratégie de sécurité, SaltStack Config met en correspondance les minions avec les nœuds identifiés par l'analyse. L'espace de travail Préparation d'importation affiche la liste des avis qui peuvent être importés et une autre liste indiquant les avis qui ne peuvent actuellement pas être importés. La liste des avis non pris en charge inclut une explication des raisons pour lesquelles ils ne peuvent pas être importés.
Note : Par défaut, tous les utilisateurs de SaltStack Config peuvent accéder à l'espace de travail Connecteurs. Cependant, l'autorisation d'exécuter l'importation du fournisseur de vulnérabilité ainsi qu'une licence SaltStack SecOps Vulnerability sont requises pour qu'un utilisateur importe correctement des vulnérabilités à partir d'un connecteur.
Le tableau de bord de stratégie de sécurité répertorie les avis identifiés par l’analyse tierce, ainsi que si chaque avis est pris en charge ou non pour la correction.
Note : Si la taille de votre fichier d'exportation est importante, vous devrez peut-être analyser un plus petit segment de nœuds dans votre réseau avec votre outil tiers. Vous pouvez également importer des analyses de grande taille à l'aide de l'interface de ligne de commande ou de l'API.

Après l'importation de l'analyse, l'espace de travail Transfert d'importation affiche un résumé de l'importation et deux tableaux : une liste de vulnérabilités prises en charge et une liste de vulnérabilités non prises en charge. Les vulnérabilités prise en charge sont les avis disponibles pour correction. Les vulnérabilités non prises en charge sont les avis qui ne peuvent actuellement pas être corrigés. La liste des vulnérabilités non prises en charges inclut une explication des raisons pour lesquelles elles ne peuvent pas être importées.

Vous pouvez importer une analyse tierce à partir d'un fichier, d'un connecteur ou à l'aide de la ligne de commande.

Conditions préalables

Avant de pouvoir importer une analyse de sécurité tierce, vous devez configurer un connecteur. Le connecteur doit d'abord être configuré à l'aide des clés d'API de l'outil tiers.

Pour configurer un connecteur Tenable.io :

Pour configurer un connecteur Tenable.io, accédez à Paramètres > Connecteurs > Tenable.io, entrez les détails requis pour le connecteur, puis cliquez sur Enregistrer.
Champ Connecteur Description
Clé secrète et clé d'accès Paire de clés requise pour l'authentification dans l'API du connecteur. Pour plus d'informations sur la génération de vos clés, consultez la documentation de Tenable.io.
URL URL de base pour les demandes d'API. L'URL par défaut est https://cloud.tenable.com.
Jours depuis Interrogez l'historique d'analyses Tenable.io en remontant de ce nombre de jours. Laissez ce champ vide pour que l'interrogation porte sur une période illimitée. Lorsque vous utilisez un connecteur pour importer les résultats d'analyse, SaltStack SecOps Vulnerability utilise les résultats les plus récents par nœud disponibles au cours de cette période.
Note : Pour vous assurer que votre stratégie contient les dernières données d'analyse, n'oubliez pas de réexécuter votre importation après chaque analyse. SaltStack SecOps Vulnerability n'interroge pas Tenable.io pour connaître les données d'analyse les plus récentes.

Procédure

  1. Dans votre outil tiers, exécutez une analyse et assurez-vous de sélectionner un scanner qui se trouve sur le même réseau que les nodes que vous souhaitez cibler. Indiquez ensuite les adresses IP que vous souhaitez analyser. Si vous importez une analyse tierce à partir d'un fichier, exportez l'analyse dans l'un des formats de fichier pris en charge (Nessus, XML ou CSV).
  2. Dans SaltStack Config, assurez-vous d'avoir téléchargé le contenu SaltStack SecOps Vulnerability.
  3. Dans l'espace de travail SaltStack SecOps Vulnerability, créez une stratégie de sécurité qui cible les mêmes nœuds que ceux qui ont été inclus dans l'analyse tierce. Assurez-vous que les nœuds que vous avez analysés dans votre outil tiers sont également inclus en tant que cibles dans la stratégie de sécurité. Pour plus d'informations, reportez-vous à la section Comment créer une stratégie de vulnérabilité.
    Note : Après l'exportation de votre analyse et la création d'une stratégie, vous pouvez l'importer en exécutant la commande raas third_party_import "filepath" third_party_tool security_policy_name. Par exemple, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Il est recommandé d'importer votre analyse à l'aide de l'interface de ligne de commande si le fichier d'analyse est particulièrement volumineux.
  4. Dans le tableau de bord de la stratégie, cliquez sur la flèche déroulante Menu de stratégie, puis sélectionnez Télécharger les données d'analyse du fournisseur.
  5. Importez votre analyse :
    • Si vous importez votre analyse à partir d'un fichier, sélectionnez Télécharger > Importation de fichiers et sélectionnez votre fournisseur tiers. Sélectionnez ensuite le fichier pour télécharger votre analyse tierce.
    • Si vous importez votre analyse à partir d'un connecteur, sélectionnez Télécharger > Téléchargement d'API et sélectionnez le fournisseur tiers. Si aucun connecteur n'est disponible, le menu vous dirige vers l'espace de travail des paramètres de connecteurs.
    La chronologie de l'état de l'importation affiche l'état de votre importation pendant que SaltStack SecOps Vulnerability mappe vos minions aux nœuds identifiés par l'analyse. En fonction du nombre d'avis et de nœuds affectés, ce processus peut prendre un certain temps.
  6. Cliquez sur Importer tous les avis pris en charge pour importer tous les avis pris en charge. Vous pouvez également cocher la case en regard d'avis spécifiques dans le tableau Vulnérabilités prises en charge et cliquer sur Importer les avis sélectionnés.

Résultats

Les avis sélectionnés sont importés dans SaltStack SecOps Vulnerability et figurent comme évaluation dans le tableau de bord de la stratégie. Le tableau de bord de la stratégie affiche également Importé de sous le titre de la stratégie pour indiquer que la dernière évaluation a été importée à partir de votre outil tiers.

Que faire ensuite

Vous pouvez maintenant corriger ces avis. Pour plus d'informations, reportez-vous à la section Comment corriger mes avis.