SaltStack SecOps configureren

vRealize Automation SaltStack SecOps is een add-on voor SaltStack Config die twee beveiligingsbibliotheken biedt. Beide contentbibliotheken worden regelmatig bijgewerkt omdat beveiligingsstandaarden veranderen. U kunt instellen dat content automatisch wordt gedownload (of opgenomen) als beveiligingsstandaarden veranderen. Dit wordt aanbevolen voor de meeste standaardsystemen.

De volgende inhoudstypen worden geleverd als onderdeel van SaltStack SecOps:

Conformiteit - Geautomatiseerde detectie en correctie van conformiteit voor uw infrastructuur. De bibliotheek met conformiteitscontent bestaat uit beveiligings- en conformiteitscontent op basis van best practices uit de industrie, zoals CIS.
Kwetsbaarheid - Beheert kwetsbaarheden op alle systemen in uw omgeving. De contentbibliotheek bevat adviezen op basis van de nieuwste vermeldingen in Common Vulnerabilities and Exposures (CVE).

Als alternatief biedt de bibliotheek de optie om content handmatig te downloaden of om via een HTTP(s)-proxy toegang te krijgen tot content vanaf het RaaS-knooppunt. Handmatige opname is nuttig voor systemen met luchtmuur, terwijl downloaden via een proxy handig is om te voorkomen dat content direct van het internet wordt gedownload. Downloaden via een proxy zorgt ook voor meer controle en inzicht in wat en waar wordt gedownload.

Voordat u aan de slag gaat

Het configureren van SaltStack SecOps is een stap na de installatie in een reeks stappen die in een specifieke volgorde moeten worden uitgevoerd. Voltooi eerst een van de installatiescenario's en lees vervolgens de volgende pagina's over stappen na installatie:

Python 3 rpm-bibliotheken installeren

SaltStack SecOps gebruikt de Python 3 rpm-bibliotheken om een betrouwbare vergelijking van pakketversies te maken. Voor deze programma's is de hogere nauwkeurigheid van deze bibliotheken nodig om te bepalen of versies conform zijn of om kwetsbaarheden te evalueren.

Op dit moment hebben minions die gebruikmaken van RedHat of CentOS 7 mogelijk de Python 3 rpm-bibliotheken nodig om nauwkeurige conformiteits- of kwetsbaarheidsbeoordelingen uit te voeren. Als u van plan bent beoordelingen uit te voeren op minions die deze versies van RedHat of CentOS gebruiken, moet u handmatig de Python 3 rpm-bibliotheek installeren op deze machines.

Opmerking:

Er zijn andere noodoplossingen beschikbaar. Als u een alternatieve noodoplossing nodig heeft, kunt u contact opnemen met de helpdesk.

De Python 3 rpm-bibliotheek installeren op de Salt-master die de masterplug-in gebruikt:

Installeer de EPEL-opslagplaats met het volgende commando:
```
yum install -y epel-release
```
Installeer de Python 3 rpm-bibliotheek:
```
yum install -y python3-rpm
```

Automatische contentopname voor standaardsystemen

Voor RaaS-systemen zonder luchtmuur wordt inhoud periodiek gedownload en opgenomen, zoals bepaald door de instellingen in het configuratiebestand. Automatische contentopname is al standaard geconfigureerd in SaltStack Config en er is geen verdere actie vereist.

Als u SaltStack Config handmatig heeft geïnstalleerd, volgt u deze stappen om de automatische contentopname van SaltStack SecOps te configureren:

Voeg het volgende toe aan het configuratiebestand /etc/raas/raas voor de RaaS-service in het gedeelte sec. Pas het waar nodig aan:

sec:
  stats_snapshot_interval: 3600
  username: secops
  content_url: https://enterprise.saltstack.com/secops_downloads
  ingest_saltstack_override: true
  ingest_custom_override: true
  locke_dir: locke
  post_ingest_cleanup: true
  download_enabled: true
  download_frequency: 86400
  compile_stats_interval: 10
  archive_interval: 300
  old_policy_file_lifespan: 2
  delete_old_policy_files_interval: 86400
  ingest_on_boot: true
  content_lock_timeout: 60
  content_lock_block_timeout: 120

Zie Configuratieopties voor meer informatie over deze configuratie-instellingen.

