saltstack secops usar y administrar

Usar y administrar SaltStack SecOps

09 de septiembre de 2021VMware vRealize Automation SaltStack Config 8.5

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright ©

2021 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca

comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

https://docs.vmware.com/copyright-trademark.html

https://docs.vmware.com/copyright-trademark.html

Contenido

1 Qué es SaltStack SecOps 4Requisitos previos 7

2 Configuración de SaltStack SecOps 8

3 Bancos de pruebas de seguridad y conformidad compatibles 16

4 Cómo se utiliza SaltStack SecOps Compliance 17Cómo se crea una directiva de conformidad 18

Crear y probar componentes de conformidad personalizados 23

Crear una biblioteca de contenido personalizada 26

Cómo se ejecuta una evaluación de conformidad 28

Cómo se pueden ver y corregir los resultados de una evaluación 29

5 Cómo se utiliza SaltStack SecOps Vulnerability 32Usar la biblioteca de vulnerabilidad 33

Cómo se crea una directiva de vulnerabilidad 35

Cómo ejecutar una evaluación de vulnerabilidad 38

Caso práctico: Cómo se importa un análisis de seguridad de terceros como alternativa a la ejecución de una evaluación 39

Cómo se corrigen los avisos 44

Cómo se reinicia un minion en una corrección 46

6 Solución de problemas 49

VMware, Inc. 3

Qué es SaltStack SecOps 1SaltStack SecOps es una aplicación de administración de conformidad y vulnerabilidad que permite automatizar las correcciones de seguridad.

SaltStack SecOps permite analizar el sistema para comprobar la conformidad con varios bancos de pruebas de seguridad, detectar vulnerabilidades del sistema y corregir los resultados. SaltStack SecOps incluye los servicios SaltStack SecOps Compliance y SaltStack SecOps Vulnerability.

SaltStack SecOps Compliance analiza el sistema para comprobar la conformidad con los bancos de pruebas de seguridad compatibles de instituciones acreditadas (como CentOS Linux Nivel 1 y 2 Senior y Workstation) y permite corregir los nodos que no cumplen con los requisitos. Incluye dos bibliotecas de conformidad:

n Biblioteca de contenido de conformidad: el contenido de seguridad integrado.

n Biblioteca de contenido de conformidad personalizado: las comprobaciones y los bancos de pruebas personalizados definidos y cargados por la organización.

SaltStack SecOps Vulnerability analiza el sistema en busca de vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE) y, a continuación, corrige los avisos identificados. Incluye una biblioteca de vulnerabilidades de avisos integrada.

VMware, Inc. 4

Las bibliotecas de contenido se actualizan periódicamente a medida que cambian los estándares de seguridad. También puede configurar el contenido para que se descargue automáticamente a medida que las actualizaciones estén disponibles, o puede descargar el contenido de forma manual. Para buscar actualizaciones y descargar contenido manualmente, haga clic en Administración > SecOps > y haga clic en Buscar actualizaciones o en Cargar paquete debajo de la biblioteca de contenido deseada.


VMware, Inc. 5

Nota Para poder utilizar SaltStack SecOps, debe tener SaltStack Config instalado y configurado. Sin embargo, SaltStack SecOps requiere una licencia de producto independiente de SaltStack Config. Póngase en contacto con un representante de ventas para obtener más información.

Este capítulo incluye los siguientes temas:


VMware, Inc. 6

n Requisitos previos

Requisitos previos

Antes de utilizar SaltStack SecOps, debe asegurarse de que se cumplan estos requisitos previos.

Aplicar una licencia de DLF

Al instalar SaltStack SecOps sin usar vRealize Suite Lifecycle Manager, debe aplicar una licencia de DLF además de la licencia de SaltStack SecOps.

1 Cree un archivo con el nombre vra_license en /etc/raas.

2 Edite el archivo /etc/rass/vra_license y agregue la clave de SecOps.

3 Guarde el archivo vra_license.

4 Ejecute chown rass:raas vra_license.

5 Ejecute systemct1 restart raas.


VMware, Inc. 7

Configuración de SaltStack SecOps 2vRealize Automation SaltStack SecOps es un complemento para SaltStack Config que proporciona dos bibliotecas de seguridad. Ambas bibliotecas de contenido se actualizan regularmente a medida que cambian los criterios de seguridad. Puede configurar el contenido para descargar (o ingerir) automáticamente a medida que cambian los estándares de seguridad, lo que se recomienda para la mayoría de los sistemas estándar.

Los siguientes tipos de contenido se proporcionan como parte de SaltStack SecOps:

n Conformidad: detección y corrección automatizadas de la conformidad para su infraestructura. La biblioteca de contenido de conformidad consta de contenido de prácticas recomendadas del sector sobre conformidad y seguridad, como CIS.

n Vulnerabilidad: administra las vulnerabilidades en todos los sistemas del entorno. Su biblioteca de contenido incluye avisos basados en las últimas entradas de Vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE).

Como alternativa, la biblioteca incluye la opción de descargar contenido manualmente o de acceder al contenido desde el nodo de RaaS a través de un proxy HTTP(s). La ingesta manual es útil para los sistemas aislados, mientras que la descarga a través del proxy resulta útil para evitar descargar contenido directamente desde Internet. La descarga a través del proxy también proporciona mayor control y visibilidad de lo que se descarga y dónde.

Antes de comenzar

La configuración de SaltStack SecOps es un paso posterior a la instalación en una serie de varios pasos que deben seguirse en un orden específico. En primer lugar, complete uno de los escenarios de instalación y, a continuación, lea las siguientes páginas posteriores a la instalación:

n Instalar la clave de licencia

n Instalar y configurar el complemento principal

n Comprobar el archivo de configuración de RaaS

n Iniciar sesión por primera vez y cambiar las credenciales predeterminadas

n Aceptar la clave principal de Salt y hacer una copia de seguridad de los datos

n Configurar certificados SSL

VMware, Inc. 8

Instalar bibliotecas de RPM de Python 3

SaltStack SecOps utiliza las bibliotecas de RPM de Python 3 para comparar de forma confiable las versiones de los paquetes. Estos programas necesitan la mayor precisión que proporcionan estas bibliotecas para determinar la conformidad con la versión o evaluar las vulnerabilidades.

Actualmente, todos los minions que utilizan RedHat o CentOS 7 podrían necesitar las bibliotecas de RPM de Python 3 para ejecutar evaluaciones precisas de conformidad o vulnerabilidad. Si desea ejecutar evaluaciones en minions que utilizan estas versiones de RedHat o CentOS, debe instalar manualmente la biblioteca de RPM de Python 3 en estas máquinas.

Nota Hay otras soluciones alternativas disponibles. Si necesita una solución alternativa, consulte Contactar soporte técnico.

Para instalar la biblioteca de RPM de Python 3 en el maestro de Salt que ejecuta el complemento principal:

1 Instale el repositorio de EPEL mediante el siguiente comando:

yum install -y epel-release

2 Instale la biblioteca de RPM de Python 3:

yum install -y python3-rpm

Ingesta automática de contenido para sistemas estándar

En los sistemas RaaS que no son aislados, el contenido se descarga e ingiere periódicamente según lo determinen los ajustes del archivo de configuración. De forma predeterminada, la ingesta automática de contenido ya está configurada en SaltStack Config y no se requieren más acciones.

Si instaló SaltStack Config de forma manual, siga estos pasos para configurar la ingesta automática de contenido de SaltStack SecOps:

1 Agregue lo siguiente al archivo de configuración del servicio de RaaS /etc/raas/raas en la

sección sec correspondiente, y adáptelo según sea necesario:

sec: stats_snapshot_interval: 3600 username: secops content_url: https://enterprise.saltstack.com/secops_downloads ingest_saltstack_override: true ingest_custom_override: true locke_dir: locke post_ingest_cleanup: true download_enabled: true download_frequency: 86400 compile_stats_interval: 10 archive_interval: 300


VMware, Inc. 9

old_policy_file_lifespan: 2 delete_old_policy_files_interval: 86400 ingest_on_boot: true content_lock_timeout: 60 content_lock_block_timeout: 120

2 Guarde el archivo.

3 Reinicie el servicio de RaaS:

systemctl restart raas

Una vez que se reinicia el servicio, el contenido de SaltStack SecOps comienza a descargarse. Esto puede tardar hasta cinco minutos, según su conexión a Internet.

Ingerir contenido a través de un proxy http(s)

Para la ingesta a través de un proxy, deberá crear una anulación en el servicio de RaaS y agregar nuevas variables de entorno para httpproxy y httpsproxy.

Para configurar el nodo de RaaS para que use el proxy https:

1 Complete los pasos anteriores para habilitar el consumo automático.

2 En el nodo principal de la línea de comandos, edite el servicio de RaaS:

systemctl edit raas

3 Agregue las siguientes líneas al archivo generado.

[Service]Environment="http_proxy=http://<hostname>:234"Environment="https_proxy=https://<hostname>:234"Environment="HTTP_PROXY=http://<hostname>:234"Environment="HTTPS_PROXY=http://<hostname>:234"

4 Si el proxy requiere autenticación con contraseña, es posible que deba configurarlo como parte de las variables del entorno del proxy. Por ejemplo:

Environment="HTTP_PROXY=http://USER:PASSWORD@<hostname>:234"

5 Si el proxy utiliza una entidad de certificación interna, es posible que también deba establecer la variable de entorno REQUESTS_CA_BUNDLE para asegurarse de que el proxy pueda utilizarla.

Por ejemplo:

Environment="REQUESTS_CA_BUNDLE=/etc/pki/tls/certs/ca-bundle.crt"

6 Reinicie el servicio de RaaS:



VMware, Inc. 10

Una vez que se reinicia el servicio, el contenido comienza a descargarse. Esto puede tardar hasta 20 minutos.

Ingesta manual de contenido de SaltStack SecOps Compliance

Si el entorno está aislado, lo que significa que no se puede conectar a un sitio externo para descargar actualizaciones, debe actualizar manualmente el contenido de SaltStack SecOps Compliance, para lo cual debe descargar el archivo tarball desde Customer Connect y transferirlo al nodo de RaaS.

Además, si el sistema está aislado, cambie la configuración de descarga del archivo de configuración de RaaS a False:

sec: download_enabled: False

El archivo de configuración de RaaS se encuentra en /etc/raas/raas. Es posible que también

deba reiniciar el servicio de RaaS después de aplicar estos ajustes de configuración:


Para ingestar manualmente el archivo tarball de SaltStack SecOps Compliance:

1 Descargue el contenido de SaltStack SecOps Compliance.

2 Inicie sesión en un nodo de RaaS.

3 Copie el archivo tarball de contenido de conformidad en el nodo de RaaS de la carpeta tmp.

Este contenido se puede enviar por correo electrónico o por cualquier otro medio.

4 Ingiera el contenido del archivo tar.

su - raas -c "raas ingest /path/to/locke.tar.gz.e"

Esto devuelve:

Extracting: /tmp/locke.tar.gz -> /tmp/extracted-1551290468.5497127

Cleaning up: /tmp/extracted-1551290468.5497127

Results:

{'errors': [], 'success': True}


VMware, Inc. 11

https://my.vmware.com/

Ingesta manual de contenido de SaltStack SecOps Vulnerability

Si el entorno está aislado, lo que significa que no se puede conectar a un sitio externo para descargar actualizaciones, debe actualizar manualmente el contenido de SaltStack SecOps Vulnerability, para lo cual debe descargar el archivo tarball desde Customer Connect y transferirlo al nodo de RaaS.

Además, si el sistema está aislado, cambie la configuración de descarga del archivo de configuración de RaaS a False:

sec: download_enabled: False

El archivo de configuración de RaaS se encuentra en /etc/raas/raas. Es posible que también

deba reiniciar el servicio de RaaS después de aplicar estos ajustes de configuración:


Para ingestar manualmente el archivo tarball de SaltStack SecOps Vulnerability:

1 Descargue el contenido de SaltStack SecOps Vulnerability.

2 Inicie sesión en un nodo de RaaS.

3 Copie el archivo tarball de contenido de vulnerabilidad en el nodo de RaaS de la carpeta tmp.

Este contenido se puede enviar por correo electrónico o por cualquier otro medio.

4 Ingeste el contenido del archivo tarball, y reemplace el nombre del archivo tarball en este comando por el nombre de archivo exacto del archivo tarball:

su - raas -c "raas vman_ingest /tmp/vman_date_example123.tar.gz.e"

Esto devuelve:

'adv': {'error': 0, 'success': 60334}, 'adv_cve_xref': {'error': 0, 'success': 243781}, 'cve': {'error': 0, 'success': 162251}, 'pkgfile': {'error': 0, 'success': 42}, 'py': {'error': 0, 'success': 7}, 'sls': {'error': 0, 'success': 3}

Solución de problemas de ingesta manual

Si intenta ejecutar los comandos de ingesta manual para contenido de SaltStack SecOps Compliance o SaltStack SecOps Vulnerability, es posible que aparezca un mensaje de error similar a este mensaje:

/home/centos/locke_date_example123.tar.gz.e not found or not readable


VMware, Inc. 12

https://my.vmware.com/

Este mensaje de error a veces aparece si no coloca el archivo tarball en la carpeta tmp. Al colocar

el archivo tarball en la carpeta tmp, se resuelve el problema.

Configurar la integración de Splunk

SaltStack Config integra la biblioteca de vulnerabilidad con Splunk para ayudarlo a optimizar y proteger la infraestructura digital mediante el complemento de SaltStack Config para Splunk Enterprise. El complemento está disponible en Splunkbase y requiere la versión 6.3 o superior de SaltStack Config.

El complemento de SaltStack Config en Splunk aprovecha un endpoint de métricas compatible con Prometheus que informa sobre 25 métricas únicas de SaltStack Config. Estas métricas proporcionan información sobre el estado de su infraestructura. El acceso a ellos en Splunk resulta útil para supervisar interrupciones, identificar actividad anómala y mucho más. También le ofrece la capacidad de realizar acciones automatizadas basadas en un evento de Splunk específico mediante SaltStack Config.

Para obtener instrucciones sobre cómo instalar y configurar el complemento, consulte la documentación del complemento completa en la base de conocimientos de VMware.

Para obtener más información sobre el endpoint de métricas de SaltStack Config, consulte la documentación del producto de SaltStack SecOps.

Opciones de configuración

En la siguiente tabla se describen las opciones de configuración disponibles para el contenido de conformidad:

Opción Descripción

stats_snapshot_interval Con qué frecuencia (en segundos) se recopilarán estadísticas de SaltStack SecOps Compliance.

compile_stats_interval Con qué frecuencia (en segundos) se compilarán estadísticas de SaltStack SecOps Compliance.

username Nombre de usuario que se utilizará al conectarse a SaltStack Config para descargar el contenido de SaltStack SecOps Compliance más reciente (valor predeterminado: secops).

content_url URL utilizada para descargar contenido de SaltStack SecOps Compliance.

ingest_override Al ingerir contenido nuevo, sobrescribe los valores de referencia y las comprobaciones existentes (valor predeterminado: True).

locke_dir Ruta en que la ingesta espera encontrar contenido nuevo (valor predeterminado: locke). Si utiliza una ruta de acceso relativa (no comienza con /), será relativa al

directorio de memoria caché del servicio de RaaS /var/lib/raas/cache.

post_ingest_cleanup Elimine el contenido expandido del sistema de archivos después de la ingesta (valor predeterminado: True).


VMware, Inc. 13

https://splunkbase.splunk.com/app/5028/

https://kb.vmware.com/s/article/50122312


download_enabled Si se permite la descarga de contenido de SaltStack SecOps Compliance (valor predeterminado: True). Establezca esta opción en False para sistemas aislados.

download_frequency Frecuencia en segundos con la que el servicio de RaaS intenta descargar contenido de SaltStack SecOps Compliance (valor predeterminado: 86400 por 24 horas).

ingest_on_boot Si el servicio de RaaS debe intentar descargar contenido de SaltStack SecOps Compliance en el arranque (valor predeterminado: True).

content_lock_timeout Tiempo en segundos durante el que se bloqueará la descarga de contenido (valor predeterminado: 60).

content_lock_block_timeout Tiempo en segundos durante el que se bloqueará la descarga de contenido antes de que falle (valor predeterminado: 120)

En la siguiente tabla se describen las opciones de configuración disponibles para el contenido de vulnerabilidad:


vman_dir Ubicación en la que el contenido de SaltStack SecOps Vulnerability se expande antes de la ingesta. Si la ruta de acceso es relativa (no comienza con /), será

relativa al directorio de memoria caché del servicio de RaaS /var/lib/raas/cache.

download_enabled Si es True, la descarga de contenido de SaltStack SecOps Vulnerability está

habilitada. Se establece en False para sistemas aislados.

download_frequency La frecuencia en segundos de la ingesta y las descargas automatizadas de contenido de SaltStack SecOps Vulnerability.

username Nombre de usuario utilizado para iniciar sesión en enterprise.saltstack.com a

fin de obtener contenido.

content_url URL desde la que se descargará el contenido de SaltStack SecOps Vulnerability.

ingest_on_boot Si es True, el contenido de SaltStack SecOps Vulnerability se descargará

e ingerirá poco después de que arranque el servicio de RaaS (valor predeterminado: True).

compile_stats_interval Con qué frecuencia (en segundos) se compilarán estadísticas de SaltStack SecOps Vulnerability.

stats_snapshot_interval Con qué frecuencia (en segundos) se recopilarán estadísticas de SaltStack SecOps Vulnerability.

old_policy_file_lifespan Duración (en días) de los archivos de directiva antiguos que permanecerán en el sistema de archivos RaaS.

delete_old_policy_files_interval Frecuencia (en segundos) con la que se eliminarán los archivos de directiva de SaltStack SecOps Vulnerability antiguos del sistema de archivos RaaS.


VMware, Inc. 14


tenable_asset_import_enabled Si es True, los granos de minions de SaltStack Config se enviarán a Tenable.io

para buscar activos que coincidan (valor predeterminado: True).

tenable_asset_import_grains Lista de granos de minions que se enviarán a Tenable.io, si la importación de activos de Tenable está habilitada.

SaltStack SecOps Vulnerability solo admite fqdn, ipv4, ipv6 y hostname integrados, pero usted puede definir granos personalizados para enviar otra información. Para obtener más información sobre los granos, incluida la forma de escribir granos personalizados, consulte Salt: granos.

Si solo tiene una clave de subconjunto en sus datos de granos, solo se sincronizarán los del subconjunto.

fqdn y ipv4 se enviarán incluso si no los enumera aquí.

Para obtener más información, consulte la documentación Activos de importación de Tenable.

Preguntas frecuentes

n P: ¿Con qué frecuencia se publica nuevo contenido de SaltStack Vulnerability ?

n R: La frecuencia de publicación actual es aproximadamente una vez por trimestre. Sin embargo, podría publicarse contenido con más frecuencia en el futuro.

n ¿Puedo acceder más rápido al contenido nuevo si uso la ingesta automática de contenido en lugar de la ingesta manual?

n R: El mismo contenido está disponible, independientemente de si la ingesta es manual o automática.

Sin embargo, si utiliza la ingesta manual, debe planificar la comprobación de actualizaciones del contenido de seguridad y desarrollar un proceso para ingerir manualmente el contenido actualizado cuando esté disponible.

Qué hacer a continuación

Después de configurar SaltStack SecOps, es posible que haya pasos posteriores a la instalación adicionales. Compruebe la lista de pasos posteriores a la instalación para asegurarse de que ha completado todos los pasos necesarios.


VMware, Inc. 15

https://docs.saltstack.com/en/latest/topics/grains/#grains

https://developer.tenable.com/reference#assets-import

https://developer.tenable.com/reference#assets-import

Bancos de pruebas de seguridad y conformidad compatibles 3SaltStack SecOps admite diversos bancos de pruebas de seguridad y conformidad.

Para ver una lista de los bancos de pruebas de seguridad y conformidad compatibles y obtener instrucciones para suscribirse a futuras actualizaciones, consulte

Bancos de pruebas de seguridad y conformidad compatibles.

VMware, Inc. 16

https://docs.vmware.com/es/VMware-vRealize-Automation-SaltStack-Config/services/using-and-managing-saltstack-secops/GUID-25C9ACC5-DB5B-4378-9633-6FDA7D3EEC07.html

Cómo se utiliza SaltStack SecOps Compliance 4SaltStack SecOps Compliance es una solución de seguridad y conformidad de la infraestructura de TI que combina la seguridad con las operaciones de TI en una sola plataforma.

SaltStack SecOps Compliance aprovecha las eficaces capacidades de administración de configuración y ejecución remota de SaltStack Config para lograr que todos los activos de la infraestructura cumplan con una serie de bancos de pruebas de seguridad del sector. Se integra con SaltStack Config para aplicar medidas de seguridad a escala y respetar las exenciones personalizadas según las necesidades de la organización.

La biblioteca de cumplimiento integrada contiene los estándares de seguridad más recientes basados en guías de protección de prácticas recomendadas del sector. SaltStack SecOps Compliance utiliza la biblioteca para evaluar la seguridad de la infraestructura y corregir los sistemas no conformes de inmediato. En ocasiones, es posible que necesite actualizar la biblioteca de seguridad y descargar contenido. Para actualizar y descargar contenido en la biblioteca de seguridad, haga clic en Administración > SecOps en el menú lateral y, a continuación, seleccione Contenido de conformidad: SaltStack > Buscar actualizaciones.

Para usar SaltStack SecOps Compliance, primero debe definir una directiva de conformidad y, a continuación, analizar los sistemas en función de la directiva. El análisis detecta los sistemas no conformes y permite corregir los problemas de forma instantánea. Además, es posible introducir exenciones y especificar permisos de usuario para garantizar que todas las rutas de acceso a la corrección se personalicen según las necesidades de la organización.

VMware, Inc. 17


n Cómo se crea una directiva de conformidad

n Cómo se ejecuta una evaluación de conformidad

n Cómo se pueden ver y corregir los resultados de una evaluación

Cómo se crea una directiva de conformidad

Para proteger los activos de infraestructura con SaltStack SecOps Compliance, es necesario definir directivas.

SaltStack SecOps Compliance ofrece distintos bancos de pruebas del sector para elegir, incluidas comprobaciones del Centro para la seguridad de Internet (Center for Internet Security, CIS) y más. Cada banco de pruebas incluye una recopilación de comprobaciones de seguridad. Puede optar por aplicar todas las comprobaciones disponibles para un banco de pruebas determinado o utilizar solo un subconjunto de las comprobaciones disponibles. El uso de un subconjunto de comprobaciones resulta útil para personalizar SaltStack SecOps Compliance según las necesidades únicas de la infraestructura, por ejemplo, si la corrección de una comprobación determinada supone el riesgo de destruir una dependencia conocida.

Al crear la directiva, debe seleccionar el destino al que se aplicará la directiva, junto con los bancos de pruebas y las comprobaciones que se ejecutarán en el sistema.

Para conectarse directamente al SDK, consulte vRealize Automation SaltStack Config SecOps.

Destino

Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt se administra de forma similar a un minion y puede ser un destino si ejecuta el servicio de minion. Al crear una directiva y seleccionar un destino, se definen los nodos en los que se ejecutarán las comprobaciones de seguridad. Puede elegir un destino existente o crear uno nuevo.

Para obtener más información, consulte Minions.

Bancos de pruebas

SaltStack SecOps Compliance simplifica el proceso de definición de directivas de seguridad mediante la agrupación de comprobaciones de seguridad por banco de pruebas.


VMware, Inc. 18

https://code.vmware.com/web/sdk/8.4.0/vrealize-automation-saltstack-config-secops

https://docs.vmware.com/es/VMware-vRealize-Automation-SaltStack-Config/services/use-manage-saltstack-config/GUID-FA5DB4F1-FCE3-4648-8835-82E48F0DAB45.html

Los bancos de pruebas son categorías de comprobaciones de seguridad. Los bancos de pruebas de SaltStack SecOps Compliance son definidos por expertos ampliamente aceptados, mientras que los bancos de pruebas personalizados se definen según los estándares de la propia organización. Puede utilizar bancos de pruebas para crear un rango de diferentes directivas optimizadas para distintos grupos de nodos. Por ejemplo, puede crear una directiva de Oracle Linux que aplique comprobaciones de CIS a los minions de Oracle Linux y una directiva de Windows que aplique comprobaciones de CIS a los minions de Windows. Para obtener más información sobre la creación de contenido personalizado, consulte Crear y probar componentes de conformidad personalizados.

Nota Específicamente para los bancos de pruebas de Windows Server, el contenido de CIS de

ciertos bancos de pruebas (con una nota de información sobre herramientas ) se distribuye entre tres bancos de pruebas diferentes:

n Contenido de maestro de dominio

n Contenido de miembro

n Contenido de miembro y de maestro de dominio

Si desea incluir todo el contenido de miembro, debe seleccionar los bancos de pruebas para Miembro y también para Miembro y maestro de dominio.

Comprobaciones

Una comprobación es un estándar de seguridad que SaltStack SecOps Compliance evalúa para fines de conformidad. La biblioteca de SaltStack SecOps Compliance actualiza las comprobaciones con frecuencia a medida que cambian los criterios de seguridad. Además de las comprobaciones incluidas en la biblioteca de contenido de SaltStack SecOps Compliance, puede crear sus propias comprobaciones personalizadas. Las comprobaciones personalizadas se señalan mediante un icono de usuario de comprobaciones personalizadas , en lugar del icono de escudo de comprobaciones integradas . Para obtener más información sobre la creación de contenido personalizado, consulte Crear y probar componentes de conformidad personalizados. Cada comprobación incluye varios campos de información.

Campo de información Descripción

Descripción Descripción de la comprobación.

Acción Una descripción de la acción que se realiza durante la corrección.

Interrupción Se utiliza únicamente para pruebas internas. Para obtener más información, póngase en contacto con el administrador.

Descripción global Una descripción detallada de la comprobación.


VMware, Inc. 19


Osfinger Una lista de valores osfinger para los que se implementa la comprobación. El valor osfinger se encuentra en los elementos de granos de cada minion para identificar el sistema operativo del minion y la versión de la versión principal. Se recopilan granos para el sistema operativo, el nombre de dominio, la dirección IP, el kernel, el tipo de SO, la memoria y otras propiedades del sistema.

Perfil Una lista de perfiles de configuración para diferentes bancos de pruebas.

Lógica Una descripción de la lógica para implementar la comprobación.

Referencias Las referencias cruzadas de conformidad entre los bancos de pruebas.

Corregir Estos valores indican si SaltStack SecOps Compliance es capaz de corregir los nodos no conformes, ya que no todas las comprobaciones incluyen pasos de corrección específicos de acción.

Corrección Una descripción de la forma en que se corrigen los sistemas no conformes, si corresponde.

Puntuado El valor puntuado del banco de pruebas de CIS. Las recomendaciones puntuadas afectan la puntuación de banco de pruebas del destino, mientras que las recomendaciones sin puntuar no afectan la puntuación. El valor True indica que se ha puntuado y el valor False indica que no se ha puntuado.

Archivo de estado Una copia del estado de Salt que se aplica para ejecutar la comprobación y, si corresponde, la corrección subsiguiente.


VMware, Inc. 20


Variables Las variables de SaltStack SecOps Compliance se utilizan para transferir valores a los estados de Salt que conforman las comprobaciones de seguridad. Para obtener mejores resultados, utilice los valores predeterminados. Para obtener más información, consulte Cómo se utilizan los estados de Salt.

Programaciones Seleccione la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.

n Periódica: establezca un intervalo para repetir la programación, con campos opcionales para la fecha de inicio o finalización, la visualización y el número máximo de trabajos en paralelo.

n Fecha y hora de repetición: repita la programación de forma semanal o diaria, con campos opcionales para la fecha de inicio o finalización y el número máximo de trabajos en paralelo.

n Una vez: especifique una fecha y una hora para ejecutar el trabajo una vez.

n Cron: introduzca una expresión CRON para definir una programación personalizada basada en la sintaxis Croniter. Consulte Editor CronTab para obtener directrices de sintaxis. Evite programar trabajos con menos de 60 segundos de diferencia al definir una expresión CRON personalizada.

Nota En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.

Nota Al definir una programación de evaluación, puede elegir la opción No programada (a petición). Si selecciona esta opción, puede ejecutar una evaluación por única vez sin definir ninguna programación.

Nota Para excluir comprobaciones y minions de la corrección, haga clic en Agregar excepción, introduzca el motivo de la excepción y haga clic en Agregar excepción de nuevo para confirmar. Se omitirá la corrección para los elementos exentos.


VMware, Inc. 21

https://docs.saltproject.io/en/latest/topics/tutorials/starting_states.html

https://crontab.guru/examples.html

Procedimiento

1 En la página de inicio de SaltStack SecOps Compliance, haga clic en Crear directiva.

2 Introduzca el nombre de la política y seleccione un destino para aplicarla. Haga clic en Siguiente.

3 En la pestaña Bancos de pruebas, seleccione todos los bancos de pruebas que desee incluir en la directiva y, a continuación, haga clic en Siguiente.

Nota Si no existe ningún banco de pruebas disponible, es posible que deba descargar el contenido de conformidad. Para actualizar y descargar contenido en la biblioteca de seguridad, haga clic en Administración > SecOps en el menú lateral y, a continuación, seleccione Contenido de conformidad: SaltStack > Buscar actualizaciones.

4 En la pestaña Comprobaciones, seleccione todas las comprobaciones que desee incluir en la directiva. Las comprobaciones disponibles se determinan en función de los bancos de pruebas seleccionados en el paso 3. Haga clic en Siguiente.

5 En la pestaña Variables, introduzca o modifique las variables según sea necesario. También puede aceptar los valores predeterminados (recomendado). Haga clic en Siguiente.

6 En la página Programación, defina la frecuencia de programación y haga clic en Guardar.

7 (Opcional) Para ejecutar una evaluación inmediatamente después de guardar la directiva, seleccione Ejecutar evaluación al guardar.


VMware, Inc. 22

8 Haga clic en Guardar.

Se guardará la directiva. Si seleccionó Ejecutar evaluación al guardar, la evaluación se ejecutará inmediatamente después de guardar.

Resultados

La directiva de conformidad se guardará y se utilizará para ejecutar una evaluación. Para editar la directiva, seleccione la directiva en la página de inicio y haga clic en Editar directiva.

Crear y probar componentes de conformidad personalizados

El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y comprobaciones integrada en SaltStack SecOps Compliance.

El contenido personalizado es útil para mejorar las directivas de SaltStack SecOps Compliance con el fin de que se ajusten a los requisitos internos.

SaltStack SecOps Compliance incluye un kit de desarrollo de software (Software Development Kit, SDK) de contenido personalizado que se puede utilizar para crear, probar y compilar contenido de seguridad personalizado propio. Es posible importar el contenido de seguridad personalizado para utilizarlo junto con la biblioteca de seguridad integrada de SaltStack SecOps Compliance con fines de evaluación y corrección. La capacidad de importar contenido personalizado también permite crear versiones del contenido mediante un sistema de control de versiones de su elección, como Git.

Para utilizar las comprobaciones personalizadas, primero debe inicializar el SDK de contenido personalizado de SaltStack SecOps Compliance. El SDK incluye archivos de muestra que puede modificar para crear sus propias comprobaciones personalizadas, así como bancos de pruebas. El SDK también contiene un entorno de prueba basado en Docker donde puede probar el contenido nuevo.


VMware, Inc. 23

Una vez creado y probado el contenido personalizado, puede crear un archivo de contenido e importarlo en SaltStack SecOps Compliance para comenzar a evaluar y corregir. Las comprobaciones personalizadas incluyen un icono de usuario (icono de usuario de comprobaciones personalizadas ) en contraposición con las comprobaciones de SaltStack (icono de escudo de comprobaciones integradas ). SaltStack SecOps Compliance realiza un seguimiento de las dependencias entre las directivas y el contenido personalizado, y proporciona una lista de dependencias que se pueden destruir si se elimina el contenido.

Requisitos previos

n Descargue el SDK de contenido personalizado de SaltStack SecOps Compliance.

n Instale Docker. Para obtener más información, consulte Obtener Docker.

Procedimiento

1 En la línea de comandos, desplácese hasta el directorio que contiene el archivo y ejecute el comando:

Sistema operativo Comando

Mac OS o Linux ./secops_sdk init

Windows secops_sdk.exe init

No se muestra ningún resultado, lo que es de esperar. El directorio contiene estas carpetas y archivos:

n benchmarks: contiene metarchivos de bancos de pruebas personalizados (.meta)

n salt/locke/custom: contiene archivos de estado de comprobación personalizados (.sls) y metarchivos (.meta)

n sample_tests: contiene archivos de ejemplo para las pruebas mediante Docker

n README.md: proporciona información más detallada sobre el SDK

2 (Opcional) Confirme los cambios en un repositorio controlado por versiones.

3 Para crear comprobaciones personalizadas, en el SDK de contenido personalizado, desplácese hasta salt/locke/custom. Para crear bancos de pruebas personalizados, vaya

al paso 8.

Nota Es necesario configurar todas las comprobaciones personalizadas en un archivo de estado (.sls) y en el metarchivo (.meta) correspondiente.

4 Cree una copia para el archivo de estado de muestra (.sls) y el metarchivo correspondiente (.meta), y cambie el nombre de ambos por el nombre personalizado que desee. Guarde estos dos archivos juntos en cualquier subdirectorio de salt/locke/custom.

Ambos archivos deben estar en el mismo directorio y comenzar con el mismo nombre, por ejemplo, mi_primera_comprobacion.meta y mi_primera_comprobacion.sls.


VMware, Inc. 24

https://code.vmware.com/web/sdk/8.4.0/vrealize-automation-saltstack-config-secops

https://docs.docker.com/get-docker/

5 Edite el contenido del metarchivo para personalizar la comprobación en función de sus necesidades.

Nota Los metarchivos de comprobaciones contienen referencias a distintos bancos de pruebas. Al crear contenido personalizado, asegúrese de incluir todos los bancos de pruebas asociados en el metarchivo de comprobaciones.

6 Edite el contenido del archivo de estado.

7 Asegúrese de que ambos archivos se guarden en el mismo directorio.

8 Para crear bancos de pruebas personalizados, en el SDK de contenido personalizado, desplácese hasta el directorio benchmarks. Este directorio contiene un metarchivo de banco

de pruebas de muestra (.meta).

9 Haga una copia de Sample_benchmark.meta y cambie su nombre por el nombre

personalizado que desee.

10 Edite el contenido del metarchivo para personalizar el banco de pruebas en función de sus necesidades.

Resultados

Se crearán las comprobaciones y los bancos de pruebas personalizados. Si es necesario, puede eliminar una comprobación o un banco de pruebas personalizado. Para ello, desplácese hasta SecOps > Comprobaciones o SecOps > Bancos de pruebas, haga clic en el icono de menú junto al contenido personalizado y seleccione Eliminar.

Pasos siguientes

Después de crear el contenido personalizado, puede probarlo. Para ello, abra la línea de comandos, desplácese hasta el directorio sample_tests del SDK de contenido personalizado

y ejecute estos comandos:

Comando Resultado

1. ./build.sh Se crea una imagen de Docker de CentOS7 con Salt para realizar pruebas.

2. ./up.sh Se inicia el contenedor de pruebas.

3. ./test.sh salt-call --local state.apply locke.custom.mounts.my_first_check test=True

Se ejecutan pruebas de muestra en las comprobaciones que se crearon en el directorio salt/locke/custom.

Puede iniciar comprobaciones personalizadas como lo hace con los estados de Salt normales. Para obtener más información sobre los estados de Salt, consulte Cómo se utilizan los estados de Salt.

4. ./down.sh Una vez finalizadas las pruebas, ejecute este comando para apagar el contenedor de prueba.

Después de probar el contenido personalizado, puede Crear una biblioteca de contenido personalizada.


VMware, Inc. 25



Crear una biblioteca de contenido personalizada

Después de crear las comprobaciones y los bancos de pruebas personalizados, es posible crear una biblioteca de contenido personalizada.

Requisitos previos

Crear y probar componentes de conformidad personalizados

Procedimiento

1 Abra la línea de comandos y desplácese hasta el directorio raíz del SDK de contenido personalizado.

2 Para compilar la biblioteca de contenido personalizada, ejecute el comando ./secops_sdk build -a.

Después de ejecutar el comando, el directorio raíz del SDK incluirá el subdirectorio _dist y

dos archivos tar.gz que se pueden utilizar para importar el contenido personalizado.

3 Para importar el contenido, haga clic en Administración > SecOps en el menú lateral.

4 En Contenido de conformidad - SaltStack, haga clic en Buscar actualizaciones.


VMware, Inc. 26

5 Haga clic en Cargar paquete y seleccione el archivo tar.gz.


VMware, Inc. 27

Nota Para facilitar la navegación entre las comprobaciones personalizadas, utilice el archivo que contiene una marca de tiempo en el nombre de archivo. También puede importar contenido mediante la API (RaaS) o, de forma alternativa, a través de la línea de comandos durante la instalación. Consulte la interfaz de la API de Sec o la documentación Instalación de SaltStack Config.

Resultados

El contenido personalizado estará disponible en SaltStack SecOps Compliance para crear directivas, ejecutar evaluaciones y corregir los sistemas.

Cómo se ejecuta una evaluación de conformidad

Después de crear una directiva de conformidad, es posible ejecutar una evaluación de conformidad.

Al ejecutar una evaluación de conformidad, se examina la conformidad del sistema en función de la biblioteca de contenido de conformidad integrada y (si corresponde) de la biblioteca de contenido de conformidad personalizado. Estas bibliotecas contienen comprobaciones y bancos de pruebas, y se actualizan con regularidad según los cambios en los estándares de seguridad. Para obtener más información sobre la biblioteca de contenido personalizado, consulte Crear y probar componentes de conformidad personalizados.

Después de ejecutar la evaluación, es posible ver los resultados y corregir los nodos que no cumplan con los requisitos.

Después de ejecutar una evaluación, se identifican los resultados de la evaluación y estos se muestran en la página de inicio de la directiva de la siguiente forma:

n Conforme: la configuración se encuentra en su estado previsto en comparación con el estándar o el banco de pruebas.

n No conforme: la configuración no se encuentra en su estado previsto en comparación con el estándar o el banco de pruebas. Se recomienda seguir investigando y solucionar posibles problemas.

n No aplicable: la configuración no se aplica a este sistema. Por ejemplo, si ejecuta una comprobación de CentOS en AIX.

n Desconocido: no se ejecutaron evaluaciones ni correcciones.

n Error: SaltStack SecOps Compliance detectó un error al ejecutar la evaluación o la corrección.

Nota Las directivas que contienen muchas comprobaciones pueden prolongar el tiempo de procesamiento de la evaluación, lo que puede retrasar otros procesos en SaltStack Config. Se recomienda planificar el tiempo de procesamiento antes de iniciar una evaluación.


VMware, Inc. 28

https://enterprise.saltstack.com/en/latest/

https://enterprise.saltstack.com/en/latest/

Requisitos previos

Para poder ejecutar una evaluación, primero debe crear una directiva de conformidad. Para obtener más información, consulte Cómo se crea una directiva de conformidad.

Procedimiento

1 En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva.

2 En la página de inicio de la directiva, haga clic en Ejecutar evaluación y, a continuación, en Ejecutar evaluación de nuevo en la ventana de confirmación.

Se abrirá la ventana Actividad. Las evaluaciones completadas se enumerarán en la ventana Actividad junto con su estado, identificador de trabajo (Job ID, JID) y otra información.

3 Una vez finalizada la evaluación, para ver los resultados de la evaluación, seleccione la directiva en la página de inicio de SaltStack SecOps Compliance.

La página de inicio de la directiva muestra los resultados de la evaluación más reciente, organizados por comprobación. Puede filtrar la lista o seleccionar encabezados de columnas para ordenar los resultados. Para ver los resultados de la evaluación por minion, seleccione Minion.

Resultados

La evaluación se ha completado y puede revisar los resultados. Para descargar el informe de la evaluación, seleccione la directiva y haga clic en la pestaña Informe > Descargar > JSON.

Pasos siguientes

Después de revisar los resultados de la evaluación, puede Cómo se pueden ver y corregir los resultados de una evaluación.

Cómo se pueden ver y corregir los resultados de una evaluación

Después de ejecutar una evaluación y revisar los resultados de esta, es posible corregir cualquier elemento no conforme.


VMware, Inc. 29

En la página de inicio de la directiva, la pestaña Actividad muestra una lista de las evaluaciones y las correcciones completadas o en curso, junto con sus estados:

Estado Descripción

En cola La operación está lista para ejecutarse, pero los minions no iniciaron la operación.

Completado Se completó la ejecución de la operación.

Parcial La operación todavía espera el regreso de algunos minions, a pesar de que se completó la ejecución de la operación.

Una vez identificados los sistemas no conformes durante una evaluación de conformidad, es posible corregirlos para lograr que cumplan con los requisitos. Puede optar por corregir comprobaciones o nodos individuales (minions), o puede corregir todas las comprobaciones de todos los nodos.

Nota Cuando se selecciona Corregir todo, no se corrigen las comprobaciones o los nodos exentos.

Para agregar exenciones de minions y comprobaciones, seleccione la comprobación en la página de inicio de la directiva o el minion en la pestaña Minions y haga clic en Agregar exención. Para eliminar una exención, haga clic en la pestaña Exenciones, haga clic en la flecha desplegable junto a la exención que desea eliminar y, a continuación, seleccione Eliminar exención.

Requisitos previos

Para poder corregir los resultados, primero debe ejecutar una evaluación de conformidad. Para obtener más información, consulte Cómo se ejecuta una evaluación de conformidad.

Procedimiento

1 En la página de inicio de SaltStack SecOps Compliance, seleccione una directiva para ver los resultados de la evaluación más reciente.


VMware, Inc. 30

2 Puede optar por corregir todo, corregir por comprobación o corregir por minion.

a Para corregir todo: en la pestaña Comprobaciones, haga clic en Corregir todo.

b Para corregir por comprobación: seleccione una comprobación para abrir la descripción de la comprobación, desplácese hasta la lista de resultados de la última evaluación, seleccione todos los minions que desea corregir y haga clic en Corregir.

c Para corregir por minion: en la página de inicio de la directiva, haga clic en la pestaña Minions, seleccione un minion y haga clic en Corregir.

Resultados

Los resultados no conformes se corregirán y se volverán conformes.


