SaltStack SecOps Vulnerability 支援匯入由多個第三方廠商產生的安全性掃描。這包括從 Tenable、Rapid7、Qualys 和 Kenna Security 或透過 Tenable.io 連接器匯入掃描檔案。
可以將第三方安全性掃描直接匯入 SaltStack Config 中,並修復其使用 SaltStack SecOps Vulnerability 識別的安全性建議。可以匯入此掃描以作為在 SaltStack SecOps Vulnerability 中執行評估的替代方法。如需有關執行標準評估的詳細資訊,請參閱〈執行評估〉。
將第三方掃描匯入安全性原則時,SaltStack Config 會將您的部屬節點與掃描所識別的節點進行比對。[匯入暫存] 工作區顯示了可匯入的建議清單,以及顯示目前無法匯入的建議的另一個清單。不支援的建議清單中包含無法匯入的原因說明。
安全性原則儀表板列出了第三方掃描識別的建議以及各個建議是否支援修復。
從檔案匯入第三方安全性掃描
從 Tenable 等第三方匯入安全性掃描:
- 在第三方工具中,執行掃描並以其中一個支援的檔案格式匯出掃描。如需詳細資訊,請參閱〈支援的檔案格式〉。如需有關執行掃描或從第三方匯出所需檔案的特定指示,請參閱第三方說明文件。
執行掃描時,請確保挑選與目標節點位於相同網路的掃描程式。然後,指出要掃描的 IP 位址。
- 在 SaltStack Config 中,確保已下載 SaltStack SecOps Vulnerability 內容。
- 在 SaltStack SecOps Vulnerability 工作區中,建立以第三方掃描中包括的相同節點為目標的安全性原則。如需詳細資訊,請參閱〈建立原則〉。
備註: 確保第三方工具中掃描的節點同時在此安全性原則中作為目標包括在內。否則,當您匯入掃描時, SaltStack SecOps Vulnerability 無法將目標部屬節點與第三方工具所識別的 IP 位址進行比對。
- 在原則儀表板中,按一下原則功能表,然後選取匯入廠商掃描資料。
這將會開啟匯入暫存工作區。
- 按一下匯入 > 檔案匯入,然後選取第三方廠商。然後,選取要上傳第三方掃描的檔案。
匯入狀態時間表將顯示匯入的狀態。現在,SaltStack SecOps Vulnerability 正在將部屬節點對應到掃描所識別的節點。此外,還會將已識別的建議對應到您的部屬節點。此程序可能需要一些時間,具體取決於建議和受影響節點的數目。在背景中繼續執行時,您可以導覽離開。
匯入完成處理後,匯入暫存工作區會顯示匯入摘要和兩個資料表:支援的漏洞清單以及不支援的漏洞清單。支援的漏洞是可進行修復的建議。不支援的漏洞是目前無法修復的建議。不支援的漏洞清單中包含無法匯入的原因說明。
如果需要,可依資料行篩選建議。例如,可依嚴重性篩選建議,以選擇要修復的建議。如果資料行標頭包含篩選器圖示 ,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。
備註: 第三方安全性掃描可能包括 匯入暫存工作區上預設不顯示的其他資料。若要顯示此資料,請按一下 顯示資料行按鈕 ,然後按一下要顯示之資料旁邊的核取方塊。 - 按一下匯入所有支援項目,以匯入所有支援的建議。或者,可以按一下支援的漏洞資料表中特定建議旁邊的核取方塊,然後按一下匯入所選項目以匯入較少的選取項目。
選取的建議將匯入 SaltStack SecOps Vulnerability 中,並且在原則儀表板中顯示為評估。此外,原則儀表板還會在原則標題下顯示 [已匯入自],以指出最新評估是從第三方工具匯入的。您現在可以修復這些建議。如需詳細資訊,請參閱〈修復建議〉。
備註: 為獲得最佳效果,請嘗試縮短從執行第三方掃描到將掃描匯入 SaltStack Config 所經過的時間。
從連接器匯入掃描結果
從連接器匯入安全性掃描:
- 在第三方工具中,執行掃描,並確保挑選與目標節點位於相同網路的掃描程式。然後,指出要掃描的 IP 位址。
- 在 SaltStack Config 中,確保已下載 SaltStack SecOps Vulnerability 內容。
- 在 SaltStack SecOps Vulnerability 工作區中,建立以第三方掃描中包括的相同節點為目標的安全性原則。如需詳細資訊,請參閱〈建立原則〉。
備註:
確保第三方工具中掃描的節點同時在此安全性原則中作為目標包括在內。否則,當您匯入掃描時,SaltStack SecOps Vulnerability 無法將目標部屬節點與第三方工具所識別的 IP 位址進行比對。
- 在原則儀表板中,按一下原則功能表,然後選取匯入廠商掃描資料。
這將會開啟匯入暫存工作區。
- 按一下匯入 > API 匯入,然後選取第三方。
備註: 如果沒有可用的連接器,功能表會將您導向至 [連接器設定] 工作區。如需詳細資訊,請參閱 〈連接器〉。
若要確保您的原則包含最新的掃描資料,請務必在每次掃描後重新執行匯入。SaltStack SecOps Vulnerability 不會自動輪詢第三方以取得最新掃描資料。
匯入狀態時間表將顯示匯入的狀態。現在,SaltStack SecOps Vulnerability 正在將部屬節點對應到掃描所識別的節點。此外,還會將已識別的建議對應到您的部屬節點。此程序可能需要一些時間,具體取決於建議和受影響節點的數目。在背景中繼續執行時,您可以導覽離開。
備註: 如果匯入失敗,這可能是由於驗證錯誤或其他某些錯誤所導致。務必確認您輸入的金鑰正確無誤。如果發現金鑰正確,則疑難排解過程的下一步是檢視 RaaS 記錄。此記錄僅可供管理員使用者使用,其中包含 PyTenable 的回應。如需有關瞭解 PyTenable 錯誤的詳細資訊,請參閱 PyTenable 說明文件。如果您無法存取 RaaS 記錄,請連絡管理員以尋求協助。匯入完成處理後,匯入暫存工作區會顯示匯入摘要和兩個資料表:支援的漏洞清單以及不支援的漏洞清單。支援的漏洞是可進行修復的建議。不支援的漏洞是目前無法修復的建議。不支援的漏洞清單中包含無法匯入的原因說明。
如果需要,可依資料行篩選建議。例如,可依嚴重性篩選建議,以選擇要修復的建議。如果資料行標頭包含篩選器圖示 ,可依該資料行類型篩選結果。按一下圖示,然後從功能表中選取篩選器選項,或輸入要作為篩選依據的文字。
備註: 第三方安全性掃描可能包括 匯入暫存工作區上預設不顯示的其他資料。若要顯示此資料,請按一下 顯示資料行按鈕 ,然後按一下要顯示之資料旁邊的核取方塊。 - 按一下匯入所有支援項目,以匯入所有支援的建議。或者,可以從支援的漏洞資料表中選取特定建議,然後按一下匯入所選項目以匯入較少的選取項目。
選取的建議將匯入 SaltStack SecOps Vulnerability 中,並且在原則儀表板中顯示為評估。此外,原則儀表板還會在原則標題下顯示 [已匯入自],以指出最新評估是從第三方工具匯入的。您現在可以修復這些建議。如需詳細資訊,請參閱〈修復建議〉。
備註: 為獲得最佳效果,請嘗試縮短從執行第三方掃描到將掃描匯入 SaltStack Config 所經過的時間。
透過命令列匯入第三方掃描
如果您具有 RaaS 使用者存取權,可以在 CLI 中匯入第三方掃描。如果掃描檔案特別大,建議透過 CLI 進行匯入。使用 CLI 匯入之前,確保您熟悉透過使用者介面匯入掃描的過程,因為該程序有點類似。如需詳細資訊,請參閱〈匯入第三方安全性掃描〉。
從第三方工具匯出掃描並且在 SaltStack SecOps Vulnerability 中建立安全性原則後,您可以使用下列命令在 CLI 中匯入掃描,以根據需要取代預留位置引數:
raas third_party_import "filepath" third_party_tool security_policy_name
在先前的命令中,將 filepath 取代為匯出檔案的檔案位置,將 third_party_tool 取代為第三方工具的名稱,以及將 security_policy_name 取代為安全性原則的名稱。例如,從 Tenable 匯入時,可以使用下列命令:
raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy