Als alternatief voor het uitvoeren van een beoordeling van een kwetsbaarheidsbeleid ondersteunt SaltStack SecOps Vulnerability het importeren van beveiligingsscans die door andere leveranciers zijn gegenereerd.

In plaats van een beoordeling uit te voeren op een extern kwetsbaarheidsbeleid, kunt u rechtstreeks een externe beveiligingsscan in SaltStack Config importeren en de beveiligingsadviezen die zijn geïdentificeerd met behulp van SaltStack SecOps Vulnerability corrigeren. Zie Hoe voer ik een kwetsbaarheidsbeoordeling uit voor meer informatie over het uitvoeren van een standaardbeoordeling.

SaltStack SecOps Vulnerability ondersteunt externe scans van:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
U kunt ook een Tenable.io-connector voor Tenable-scans gebruiken.
Als u een externe scan importeert in een beveiligingsbeleid, stemt SaltStack Config uw minions af op de knooppunten die zijn geïdentificeerd door de scan. De werkplek Voorbereide inrichting importeren (Import staging) bevat de lijst met adviezen die kunnen worden geïmporteerd en een andere lijst met de adviezen die momenteel niet kunnen worden geïmporteerd. De lijst met niet-ondersteunde adviezen geeft uitleg bij de redenen waarom deze niet kunnen worden geïmporteerd.
Opmerking: Standaard hebben alle SaltStack Config-gebruikers toegang tot de werkplek Connectoren. Het recht om Kwetsbaarheden importeren van leverancier (Vulnerability Vendor Import) uit te voeren, evenals een SaltStack SecOps Vulnerability-licentie, zijn vereist voor een gebruiker om kwetsbaarheden van een connector te importeren.
In het dashboard voor het beveiligingsbeleid worden de adviezen vermeld die door de scan van derden worden geïdentificeerd, en of elk advies wordt ondersteund of niet wordt ondersteund voor correctie.
Opmerking: Als uw exportbestand groot is, moet u mogelijk een kleiner segment van knooppunten in uw netwerk scannen met de externe tool. U kunt ook grote scans importeren met behulp van de commandoregelinterface (CLI) of API.

Na het importeren van uw scan worden in de werkplek Voorbereide inrichting importeren een importsamenvatting en twee tabellen weergegeven: een lijst met Ondersteunde kwetsbaarheden en een lijst met Niet-ondersteunde kwetsbaarheden. Ondersteunde kwetsbaarheden zijn de adviezen die beschikbaar zijn voor correctie. Niet-ondersteunde kwetsbaarheden zijn de adviezen die momenteel niet kunnen worden gecorrigeerd. De lijst met niet-ondersteunde kwetsbaarheden geeft ook uitleg bij de redenen waarom ze niet kunnen worden geïmporteerd.

U kunt een externe partij importeren uit een bestand, vanaf een connector of door de commandoregel te gebruiken.

Voorwaarden

Voordat u een externe beveiligingsscan kunt importeren, moet u een connector configureren. De connector moet eerst worden geconfigureerd met de API-sleutels van de externe tool.

Een Tenable.io-connector configureren:

Als u een Tenable.io-connector wilt configureren, navigeert u naar Instellingen > Connectoren > Tenable.io, voert u de vereiste gegevens voor de connector in en klikt u op Opslaan.
Veld in connector Beschrijving
Geheime sleutel en toegangssleutel (Secret Key and Access Key) Sleutelpaar vereist voor verificatie met de connector-API. Zie de documentatie voor Tenable.io voor meer informatie over het genereren van uw sleutels.
URL Basis-URL voor API-aanvragen. Standaardwaarde is https://cloud.tenable.com.
Dagen sinds (Days since) Voer een query uit in de Tenable.io-scangeschiedenis vanaf dit aantal dagen in het verleden. Laat deze optie leeg als u een query voor een onbeperkte periode wilt uitvoeren. Wanneer u een connector gebruikt om scanresultaten te importeren, gebruikt SaltStack SecOps Vulnerability de meest recente resultaten per knooppunt die beschikbaar zijn binnen deze periode.
Opmerking: Om ervoor te zorgen dat uw beleid de nieuwste scangegevens bevat, moet u uw import na elke scan opnieuw uitvoeren. SaltStack SecOps Vulnerability peilt Tenable.io niet automatisch naar de nieuwste scangegevens.

Procedure

  1. Voer in uw tool van derden een scan uit en zorg ervoor dat u een scanner kiest in hetzelfde netwerk als de knooppunten die u als doel wilt gebruiken. Geef vervolgens de IP-adressen aan die u wilt scannen. Als u een externe scan importeert uit een bestand, exporteert u de scan in een van de ondersteunde bestandsindelingen (Nessus, XML of CSV).
  2. Zorg er in SaltStack Config voor dat u SaltStack SecOps Vulnerability-inhoud heeft gedownload.
  3. Maak in de werkplek SaltStack SecOps Vulnerability een beveiligingsbeleid dat dezelfde knooppunten als doel heeft die zijn opgenomen in de externe scan. Zorg ervoor dat de knooppunten die u in de externe tool heeft gescand, ook als doelen in het beveiligingsbeleid zijn opgenomen. Zie Hoe maak ik een kwetsbaarheidsbeleid voor meer informatie.
    Opmerking: Nadat u uw scan heeft geëxporteerd en een beleid heeft gemaakt, kunt u uw scan importeren door het commando raas third_party_import "filepath" third_party_tool security_policy_name uit te voeren. Bijvoorbeeld: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. U wordt aanbevolen om uw scan te importeren met de CLI, in het bijzonder als het scanbestand groot is.
  4. Klik in het beleidsdashboard op de vervolgkeuzepijl van het menu Beleid en selecteer Scangegevens van leveranciers uploaden.
  5. Uw scan importeren:
    • Als u uw scan uit een bestand importeert, selecteert u Uploaden > Bestand importeren en selecteert u uw externe leverancier. Selecteer vervolgens het bestand om uw scan van derden te uploaden.
    • Als u uw scan uit een connector importeert, selecteert u Uploaden > API-upload en selecteert u de externe partij. Als er geen connector beschikbaar is, leidt het menu u naar de werkplek Connectorinstellingen.
    De tijdlijn van de importstatus toont de status van uw import terwijl SaltStack SecOps Vulnerability uw minions toewijst aan de knooppunten die zijn geïdentificeerd door de scan. Dit proces kan enige tijd duren, afhankelijk van het aantal adviezen en de betrokken knooppunten.
  6. Klik op Alle ondersteunde importeren om alle ondersteunde adviezen te importeren. U kunt ook op het selectievakje naast specifieke adviezen in de tabel Kwetsbaarheden ondersteunen klikken en vervolgens op Geselecteerde importeren klikken.

resultaten

De geselecteerde adviezen worden geïmporteerd in SaltStack SecOps Vulnerability en worden als beoordeling weergegeven in het beleidsdashboard. Op het beleidsdashboard wordt ook Geïmporteerd van (Imported from) onder de beleidstitel weergegeven om aan te geven dat de meest recente beoordeling is geïmporteerd uit de tool van derden.

Volgende stappen

U kunt nu deze adviezen corrigeren. Zie Hoe corrigeer ik mijn adviezen voor meer informatie.