vRealize Automation SaltStack SecOps is een add-on voor SaltStack Config die twee beveiligingsbibliotheken biedt. Beide contentbibliotheken worden regelmatig bijgewerkt omdat beveiligingsstandaarden veranderen. U kunt instellen dat content automatisch wordt gedownload (of opgenomen) als beveiligingsstandaarden veranderen. Dit wordt aanbevolen voor de meeste standaardsystemen.
De volgende inhoudstypen worden geleverd als onderdeel van SaltStack SecOps:
- Conformiteit - Geautomatiseerde detectie en correctie van conformiteit voor uw infrastructuur. De bibliotheek met conformiteitscontent bestaat uit beveiligings- en conformiteitscontent op basis van best practices uit de industrie, zoals CIS.
- Kwetsbaarheid - Beheert kwetsbaarheden op alle systemen in uw omgeving. De contentbibliotheek bevat adviezen op basis van de nieuwste vermeldingen in Common Vulnerabilities and Exposures (CVE).
Als alternatief biedt de bibliotheek de optie om content handmatig te downloaden of om via een HTTP(s)-proxy toegang te krijgen tot content vanaf het RaaS-knooppunt. Handmatige opname is nuttig voor systemen met luchtmuur, terwijl downloaden via een proxy handig is om te voorkomen dat content direct van het internet wordt gedownload. Downloaden via een proxy zorgt ook voor meer controle en inzicht in wat en waar wordt gedownload.
Voordat u aan de slag gaat
Het configureren van SaltStack SecOps is een stap na de installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:
Python 3 rpm-bibliotheken installeren
SaltStack SecOps gebruikt de Python 3 rpm-bibliotheken om een betrouwbare vergelijking van pakketversies te maken. Voor deze programma's is de hogere nauwkeurigheid van deze bibliotheken nodig om te bepalen of versies conform zijn of om kwetsbaarheden te evalueren.
Op dit moment hebben minions die gebruikmaken van RedHat of CentOS 7 mogelijk de Python 3 rpm-bibliotheken nodig om nauwkeurige conformiteits- of kwetsbaarheidsbeoordelingen uit te voeren. Als u van plan bent beoordelingen uit te voeren op minions die deze versies van RedHat of CentOS gebruiken, moet u handmatig de Python 3 rpm-bibliotheek installeren op deze machines.
Er zijn andere noodoplossingen beschikbaar. Als u een alternatieve noodoplossing nodig heeft, kunt u contact opnemen met de helpdesk.
De Python 3 rpm-bibliotheek installeren op de Salt-master die de masterplug-in gebruikt:
- Installeer de EPEL-opslagplaats met het volgende commando:
yum install -y epel-release
- Installeer de Python 3 rpm-bibliotheek:
yum install -y python3-rpm
Automatische contentopname voor standaardsystemen
Voor RaaS-systemen zonder luchtmuur wordt inhoud periodiek gedownload en opgenomen, zoals bepaald door de instellingen in het configuratiebestand. Automatische contentopname is al standaard geconfigureerd in SaltStack Config en er is geen verdere actie vereist.
Als u SaltStack Config handmatig heeft geïnstalleerd, volgt u deze stappen om de automatische contentopname van SaltStack SecOps te configureren:
- Voeg het volgende toe aan het configuratiebestand
/etc/raas/raas
voor de RaaS-service in het gedeeltesec
. Pas het waar nodig aan:sec: stats_snapshot_interval: 3600 username: secops content_url: https://enterprise.saltstack.com/secops_downloads ingest_saltstack_override: true ingest_custom_override: true locke_dir: locke post_ingest_cleanup: true download_enabled: true download_frequency: 86400 compile_stats_interval: 10 archive_interval: 300 old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 ingest_on_boot: true content_lock_timeout: 60 content_lock_block_timeout: 120
- Sla het bestand op.
- Herstart de RaaS-service:
systemctl restart raas
Nadat de service opnieuw is gestart, begint het downloaden van de SaltStack SecOps-inhoud. Dit kan tot vijf minuten duren, afhankelijk van uw internetverbinding.
Content opnemen via http(s)-proxy
Voor opname via proxy moet u een override in de RaaS-service maken en nieuwe omgevingsvariabelen toevoegen voor httpproxy
en httpsproxy
.
Het RaaS-knooppunt configureren voor gebruik van https-proxy:
- Voltooi de vorige stappen om automatische opname in te schakelen.
- Bewerk de RaaS-service op de master in de commandoregel:
systemctl edit raas
- Voeg de volgende regels toe aan het gegenereerde bestand.
