Leggere questa pagina per informazioni di riferimento sui formati di file supportati, sui campi dei criteri di sicurezza, sugli stati delle attività e delle metriche disponibili nel dashboard Vulnerabilità di SaltStack SecOps Vulnerability.

Formati di file supportati

Quando si importano risultati da una scansione di terze parti, sono supportati i seguenti formati di file.

Fornitore

Tipo di file

Tenable

Nessus

Rapid7 InsightVM Export

XML

Qualys

XML

KennaSecurity Export

CSV

Per ulteriori informazioni, vedere Importazione di una scansione di sicurezza di terze parti.

Criteri di vulnerabilità

Un criterio di vulnerabilità è costituito da una destinazione e da una pianificazione della valutazione. La destinazione determina quali minion includere in una valutazione e la pianificazione determina quando verranno eseguite le valutazioni. Un criterio di sicurezza archivia anche i risultati della valutazione più recente in SaltStack SecOps Vulnerability. I criteri possono anche includere pianificazioni, nonché specifiche per la gestione delle esenzioni.

Ciascun componente di un criterio di vulnerabilità è descritto più dettagliatamente di seguito.

Componente

Descrizione

Destinazione

Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Quando si sceglie una destinazione in SaltStack SecOps Vulnerability, si definisce il gruppo di asset (definito minion) a cui applicare il criterio. È possibile scegliere una destinazione esistente o crearne una nuova. Per ulteriori informazioni, vedere Minion.

Pianificazione

Scegliere la frequenza di pianificazione tra Ricorrente, Ripeti data e ora, Una volta o Espressione cron. Sono disponibili opzioni aggiuntive, a seconda dell'attività pianificata e in base alla frequenza di pianificazione scelta.

Ricorrente

Impostare un intervallo per la ripetizione della pianificazione, con campi facoltativi per la data di inizio o di fine, l'esecuzione e il numero massimo di processi paralleli.

Ripeti data e ora

Scegliere di ripetere la pianificazione settimanalmente o giornalmente, con campi facoltativi per la data di inizio o di fine e il numero massimo di processi paralleli.

Una volta

Specificare una data e un'ora per l'esecuzione del processo.

Cron

Immettere un'espressione cron per definire una pianificazione personalizzata in base alla sintassi di Croniter. Vedere l'editor CronTab per le linee guida della sintassi. Per risultati ottimali, evitare di pianificare i processi a meno di 60 secondi di distanza l'uno dall'altro quando si definisce un'espressione cron personalizzata.

Nota:

Nell'editor della pianificazione, i termini "Processo" e "Valutazione" vengono utilizzati in modo intercambiabile. Quando si definisce una pianificazione per il criterio, si pianifica solo la valutazione, non la correzione.

Nota:

Quando si definisce una pianificazione della valutazione, è possibile scegliere tra le opzioni Non pianificata (su richiesta). Se si seleziona questa opzione, si sceglie di eseguire solo una valutazione singola secondo necessità e non viene definita alcuna pianificazione.

Stato attività

Nella home page del criterio, la scheda Attività mostra un elenco di valutazioni e correzioni completate o in corso. Include gli stati seguenti.

Stato

Descrizione

In coda

L'operazione è pronta per l'esecuzione, ma i minion non hanno ancora selezionato l'attività per avviare l'operazione.

Completata

L'esecuzione dell'operazione è terminata.

Parziale

L'operazione è ancora in attesa di restituzione di alcuni minion, anche se il Salt Master ha segnalato che l'esecuzione dell'operazione è terminata. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste. Il Salt Master è un nodo centrale utilizzato per emettere comandi ai minion.

È possibile monitorare tutte le attività in SaltStack Config, incluse le valutazioni e le correzioni, nell'area di lavoro Attività principale di SaltStack Config. Vedere Attività.

Dashboard di protezione

Il dashboard Vulnerabilità mostra una panoramica dello stato di vulnerabilità. Include varie metriche e un elenco degli avvisi più comuni nell'ambito delle valutazioni più recenti per tutti i criteri di vulnerabilità correnti.

Il dashboard è utile per segnalare lo stato di vulnerabilità corrente. È possibile condividere il dashboard tramite l'URL della pagina oppure stampando una copia in formato PDF. Vedere Visualizzazione e stampa del dashboard Vulnerabilità per ulteriori informazioni.

Il dashboard include le metriche seguenti:

Metrica

Descrizione

Riepilogo vulnerabilità

Numero di asset attualmente interessati da vulnerabilità di diversi livelli di gravità, che vanno da Critica a Nessuno.

Correzioni

Il numero totale di vulnerabilità corrette tramite SaltStack SecOps Vulnerability, ordinate in base alla gravità.

Tendenza vulnerabilità

Grafico che mostra lo stato di vulnerabilità degli ultimi 30 giorni.

Consigli principali

Elenco delle vulnerabilità individuate più di frequente nei sistemi.

Risultati della valutazione

I risultati della valutazione di SaltStack SecOps Vulnerability vengono visualizzati nella home page del criterio. La pagina include un elenco di avvisi con i seguenti campi di informazioni:

Nota:

SaltStack SecOps Vulnerability consente di scaricare i risultati della valutazione in formato JSON. Per ulteriori informazioni, vedere Download del report di valutazione.

Campo

Descrizione

Gravità

Valutazione di gravità che va da Critica a Nessuna. La valutazione della gravità è utile per assegnare priorità alle correzioni.

VPR (solo nelle vulnerabilità importate da Tenable)

La valutazione delle priorità delle vulnerabilità è una valutazione di gravità alternativa specifica di Tenable. Per ulteriori informazioni su VPR, consultare la documentazione di Tenable.

ID avviso

ID ufficiale associato all'avviso. Fare clic sull'ID per visualizzare i dettagli dell'avviso.

Titolo avviso

Titolo ufficiale dell'avviso riconosciuto da CVE. Fare clic sul titolo dell'avviso per visualizzarne i dettagli.

CVE

Vulnerabilità ed esposizioni comuni, un elenco di ID comuni per le vulnerabilità di sicurezza informatica note pubblicamente.

Per ulteriori informazioni, vedere Informazioni su CVE.

Pacchetti interessati

Elenco di tutti i pacchetti di sistema interessati dall'avviso

CVSS v3.0

Valutazione delle vulnerabilità in base a Common Vulnerability Scoring System versione 3. Questa opzione potrebbe non essere visualizzata per alcuni avvisi, poiché gli avvisi non sono ancora stati classificati tutti.

Vedere Common Vulnerability Scoring System SIG per ulteriori informazioni.

CVSS v2.0

Valutazione delle vulnerabilità in base a Common Vulnerability Scoring System versione 2

Comportamento installazione

Indica se l'avviso potrebbe richiedere un riavvio completo del sistema per consentire l'applicazione di una patch o di un aggiornamento come parte di una correzione.

Minion

Elenca il numero di minion interessati da tale avviso.

Abilitazione di Windows Server Update Services (WSUS)

La correzione degli avvisi sui nodi di Windows richiede passaggi di configurazione e correzione aggiuntivi. Se l'ambiente distribuisce le patch e gli aggiornamenti Windows utilizzando un server WSUS, è necessario assicurarsi che il server sia abilitato e verificare che possa ricevere gli aggiornamenti periodici di Microsoft. Per ulteriori informazioni, vedere Correzione degli avvisi di Windows.

È possibile eseguire il file di stato seguente per connettere il minion al server WSUS, sostituendo gli indirizzi IP di esempio con l'indirizzo IP e la porta del server WSUS:

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"