vRealize Automation SaltStack SecOps is een add-on voor SaltStack Config die twee beveiligingsbibliotheken biedt. Beide contentbibliotheken worden regelmatig bijgewerkt omdat beveiligingsstandaarden veranderen. U kunt instellen dat content automatisch wordt gedownload (of opgenomen) als beveiligingsstandaarden veranderen. Dit wordt aanbevolen voor de meeste standaardsystemen.

De volgende inhoudstypen worden geleverd als onderdeel van SaltStack SecOps:

  • Conformiteit - Geautomatiseerde detectie en correctie van conformiteit voor uw infrastructuur. De bibliotheek met conformiteitscontent bestaat uit beveiligings- en conformiteitscontent op basis van best practices uit de industrie, zoals CIS.
  • Kwetsbaarheid - Beheert kwetsbaarheden op alle systemen in uw omgeving. De contentbibliotheek bevat adviezen op basis van de nieuwste vermeldingen in Common Vulnerabilities and Exposures (CVE).

Als alternatief biedt de bibliotheek de optie om content handmatig te downloaden of om via een HTTP(s)-proxy toegang te krijgen tot content vanaf het RaaS-knooppunt. Handmatige opname is nuttig voor systemen met luchtmuur, terwijl downloaden via een proxy handig is om te voorkomen dat content direct van het internet wordt gedownload. Downloaden via een proxy zorgt ook voor meer controle en inzicht in wat en waar wordt gedownload.

Voordat u aan de slag gaat

Het configureren van SaltStack SecOps is een stap na de installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:

Python 3 rpm-bibliotheken installeren

SaltStack SecOps gebruikt de Python 3 rpm-bibliotheken om een betrouwbare vergelijking van pakketversies te maken. Voor deze programma's is de hogere nauwkeurigheid van deze bibliotheken nodig om te bepalen of versies conform zijn of om kwetsbaarheden te evalueren.

Op dit moment hebben minions die gebruikmaken van RedHat of CentOS 7 mogelijk de Python 3 rpm-bibliotheken nodig om nauwkeurige conformiteits- of kwetsbaarheidsbeoordelingen uit te voeren. Als u van plan bent beoordelingen uit te voeren op minions die deze versies van RedHat of CentOS gebruiken, moet u handmatig de Python 3 rpm-bibliotheek installeren op deze machines.

Opmerking:

Er zijn andere noodoplossingen beschikbaar. Als u een alternatieve noodoplossing nodig heeft, kunt u contact opnemen met de helpdesk.

De Python 3 rpm-bibliotheek installeren op de Salt-master die de masterplug-in gebruikt:

  1. Installeer de EPEL-opslagplaats met het volgende commando:
    yum install -y epel-release
  2. Installeer de Python 3 rpm-bibliotheek:
    yum install -y python3-rpm

Automatische contentopname voor standaardsystemen

Voor RaaS-systemen zonder luchtmuur wordt inhoud periodiek gedownload en opgenomen, zoals bepaald door de instellingen in het configuratiebestand. Automatische contentopname is al standaard geconfigureerd in SaltStack Config en er is geen verdere actie vereist.

Als u SaltStack Config handmatig heeft geïnstalleerd, volgt u deze stappen om de automatische contentopname van SaltStack SecOps te configureren:

  1. Voeg het volgende toe aan het configuratiebestand /etc/raas/raas voor de RaaS-service in het gedeelte sec. Pas het waar nodig aan:
    sec:
      stats_snapshot_interval: 3600
      username: secops
      content_url: https://enterprise.saltstack.com/secops_downloads
      ingest_saltstack_override: true
      ingest_custom_override: true
      locke_dir: locke
      post_ingest_cleanup: true
      download_enabled: true
      download_frequency: 86400
      compile_stats_interval: 10
      archive_interval: 300
      old_policy_file_lifespan: 2
      delete_old_policy_files_interval: 86400
      ingest_on_boot: true
      content_lock_timeout: 60
      content_lock_block_timeout: 120
  2. Sla het bestand op.
  3. Herstart de RaaS-service:
    systemctl restart raas

    Nadat de service opnieuw is gestart, begint het downloaden van de SaltStack SecOps-inhoud. Dit kan tot vijf minuten duren, afhankelijk van uw internetverbinding.

Content opnemen via http(s)-proxy

Voor opname via proxy moet u een override in de RaaS-service maken en nieuwe omgevingsvariabelen toevoegen voor httpproxy en httpsproxy.

