Caso d'uso: come importare una scansione di sicurezza di terze parti in alternativa all'esecuzione di una valutazione

Come alternativa all'esecuzione di una valutazione di un criterio di vulnerabilità,
Automation per Secure Hosts Vulnerabily
supporta l'importazione delle scansioni di sicurezza generate da diversi fornitori di terze parti.
Anziché eseguire una valutazione di un criterio di vulnerabilità, è possibile importare una scansione di sicurezza di terze parti direttamente in
Automation Config
e correggere gli avvisi di sicurezza identificati utilizzando
Automation per Secure Hosts Vulnerabily
. Vedere Come si esegue una valutazione delle vulnerabilità per ulteriori informazioni sull'esecuzione di una valutazione standard.
Automation per Secure Hosts Vulnerabily
supporta scansioni di terze parti da:
  • Tenable
  • Rapid7
  • Qualys
  • Kenna Security
  • Carbon Black
Quando si importa una scansione di terze parti in un criterio di sicurezza,
Automation Config
abbina i minion ai nodi identificati dalla scansione.
Per impostazione predefinita, tutti gli utenti di
Automation Config
possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di
Automation per Secure Hosts Vulnerabily
affinché un utente possa importare correttamente le vulnerabilità da un connettore.
Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.
Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un segmento inferiore di nodi nella rete con lo strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API.
Dopo aver importato la scansione, il criterio mostra un riepilogo che è possibile alternare tra due visualizzazioni: Vulnerabilità supportate e Vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti tramite
Automation Config
. Le vulnerabilità non supportate sono avvisi che non possono essere corretti tramite
Automation Config
.
Attiva/disattiva l'opzione Visualizza per disponibile solo per i dati importati dal fornitore. I dati creati utilizzando contenuti di
Automation per Secure Hosts
non mostreranno questo campo di attivazione/disattivazione Visualizza per.

Configurazione di un connettore di terze parti

Per poter importare una scansione della sicurezza di terze parti, è necessario configurare un connettore. Il connettore deve innanzitutto essere configurato utilizzando le chiavi API dello strumento di terze parti.

Per configurare un connettore Tenable.io

Per configurare un connettore Tenable.io, passare a
Impostazioni
Connettori
Tenable.io
, immettere i dettagli richiesti per il connettore e fare clic su
Salva
.
Campo Connettore
Descrizione
Chiave segreta e chiave di accesso
Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore. Per ulteriori informazioni sulla generazione delle chiavi, vedere la documentazione di Tenable.io.
URL
URL di base per le richieste API. L'impostazione predefinita è
https://cloud.tenable.com
.
Giorni da
Consente di eseguire query nella cronologia di scansioni di Tenable.io iniziando da questo numero di giorni fa. Lasciare il campo vuoto per eseguire una query per un periodo di tempo illimitato. Quando si utilizza un connettore per importare i risultati della scansione,
Automation per Secure Hosts Vulnerabily
usa i risultati più recenti per nodo disponibili in questo periodo.
Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione.
Automation per Secure Hosts Vulnerabily
non esegue automaticamente il polling di Tenable.io per i dati della scansione più recente.

Per configurare un connettore Carbon Black (solo Windows)

Per configurare un connettore Carbon Black, è necessario abilitare l'autorizzazione di lettura del dispositivo in Carbon Black Cloud e creare un codice token API. Per ulteriori informazioni sulla creazione di un codice token API, vedere API di valutazione delle vulnerabilità.
Automation per Secure Hosts
supporta solo connettori e scansioni da VMware Carbon Black Cloud.
Automation per Secure Hosts
utilizza solo IPv4 e il dispositivo Carbon Black per la corrispondenza e risk_meter_score per la visualizzazione. Non vengono utilizzate altre informazioni.
Prima di poter configurare un connettore Carbon Black, è innanzitutto necessario configurare un ambiente kit di sensori Windows Minion Carbon Black.
Per configurare un ambiente kit di sensori Carbon Black:
  1. Avviare un ambiente di
    Automation Config
    e distribuire un server Windows.
  2. Installare il minion Salt nel server Windows. Per ulteriori informazioni, vedere Installazione dei minion Salt.
  3. Accettare le chiavi del Master in
    Automation Config
    e le chiavi dei minion da
    Automation Config
    o dal Salt Master.
  4. Installare il kit di sensori Carbon Black nel minion Windows. Per ulteriori informazioni, vedere Installazione dei sensori nei carichi di lavoro delle macchine virtuali.
  5. In
    Automation per Secure Hosts
    , definire un criterio con un gruppo di destinazione che contenga il minion Windows.
  6. Dopo aver completato l'inserimento di VMan di
    Automation Config
    , sincronizzare il modulo Carbon Black di
    Automation Config
    dal Salt Master eseguendo i comandi seguenti:
    salt mywindowsminion saltutil.sync_modules saltenv=sse
    .
  7. Nel minion Windows, impostare il grain del dispositivo Carbon Black eseguendo
    salt mywindowsminion carbonblack.set_device_grain
    .
Dopo aver configurato un ambiente kit di sensori Black Carbon, è possibile configurare il connettore di Carbon Black in
Automation Config
passando a
Impostazioni
Connettori
VMware Carbon Black
. Immettere i dati richiesti per il connettore e fare clic su
Salva
.
Campo Connettore
Descrizione
URL
URL per le richieste API
Token e chiave dell'organizzazione
Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore.
Se si elimina un connettore VMware Carbon Black, questi campi vengono compilati con caratteri 'xxxx'. Questo manterrà il formato della chiave del token 'xxxxxxxxxxxxxx/xxxxxxx'
Verifica SSL
L'impostazione predefinita è impostata su true.
  1. Fare clic su
    Destinazioni
    e selezionare
    Tutti i minion
    oppure un minion specifico per un gruppo di destinazione del criterio.
  2. Fare clic su
    Esegui comando
    ed eseguire i comandi seguenti:
    saltutil.sync_all
    ,
    carbon_black.set_device_grain
    e
    saltutil.refresh_grains
    .

Per configurare un connettore Qualys

Per configurare un connettore Qualys, passare a
Impostazioni
Connettori
Qualys
, immettere i dettagli richiesti per il connettore e fare clic su
Salva
.
Le credenziali di URL, nome utente e password sono fornite da Qualys.

Come importare una scansione di terze parti?

È possibile importare una scansione di terze parti da un file, da un connettore o utilizzando la riga di comando.
Assicurarsi di aver configurato il connettore di terze parti nell'interfaccia utente di Connettori.
  1. Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione. Se si importa una scansione di terze parti da un file, esportare la scansione in uno dei formati di file supportati (Nessus, XML o CSV).
  2. In
    Automation Config
    , assicurarsi di aver scaricato i contenuti di
    Automation per Secure Hosts Vulnerabily
    .
  3. Nell'area di lavoro
    Automation per Secure Hosts Vulnerabily
    , creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni nel criterio di sicurezza. Per ulteriori informazioni, vedere Come si crea un criterio di vulnerabilità.
    Dopo aver esportato e creato un criterio, è possibile importarlo eseguendo il comando
    raas third_party_import "filepath" third_party_tool security_policy_name
    . Ad esempio
    raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy
    . Si consiglia di importare la scansione usando la CLI se il file di scansione è particolarmente grande.
  4. Nel dashboard dei criteri, fare clic sull'elenco a discesa
    Menu dei criteri
    e selezionare
    Carica dati scansione fornitore
    .
  5. Importare la scansione:
    • Se la scansione viene importata da un file, selezionare
      Carica
      Caricamento file
      e selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.
    • Se la scansione viene importata da un connettore, selezionare
      Carica
      Caricamento API
      e selezionare la terza parte. Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori.
    La sequenza temporale dello stato di importazione mostra lo stato dell'importazione, mentre
    Automation per Secure Hosts Vulnerabily
    mappa i minion ai nodi identificati dalla scansione. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere del tempo.
    Se si seleziona Qualys come fornitore di terze parti, tutte le scansioni devono essere in formato XML. Non sono supportati altri formati.
  6. Nella pagina Seleziona supportati, selezionare gli avvisi supportati che si desidera includere nell'importazione del file.
  7. Nella pagina Seleziona non supportati, selezionare gli avvisi non supportati che si desidera includere nell'importazione del file.
  8. Rivedere gli avvisi non corrispondenti per gli avvisi che non corrispondono a un host o minion. Di conseguenza, non possono essere corretti tramite
    Automation Config
    .
  9. Fai clic su
    Avanti
    e rivedere un riepilogo di ciò che sarà importato nel criterio.
  10. Fare clic su
    Termina importazione
    per importare la scansione.
Gli avvisi selezionati vengono importati in
Automation per Secure Hosts Vulnerabily
e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti.
Le valutazioni vengono eseguite solo quando la scansione viene importata. Le valutazioni delle scansioni importate non possono essere eseguite in base a una pianificazione.
A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Come correggere gli avvisi.