SaltStack SecOps Vulnerability 支援匯入由多個第三方廠商產生的安全性掃描,作為對漏洞原則執行評估的替代方法。

您可以將第三方安全性掃描直接匯入到 SaltStack Config 並使用 SaltStack SecOps Vulnerability 修復其識別的安全性建議,用於替代對漏洞原則執行評估。如需有關執行標準評估的詳細資訊,請參閱〈如何執行漏洞評估〉

SaltStack SecOps Vulnerability 支援以下來源的第三方掃描:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
您還可以使用 Tenable.io 連接器進行 Tenable 掃描。
將第三方掃描匯入安全性原則時,SaltStack Config 會將您的部屬節點與掃描所識別的節點進行比對。
備註: 依預設,所有 SaltStack Config 使用者都可以存取 [連接器] 工作區。但是,使用者需要具有執行漏洞廠商匯入的權限以及 SaltStack SecOps Vulnerability 授權,才能成功地從連接器匯入漏洞。
安全性原則儀表板列出了第三方掃描識別的建議以及各個建議是否支援修復。
備註: 如果匯出檔案較大,則可能需要使用第三方工具掃描網路中的少量節點。或者,也可以使用命令列介面 (CLI) 或 API 匯入大規模掃描。
匯入掃描後,原則將顯示一個摘要,您可以在兩個視圖之間切換:支援的漏洞和不支援的漏洞。支援的漏洞是可以使用 SaltStack Config 進行修復的建議。不支援的漏洞是無法使用 SaltStack Config 進行修復的建議。
備註: 此 [檢視方式] 切換選項僅適用於廠商匯入的資料。使用 SaltStack SecOps 內容建立的資料不顯示此 [檢視方式] 切換欄位。

您可以從檔案、連接器或使用命令列匯入第三方。

必要條件

必須先設定連接器,然後才能匯入第三方安全性掃描。必須先使用第三方工具的 API 金鑰設定連接器。

設定 Tenable.io 連接器:

若要設定 Tenable.io 連接器,請導覽至 設定 > 連接器 > Tenable.io,輸入連接器所需的詳細資料,然後按一下 儲存
連接器欄位 說明
秘密金鑰和存取金鑰 使用連接器 API 進行驗證所需的金鑰配對。如需有關產生金鑰的詳細資訊,請參閱 Tenable.io 說明文件。
URL API 要求的基底 URL。預設為 https://cloud.tenable.com
至今的天數 查詢從此天數前開始的 Tenable.io 掃描歷程記錄。如果保留空白,則表示查詢時段無限制。使用連接器匯入掃描結果時,SaltStack SecOps Vulnerability 會使用此時段內每個節點的最新可用結果。
備註: 若要確保您的原則包含最新的掃描資料,請務必在每次掃描後重新執行匯入。 SaltStack SecOps Vulnerability 不會自動輪詢 Tenable.io 以取得最新掃描資料。

設定 Carbon Black 連接器 (僅限 Windows):

若要設定 Carbon Black 連接器,需要在 Carbon Black Cloud 中啟用裝置讀取權限並建立 API Token 碼。如需建立 API Token 碼的詳細資訊,請參閱 〈漏洞評估 API〉
備註: SaltStack SecOps 僅支援 VMware Carbon Black Cloud 的連接器和掃描。 SaltStack SecOps 僅使用 IPv4 和 Carbon Black 裝置進行比對,並使用 risk_meter_score 進行顯示。未使用任何其他資訊。

必須先設定 Windows 部屬節點 Carbon Black 感應器套件環境,然後才能設定 Carbon Black 連接器。

設定 Carbon Black 感應器套件環境:
  1. 啟動 Saltstack Config 環境並部署 Windows Server。
  2. 在 Windows Server 上安裝 Salt 部屬節點。如需詳細資訊,請參閱〈Salt 部屬節點安裝〉
  3. 接受 SaltStack Config 中的主節點金鑰以及 SaltStack Config 或 Salt 主節點中的部屬節點金鑰。
  4. 在 Windows 部屬節點上安裝 Carbon Black 感應器套件。如需詳細資訊,請參閱〈在虛擬機器工作負載上安裝感應器〉
  5. SaltStack SecOps 中,對包含 Windows 部屬節點的目標群組定義原則。
  6. SaltStack Config VMan 擷取完成後,執行以下命令,從 Salt 主節點同步 SaltStack Config Carbon Black 模組:salt mywindowsminion saltutil.sync_modules saltenv=sse
  7. 在 Windows 部屬節點上,執行 salt mywindowsminion carbonblack.set_device_grain 以設定 Carbon Black 裝置粒紋。
設定 Carbon Black 感應器套件環境後,可以透過導覽至 設定 > 連接器 > VMware Carbon Black,在 SaltStack Config 中設定 Carbon Black 連接器。輸入所需的連接器詳細資料,然後按一下 儲存
連接器欄位 說明
URL API 要求的 URL
Token 和組織金鑰 使用連接器 API 進行驗證所需的金鑰配對。
備註: 如果刪除 VMware Carbon Black 連接器,這些欄位將填充「xxxx」字元。這是為了保持 Token 金鑰格式「xxxxxxxxxxxxxxxxxxxxxxxx/xxxxxxx」
驗證 SSL 預設值設為 true。
  1. 按一下部屬節點,然後為原則目標群組選取所有部屬節點或特定部屬節點。
  2. 按一下執行命令,然後執行以下命令:saltutil.sync_allcarbon_black.set_device_grainsaltutil.refresh_grains

程序

  1. 在第三方工具中,執行掃描,並確保挑選與目標節點位於相同網路的掃描程式。然後,指出要掃描的 IP 位址。如果要從檔案匯入第三方掃描,請以支援的檔案格式 (Nessus、XML 或 CSV) 匯出掃描。
  2. 在 SaltStack Config 中,確保您已下載 SaltStack SecOps Vulnerability 內容。
  3. SaltStack SecOps Vulnerability 工作區中,建立以第三方掃描中包括的相同節點為目標的安全性原則。確保第三方工具中掃描的節點同時在安全性原則中作為目標包括在內。如需詳細資訊,請參閱〈如何建立漏洞原則〉
    備註: 匯出掃描並建立原則後,可以透過執行 raas third_party_import "filepath" third_party_tool security_policy_name 命令匯入掃描。例如, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy。如果掃描檔案特別大,建議使用 CLI 匯入掃描。
  4. 在原則儀表板中,按一下原則功能表下拉式箭頭,然後選取上傳廠商掃描資料
  5. 匯入掃描:
    • 如果從檔案匯入掃描,請選取上傳 > 檔案匯入,並選取第三方廠商。然後,選取要上傳第三方掃描的檔案。
    • 如果從連接器匯入掃描,請選取上傳 > API 上傳,然後選取第三方。如果沒有可用的連接器,功能表會將您導向至 [連接器設定] 工作區。
    匯入狀態時間表將顯示匯入狀態,因為 SaltStack SecOps Vulnerability 會將部屬節點對應至由掃描識別的節點。此程序可能需要一些時間,具體取決於建議和受影響節點的數目。
  6. 在 [選取受支援項] 頁面上,選取要在檔案匯入過程中包含的受支援建議。
  7. 在 [選取不受支援項] 頁面上,選取要在檔案匯入過程中包含的不受支援建議。
  8. 檢閱不相符的建議,尋找與主機或部屬節點不相符的建議。因此,無法透過 SaltStack Config 對其進行修復。
  9. 下一步,並檢閱將匯入到原則中的內容摘要。
  10. 按一下完成匯入以匯入掃描。

結果

選取的建議將匯入 SaltStack SecOps Vulnerability 中,並且在原則儀表板中顯示為評估。此外,原則儀表板還會在原則標題下顯示 [已匯入自],以指出最新評估是從第三方工具匯入的。
備註: 僅當匯入掃描時,才會執行評估。無法按排程執行匯入的掃描評估。

下一步

您現在可以修復這些建議。如需詳細資訊,請參閱〈如何修復建議〉