Het RaaS-knooppunt configureren voor gebruik van https-proxy:

  1. Voltooi de vorige stappen om automatische opname in te schakelen.
  2. Bewerk de RaaS-service op de master in de commandoregel:
    systemctl edit raas
  3. Voeg de volgende regels toe aan het gegenereerde bestand.
    [Service]
    Environment="http_proxy=http://<hostname>:234"
    Environment="https_proxy=https://<hostname>:234"
    Environment="HTTP_PROXY=http://<hostname>:234"
    Environment="HTTPS_PROXY=http://<hostname>:234"
  4. Als voor uw proxy wachtwoordverificatie is vereist, moet u deze mogelijk instellen als onderdeel van de omgevingsvariabelen voor de proxy. Bijvoorbeeld:
    Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
  5. Als uw proxy gebruikmaakt van een interne certificaatautoriteit, moet u mogelijk ook de omgevingsvariabele REQUESTS_CA_BUNDLE instellen om ervoor te zorgen dat de proxy deze kan gebruiken. Bijvoorbeeld:
    Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
  6. Herstart de RaaS-service:
    systemctl restart raas

Nadat de service is herstart, begint het downloaden van de content. Dit kan tot 20 minuten duren.

Inhoud handmatig opnemen voor SaltStack SecOps Compliance

Als uw omgeving een luchtmuur heeft, wat betekent dat deze omgeving geen verbinding kan maken met een externe site om updates te downloaden, moet u de SaltStack SecOps Compliance-inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.

Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:

sec:
  download_enabled: False

Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:

systemctl restart raas

De SaltStack SecOps Compliance-tarball handmatig opnemen:

  1. Download de SaltStack SecOps Compliance-inhoud.
  2. Meld u aan bij het RaaS-knooppunt.
  3. Kopieer de tarball met de conformiteitscontent naar het RaaS-knooppunt in de map tmp.

    Deze content kan per e-mail of op een andere manier worden aangeleverd.

  4. Controleer of de rechten voor locke.tar.gz.e zijn ingesteld op raas:raas.
  5. Neem de tarball-content op.
    su - raas -c "raas ingest /path/to/locke.tar.gz.e"

    Resultaat:

    Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127
    
    Cleaning up: /tmp/extracted-1551290468.5497127
    
    Results:
    
    {'errors': [], 'success': True}

Inhoud handmatig opnemen voor SaltStack SecOps Vulnerability

Als uw omgeving een luchtmuur heeft, wat betekent dat deze geen verbinding kan maken met een externe site om updates te downloaden, moet u SaltStack SecOps Vulnerability -inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.

Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:

sec:
  download_enabled: False

Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:

systemctl restart raas

De SaltStack SecOps Vulnerability-tarball handmatig opnemen:

  1. Download de SaltStack SecOps Vulnerability-content.
  2. Meld u aan bij het RaaS-knooppunt.
  3. Kopieer de tarball met de kwetsbaarheidscontent naar het RaaS-knooppunt in de map tmp.

    Deze content kan per e-mail of op een andere manier worden aangeleverd.

  4. Controleer of de rechten voor locke.tar.gz.e zijn ingesteld op raas:raas.
  5. Neem de tarball-inhoud op en vervang de naam van de tarball in dit commando door de exacte bestandsnaam van de tarball:
    su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"

    Resultaat:

    'adv': {'error': 0, 'success': 60334},
      'adv_cve_xref': {'error': 0, 'success': 243781},
      'cve': {'error': 0, 'success': 162251},
      'pkgfile': {'error': 0, 'success': 42},
      'py': {'error': 0, 'success': 7},
      'sls': {'error': 0, 'success': 3}

Problemen met handmatig opnemen oplossen

Als u de commando's voor handmatige opname probeert uit te voeren voor SaltStack SecOps Compliance- of SaltStack SecOps Vulnerability-inhoud, ziet u mogelijk een foutbericht dat lijkt op dit bericht:

/home/centos/locke_date_example123.tar.gz.e not found or not readable

Dit foutbericht wordt soms weergegeven als u de tarball niet in de map tmp plaatst. De tarball in de map tmp plaatsen, lost het probleem op.

Splunk-integratie instellen

SaltStack Config integreert de kwetsbaarhedenbibliotheek met Splunk om uw digitale infrastructuur te helpen optimaliseren en beveiligen met de SaltStack Config-add-on voor Splunk Enterprise. De add-on is beschikbaar op Splunkbase en vereist SaltStack Config versie 6.3 of hoger.

De SaltStack Config-add-on in Splunk maakt gebruik van een statistiekeneindpunt dat compatibel is met Promotheus en meer dan 25 unieke SaltStack Config-statistieken rapporteert. Deze metrieken geven inzicht in de status van uw infrastructuur. Toegang tot deze gegevens in Splunk is nuttig voor het bewaken van uitval, het identificeren van ongewone activiteit en meer. De add-on biedt u ook de mogelijkheid om geautomatiseerde acties uit te voeren op basis van een specifieke Splunk-gebeurtenis met behulp van SaltStack Config.

Voor instructies over het installeren en configureren van de add-on bekijkt u de volledige documentatie voor de add-on in de VMware Knowledge Base.

Voor meer informatie over het statistiekeneindpunt van SaltStack Config bekijkt u de productdocumentatie voor SaltStack SecOps.

