Come alternativa all'esecuzione di una valutazione di un criterio di vulnerabilità, SaltStack SecOps Vulnerability supporta l'importazione delle scansioni di sicurezza generate da diversi fornitori di terze parti.

Anziché eseguire una valutazione di un criterio di vulnerabilità, è possibile importare una scansione di sicurezza di terze parti direttamente in SaltStack Config e correggere gli avvisi di sicurezza identificati utilizzando SaltStack SecOps Vulnerability. Vedere Come si esegue una valutazione delle vulnerabilità per ulteriori informazioni sull'esecuzione di una valutazione standard.

SaltStack SecOps Vulnerability supporta scansioni di terze parti da:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
È inoltre possibile utilizzare un connettore Tenable.io per le scansioni Tenable.
Quando si importa una scansione di terze parti in un criterio di sicurezza, SaltStack Config abbina i minion ai nodi identificati dalla scansione.
Nota: Per impostazione predefinita, tutti gli utenti di SaltStack Config possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di SaltStack SecOps Vulnerability affinché un utente possa importare correttamente le vulnerabilità da un connettore.
Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.
Nota: Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un segmento inferiore di nodi nella rete con lo strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API.
Dopo aver importato la scansione, il criterio mostra un riepilogo che è possibile alternare tra due visualizzazioni: Vulnerabilità supportate e Vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti utilizzando SaltStack Config. Le vulnerabilità non supportate sono avvisi che non possono essere corretti utilizzando SaltStack Config.
Nota: Attiva/disattiva l'opzione Visualizza per disponibile solo per i dati importati dal fornitore. I dati creati utilizzando contenuti di SaltStack SecOps non mostreranno questo campo di attivazione/disattivazione Visualizza per.

È possibile importare una terza parte da un file, da un connettore o utilizzando la riga di comando.

Prerequisiti

Per poter importare una scansione della sicurezza di terze parti, è necessario configurare un connettore. Il connettore deve innanzitutto essere configurato utilizzando le chiavi API dello strumento di terze parti.

Per configurare un connettore Tenable.io:

Per configurare un connettore Tenable.io, passare a Impostazioni > Connettori > Tenable.io, immettere i dettagli richiesti per il connettore e fare clic su Salva.
Campo Connettore Descrizione
Chiave segreta e chiave di accesso Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore. Per ulteriori informazioni sulla generazione delle chiavi, vedere la documentazione di Tenable.io.
URL URL di base per le richieste API. L'impostazione predefinita è https://cloud.tenable.com.
Giorni da Consente di eseguire query nella cronologia di scansioni di Tenable.io iniziando da questo numero di giorni fa. Lasciare il campo vuoto per eseguire una query per un periodo di tempo illimitato. Quando si utilizza un connettore per importare i risultati della scansione, SaltStack SecOps Vulnerability usa i risultati più recenti per nodo disponibili in questo periodo.
Nota: Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione. SaltStack SecOps Vulnerability non esegue automaticamente il polling di Tenable.io per i dati della scansione più recente.

Per configurare un connettore Carbon Black (solo Windows):

Per configurare un connettore Carbon Black, è necessario abilitare l'autorizzazione di lettura del dispositivo in Carbon Black Cloud e creare un codice di token API. Per ulteriori informazioni sulla creazione di un codice token API, vedere API di valutazione delle vulnerabilità.
Nota: SaltStack SecOps supporta solo connettori e scansioni da VMware Carbon Black Cloud. SaltStack SecOps utilizza solo IPv4 e il dispositivo Carbon Black per la corrispondenza e risk_meter_score per la visualizzazione. Non vengono utilizzate altre informazioni.

Prima di poter configurare un connettore Carbon Black, è innanzitutto necessario configurare un ambiente kit di sensori Windows Minion Carbon Black.