Sla het bestand op.
Herstart de RaaS-service:
```
systemctl restart raas
```
Nadat de service opnieuw is gestart, begint het downloaden van de SaltStack SecOps-inhoud. Dit kan tot vijf minuten duren, afhankelijk van uw internetverbinding.

Content opnemen via http(s)-proxy

Voor opname via proxy moet u een override in de RaaS-service maken en nieuwe omgevingsvariabelen toevoegen voor httpproxy en httpsproxy.

Het RaaS-knooppunt configureren voor gebruik van https-proxy:

Voltooi de vorige stappen om automatische opname in te schakelen.
Bewerk de RaaS-service op de master in de commandoregel:
```
systemctl edit raas
```

Voeg de volgende regels toe aan het gegenereerde bestand.

[Service]
Environment="http_proxy=http://<hostname>:234"
Environment="https_proxy=https://<hostname>:234"
Environment="HTTP_PROXY=http://<hostname>:234"
Environment="HTTPS_PROXY=http://<hostname>:234"

Als voor uw proxy wachtwoordverificatie is vereist, moet u deze mogelijk instellen als onderdeel van de omgevingsvariabelen voor de proxy. Bijvoorbeeld:
```
Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"
```
Als uw proxy gebruikmaakt van een interne certificaatautoriteit, moet u mogelijk ook de omgevingsvariabele REQUESTS_CA_BUNDLE instellen om ervoor te zorgen dat de proxy deze kan gebruiken. Bijvoorbeeld:
```
Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"
```
Herstart de RaaS-service:
```
systemctl restart raas
```

Nadat de service is herstart, begint het downloaden van de content. Dit kan tot 20 minuten duren.

Inhoud handmatig opnemen voor SaltStack SecOps Compliance

Als uw omgeving een luchtmuur heeft, wat betekent dat deze omgeving geen verbinding kan maken met een externe site om updates te downloaden, moet u de SaltStack SecOps Compliance-inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.

Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:

sec:
  download_enabled: False

Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:

systemctl restart raas

De SaltStack SecOps Compliance-tarball handmatig opnemen:

Download de SaltStack SecOps Compliance-inhoud.
Meld u aan bij het RaaS-knooppunt.
Kopieer de tarball met de conformiteitscontent naar het RaaS-knooppunt in de map tmp.
Deze content kan per e-mail of op een andere manier worden aangeleverd.

Neem de tarball-content op.

su - raas -c "raas ingest /path/to/locke.tar.gz.e"

Resultaat:

Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127

Cleaning up: /tmp/extracted-1551290468.5497127

Results:

{'errors': [], 'success': True}

Inhoud handmatig opnemen voor SaltStack SecOps Vulnerability

Als uw omgeving een luchtmuur heeft, wat betekent dat deze geen verbinding kan maken met een externe site om updates te downloaden, moet u SaltStack SecOps Vulnerability -inhoud handmatig bijwerken door de tarball te downloaden van Customer Connect en over te brengen naar uw RaaS-knooppunt.

Als uw systeem een luchtmuur heeft, wijzigt u de instelling voor de downloadconfiguratie in het RaaS-configuratiebestand in False:

sec:
  download_enabled: False

Het RaaS-configuratiebestand bevindt zich in /etc/raas/raas. Mogelijk moet u de RaaS-service ook herstarten nadat u deze configuratie-instellingen heeft toegepast:

systemctl restart raas

De SaltStack SecOps Vulnerability-tarball handmatig opnemen:

Download de SaltStack SecOps Vulnerability-content.
Meld u aan bij het RaaS-knooppunt.
Kopieer de tarball met de kwetsbaarheidscontent naar het RaaS-knooppunt in de map tmp.
Deze content kan per e-mail of op een andere manier worden aangeleverd.

