脆弱性ポリシーに対して評価を実行する代わりに、SaltStack SecOps Vulnerability は、さまざまなサードパーティ ベンダーによって作成されたセキュリティ スキャンのインポートをサポートしています。

脆弱性ポリシーに対して評価を実行する代わりに、サードパーティのセキュリティ スキャンを SaltStack Config に直接インポートし、識別されたセキュリティ アドバイザリを SaltStack SecOps Vulnerability を使用して修正できます。標準的な評価の実行の詳細については、脆弱性評価の実行方法を参照してください。

SaltStack SecOps Vulnerability は、次のサードパーティのスキャンをサポートしています。
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Tenable スキャンで Tenable.io コネクタを使用することもできます。
サードパーティのスキャンをセキュリティ ポリシーにインポートすると、スキャンによって識別されたノードとミニオンが SaltStack Config によって照合されます。
注: デフォルトでは、すべての SaltStack Config ユーザーがコネクタ ワークスペースにアクセスできます。ただし、ユーザーがコネクタから脆弱性を正常にインポートするには、脆弱性ベンダーのインポートを実行するための権限と SaltStack SecOps Vulnerability ライセンスが必要です。
セキュリティ ポリシー ダッシュボードには、サードパーティのスキャンによって識別されたアドバイザリと、各アドバイザリの修正がサポートされているかどうかが一覧表示されます。
注: エクスポート ファイルのサイズが大きい場合は、サードパーティ製ツールでネットワーク内のノードのセグメントを小さくしてスキャンすることが必要になることがあります。または、コマンド ライン インターフェイス (CLI) または API を使用して、大規模なスキャンをインポートすることもできます。
スキャンをインポートすると、ポリシーにサマリが表示され、2 つのビュー(サポートされている脆弱性とサポートされていない脆弱性)を切り替えることができます。サポートされている脆弱性は、SaltStack Config を使用して修正できるアドバイザリです。サポートされていない脆弱性は、SaltStack Config を使用して修正できないアドバイザリです。
注: この表示基準切り替えオプションは、ベンダーからインポートされたデータでのみ使用できます。 SaltStack SecOps コンテンツを使用して作成されたデータでは、この表示基準切り替えフィールドは表示されません。

サードパーティのスキャンは、ファイルやコネクタから、またはコマンド ラインを使用してインポートできます。

前提条件

サードパーティのセキュリティ スキャンをインポートする前に、コネクタを構成する必要があります。コネクタは、最初にサードパーティ製ツールの API キーを使用して構成する必要があります。

[Tenable.io コネクタの構成方法:]

Tenable.io コネクタを構成するには、 [設定] > [コネクタ] > [Tenable.io] の順に移動し、必要なコネクタの詳細を入力して、 [保存] をクリックします。
コネクタのフィールド 説明
プライベート キーとアクセス キー コネクタ API での認証に必要なキー ペア。キーの生成の詳細については、Tenable.io のドキュメントを参照してください。
URL API 要求のベース URL。デフォルト値は https://cloud.tenable.com です。
対象日数 この日数をさかのぼった日から Tenable.io のスキャン履歴をクエリします。無制限の期間をクエリする場合は空白のままにします。コネクタを使用してスキャン結果をインポートする場合、SaltStack SecOps Vulnerability は、この期間内で使用可能なノードごとの最新の結果を使用します。
注: ポリシーに最新のスキャン データが含まれるようにするために、必ずスキャンのたびにインポートを再実行してください。最新のスキャン データを取得するために SaltStack SecOps Vulnerability が Tenable.io を自動的にポーリングすることはありません。

[Carbon Black コネクタを構成するには(Windows 限定):]

Carbon Black コネクタを構成するには、Carbon Black Cloud でデバイス読み取り権限を有効にして、API トークン コードを作成する必要があります。API トークン コードの作成の詳細については、 Vulnerability Assessment APIを参照してください。
注: SaltStack SecOps では、VMware Carbon Black Cloud からのコネクタとスキャンのみがサポートされます。 SaltStack SecOps は、照合に IPv4 と Carbon Black デバイスを使用し、表示に risk_meter_score を使用します。その他の情報は使用されません。

Carbon Black コネクタを構成するには、先に Windows Minion Carbon Black センサー キット環境をセットアップする必要があります。

