請閱讀此頁面,以瞭解有關 SaltStack SecOps Vulnerability 支援的檔案格式、安全性原則欄位、活動狀態和 [漏洞] 儀表板上提供的度量的參考資訊。
支援的檔案格式
從第三方掃描中匯入結果時,支援下列檔案格式。
| 廠商 |
檔案類型 |
|---|---|
| Tenable |
Nessus |
| Rapid7 InsightVM 匯出 |
XML |
| Qualys |
XML |
| KennaSecurity 匯出 |
CSV |
如需詳細資訊,請參閱〈匯入第三方安全性掃描〉。
漏洞原則
漏洞原則由目標和評估排程組成。目標用於確定要納入評估中的部屬節點,而排程用於確定何時執行評估。此外,安全性原則還會將最新評估的結果儲存在 SaltStack SecOps Vulnerability 中。原則還可以包括排程以及處理免除的規格。
下面詳細說明了漏洞原則的每個元件。
| 元件 |
說明 |
|---|---|
| 目標 |
目標是指一或多個 Salt 主節點中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 主節點也可以像部屬節點一樣進行管理,如果正在執行部屬節點服務,也可以成為目標。在 SaltStack SecOps Vulnerability 中選擇目標時,可以定義原則將套用到的資產群組 (稱為部屬節點)。您可以選擇現有目標或建立新目標。如需詳細資訊,請參閱〈部屬節點〉。 |
| 排程 |
從週期性、重複日期和時間、一次或 cron 運算式中選擇排程頻率。還將提供其他選項,具體取決於排定的活動和所選排程頻率。
備註:
在排程編輯器中,「工作」和「評估」詞彙可互換使用。針對原則定義排程時,將僅排程評估,而不排程修復。
備註:
定義評估排程時,可以從其他未排程 (隨選) 選項中進行選擇。如果選取此選項,則可以選擇根據需要僅執行單一評估,而不定義任何排程。 |
活動狀態
在原則首頁中,[活動] 索引標籤會顯示已完成或進行中的評估和修復的清單。其中包括以下狀態。
| 狀態 |
說明 |
|---|---|
| 已排入佇列 |
作業已準備好執行,但部屬節點尚未提取開始作業的工作。 |
| 已完成 |
作業已完成執行。 |
| 部分 |
作業仍在等待某些部屬節點傳回,儘管 Salt 主節點已經報告該作業已完成執行。部屬節點是執行部屬節點服務的節點,可以接聽 Salt 主節點的命令並執行請求的工作。Salt 主節點是用於向部屬節點發出命令的中央節點。 |
可以在 SaltStack Config 主要 [活動] 工作區中追蹤 SaltStack Config 中的所有活動,包括評估和修復。請參閱〈活動〉。
保護儀表板
[漏洞] 儀表板概述了漏洞狀態。其中包括各種度量,以及目前所有漏洞原則的最新評估中的最常見建議清單。
此儀表板有助於報告目前的漏洞狀態。可以透過連結至頁面 URL 或列印 PDF 複本,以共用儀表板。如需詳細資訊,請參閱檢視和列印 [漏洞] 儀表板。
儀表板包括以下度量:
| 度量 |
說明 |
|---|---|
| 漏洞摘要 |
目前受不同嚴重性層級 (從 [嚴重] 到 [無]) 的漏洞影響的資產數目。 |
| 修復 |
透過 SaltStack SecOps Vulnerability 修復的漏洞總數,依嚴重性排序。 |
| 漏洞趨勢 |
顯示過去 30 天內的漏洞狀態的圖表。 |
| 常見建議 |
系統中最常發現的漏洞的清單。 |
評估結果
SaltStack SecOps Vulnerability 評估結果會顯示在原則首頁中。此頁面包括含有下列資訊欄位的建議清單:
SaltStack SecOps Vulnerability 可讓您下載 JSON 格式的評估結果。如需詳細資訊,請參閱〈下載評估報告〉。
| 欄位 |
說明 |
|---|---|
| 嚴重性 |
嚴重性等級從 [嚴重] 到 [無]。嚴重性等級有助於排列修復的優先順序。 |
| VPR (僅適用於 Tenable 匯入的漏洞) |
漏洞優先順序等級是一種特定於 Tenable 的替代嚴重性等級。如需有關 VPR 的詳細資訊,請參閱 Tenable 說明文件。 |
| 建議識別碼 |
與建議相關聯的官方識別碼。按一下識別碼可檢視建議詳細資料。 |
| 建議標題 |
CVE 認可的官方建議標題。按一下建議標題可檢視其詳細資料。 |
| CVE |
常見漏洞與披露,是公開已知的網路安全漏洞的常見識別碼清單。 如需詳細資訊,請參閱關於 CVE。 |
| 受影響的套件 |
包含受建議影響的任何系統套件的清單 |
| CVSS v3.0 |
以常見漏洞評分系統第 3 版為依據的漏洞等級。某些建議可能不會顯示此項,因為並非所有建議都尚未評分。 如需詳細資訊,請參閱常見漏洞評分系統 SIG。 |
| CVSS v2.0 |
以常見漏洞評分系統第 2 版為依據的漏洞等級 |
| 安裝行為 |
指示建議是否可能需要執行完整的系統重新開機,以便修補程式或更新在修復過程中生效。 |
| 部屬節點 |
列出受該建議影響的部屬節點數目。 |
啟用 Windows Server Update Services (WSUS)
在 Windows 節點上修復建議需要執行額外的設定和修復步驟。如果您的環境使用 WSUS 伺服器部署 Windows 修補程式和更新,則需要確保該伺服器已啟用,並確認它可以接收來自 Microsoft 的定期更新。如需詳細資訊,請參閱〈修復 Windows 建議〉。
可以執行下列狀態檔案以將部屬節點連線至 WSUS 伺服器,從而將範例 IP 位址取代為 WSUS 伺服器的 IP 位址和連接埠:
configure_windows_update:
lgpo.set:
- computer_policy:
CorpWuURL:
{% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
{% for element in policy_info["policy_elements"] %}
{% if element["element_id"] == "CorpWUContentHost_Name" %}
CorpWUContentHost_Name: ""
{% endif %}
{% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
CorpWUFillEmptyContentUrls: False
{% endif %}
{% if element["element_id"] == "CorpWUStatusURL_Name" %}
CorpWUStatusURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "CorpWUURL_Name" %}
CorpWUURL_Name: "https://192.0.2.1:8530"
{% endif %}
{% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
{% endif %}
{% endfor %}
AutoUpdateCfg: Not Configured
update_local_policy:
cmd.run:
- name: "Gpupdate /Force /Target:Computer"
