В качестве альтернативы выполнению оценки на основе политики уязвимостей в SaltStack SecOps Vulnerability обеспечивается возможность импорта сканирований безопасности, созданных различными сторонними поставщиками.

Вместо выполнения оценки на основе политики уязвимостей можно импортировать стороннее сканирование безопасности непосредственно в SaltStack Config и выполнить исправления, указанные в предоставленных рекомендациях, с помощью SaltStack SecOps Vulnerability. Дополнительные сведения о выполнении стандартной оценки см. в разделе Выполнение оценки уязвимостей.

SaltStack SecOps Vulnerability поддерживает сканирования от следующих сторонних поставщиков.
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
Кроме того, для сканирований Tenable можно использовать соединитель Tenable.io.
Когда вы выполняете импорт результатов стороннего сканирования в политику безопасности, SaltStack Config сопоставляет ваши служебные серверы с узлами, которые были выявлены в процессе сканирования. В рабочей области «Подготовка импорта» отображаются два списка рекомендаций: те, которые можно импортировать, и те, которые в данный момент импортировать нельзя. В списке рекомендаций, которые нельзя импортировать, приводятся причины невозможности импорта.
Примечание: По умолчанию доступ к рабочей области «Соединители» разрешен всем пользователям SaltStack Config. Тем не менее для того, чтобы импортировать данные об уязвимостях из соединителя, пользователю требуются разрешение на импорт данных поставщика средств безопасности, а также лицензия SaltStack SecOps Vulnerability.
На панели управления политиками безопасности представлены рекомендации, предоставленные сторонними средствами сканирования, а также сведения о возможности их выполнения.
Примечание: Если файл экспорта слишком большой, возможно, потребуется уменьшить сегмент сканируемых узлов сети в средстве сканирования стороннего поставщика. Кроме того, большие файлы сканирования можно импортировать с помощью интерфейса командной строки (CLI) или API-интерфейса.

По завершении импорта сканирования в рабочей области «Подготовка импорта» отображаются сводка импорта и две таблицы: список поддерживаемых уязвимостей и список неподдерживаемых уязвимостей. Поддерживаемые уязвимости — это те рекомендации, которые можно выполнить. Неподдерживаемые уязвимости — это те рекомендации, которые в настоящее время выполнить нельзя. В списке неподдерживаемых уязвимостей приводятся причины невозможности импорта.

Стороннее сканирование можно импортировать из файла, из соединителя или с помощью командной строки.

Необходимые условия

Перед импортом стороннего сканирования безопасности необходимо настроить соединитель. Сначала необходимо настроить соединитель с помощью ключей API-интерфейса инструмента стороннего поставщика.

Чтобы настроить соединитель Tenable.io, выполните следующие действия.

Перейдите в раздел Настройки > Соединители > Tenable.io, введите необходимые сведения для соединителя и нажмите Сохранить.
Поле соединителя Описание
Секретный ключ и ключ доступа Пара ключей, необходимая для проверки подлинности в API-интерфейсе соединителя. Более подробную информацию о создании ключей см. в документации по Tenable.io.
URL-адрес Базовый URL-адрес для запросов API-интерфейса. По умолчанию это https://cloud.tenable.com.
Количество дней Запрос истории сканирования Tenable.io начиная с указанной даты. Если оставить это поле пустым, запрос не будет ограничен по времени. При импорте результатов сканирования через соединитель SaltStack SecOps Vulnerability использует последние результаты за указанный период для каждого узла.
Примечание: Чтобы политика всегда содержала последние результаты сканирования, необходимо импортировать данные после каждого сканирования. SaltStack SecOps Vulnerability не запрашивает у Tenable.io последние результаты сканирования автоматически.

Процедура

  1. Выполните сканирование в стороннем средстве, при этом выберите модуль сканирования, который находится в той же сети, что и целевые узлы. Затем укажите IP-адреса, которые требуется сканировать. При импорте стороннего сканирования из файла экспортируйте сканирование в одном из поддерживаемых форматов (Nessus, XML или CSV).
  2. В SaltStack Config не забудьте скачать содержимое SaltStack SecOps Vulnerability.
  3. В рабочей области SaltStack SecOps Vulnerability создайте политику безопасности, ориентированную на узлы, которые были включены в стороннее сканирование. Узлы, сканируемые в стороннем инструменте, должны быть также включены в политику безопасности как целевые объекты. Дополнительные сведения см. в разделе Создание политики уязвимостей .
    Примечание: После экспорта сканирования и создания политики можно импортировать сканирование, запустив команду raas third_party_import "filepath" third_party_tool security_policy_name. Например, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Если файл сканирования очень большой, рекомендуется импортировать сканирование с помощью интерфейса командной строки.
  4. На панели управления политикой щелкните стрелку вниз в меню Политика и выберите Отправить данные сканирования от поставщика.
  5. Импортируйте сканирование.
    • При импорте сканирования из файла выберите Отправить > Импорт файла, затем выберите стороннего поставщика. Затем выберите файл для загрузки результатов стороннего сканирования.
    • При импорте сканирования из соединителя выберите Отправить > Отправка через API-интерфейс , затем выберите стороннего поставщика. Если нет доступных соединителей, меню обеспечит перенаправление в рабочую область настройки соединителей.
    Когда SaltStack SecOps Vulnerability сопоставляет служебные серверы с узлами, выявленными сканированием, статус импорта отображается на временной шкале. Этот процесс может занять некоторое время в зависимости от количества рекомендаций и задействованных узлов.
  6. Выберите Импортировать все поддерживаемые, чтобы импортировать все поддерживаемые рекомендации. Можно также установить флажки рядом с отдельными рекомендациями в таблице Поддерживаемые уязвимости и щелкнуть Импортировать выбранные.

Результаты

Выбранные рекомендации импортируются в SaltStack SecOps Vulnerability и отображаются как оценка на панели управления политиками. На панели управления политиками под названием политики также отображается информация об источнике импорта, свидетельствующая о том, что последняя оценка импортирована из стороннего средства.

Дальнейшие действия

Теперь выявленные уязвимости можно устранить. Дополнительные сведения см. в разделе Выполнение исправлений, указанных в рекомендациях.