Come alternativa all'esecuzione di una valutazione di un criterio di vulnerabilità, Automation for Secure Hosts Vulnerability supporta l'importazione delle scansioni di sicurezza generate da diversi fornitori di terze parti.

Anziché eseguire una valutazione di un criterio di vulnerabilità, è possibile importare una scansione di sicurezza di terze parti direttamente in Automation Config e correggere gli avvisi di sicurezza identificati utilizzando Automation for Secure Hosts Vulnerability. Vedere Come si esegue una valutazione delle vulnerabilità per ulteriori informazioni sull'esecuzione di una valutazione standard.

Automation for Secure Hosts Vulnerability supporta scansioni di terze parti da:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Quando si importa una scansione di terze parti in un criterio di sicurezza, Automation Config abbina i minion ai nodi identificati dalla scansione.
Nota: Per impostazione predefinita, tutti gli utenti di Automation Config possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di Automation for Secure Hosts Vulnerability affinché un utente possa importare correttamente le vulnerabilità da un connettore.
Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.
Nota: Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un segmento inferiore di nodi nella rete con lo strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API.
Dopo aver importato la scansione, il criterio mostra un riepilogo che è possibile alternare tra due visualizzazioni: Vulnerabilità supportate e Vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti tramite Automation Config. Le vulnerabilità non supportate sono avvisi che non possono essere corretti tramite Automation Config.

Nota: Attiva/disattiva l'opzione Visualizza per disponibile solo per i dati importati dal fornitore. I dati creati utilizzando contenuti di Automation for Secure Hosts non mostreranno questo campo di attivazione/disattivazione Visualizza per.

Configurazione di un connettore di terze parti

Per poter importare una scansione della sicurezza di terze parti, è necessario configurare un connettore. Il connettore deve innanzitutto essere configurato utilizzando le chiavi API dello strumento di terze parti.

Per configurare un connettore Tenable.io

Per configurare un connettore Tenable.io, passare a Impostazioni > Connettori > Tenable.io, immettere i dettagli richiesti per il connettore e fare clic su Salva.
Campo Connettore Descrizione
Chiave segreta e chiave di accesso Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore. Per ulteriori informazioni sulla generazione delle chiavi, vedere la documentazione di Tenable.io.
URL URL di base per le richieste API. L'impostazione predefinita è https://cloud.tenable.com.
Giorni da Consente di eseguire query nella cronologia di scansioni di Tenable.io iniziando da questo numero di giorni fa. Lasciare il campo vuoto per eseguire una query per un periodo di tempo illimitato. Quando si utilizza un connettore per importare i risultati della scansione, Automation for Secure Hosts Vulnerability usa i risultati più recenti per nodo disponibili in questo periodo.
Nota: Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione. Automation for Secure Hosts Vulnerability non esegue automaticamente il polling di Tenable.io per i dati della scansione più recente.

Per configurare un connettore Carbon Black (solo Windows)

Per configurare un connettore Carbon Black, è necessario abilitare l'autorizzazione di lettura del dispositivo in Carbon Black Cloud e creare un codice token API. Per ulteriori informazioni sulla creazione di un codice token API, vedere API di valutazione delle vulnerabilità.
Nota: Automation for Secure Hosts supporta solo connettori e scansioni da VMware Carbon Black Cloud. Automation for Secure Hosts utilizza solo IPv4 e il dispositivo Carbon Black per la corrispondenza e risk_meter_score per la visualizzazione. Non vengono utilizzate altre informazioni.

Prima di poter configurare un connettore Carbon Black, è innanzitutto necessario configurare un ambiente kit di sensori Windows Minion Carbon Black.

