В качестве альтернативы выполнению оценки на основе политики уязвимостей в SaltStack SecOps Vulnerability обеспечивается возможность импорта сканирований безопасности, созданных различными сторонними поставщиками.

Вместо выполнения оценки на основе политики уязвимостей можно импортировать стороннее сканирование безопасности непосредственно в SaltStack Config и выполнить исправления, указанные в предоставленных рекомендациях, с помощью SaltStack SecOps Vulnerability. Дополнительные сведения о выполнении стандартной оценки см. в разделе Выполнение оценки уязвимостей.

SaltStack SecOps Vulnerability поддерживает сканирования от следующих сторонних поставщиков.
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Кроме того, для сканирований Tenable можно использовать соединитель Tenable.io.
Когда вы выполняете импорт результатов стороннего сканирования в политику безопасности, SaltStack Config сопоставляет ваши служебные серверы с узлами, которые были выявлены в процессе сканирования.
Примечание: По умолчанию доступ к рабочей области «Соединители» разрешен всем пользователям SaltStack Config. Тем не менее для того, чтобы импортировать данные об уязвимостях из соединителя, пользователю требуются разрешение на импорт данных поставщика средств безопасности, а также лицензия SaltStack SecOps Vulnerability.
На панели управления политиками безопасности представлены рекомендации, предоставленные сторонними средствами сканирования, а также сведения о возможности их выполнения.
Примечание: Если файл экспорта слишком большой, возможно, потребуется уменьшить сегмент сканируемых узлов сети в средстве сканирования стороннего поставщика. Кроме того, большие файлы сканирования можно импортировать с помощью интерфейса командной строки (CLI) или API-интерфейса.
После импорта сканирования в политике отображается сообщение о возможности переключения между двумя представлениями: «Поддерживаемые уязвимости» и «Неподдерживаемые уязвимости». Поддерживаемые уязвимости — это те рекомендации, которые доступны для обработки с помощью SaltStack Config. Неподдерживаемые уязвимости — это те рекомендации, которые нельзя обработать с помощью SaltStack Config.
Примечание: Параметр «Переключение представления по» доступен только для импортированных данных поставщика. В данных, созданных с помощью содержимого SaltStack SecOps, поле «Переключение представления по» отображаться не будет.

Стороннее сканирование можно импортировать из файла, из соединителя или с помощью командной строки.

Необходимые условия

Перед импортом стороннего сканирования безопасности необходимо настроить соединитель. Сначала необходимо настроить соединитель с помощью ключей API-интерфейса инструмента стороннего поставщика.

Чтобы настроить соединитель Tenable.io, выполните следующие действия.

Перейдите в раздел Настройки > Соединители > Tenable.io, введите необходимые сведения для соединителя и нажмите Сохранить.
Поле соединителя Описание
Секретный ключ и ключ доступа Пара ключей, необходимая для проверки подлинности в API-интерфейсе соединителя. Более подробную информацию о создании ключей см. в документации по Tenable.io.
URL-адрес Базовый URL-адрес для запросов API-интерфейса. По умолчанию это https://cloud.tenable.com.
Количество дней Запрос истории сканирования Tenable.io, начиная с указанной даты. Если оставить это поле пустым, запрос не будет ограничен по времени. При импорте результатов сканирования через соединитель SaltStack SecOps Vulnerability использует последние результаты за указанный период для каждого узла.
Примечание: Чтобы политика всегда содержала последние результаты сканирования, необходимо импортировать данные после каждого сканирования. SaltStack SecOps Vulnerability не запрашивает у Tenable.io последние результаты сканирования автоматически.

Настройка соединителя Carbon Black (только для Windows)

Чтобы настроить соединитель Carbon Black, необходимо включить разрешение на чтение устройств в среде Carbon Black Cloud и создать код маркера API-интерфейса. Дополнительные сведения о создании кода маркера API-интерфейса см. в разделе API-интерфейс оценки уязвимостей.
Примечание: SaltStack SecOps поддерживает соединители и сканирования данных только из VMware Carbon Black Cloud. SaltStack SecOps использует только ipv4 и устройство Carbon Black для сопоставления и risk_meter_score — для отображения. Другие сведения не используются.

Перед настройкой соединителя Carbon Black необходимо сначала настроить среду комплекта датчиков Windows Minion Carbon Black.

Для настройки среды комплекта датчиков Carbon Black выполните следующее.
  1. Запустите среду SaltStack Config и разверните сервер Windows.
  2. Установите службу Salt Minion на сервере Windows. Дополнительные сведения см. в разделе Установка службы Salt Minion.
  3. Примите ключи главного сервера в SaltStack Config и ключи служебных серверов из SaltStack Config или службы Salt Master.
  4. Установите комплект датчиков Carbon Black на служебном сервере Windows. Дополнительные сведения см. в разделе Установка датчиков в рабочих нагрузках ВМ.
  5. В SaltStack SecOps определите политику с целевой группой, которая содержит служебный сервер Windows.
  6. После завершения приема SaltStack Config VMan синхронизируйте модуль SaltStack Config Carbon Black с главного сервера Salt, используя следующие команды: salt mywindowsminion saltutil.sync_modules saltenv=sse.
  7. На служебном сервере Windows настройте параметр grain устройства Carbon Black с помощью команды salt mywindowsminion carbonblack.set_device_grain.
После настройки среды комплекта датчиков Carbon Black можно настроить соединитель Carbon Black в SaltStack Config. Для этого перейдите в раздел Параметры > Соединители > VMware Carbon Black. Введите необходимые сведения для соединителя и нажмите Сохранить.
Поле соединителя Описание
URL-адрес URL-адрес для запросов API-интерфейса
Маркер и ключ организации Пара ключей, необходимая для проверки подлинности в API-интерфейсе соединителя.
Примечание: Если удалить соединитель VMware Carbon Black, в эти поля будут добавлены символы xxxx. Это необходимо для сохранения формата ключа маркера 'xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx'
Проверка SSL По умолчанию задается значение true.
  1. Щелкните Служебные серверы и выберите Все служебные серверы или определенный служебный сервер для целевой группы политики.
  2. Щелкните Выполнить команду и выполните следующие команды: saltutil.sync_all, carbon_black.set_device_grain и saltutil.refresh_grains.

Процедура

  1. Выполните сканирование в стороннем средстве, при этом выберите модуль сканирования, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать. При импорте стороннего сканирования из файла экспортируйте сканирование в одном из поддерживаемых форматов (Nessus, XML или CSV).
  2. В SaltStack Config не забудьте скачать содержимое SaltStack SecOps Vulnerability.
  3. В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Узлы, сканируемые в стороннем инструменте, должны быть также включены в политику безопасности как целевые объекты. Дополнительные сведения см. в разделе Создание политики уязвимостей .
    Примечание: После экспорта сканирования и создания политики можно импортировать сканирование, запустив команду raas third_party_import "filepath" third_party_tool security_policy_name. Например, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Если файл сканирования очень большой, рекомендуется импортировать сканирование с помощью интерфейса командной строки.
  4. На панели управления политикой щелкните стрелку вниз в меню Политика и выберите Отправить данные сканирования от поставщика.
  5. Импортируйте сканирование.
    • При импорте сканирования из файла выберите Отправить > Импорт файла, затем выберите стороннего поставщика. Затем выберите файл для загрузки результатов стороннего сканирования.
    • При импорте сканирования из соединителя выберите Отправить > Отправка через API-интерфейс , затем выберите стороннего поставщика. Если нет доступных соединителей, меню обеспечит перенаправление в рабочую область настройки соединителей.
    Когда SaltStack SecOps Vulnerability сопоставляет служебные серверы с узлами, выявленными сканированием, статус импорта отображается на временной шкале. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов.
  6. На странице «Выбрать поддерживаемые» выберите поддерживаемые рекомендации, которые необходимо включить в операцию импорта файлов.
  7. На странице «Выбрать неподдерживаемые» выберите неподдерживаемые рекомендации, которые необходимо включить в операцию импорта файлов.
  8. Среди несоответствующих рекомендаций найдите рекомендации, которые не соответствуют узлу или служебному серверу. Их будет невозможно обработать с помощью SaltStack Config.
  9. Щелкните Далее и просмотрите список рекомендаций, которые будут импортированы в политику.
  10. Нажмите кнопку Завершить импорт, чтобы импортировать сканирование.

Результаты

Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства.
Примечание: Оценка выполняется только после импорта сканирования. Импортированные оценки сканирования нельзя запускать по расписанию.

Дальнейшие действия

Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Выполнение исправлений, указанных в рекомендациях.