VMware, Inc. 31

Cómo se utiliza SaltStack SecOps Vulnerability 5SaltStack SecOps Vulnerability es una solución de corrección de vulnerabilidades con la que los equipos de seguridad y TI pueden trabajar juntos para evaluar el estado de vulnerabilidad de los sistemas en función de los avisos de seguridad más recientes, incluidos los que hacen referencia a vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE).

Después de analizar y detectar avisos, SaltStack SecOps Vulnerability puede corregir los avisos que tienen un paquete de reparación disponible. Es posible excluir ciertos avisos o activos para personalizar la estrategia de administración de vulnerabilidades en torno a otros controles de seguridad existentes.

SaltStack SecOps Vulnerability también admite la importación de análisis de seguridad de proveedores de terceros y la corrección de dichos avisos sobre los activos afectados si existe una corrección disponible. Actualmente, esto incluye los análisis importados de Tenable, Rapid7, Qualys y Kenna Security, con un conector de API integrado para importar de Tenable.io.

SaltStack SecOps Vulnerability proporciona varias opciones de informes de vulnerabilidad, incluida una vista rápida imprimible del panel de control para ayudar a evaluar las tendencias de vulnerabilidad a lo largo del tiempo.

Después de un análisis, es posible acceder a una lista descargable de todas las vulnerabilidades detectadas, junto con su correspondiente nombre de aviso, gravedad, puntuación de vulnerabilidad y activos afectados. Como complemento de SaltStack Config, SaltStack SecOps Vulnerability va más allá de la evaluación y aprovecha Salt para corregir activamente vulnerabilidades y, al mismo tiempo, brindar un control total sobre qué corregir y cuándo.

VMware, Inc. 32


n Usar la biblioteca de vulnerabilidad

n Cómo se crea una directiva de vulnerabilidad

n Cómo ejecutar una evaluación de vulnerabilidad

n Caso práctico: Cómo se importa un análisis de seguridad de terceros como alternativa a la ejecución de una evaluación

n Cómo se corrigen los avisos

Usar la biblioteca de vulnerabilidad

SaltStack Config utiliza un proceso automatizado para buscar los avisos de seguridad más recientes, junto con las versiones o los paquetes de software para corregir los nodos afectados por esas vulnerabilidades. Este contenido se genera y se actualiza constantemente en la biblioteca de vulnerabilidades.

Cuando existen una corrección o un aviso nuevo, SaltStack Config empaqueta la biblioteca en un archivo tarball que pone a disposición de los clientes de SaltStack SecOps Vulnerability para que lo descarguen. De forma predeterminada, SaltStack Config busca contenido nuevo diariamente.

El archivo tarball de la biblioteca de vulnerabilidades se cifra antes de ponerlo a disposición de los clientes de SaltStack SecOps Vulnerability para garantizar la integridad de los datos. Una licencia de SaltStack SecOps Vulnerability incluye las claves necesarias para descifrar el archivo tarball una vez descargado. Cuando SaltStack SecOps Vulnerability consume un nuevo archivo tarball, es posible que tarde entre 15 y 20 minutos en obtener el contenido más reciente, lo que puede afectar el rendimiento. Si utiliza el proceso predeterminado para actualizar la biblioteca de vulnerabilidades, puede prever este retraso en el rendimiento la primera vez que descargue este contenido después de instalar y activar SaltStack SecOps Vulnerability. Posteriormente, cuando exista un nuevo archivo tarball disponible para descargar, este se consumirá y se actualizará. Sin embargo, puede volver a experimentar el retraso de 15 a 20 minutos durante el consumo, según el tiempo de la actualización. Puede reducir la posibilidad de este retraso si actualiza manualmente la biblioteca de vulnerabilidades. Para actualizar el contenido manualmente, haga clic en Administración > SecOps. En Contenido de vulnerabilidad, haga clic en Buscar actualizaciones.


VMware, Inc. 33


VMware, Inc. 34

Nota El identificador de paquete coincide con el UUID del archivo de contenido tarball que proporciona SaltStack. Sin embargo, si existe un error de coincidencia entre los dos identificadores, esto se debe a que se cambió el nombre de tarball. Compruebe el nombre del archivo cargado para asegurarse de que aún tenga el nombre de archivo original proporcionado por SaltStack. Es posible que un usuario o un equipo lo hayan modificado.

Cómo se crea una directiva de vulnerabilidad

Para comenzar a usar SaltStack SecOps Vulnerability, primero cree la directiva de seguridad. En su directiva, agregue los minions que desee utilizar como destino de una evaluación y determine la programación de ejecución de la evaluación.

Una directiva de vulnerabilidad se compone de un destino y una programación de evaluación. El destino determina qué minions se deben incluir en una evaluación y la programación indica cuándo se deben ejecutar las evaluaciones. Una directiva de seguridad también almacena los resultados de la evaluación más reciente en SaltStack SecOps Vulnerability. Las directivas también pueden incluir programaciones, así como especificaciones sobre el manejo de exenciones.


VMware, Inc. 35

Componente Descripción

Destino Un destino es el grupo de minions, en uno o varios maestros de Salt, al que se aplica el comando de Salt de un trabajo. Un maestro de Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. Al elegir un destino en SaltStack SecOps Vulnerability, defina el grupo de activos (denominados minions) a los que se aplicará la directiva. Puede elegir un destino existente o crear uno nuevo.

Programación Elija la frecuencia de programación entre Periódica, Fecha y hora de repetición, Una vez o Expresión CRON. Existen opciones adicionales disponibles, según la actividad programada y la frecuencia de programación elegida.

n Periódica: establezca un intervalo para repetir la programación, con campos opcionales para la fecha de inicio o finalización, la visualización y el número máximo de trabajos en paralelo.

n Fecha y hora de repetición: elija repetir la programación de forma semanal o diaria, con campos opcionales para la fecha de inicio o finalización y el número máximo de trabajos en paralelo.

n Una vez: especifique una fecha y una hora para ejecutar el trabajo.

n Cron: introduzca una expresión CRON para definir una programación personalizada basada en la sintaxis Croniter. Para obtener mejores resultados, evite programar trabajos con menos de 60 segundos de diferencia al definir una expresión CRON personalizada. Para obtener más información y directrices, consulte Editor Cron.

Nota En el editor de programaciones, los términos “Trabajo” y “Evaluación” se utilizan indistintamente. Al definir una programación para la directiva, solo se programa la evaluación, no la corrección.

n No programada (a petición): seleccione esta opción para ejecutar solamente evaluaciones únicas según sea necesario. No se define ninguna programación.

Requisitos previos

Antes de crear la primera directiva de seguridad, necesita acceder a la biblioteca de vulnerabilidades. Para obtener más información, consulte Usar la biblioteca de vulnerabilidad.

También debe crear los destinos que desea evaluar antes de crear la directiva. Un destino es el grupo de activos (denominados minions) a los que se aplicará la directiva. Para obtener más información, consulte Minions.


VMware, Inc. 36

https://crontab.guru/examples.html

https://docs.vmware.com/es/VMware-vRealize-Automation-SaltStack-Config/services/use-manage-saltstack-config/GUID-FA5DB4F1-FCE3-4648-8835-82E48F0DAB45.html

Procedimiento

1 En el área de trabajo Vulnerabilidad, haga clic en Crear directiva.

2 Introduzca un nombre de política y seleccione el destino al que desea acceder.

Nota El análisis de un gran número de minions puede provocar tiempos de procesamiento largos. Esto también puede retrasar otros procesos, como los trabajos en ejecución, en SaltStack Config. Asegúrese de tener en cuenta el tiempo adicional necesario para ejecutar evaluaciones de gran tamaño.

3 Defina una frecuencia de programación.

4 (Opcional) Seleccione Ejecutar evaluación al guardar.

5 Haga clic en Guardar.

Resultados

Se guardará la directiva. Si seleccionó Ejecutar evaluación al guardar, la directiva se ejecutará inmediatamente después de guardar. Si es necesario, puede editar una directiva. Para ello, seleccione la directiva en el área de trabajo Vulnerabilidad y haga clic en Editar directiva y, a continuación, en Guardar.


VMware, Inc. 37

Cómo ejecutar una evaluación de vulnerabilidad

Después de crear una directiva, es posible ejecutar una evaluación para analizar los activos de destino en función de los últimos avisos.

SaltStack SecOps Vulnerability busca paquetes disponibles que puedan reparar vulnerabilidades identificadas en los avisos.

Nota Después de la instalación inicial, SaltStack Config demora entre 15 y 20 minutos en consumir el contenido de vulnerabilidad. Para obtener mejores resultados, espere al menos 20 minutos después de instalar SaltStack Config antes de ejecutar el primer análisis de vulnerabilidad. Para obtener más información, consulte Usar la biblioteca de vulnerabilidad.

En el área de trabajo Vulnerabilidad, puede ejecutar evaluaciones con una o varias directivas a la vez si selecciona las casillas de verificación situadas junto a cada directiva y hace clic en Ejecutar evaluación.

Para ver los detalles de la directiva y, a continuación, ejecutar la evaluación en una sola directiva:

Requisitos previos

Para poder ejecutar una evaluación de vulnerabilidad, primero debe tener una directiva de vulnerabilidad existente. Para obtener más información, consulte Cómo se crea una directiva de vulnerabilidad.

Procedimiento

1 En el área de trabajo Vulnerabilidad, seleccione una directiva para abrir el panel de control de la directiva.

2 En el panel de control de la directiva, haga clic en Ejecutar evaluación y, en el cuadro de diálogo de confirmación, haga clic en Ejecutar evaluación.


VMware, Inc. 38

Resultados

SaltStack SecOps Vulnerability analizará el sistema en función de los avisos más recientes. Durante la evaluación, no se realizan cambios en ningún sistema. Una vez completada la evaluación, puede corregir cualquier aviso. Para ver el estado de las evaluaciones actuales o anteriores, haga clic en una directiva en el área de trabajo Vulnerabilidad y, a continuación, haga clic en la pestaña Actividad. La página de resultados mostrará todos los análisis en cola, en curso y completados.

Pasos siguientes

Puede ver los resultados de la evaluación en el panel de control de la directiva. Para ordenar los resultados por nodo, haga clic en la pestaña Minions. Si lo desea, puede descargar el informe de la evaluación en formato JSON. Para ello, haga clic en Informe > Descargar > JSON en el panel de control de la directiva.

Caso práctico: Cómo se importa un análisis de seguridad de terceros como alternativa a la ejecución de una evaluación

Como alternativa a ejecutar una evaluación en una directiva de vulnerabilidad, SaltStack SecOps Vulnerability admite la importación de análisis de seguridad generados por diversos proveedores de terceros.

En lugar de ejecutar una evaluación en una directiva de vulnerabilidad, puede importar un análisis de seguridad de terceros directamente a SaltStack Config y corregir los avisos de seguridad identificados mediante SaltStack SecOps Vulnerability. Consulte Cómo ejecutar una evaluación de vulnerabilidad para obtener más información sobre la forma de ejecutar una evaluación estándar.

SaltStack SecOps Vulnerability admite análisis de terceros de:

n Tenable

n Rapid7

n Qualys

n Kenna Security

También es posible utilizar un conector Tenable.io para los análisis de Tenable.


VMware, Inc. 39

Al importar un análisis de terceros en una directiva de seguridad, SaltStack Config busca coincidencias entre los minions y los nodos identificados en el análisis. El área de trabajo Copias intermedias de importación muestra la lista de avisos que se pueden importar y otra lista con los avisos que no se pueden importar actualmente. La lista de avisos no compatibles incluye una explicación del motivo por el que no se pueden importar.

Nota De forma predeterminada, todos los usuarios de SaltStack Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de SaltStack SecOps Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector.

El panel de control de la directiva de seguridad enumera los avisos identificados por el análisis de terceros, así como si cada aviso es compatible o no con la corrección.

Nota Si el tamaño del archivo de exportación es grande, es posible que deba analizar un segmento menor de nodos en la red con la herramienta de terceros. Como alternativa, puede importar análisis grandes mediante la interfaz de línea de comandos (Command Line Interface, CLI) o la API.

Una vez importado el análisis, el área de trabajo Copias intermedias de importación mostrará un resumen de la importación y dos tablas: una lista de Vulnerabilidades admitidas y una lista de Vulnerabilidades no admitidas. Las vulnerabilidades admitidas son los avisos que se encuentran disponibles para corrección. Las vulnerabilidades no admitidas son los avisos que actualmente no se pueden corregir. La lista de vulnerabilidades no admitidas incluye una explicación del motivo por el que no se pueden importar.

Puede importar un tercero desde un archivo, desde un conector o mediante la línea de comandos.

Requisitos previos

Para poder importar un análisis de seguridad de terceros, debe configurar un conector. Primero se debe configurar el conector con las claves de API de la herramienta del tercero.

Para configurar un conector Tenable.io:


VMware, Inc. 40

Para configurar un conector Tenable.io, desplácese hasta Configuración > Conectores > Tenable.io, introduzca los detalles necesarios para el conector y haga clic en Guardar.

Campo de conector Descripción

Clave secreta y clave de acceso El par de claves requerido para autenticarse con la API del conector. Para obtener más información sobre cómo generar las claves, consulte la documentación de Tenable.io.

URL La URL base para las solicitudes de la API. El valor predeterminado es https://cloud.tenable.com.

Días desde La consulta del historial de análisis de Tenable.io a partir de este número de días pasados. Deje este campo en blanco para consultar un período ilimitado. Cuando se utiliza un conector para importar los resultados de los análisis, SaltStack SecOps Vulnerability utiliza los resultados por nodo más recientes disponibles en este período.

Nota Para verificar que la directiva contenga los datos de análisis más recientes, asegúrese de volver a ejecutar la importación después de cada análisis. SaltStack SecOps Vulnerability no sondea automáticamente Tenable.io para obtener los datos de análisis más recientes.

Procedimiento

1 En la herramienta del tercero, ejecute un análisis y asegúrese de seleccionar un escáner en la misma red que los nodos de destino. A continuación, indique las direcciones IP que desea analizar. Si desea importar un análisis de terceros desde un archivo, exporte el análisis en uno de los formatos de archivo compatibles (Nessus, XML o CSV).


VMware, Inc. 41

2 En SaltStack Config, asegúrese de haber descargado el contenido de SaltStack SecOps Vulnerability.

3 En el área de trabajo de SaltStack SecOps Vulnerability, cree una directiva de seguridad destinada a los mismos nodos que se incluyeron en el análisis de terceros. Asegúrese de que los nodos analizados en la herramienta del tercero también se incluyan como destinos en la directiva de seguridad. Consulte Cómo se crea una directiva de vulnerabilidad para obtener más información.

Nota Después de exportar el análisis y crear una directiva, puede importar el análisis mediante la ejecución del comando raas third_party_import "filepath" third_party_tool security_policy_name. Por ejemplo, raas third_party_import "/my_folder/my_tenable_scan.nessus" tenable my_security_policy. Se recomienda

importar el análisis mediante la CLI si el archivo del análisis es especialmente grande.

4 En el panel de control de la directiva, haga clic en la flecha desplegable Menú de directivas y seleccione Cargar datos de análisis de proveedor.


VMware, Inc. 42

5 Importe el análisis:

n Si importa el análisis desde un archivo, seleccione Cargar > Importar archivo y seleccione el proveedor externo. A continuación, seleccione el archivo para cargar el análisis de terceros.

n Si importa el análisis desde un conector, seleccione Cargar > Carga de API y seleccione el tercero. Si no existe ningún conector disponible, el menú lo dirigirá al área de trabajo Configuración de conectores.

La escala de tiempo de estado de importación mostrará el estado de la importación mientras SaltStack SecOps Vulnerability asigna los minions a los nodos identificados en el análisis. Según el número de avisos y los nodos afectados, este proceso puede demorar algún tiempo.

6 Haga clic en Importar todo lo admitido para importar todos los avisos compatibles. Como alternativa, puede hacer clic en la casilla de verificación junto a avisos específicos de la tabla Vulnerabilidades admitidas y hacer clic en Importar selección.

Resultados

Los avisos seleccionados se importarán en SaltStack SecOps Vulnerability y se mostrarán como una evaluación en el panel de control de directivas. El panel de control de directivas también mostrará el aviso "Se importó de" debajo del título de la directiva para indicar que la última evaluación se importó desde la herramienta del tercero.

Pasos siguientes

Ahora puede corregir estos avisos. Consulte Cómo se corrigen los avisos para obtener más información.


VMware, Inc. 43

Cómo se corrigen los avisos

Después de completar una evaluación inicial, puede corregir los avisos detectados en la evaluación.

En la página de inicio de la directiva, la pestaña Actividad muestra una lista de las evaluaciones y las correcciones completadas o en curso, junto con sus estados:

Estado Descripción

En cola La operación está lista para ejecutarse, pero los minions no iniciaron la operación.

Completado Se completó la ejecución de la operación.

Parcial La operación todavía espera el regreso de algunos minions, a pesar de que se completó la ejecución de la operación.

Durante la corrección, todos los paquetes que forman parte de ese aviso se aplican a los nodos seleccionados. Puede corregir todos los avisos a la vez o un aviso específico, un minion específico o un conjunto de minions según sea necesario.

SaltStack SecOps Vulnerability siempre instala la versión más reciente disponible de un proveedor, incluso si el aviso se corrigió en una versión anterior.

Después de corregir un aviso, debe ejecutar otra evaluación para comprobar que la corrección se haya realizado correctamente.

Puede elegir los avisos o nodos que se deben corregir según sea necesario. Estas opciones incluyen:

n Corregir todos los avisos a la vez

n Corregir un minion específico

n Corregir un conjunto de minions

En el panel de control de la directiva, al ejecutar Corregir todo, SaltStack SecOps Vulnerability corrige todos los avisos sobre todos los minions de la directiva, lo que puede provocar tiempos de procesamiento largos.


VMware, Inc. 44

Requisitos previos

SaltStack SecOps Vulnerability activa los nodos de Windows para recibir los avisos más recientes de Microsoft. Los nodos de Windows pueden recibir estas actualizaciones de una de estas dos formas:

n Agente de Windows Update (WUA): de forma predeterminada, los nodos de Windows se conectan directamente a Microsoft mediante WUA, que se instala automáticamente en todos los nodos de Windows. WUA es compatible con la entrega y la instalación de revisiones automatizadas. Este agente analiza los nodos para determinar las actualizaciones de seguridad que no están instaladas y, a continuación, busca y descarga las actualizaciones de los sitios web de actualización de Microsoft.

n Windows Server Update Services (WSUS): un servidor WSUS funciona como intermediario entre Microsoft y el minion. Con los servidores WSUS, los administradores de TI pueden implementar actualizaciones en una red de forma estratégica para minimizar el tiempo de inactividad y las interrupciones. Consulte Windows Server Update Services (WSUS) en la documentación oficial de Microsoft para obtener más información.

Antes de utilizar SaltStack SecOps Vulnerability en nodos de Windows, compruebe cuál de estos dos métodos utiliza actualmente el entorno. Si el entorno utiliza el método de servidor WSUS, debe hacer lo siguiente:

n Asegúrese de que WSUS esté habilitado y en ejecución. Si es necesario, puede configurar el minion de Windows para que se conecte a WSUS mediante un archivo de estado de Salt proporcionado por SaltStack. Consulte Habilitar Windows Server Update Services (WSUS) para este archivo de estado. Después de ejecutar este archivo de estado, compruebe que el minion se conecte correctamente al servidor WSUS y que reciba actualizaciones.

n Apruebe las actualizaciones relacionadas con avisos de Microsoft en el servidor WSUS. Cuando el servidor WSUS recibe actualizaciones de Microsoft, el administrador de WSUS debe revisar y aprobar dichas actualizaciones para poder implementarlas en el entorno. Para que SaltStack SecOps Vulnerability detecte y corrija avisos, se deben aprobar todas las actualizaciones que contengan avisos.

Si no se cumple alguno de estos dos requisitos previos, SaltStack SecOps Vulnerability no puede analizar ni corregir con precisión los avisos. En los sistemas que reciben actualizaciones de Microsoft a través de un servidor WSUS, las evaluaciones pueden devolver falsos positivos donde se indica que los minions de Windows están protegidos de todas las CVE, aunque en realidad no lo estén.

Procedimiento

1 En el área de trabajo Vulnerabilidad, haga clic en una directiva para abrir el panel de control de la directiva.

2 En el panel de control de la directiva:

n Para corregir por aviso, haga clic en la casilla de verificación situada junto a todos los avisos que desea corregir.


VMware, Inc. 45

n Para corregir por minion, seleccione la pestaña Minions, haga clic en un minion y seleccione todos los avisos que desee corregir para el minion activo.

n Para corregir por aviso y minion, haga clic en un identificador de aviso y en la casilla de verificación junto a todos los minions que desee corregir para el aviso activo.

3 Haga clic en Corregir.

Resultados

Se corregirán los avisos de vulnerabilidad. En ocasiones, la corrección puede requerir un reinicio completo del sistema o del minion. Para obtener más información, consulte Cómo se reinicia un minion en una corrección.

Cómo se reinicia un minion en una corrección

Una corrección puede requerir un reinicio completo del sistema para que la revisión o la actualización surtan efecto. En ocasiones, una corrección puede incluso requerir un segundo reinicio.

Como administrador de Windows, para determinar si un aviso o un minion requieren un reinicio como parte de una corrección, debe ejecutar primero una evaluación.

Nota El reinicio como parte de la corrección solo se aplica a minions de Windows.

A continuación, para determinar si se necesita un reinicio:


VMware, Inc. 46

Para Consultar

Aviso En la pestaña Avisos del panel de control de la directiva, revise la columna Comportamiento de instalación para ver el estado del aviso:

n Nunca requiere reinicio: el aviso no requiere un reinicio cuando se corrige.

n Siempre requiere reinicio: el aviso siempre requiere un reinicio cuando se corrige.

n Puede requerir reinicio: es posible que el aviso requiera un reinicio en ciertas condiciones como parte de la corrección.

n (-): el valor nulo. Esto se muestra para los minions de Linux. La detección de la necesidad de un reinicio no es compatible con los minions de Linux.

Minion En la pestaña Minions del panel de control de la directiva, revise la columna Necesita reinicio para ver el estado del minion:

n falso: no es necesario reiniciar el minion para la corrección o el minion se reinició correctamente.

n verdadero: el estado es verdadero si:

n Es necesario reiniciar el minion y el reinicio no ha comenzado.

n El minion se está reiniciando y el reinicio todavía no se ha completado.

n El minion se reinició, pero necesitará un segundo reinicio para que se apliquen los cambios adicionales.

Si determina que el sistema o el minion necesitan reiniciarse, siga estos pasos:

Procedimiento

1 En la pestaña Minions del panel de control de la directiva, haga clic en la casilla de verificación junto a un minion que muestre “verdadero” en la columna Necesita reinicio.

2 Haga clic en Ejecutar comando.

3 En el menú Función, seleccione el comando system.reboot.

4 En el campo Argumentos, agregue los argumentos necesarios.

n En los nodos de Windows, el comando system.reboot necesita dos argumentos:

timeout y in_seconds. Establezca el primer argumento en 0 y el segundo en verdadero.

Consulte la documentación del módulo win_system.reboot para obtener más información sobre estos argumentos.

n En los nodos de Linux, el comando system.reboot utiliza un argumento: at_time.

Consulte la documentación del módulo system.reboot para obtener más información sobre estos argumentos.


VMware, Inc. 47

https://docs.saltproject.io/en/3000/ref/modules/all/salt.modules.win_system.html#salt.modules.win_system.reboot

https://docs.saltproject.io/en/3000/ref/modules/all/salt.modules.system.html#salt.modules.system.reboot

5 (Opcional) Si desea programar un reinicio para una hora específica, cree un trabajo que reinicie el minion y, a continuación, establezca ese trabajo para que se ejecute a una hora programada. Consulte Flujo de trabajo de SaltStack Config para obtener más información.

6 Haga clic en Ejecutar comando para ejecutar este comando en el minion seleccionado.

Resultados

Después de iniciar un reinicio, el minion puede tardar varios minutos en reiniciarse y volver a estar conectado.

Para comprobar si el minion se encuentra nuevamente conectado después de un reinicio, actualice la pestaña Minions del área de trabajo Vulnerabilidad y compruebe la presencia del minion. Consulte Presencia de minions para obtener más información.

Pasos siguientes

Después de reiniciar un minion como parte de una corrección, debe ejecutar otra evaluación para comprobar que la corrección se haya realizado correctamente.


VMware, Inc. 48

https://docs-staging.vmware.com/en/VMware-vRealize-Automation-SaltStack-Config/services/use-manage-saltstack-config/GUID-96A02EE1-CD8D-4641-8048-A1E25DBAC4D5.html

https://docs-staging.vmware.com/en/VMware-vRealize-Automation-SaltStack-Config/services/use-manage-saltstack-config/GUID-FA5DB4F1-FCE3-4648-8835-82E48F0DAB45.html

Solución de problemas 6Si tiene problemas al usar SaltStack SecOps, realice los siguientes pasos de solución de problemas.

Problema Causa Solución

Después de instalar SaltStack SecOps sin usar vRealize Suite Lifecycle Manager, se produce un error de licencia.

SaltStack SecOps requiere una licencia de SaltStack SecOps y una licencia de DLF.

1 Cree un archivo con el nombre vra_license en /etc/raas.

2 Edite el archivo /etc/rass/vra_license y agregue la clave

de SecOps.

3 Guarde el archivo vra_license.

4 Ejecute chown rass:raas vra_license.

5 Ejecute systemct1 restart raas.

VMware, Inc. 49

saltstack secops usar y administrar

Documents