請閱讀此頁面,以瞭解有關 SaltStack SecOps Vulnerability 支援的檔案格式、安全性原則欄位、活動狀態和 [漏洞] 儀表板上提供的度量的參考資訊。

支援的檔案格式

從第三方掃描中匯入結果時,支援下列檔案格式。

廠商

檔案類型

Tenable

Nessus

Rapid7 InsightVM 匯出

XML

Qualys

XML

KennaSecurity 匯出

CSV

如需詳細資訊,請參閱〈匯入第三方安全性掃描〉

漏洞原則

漏洞原則由目標和評估排程組成。目標用於確定要納入評估中的部屬節點,而排程用於確定何時執行評估。此外,安全性原則還會將最新評估的結果儲存在 SaltStack SecOps Vulnerability 中。原則還可以包括排程以及處理免除的規格。

下面詳細說明了漏洞原則的每個元件。

元件

說明

目標

目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點也可以像部屬節點一樣進行管理,如果正在執行部屬節點服務,也可以成為目標。在 SaltStack SecOps Vulnerability 中選擇目標時,可以定義原則將套用到的資產群組 (稱為部屬節點)。您可以選擇現有目標或建立新目標。如需詳細資訊,請參閱〈部屬節點〉

排程

週期性重複日期和時間一次 cron 運算式中選擇排程頻率。還將提供其他選項,具體取決於排定的活動和所選排程頻率。

週期性

設定重複排程的間隔,其中包括開始日期或結束日期、展開樹和並行工作數目上限等選填欄位。

重複日期和時間

選擇每週或每天重複排程,其中包括開始日期或結束日期以及並行工作數目上限等選填欄位。

一次

指定執行工作的日期和時間。

Cron

輸入 cron 運算式,以根據 Croniter 語法定義自訂排程。有關語法準則,請參閱 CronTab 編輯器。為獲得最佳效果,請在定義自訂 cron 運算式時避免將工作間隔排程在 60 秒以內。

備註:

在排程編輯器中,「工作」和「評估」詞彙可互換使用。針對原則定義排程時,將僅排程評估,而不排程修復。

備註:

定義評估排程時,可以從其他未排程 (隨選) 選項中進行選擇。如果選取此選項,則可以選擇根據需要僅執行單一評估,而不定義任何排程。

活動狀態

在原則首頁中,[活動] 索引標籤會顯示已完成或進行中的評估和修復的清單。其中包括以下狀態。

狀態

說明

已排入佇列

作業已準備好執行,但部屬節點尚未提取開始作業的工作。

已完成

作業已完成執行。

部分

作業仍在等待某些部屬節點傳回,儘管 Salt 主節點已經報告該作業已完成執行。部屬節點是執行部屬節點服務的節點,可以接聽 Salt 主節點的命令並執行請求的工作。Salt 主節點是用於向部屬節點發出命令的中央節點。

可以在 SaltStack Config 主要 [活動] 工作區中追蹤 SaltStack Config 中的所有活動,包括評估和修復。請參閱〈活動〉

保護儀表板

[漏洞] 儀表板概述了漏洞狀態。其中包括各種度量,以及目前所有漏洞原則的最新評估中的最常見建議清單。

此儀表板有助於報告目前的漏洞狀態。可以透過連結至頁面 URL 或列印 PDF 複本,以共用儀表板。如需詳細資訊,請參閱檢視和列印 [漏洞] 儀表板

儀表板包括以下度量:

度量

說明

漏洞摘要

目前受不同嚴重性層級 (從 [嚴重] 到 [無]) 的漏洞影響的資產數目。

修復

透過 SaltStack SecOps Vulnerability 修復的漏洞總數,依嚴重性排序。

漏洞趨勢

顯示過去 30 天內的漏洞狀態的圖表。

常見建議

系統中最常發現的漏洞的清單。

評估結果

SaltStack SecOps Vulnerability 評估結果會顯示在原則首頁中。此頁面包括含有下列資訊欄位的建議清單:

備註:

SaltStack SecOps Vulnerability 可讓您下載 JSON 格式的評估結果。如需詳細資訊,請參閱〈下載評估報告〉

欄位

說明

嚴重性

嚴重性等級從 [嚴重] 到 [無]。嚴重性等級有助於排列修復的優先順序。

VPR (僅適用於 Tenable 匯入的漏洞)

漏洞優先順序等級是一種特定於 Tenable 的替代嚴重性等級。如需有關 VPR 的詳細資訊,請參閱 Tenable 說明文件。

建議識別碼

與建議相關聯的官方識別碼。按一下識別碼可檢視建議詳細資料。

建議標題

CVE 認可的官方建議標題。按一下建議標題可檢視其詳細資料。

CVE

常見漏洞與披露,是公開已知的網路安全漏洞的常見識別碼清單。

如需詳細資訊,請參閱關於 CVE

受影響的套件

包含受建議影響的任何系統套件的清單

CVSS v3.0

以常見漏洞評分系統第 3 版為依據的漏洞等級。某些建議可能不會顯示此項,因為並非所有建議都尚未評分。

如需詳細資訊,請參閱常見漏洞評分系統 SIG

CVSS v2.0

以常見漏洞評分系統第 2 版為依據的漏洞等級

安裝行為

指示建議是否可能需要執行完整的系統重新開機,以便修補程式或更新在修復過程中生效。

部屬節點

列出受該建議影響的部屬節點數目。

啟用 Windows Server Update Services (WSUS)

在 Windows 節點上修復建議需要執行額外的設定和修復步驟。如果您的環境使用 WSUS 伺服器部署 Windows 修補程式和更新,則需要確保該伺服器已啟用,並確認它可以接收來自 Microsoft 的定期更新。如需詳細資訊,請參閱〈修復 Windows 建議〉

可以執行下列狀態檔案以將部屬節點連線至 WSUS 伺服器,從而將範例 IP 位址取代為 WSUS 伺服器的 IP 位址和連接埠:

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"