[Service] Environment="http_proxy=http://<hostname>:234" Environment="https_proxy=https://<hostname>:234" Environment="HTTP_PROXY=http://<hostname>:234" Environment="HTTPS_PROXY=http://<hostname>:234"
- Als voor uw proxy wachtwoordverificatie is vereist, moet u deze mogelijk instellen als onderdeel van de omgevingsvariabelen voor de proxy. Bijvoorbeeld:
Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
- Als uw proxy gebruikmaakt van een interne certificaatautoriteit, moet u mogelijk ook de omgevingsvariabele
REQUESTS_CA_BUNDLE
instellen om ervoor te zorgen dat de proxy deze kan gebruiken. Bijvoorbeeld:Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
- Herstart de RaaS-service:
systemctl restart raas
Nadat de service is herstart, begint het downloaden van de content. Dit kan tot 20 minuten duren.
Inhoud handmatig opnemen voor SaltStack SecOps Compliance
Als uw omgeving een luchtmuur heeft, wat betekent dat deze omgeving geen verbinding kan maken met een externe site om updates te downloaden, moet u de SaltStack SecOps Compliance-inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.
Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:
sec: download_enabled: False
Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas
. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:
systemctl restart raas
De SaltStack SecOps Compliance-tarball handmatig opnemen:
- Download de SaltStack SecOps Compliance-inhoud.
- Meld u aan bij het RaaS-knooppunt.
- Kopieer de tarball met de conformiteitscontent naar het RaaS-knooppunt in de map
tmp
.Deze content kan per e-mail of op een andere manier worden aangeleverd.
- Controleer of de rechten voor locke.tar.gz.e zijn ingesteld op
raas:raas
. - Neem de tarball-content op.
su - raas -c "raas ingest /path/to/locke.tar.gz.e"
Resultaat:
Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127 Cleaning up: /tmp/extracted-1551290468.5497127 Results: {'errors': [], 'success': True}
Inhoud handmatig opnemen voor SaltStack SecOps Vulnerability
Als uw omgeving een luchtmuur heeft, wat betekent dat deze geen verbinding kan maken met een externe site om updates te downloaden, moet u SaltStack SecOps Vulnerability -inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.
Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:
sec: download_enabled: False
Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas
. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:
systemctl restart raas
De SaltStack SecOps Vulnerability-tarball handmatig opnemen:
- Download de SaltStack SecOps Vulnerability-content.
- Meld u aan bij het RaaS-knooppunt.
- Kopieer de tarball met de kwetsbaarheidscontent naar het RaaS-knooppunt in de map
tmp
.Deze content kan per e-mail of op een andere manier worden aangeleverd.
- Controleer of de rechten voor locke.tar.gz.e zijn ingesteld op
raas:raas
. - Neem de tarball-inhoud op en vervang de naam van de tarball in dit commando door de exacte bestandsnaam van de tarball:
su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"
Resultaat:
'adv': {'error': 0, 'success': 60334}, 'adv_cve_xref': {'error': 0, 'success': 243781}, 'cve': {'error': 0, 'success': 162251}, 'pkgfile': {'error': 0, 'success': 42}, 'py': {'error': 0, 'success': 7}, 'sls': {'error': 0, 'success': 3}
Problemen met handmatig opnemen oplossen
Als u de commando's voor handmatige opname probeert uit te voeren voor SaltStack SecOps Compliance- of SaltStack SecOps Vulnerability-inhoud, ziet u mogelijk een foutbericht dat lijkt op dit bericht:
/home/centos/locke_date_example123.tar.gz.e not found or not readable
Dit foutbericht wordt soms weergegeven als u de tarball niet in de map tmp
plaatst. De tarball in de map tmp
plaatsen, lost het probleem op.
Splunk-integratie instellen
SaltStack Config integreert de kwetsbaarhedenbibliotheek met Splunk om uw digitale infrastructuur te helpen optimaliseren en beveiligen met de SaltStack Config-add-on voor Splunk Enterprise. De add-on is beschikbaar op Splunkbase en vereist SaltStack Config versie 6.3 of hoger.
De SaltStack Config-add-on in Splunk maakt gebruik van een statistiekeneindpunt dat compatibel is met Promotheus en meer dan 25 unieke SaltStack Config-statistieken rapporteert. Deze metrieken geven inzicht in de status van uw infrastructuur. Toegang tot deze gegevens in Splunk is nuttig voor het bewaken van uitval, het identificeren van ongewone activiteit en meer. De add-on biedt u ook de mogelijkheid om geautomatiseerde acties uit te voeren op basis van een specifieke Splunk-gebeurtenis met behulp van SaltStack Config.
Voor instructies over het installeren en configureren van de add-on bekijkt u de volledige documentatie voor de add-on in de VMware Knowledge Base.
Voor meer informatie over het statistiekeneindpunt van SaltStack Config bekijkt u de productdocumentatie voor SaltStack SecOps.
Configuratieopties
In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor conformiteitscontent:
Optie | Beschrijving |
---|---|
stats_snapshot_interval |
Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken verzameld |
compile_stats_interval |
Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken gecompileerd |
username |
Gebruikersnaam om te gebruiken als u verbinding maakt met SaltStack Config om de meest recente inhoud van SaltStack SecOps Compliance te downloaden (standaard: secops ) |
content_url |
URL die wordt gebruikt om SaltStack SecOps Compliance-inhoud te downloaden |
ingest_override |
Wanneer u nieuwe content opneemt, overschrijft u bestaande benchmarks en controles (standaardwaarde: True ) |
locke_dir |
Pad waar content wordt verwacht voor opname (standaard: locke ). Als u een relatief pad gebruikt (niet voorafgegaan door / ), dan is dit ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache |
post_ingest_cleanup |
Verwijder de uitgevouwen content na opname uit het bestandssysteem (standaard: True ) |
download_enabled |
Of SaltStack SecOps Compliance-contentdownloads wel of niet zijn toegestaan (standaard: True ). Stel dit in op False met systemen met luchtmuur. |
download_frequency |
Hoe vaak (in seconden) zal de RaaS-service proberen de SaltStack SecOps Compliance-inhoud te downloaden (standaard: 86400 voor 24 uur) |
ingest_on_boot |
Moet de RaaS-service bij het opstarten proberen SaltStack SecOps Compliance-inhoud te downloaden? (standaard: True ) |
content_lock_timeout |
Hoe lang in seconden zullen de downloadvergrendelingen duren (standaard: 60 ) |
content_lock_block_timeout |
Hoe lang in seconden zullen downloadvergrendelingen voor content blokkeren voordat het mislukt (standaard: 120 ) |
In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor kwetsbaarhedencontent:
Optie | Beschrijving |
---|---|
vman_dir |
Locatie waar SaltStack SecOps Vulnerability-inhoud is uitgevouwen vóór opname. Als het pad relatief is (niet voorafgegaan door / ), dan is dit relatief ten opzichte van de RaaS-servicecachedirectory /var/lib/raas/cache |
download_enabled |
Bij True is het downloaden van SaltStack SecOps Vulnerability-inhoud ingeschakeld. Instellen op False voor systemen met luchtmuur |
download_frequency |
De frequentie van geautomatiseerde downloads en opname van SaltStack SecOps Vulnerability-inhoud (in seconden) |
username |
Gebruikersnaam die wordt gebruikt om aan te melden bij enterprise.saltstack.com om content op te halen |
content_url |
URL van waaruit de SaltStack SecOps Vulnerability-inhoud wordt gedownload |
ingest_on_boot |
Bij True wordt de SaltStack SecOps Vulnerability-inhoud gedownload en opgenomen kort nadat de RaaS-service is opgestart (standaard: True ) |
compile_stats_interval |
Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken gecompileerd |
stats_snapshot_interval |
Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken verzameld |
old_policy_file_lifespan |
Levensduur (in dagen) van oude beleidsbestanden die in het RaaS-bestandssysteem blijven |
delete_old_policy_files_interval |
Hoe vaak (in seconden) oude SaltStack SecOps Vulnerability-beleidsbestanden worden verwijderd uit het RaaS-bestandssysteem |
tenable_asset_import_enabled |
Bij True worden minion-grains in SaltStack Config naar Tenable.io verzonden voor overeenkomstige assets (standaard: True ) |
tenable_asset_import_grains |
Lijst met minion-grains die moeten worden verzonden naar Tenable.io, als het importeren van Tenable-assets is ingeschakeld. SaltStack SecOps Vulnerability ondersteunt alleen Als u alleen een subset van sleutels heeft, worden alleen de sleutels in de subset gesynchroniseerd. Zie de documentatie over het importeren van assets met Tenable voor meer informatie. |
Veelgestelde vragen
- V: Hoe vaak wordt er nieuwe inhoud voor SaltStack SecOps vrijgegeven?
- A: De huidige releasefrequentie is ongeveer één keer per kwartaal. Mogelijk wordt content in de toekomst vaker uitgebracht.
- Kan ik eerder toegang krijgen tot nieuwe inhoud als ik automatische opname van inhoud in plaats van handmatige opname gebruik?
- A: Dezelfde content is beschikbaar, ongeacht of u content handmatig of automatisch opneemt.
Als u echter handmatige opname gebruikt, moet u de updatecontroles voor beveiligingscontent plannen en een proces ontwikkelen om bijgewerkte content handmatig op te nemen wanneer deze beschikbaar is.
- A: Dezelfde content is beschikbaar, ongeacht of u content handmatig of automatisch opneemt.
Wat moet u nu doen
Nadat u SaltStack SecOps heeft geconfigureerd, zijn er mogelijk aanvullende stappen na installatie. Controleer de lijst met stappen na installatie om ervoor te zorgen dat u alle nodige stappen heeft voltooid.