Caso d'uso: come importare una scansione di sicurezza di terze parti in alternativa all'esecuzione di una valutazione
Come alternativa all'esecuzione di una valutazione di un criterio di vulnerabilità,
Automation per Secure Hosts Vulnerabily
supporta l'importazione delle scansioni di sicurezza generate da diversi fornitori di terze parti. Anziché eseguire una valutazione di un criterio di vulnerabilità, è possibile importare una scansione di sicurezza di terze parti direttamente in
Automation Config
e correggere gli avvisi di sicurezza identificati utilizzando Automation per Secure Hosts Vulnerabily
. Vedere Come si esegue una valutazione delle vulnerabilità per ulteriori informazioni sull'esecuzione di una valutazione standard.Automation per Secure Hosts Vulnerabily
supporta scansioni di terze parti da:- Tenable
- Rapid7
- Qualys
- Kenna Security
- Carbon Black
Quando si importa una scansione di terze parti in un criterio di sicurezza,
Automation Config
abbina i minion ai nodi identificati dalla scansione. Per impostazione predefinita, tutti gli utenti di
Automation Config
possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di Automation per Secure Hosts Vulnerabily
affinché un utente possa importare correttamente le vulnerabilità da un connettore.Nel dashboard dei criteri di sicurezza sono elencati gli avvisi identificati dalla scansione di terze parti e viene indicato se ogni avviso è supportato o meno per la correzione.
Se le dimensioni del file di esportazione sono grandi, potrebbe essere necessario eseguire la scansione di un segmento inferiore di nodi nella rete con lo strumento di terze parti. In alternativa, è possibile importare scansioni di grandi dimensioni utilizzando l'interfaccia della riga di comando (CLI) o l'API.
Dopo aver importato la scansione, il criterio mostra un riepilogo che è possibile alternare tra due visualizzazioni: Vulnerabilità supportate e Vulnerabilità non supportate. Le vulnerabilità supportate sono gli avvisi che possono essere corretti tramite
Automation Config
. Le vulnerabilità non supportate sono avvisi che non possono essere corretti tramite Automation Config
. 
Attiva/disattiva l'opzione Visualizza per disponibile solo per i dati importati dal fornitore. I dati creati utilizzando contenuti di
Automation per Secure Hosts
non mostreranno questo campo di attivazione/disattivazione Visualizza per.Configurazione di un connettore di terze parti
Per poter importare una scansione della sicurezza di terze parti, è necessario configurare un connettore. Il connettore deve innanzitutto essere configurato utilizzando le chiavi API dello strumento di terze parti.
Per configurare un connettore Tenable.io

Per configurare un connettore Tenable.io, passare a
, immettere i dettagli richiesti per il connettore e fare clic su Salva
.
Campo Connettore | Descrizione |
---|---|
Chiave segreta e chiave di accesso | Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore. Per ulteriori informazioni sulla generazione delle chiavi, vedere la documentazione di Tenable.io. |
URL | URL di base per le richieste API. L'impostazione predefinita è https://cloud.tenable.com . |
Giorni da | Consente di eseguire query nella cronologia di scansioni di Tenable.io iniziando da questo numero di giorni fa. Lasciare il campo vuoto per eseguire una query per un periodo di tempo illimitato. Quando si utilizza un connettore per importare i risultati della scansione, Automation per Secure Hosts Vulnerabily usa i risultati più recenti per nodo disponibili in questo periodo.Per assicurarsi che il criterio contenga i dati di scansione più recenti, accertarsi di eseguire nuovamente l'importazione dopo ogni scansione. Automation per Secure Hosts Vulnerabily non esegue automaticamente il polling di Tenable.io per i dati della scansione più recente. |
Per configurare un connettore Carbon Black (solo Windows)
Per configurare un connettore Carbon Black, è necessario abilitare l'autorizzazione di lettura del dispositivo in Carbon Black Cloud e creare un codice token API. Per ulteriori informazioni sulla creazione di un codice token API, vedere API di valutazione delle vulnerabilità. 
Automation per Secure Hosts
supporta solo connettori e scansioni da VMware Carbon Black Cloud. Automation per Secure Hosts
utilizza solo IPv4 e il dispositivo Carbon Black per la corrispondenza e risk_meter_score per la visualizzazione. Non vengono utilizzate altre informazioni.
Prima di poter configurare un connettore Carbon Black, è innanzitutto necessario configurare un ambiente kit di sensori Windows Minion Carbon Black.
Per configurare un ambiente kit di sensori Carbon Black:
- Avviare un ambiente diAutomation Confige distribuire un server Windows.
- Installare il minion Salt nel server Windows. Per ulteriori informazioni, vedere Installazione dei minion Salt.
- Accettare le chiavi del Master inAutomation Confige le chiavi dei minion daAutomation Configo dal Salt Master.
- Installare il kit di sensori Carbon Black nel minion Windows. Per ulteriori informazioni, vedere Installazione dei sensori nei carichi di lavoro delle macchine virtuali.
- InAutomation per Secure Hosts, definire un criterio con un gruppo di destinazione che contenga il minion Windows.
- Dopo aver completato l'inserimento di VMan diAutomation Config, sincronizzare il modulo Carbon Black diAutomation Configdal Salt Master eseguendo i comandi seguenti:salt mywindowsminion saltutil.sync_modules saltenv=sse.
- Nel minion Windows, impostare il grain del dispositivo Carbon Black eseguendosalt mywindowsminion carbonblack.set_device_grain.
Dopo aver configurato un ambiente kit di sensori Black Carbon, è possibile configurare il connettore di Carbon Black in
Automation Config
passando a . Immettere i dati richiesti per il connettore e fare clic su Salva
.
Campo Connettore | Descrizione |
---|---|
URL | URL per le richieste API |
Token e chiave dell'organizzazione | Coppia di chiavi necessaria per eseguire l'autenticazione con l'API del connettore.
Se si elimina un connettore VMware Carbon Black, questi campi vengono compilati con caratteri 'xxxx'. Questo manterrà il formato della chiave del token 'xxxxxxxxxxxxxx/xxxxxxx' ![]() |
Verifica SSL | L'impostazione predefinita è impostata su true. |
- Fare clic suDestinazionie selezionareTutti i minionoppure un minion specifico per un gruppo di destinazione del criterio.
- Fare clic suEsegui comandoed eseguire i comandi seguenti:saltutil.sync_all,carbon_black.set_device_grainesaltutil.refresh_grains.
Per configurare un connettore Qualys
Per configurare un connettore Qualys, passare a
, immettere i dettagli richiesti per il connettore e fare clic su Salva
.Le credenziali di URL, nome utente e password sono fornite da Qualys.

Come importare una scansione di terze parti?
È possibile importare una scansione di terze parti da un file, da un connettore o utilizzando la riga di comando.
Assicurarsi di aver configurato il connettore di terze parti nell'interfaccia utente di Connettori.
- Nello strumento di terze parti, eseguire una scansione e accertarsi di scegliere uno strumento di scansione che si trovi nella stessa rete dei nodi di destinazione. Quindi, indicare gli indirizzi IP che si desidera sottoporre a scansione. Se si importa una scansione di terze parti da un file, esportare la scansione in uno dei formati di file supportati (Nessus, XML o CSV).
- InAutomation Config, assicurarsi di aver scaricato i contenuti diAutomation per Secure Hosts Vulnerabily.
- Nell'area di lavoroAutomation per Secure Hosts Vulnerabily, creare un criterio di sicurezza con gli stessi nodi inclusi nella scansione di terze parti. Assicurarsi che i nodi sottoposti a scansione nello strumento di terze parti siano inclusi anche come destinazioni nel criterio di sicurezza. Per ulteriori informazioni, vedere Come si crea un criterio di vulnerabilità.Dopo aver esportato e creato un criterio, è possibile importarlo eseguendo il comandoraas third_party_import "filepath" third_party_tool security_policy_name. Ad esempioraas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Si consiglia di importare la scansione usando la CLI se il file di scansione è particolarmente grande.
- Nel dashboard dei criteri, fare clic sull'elenco a discesaMenu dei criterie selezionareCarica dati scansione fornitore.
- Importare la scansione:
- Se la scansione viene importata da un file, selezionaree selezionare il fornitore di terze parti. Selezionare quindi il file per caricare la scansione di terze parti.
- Se la scansione viene importata da un connettore, selezionaree selezionare la terza parte. Se non è disponibile alcun connettore, il menu indirizza all'area di lavoro delle impostazioni dei connettori.
Automation per Secure Hosts Vulnerabilymappa i minion ai nodi identificati dalla scansione. In base al numero di avvisi e ai nodi interessati, questo processo potrebbe richiedere del tempo.Se si seleziona Qualys come fornitore di terze parti, tutte le scansioni devono essere in formato XML. Non sono supportati altri formati. - Nella pagina Seleziona supportati, selezionare gli avvisi supportati che si desidera includere nell'importazione del file.
- Nella pagina Seleziona non supportati, selezionare gli avvisi non supportati che si desidera includere nell'importazione del file.
- Rivedere gli avvisi non corrispondenti per gli avvisi che non corrispondono a un host o minion. Di conseguenza, non possono essere corretti tramiteAutomation Config.
- Fai clic suAvantie rivedere un riepilogo di ciò che sarà importato nel criterio.
- Fare clic suTermina importazioneper importare la scansione.
Gli avvisi selezionati vengono importati in
Automation per Secure Hosts Vulnerabily
e visualizzati come valutazione nel dashboard dei criteri. Nel dashboard dei criteri è presente anche la dicitura Importata sotto il titolo del criterio per indicare che la valutazione più recente è stata importata dallo strumento di terze parti. Le valutazioni vengono eseguite solo quando la scansione viene importata. Le valutazioni delle scansioni importate non possono essere eseguite in base a una pianificazione.
A questo punto, è possibile correggere questi avvisi. Per ulteriori informazioni, vedere Come correggere gli avvisi.