SaltStack SecOps Vulnerability поддерживает импорт результатов сканирования безопасности, проведенного различными сторонними поставщиками. В эту категорию входит импорт файлов сканирования из Tenable, Rapid7, Qualys и Kenna Security либо через соединитель Tenable.io.

Можно импортировать результаты стороннего сканирования безопасности непосредственно в SaltStack Config и устранить выявленные проблемы безопасности, отраженные в рекомендациях, с помощью SaltStack SecOps Vulnerability. Импорт файлов сканирования можно рассматривать как альтернативу выполнению оценки в SaltStack SecOps Vulnerability. Дополнительные сведения о выполнении стандартной оценки см. в разделе Выполнение оценки.

При импорте результатов стороннего сканирования в политику безопасности SaltStack Config сопоставляет служебные серверы среды с узлами, которые были идентифицированы в процессе сканирования. В рабочей области «Подготовка импорта» отображаются два списка рекомендаций: те, которые можно импортировать, и те, которые в данный момент импортировать нельзя. В списке рекомендаций, которые нельзя импортировать, приводятся причины невозможности импорта.

На панели управления политиками безопасности представлены рекомендации, предоставленные сторонними средствами сканирования, а также сведения о возможности их выполнения.

Примечание: Если файл экспорта слишком большой, возможно, потребуется уменьшить количество узлов в средстве стороннего сканирования. Кроме того, большие файлы сканирования можно импортировать с помощью интерфейса командной строки (CLI) или API-интерфейса. Дополнительные сведения об импорте с помощью CLI см. в разделе Импорт результатов стороннего сканирования с помощью командной строки. Сведения об импорте с помощью API-интерфейса см. в документации по конечным точкам RPC в API-интерфейсе (RaaS).

Импорт результатов стороннего сканирования безопасности из файла

Чтобы импортировать результаты сканирования безопасности, полученные с помощью стороннего средства (например, Tenable), сделайте следующее.

  1. Выполните сканирование в стороннем средстве и экспортируйте результаты в файл одного из поддерживаемых форматов. Дополнительные сведения см. в разделе Поддерживаемые форматы файлов. Конкретные инструкции по сканированию или экспорту требуемого файла можно найти в соответствующей справочной документации по сторонней системе.

    При выполнении сканирования выбирайте сканер, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать.

  2. Не забудьте скачать в SaltStack Config содержимое SaltStack SecOps Vulnerability.
  3. В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Дополнительные сведения см. в разделе Создание политики.
    Примечание: Узлы, сканируемые в стороннем инструменте, должны быть также включены в эту политику безопасности как целевые объекты. В противном случае при импорте результатов сканирования SaltStack SecOps Vulnerability не сможет сопоставить целевые служебные серверы с IP-адресами, определенными сторонним средством.
  4. На панели управления политиками щелкните меню «Политика» vulnerability-menu-icon и выберите Импортировать данные сканирования от поставщика.

    Откроется рабочая область Подготовка импорта.

    Примечание: Если параметр меню Импортировать данные сканирования от поставщика недоступен, возможно, у вас нет разрешения на импорт результатов стороннего сканирования в SaltStack Config. Для доступа к этой функции обратитесь к администратору. Дополнительные сведения см. в разделе Роли и разрешения.
  5. Щелкните Импорт > Импортировать файл и выберите стороннего поставщика. Затем выберите файл для загрузки результатов стороннего сканирования.

    Ход выполнения импорта отображается на временной шкале. Теперь SaltStack SecOps Vulnerability сопоставляет служебные серверы среды с узлами, которые были идентифицированы в ходе сканирования. Выявленные рекомендации также будут привязаны к служебным серверам. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов. Вы можете заняться другими делами, пока этот процесс выполняется в фоновом режиме.

    По завершении импорта в рабочей области Подготовка импорта отображаются сводка импорта и две таблицы: список поддерживаемых уязвимостей и список неподдерживаемых уязвимостей. Поддерживаемые уязвимости — это те рекомендации, которые можно выполнить. Неподдерживаемые уязвимости — это те рекомендации, которые в настоящее время выполнить нельзя. В списке неподдерживаемых уязвимостей приводятся причины невозможности импорта.

    При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст.

    Примечание: Сторонние сканирования безопасности могут включать в себя дополнительные данные, которые не отображаются по умолчанию в рабочей области Подготовка импорта. Чтобы их увидеть, нажмите кнопку Показать столбцы show-columns-icon и установите флажок рядом с нужными данными.
  6. Выберите Импортировать все поддерживаемые, чтобы импортировать все поддерживаемые рекомендации. Можно также установить флажки рядом с отдельными рекомендациями в таблице Поддерживаемые уязвимости и выбрать Импортировать выбранные, чтобы импортировать только часть рекомендаций.

    Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства. Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Обработка рекомендаций.

    Примечание: Чтобы добиться оптимальных результатов, попробуйте сократить время между сторонним сканированием и импортом результатов сканирования в SaltStack Config.

