В качестве альтернативы выполнению оценки на основе политики уязвимостей в Automation for Secure Hosts Vulnerability обеспечивается возможность импорта сканирований безопасности, созданных различными сторонними поставщиками.

Вместо выполнения оценки на основе политики уязвимостей можно импортировать результаты стороннего сканирования безопасности непосредственно в Automation Config и выполнить исправления, отраженные в рекомендациях, с помощью Automation for Secure Hosts Vulnerability. Дополнительные сведения о выполнении стандартной оценки см. в разделе Выполнение оценки уязвимостей.

Automation for Secure Hosts Vulnerability поддерживает сканирования от следующих сторонних поставщиков.
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Кроме того, для сканирований Tenable можно использовать соединитель Tenable.io.
При импорте результатов стороннего сканирования в политику безопасности Automation Config сопоставляет служебные серверы среды с узлами, которые были идентифицированы в процессе сканирования.
Примечание: По умолчанию доступ к рабочей области «Соединители» разрешен всем пользователям Automation Config. Тем не менее для того, чтобы импортировать данные об уязвимостях из соединителя, пользователю требуются разрешение на импорт данных поставщика средств безопасности, а также лицензия Automation for Secure Hosts Vulnerability.
На панели управления политиками безопасности представлены рекомендации, предоставленные сторонними средствами сканирования, а также сведения о возможности их выполнения.
Примечание: Если файл экспорта слишком большой, возможно, потребуется уменьшить сегмент сканируемых узлов сети в средстве сканирования стороннего поставщика. Кроме того, большие файлы сканирования можно импортировать с помощью интерфейса командной строки (CLI) или API-интерфейса.
После импорта сканирования в политике отображается сообщение о возможности переключения между двумя представлениями: «Поддерживаемые уязвимости» и «Неподдерживаемые уязвимости». Поддерживаемые уязвимости — это те рекомендуемые исправления, которые можно обработать с помощью Automation Config. Неподдерживаемые уязвимости — это те рекомендуемые исправления, которые нельзя обработать с помощью Automation Config.
Примечание: Параметр «Переключение представления по» доступен только для импортированных данных поставщика. В данных, созданных с помощью содержимого Automation for Secure Hosts, поле «Переключение представления по» отображаться не будет.

Стороннее сканирование можно импортировать из файла, из соединителя или с помощью командной строки.

Необходимые условия

Перед импортом стороннего сканирования безопасности необходимо настроить соединитель. Сначала необходимо настроить соединитель с помощью ключей API-интерфейса инструмента стороннего поставщика.

Чтобы настроить соединитель Tenable.io, выполните следующие действия.

Перейдите в раздел Настройки > Соединители > Tenable.io, введите необходимые сведения для соединителя и нажмите Сохранить.
Поле соединителя Описание
Секретный ключ и ключ доступа Пара ключей, необходимая для проверки подлинности в API-интерфейсе соединителя. Более подробную информацию о создании ключей см. в документации по Tenable.io.
URL-адрес Базовый URL-адрес для запросов API-интерфейса. По умолчанию это https://cloud.tenable.com.
Количество дней Запрос истории сканирования Tenable.io, начиная с указанной даты. Если оставить это поле пустым, запрос не будет ограничен по времени. При импорте результатов сканирования через соединитель Automation for Secure Hosts Vulnerability использует последние результаты за указанный период для каждого узла.
Примечание: Чтобы политика всегда содержала последние результаты сканирования, необходимо импортировать данные после каждого сканирования. Automation for Secure Hosts Vulnerability не запрашивает у Tenable.io последние результаты сканирования автоматически.

Настройка соединителя Carbon Black (только для Windows)

Чтобы настроить соединитель Carbon Black, необходимо включить разрешение на чтение устройств в среде Carbon Black Cloud и создать код маркера API-интерфейса. Дополнительные сведения о создании кода маркера API-интерфейса см. в разделе API-интерфейс оценки уязвимостей.
Примечание: Automation for Secure Hosts поддерживает соединители и сканирования данных только из VMware Carbon Black Cloud. Automation for Secure Hosts использует только ipv4 и устройство Carbon Black для сопоставления и risk_meter_score — для отображения. Другие сведения не используются.

Перед настройкой соединителя Carbon Black необходимо сначала настроить среду комплекта датчиков Windows Minion Carbon Black.

Для настройки среды комплекта датчиков Carbon Black выполните следующее.
  1. Запустите среду Automation Config и разверните сервер Windows.
  2. Установите службу Salt Minion на сервере Windows. Дополнительные сведения см. в разделе Установка службы Salt Minion.
  3. Примите ключи главного сервера в Automation Config и ключи служебных серверов из Automation Config или службы Salt Master.
  4. Установите комплект датчиков Carbon Black на служебном сервере Windows. Дополнительные сведения см. в разделе Установка датчиков в рабочих нагрузках ВМ.
  5. В Automation for Secure Hosts определите политику с целевой группой, которая содержит служебный сервер Windows.
  6. После завершения приема Automation Config VMan синхронизируйте модуль Automation Config Carbon Black с главного сервера Salt, используя следующие команды: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. На служебном сервере Windows настройте параметр grain устройства Carbon Black с помощью команды salt mywindowsminion carbonblack.set_device_grain.
После настройки среды комплекта датчиков Carbon Black можно настроить соединитель Carbon Black в Automation Config. Для этого перейдите в раздел Параметры > Соединители > VMware Carbon Black. Введите необходимые сведения для соединителя и нажмите Сохранить.
Поле соединителя Описание
URL-адрес URL-адрес для запросов API-интерфейса
Маркер и ключ организации Пара ключей, необходимая для проверки подлинности в API-интерфейсе соединителя.
Примечание: Если удалить соединитель VMware Carbon Black, в эти поля будут добавлены символы xxxx. Это необходимо для сохранения формата ключа маркера 'xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx'
Проверка SSL По умолчанию задается значение true.
  1. Щелкните Целевые объекты и выберите Все служебные серверы или определенный служебный сервер для целевой группы политики.
  2. Щелкните Выполнить команду и выполните следующие команды: saltutil.sync_all, carbon_black.set_device_grain и saltutil.refresh_grains.

Процедура

  1. Выполните сканирование в стороннем средстве, при этом выберите модуль сканирования, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать. При импорте стороннего сканирования из файла экспортируйте сканирование в одном из поддерживаемых форматов (Nessus, XML или CSV).
  2. Не забудьте скачать в Automation Config содержимое Automation for Secure Hosts Vulnerability.
  3. В рабочей области Automation for Secure Hosts Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Узлы, сканируемые в стороннем инструменте, должны быть также включены в политику безопасности как целевые объекты. Дополнительные сведения см. в разделе Создание политики уязвимостей .
    Примечание: После экспорта сканирования и создания политики можно импортировать сканирование, запустив команду raas third_party_import "filepath" third_party_tool security_policy_name. Например, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Если файл сканирования очень большой, рекомендуется импортировать сканирование с помощью интерфейса командной строки.
  4. На панели управления политикой щелкните стрелку вниз в меню Политика и выберите Отправить данные сканирования от поставщика.
  5. Импортируйте сканирование.
    • При импорте сканирования из файла выберите Отправить > Отправка файла, затем выберите стороннего поставщика. Затем выберите файл для загрузки результатов стороннего сканирования.
    • При импорте сканирования из соединителя выберите Отправить > Отправка через API-интерфейс , затем выберите стороннего поставщика. Если нет доступных соединителей, меню обеспечит перенаправление в рабочую область настройки соединителей.
    Когда Automation for Secure Hosts Vulnerability сопоставляет служебные серверы с узлами, выявленными сканированием, статус импорта отображается на временной шкале. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов.
  6. На странице «Выбрать поддерживаемые» выберите поддерживаемые рекомендации, которые необходимо включить в операцию импорта файлов.
  7. На странице «Выбрать неподдерживаемые» выберите неподдерживаемые рекомендации, которые необходимо включить в операцию импорта файлов.
  8. Среди несоответствующих рекомендаций найдите рекомендации, которые не соответствуют узлу или служебному серверу. Их будет невозможно обработать с помощью Automation Config.
  9. Щелкните Далее и просмотрите список рекомендаций, которые будут импортированы в политику.
  10. Нажмите кнопку Завершить импорт, чтобы импортировать сканирование.

Результаты

Выбранные рекомендации импортируются в Automation for Secure Hosts Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства.
Примечание: Оценка выполняется только после импорта сканирования. Импортированные оценки сканирования нельзя запускать по расписанию.

Дальнейшие действия

Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Выполнение исправлений, указанных в рекомендациях.