Per configurare un ambiente kit di sensori Carbon Black:
  1. Avviare un ambiente di SaltStack Config e distribuire un server Windows.
  2. Installare il minion Salt nel server Windows. Per ulteriori informazioni, vedere Installazione dei minion Salt.
  3. Accettare le chiavi master in SaltStack Config e le chiavi dei minion da SaltStack Config o dal Salt Master.
  4. Installare il kit di sensori Carbon Black nel minion Windows. Per ulteriori informazioni, vedere Installazione dei sensori nei carichi di lavoro delle macchine virtuali.
  5. In SaltStack SecOps, definire un criterio con un gruppo di destinazione che contenga il minion Windows.
  6. Dopo aver completato l'inserimento di VMan di SaltStack Config, sincronizzare il modulo Carbon Black di SaltStack Config dal Salt Master eseguendo i comandi seguenti: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Nel minion Windows, impostare il grain del dispositivo Carbon Black eseguendo salt mywindowsminion carbonblack.set_device_grain.
Dopo aver configurato un ambiente kit di sensori Black Carbon, è possibile configurare il connettore di Carbon Black in SaltStack Config da Impostazioni > Connettori > VMware Carbon Black. Immettere i dati richiesti per il connettore e fare clic su Salva.
Campo Connettore Descrizione
URL URL per le richieste API
Token e chiave dell'organizzazione Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore.
Nota: Se si elimina un connettore VMware Carbon Black, questi campi vengono compilati con caratteri 'xxxx'. Questo manterrà il formato della chiave del token 'xxxxxxxxxxxxxx/xxxxxxx'
Verifica SSL L'impostazione predefinita è impostata su true.
  1. Fare clic su Minion e selezionare Tutti i minion oppure un minion specifico per un gruppo di destinazione del criterio.
  2. Fare clic su Esegui comando ed eseguire i comandi seguenti: saltutil.sync_all, carbon_black.set_device_grain e saltutil.refresh_grains.

Procedura

  1. Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione. Se si importa una scansione di terze parti da un file, esportare la scansione in uno dei formati di file supportati (Nessus, XML o CSV).
  2. In SaltStack Config, assicurarsi di aver scaricato i contenuti di SaltStack SecOps Vulnerability.
  3. Nell'area di lavoro SaltStack SecOps Vulnerability, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni nel criterio di sicurezza. Per ulteriori informazioni, vedere Come si crea un criterio di vulnerabilità.
    Nota: Dopo aver esportato e creato un criterio, è possibile importarlo eseguendo il comando raas third_party_import "filepath" third_party_tool security_policy_name. Ad esempio raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Si consiglia di importare la scansione usando la CLI se il file di scansione è particolarmente grande.
  4. Nel dashboard dei criteri, fare clic sull'elenco a discesa Menu dei criteri e selezionare Carica dati scansione fornitore.
  5. Importare la scansione:
    • Se la scansione viene importata da un file, selezionare Carica > Importazione file e selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.
    • Se la scansione viene importata da un connettore, selezionare Carica > Caricamento API e selezionare la terza parte. Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori.
    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione, mentre SaltStack SecOps Vulnerability mappa i minion ai nodi identificati dalla scansione. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere del tempo.
  6. Nella pagina Seleziona supportati, selezionare gli avvisi supportati che si desidera includere nell'importazione del file.
  7. Nella pagina Seleziona non supportati, selezionare gli avvisi non supportati che si desidera includere nell'importazione del file.
  8. Rivedere gli avvisi non corrispondenti per gli avvisi che non corrispondono a un host o minion. Di conseguenza, non possono essere corretti tramite SaltStack Config.
  9. Fai clic su Avanti e rivedere un riepilogo di ciò che sarà importato nel criterio.
  10. Fare clic su Termina importazione per importare la scansione.

risultati

Gli avvisi selezionati vengono importati in SaltStack SecOps Vulnerability e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti.
Nota: Le valutazioni vengono eseguite solo quando la scansione viene importata. Le valutazioni delle scansioni importate non possono essere eseguite in base a una pianificazione.

Operazioni successive

A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Come correggere gli avvisi.