SaltStack SecOps Vulnerability supporta l'importazione di scansioni di sicurezza generate da diversi fornitori di terze parti. È inclusa l'importazione dei file di scansione da Tenable, Rapid7, Qualys e Kenna Security, oppure tramite un connettore Tenable.io.

È possibile importare una scansione di sicurezza di terze parti direttamente in SaltStack Config e correggere gli avvisi di sicurezza identificati tramite SaltStack SecOps Vulnerability. È possibile importare questa scansione in alternativa all'esecuzione di una valutazione in SaltStack SecOps Vulnerability. Vedere Esecuzione di una valutazione per ulteriori informazioni sull'esecuzione di una valutazione standard.

Quando si importa una scansione di terze parti in un criterio di sicurezza, SaltStack Config abbina i minion ai nodi identificati dalla scansione. L'area di lavoro Staging importazione include un elenco degli avvisi che possono essere importati e un altro elenco degli avvisi che al momento non possono essere importati. L'elenco degli avvisi non supportati include una spiegazione del motivo per cui non possono essere importati.

Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.

Nota: Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un numero inferiore di nodi nello strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API. Vedere Importazione di una scansione di terze parti tramite la riga di comando per ulteriori informazioni sull'importazione tramite la CLI. Per l'importazione tramite l'API, vedere la documentazione dell'endpoint RPC dell'API (RaaS).

Importazione di una scansione di sicurezza di terze parti da un file

Per importare una scansione di sicurezza da uno strumento di terze parti, ad esempio Tenable:

  1. Nello strumento di terze parti, eseguire una scansione ed esportarla in uno dei formati di file supportati. Per ulteriori informazioni, vedere Formati di file supportati. Per istruzioni specifiche sull'esecuzione di una scansione o sull'esportazione del file richiesto da uno strumento di terze parti, fare riferimento alla guida dello strumento di terze parti.

    Quando si esegue la scansione, accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione.

  2. In SaltStack Config, assicurarsi di aver scaricato i contenuti di SaltStack SecOps Vulnerability.
  3. Nell'area di lavoro SaltStack SecOps Vulnerability, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Per ulteriori informazioni, vedere Creazione di un criterio.
    Nota: Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni in questo criterio di sicurezza. In caso contrario, quando si importa la scansione, SaltStack SecOps Vulnerability non è in grado di abbinare i minion selezionati agli indirizzi IP identificati dallo strumento di terze parti.
  4. Nel dashboard dei criteri, fare clic sul menu dei criterivulnerability-menu-icon e selezionare Importa dati di scansione del fornitore.

    Verrà aperta l'area di lavoro Staging importazione.

    Nota: Se l'opzione Importa dati di scansione del fornitore non è disponibile, è possibile che non si disponga delle autorizzazioni necessarie per importare una scansione di terze parti in SaltStack Config. Per poter accedere, contattare l'amministratore. Vedere Ruoli e autorizzazioni per ulteriori informazioni.
  5. Fare clic su Importa > Importazione file e selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.

    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione. A questo punto, SaltStack SecOps Vulnerability mappa i minion ai nodi identificati dalla scansione. Mappa anche gli avvisi identificati ai minion. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere un po' di tempo. È possibile uscire da questa area di lavoro mentre l'operazione continua in background.

    Al termine dell'importazione, nell'area di lavoro Staging importazione vengono visualizzati un riepilogo dell'importazione e due tabelle, ovvero un elenco di vulnerabilità supportate e un elenco di vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti. Le vulnerabilità non supportate sono avvisi che al momento non possono essere corretti. L'elenco delle vulnerabilità non supportate include una spiegazione del motivo per cui non possono essere importate.

    Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro filter-icon, è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare.

    Nota: Le scansioni di sicurezza di terze parti possono includere dati aggiuntivi che non vengono visualizzati per impostazione predefinita nell'area di lavoro Staging importazione. Per visualizzare questi dati, fare clic sul pulsante Mostra colonne show-columns-icon, quindi fare clic sulla casella di controllo accanto ai dati che si desidera visualizzare.
  6. Fare clic su Importa tutti gli avvisi supportati per importare tutti gli avvisi supportati. In alternativa, è possibile fare clic sulla casella di controllo accanto ad avvisi specifici nella tabella Vulnerabilità supportate e fare clic su Importa selezionati per importare una selezione più piccola.

    Gli avvisi selezionati vengono importati in SaltStack SecOps Vulnerability e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti. A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Correzione degli avvisi.

    Nota: Per risultati ottimali, provare ad abbreviare il tempo che deve trascorrere dal momento in cui si esegue una scansione di terze parti fino a quando tale scansione viene importata in SaltStack Config.

Importazione dei risultati di scansione da un connettore

Per importare una scansione di sicurezza da un connettore:

  1. Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione.
  2. In SaltStack Config, assicurarsi di aver scaricato i contenuti di SaltStack SecOps Vulnerability.
  3. Nell'area di lavoro SaltStack SecOps Vulnerability, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Per ulteriori informazioni, vedere Creazione di un criterio.
    Nota:

    Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni in questo criterio di sicurezza. In caso contrario, quando si importa la scansione, SaltStack SecOps Vulnerability non è in grado di abbinare i minion selezionati agli indirizzi IP identificati dallo strumento di terze parti.

  4. Nel dashboard dei criteri, fare clic sul menu dei criterivulnerability-menu-icon e selezionare Importa dati di scansione del fornitore.

    Verrà aperta l'area di lavoro Staging importazione.

    Nota: Se l'opzione Importa dati di scansione del fornitore non è disponibile, è possibile che non si disponga delle autorizzazioni necessarie per importare una scansione di terze parti in SaltStack Config. Per poter accedere, contattare l'amministratore. Per ulteriori informazioni, vedere Ruoli e autorizzazioni.
  5. Fare clic su Importa > Importazione API e selezionare lo strumento di terze parti.
    Nota: Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori. Per ulteriori informazioni, vedere Connettori.

    Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione. SaltStack SecOps Vulnerability non esegue automaticamente il polling dello strumento di terze parti per i dati della scansione più recente.

    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione. A questo punto, SaltStack SecOps Vulnerability mappa i minion ai nodi identificati dalla scansione. Mappa anche gli avvisi identificati ai minion. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere un po' di tempo. È possibile uscire da questa area di lavoro mentre l'operazione continua in background.

    Nota: Se l'importazione non riesce, è possibile che si sia verificato un errore di autenticazione o un altro errore. Verificare di aver immesso le chiavi corrette. Se le chiavi sono corrette, il passaggio successivo della risoluzione del problema consiste nel visualizzare il registro RaaS. Questo registro è disponibile solo per gli utenti amministratori e contiene la risposta di PyTenable. Per ulteriori informazioni su come comprendere gli errori di PyTenable, consultare la documentazione di PyTenable. Se non è possibile accedere al registro RaaS, contattare l'amministratore per ricevere assistenza.

    Al termine dell'importazione, nell'area di lavoro Staging importazione vengono visualizzati un riepilogo dell'importazione e due tabelle, ovvero un elenco di vulnerabilità supportate e un elenco di vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti. Le vulnerabilità non supportate sono avvisi che al momento non possono essere corretti. L'elenco delle vulnerabilità non supportate include una spiegazione del motivo per cui non possono essere importate.

    Se necessario, è possibile filtrare gli avvisi in base alla colonna. Ad esempio, è possibile filtrare gli avvisi per gravità in modo da scegliere quelli da correggere. Se l'intestazione di una colonna include l'icona del filtro filter-icon, è possibile filtrare i risultati in base a tale tipo di colonna. Fare clic sull'icona e selezionare un'opzione di filtro dal menu o digitare il testo in base al quale si desidera filtrare.

    Nota: Le scansioni di sicurezza di terze parti possono includere dati aggiuntivi che non vengono visualizzati per impostazione predefinita nell'area di lavoro Staging importazione. Per visualizzare questi dati, fare clic sul pulsante Mostra colonne show-columns-icon, quindi fare clic sulla casella di controllo accanto ai dati che si desidera visualizzare.
  6. Fare clic su Importa tutti gli avvisi supportati per importare tutti gli avvisi supportati. In alternativa, è possibile selezionare avvisi specifici nella tabella Vulnerabilità supportate e fare clic su Importa selezionati per importare una selezione più piccola.

    Gli avvisi selezionati vengono importati in SaltStack SecOps Vulnerability e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti. A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Correzione degli avvisi.

    Nota: Per risultati ottimali, provare ad abbreviare il tempo che deve trascorrere dal momento in cui si esegue una scansione di terze parti fino a quando tale scansione viene importata in SaltStack Config.

Importazione di una scansione di terze parti tramite la riga di comando

Se si dispone dell'accesso utente RaaS, è possibile importare una scansione di terze parti nella CLI. L'importazione tramite la CLI è consigliata se il file della scansione è particolarmente grande. Prima di eseguire l'importazione tramite la CLI, assicurarsi di avere familiarità con il processo di importazione della scansione tramite l'interfaccia utente, perché il processo sarà simile. Per ulteriori informazioni, vedere Importazione di una scansione di sicurezza di terze parti.

Dopo aver esportato la scansione dallo strumento di terze parti e aver creato un criterio di sicurezza in SaltStack SecOps Vulnerability, è possibile importare la scansione nella CLI tramite il comando seguente, sostituendo gli argomenti segnaposto in base alle necessità:

raas third_party_import "filepath" third_party_tool security_policy_name

Nel comando precedente, sostituire filepath con la posizione del file esportato, third_party_tool con il nome dello strumento di terze parti e security_policy_name con il nome del criterio di sicurezza. Ad esempio, è possibile utilizzare il comando seguente quando si esegue l'importazione da Tenable:

raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy