SaltStack SecOps Vulnerability поддерживает импорт результатов сканирования безопасности, проведенного различными сторонними поставщиками. В эту категорию входит импорт файлов сканирования из Tenable, Rapid7, Qualys и Kenna Security либо через соединитель Tenable.io.
Можно импортировать результаты стороннего сканирования безопасности непосредственно в SaltStack Config и устранить выявленные проблемы безопасности, отраженные в рекомендациях, с помощью SaltStack SecOps Vulnerability. Импорт файлов сканирования можно рассматривать как альтернативу выполнению оценки в SaltStack SecOps Vulnerability. Дополнительные сведения о выполнении стандартной оценки см. в разделе Выполнение оценки.
При импорте результатов стороннего сканирования в политику безопасности SaltStack Config сопоставляет служебные серверы среды с узлами, которые были идентифицированы в процессе сканирования. В рабочей области «Подготовка импорта» отображаются два списка рекомендаций: те, которые можно импортировать, и те, которые в данный момент импортировать нельзя. В списке рекомендаций, которые нельзя импортировать, приводятся причины невозможности импорта.
На панели управления политиками безопасности представлены рекомендации, предоставленные сторонними средствами сканирования, а также сведения о возможности их выполнения.
Импорт результатов стороннего сканирования безопасности из файла
Чтобы импортировать результаты сканирования безопасности, полученные с помощью стороннего средства (например, Tenable), сделайте следующее.
- Выполните сканирование в стороннем средстве и экспортируйте результаты в файл одного из поддерживаемых форматов. Дополнительные сведения см. в разделе Поддерживаемые форматы файлов. Конкретные инструкции по сканированию или экспорту требуемого файла можно найти в соответствующей справочной документации по сторонней системе.
При выполнении сканирования выбирайте сканер, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать.
- Не забудьте скачать в SaltStack Config содержимое SaltStack SecOps Vulnerability.
- В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Дополнительные сведения см. в разделе Создание политики.
Примечание: Узлы, сканируемые в стороннем инструменте, должны быть также включены в эту политику безопасности как целевые объекты. В противном случае при импорте результатов сканирования SaltStack SecOps Vulnerability не сможет сопоставить целевые служебные серверы с IP-адресами, определенными сторонним средством.
- На панели управления политиками щелкните меню «Политика» и выберите Импортировать данные сканирования от поставщика.
Откроется рабочая область Подготовка импорта.
Примечание: Если параметр меню Импортировать данные сканирования от поставщика недоступен, возможно, у вас нет разрешения на импорт результатов стороннего сканирования в SaltStack Config. Для доступа к этой функции обратитесь к администратору. Дополнительные сведения см. в разделе Роли и разрешения. - Щелкните Импорт > Импортировать файл и выберите стороннего поставщика. Затем выберите файл для загрузки результатов стороннего сканирования.
Ход выполнения импорта отображается на временной шкале. Теперь SaltStack SecOps Vulnerability сопоставляет служебные серверы среды с узлами, которые были идентифицированы в ходе сканирования. Выявленные рекомендации также будут привязаны к служебным серверам. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов. Вы можете заняться другими делами, пока этот процесс выполняется в фоновом режиме.
По завершении импорта в рабочей области Подготовка импорта отображаются сводка импорта и две таблицы: список поддерживаемых уязвимостей и список неподдерживаемых уязвимостей. Поддерживаемые уязвимости — это те рекомендации, которые можно выполнить. Неподдерживаемые уязвимости — это те рекомендации, которые в настоящее время выполнить нельзя. В списке неподдерживаемых уязвимостей приводятся причины невозможности импорта.
При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра , результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст.
Примечание: Сторонние сканирования безопасности могут включать в себя дополнительные данные, которые не отображаются по умолчанию в рабочей области Подготовка импорта. Чтобы их увидеть, нажмите кнопку Показать столбцы и установите флажок рядом с нужными данными. - Выберите Импортировать все поддерживаемые, чтобы импортировать все поддерживаемые рекомендации. Можно также установить флажки рядом с отдельными рекомендациями в таблице Поддерживаемые уязвимости и выбрать Импортировать выбранные, чтобы импортировать только часть рекомендаций.
Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства. Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Обработка рекомендаций.
Примечание: Чтобы добиться оптимальных результатов, попробуйте сократить время между сторонним сканированием и импортом результатов сканирования в SaltStack Config.
Импорт результатов сканирования безопасности из соединителя
Чтобы импортировать результаты сканирования безопасности из соединителя, сделайте следующее.
