脆弱性ポリシーに対して評価を実行する代わりに、SaltStack SecOps Vulnerability は、さまざまなサードパーティ ベンダーによって作成されたセキュリティ スキャンのインポートをサポートしています。

脆弱性ポリシーに対して評価を実行する代わりに、サードパーティのセキュリティ スキャンを SaltStack Config に直接インポートし、識別されたセキュリティ アドバイザリを SaltStack SecOps Vulnerability を使用して修正できます。標準的な評価の実行の詳細については、脆弱性評価の実行方法を参照してください。

SaltStack SecOps Vulnerability は、次のサードパーティのスキャンをサポートしています。
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
Tenable スキャンで Tenable.io コネクタを使用することもできます。
サードパーティのスキャンをセキュリティ ポリシーにインポートすると、スキャンによって識別されたノードとミニオンが SaltStack Config によって照合されます。[インポートのステージング] ワークスペースには、インポート可能なアドバイザリのリストと、現在はインポートできないアドバイザリのリストが表示されます。サポートされていないアドバイザリのリストには、インポートできない理由の説明が示されます。
注: デフォルトでは、すべての SaltStack Config ユーザーがコネクタ ワークスペースにアクセスできます。ただし、ユーザーがコネクタから脆弱性を正常にインポートするには、脆弱性ベンダーのインポートを実行するための権限と SaltStack SecOps Vulnerability ライセンスが必要です。
セキュリティ ポリシー ダッシュボードには、サードパーティのスキャンによって識別されたアドバイザリと、各アドバイザリの修正がサポートされているかどうかが一覧表示されます。
注: エクスポート ファイルのサイズが大きい場合は、サードパーティ製ツールでネットワーク内のノードのセグメントを小さくしてスキャンすることが必要になることがあります。または、コマンド ライン インターフェイス (CLI) または API を使用して、大規模なスキャンをインポートすることもできます。

スキャンをインポートした後、インポートのステージング ワークスペースに、インポートのサマリと、サポートされている脆弱性リストおよびサポートされていない脆弱性リストの 2 つの表が表示されます。サポートされている脆弱性は、修正に利用できるアドバイザリです。サポートされていない脆弱性は、現在修正できないアドバイザリです。サポートされていない脆弱性のリストには、インポートできない理由が記載されています。

サードパーティのスキャンは、ファイルやコネクタから、またはコマンド ラインを使用してインポートできます。

前提条件

サードパーティのセキュリティ スキャンをインポートする前に、コネクタを構成する必要があります。コネクタは、最初にサードパーティ製ツールの API キーを使用して構成する必要があります。

[Tenable.io コネクタの構成方法:]

Tenable.io コネクタを構成するには、 [設定] > [コネクタ] > [Tenable.io] の順に移動し、必要なコネクタの詳細を入力して、 [保存] をクリックします。
コネクタのフィールド 説明
プライベート キーとアクセス キー コネクタ API での認証に必要なキー ペア。キーの生成の詳細については、Tenable.io のドキュメントを参照してください。
URL API 要求のベース URL。デフォルト値は https://cloud.tenable.com です。
対象日数 この日数をさかのぼった日から Tenable.io のスキャン履歴をクエリします。無制限の期間をクエリする場合は空白のままにします。コネクタを使用してスキャン結果をインポートする場合、SaltStack SecOps Vulnerability は、この期間内で使用可能なノードごとの最新の結果を使用します。
注: ポリシーに最新のスキャン データが含まれるようにするために、必ずスキャンのたびにインポートを再実行してください。最新のスキャン データを取得するために SaltStack SecOps Vulnerability が Tenable.io を自動的にポーリングすることはありません。

手順

  1. サードパーティ製ツールでスキャンを実行し、ターゲットにするノードと同じネットワークにあるスキャナを選択する必要があります。次に、スキャンする IP アドレスを指定します。ファイルからサードパーティのスキャンをインポートする場合は、サポートされているファイル形式(Nessus、XML、または CSV)のいずれかでスキャンをエクスポートします。
  2. SaltStack Config で、SaltStack SecOps Vulnerability コンテンツをダウンロード済みであることを確認します。
  3. SaltStack SecOps Vulnerability ワークスペースで、サードパーティ スキャンに含まれているものと同じノードをターゲットとするセキュリティ ポリシーを作成します。サードパーティ製ツールでスキャンしたノードも、このセキュリティ ポリシーのターゲットとして含まれていることを確認します。詳細については、脆弱性ポリシーの作成方法を参照してください。
    注: スキャンをエクスポートしてポリシーを作成した後、 raas third_party_import "filepath" third_party_tool security_policy_name コマンドを実行してスキャンをインポートできます。たとえば、 raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy です。スキャン ファイルが特に大きい場合は、CLI を使用してスキャンをインポートすることを推奨します。
  4. ポリシー ダッシュボードで、[ポリシー メニュー] ドロップダウン矢印をクリックして、[ベンダー スキャン データのアップロード] を選択します。
  5. スキャンをインポートします。
    • スキャンをファイルからインポートする場合は、[アップロード] > [ファイルのインポート] の順に選択して、サードパーティ ベンダーを選択します。次に、サードパーティ スキャンをアップロードするファイルを選択します。
    • スキャンをコネクタからインポートする場合は、[アップロード] > [API アップロード] の順に選択して、サードパーティを選択します。使用可能なコネクタがない場合は、メニューから [コネクタの設定] ワークスペースに誘導されます。
    SaltStack SecOps Vulnerability が、スキャンで識別されたノードにミニオンをマッピングしている間、インポート ステータス タイムラインにインポートのステータスが表示されます。アドバイザリの数と関係するノードの数によっては、このプロセスに時間がかかる場合があります。
  6. [サポートされているものをすべてインポート] をクリックして、サポートされているすべてのアドバイザリをインポートします。または、[サポートされている脆弱性] 表で特定のアドバイザリの横にあるチェックボックスをクリックし、[選択対象をインポート] をクリックします。

結果

選択したアドバイザリは SaltStack SecOps Vulnerability にインポートされ、ポリシー ダッシュボードに評価として表示されます。ポリシー ダッシュボードのポリシー タイトルの下には、最新の評価がサードパーティ製ツールからインポートされたことを示す [インポート元] も表示されます。

次のタスク

これにより、これらのアドバイザリを修正できます。詳細についてはアドバイザリの修正方法を参照してください。