취약성 정책에 대한 평가를 실행하는 대신 SaltStack SecOps Vulnerability는 다양한 타사 벤더가 생성한 보안 검사 가져오기를 지원합니다.

취약성 정책에 대한 평가를 실행하는 대신 타사 보안 검사를 SaltStack Config로 직접 가져오고 SaltStack SecOps Vulnerability를 사용하여 식별된 보안 권고에 업데이트를 적용할 수 있습니다. 표준 평가 실행에 대한 자세한 내용은 취약성 평가를 실행하는 방법을 참조하십시오.

SaltStack SecOps Vulnerability는 다음의 타사 검색을 지원합니다.
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Tenable 검색에 Tenable.io 커넥터를 사용할 수도 있습니다.
타사 검색을 보안 정책으로 가져오면 SaltStack Config는 검색을 통해 식별된 노드와 미니언을 대조합니다.
참고: 기본적으로 모든 SaltStack Config 사용자는 커넥터 업무 공간에 액세스할 수 있습니다. 단, 사용자가 커넥터에서 취약성을 성공적으로 가져오려면 취약성 벤더 가져오기를 실행할 수 있는 권한은 물론 SaltStack SecOps Vulnerability 라이센스가 필요합니다.
보안 정책 대시보드에는 타사 검색으로 식별된 권고는 물론 각 권고에 대해 업데이트 적용이 지원되는지 여부가 나열됩니다.
참고: 내보내기 파일의 크기가 큰 경우에는 타사 도구를 사용하여 네트워크에서 더 작은 노드 세그먼트를 검색해야 할 수도 있습니다. 또는 CLI(명령줄 인터페이스)나 API를 사용하여 대규모 검색을 가져올 수 있습니다.
검색을 가져온 후에는 정책에 두 가지 보기(지원되는 취약성 및 지원되지 않는 취약성) 간에 전환할 수 있는 요약이 표시됩니다. 지원되는 취약성은 SaltStack Config를 사용하여 업데이트 적용이 가능한 권고입니다. 지원되지 않는 취약성은 SaltStack Config를 사용하여 업데이트 적용이 불가능한 권고입니다.
참고: 이 [보기 기준] 전환 옵션은 벤더가 가져온 데이터에만 사용할 수 있습니다. SaltStack SecOps 컨텐츠를 사용하여 생성된 데이터에는 이 [보기 기준] 전환 필드가 표시되지 않습니다.

파일에서, 커넥터에서 또는 명령줄을 사용하여 타사를 가져올 수 있습니다.

사전 요구 사항

타사 보안 검사를 가져오려면 먼저 커넥터를 구성해야 합니다. 먼저 타사 도구의 API 키를 사용하여 커넥터를 구성해야 합니다.

Tenable.io 커넥터를 구성하려면:

Tenable.io 커넥터를 구성하려면 설정 > 커넥터 > Tenable.io로 이동하여 커넥터에 필요한 세부 정보를 입력하고 저장을 클릭합니다.
커넥터 필드 설명
비밀 키 및 액세스 키 커넥터 API를 사용하여 인증하는 데 필요한 키 쌍입니다. 키 생성에 대한 자세한 내용은 Tenable.io 설명서를 참조하십시오.
URL API 요청의 기본 URL입니다. 기본값은 https://cloud.tenable.com입니다.
경과된 일 수 이 일 수 전부터 Tenable.io 검색 기록을 쿼리합니다. 기간 제한 없이 쿼리하려면 비워둡니다. 커넥터를 사용하여 검색 결과를 가져오는 경우 SaltStack SecOps Vulnerability는 이 기간 내에 사용 가능한 노드당 최신 결과를 사용합니다.
참고: 정책에 최신 검색 데이터가 포함되도록 하려면 검색이 끝날 때마다 가져오기를 다시 실행합니다. SaltStack SecOps Vulnerability는 Tenable.io에서 최신 검색 데이터를 자동으로 폴링하지 않습니다.

Carbon Black 커넥터를 구성하려면(Windows 전용):

Carbon Black 커넥터를 구성하려면 Carbon Black Cloud에서 디바이스 읽기 권한을 허용하고 API 토큰 코드를 생성해야 합니다. API 토큰 코드 생성에 대한 자세한 내용은 취약성 평가 API를 참조하십시오.
참고: SaltStack SecOps는 VMware Carbon Black Cloud의 커넥터 및 검색만 지원합니다. SaltStack SecOps는 일치에 ipv4 및 Carbon Black 디바이스만 사용하고 디스플레이에는 risk_meter_score를 사용합니다. 다른 정보는 사용되지 않습니다.

Carbon Black 커넥터를 구성하려면 먼저 Windows Minion Carbon Black 센서 키트 환경을 설정해야 합니다.

Carbon Black 센서 키트 환경을 설정하려면 다음을 수행합니다.
  1. Saltstack Config 환경을 시작하고 Windows 서버를 배포합니다.
  2. Windows 서버에서 Salt 미니언을 설치합니다. 자세한 내용은 Salt 미니언 설치를 참조하십시오.
  3. SaltStack Config의 마스터 키를 수락하고 SaltStack Config 또는 Salt 마스터의 미니언 키를 수락합니다.
  4. Windows 미니언에 Carbon Black 센서 키트를 설치합니다. 자세한 내용은 VM 워크로드에 센서 설치를 참조하십시오.
  5. SaltStack SecOps에서 Windows 미니언이 포함된 대상 그룹으로 정책을 정의합니다.
  6. SaltStack Config VMan 수집이 완료되면 salt mywindowsminion saltutil.sync_modules saltenv=sse 명령을 실행하여 Salt 마스터의 SaltStack Config Carbon Black 모듈을 동기화합니다.
  7. Windows 미니언에서 salt mywindowsminion carbonblack.set_device_grain 명령을 실행하여 Carbon Black 디바이스 Grain을 설정합니다.
Carbon Black 센서 키트 환경을 설정한 후 설정 > 커넥터 > VMware Carbon Black으로 이동하여 SaltStack Config에서 Carbon Black 커넥터를 구성할 수 있습니다. 커넥터에 필요한 세부 정보를 입력하고 저장을 클릭합니다.
커넥터 필드 설명
URL API 요청의 URL입니다.
토큰 및 조직 키 커넥터 API를 사용하여 인증하는 데 필요한 키 쌍입니다.
참고: VMware Carbon Black 커넥터를 삭제하면 이러한 필드에 'xxxx' 문자가 채워집니다. 이는 토큰 키 형식 'xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx'를 유지하기 위해서입니다.
SSL 확인 기본값은 true로 설정됩니다.
  1. 미니언을 클릭하고 정책 대상 그룹에 대해 모든 미니언 또는 특정 미니언을 선택합니다.
  2. 명령 실행을 클릭하고 saltutil.sync_all, carbon_black.set_device_grainsaltutil.refresh_grains 명령을 실행합니다.

프로시저

  1. 타사 도구에서 검색을 실행하고 대상으로 지정할 노드와 동일한 네트워크에 있는 스캐너를 선택해야 합니다. 그런 다음 검색할 IP 주소를 지정합니다. 파일에서 타사 검사를 가져오는 경우에는 지원되는 파일 형식(Nessus, XML 또는 CSV) 중 하나로 검사를 내보냅니다.
  2. SaltStack Config에서 SaltStack SecOps Vulnerability 컨텐츠를 다운로드했는지 확인합니다.
  3. SaltStack SecOps Vulnerability 업무 공간에서 타사 검색에 포함된 동일한 노드를 대상으로 하는 보안 정책을 생성합니다. 타사 도구에서 검색한 노드도 보안 정책의 대상으로 포함되어야 합니다. 자세한 내용은 취약성 정책을 생성하는 방법을 참조하십시오.
    참고: 검색을 내보내고 정책을 생성한 후 raas third_party_import "filepath" third_party_tool security_policy_name 명령을 실행하여 검색을 가져올 수 있습니다. 예를 들어 raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy가 표시됩니다. 검사 파일이 특히 큰 경우에는 CLI를 사용하여 검사를 가져오는 것이 좋습니다.
  4. 정책 대시보드에서 정책 메뉴 드롭다운 화살표를 클릭하고 벤더 검색 데이터 업로드를 선택합니다.
  5. 검색을 가져옵니다.
    • 파일에서 검색을 가져오는 경우 업로드 > 파일 가져오기를 선택하고 타사 벤더를 선택합니다. 그런 다음 타사 검색을 업로드할 파일을 선택합니다.
    • 커넥터에서 검색을 가져오는 경우 업로드 > API 업로드를 선택하고 타사를 선택합니다. 사용할 수 있는 커넥터가 없으면 커넥터 설정 업무 공간으로 메뉴가 이동됩니다.
    가져오기 상태 타임라인은 SaltStack SecOps Vulnerability가 미니언을 검색에서 식별된 노드에 매핑할 때 가져오기 상태를 표시합니다. 이 과정은 권고 수 및 영향을 받는 노드 수에 따라 다소 시간이 걸릴 수도 있습니다.
  6. [지원되는 항목 선택] 페이지에서 파일 가져오기의 일부로 포함하려는 지원되는 권고를 선택합니다.
  7. [지원되지 않는 항목 선택] 페이지에서 파일 가져오기의 일부로 포함하려는 지원되지 않는 권고를 선택합니다.
  8. 호스트 또는 미니언과 일치하지 않는 권고에 대해 일치하지 않는 권고를 검토합니다. 결과적으로 SaltStack Config를 통해 업데이트를 적용할 수 없습니다.
  9. 다음을 클릭하고 정책으로 가져올 항목에 대한 요약을 검토합니다.
  10. 가져오기 완료를 클릭하여 검색을 가져옵니다.

결과

선택한 권고는 SaltStack SecOps Vulnerability로 가져와서 정책 대시보드에 평가로 표시됩니다. 정책 대시보드의 정책 제목 아래에는 가져온 위치도 표시되어 타사 도구에서 최신 평가를 가져왔음을 나타냅니다.
참고: 평가는 검색을 가져온 경우에만 실행됩니다. 가져온 검색 평가는 스케줄에 따라 실행할 수 없습니다.

다음에 수행할 작업

이제 이러한 권고에 대해 업데이트를 적용할 수 있습니다. 자세한 내용은 내 권고에 업데이트를 적용하는 방법을 참조하십시오.