Импорт результатов сканирования безопасности из соединителя

Чтобы импортировать результаты сканирования безопасности из соединителя, сделайте следующее.

  1. Выполните сканирование в стороннем средстве, при этом выберите модуль сканирования, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать.
  2. Не забудьте скачать в SaltStack Config содержимое SaltStack SecOps Vulnerability.
  3. В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Дополнительные сведения см. в разделе Создание политики.
    Примечание:

    Узлы, сканируемые в стороннем инструменте, должны быть также включены в эту политику безопасности как целевые объекты. В противном случае при импорте результатов сканирования SaltStack SecOps Vulnerability не сможет сопоставить целевые служебные серверы с IP-адресами, определенными сторонним средством.

  4. На панели управления политиками щелкните меню «Политика» vulnerability-menu-icon и выберите Импортировать данные сканирования от поставщика.

    Откроется рабочая область Подготовка импорта.

    Примечание: Если параметр меню Импортировать данные сканирования от поставщика недоступен, возможно, у вас нет разрешения на импорт результатов стороннего сканирования в SaltStack Config. Для доступа к этой функции обратитесь к администратору. Дополнительные сведения см. в разделе Роли и разрешения.
  5. Щелкните Импорт > Импорт через API-интерфейс и выберите сторонний порт.
    Примечание: Если нет доступных соединителей, меню направит вас в рабочую область «Параметры соединителей». Дополнительные сведения см. в разделе Соединители.

    Чтобы политика всегда содержала последние результаты сканирования, необходимо импортировать данные после каждого сканирования. SaltStack SecOps Vulnerability не запрашивает последние результаты сканирования в стороннем инструменте автоматически.

    Ход выполнения импорта отображается на временной шкале. Теперь SaltStack SecOps Vulnerability сопоставляет служебные серверы среды с узлами, которые были идентифицированы в ходе сканирования. Выявленные рекомендации также будут привязаны к служебным серверам. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов. Вы можете заняться другими делами, пока этот процесс выполняется в фоновом режиме.

    Примечание: Сбой в процессе импорта может возникнуть в связи с ошибкой проверки подлинности или некоторыми другими ошибками. Проверьте, указаны ли правильные ключи. Если да, просмотрите журнал RaaS. Этот журнал доступен только администраторам и содержит ответ от PyTenable. Дополнительные сведения об ошибках PyTenable см. в документации по PyTenable. Если журнал RaaS недоступен, обратитесь за помощью к администратору.

    По завершении импорта в рабочей области Подготовка импорта отображаются сводка импорта и две таблицы: список поддерживаемых уязвимостей и список неподдерживаемых уязвимостей. Поддерживаемые уязвимости — это те рекомендации, которые можно выполнить. Неподдерживаемые уязвимости — это те рекомендации, которые в настоящее время выполнить нельзя. В списке неподдерживаемых уязвимостей приводятся причины невозможности импорта.

    При необходимости рекомендации можно отфильтровать по столбцам. Например, их можно отфильтровать по важности, чтобы выбрать те, которые требуется реализовать. Если в заголовке столбца имеется значок фильтра filter-icon, результаты можно отфильтровать по этому столбцу. Щелкните значок и выберите в меню параметр фильтра или введите текст.

    Примечание: Сторонние сканирования безопасности могут включать в себя дополнительные данные, которые не отображаются по умолчанию в рабочей области Подготовка импорта. Чтобы их увидеть, нажмите кнопку Показать столбцы show-columns-icon и установите флажок рядом с нужными данными.
  6. Выберите Импортировать все поддерживаемые, чтобы импортировать все поддерживаемые рекомендации. Можно также выбрать отдельные рекомендации в таблице Поддерживаемые уязвимости и нажать кнопку Импортировать выбранные, чтобы импортировать только часть рекомендаций.

    Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства. Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Обработка рекомендаций.

    Примечание: Чтобы добиться оптимальных результатов, попробуйте сократить время между сторонним сканированием и импортом результатов сканирования в SaltStack Config.

Импорт результатов стороннего сканирования с помощью командной строки

Если у вас есть пользовательский доступ к RaaS, результаты стороннего сканирования можно импортировать в интерфейсе CLI. Импорт с помощью CLI рекомендуется использовать в случае большого размера файла сканирования. Перед тем как импортировать файл с помощью интерфейса CLI, ознакомьтесь с процессом импорта результатов сканирования в интерфейсе пользователя, поскольку эти процедуры похожи. Дополнительные сведения см. в разделе Импорт результатов сканирования безопасности сторонними средствами.

После того как результаты сканирования будут экспортированы из стороннего инструмента и будет создана политика безопасности в SaltStack SecOps Vulnerability, можно импортировать файл сканирования в интерфейсе CLI с помощью следующей команды (заменив заполнители необходимыми данными).

raas third_party_import "filepath" third_party_tool security_policy_name

В приведенной команде требуется заменить filepath на расположение экспортируемого файла, third_party_tool — на имя стороннего инструмента, а security_policy_name — на имя политики безопасности. Например, при импорте из Tenable можно использовать следующую команду.

raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy