Als alternatief voor het uitvoeren van een beoordeling van een kwetsbaarheidsbeleid ondersteunt Automation for Secure Hosts Vulnerability het importeren van beveiligingsscans die door andere leveranciers zijn gegenereerd.

In plaats van een beoordeling uit te voeren op een extern kwetsbaarheidsbeleid, kunt u rechtstreeks een externe beveiligingsscan in Automation Config importeren en de beveiligingsadviezen die zijn geïdentificeerd met behulp van Automation for Secure Hosts Vulnerability corrigeren. Zie Hoe voer ik een kwetsbaarheidsbeoordeling uit voor meer informatie over het uitvoeren van een standaardbeoordeling.

Automation for Secure Hosts Vulnerability ondersteunt externe scans van:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Als u een scan van derden importeert in een beveiligingsbeleid, stemt Automation Config uw minions af op de knooppunten die zijn geïdentificeerd door de scan.
Opmerking: Standaard hebben alle Automation Config-gebruikers toegang tot de werkplek Connectoren (Connectors). Het recht om Kwetsbaarheden importeren van leverancier (Vulnerability Vendor Import) uit te voeren, evenals een Automation for Secure Hosts Vulnerability-licentie, zijn vereist voor een gebruiker om kwetsbaarheden van een connector te importeren.
In het dashboard voor het beveiligingsbeleid worden de adviezen vermeld die door de scan van derden worden geïdentificeerd, en of elk advies wordt ondersteund of niet wordt ondersteund voor correctie.
Opmerking: Als uw exportbestand groot is, moet u mogelijk een kleiner segment van knooppunten in uw netwerk scannen met de externe tool. U kunt ook grote scans importeren met behulp van de commandoregelinterface (CLI) of API.
Nadat u uw scan heeft geïmporteerd, wordt in het beleid een samenvatting weergegeven waarvoor u kunt wisselen tussen twee weergaven: ondersteunde kwetsbaarheden en niet-ondersteunde kwetsbaarheden. Ondersteunde kwetsbaarheden zijn de adviezen die beschikbaar zijn voor correctie met Automation Config. Niet-ondersteunde kwetsbaarheden zijn adviezen die niet kunnen worden gecorrigeerd met Automation Config.

Opmerking: De wisseloptie Weergeven op is alleen beschikbaar voor door de leverancier geïmporteerde gegevens. Voor gegevens die zijn gemaakt met Automation for Secure Hosts-inhoud, wordt dit wisselveld Weergeven op niet weergegeven.

Een externe connector configureren

Voordat u een externe beveiligingsscan kunt importeren, moet u een connector configureren. De connector moet eerst worden geconfigureerd met de API-sleutels van de externe tool.

Een Tenable.io-connector configureren

Als u een Tenable.io-connector wilt configureren, navigeert u naar Instellingen > Connectoren > Tenable.io, voert u de vereiste gegevens voor de connector in en klikt u op Opslaan.
Connectorveld Beschrijving
Geheime sleutel en toegangssleutel (Secret Key and Access Key) Sleutelpaar vereist voor verificatie met de connector-API. Zie de documentatie voor Tenable.io voor meer informatie over het genereren van uw sleutels.
URL Basis-URL voor API-aanvragen. Standaardwaarde is https://cloud.tenable.com.
Dagen sinds (Days since) Voer een query uit in de Tenable.io-scangeschiedenis vanaf dit aantal dagen in het verleden. Laat deze optie leeg als u een query voor een onbeperkte periode wilt uitvoeren. Wanneer u een connector gebruikt om scanresultaten te importeren, gebruikt Automation for Secure Hosts Vulnerability de meest recente resultaten per knooppunt die beschikbaar zijn binnen deze periode.
Opmerking: Om ervoor te zorgen dat uw beleid de nieuwste scangegevens bevat, moet u uw import na elke scan opnieuw uitvoeren. Automation for Secure Hosts Vulnerability peilt Tenable.io niet automatisch naar de nieuwste scangegevens.

Een Carbon Black-connector configureren (alleen Windows)

Als u een Carbon Black-connnector wilt configureren, moet u het recht Apparaat lezen inschakelen in Carbon Black Cloud en een API-tokencode maken. Zie Vulnerability Assessment API voor meer informatie over het maken van een API-tokencode.
Opmerking: Automation for Secure Hosts ondersteunt alleen connectoren en scans van VMware Carbon Black Cloud. Automation for Secure Hosts gebruikt alleen het ipv4- en Carbon Black-apparaat voor het bereiken van overeenstemming en de risk_meter_score voor weergave. Er wordt geen andere informatie gebruikt.

Voordat u een Carbon Black-connector kunt configureren, moet u eerst een Windows Minion Carbon Black-sensorkitomgeving instellen.

