Lees deze pagina voor referentie-informatie over door SaltStack SecOps Vulnerability ondersteunde bestandsindelingen, beveiligingsbeleidsvelden, activiteitsstatussen en statistieken die beschikbaar zijn op het dashboard Kwetsbaarheid (Vulnerability).

Ondersteunde bestandsindelingen

De volgende bestandsindelingen worden ondersteund bij het importeren van resultaten vanuit een scan van derden.

Leverancier

Bestandstype

Tenable

Nessus

Rapid7 InsightVM-export

XML

Qualys

XML

KennaSecurity-export

CSV

Zie Een beveiligingsscan van derden importeren voor meer informatie.

Beleidsregels voor kwetsbaarheden

Een kwetsbaarheidsbeleid bestaat uit een doel en een beoordelingsplanning. Het doel bepaalt welke minions worden gebruikt voor een beoordeling en de planning bepaalt wanneer de beoordelingen worden uitgevoerd. Een beveiligingsbeleid slaat ook de resultaten van de meest recente beoordeling op in SaltStack SecOps Vulnerability. Beleid kan ook planningen bevatten, evenals specificaties voor het omgaan met vrijstellingen.

Elk onderdeel van een kwetsbaarheidsbeleid wordt hieronder gedetailleerd beschreven.

Onderdeel

Beschrijving

Doel

Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Wanneer u een doel in SaltStack SecOps Vulnerability kiest, definieert u de groep assets (minions genoemd) waarop uw beleid van toepassing zal zijn. U kunt een bestaand doel kiezen of een nieuw doel maken. Zie Minions voor meer informatie.

Planning (Schedule)

Kies de frequentie voor de planning uit Terugkerend (Recurring), Herhaaldatum en -tijd (Repeat Date & Time), Eén keer (Once) of Cron-expressie (Cron Expression). Er zijn aanvullende opties beschikbaar, afhankelijk van de geplande activiteit en de frequentie van de planning die u kiest.

Terugkerend (Recurring)

Stel een interval in voor het herhalen van de planning, met optionele velden voor start- of einddatum, splay en maximum aantal parallelle opdrachten.

Herhaaldatum en -tijd (Repeat Date & Time)

Kies ervoor om de planning wekelijks of dagelijks te herhalen, met optionele velden voor de start- of einddatum en het maximum aantal parallelle opdrachten.

Eén keer (Once)

Geef een datum en tijd op om de opdracht uit te voeren.

Cron

Voer een Cron-expressie in om een aangepaste planning te definiëren op basis van de Croniter-syntaxis. Zie de CronTab-editor voor syntaxisrichtlijnen. Voor het beste resultaat voorkomt u dat u opdrachten plant op minder dan 60 seconden uit elkaar wanneer u een aangepaste Cron-expressie definieert.

Opmerking:

In de editor Planning (Schedule) zijn de termen opdracht en beoordeling inwisselbaar. Wanneer u een planning voor het beleid definieert, plant u alleen de beoordeling en niet de correctie.

Opmerking:

Wanneer u een beoordelingsplanning definieert, kunt u kiezen uit de extra optie Niet gepland (on demand) (Not Scheduled (on demand)). Als u deze optie selecteert, kiest u ervoor om alleen eenmalige beoordelingen uit te voeren wanneer nodig en wordt er geen planning gedefinieerd.

Activiteitsstatus

Op de startpagina van het beleid wordt op het tabblad Activiteit (Activity) een lijst met beoordelingen en correcties weergegeven die zijn voltooid of in behandeling zijn. Hier ziet u de volgende statussen.

Status

Beschrijving

In wachtrij

De bewerking is gereed om te worden uitgevoerd, maar de minions hebben de taak nog niet opgehaald om de bewerking te starten.

Voltooid

De uitvoering van de bewerking is voltooid.

Gedeeltelijk (Partial)

De bewerking wacht nog op de terugkeer van minions, hoewel de Salt-master heeft gerapporteerd dat de uitvoering van de bewerking is voltooid. Minions zijn knooppunten die gebruikmaken van de minionservice, waarmee wordt geluisterd naar commando's van een Salt-master en de gevraagde taken worden uitgevoerd. De Salt-master is een centraal knooppunt dat wordt gebruikt om opdrachten uit te geven aan minions.

U kunt alle activiteiten in SaltStack Config, inclusief beoordelingen en correcties, in de hoofdwerkplek Activiteit (Activity) in SaltStack Config bijhouden. Zie Activiteit.

Beschermingsdashboard

Op het dashboard Kwetsbaarheid (Vulnerability) ziet u een overzicht van uw kwetsbaarheidsstatus. Het bevat verschillende statistieken en een lijst met de meest voorkomende adviezen voor de meest recente beoordelingen van al uw huidige beleidsregels voor kwetsbaarheden.

Het dashboard is handig voor het rapporteren van uw huidige kwetsbaarheidsstatus. U kunt het dashboard delen door te koppelen naar de pagina-URL of door een PDF-kopie af te drukken. Zie Uw dashboard Kwetsbaarheid (Vulnerability) weergeven en afdrukken voor meer informatie.

Het dashboard bevat de volgende statistieken:

Statistiek

Beschrijving

Vulnerability Summary (Samenvatting van kwetsbaarheden)

Het aantal assets dat momenteel wordt beïnvloed door kwetsbaarheden van verschillende ernstniveaus, van Kritiek (Critical) tot Geen (None).

Correcties (Remediations)

Het totale aantal kwetsbaarheden dat is gecorrigeerd via SaltStack SecOps Vulnerability, gesorteerd op ernst.

Trend van kwetsbaarheden (Vulnerability Trend)

Grafiek met uw kwetsbaarheidsstatus gedurende de afgelopen 30 dagen.

Topadviezen (Top Advisories)

Lijst met de vaakst gedetecteerde kwetsbaarheden in uw systemen.

Beoordelingsresultaten

SaltStack SecOps Vulnerability-beoordelingsresultaten worden weergegeven op de startpagina van uw beleid. De pagina bevat een lijst met adviezen met de volgende informatievelden:

Opmerking:

Met SaltStack SecOps Vulnerability kunt u beoordelingsresultaten in JSON downloaden. Zie Het beoordelingsrapport downloaden voor meer informatie.

Veld

Beschrijving

Ernst

Beoordelingsbereik voor ernst van Kritiek tot Geen. De ernstbeoordeling is handig voor het bepalen van de prioriteit voor correcties.

VPR (alleen in van Tenable geïmporteerde kwetsbaarheden)

Vulnerability Priority Rating is een alternatieve ernstbeoordeling die specifiek is voor Tenable. Zie de documentatie voor Tenable voor meer informatie over VPR.

Advies-id (Advisory ID)

Officiële id die is gekoppeld aan het advies. Klik op de id om adviesdetails weer te geven.

Adviestitel (Advisory title)

Officiële adviestitel die door CVE wordt herkend. Klik op de adviestitel om de details ervan weer te geven.

CVE's (CVEs)

Common Vulnerabilities and Exposures, een lijst met algemene id's voor openbaar bekende kwetsbaarheden in cyberbeveiliging.

Zie Over CVE voor meer informatie.

Betrokken pakketten (Packages affected)

Lijst met systeempakketten waarop het advies betrekking heeft

CVSS v3.0

Kwetsbaarheidsbeoordeling volgens het Common Vulnerability Scoring System versie 3. Deze wordt mogelijk niet weergegeven voor bepaalde adviezen, omdat nog niet alle adviezen een score hebben gekregen.

Zie Common Vulnerability Scoring System SIG voor meer informatie.

CVSS v2.0

Kwetsbaarheidsbeoordeling volgens het Common Vulnerability Scoring System versie 2

Installatiegedrag (Install Behavior)

Geeft aan of het systeem voor een advies volledig opnieuw moet worden opgestart om een patch of update van kracht te laten worden als onderdeel van een correctie.

Minions

Geeft een lijst met het aantal minions weer die door dat advies worden beïnvloed.

Windows Server Update Services (WSUS) inschakelen

Voor het corrigeren van adviezen van Windows-knooppunten zijn aanvullende configuratie- en correctiestappen vereist. Als uw omgeving Windows-patches en -updates implementeert met een WSUS-server, moet u ervoor zorgen dat de server is ingeschakeld en controleren of deze regelmatig updates van Microsoft kan ontvangen. Zie Windows-adviezen corrigeren voor meer informatie.

U kunt het volgende statusbestand uitvoeren om uw minion te verbinden met uw WSUS-server, door de voorbeeld-IP-adressen te vervangen door het IP-adres en de poort van uw WSUS-server:

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"