Configuratieopties

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor conformiteitscontent:

Optie Beschrijving
stats_snapshot_interval Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken verzameld
compile_stats_interval Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken gecompileerd
username Gebruikersnaam om te gebruiken als u verbinding maakt met SaltStack Config om de meest recente inhoud van SaltStack SecOps Compliance te downloaden (standaard: secops)
content_url URL die wordt gebruikt om SaltStack SecOps Compliance-inhoud te downloaden
ingest_override Wanneer u nieuwe content opneemt, overschrijft u bestaande benchmarks en controles (standaardwaarde: True)
locke_dir Pad waar content wordt verwacht voor opname (standaard: locke). Als u een relatief pad gebruikt (niet voorafgegaan door /), dan is dit ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache
post_ingest_cleanup Verwijder de uitgevouwen content na opname uit het bestandssysteem (standaard: True)
download_enabled Of SaltStack SecOps Compliance-contentdownloads wel of niet zijn toegestaan (standaard: True). Stel dit in op False met systemen met luchtmuur.
download_frequency Hoe vaak (in seconden) zal de RaaS-service proberen de SaltStack SecOps Compliance-inhoud te downloaden (standaard: 86400 voor 24 uur)
ingest_on_boot Moet de RaaS-service bij het opstarten proberen SaltStack SecOps Compliance-inhoud te downloaden? (standaard: True)
content_lock_timeout Hoe lang in seconden zullen de downloadvergrendelingen duren (standaard: 60)
content_lock_block_timeout Hoe lang in seconden zullen downloadvergrendelingen voor content blokkeren voordat het mislukt (standaard: 120)

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor kwetsbaarhedencontent:

Optie Beschrijving
vman_dir Locatie waar SaltStack SecOps Vulnerability-inhoud is uitgevouwen vóór opname. Als het pad relatief is (niet voorafgegaan door /), dan is dit relatief ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache
download_enabled Bij True is het downloaden van SaltStack SecOps Vulnerability-inhoud ingeschakeld. Instellen op False voor systemen met luchtmuur
download_frequency De frequentie van geautomatiseerde downloads en opname van SaltStack SecOps Vulnerability-inhoud (in seconden)
username Gebruikersnaam die wordt gebruikt om aan te melden bij enterprise.saltstack.com om content op te halen
content_url URL van waaruit de SaltStack SecOps Vulnerability-inhoud wordt gedownload
ingest_on_boot Bij True wordt de SaltStack SecOps Vulnerability-inhoud gedownload en opgenomen kort nadat de RaaS-service is opgestart (standaard: True)
compile_stats_interval Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken gecompileerd
stats_snapshot_interval Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken verzameld
old_policy_file_lifespan Levensduur (in dagen) van oude beleidsbestanden die in het RaaS-bestandssysteem blijven
delete_old_policy_files_interval Hoe vaak (in seconden) oude SaltStack SecOps Vulnerability-beleidsbestanden worden verwijderd uit het RaaS-bestandssysteem
tenable_asset_import_enabled Bij True worden minion-grains in SaltStack Config naar Tenable.io verzonden voor overeenkomstige assets (standaard: True)
tenable_asset_import_grains

Lijst met minion-grains die moeten worden verzonden naar Tenable.io, als het importeren van Tenable-assets is ingeschakeld.

SaltStack SecOps Vulnerability ondersteunt alleen fqdn, ipv4 ipv6 en hostname out-of-the-box. U kunt echter andere informatie verzenden door aangepaste grains te definiëren. Zie de documentatie voor Salt over grains voor meer informatie over grains, inclusief hoe u aangepaste grains schrijft.

Als u alleen een subset van sleutels heeft, worden alleen de sleutels in de subset gesynchroniseerd.

fqdn en ipv4 zullen worden verzonden, zelfs als u ze hier niet vermeldt.

Zie de documentatie over het importeren van assets met Tenable voor meer informatie.

Veelgestelde vragen

  • V: Hoe vaak wordt er nieuwe inhoud voor SaltStack SecOps vrijgegeven?
    • A: De huidige releasefrequentie is ongeveer één keer per kwartaal. Mogelijk wordt content in de toekomst vaker uitgebracht.
  • Kan ik eerder toegang krijgen tot nieuwe inhoud als ik automatische opname van inhoud in plaats van handmatige opname gebruik?
    • A: Dezelfde content is beschikbaar, ongeacht of u content handmatig of automatisch opneemt.

      Als u echter handmatige opname gebruikt, moet u de updatecontroles voor beveiligingscontent plannen en een proces ontwikkelen om bijgewerkte content handmatig op te nemen wanneer deze beschikbaar is.

Wat moet u nu doen

Nadat u SaltStack SecOps heeft geconfigureerd, zijn er mogelijk aanvullende stappen na installatie. Controleer de lijst met stappen na installatie om ervoor te zorgen dat u alle nodige stappen heeft voltooid.