Neem de tarball-inhoud op en vervang de naam van de tarball in dit commando door de exacte bestandsnaam van de tarball:

su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"

Resultaat:

'adv': {'error': 0, 'success': 60334},
  'adv_cve_xref': {'error': 0, 'success': 243781},
  'cve': {'error': 0, 'success': 162251},
  'pkgfile': {'error': 0, 'success': 42},
  'py': {'error': 0, 'success': 7},
  'sls': {'error': 0, 'success': 3}

Problemen met handmatig opnemen oplossen

Als u de commando's voor handmatige opname probeert uit te voeren voor SaltStack SecOps Compliance- of SaltStack SecOps Vulnerability-inhoud, ziet u mogelijk een foutbericht dat lijkt op dit bericht:

/home/centos/locke_date_example123.tar.gz.e not found or not readable

Dit foutbericht wordt soms weergegeven als u de tarball niet in de map tmp plaatst. De tarball in de map tmp plaatsen, lost het probleem op.

Splunk-integratie instellen

SaltStack Config integreert de kwetsbaarhedenbibliotheek met Splunk om uw digitale infrastructuur te helpen optimaliseren en beveiligen met de SaltStack Config-add-on voor Splunk Enterprise. De add-on is beschikbaar op Splunkbase en vereist SaltStack Config versie 6.3 of hoger.

De SaltStack Config-add-on in Splunk maakt gebruik van een statistiekeneindpunt dat compatibel is met Promotheus en meer dan 25 unieke SaltStack Config-statistieken rapporteert. Deze metrieken geven inzicht in de status van uw infrastructuur. Toegang tot deze gegevens in Splunk is nuttig voor het bewaken van uitval, het identificeren van ongewone activiteit en meer. De add-on biedt u ook de mogelijkheid om geautomatiseerde acties uit te voeren op basis van een specifieke Splunk-gebeurtenis met behulp van SaltStack Config.

Voor instructies over het installeren en configureren van de add-on bekijkt u de volledige documentatie voor de add-on in de VMware Knowledge Base.

Voor meer informatie over het statistiekeneindpunt van SaltStack Config bekijkt u de productdocumentatie voor SaltStack SecOps.

Configuratieopties

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor conformiteitscontent:


Optie	Beschrijving
`stats_snapshot_interval`	Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken verzameld
`compile_stats_interval`	Hoe vaak (in seconden) worden SaltStack SecOps Compliance-statistieken gecompileerd
`username`	Gebruikersnaam om te gebruiken als u verbinding maakt met SaltStack Config om de meest recente inhoud van SaltStack SecOps Compliance te downloaden (standaard: `secops`)
`content_url`	URL die wordt gebruikt om SaltStack SecOps Compliance-inhoud te downloaden
`ingest_override`	Wanneer u nieuwe content opneemt, overschrijft u bestaande benchmarks en controles (standaardwaarde: `True`)
`locke_dir`	Pad waar content wordt verwacht voor opname (standaard: `locke`). Als u een relatief pad gebruikt (niet voorafgegaan door `/`), dan is dit ten opzichte van de RaaS-servicecachedirectory `/var/lib/raas/cache`
`post_ingest_cleanup`	Verwijder de uitgevouwen content na opname uit het bestandssysteem (standaard: `True`)
`download_enabled`	Of SaltStack SecOps Compliance-contentdownloads wel of niet zijn toegestaan (standaard: `True`). Stel dit in op `False` met systemen met luchtmuur.
`download_frequency`	Hoe vaak (in seconden) zal de RaaS-service proberen de SaltStack SecOps Compliance-inhoud te downloaden (standaard: `86400` voor 24 uur)
`ingest_on_boot`	Moet de RaaS-service bij het opstarten proberen SaltStack SecOps Compliance-inhoud te downloaden? (standaard: `True`)
`content_lock_timeout`	Hoe lang in seconden zullen de downloadvergrendelingen duren (standaard: `60`)
`content_lock_block_timeout`	Hoe lang in seconden zullen downloadvergrendelingen voor content blokkeren voordat het mislukt (standaard: `120`)

In de volgende tabel worden de configuratieopties beschreven die beschikbaar zijn voor kwetsbaarhedencontent:


Optie	Beschrijving
`vman_dir`	Locatie waar SaltStack SecOps Vulnerability-inhoud is uitgevouwen vóór opname. Als het pad relatief is (niet voorafgegaan door `/`), dan is dit relatief ten opzichte van de RaaS-servicecachedirectory `/var/lib/raas/cache`
`download_enabled`	Bij `True` is het downloaden van SaltStack SecOps Vulnerability-inhoud ingeschakeld. Instellen op `False` voor systemen met luchtmuur
`download_frequency`	De frequentie van geautomatiseerde downloads en opname van SaltStack SecOps Vulnerability-inhoud (in seconden)
`username`	Gebruikersnaam die wordt gebruikt om aan te melden bij `enterprise.saltstack.com` om content op te halen
`content_url`	URL van waaruit de SaltStack SecOps Vulnerability-inhoud wordt gedownload
`ingest_on_boot`	Bij `True` wordt de SaltStack SecOps Vulnerability-inhoud gedownload en opgenomen kort nadat de RaaS-service is opgestart (standaard: `True`)
`compile_stats_interval`	Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken gecompileerd
`stats_snapshot_interval`	Hoe vaak (in seconden) worden SaltStack SecOps Vulnerability-statistieken verzameld
`old_policy_file_lifespan`	Levensduur (in dagen) van oude beleidsbestanden die in het RaaS-bestandssysteem blijven
`delete_old_policy_files_interval`	Hoe vaak (in seconden) oude SaltStack SecOps Vulnerability-beleidsbestanden worden verwijderd uit het RaaS-bestandssysteem
`tenable_asset_import_enabled`	Bij `True` worden minion-grains in SaltStack Config naar Tenable.io verzonden voor overeenkomstige assets (standaard: `True`)
`tenable_asset_import_grains`	Lijst met minion-grains die moeten worden verzonden naar Tenable.io, als het importeren van Tenable-assets is ingeschakeld. SaltStack SecOps Vulnerability ondersteunt alleen `fqdn`, `ipv4` `ipv6` en `hostname` out-of-the-box. U kunt echter andere informatie verzenden door aangepaste grains te definiëren. Zie de documentatie voor Salt over grains voor meer informatie over grains, inclusief hoe u aangepaste grains schrijft. Als u alleen een subset van sleutels heeft, worden alleen de sleutels in de subset gesynchroniseerd. `fqdn` en `ipv4` zullen worden verzonden, zelfs als u ze hier niet vermeldt. Zie de documentatie over het importeren van assets met Tenable voor meer informatie.

Veelgestelde vragen

V: Hoe vaak wordt er nieuwe inhoud voor SaltStack Vulnerability vrijgegeven?
- A: De huidige releasefrequentie is ongeveer één keer per kwartaal. Mogelijk wordt content in de toekomst vaker uitgebracht.
Kan ik eerder toegang krijgen tot nieuwe content als ik automatische opname van content in plaats van handmatige opname gebruik?
- A: Dezelfde content is beschikbaar, ongeacht of u content handmatig of automatisch opneemt.
  Als u echter handmatige opname gebruikt, moet u de updatecontroles voor beveiligingscontent plannen en een proces ontwikkelen om bijgewerkte content handmatig op te nemen wanneer deze beschikbaar is.

Wat moet u nu doen

Nadat u SaltStack SecOps heeft geconfigureerd, zijn er mogelijk aanvullende stappen na installatie. Controleer de lijst met stappen na installatie om ervoor te zorgen dat u alle nodige stappen heeft voltooid.