Come alternativa all'esecuzione di una valutazione di un criterio di vulnerabilità, SaltStack SecOps Vulnerability supporta l'importazione delle scansioni di sicurezza generate da diversi fornitori di terze parti.

Anziché eseguire una valutazione di un criterio di vulnerabilità, è possibile importare una scansione di sicurezza di terze parti direttamente in SaltStack Config e correggere gli avvisi di sicurezza identificati utilizzando SaltStack SecOps Vulnerability. Vedere Come si esegue una valutazione delle vulnerabilità per ulteriori informazioni sull'esecuzione di una valutazione standard.

SaltStack SecOps Vulnerability supporta scansioni di terze parti da:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
È inoltre possibile utilizzare un connettore Tenable.io per le scansioni Tenable.
Quando si importa una scansione di terze parti in un criterio di sicurezza, SaltStack Config abbina i minion ai nodi identificati dalla scansione. L'area di lavoro Staging importazione include un elenco degli avvisi che possono essere importati e un altro elenco degli avvisi che al momento non possono essere importati. L'elenco degli avvisi non supportati include una spiegazione del motivo per cui non possono essere importati.
Nota: Per impostazione predefinita, tutti gli utenti di SaltStack Config possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di SaltStack SecOps Vulnerability affinché un utente possa importare correttamente le vulnerabilità da un connettore.
Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.
Nota: Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un segmento inferiore di nodi nella rete con lo strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API.

Dopo aver impostato la scansione, nell'area di lavoro Staging importazione vengono visualizzati un riepilogo dell'importazione e due tabelle, ovvero un elenco di vulnerabilità supportate e un elenco di vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti. Le vulnerabilità non supportate sono avvisi che al momento non possono essere corretti. L'elenco delle vulnerabilità non supportate include una spiegazione del motivo per cui non possono essere importate.

È possibile importare una terza parte da un file, da un connettore o utilizzando la riga di comando.

Prerequisiti

Per poter importare una scansione della sicurezza di terze parti, è necessario configurare un connettore. Il connettore deve innanzitutto essere configurato utilizzando le chiavi API dello strumento di terze parti.

Per configurare un connettore Tenable.io:

Per configurare un connettore Tenable.io, passare a Impostazioni > Connettori > Tenable.io, immettere i dettagli richiesti per il connettore e fare clic su Salva.
Campo Connettore Descrizione
Chiave segreta e chiave di accesso Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore. Per ulteriori informazioni sulla generazione delle chiavi, vedere la documentazione di Tenable.io.
URL URL di base per le richieste API. L'impostazione predefinita è https://cloud.tenable.com.
Giorni da Consente di eseguire query nella cronologia di scansioni di Tenable.io iniziando da questo numero di giorni fa. Lasciare il campo vuoto per eseguire una query per un periodo di tempo illimitato. Quando si utilizza un connettore per importare i risultati della scansione, SaltStack SecOps Vulnerability usa i risultati più recenti per nodo disponibili in questo periodo.
Nota: Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione. SaltStack SecOps Vulnerability non esegue automaticamente il polling di Tenable.io per i dati della scansione più recente.

Procedura

  1. Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione. Se si importa una scansione di terze parti da un file, esportare la scansione in uno dei formati di file supportati (Nessus, XML o CSV).
  2. In SaltStack Config, assicurarsi di aver scaricato i contenuti di SaltStack SecOps Vulnerability.
  3. Nell'area di lavoro SaltStack SecOps Vulnerability, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni nel criterio di sicurezza. Per ulteriori informazioni, vedere Come si crea un criterio di vulnerabilità.
    Nota: Dopo aver esportato e creato un criterio, è possibile importarlo eseguendo il comando raas third_party_import "filepath" third_party_tool security_policy_name. Ad esempio raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Si consiglia di importare la scansione usando la CLI se il file di scansione è particolarmente grande.
  4. Nel dashboard dei criteri, fare clic sull'elenco a discesa Menu dei criteri e selezionare Carica dati scansione fornitore.
  5. Importare la scansione:
    • Se la scansione viene importata da un file, selezionare Carica > Importazione file e selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.
    • Se la scansione viene importata da un connettore, selezionare Carica > Caricamento API e selezionare la terza parte. Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori.
    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione, mentre SaltStack SecOps Vulnerability mappa i minion ai nodi identificati dalla scansione. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere del tempo.
  6. Fare clic su Importa tutti gli avvisi supportati per importare tutti gli avvisi supportati. In alternativa, è possibile fare clic sulla casella di controllo accanto ad avvisi specifici nella tabella Vulnerabilità supportate e fare clic su Importa selezione.

risultati

Gli avvisi selezionati vengono importati in SaltStack SecOps Vulnerability e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti.

Operazioni successive

A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Come correggere gli avvisi.