SaltStack SecOps Vulnerability では、さまざまなサードパーティ ベンダーによって生成されるセキュリティ スキャンのインポートがサポートされます。これには、Tenable、Rapid7、Qualys、Kenna Security からの、または Tenable.io コネクタを通じたスキャン ファイルのインポートが含まれます。
サードパーティ セキュリティ スキャンを直接 SaltStack Config にインポートし、それによって識別されたセキュリティ アドバイザリを SaltStack SecOps Vulnerability を使用して修正できます。SaltStack SecOps Vulnerability で評価を実行する代わりに、このスキャンをインポートできます。標準的な評価の実行の詳細については、評価の実行を参照してください。
サードパーティのスキャンをセキュリティ ポリシーにインポートすると、スキャンによって識別されたノードとミニオンが SaltStack Config によって照合されます。[インポートのステージング] ワークスペースには、インポート可能なアドバイザリのリストと、現在はインポートできないアドバイザリのリストが表示されます。サポートされていないアドバイザリのリストには、インポートできない理由の説明が示されます。
セキュリティ ポリシー ダッシュボードには、サードパーティのスキャンによって識別されたアドバイザリと、各アドバイザリの修正がサポートされているかどうかが一覧表示されます。
ファイルからのサードパーティ セキュリティ スキャンのインポート
Tenable などのサードパーティ製ツールからセキュリティ スキャンをインポートするには、次の手順に従います。
- サードパーティ製ツールでスキャンを実行し、サポートされているファイル形式のいずれかでスキャンをエクスポートします。詳細については、サポートされるファイル形式を参照してください。スキャンの実行、またはサードパーティからの必要なファイルのエクスポートに関する具体的な手順については、サードパーティのヘルプ ドキュメントを参照してください。
スキャンを実行するときは、ターゲットにするノードと同じネットワークにあるスキャナを選択する必要があります。次に、スキャンする IP アドレスを指定します。
- SaltStack Config で、SaltStack SecOps Vulnerability コンテンツをダウンロード済みであることを確認します。
- SaltStack SecOps Vulnerability ワークスペースで、サードパーティ スキャンに含まれているものと同じノードをターゲットとするセキュリティ ポリシーを作成します。詳細についてはポリシーの作成を参照してください。
注: サードパーティ製ツールでスキャンしたノードも、このセキュリティ ポリシーのターゲットに含まれていることを確認します。含まれていないと、スキャンをインポートするときに、 SaltStack SecOps Vulnerability はサードパーティ製ツールで識別された IP アドレスにターゲットのミニオンを照合できません。
- ポリシー ダッシュボードで、[ポリシー] メニュー をクリックし、[ベンダー スキャン データのインポート] を選択します。
これにより、[インポートのステージング] ワークスペースが開きます。
注: [ベンダー スキャン データのインポート] メニュー オプションが使用できない場合は、サードパーティ スキャンを SaltStack Config にインポートする権限が付与されていない可能性があります。管理者にアクセス権を要求してください。詳細については、 ロールと権限を参照してください。 - [インポート] > [ファイルのインポート] をクリックし、サードパーティ ベンダーを選択します。次に、サードパーティ スキャンをアップロードするファイルを選択します。
インポート ステータスのタイムラインに、インポートのステータスが表示されます。SaltStack SecOps Vulnerability により、スキャンによって識別されたノードにミニオンがマッピングされます。また、識別されたアドバイザリがミニオンにマッピングされます。アドバイザリの数と関係するノードの数によっては、このプロセスに時間がかかる場合があります。プロセスがバックグラウンドで続行されている間、別の操作を実行できます。
インポートの処理が完了すると、[インポートのステージング] ワークスペースに、インポートのサマリと、[サポートされている脆弱性] リストおよび [サポートされていない脆弱性] リストの 2 つの表が表示されます。サポートされている脆弱性は、修正に利用できるアドバイザリです。サポートされていない脆弱性は、現在修正できないアドバイザリです。サポートされていない脆弱性のリストには、インポートできない理由が記載されています。
必要に応じてアドバイザリを列でフィルタリングできます。たとえば、重要度によってアドバイザリをフィルタリングして、修正するアドバイザリを選択できます。列ヘッダーにフィルタ アイコン が含まれている場合は、その列タイプで結果をフィルタリングできます。アイコンをクリックし、メニューからフィルタ オプションを選択するか、フィルタリングに使用するテキストを入力します。
注: サードパーティ セキュリティ スキャンには、デフォルトでは [インポートのステージング] ワークスペースに表示されない追加のデータが含まれることがあります。このデータを表示するには、 [列の表示] ボタン をクリックし、表示するデータの横にあるチェックボックスをクリックします。 - [サポートされているものをすべてインポート] をクリックして、サポートされているすべてのアドバイザリをインポートします。または、[サポートされている脆弱性] 表で特定のアドバイザリの横にあるチェックボックスをクリックし、[選択対象をインポート] をクリックすることで、選択対象を絞ってインポートできます。
選択したアドバイザリは SaltStack SecOps Vulnerability にインポートされ、ポリシー ダッシュボードに評価として表示されます。ポリシー ダッシュボードのポリシー タイトルの下には、最新の評価がサードパーティ製ツールからインポートされたことを示す [インポート元] も表示されます。これにより、これらのアドバイザリを修正できます。詳細については、アドバイザリの修正を参照してください。
注: 結果を最適化するには、サードパーティ スキャンを実行してからスキャンを SaltStack Config にインポートするまでの時間を短縮します。
コネクタからのスキャン結果のインポート
コネクタからセキュリティ スキャンをインポートするには、次の手順に従います。
