Lees deze pagina voor referentie-informatie over door SaltStack SecOps Vulnerability ondersteunde bestandsindelingen, beveiligingsbeleidsvelden, activiteitsstatussen en statistieken die beschikbaar zijn op het dashboard Kwetsbaarheid (Vulnerability).
Ondersteunde bestandsindelingen
De volgende bestandsindelingen worden ondersteund bij het importeren van resultaten vanuit een scan van derden.
Leverancier |
Bestandstype |
---|---|
Tenable |
Nessus |
Rapid7 InsightVM-export |
XML |
Qualys |
XML |
KennaSecurity-export |
CSV |
Zie Een beveiligingsscan van derden importeren voor meer informatie.
Beleidsregels voor kwetsbaarheden
Een kwetsbaarheidsbeleid bestaat uit een doel en een beoordelingsplanning. Het doel bepaalt welke minions worden gebruikt voor een beoordeling en de planning bepaalt wanneer de beoordelingen worden uitgevoerd. Een beveiligingsbeleid slaat ook de resultaten van de meest recente beoordeling op in SaltStack SecOps Vulnerability. Beleid kan ook planningen bevatten, evenals specificaties voor het omgaan met vrijstellingen.
Elk onderdeel van een kwetsbaarheidsbeleid wordt hieronder gedetailleerd beschreven.
Onderdeel |
Beschrijving |
---|---|
Doel |
Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Wanneer u een doel in SaltStack SecOps Vulnerability kiest, definieert u de groep assets (minions genoemd) waarop uw beleid van toepassing zal zijn. U kunt een bestaand doel kiezen of een nieuw doel maken. Zie Minions voor meer informatie. |
Planning (Schedule) |
Kies de frequentie voor de planning uit Terugkerend (Recurring), Herhaaldatum en -tijd (Repeat Date & Time), Eén keer (Once) of Cron-expressie (Cron Expression). Er zijn aanvullende opties beschikbaar, afhankelijk van de geplande activiteit en de frequentie van de planning die u kiest.
Opmerking:
In de editor Planning (Schedule) zijn de termen opdracht en beoordeling inwisselbaar. Wanneer u een planning voor het beleid definieert, plant u alleen de beoordeling en niet de correctie.
Opmerking:
Wanneer u een beoordelingsplanning definieert, kunt u kiezen uit de extra optie Niet gepland (on demand) (Not Scheduled (on demand)). Als u deze optie selecteert, kiest u ervoor om alleen eenmalige beoordelingen uit te voeren wanneer nodig en wordt er geen planning gedefinieerd. |
Activiteitsstatus
Op de startpagina van het beleid wordt op het tabblad Activiteit (Activity) een lijst met beoordelingen en correcties weergegeven die zijn voltooid of in behandeling zijn. Hier ziet u de volgende statussen.
Status |
Beschrijving |
---|---|
In wachtrij |
De bewerking is gereed om te worden uitgevoerd, maar de minions hebben de taak nog niet opgehaald om de bewerking te starten. |
Voltooid |
De uitvoering van de bewerking is voltooid. |
Gedeeltelijk (Partial) |
De bewerking wacht nog op de terugkeer van minions, hoewel de Salt-master heeft gerapporteerd dat de uitvoering van de bewerking is voltooid. Minions zijn knooppunten die gebruikmaken van de minionservice, waarmee wordt geluisterd naar commando's van een Salt-master en de gevraagde taken worden uitgevoerd. De Salt-master is een centraal knooppunt dat wordt gebruikt om opdrachten uit te geven aan minions. |
U kunt alle activiteiten in SaltStack Config, inclusief beoordelingen en correcties, in de hoofdwerkplek Activiteit (Activity) in SaltStack Config bijhouden. Zie Activiteit.
Beschermingsdashboard
Op het dashboard Kwetsbaarheid (Vulnerability) ziet u een overzicht van uw kwetsbaarheidsstatus. Het bevat verschillende statistieken en een lijst met de meest voorkomende adviezen voor de meest recente beoordelingen van al uw huidige beleidsregels voor kwetsbaarheden.
Het dashboard is handig voor het rapporteren van uw huidige kwetsbaarheidsstatus. U kunt het dashboard delen door te koppelen naar de pagina-URL of door een PDF-kopie af te drukken. Zie Uw dashboard Kwetsbaarheid (Vulnerability) weergeven en afdrukken voor meer informatie.
Het dashboard bevat de volgende statistieken:
Statistiek |
Beschrijving |
---|---|
Vulnerability Summary (Samenvatting van kwetsbaarheden) |
Het aantal assets dat momenteel wordt beïnvloed door kwetsbaarheden van verschillende ernstniveaus, van Kritiek (Critical) tot Geen (None). |
Correcties (Remediations) |
Het totale aantal kwetsbaarheden dat is gecorrigeerd via SaltStack SecOps Vulnerability, gesorteerd op ernst. |
Trend van kwetsbaarheden (Vulnerability Trend) |
Grafiek met uw kwetsbaarheidsstatus gedurende de afgelopen 30 dagen. |
Topadviezen (Top Advisories) |
Lijst met de vaakst gedetecteerde kwetsbaarheden in uw systemen. |
Beoordelingsresultaten
SaltStack SecOps Vulnerability-beoordelingsresultaten worden weergegeven op de startpagina van uw beleid. De pagina bevat een lijst met adviezen met de volgende informatievelden:
Met SaltStack SecOps Vulnerability kunt u beoordelingsresultaten in JSON downloaden. Zie Het beoordelingsrapport downloaden voor meer informatie.
Veld |
Beschrijving |
---|---|
Ernst |
Beoordelingsbereik voor ernst van Kritiek tot Geen. De ernstbeoordeling is handig voor het bepalen van de prioriteit voor correcties. |
VPR (alleen in van Tenable geïmporteerde kwetsbaarheden) |
Vulnerability Priority Rating is een alternatieve ernstbeoordeling die specifiek is voor Tenable. Zie de documentatie voor Tenable voor meer informatie over VPR. |
Advies-id (Advisory ID) |
Officiële id die is gekoppeld aan het advies. Klik op de id om adviesdetails weer te geven. |
Adviestitel (Advisory title) |
Officiële adviestitel die door CVE wordt herkend. Klik op de adviestitel om de details ervan weer te geven. |
CVE's (CVEs) |
Common Vulnerabilities and Exposures, een lijst met algemene id's voor openbaar bekende kwetsbaarheden in cyberbeveiliging. Zie Over CVE voor meer informatie. |
Betrokken pakketten (Packages affected) |
Lijst met systeempakketten waarop het advies betrekking heeft |
CVSS v3.0 |
Kwetsbaarheidsbeoordeling volgens het Common Vulnerability Scoring System versie 3. Deze wordt mogelijk niet weergegeven voor bepaalde adviezen, omdat nog niet alle adviezen een score hebben gekregen. Zie Common Vulnerability Scoring System SIG voor meer informatie. |
CVSS v2.0 |
Kwetsbaarheidsbeoordeling volgens het Common Vulnerability Scoring System versie 2 |
Installatiegedrag (Install Behavior) |
Geeft aan of het systeem voor een advies volledig opnieuw moet worden opgestart om een patch of update van kracht te laten worden als onderdeel van een correctie. |
Minions |
Geeft een lijst met het aantal minions weer die door dat advies worden beïnvloed. |
Windows Server Update Services (WSUS) inschakelen
Voor het corrigeren van adviezen van Windows-knooppunten zijn aanvullende configuratie- en correctiestappen vereist. Als uw omgeving Windows-patches en -updates implementeert met een WSUS-server, moet u ervoor zorgen dat de server is ingeschakeld en controleren of deze regelmatig updates van Microsoft kan ontvangen. Zie Windows-adviezen corrigeren voor meer informatie.
U kunt het volgende statusbestand uitvoeren om uw minion te verbinden met uw WSUS-server, door de voorbeeld-IP-adressen te vervangen door het IP-adres en de poort van uw WSUS-server:
configure_windows_update: lgpo.set: - computer_policy: CorpWuURL: {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %} {% for element in policy_info["policy_elements"] %} {% if element["element_id"] == "CorpWUContentHost_Name" %} CorpWUContentHost_Name: "" {% endif %} {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %} CorpWUFillEmptyContentUrls: False {% endif %} {% if element["element_id"] == "CorpWUStatusURL_Name" %} CorpWUStatusURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "CorpWUURL_Name" %} CorpWUURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %} SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default) {% endif %} {% endfor %} AutoUpdateCfg: Not Configured update_local_policy: cmd.run: - name: "Gpupdate /Force /Target:Computer"