Als alternatief voor het uitvoeren van een beoordeling van een kwetsbaarheidsbeleid ondersteunt SaltStack SecOps Vulnerability het importeren van beveiligingsscans die door andere leveranciers zijn gegenereerd.

In plaats van een beoordeling uit te voeren op een extern kwetsbaarheidsbeleid, kunt u rechtstreeks een externe beveiligingsscan in SaltStack Config importeren en de beveiligingsadviezen die zijn geïdentificeerd met behulp van SaltStack SecOps Vulnerability corrigeren. Zie Hoe voer ik een kwetsbaarheidsbeoordeling uit voor meer informatie over het uitvoeren van een standaardbeoordeling.

SaltStack SecOps Vulnerability ondersteunt externe scans van:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
U kunt ook een Tenable.io-connector voor Tenable-scans gebruiken.
Als u een externe scan importeert in een beveiligingsbeleid, stemt SaltStack Config uw minions af op de knooppunten die zijn geïdentificeerd door de scan.
Opmerking: Standaard hebben alle SaltStack Config-gebruikers toegang tot de werkplek Connectoren. Het recht om Kwetsbaarheden importeren van leverancier (Vulnerability Vendor Import) uit te voeren, evenals een SaltStack SecOps Vulnerability-licentie, zijn vereist voor een gebruiker om kwetsbaarheden van een connector te importeren.
In het dashboard voor het beveiligingsbeleid worden de adviezen vermeld die door de scan van derden worden geïdentificeerd, en of elk advies wordt ondersteund of niet wordt ondersteund voor correctie.
Opmerking: Als uw exportbestand groot is, moet u mogelijk een kleiner segment van knooppunten in uw netwerk scannen met de externe tool. U kunt ook grote scans importeren met behulp van de commandoregelinterface (CLI) of API.
Nadat u uw scan heeft geïmporteerd, wordt in het beleid een samenvatting weergegeven waarvoor u kunt wisselen tussen twee weergaven: ondersteunde kwetsbaarheden en niet-ondersteunde kwetsbaarheden. Ondersteunde kwetsbaarheden zijn de adviezen die beschikbaar zijn voor correctie met behulp van SaltStack Config. Niet-ondersteunde kwetsbaarheden zijn adviezen die niet kunnen worden gecorrigeerd met SaltStack Config.
Opmerking: De wisseloptie Weergeven op is alleen beschikbaar voor door de leverancier geïmporteerde gegevens. Voor gegevens die zijn gemaakt met SaltStack SecOps-inhoud, wordt dit wisselveld Weergeven op niet weergegeven.

U kunt een externe partij importeren uit een bestand, vanaf een connector of door de commandoregel te gebruiken.

Voorwaarden

Voordat u een externe beveiligingsscan kunt importeren, moet u een connector configureren. De connector moet eerst worden geconfigureerd met de API-sleutels van de externe tool.

Een Tenable.io-connector configureren:

Als u een Tenable.io-connector wilt configureren, navigeert u naar Instellingen > Connectoren > Tenable.io, voert u de vereiste gegevens voor de connector in en klikt u op Opslaan.
Connectorveld Beschrijving
Geheime sleutel en toegangssleutel (Secret Key and Access Key) Sleutelpaar vereist voor verificatie met de connector-API. Zie de documentatie voor Tenable.io voor meer informatie over het genereren van uw sleutels.
URL Basis-URL voor API-aanvragen. Standaardwaarde is https://cloud.tenable.com.
Dagen sinds (Days since) Voer een query uit in de Tenable.io-scangeschiedenis vanaf dit aantal dagen in het verleden. Laat deze optie leeg als u een query voor een onbeperkte periode wilt uitvoeren. Wanneer u een connector gebruikt om scanresultaten te importeren, gebruikt SaltStack SecOps Vulnerability de meest recente resultaten per knooppunt die beschikbaar zijn binnen deze periode.
Opmerking: Om ervoor te zorgen dat uw beleid de nieuwste scangegevens bevat, moet u uw import na elke scan opnieuw uitvoeren. SaltStack SecOps Vulnerability peilt Tenable.io niet automatisch naar de nieuwste scangegevens.

Een Carbon Black-connector configureren (alleen Windows):

Als u een Carbon Black-connnector wilt configureren, moet u het recht Apparaat lezen inschakelen in Carbon Black Cloud en een API-tokencode maken. Zie Vulnerability Assessment API voor meer informatie over het maken van een API-tokencode.
Opmerking: SaltStack SecOps ondersteunt alleen connectoren en scans van VMware Carbon Black Cloud. SaltStack SecOps gebruikt alleen het ipv4- en Carbon Black-apparaat voor het bereiken van overeenstemming en de risk_meter_score voor weergave. Er wordt geen andere informatie gebruikt.

Voordat u een Carbon Black-connector kunt configureren, moet u eerst een Windows Minion Carbon Black-sensorkitomgeving instellen.

Een Carbon Black-sensorkitomgeving instellen:
  1. Start een Saltstack Config-omgeving en implementeer een Windows-server.
  2. Installeer de Salt-minion in de Windows Server. Zie Installatie van Salt Minion voor meer informatie.
  3. Accepteer de mastersleutels in SaltStack Config en de minionsleutels van SaltStack Config of de Salt-master.
  4. Installeer de Carbon Black-sensorkit op de Windows-minion. Zie Sensoren installeren op VM-workloads voor meer informatie.
  5. Definieer in SaltStack SecOps een beleid met een doelgroep die de Windows-minion bevat.
  6. Nadat de SaltStack Config VM-opname is voltooid, synchroniseert u de SaltStack Config Carbon Black-module vanaf de Salt-master door de volgende commando's uit te voeren: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. Stel op de Windows-minion de grain van het Carbon Black-apparaat in door salt mywindowsminion carbonblack.set_device_grain uit te voeren.
Als u een Carbon Black-sensorkitomgeving heeft ingesteld, kunt u uw Carbon Black-connector in SaltStack Config configureren door naar Instellingen > Connectoren > VMware Carbon Black te gaan. Voer de vereiste gegevens voor de connector in en klik op Opslaan.
Connectorveld Beschrijving
URL URL voor API-aanvragen
Token en organisatiesleutel Sleutelpaar vereist voor verificatie met de connector-API.
Opmerking: Als u een VMware Carbon Black-connector verwijdert, worden deze velden gevuld met xxxx-tekens. Hierdoor wordt de indeling van de tokensleutel 'xxxxxxxxxxxxxxx/xxxxxxx' behouden
SSL verifiëren De standaardwaarde is ingesteld op waar.
  1. Klik op Minions en selecteer Alle minions of een specifieke minion voor een beleidsdoelgroep.
  2. Klik op Opdracht uitvoeren en voer deze commando's uit: saltutil.sync_all, carbon_black.set_device_grain en saltutil.refresh_grains.

Procedure

  1. Voer in uw tool van derden een scan uit en zorg ervoor dat u een scanner kiest in hetzelfde netwerk als de knooppunten die u als doel wilt gebruiken. Geef vervolgens de IP-adressen aan die u wilt scannen. Als u een externe scan importeert uit een bestand, exporteert u de scan in een van de ondersteunde bestandsindelingen (Nessus, XML of CSV).
  2. Zorg er in SaltStack Config voor dat u SaltStack SecOps Vulnerability-inhoud heeft gedownload.
  3. Maak in de werkplek SaltStack SecOps Vulnerability een beveiligingsbeleid dat dezelfde knooppunten als doel heeft die zijn opgenomen in de externe scan. Zorg ervoor dat de knooppunten die u in de externe tool heeft gescand, ook als doelen in het beveiligingsbeleid zijn opgenomen. Zie Hoe maak ik een kwetsbaarheidsbeleid voor meer informatie.
    Opmerking: Nadat u uw scan heeft geëxporteerd en een beleid heeft gemaakt, kunt u uw scan importeren door het commando raas third_party_import "filepath" third_party_tool security_policy_name uit te voeren. Bijvoorbeeld: raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. U wordt aanbevolen om uw scan te importeren met de CLI, in het bijzonder als het scanbestand groot is.
  4. Klik in het beleidsdashboard op de vervolgkeuzepijl van het menu Beleid en selecteer Scangegevens van leveranciers uploaden.
  5. Uw scan importeren:
    • Als u uw scan uit een bestand importeert, selecteert u Uploaden > Bestand importeren en selecteert u uw externe leverancier. Selecteer vervolgens het bestand om uw scan van derden te uploaden.
    • Als u uw scan uit een connector importeert, selecteert u Uploaden > API-upload en selecteert u de externe partij. Als er geen connector beschikbaar is, leidt het menu u naar de werkplek Connectorinstellingen.
    De tijdlijn van de importstatus toont de status van uw import terwijl SaltStack SecOps Vulnerability uw minions toewijst aan de knooppunten die zijn geïdentificeerd door de scan. Dit proces kan enige tijd duren, afhankelijk van het aantal adviezen en de betrokken knooppunten.
  6. Selecteer op de pagina Ondersteunde selecteren de ondersteunde adviezen die u wilt insluiten als onderdeel van uw bestandsimport.
  7. Selecteer op de pagina Niet-ondersteunde selecteren de niet-ondersteunde adviezen die u wilt insluiten als onderdeel van uw bestandsimport.
  8. Controleer de niet-overeenkomende adviezen op adviezen die niet overeenkomen met een host of minion. Ze kunnen hierdoor niet worden gecorrigeerd via SaltStack Config.
  9. Klik op Volgende en bekijk een samenvatting van wat er in het beleid wordt geïmporteerd.
  10. Klik op Import voltooien om uw scan te importeren.

resultaten

De geselecteerde adviezen worden geïmporteerd in SaltStack SecOps Vulnerability en worden als beoordeling weergegeven in het beleidsdashboard. Op het beleidsdashboard wordt ook Geïmporteerd van (Imported from) onder de beleidstitel weergegeven om aan te geven dat de meest recente beoordeling is geïmporteerd uit de tool van derden.
Opmerking: Beoordelingen worden alleen uitgevoerd wanneer de scan is geïmporteerd. Geïmporteerde scans kunnen niet volgens een planning worden uitgevoerd.

Volgende stappen

U kunt nu deze adviezen corrigeren. Zie Hoe corrigeer ik mijn adviezen voor meer informatie.