Carbon Black センサー キット環境をセットアップするには、次の手順を実行します。
  1. Saltstack Config 環境を起動し、Windows Server を展開します。
  2. Windows Server に Salt ミニオンをインストールします。詳細については、Salt ミニオンのインストールを参照してください。
  3. SaltStack Config のマスター キーと、SaltStack Config または Salt マスターのミニオン キーを受け入れます。
  4. Windows ミニオンに Carbon Black センサー キットをインストールします。詳細については、仮想マシン ワークロードにセンサーをインストールするを参照してください。
  5. SaltStack SecOps で、Windows ミニオンを含むターゲット グループに対するポリシーを定義します。
  6. SaltStack Config VMan の取り込みが完了したら、次のコマンドを実行して Salt マスターから SaltStack Config Carbon Black モジュールを同期します:salt mywindowsminion saltutil.sync_modules saltenv=sse
  7. Windows ミニオンで、salt mywindowsminion carbonblack.set_device_grain を実行して Carbon Black のデバイス グレインを設定します。
Carbon Black センサー キット環境をセットアップした後、 [設定] > [接続] > [VMware Carbon Black] の順に移動して、SaltStack Config で Carbon Black コネクタを構成できます。コネクタに必要な詳細を入力し、 [保存] をクリックします。
コネクタのフィールド 説明
URL API 要求の URL
トークンと組織キー コネクタ API での認証に必要なキー ペア。
注: VMware Carbon Black コネクタを削除すると、これらのフィールドには「xxxx」という文字がポピュレートされます。これは、トークン キーの形式「xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx」を維持するためです。
SSL の検証 デフォルトでは true に設定されています。
  1. [ミニオン] をクリックし、ポリシー ターゲット グループに [すべてのミニオン] または特定のミニオンを選択します。
  2. [コマンドの実行] をクリックし、次のコマンドを実行します:saltutil.sync_allcarbon_black.set_device_grain、および saltutil.refresh_grains

手順

  1. サードパーティ製ツールでスキャンを実行し、ターゲットにするノードと同じネットワークにあるスキャナを選択する必要があります。次に、スキャンする IP アドレスを指定します。ファイルからサードパーティのスキャンをインポートする場合は、サポートされているファイル形式(Nessus、XML、または CSV)のいずれかでスキャンをエクスポートします。
  2. SaltStack Config で、SaltStack SecOps Vulnerability コンテンツをダウンロード済みであることを確認します。
  3. SaltStack SecOps Vulnerability ワークスペースで、サードパーティ スキャンに含まれているものと同じノードをターゲットとするセキュリティ ポリシーを作成します。サードパーティ製ツールでスキャンしたノードも、このセキュリティ ポリシーのターゲットとして含まれていることを確認します。詳細については、脆弱性ポリシーの作成方法を参照してください。
    注: スキャンをエクスポートしてポリシーを作成した後、 raas third_party_import "filepath" third_party_tool security_policy_name コマンドを実行してスキャンをインポートできます。たとえば、 raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy です。スキャン ファイルが特に大きい場合は、CLI を使用してスキャンをインポートすることを推奨します。
  4. ポリシー ダッシュボードで、[ポリシー メニュー] ドロップダウン矢印をクリックして、[ベンダー スキャン データのアップロード] を選択します。
  5. スキャンをインポートします。
    • スキャンをファイルからインポートする場合は、[アップロード] > [ファイルのインポート] の順に選択して、サードパーティ ベンダーを選択します。次に、サードパーティ スキャンをアップロードするファイルを選択します。
    • スキャンをコネクタからインポートする場合は、[アップロード] > [API アップロード] の順に選択して、サードパーティを選択します。使用可能なコネクタがない場合は、メニューから [コネクタの設定] ワークスペースに誘導されます。
    SaltStack SecOps Vulnerability が、スキャンで識別されたノードにミニオンをマッピングしている間、インポート ステータス タイムラインにインポートのステータスが表示されます。アドバイザリの数と関係するノードの数によっては、このプロセスに時間がかかる場合があります。
  6. [サポート対象の選択] ページで、ファイル インポートの一部として含めるサポート対象のアドバイザリを選択します。
  7. [サポート対象外の選択] ページで、ファイル インポートの一部として含めるサポート対象外のアドバイザリを選択します。
  8. 一致しないアドバイザリで、ホストまたはミニオンと一致しないアドバイザリを確認します。これらのアドバイザリは、SaltStack Config を介して修正することはできません。
  9. [次へ] をクリックし、ポリシーにインポートされる内容の概要を確認します。
  10. [インポートを終了] をクリックして、スキャンをインポートします。

結果

選択したアドバイザリは SaltStack SecOps Vulnerability にインポートされ、ポリシー ダッシュボードに評価として表示されます。ポリシー ダッシュボードのポリシー タイトルの下には、最新の評価がサードパーティ製ツールからインポートされたことを示す [インポート元] も表示されます。
注: 評価は、スキャンがインポートされた場合にのみ実行されます。インポートされたスキャンの評価はスケジュールに従って実行できません。

次のタスク

これにより、これらのアドバイザリを修正できます。詳細についてはアドバイザリの修正方法を参照してください。