Per configurare un ambiente kit di sensori Carbon Black:
  1. Avviare un ambiente di Automation Config e distribuire un server Windows.
  2. Installare il minion Salt nel server Windows. Per ulteriori informazioni, vedere Installazione dei minion Salt.
  3. Accettare le chiavi del Master in Automation Config e le chiavi dei minion da Automation Config o dal Salt Master.
  4. Installare il kit di sensori Carbon Black nel minion Windows. Per ulteriori informazioni, vedere Installazione dei sensori nei carichi di lavoro delle macchine virtuali.
  5. In Automation for Secure Hosts, definire un criterio con un gruppo di destinazione che contenga il minion Windows.
  6. Dopo aver completato l'inserimento di VMan di Automation Config, sincronizzare il modulo Carbon Black di Automation Config dal Salt Master eseguendo i comandi seguenti: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Nel minion Windows, impostare il grain del dispositivo Carbon Black eseguendo salt mywindowsminion carbonblack.set_device_grain.
Dopo aver configurato un ambiente kit di sensori Black Carbon, è possibile configurare il connettore di Carbon Black in Automation Config passando a Impostazioni > Connettori > VMware Carbon Black. Immettere i dati richiesti per il connettore e fare clic su Salva.
Campo Connettore Descrizione
URL URL per le richieste API
Token e chiave dell'organizzazione Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore.
Nota: Se si elimina un connettore VMware Carbon Black, questi campi vengono compilati con caratteri 'xxxx'. Questo manterrà il formato della chiave del token 'xxxxxxxxxxxxxx/xxxxxxx'
Verifica SSL L'impostazione predefinita è impostata su true.
  1. Fare clic su Destinazioni e selezionare Tutti i minion oppure un minion specifico per un gruppo di destinazione del criterio.
  2. Fare clic su Esegui comando ed eseguire i comandi seguenti: saltutil.sync_all, carbon_black.set_device_grain e saltutil.refresh_grains.

Per configurare un connettore Qualys

Per configurare un connettore Qualys, passare a Impostazioni > Connettori > Qualys, immettere i dettagli richiesti per il connettore e fare clic su Salva.

Le credenziali di URL, nome utente e password sono fornite da Qualys.

Come importare una scansione di terze parti?

È possibile importare una scansione di terze parti da un file, da un connettore o utilizzando la riga di comando.

Prerequisiti

Assicurarsi di aver configurato il connettore di terze parti nell'interfaccia utente di Connettori.

Procedura

  1. Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione. Se si importa una scansione di terze parti da un file, esportare la scansione in uno dei formati di file supportati (Nessus, XML o CSV).
  2. In Automation Config, assicurarsi di aver scaricato i contenuti di Automation for Secure Hosts Vulnerability.
  3. Nell'area di lavoro Automation for Secure Hosts Vulnerability, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni nel criterio di sicurezza. Per ulteriori informazioni, vedere Come si crea un criterio di vulnerabilità.
    Nota: Dopo aver esportato e creato un criterio, è possibile importarlo eseguendo il comando raas third_party_import "filepath" third_party_tool security_policy_name. Ad esempio raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Si consiglia di importare la scansione usando la CLI se il file di scansione è particolarmente grande.
  4. Nel dashboard dei criteri, fare clic sull'elenco a discesa Menu dei criteri e selezionare Carica dati scansione fornitore.
  5. Importare la scansione:


    • Se la scansione viene importata da un file, selezionare Carica > Caricamento file e selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.
    • Se la scansione viene importata da un connettore, selezionare Carica > Caricamento API e selezionare la terza parte. Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori.
    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione, mentre Automation for Secure Hosts Vulnerability mappa i minion ai nodi identificati dalla scansione. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere del tempo.
    Nota: Se si seleziona Qualys come fornitore di terze parti, tutte le scansioni devono essere in formato XML. Non sono supportati altri formati.
  6. Nella pagina Seleziona supportati, selezionare gli avvisi supportati che si desidera includere nell'importazione del file.
  7. Nella pagina Seleziona non supportati, selezionare gli avvisi non supportati che si desidera includere nell'importazione del file.
  8. Rivedere gli avvisi non corrispondenti per gli avvisi che non corrispondono a un host o minion. Di conseguenza, non possono essere corretti tramite Automation Config.
  9. Fai clic su Avanti e rivedere un riepilogo di ciò che sarà importato nel criterio.
  10. Fare clic su Termina importazione per importare la scansione.

risultati

Gli avvisi selezionati vengono importati in Automation for Secure Hosts Vulnerability e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti.
Nota: Le valutazioni vengono eseguite solo quando la scansione viene importata. Le valutazioni delle scansioni importate non possono essere eseguite in base a una pianificazione.

Operazioni successive

A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Come correggere gli avvisi.