- サードパーティ製ツールでスキャンを実行し、ターゲットにするノードと同じネットワークにあるスキャナを選択する必要があります。次に、スキャンする IP アドレスを指定します。
- SaltStack Config で、SaltStack SecOps Vulnerability コンテンツをダウンロード済みであることを確認します。
- SaltStack SecOps Vulnerability ワークスペースで、サードパーティ スキャンに含まれているものと同じノードをターゲットとするセキュリティ ポリシーを作成します。詳細についてはポリシーの作成を参照してください。
注:
サードパーティ製ツールでスキャンしたノードも、このセキュリティ ポリシーのターゲットに含まれていることを確認します。含まれていないと、スキャンをインポートするときに、SaltStack SecOps Vulnerability はサードパーティ製ツールで識別された IP アドレスにターゲットのミニオンを照合できません。
- ポリシー ダッシュボードで、[ポリシー] メニュー をクリックし、[ベンダー スキャン データのインポート] を選択します。
これにより、[インポートのステージング] ワークスペースが開きます。
注: [ベンダー スキャン データのインポート] メニュー オプションが使用できない場合は、サードパーティ スキャンを SaltStack Config にインポートする権限が付与されていない可能性があります。管理者にアクセス権を要求してください。詳細については、 ロールと権限を参照してください。 - [インポート] > [API インポート] をクリックし、サードパーティを選択します。
注: 使用可能なコネクタがない場合は、メニューから [コネクタの設定] ワークスペースに誘導されます。詳細については、 コネクタを参照してください。
ポリシーに最新のスキャン データが含まれるようにするために、必ずスキャンのたびにインポートを再実行してください。最新のスキャン データを自動的に取得するために SaltStack SecOps Vulnerability がサード パーティをポーリングすることはありません。
インポート ステータスのタイムラインに、インポートのステータスが表示されます。SaltStack SecOps Vulnerability により、スキャンによって識別されたノードにミニオンがマッピングされます。また、識別されたアドバイザリがミニオンにマッピングされます。アドバイザリの数と関係するノードの数によっては、このプロセスに時間がかかる場合があります。プロセスがバックグラウンドで続行されている間、別の操作を実行できます。
注: インポートが失敗した場合は、認証エラー、または他のエラーが原因である可能性があります。適切なキーが入力されていることを確認してください。キーが適切な場合、トラブルシューティングの次の手順は RaaS ログを表示することです。このログは管理者ユーザーのみが表示でき、PyTenable からの応答が含まれます。PyTenable エラーの詳細については、PyTenable のドキュメントを参照してください。RaaS ログにアクセスできない場合は、管理者にサポートを要請してください。インポートの処理が完了すると、[インポートのステージング] ワークスペースに、インポートのサマリと、[サポートされている脆弱性] リストおよび [サポートされていない脆弱性] リストの 2 つの表が表示されます。サポートされている脆弱性は、修正に利用できるアドバイザリです。サポートされていない脆弱性は、現在修正できないアドバイザリです。サポートされていない脆弱性のリストには、インポートできない理由が記載されています。
必要に応じてアドバイザリを列でフィルタリングできます。たとえば、重要度によってアドバイザリをフィルタリングして、修正するアドバイザリを選択できます。列ヘッダーにフィルタ アイコン が含まれている場合は、その列タイプで結果をフィルタリングできます。アイコンをクリックし、メニューからフィルタ オプションを選択するか、フィルタリングに使用するテキストを入力します。
注: サードパーティ セキュリティ スキャンには、デフォルトでは [インポートのステージング] ワークスペースに表示されない追加のデータが含まれることがあります。このデータを表示するには、 [列の表示] ボタン をクリックし、表示するデータの横にあるチェックボックスをクリックします。 - [サポートされているものをすべてインポート] をクリックして、サポートされているすべてのアドバイザリをインポートします。または、[サポートされている脆弱性] 表で特定のアドバイザリを選択し、[選択対象をインポート] をクリックすることで、選択を絞ってインポートできます。
選択したアドバイザリは SaltStack SecOps Vulnerability にインポートされ、ポリシー ダッシュボードに評価として表示されます。ポリシー ダッシュボードのポリシー タイトルの下には、最新の評価がサードパーティ製ツールからインポートされたことを示す [インポート元] も表示されます。これにより、これらのアドバイザリを修正できます。詳細については、アドバイザリの修正を参照してください。
注: 結果を最適化するには、サードパーティ スキャンを実行してからスキャンを SaltStack Config にインポートするまでの時間を短縮します。
コマンド ラインを使用したサードパーティ製スキャンのインポート
RaaS ユーザー アクセス権がある場合は、CLI でサードパーティ スキャンをインポートできます。スキャン ファイルが非常に大きい場合は、CLI を使用したインポートを推奨します。CLI を使用してインポートする場合、ユーザー インターフェイスを使用してスキャンをインポートするプロセスと似ているため、これについてあらかじめ理解しておく必要があります。詳細については、サードパーティ セキュリティ スキャンのインポートを参照してください。
サードパーティ製ツールからスキャンをエクスポートし、SaltStack SecOps Vulnerability でセキュリティ ポリシーを作成した後、CLI で次のコマンドのプレースホルダ引数を必要に応じて置き換えて使用することにより、スキャンをインポートできます。
raas third_party_import "filepath" third_party_tool security_policy_name
前に示したコマンドでは、filepath はエクスポートされるファイルの場所に、third_party_tool はサードパーティ製ツールの名前に、security_policy_name はセキュリティ ポリシーの名前にそれぞれ置き換えます。たとえば、Tenable からインポートする場合は次のコマンドを使用できます。
raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy