SaltStack SecOps Vulnerability 支援匯入由多個第三方廠商產生的安全性掃描,作為對漏洞原則執行評估的替代方法。

您可以將第三方安全性掃描直接匯入到 SaltStack Config 並使用 SaltStack SecOps Vulnerability 修復其識別的安全性建議,用於替代對漏洞原則執行評估。如需有關執行標準評估的詳細資訊,請參閱〈如何執行漏洞評估〉

SaltStack SecOps Vulnerability 支援以下來源的第三方掃描:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
您還可以使用 Tenable.io 連接器進行 Tenable 掃描。
將第三方掃描匯入安全性原則時,SaltStack Config 會將您的部屬節點與掃描所識別的節點進行比對。[匯入暫存] 工作區顯示了可匯入的建議清單,以及顯示目前無法匯入的建議的另一個清單。不支援的建議清單中包含無法匯入的原因說明。
備註: 依預設,所有 SaltStack Config 使用者都可以存取 [連接器] 工作區。但是,使用者需要具有執行漏洞廠商匯入的權限以及 SaltStack SecOps Vulnerability 授權,才能成功地從連接器匯入漏洞。
安全性原則儀表板列出了第三方掃描識別的建議以及各個建議是否支援修復。
備註: 如果匯出檔案較大,則可能需要使用第三方工具掃描網路中的少量節點。或者,也可以使用命令列介面 (CLI) 或 API 匯入大規模掃描。

匯入掃描後,[匯入暫存] 工作區會顯示匯入摘要和兩個資料表:[支援的漏洞] 清單以及 [不支援的漏洞] 清單。支援的漏洞是可進行修復的建議。不支援的漏洞是目前無法修復的建議。不支援的漏洞清單中包含無法匯入的原因說明。

您可以從檔案、連接器或使用命令列匯入第三方。

必要條件

必須先設定連接器,然後才能匯入第三方安全性掃描。必須先使用第三方工具的 API 金鑰設定連接器。

設定 Tenable.io 連接器:

若要設定 Tenable.io 連接器,請導覽至 設定 > 連接器 > Tenable.io,輸入連接器所需的詳細資料,然後按一下 儲存
連接器欄位 說明
秘密金鑰和存取金鑰 使用連接器 API 進行驗證所需的金鑰配對。如需有關產生金鑰的詳細資訊,請參閱 Tenable.io 說明文件。
URL API 要求的基底 URL。預設為 https://cloud.tenable.com
至今的天數 查詢從此天數前開始的 Tenable.io 掃描歷程記錄。如果保留空白,則表示查詢時段無限制。使用連接器匯入掃描結果時,SaltStack SecOps Vulnerability 會使用此時段內每個節點的最新可用結果。
備註: 若要確保您的原則包含最新的掃描資料,請務必在每次掃描後重新執行匯入。 SaltStack SecOps Vulnerability 不會自動輪詢 Tenable.io 以取得最新掃描資料。

程序

  1. 在第三方工具中,執行掃描,並確保挑選與目標節點位於相同網路的掃描程式。然後,指出要掃描的 IP 位址。如果要從檔案匯入第三方掃描,請以支援的檔案格式 (Nessus、XML 或 CSV) 匯出掃描。
  2. 在 SaltStack Config 中,確保您已下載 SaltStack SecOps Vulnerability 內容。
  3. SaltStack SecOps Vulnerability 工作區中,建立以第三方掃描中包括的相同節點為目標的安全性原則。確保第三方工具中掃描的節點同時在安全性原則中作為目標包括在內。如需詳細資訊,請參閱〈如何建立漏洞原則〉
    備註: 匯出掃描並建立原則后,可以透過執行 raas third_party_import "filepath" third_party_tool security_policy_name 命令匯入掃描。例如, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy。如果掃描檔案特別大,建議使用 CLI 匯入掃描。
  4. 在原則儀表板中,按一下原則功能表下拉式箭頭,然後選取上傳廠商掃描資料
  5. 匯入掃描:
    • 如果從檔案匯入掃描,請選取上傳 > 檔案匯入,並選取第三方廠商。然後,選取要上傳第三方掃描的檔案。
    • 如果從連接器匯入掃描,請選取上傳 > API 上傳,然後選取第三方。如果沒有可用的連接器,功能表會將您導向至 [連接器設定] 工作區。
    匯入狀態時間表將顯示匯入狀態,因為 SaltStack SecOps Vulnerability 會將部屬節點對應至由掃描識別的節點。此程序可能需要一些時間,具體取決於建議和受影響節點的數目。
  6. 按一下匯入所有支援項目,以匯入所有支援的建議。或者,也可以按一下支援的漏洞資料表中特定建議旁邊的核取方塊,然後按一下匯入所選項目

結果

選取的建議將匯入 SaltStack SecOps Vulnerability 中,並且在原則儀表板中顯示為評估。此外,原則儀表板還會在原則標題下顯示 [已匯入自],以指出最新評估是從第三方工具匯入的。

後續步驟

您現在可以修復這些建議。如需詳細資訊,請參閱〈如何修復建議〉