- Выполните сканирование в стороннем средстве, при этом выберите модуль сканирования, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать.
- Не забудьте скачать в SaltStack Config содержимое SaltStack SecOps Vulnerability.
- В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Дополнительные сведения см. в разделе Создание политики.
Примечание:
Узлы, сканируемые в стороннем инструменте, должны быть также включены в эту политику безопасности как целевые объекты. В противном случае при импорте результатов сканирования SaltStack SecOps Vulnerability не сможет сопоставить целевые служебные серверы с IP-адресами, определенными сторонним средством.
- На панели управления политиками щелкните меню «Политика» и выберите Импортировать данные сканирования от поставщика.
Откроется рабочая область Подготовка импорта.
Примечание: Если параметр меню Импортировать данные сканирования от поставщика недоступен, возможно, у вас нет разрешения на импорт результатов стороннего сканирования в SaltStack Config. Для доступа к этой функции обратитесь к администратору. Дополнительные сведения см. в разделе Роли и разрешения. - Щелкните Импорт > Импорт через API-интерфейс и выберите сторонний порт.
Примечание: Если нет доступных соединителей, меню направит вас в рабочую область «Параметры соединителей». Дополнительные сведения см. в разделе Соединители.
Чтобы политика всегда содержала последние результаты сканирования, необходимо импортировать данные после каждого сканирования. SaltStack SecOps Vulnerability не запрашивает последние результаты сканирования в стороннем инструменте автоматически.
Ход выполнения импорта отображается на временной шкале. Теперь SaltStack SecOps Vulnerability сопоставляет служебные серверы среды с узлами, которые были идентифицированы в ходе сканирования. Выявленные рекомендации также будут привязаны к служебным серверам. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов. Вы можете заняться другими делами, пока этот процесс выполняется в фоновом режиме.
Примечание: Сбой в процессе импорта может возникнуть в связи с ошибкой проверки подлинности или некоторыми другими ошибками. Проверьте, указаны ли правильные ключи. Если да, просмотрите журнал RaaS. Этот журнал доступен только администраторам и содержит ответ от PyTenable. Дополнительные сведения об ошибках PyTenable см. в документации по PyTenable. Если журнал RaaS недоступен, обратитесь за помощью к администратору.По завершении импорта в рабочей области Подготовка импорта отображаются сводка импорта и две таблицы: список поддерживаемых уязвимостей и список неподдерживаемых уязвимостей. Поддерживаемые уязвимости — это те рекомендации, которые можно выполнить. Неподдерживаемые уязвимости — это те рекомендации, которые в настоящее время выполнить нельзя. В списке неподдерживаемых уязвимостей приводятся причины невозможности импорта.
При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра , результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст.
Примечание: Сторонние сканирования безопасности могут включать в себя дополнительные данные, которые не отображаются по умолчанию в рабочей области Подготовка импорта. Чтобы их увидеть, нажмите кнопку Показать столбцы и установите флажок рядом с нужными данными. - Выберите Импортировать все поддерживаемые, чтобы импортировать все поддерживаемые рекомендации. Можно также выбрать отдельные рекомендации в таблице Поддерживаемые уязвимости и нажать кнопку Импортировать выбранные, чтобы импортировать только часть рекомендаций.
Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства. Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Обработка рекомендаций.
Примечание: Чтобы добиться оптимальных результатов, попробуйте сократить время между сторонним сканированием и импортом результатов сканирования в SaltStack Config.
Импорт результатов стороннего сканирования с помощью командной строки
Если у вас есть пользовательский доступ к RaaS, результаты стороннего сканирования можно импортировать в интерфейсе CLI. Импорт с помощью CLI рекомендуется использовать в случае большого размера файла сканирования. Перед тем как импортировать файл с помощью интерфейса CLI, ознакомьтесь с процессом импорта результатов сканирования в интерфейсе пользователя, поскольку эти процедуры похожи. Дополнительные сведения см. в разделе Импорт результатов сканирования безопасности сторонними средствами.
После того как результаты сканирования будут экспортированы из стороннего инструмента и будет создана политика безопасности в SaltStack SecOps Vulnerability, можно импортировать файл сканирования в интерфейсе CLI с помощью следующей команды (заменив заполнители необходимыми данными).
raas third_party_import "filepath" third_party_tool security_policy_name
В приведенной команде требуется заменить filepath на расположение экспортируемого файла, third_party_tool — на имя стороннего инструмента, а security_policy_name — на имя политики безопасности. Например, при импорте из Tenable можно использовать следующую команду.
raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy