На этой странице содержится следующая справочная информация по SaltStack SecOps Vulnerability: поддерживаемые форматы файлов, поля политики безопасности, состояния действий и показатели, отображаемые на панели управления «Уязвимость».
Поддерживаемые форматы файлов
При импорте результатов из стороннего средства сканирования поддерживаются следующие форматы файлов.
Поставщик |
Тип файла |
---|---|
Tenable |
Nessus |
Rapid7 InsightVM Export |
XML |
Qualys |
XML |
KennaSecurity Export |
CSV |
Дополнительные сведения см. в разделе Импорт результатов сканирования безопасности сторонними средствами.
Политики уязвимости
Политика уязвимостей состоит из целевого объекта и расписания оценки. Целевой объект определяет служебные серверы, которые следует включить в оценку, а расписание определяет время запуска оценки. Политика безопасности также сохраняет результаты последней оценки в SaltStack SecOps Vulnerability. Политики также могут содержать расписания и спецификации для обработки исключений.
Ниже приведено подробное описание всех компонентов политики уязвимости.
Компонент |
Описание |
---|---|
Целевой объект |
Целевым объектом является группа служебных серверов, относящихся к одному главному серверу Salt или нескольким, для которой выполняется команда Salt данного задания. Главным сервером Salt также можно управлять как служебным сервером. Он может быть целевым объектом, если на нем выполняется служба Minion. При выборе целевого объекта в SaltStack SecOps Vulnerability необходимо определить группу ресурсов (называемых служебными серверами), к которым будет применяться политика. Можно выбрать существующий целевой объект или создать новый. Дополнительные сведения см. в разделе Служебные серверы. |
Расписание |
Для указания частоты выполнения по расписанию используйте Повторяется, Дата и время повтора, Однократно или Выражение Cron. Имеются дополнительные варианты, которые зависят от запланированного действия и указанной частоты выполнения по расписанию.
Примечание:
В редакторе расписаний термины «задание» и «оценка» являются взаимозаменяемыми. При определении расписания для политики в расписание включается только процесс оценки (исправление не включается).
Примечание:
При определении расписания оценки можно использовать дополнительный параметр Не запланировано (по требованию). При выборе этого параметра предусматривается выполнение только необходимых однократных оценок и расписание не создается. |
Состояние действия
На главной странице политики на вкладке «Действие» отображается список завершенных или выполняющихся оценок и исправлений. Здесь могут отображаться следующие состояния.
Состояние |
Описание |
---|---|
В очереди |
Операция готова к запуску, но служебные серверы еще не приняли задачу, чтобы начать операцию. |
Завершено |
Выполнение операции завершено. |
Частично |
Операция по-прежнему ожидает ответа некоторых служебных серверов, хотя главный сервер Salt сообщил, что выполнение операции завершено. Служебные серверы (minion) — это узлы, работающие под управлением службы Minion. Они могут прослушивать команды, поступающие с главного сервера (master) Salt, и выполнять запрашиваемые задачи. Главный сервер Salt представляет собой центральный узел, используемый для отправки команд на служебные серверы. |
Все действия в SaltStack Config, включая оценки и исправления, можно отслеживать в SaltStack Config в главной рабочей области «Действие». См. раздел Действие.
Панель управления «Защита»
На панели управления «Уязвимость» отображается обзор состояния уязвимости. Она содержит различные показатели, а также список наиболее распространенных рекомендаций в рамках последних оценок для всех текущих политик уязвимости.
Панель управления можно использовать для создания отчетов о текущем состоянии уязвимости. Для совместного использования панели управления укажите в качестве ссылки URL-адрес страницы или напечатайте PDF-копию. Дополнительные сведения см. в Просмотр и печать панели управления «Уязвимость».
Панель управления содержит следующие показатели.