Een Carbon Black-sensorkitomgeving instellen:
  1. Start een Automation Config-omgeving en implementeer een Windows-server.
  2. Installeer de Salt-minion in de Windows Server. Zie Installatie van Salt Minion voor meer informatie.
  3. Accepteer de mastersleutels in Automation Config en de minionsleutels van Automation Config of de Salt-master.
  4. Installeer de Carbon Black-sensorkit op de Windows-minion. Zie Sensoren installeren op VM-workloads voor meer informatie.
  5. Definieer in Automation for Secure Hosts een beleid met een doelgroep die de Windows-minion bevat.
  6. Nadat de Automation Config VM-opname is voltooid, synchroniseert u de Automation Config Carbon Black-module vanaf de Salt-master door de volgende commando's uit te voeren: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Stel op de Windows-minion de grain van het Carbon Black-apparaat in door salt mywindowsminion carbonblack.set_device_grain uit te voeren.
Als u een Carbon Black-sensorkitomgeving heeft ingesteld, kunt u uw Carbon Black-connector in Automation Config configureren door naar Instellingen > Connectoren > VMware Carbon Black te gaan. Voer de vereiste gegevens voor de connector in en klik op Opslaan.
Connectorveld Beschrijving
URL URL voor API-aanvragen
Token en organisatiesleutel Sleutelpaar vereist voor verificatie met de connector-API.
Opmerking: Als u een VMware Carbon Black-connector verwijdert, worden deze velden gevuld met xxxx-tekens. Hierdoor wordt de indeling van de tokensleutel 'xxxxxxxxxxxxxxx/xxxxxxx' behouden
SSL verifiëren De standaardwaarde is ingesteld op waar.
  1. Klik op Doelen en selecteer Alle minions of een specifieke minion voor een beleidsdoelgroep.
  2. Klik op Opdracht uitvoeren en voer deze commando's uit: saltutil.sync_all, carbon_black.set_device_grain en saltutil.refresh_grains.

Een Qualys-connector configureren

Als u een Qualys-connector wilt configureren, navigeert u naar Instellingen > Connectoren > Qualys, voert u de vereiste gegevens voor de connector in en klikt u op Opslaan.

De URL, de gebruikersnaam en het wachtwoord worden verstrekt door Qualys.

Hoe importeer ik een externe scan

U kunt een externe scan importeren uit een bestand, vanaf een connector of door de commandoregel te gebruiken.

Voorwaarden

Zorg ervoor dat u uw externe connector heeft geconfigureerd in de gebruikersinterface voor Connectoren.

Procedure

  1. Voer in uw tool van derden een scan uit en zorg ervoor dat u een scanner kiest in hetzelfde netwerk als de knooppunten die u als doel wilt gebruiken. Geef vervolgens de IP-adressen aan die u wilt scannen. Als u een externe scan importeert uit een bestand, exporteert u de scan in een van de ondersteunde bestandsindelingen (Nessus, XML of CSV).
  2. Zorg er in Automation Config voor dat u Automation for Secure Hosts Vulnerability-inhoud hebt gedownload.
  3. Maak in de werkplek Automation for Secure Hosts Vulnerability een beveiligingsbeleid dat dezelfde knooppunten als doel heeft die zijn opgenomen in de externe scan. Zorg ervoor dat de knooppunten die u in de externe tool heeft gescand, ook als doelen in het beveiligingsbeleid zijn opgenomen. Zie Hoe maak ik een kwetsbaarheidsbeleid voor meer informatie.
    Opmerking: Nadat u uw scan heeft geëxporteerd en een beleid heeft gemaakt, kunt u uw scan importeren door het commando raas third_party_import "filepath" third_party_tool security_policy_name uit te voeren. Bijvoorbeeld: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. U wordt aanbevolen om uw scan te importeren met de CLI, in het bijzonder als het scanbestand groot is.
  4. Klik in het beleidsdashboard op de vervolgkeuzepijl van het menu Beleid en selecteer Scangegevens van leveranciers uploaden.
  5. Uw scan importeren:


    • Als u uw scan uit een bestand importeert, selecteert u Uploaden > Bestand uploaden en selecteert u uw externe leverancier. Selecteer vervolgens het bestand om uw scan van derden te uploaden.
    • Als u uw scan uit een connector importeert, selecteert u Uploaden > API-upload en selecteert u de externe partij. Als er geen connector beschikbaar is, leidt het menu u naar de werkplek Connectorinstellingen.
    De tijdlijn van de importstatus toont de status van uw import terwijl Automation for Secure Hosts Vulnerability uw minions toewijst aan de knooppunten die zijn geïdentificeerd door de scan. Dit proces kan enige tijd duren, afhankelijk van het aantal adviezen en de betrokken knooppunten.
    Opmerking: Als u Qualys als externe leverancier selecteert, moeten alle scans de XML-indeling hebben. Er worden geen andere indelingen ondersteund.
  6. Selecteer op de pagina Ondersteunde selecteren de ondersteunde adviezen die u wilt insluiten als onderdeel van uw bestandsimport.
  7. Selecteer op de pagina Niet-ondersteunde selecteren de niet-ondersteunde adviezen die u wilt insluiten als onderdeel van uw bestandsimport.
  8. Controleer de niet-overeenkomende adviezen op adviezen die niet overeenkomen met een host of minion. Ze kunnen hierdoor niet worden gecorrigeerd via Automation Config.
  9. Klik op Volgende en bekijk een samenvatting van wat er in het beleid wordt geïmporteerd.
  10. Klik op Import voltooien om uw scan te importeren.

resultaten

De geselecteerde adviezen worden geïmporteerd in Automation for Secure Hosts Vulnerability en worden als beoordeling weergegeven in het beleidsdashboard. Op het beleidsdashboard wordt ook Geïmporteerd van (Imported from) onder de beleidstitel weergegeven om aan te geven dat de meest recente beoordeling is geïmporteerd uit de tool van derden.
Opmerking: Beoordelingen worden alleen uitgevoerd wanneer de scan is geïmporteerd. Geïmporteerde scans kunnen niet volgens een planning worden uitgevoerd.

Volgende stappen

U kunt nu deze adviezen corrigeren. Zie Hoe corrigeer ik mijn adviezen voor meer informatie.