Leggere questa pagina per informazioni di riferimento sui formati di file supportati, sui campi dei criteri di sicurezza, sugli stati delle attività e delle metriche disponibili nel dashboard Vulnerabilità di SaltStack SecOps Vulnerability.
Formati di file supportati
Quando si importano risultati da una scansione di terze parti, sono supportati i seguenti formati di file.
Fornitore |
Tipo di file |
---|---|
Tenable |
Nessus |
Rapid7 InsightVM Export |
XML |
Qualys |
XML |
KennaSecurity Export |
CSV |
Per ulteriori informazioni, vedere Importazione di una scansione di sicurezza di terze parti.
Criteri di vulnerabilità
Un criterio di vulnerabilità è costituito da una destinazione e da una pianificazione della valutazione. La destinazione determina quali minion includere in una valutazione e la pianificazione determina quando verranno eseguite le valutazioni. Un criterio di sicurezza archivia anche i risultati della valutazione più recente in SaltStack SecOps Vulnerability. I criteri possono anche includere pianificazioni, nonché specifiche per la gestione delle esenzioni.
Ciascun componente di un criterio di vulnerabilità è descritto più dettagliatamente di seguito.
Componente |
Descrizione |
---|---|
Destinazione |
Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Quando si sceglie una destinazione in SaltStack SecOps Vulnerability, si definisce il gruppo di asset (definito minion) a cui applicare il criterio. È possibile scegliere una destinazione esistente o crearne una nuova. Per ulteriori informazioni, vedere Minion. |
Pianificazione |
Scegliere la frequenza di pianificazione tra Ricorrente, Ripeti data e ora, Una volta o Espressione cron. Sono disponibili opzioni aggiuntive, a seconda dell'attività pianificata e in base alla frequenza di pianificazione scelta.
Nota:
Nell'editor della pianificazione, i termini "Processo" e "Valutazione" vengono utilizzati in modo intercambiabile. Quando si definisce una pianificazione per il criterio, si pianifica solo la valutazione, non la correzione.
Nota:
Quando si definisce una pianificazione della valutazione, è possibile scegliere tra le opzioni Non pianificata (su richiesta). Se si seleziona questa opzione, si sceglie di eseguire solo una valutazione singola secondo necessità e non viene definita alcuna pianificazione. |
Stato attività
Nella home page del criterio, la scheda Attività mostra un elenco di valutazioni e correzioni completate o in corso. Include gli stati seguenti.
Stato |
Descrizione |
---|---|
In coda |
L'operazione è pronta per l'esecuzione, ma i minion non hanno ancora selezionato l'attività per avviare l'operazione. |
Completata |
L'esecuzione dell'operazione è terminata. |
Parziale |
L'operazione è ancora in attesa di restituzione di alcuni minion, anche se il Salt Master ha segnalato che l'esecuzione dell'operazione è terminata. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste. Il Salt Master è un nodo centrale utilizzato per emettere comandi ai minion. |
È possibile monitorare tutte le attività in SaltStack Config, incluse le valutazioni e le correzioni, nell'area di lavoro Attività principale di SaltStack Config. Vedere Attività.
Dashboard di protezione
Il dashboard Vulnerabilità mostra una panoramica dello stato di vulnerabilità. Include varie metriche e un elenco degli avvisi più comuni nell'ambito delle valutazioni più recenti per tutti i criteri di vulnerabilità correnti.
Il dashboard è utile per segnalare lo stato di vulnerabilità corrente. È possibile condividere il dashboard tramite l'URL della pagina oppure stampando una copia in formato PDF. Vedere Visualizzazione e stampa del dashboard Vulnerabilità per ulteriori informazioni.
Il dashboard include le metriche seguenti:
Metrica |
Descrizione |
---|---|
Riepilogo vulnerabilità |
Numero di asset attualmente interessati da vulnerabilità di diversi livelli di gravità, che vanno da Critica a Nessuno. |
Correzioni |
Il numero totale di vulnerabilità corrette tramite SaltStack SecOps Vulnerability, ordinate in base alla gravità. |
Tendenza vulnerabilità |
Grafico che mostra lo stato di vulnerabilità degli ultimi 30 giorni. |
Consigli principali |
Elenco delle vulnerabilità individuate più di frequente nei sistemi. |
Risultati della valutazione
I risultati della valutazione di SaltStack SecOps Vulnerability vengono visualizzati nella home page del criterio. La pagina include un elenco di avvisi con i seguenti campi di informazioni:
SaltStack SecOps Vulnerability consente di scaricare i risultati della valutazione in formato JSON. Per ulteriori informazioni, vedere Download del report di valutazione.
Campo |
Descrizione |
---|---|
Gravità |
Valutazione di gravità che va da Critica a Nessuna. La valutazione della gravità è utile per assegnare priorità alle correzioni. |
VPR (solo nelle vulnerabilità importate da Tenable) |
La valutazione delle priorità delle vulnerabilità è una valutazione di gravità alternativa specifica di Tenable. Per ulteriori informazioni su VPR, consultare la documentazione di Tenable. |
ID avviso |
ID ufficiale associato all'avviso. Fare clic sull'ID per visualizzare i dettagli dell'avviso. |
Titolo avviso |
Titolo ufficiale dell'avviso riconosciuto da CVE. Fare clic sul titolo dell'avviso per visualizzarne i dettagli. |
CVE |
Vulnerabilità ed esposizioni comuni, un elenco di ID comuni per le vulnerabilità di sicurezza informatica note pubblicamente. Per ulteriori informazioni, vedere Informazioni su CVE. |
Pacchetti interessati |
Elenco di tutti i pacchetti di sistema interessati dall'avviso |
CVSS v3.0 |
Valutazione delle vulnerabilità in base a Common Vulnerability Scoring System versione 3. Questa opzione potrebbe non essere visualizzata per alcuni avvisi, poiché gli avvisi non sono ancora stati classificati tutti. Vedere Common Vulnerability Scoring System SIG per ulteriori informazioni. |
CVSS v2.0 |
Valutazione delle vulnerabilità in base a Common Vulnerability Scoring System versione 2 |
Comportamento installazione |
Indica se l'avviso potrebbe richiedere un riavvio completo del sistema per consentire l'applicazione di una patch o di un aggiornamento come parte di una correzione. |
Minion |
Elenca il numero di minion interessati da tale avviso. |
Abilitazione di Windows Server Update Services (WSUS)
La correzione degli avvisi sui nodi di Windows richiede passaggi di configurazione e correzione aggiuntivi. Se l'ambiente distribuisce le patch e gli aggiornamenti Windows utilizzando un server WSUS, è necessario assicurarsi che il server sia abilitato e verificare che possa ricevere gli aggiornamenti periodici di Microsoft. Per ulteriori informazioni, vedere Correzione degli avvisi di Windows.
È possibile eseguire il file di stato seguente per connettere il minion al server WSUS, sostituendo gli indirizzi IP di esempio con l'indirizzo IP e la porta del server WSUS:
configure_windows_update: lgpo.set: - computer_policy: CorpWuURL: {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %} {% for element in policy_info["policy_elements"] %} {% if element["element_id"] == "CorpWUContentHost_Name" %} CorpWUContentHost_Name: "" {% endif %} {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %} CorpWUFillEmptyContentUrls: False {% endif %} {% if element["element_id"] == "CorpWUStatusURL_Name" %} CorpWUStatusURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "CorpWUURL_Name" %} CorpWUURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %} SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default) {% endif %} {% endfor %} AutoUpdateCfg: Not Configured update_local_policy: cmd.run: - name: "Gpupdate /Force /Target:Computer"