Показатель |
Описание |
---|---|
Сводка об уязвимостях |
Количество ресурсов, которые в настоящее время затронуты уязвимостями различного уровня серьезности: от «Критический» до «Отсутствует». |
Устранено |
Общее количество уязвимостей, устраненных с помощью SaltStack SecOps Vulnerability (отсортированы по уровню серьезности). |
Тенденция динамики уязвимости |
Диаграмма, на которой отображается состояние уязвимости за последние 30 дней. |
Самые важные рекомендации |
Список наиболее часто обнаруженных уязвимостей в системах. |
Результаты оценки
Результаты оценки SaltStack SecOps Vulnerability отображаются на главной странице политики. Эта страница содержит список предупреждений со следующими информационными полями.
SaltStack SecOps Vulnerability позволяет загружать результаты оценки в формате JSON. Дополнительные сведения см. в разделе Загрузка отчета об оценке.
Поле |
Описание |
---|---|
Важность |
Балльная оценка уровня серьезности в диапазоне от «Критический» до «Отсутствует». Данная балльная оценка может применяться для назначения приоритета исправлений. |
VPR (только в импортируемых уязвимостях Tenable) |
Балльная оценка приоритета уязвимости представляет собой альтернативный рейтинг уровня серьезности, используемый для Tenable. Дополнительные сведения о VPR см. в документации по Tenable. |
ИД рекомендации |
Официальный ИД, связанный с рекомендацией. Щелкните ИД, чтобы увидеть сведения о рекомендации. |
Заголовок рекомендации |
Официальный заголовок рекомендации, распознаваемый системой CVE. Щелкните заголовок предупреждения, чтобы увидеть сведения о нем. |
Записи CVE |
Common Vulnerabilities and Exposures — список типовых идентификаторов широко известных уязвимостей в сфере кибербезопасности. Дополнительные сведения см. в разделе Обзор CVE. |
Затронутые пакеты |
Список всех системных пакетов, к которым относится рекомендация |
CVSS v3.0 |
Рейтинг уязвимости в соответствии с системой Common Vulnerability Scoring System версии 3. Может не отображаться для некоторых предупреждений, так как пока не для всех рекомендаций была выставлена балльная оценка. Дополнительные сведения см. в разделе Common Vulnerability Scoring System (SIG). |
CVSS v2.0 |
Рейтинг уязвимости в соответствии с системой Common Vulnerability Scoring System версии 2. |
Действия при установке |
Указывает, может ли предупреждение требовать полной перезагрузки системы для вступления в силу исправления или обновления в рамках процедуры устранения уязвимости. |
Служебные серверы |
Количество служебных серверов, к которым относится данная рекомендация. |
Включение служб Windows Server Update Services (WSUS)
Для обработки рекомендаций на узлах Windows требуется выполнить дополнительные действия по настройке и исправлению. Если среда развертывает исправления и обновления Windows с помощью WSUS-сервера, убедитесь, что сервер активирован и может получать регулярные обновления от Microsoft. Дополнительные сведения см. в разделе Обработка рекомендаций Windows.
Чтобы выполнить следующий файл состояния для подключения служебного сервера к WSUS-серверу, вместо IP-адресов, приведенных в качестве примера, укажите IP-адрес и порт своего WSUS-сервера.
configure_windows_update: lgpo.set: - computer_policy: CorpWuURL: {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %} {% for element in policy_info["policy_elements"] %} {% if element["element_id"] == "CorpWUContentHost_Name" %} CorpWUContentHost_Name: "" {% endif %} {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %} CorpWUFillEmptyContentUrls: False {% endif %} {% if element["element_id"] == "CorpWUStatusURL_Name" %} CorpWUStatusURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "CorpWUURL_Name" %} CorpWUURL_Name: "https://192.0.2.1:8530" {% endif %} {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %} SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default) {% endif %} {% endfor %} AutoUpdateCfg: Not Configured update_local_policy: cmd.run: - name: "Gpupdate /Force /Target:Computer"