22. Integration mit anderen Systemen

Die Greenbone GSM Appliance kann mit anderen Systemen verknüpft werden. Dieses Kapitel betrachtet die verschiedenen Möglichkeiten. Greenbone Networks hat bereits die Kommunikation der GSM mit einzelnen anderen Produkten dritter Hersteller ermöglicht. Hierzu zählen das verinice ITSM System, das Sourcefire IPS Defense Center und das Nagios Monitoring System. Die folgenden Abschnitte zeigen die Möglichkeiten und die erforderlichen Schritte zur Konfiguration auf. Die Integration einiger weiterer Produkte wie Palo Alto werden in dem Kapitel Scanner beschrieben.

22.1. Integration von Drittherstellern

Die GSM verfügt über eine Vielzahl von Schnittstellen, die eine Kommunikation mit Produkten von Drittherstellern ermöglichen. Dieser Abschnitt zeigt die Möglichkeiten für eine Integration und Kopplung mit anderen Systemen auf.

Die GSM bietet hierzu die folgenden Schnittstellen:

OpenVAS Management Protokoll (OMP)

Das OpenVAS Management Protokoll erlaubt die komplette Fernsteuerung der GSM Appliance. Das Protokoll unterstützt das Anlegen von Benutzern, Erzeugen und Starten von Scan-Tasks, Beziehen von Reports, etc.

Anbindung weiterer Scanner über OSP

Das OpenVAS Scanner Protocol (OSP) ist eine standardisierte Schnittstelle für beliebige Schwachstellenscanner. Mit dieser Schnittstelle können weitere Scanner nahtlos in das GSM Schwachstellenmanagement integriert werden. Die Steuerung der Scanner und die Auswertung der Ergebnisse erfolgt für alle Scanner in der gleichen Art und Weise.

Report Format

Die GSM kann die Scan-Ergebnisse in einem beliebigen Format präsentieren. Dazu bringt die GSM bereits eine Reihe vorinstallierter Report Formats mit. Weitere Report-Formats können von Greenbone bezogen oder in Zusammenarbeit mit Greenbone erstellt werden. Eine digitale Signatur des Plugins seitens Greenbone ist notwendig um es auf dem GSM ausführen zu können.

.Benachrichtigungen via Syslog, E-Mail, SNMP-Trap oder HTTP.
Automatische Ergebnisweiterleitung über Konnektoren

Diese Konnektoren werden von Greenbone erstellt, geprüft und auf dem GSM integriert.

Überwachung via SNMP

Die aktuelle MIB Datei (Management Information Base) erhalten Sie auf der Webseite http://docs.greenbone.net/API/SNMP/snmp-gos-3.1.en.html. Diese MIB enthält die Informationen, die über SNMP abgefragt werden können.

22.1.1. OSP Scanner

Das OpenVAS Scanner Protokoll ähnelt dem OpenVAS Management Protokoll (OMP, siehe Kapitel OpenVAS Management Protokoll (OMP)). Es ist XML-basiert, zustandslos und erfordert keine dauerhafte Kommunikationsverbindung. Sein Design erlaubt die nahtlose Unterstützung weiterer Scanner durch den GSM.

Der GSM bringt bereits einige OSP Scanner in seiner Werkseinstellung mit (siehe Kapitel Scanner.)

Das offene Format erlaubt die Entwicklung beliebiger eigener OSP Scanner. Greenbone stellt hierzu sowohl die Protokolldokumentation als auch ein grundlegendes Gerüst für Programmierer bereit (siehe Kapitel OpenVAS Scanner Protokoll).

22.2. Verinice

Verinice (see http://verinice.org/en/) ist ein freies OpenSource Information Security Management System (ISMS), welches durch das Unternehmen SerNet (see http://sernet.de/en/) entwickelt wird.

_images/integration_verinice-20130422_620x347.png

Der GSM kann mit verinice Daten austauschen.

Verinice eignet sich für:

  • Vulnerability Remediation Workflow

  • zur Umsetzung der BSI IT-Baseline Kataloge

  • zum Durchführen einer Risko Analyse nach ISO 27005

  • für den Betrieb eines ISMS nach ISO 27001

  • für das Durchführen eines IS-Assessments nach VDA Vorgaben

  • für den Nachweis von Compliance mit Standards wie ISO 27002, IDW PS 330

Der Greenbone Security Manager kann sowohl bei der Modellierung und Umsetzung von BSI IT-Grundschutz als auch bei dem Betrieb eines ISMS unterstützen.

Hierzu stellt Greenbone für den Export der Daten aus dem GSM in verinice zwei Report-Plugins zur Verfügung:

  • Verinice-ISM mit sämtlichen Scan-Ergebnissen

  • Verinice-ITG mit Scan-Ergebnissen eines BSI IT-Grundschutz Scans

Es besteht die Möglichkeit der vollautomatischen Übertragung der Daten vom Greenbone Security Manager an verinice.PRO, der Server-Erweiterung von verinice.

Im Folgenden betrachten wir den manuellen Import der Berichte aus dem GSM in die freie verinice Version. Für Unterstützung bei der Anwendung des Connector wenden Sie sich bitte an SerNET oder Greenbone.

22.2.1. IT Security Management

Das Report-Plugin für verinice ist vorkonfiguriert im GSM verfügbar als Verinice-ISM.

Mit diesem Berichtsformat unterstützt Greenbone den Vulnerability Remediation Workflow in verinice.

Hierbei spielen die Notizen (Notes-Objekte, siehe Kapitel Notizen) der Scan-Ergebnisse für das Verinice-ISM Plugin eine zentrale Rolle. Über die Notizen werden in verinice Objekte zu Schwachstellen für die Bearbeitung angelegt. Gibt es zu einem Scan-Task keine Notizen, so werden lediglich die Assets übernommen sowie der Gesamt Schwachstellen-Bericht. Ausschließlich solche Schwachstellen die mit einer Notiz versehen sind werden in verinice auch als Schwachstelle übernommen. Damit können Sie den Import feingranular steuern.

Bemerkung

Warum werden nur dann Schwachstellen übertragen, wenn sie über eine Notiz verfügen?

Während des gesamten Prozesses zur Bearbeitung der Schwachstellen sollte es nur einen einzigen Zeitpunkt geben, wo die Entscheidung gefällt wird, ob eine Schwachstelle behoben werden muss oder toleriert werden kann. Diese Entscheidung muss im Rahmen des Vulnerability Managements fallen indem die Schwachstellen entsprechend markiert werden.

Das Ziel des Remediation Workflows ist die Lösung der vorher festgelegten Probleme. Innerhalb des Remediation Workflows darf nicht mehr die Entscheidung fallen, ob ein Problem toleriert werden darf.

Anschließend müssen Sie Ihren Bericht als Verinice ISM-Report speichern. Sie erhalten eine .vna Datei. Hierbei handelt es sich um ein ZIP-Archiv mit den Daten des GSM-Scans.

Starten Sie verinice für den Import. In verinice öffnen Sie die ISM Ansicht. Importieren Sie den Katalog Implementation Assistance for ISO27001. Erzeugen Sie eine Organisation. Anschließend sollte der Bildschirm ähnlich der Abbildung Verinice bietet eine ISM Perspektive. aussehen.

_images/veriniceism.png

Verinice bietet eine ISM Perspektive.

22.2.1.1. Import des ISM-Scans

Wählen Sie in der verinice Oberfläche die Import-Funktion im Informationssicherheitsmodell aus.

_images/ismimport.png

Der Import-Button befindet sich im Fenster Informationssicherheitsmodell.

Wählen Sie nun Ihren ISM-Report aus. Die restlichen Parameter können auf ihren Default-Einstellungen verbleiben.

_images/itgreport.png

Wählen Sie im Dialog Ihren Report aus.

Die Ergebnisse des ISM-Reports wurden importiert und können in Verinice ausgeklappt werden. Dabei wurden nur die Ergebnisse importiert, die im GSM-Bericht mit Notizen versehen wurden.

_images/ismunfold.png

Über das Setzen der Notizen können Sie den Import der Schwachstellen steuern.

Der Prozess zur Verfolgung von Schwachstellen für die importierte Organisation gliedert sich in zwei Unterprozesse:

  • Erzeugung von Aufgaben

  • Beheben von Schwachstellen

22.2.1.2. Erzeugung von Aufgaben

Vor dem Erzeugen von Aufgaben müssen die Daten in der Organisation mit den folgenden Schritten vorbereitet werden:

  • Nach dem ersten Import einer Organisation, muss diese aus der Gruppe der importierten Objekte auf die oberste Ebene verschoben werden. Schneiden Sie dazu die Organisation aus und fügen Sie diese auf der höchsten Ebene wieder ein.

    _images/ismcut.png

    Die importierte Organisation muss auf die höchsten Ebene verschoben werden.

  • Die Assets und Controls müssen gruppiert werden. Wählen Sie im Kontextmenü der obersten Asset- und Control-Gruppe die Funktion Gruppiere mit Tags... aus. In der Abbildung Die Assets wurden bereits gruppiert. wurde dies bereits für die Assets durchgeführt.

    _images/ismgroup.png

    Die Assets wurden bereits gruppiert.

  • Allen Asset-Gruppen muss eine verantwortliche Person zugewiesen werden. Verknüpfen Sie dazu eine Person mit einer oder mehreren Asset-Gruppen. Hierzu legen Sie die Personen an und verknüpfen diese mit Drag&Drop. Die erfolgreiche Verknüpfung wird im Fenster Relations angezeigt.

    _images/ismrelation.png

    Die Verknüpfungen einzelner Objekte lassen sich im Relations Fenster nachkontrollieren.

  • Nachdem allen Asset-Gruppen eine verantwortliche Person zugeordnet wurde, kann über das Kontextmenü der Organisation der Prozess zum Beheben von Schwachstellen gestartet werden. Wählen Sie aus dem Kontextmenü einer Organisation Aufgaben Greenbone: Start Schwachstellenverfolgung. Zuerst wird geprüft, ob allen Asset-Gruppen eine Person zugeordnet und ob Assets und Controls gruppiert sind. Das Ergebnis der Überprüfung wird in einem Dialog angezeigt. Der Benutzer kann fortfahren und Aufgaben erzeugen oder die Erzeugung abbrechen.

22.2.1.3. Beheben von Schwachstellen

Die erzeugten Aufgaben können mit Hilfe des Aufgaben-Views oder des Webfrontends in der Version verinice.PRO (unter: ISO 27000 Aufgaben) bearbeitet werden. Die Aufgabe zum Beheben von Schwachstellen hat den Titel Schwachstellen beheben. Eine Aufgabe enthält Controls, Szenarios und Assets, die mit einer Control-Gruppe verknüpft sind und zu einer verantwortlichen Person gehören.

Dieser Vorgang erfolgt nun in den folgenden Schritten:

  • Die verantwortliche Person muss nun die Schwachstelle für alle Assets beheben.

  • Wenn der Termin für die Aufgabe Schwachstellen beheben abläuft, wird per E-Mail eine Erinnerung an die verantwortliche Person verschickt.

  • Nach Abschluss einer Aufgabe mit dem Titel Schwachstellen beheben, werden alle Verknüpfungen zwischen Assets und Szenarios, die einer Aufgabe zugeordnet waren, gelöscht.

  • Ein Control wird als umgesetzt markiert, wenn dem Szenario keine Assets mehr zugeordnet sind. Wenn noch andere Verknüpfungen zu Assets bestehen, wird der Status eines Controls als teilweise markiert. Anschließend wird der Prozess beendet.

22.2.2. IT-Grundschutz

Greenbone stellt eine spezielle Konfiguration (IT Security Baseline Scan einschließlich Discovery für verinice) als auch ein IT Security Baseline Reportformat (Verinice ITG) speziell für die Anbindung an verinice zur Verfügung.

Für die optimalen Ergebnisse sollte diese Scan-Konfiguration importiert werden. Das Berichtsformat wird mit der GSM ausgeliefert. Ein manueller Import des Berichtsformats ist daher nicht mehr erforderlich.

Für die optimalen Ergebnisse im Scan, ist es hilfreich, einen authentifizierten Scan durchzuführen (siehe Abschnitt Authentifizierter Scan).

Sobald der Scan abgeschlossen ist, kann das Ergebnis mit dem verinice ITG Format exportiert werden. Eine Datei mit der Endung .vna wird hierbei erzeugt. Dies ist ein ZIP-Archiv mit den Ergebnissen des Scans. Diese Datei kann direkt in verinice geöffnet werden.

Im Folgenden verwenden wir für die Übersichtlichkeit einen Scan, in dem nur ein Host gescannt wurde.

Öffnen Sie verinice und wechseln Sie in die IT Security Baseline Ansicht (siehe Abbildung Verinice öffnet den bereits modellierten IT-Verbund.). Falls noch kein IT Bond erzeugt wurde, ist die mittlere Spalte noch leer.

_images/verinice-start.png

Verinice öffnet den bereits modellierten IT-Verbund.

22.2.2.1. Import des ITG-Scans

Wählen Sie in der verinice Oberfläche die Import-Funktion im Grundschutz-Modell aus.

_images/itgimport.png

Der Import-Button befindet sich im Fenster BSI-Modell.

Wählen Sie nun Ihren ITG-Report aus. Die restlichen Parameter können auf ihren Default-Einstellungen verbleiben.

_images/itgreport.png

Wählen Sie im Dialog Ihren Report aus.

Die Ergebnisse des ITG-Reports wurden importiert und können in den Verinice ausgeklappt werden.

_images/veriniceunfold.png

Die importierten Daten können in verinice ausgeklappt werden.

Die importierten Objekte sind nach ihrem Ziel im GSM oder ihrer IP-Adresse benannt. Jedes der importierten Objekte besitzt ein Tochterobjekt GSM result mit den Maßnahmenergebnissen des Scans.

Nun können Sie die IT-Grundschutz-Module hinzugefügt werden. Dazu wählen Sie den Server mit einem Rechts-Mausklick aus. Im Kontext-Menü wählen Sie Greenbone: Bausteine automatisch zuordnen. Verinice wird nun auf Grund der von dem GSM gesetzten Tags automatisch die richtigen Bausteine für Modellierung des Systems auswählen.

_images/verinicemodule.png

Die IT-Grundschutzbausteine können nun automatisch gewählt werden.

Nun können Sie die Ergebnisse des Scans auf den Maßnahmenkatalog übertragen. Hierzu markieren Sie das Server-Objekt und rufen im Kontextmenü die Funktion Greenbone. Automatischer Basis-Sicherheitscheck auf.

22.3. Nagios

Nagios kann die Ergebnisse eines Scans als zusätzlichen überwachten Dienst in seiner Übersicht anzeigen. In diesem Fall werden die gescannten Systeme automatisch mit den überwachten Systemen verknüpft. Somit stehen die Scan-Ergebnisse auch für eine Alarmierung über Nagios zur Verfügung.

_images/integration_nagios_2000x1125.png

Wenn Nagios mit dem GSM verknüpft wird, übernimmt Nagios die Steuerung. Nagios prüft automatisch regelmäßig die neuesten Scan Ergebnisse von dem Greenbone Security Manager. Dies erfolgt mithilfe des Nagios Plugins “check_omp”.

Im Folgenden erhalten Sie Schritt für Schritt die Anweisungen um den GSM mit Nagios als Teil der Open Monitoring Distribution <http://omdistro.org/>`_(:index:`OMD) zu verbinden. Andere Produkte wie Icinga, Centreon etc. erfordern möglicherweise kleine Anpassungen dieser Anleitung.

_images/multisite.png

Die Konfiguration erfolgt am Beispiel einer leeren Beispiel-Site.

22.3.1. Konfiguration des GSM-Nutzers

Für den Zugriff auf die Appliance benötigt das Plugin einen Benutzer zur Anmeldung.

Auf dem GSM muss für diesen Benutzer ein oder mehrere Scan-Ziele mit allen Rechnern, deren Sicherheitsstatus überwacht werden soll, erzeugt werden. Die folgende Beispielkonfiguration geht von nur einem relevanten Ziel aus. Grundsätzlich ist es jedoch möglich, komplexe Konfigurationen mit mehreren Zielen und mehreren GSMs umzusetzen.

Das GSM Benutzerkonto für die Zugriffe des Nagios Plugins muss der Eigentümer der relevanten Scan-Ziele sein oder zumindest über uneingeschränkte Leserechte auf diese Scan Ziele verfügen. Die Aufgaben sollten mithilfe eines Zeitplans automatisch in regelmäßigen Abständen ausgeführt werden.

Zusätzlich ist ein Netzwerkzugriff via OMP auf die GSM Appliance erforderlich. Hierzu muss der OMP Zugriff in dem GOS-Admin-Menu auf der Kommandozeile aktiviert werden (siehe Abschnitt Aktivieren des OMP Protokolls und OpenVAS Management Protocol (OMP)).

22.3.2. Konfiguration des Plugins

Greenbone stellt das Plugin check_omp bereit. Dieses Nagios Plugin kann von der Monitoring Lösung genutzt werden. Weitere Informationen über das Plugin und der Download Link sind in dem Abschnitt check_omp zu finden.

Kopieren Sie das Plugin in das Verzeichnis /opt/omd/sites/site/local/lib/nagios/plugins/.

Prüfen Sie zunächst, ob das Plugin den GSM über das Netzwerk erreichen kann, OMP aktiviert wurde und der Benutzer richtig angelegt wurde. Ersetzen Sie im folgenden Aufruf die IP-Adresse durch die Adresse Ihres GSM und geben Sie den Benutzernamen und das Kennwort ein, welches Sie angelegt haben.

omd-host# /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp -H 192.168.255.12 \
-u omd -w password --ping
OMP OK: Alive and kicking!

Prüfen Sie anschließend, ob Sie auch Zugriff auf die Daten haben. Dies geschieht am einfachsten auf der Kommandozeile:

omd-host# /opt/omd/sites/<site>/local/lib/nagios/plugins/check_omp -H 192.168.255.12 \
-u omd -w password --status -T KVM-Hosts --last-report -F 192.168.255.199
OMP CRITICAL: 4 vulnerabilities found - High : 1 Medium : 1 Low : 2
|High=1 Medium=1 Low=2
_images/host-tags.png

Der Host-Tag kennzeichnet die Rechner, die von dem GSM überwacht werden.

_images/rule.png

Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM.

Sofern diese Tests erfolgreich waren, können Sie den Check in OMD über das Web-Administrationsfrontend WATO einbauen. Wechseln Sie hierzu auf die Weboberfläche Multisite für Ihre OMD-Site (siehe Abbildung Die Konfiguration erfolgt am Beispiel einer leeren Beispiel-Site.).

Legen Sie zunächst einen Host-Tag (Abbildung Der Host-Tag kennzeichnet die Rechner, die von dem GSM überwacht werden.) an. Dieser kennzeichnet die Hosts, die auch von der GSM Appliance gescannt werden. Hierzu rufen Sie im linken Menü die Host Tag auf und erzeugen hier einen neuen Tag.

Nun erstellen Sie eine neue Regel (Abbildung Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM.), die den Host-Tag auswertet. Hierzu wechseln Sie im linken Menü in Host & Service Parameters. Wählen Sie hier Active Checks. Im nächsten Menü wählen Sie Classical Active and Passive Nagios Checks. Dann erzeugen Sie eine neue Regel (Abbildung Diese Regel prüft für jeden Host mit dem Tag Monitored by GSM den Status im GSM.) im aktuellen Ordner (Create Rule in Folder Main Directory). Achten Sie hierbei darauf, den folgenden Aufruf zu verwenden:

$USER2$/check_omp -H <gsm -ip> -u <user> -w <password> --status -T <report > \
--last --report -F $HOSTADDRESS$

Nun müssen Sie noch den Host anlegen bzw. so anpassen, dass er über das entsprechende Host-Tag verfügt (siehe Abbildung Jeder von dem GSM gescannte Host muss nun das Tag erhalten.).

_images/omd-host.png

Jeder von dem GSM gescannte Host muss nun das Tag erhalten.

Nachdem Sie die Änderungen in der Multisite aktiviert haben (Activate Changes) stehen die Status-Informationen in der grafischen Oberfläche zur Verfügung.

_images/omd-status.png

Der GSM-Status wird nun in der Multisite angezeigt.

Damit der Benutzername und das Kennwort nicht in der grafischen Oberfläche angezeigt werden, können diese in der Datei /opt/omd/sites/site/etc/nagios/resource.cfg als Variablen hinterlegt werden:

############################################
# OMD settings, please use them to make your config
# portable, but dont change them
$USER1$=/omd/sites/produktiv/lib/nagios/plugins
$USER2$=/omd/sites/produktiv/local/lib/nagios/plugins
$USER3$=produktiv
$USER4$=/omd/sites/produktiv
############################################
# set your own macros here:
$USER5$=omd
$USER6$=kennwort

Nun können Sie den Benutzernamen und das Kennwort in WATO durch die Variablen USER5 bzw. USER6 ersetzen.

22.4. Sourcefire Defence Center

Das Sourcefire Intrusion Prevention System (IPS) ist eine der führenden Lösungen für die Einbruchserkennung und -abwehr in Rechnernetzen. Als Network Intrusion Detection System (NIDS) hat es die Aufgabe, Angriffe gegen das Netz zu erkennen, zu melden und abzuwehren.

Das Sourcefire IPS benötigt für eine korrekte Erkennung und Zuordnung der Angriffe möglichst exakte Informationen über die im Netz vorhandenen Systeme, dort installierte Applikationen sowie deren mögliche Schwachstellen. Hierzu hält das Sourcefire System eine eigene Asset-Datenbank vor, die über den GSM mit Informationen ergänzt werden kann. Außerdem kann das Sourcefire System bei Verdachtsmomenten einen automatischen Scan anstoßen.

Es existieren zwei Kopplungsmethoden:

  1. Automatischer Daten-Transfer von GSM nach NIDS/IPS

    Sind GSM und NIDS/IPS entsprechend konfiguriert, so ist der Datentransfer von GSM nach NIDS/IPS so einfach nutzbar, wie jede andere Alert-Funktionalität beim GSM. Nach Abschluss eines Scans wird entsprechend der gewünschten Kriterien das Scan-Ergebnis als Alert automatisch an das NIDS/IPS übertragen. Läßt man diesen Scan-Auftrag jede Woche automatisch ausführen, erhält man ein vollautomatisiertes Melde- und Optimierungssystem.

  2. Aktive Steuerung des GSM durch NIDS/IPS

    Beim Betrieb des NIDS/IPS können Verdachtsmomente zu Systemen mit besonderer Gefährdung entstehen. Das NIDS/IPS kann in einem solchen Fall den GSM anweisen, das System zu überprüfen [1].

Um diese Kopplung in den Varianten 1 oder 2 zu nutzen, muss sowohl das GSM als auch das Sourcefire Defense Center vorbereitet werden. Auf dem GSM müssen Sie ein Report Plugin installieren und auf dem Defense Center müssen Sie die Annahme der Daten erlauben.

22.4.1. Installation des Report Export Plugins

Das Report Plugin erhalten sie auf der Greenbone Webseite unter http://greenbone.net/technology/report_formats.de.html. Laden Sie das Plugin herunter und installieren Sie es in dem GSM. Denken Sie daran, nach dem Import das Plugin zu verifizieren und zu aktivieren (siehe Abschnitt Import weiterer Report Plugins).

_images/newformat.png

Das Report Plugin bereitet die Daten für Sourcefire auf.

22.4.2. Konfiguration des Host-Input-API-Clients

_images/host-input-api1.png

Der GSM muss in dem Defense Center angelegt werden.

Melden Sie sich auf Ihrem Sourcefire Defense Center an und erzeugen Sie einen Host- Input-Client. Die Host-Input-API ist die Schnittstelle, über die das Defense Center Daten für seine Asset Datenbank von anderen Anwendungen annimmt. Sie finden diese Funktion in der Weboberfläche des Defense Centers unter System->Local->Registration. Dort wechseln Sie zur Registerkarte Host Input Client. Hier legen Sie die GSM-Appliance an. Wichtig ist, dass Sie hier die IP-Adresse der Appliance eintragen, mit der sich die Appliance mit dem Defense Center verbindet. Diese Verbindung ist TLS-verschlüsselt. Das Defense-Center erzeugt automatisch einen privaten Schlüssel und ein Zertifikat. In dem Zertifikat wird die angegebene IP-Adresse als Common Name eingetragen und bei dem Verbindungsaufbau des Clients geprüft. Wenn der Client eine andere IP-Adresse nutzt, schlägt die Verbindung fehl.

Die erzeugte PKCS12-Datei wird optional mit einem Kennwort gesichert.

Anschließend wird das Zertifikat und der Schlüssel erzeugt und als PKCS12-Datei zum Download angeboten. Laden Sie diese Datei herunter.

_images/host-input-api2.png

Die erzeugte PKCS12 Datei muss heruntergeladen werden.

22.4.3. Konfiguration des Alerts auf dem GSM

Nun müssen Sie auf dem GSM einen entsprechenden Alert einrichten. Hierzu wechseln Sie auf Configuration/Alerts. Geben Sie hier die Daten des Sourcefire-Systems und die PKCS12-Datei an.

_images/sf-connector.png

Die PKCS12-Datei nutzt der Connector zur Authentifizierung.

Wenn Sie bei der Erzeugung des Clients ein Kennwort angegeben haben, müssen Sie die PKCS12-Datei vor dem Laden auf dem GSM entschlüsseln. Hierzu können Sie unter Linux das folgende Kommando nutzen:

$ openssl pkcs12 -in encrypted.pkcs12 -nodes -out decrypted.pcks12
Enter Import Password : password
MAC verified OK
$

Fußnoten

[1]

Diese Steuerung existiert im Moment noch nicht als fertige Remediation für das Sourcefire System, kann jedoch via OMP realisiert werden (siehe Kapitel chapter OpenVAS Management Protokoll (OMP)).

22.5. Splunk

Der Greenbone Security Manager kann die Scan Ergebnisse auch an eine Splunk Enterprise Installation zur weiteren Analyse und Korrelation weiterleiten.

Die Splunk Anbindung benötigt die Greenbone-Splunk-App auf dem Splunk Server. Der Download und die Installation der App werden in dem Abschnitt Splunk Anwendung erläutert.

Sobald die App auf dem Splunk Server installiert wurde, kann der GSM für den Versand der Ergebnisse an den Splunk Server konfiguriert werden. Dieser Abschnitt betrachtet diese Konfiguration.

22.5.1. Konfiguration der Splunk Benachrichtigung

Für die Konfiguration rufen Sie im Menü Configuration den Unterpunkt Alerts auf. Erzeugen Sie eine neue Benachrichtigung mit dem Icon new.

Erzeugen Sie die Benachrichtigung und geben Sie einen Namen und einen Kommentar an. Wählen Sie das Ereignis und die Bedingungen für die Weiterleitung der Ergebnisse an den Splunk Server. Die Default-Einstellungen sind in den meisten Umgebungen wahrscheinlich passend.

Scrollen Sie herunter zur Option Send to host. Geben Sie hier die IP-Adresse des Splunk Servers und den Port der Greenbone App an. Dies ist 7680/tcp per Default. Diese Einstellung kann in der Splunk Weboberfläche unter Settings->Data inputs->TCP geprüft werden (siehe auch Abschnitt Splunk Anwendung). Wählen Sie das XML Format.

_images/splunk5.png

Konfiguration der Splunk Benachrichtigung.

Diese Benachrichtigung kann nun den entsprechenden Aufgaben zugeordnet werden. Rufen Sie Scan Management auf und erzeugen Sie eine neue Aufgabe mit der Benachrichtigung. Die Benachrichtigung kann auch bereits bestehenden Aufgaben hinzugefügt werden, da sie das Scan-Verhalten nicht verändert.

Für Testzwecke können auch existierende Berichte von der Benachrichtigung versandt werden. Rufen Sie hierzu das Scan Management gefolgt von Reports auf. Wählen Sie einen existierenden Bericht und wechseln Sie in die Summary and Download Ansicht. Hier können Sie den Bericht nun von jeder beliebigen Benachrichtigung verarbeiten lassen.

_images/splunk6.png

Verarbeitung eines existierenden Berichts durch eine Benachrichtigung.

22.5.2. Zugriff auf die Informationen in Splunk

Um auf die Informationen in Splunk zuzugreifen, wechseln Sie in das Greenbone Dashboard. Das Greenbone Dashboard in der Splunk Oberfläche wird die in den letzten 7 Tagen gefundenen Schwachstellen anzeigen.

_images/splunk7.png

Das Greenbone Dashboard bietet einen schnellen Überblick.

Da die von dem GSM weitergeleiteten Informationen durch Splunk indiziert werden, können Sie nach beliebigen Informationen mit der Suchansicht suchen.

_images/splunk8.png

Der Splunk Server unterstützt komplexe Suchen.

Einige unterstützte Indices sind:

  • host
  • source, sourcetype
  • date_hour, date_minute, date_month, date_year, date_mdate, date_wday, date_zone
  • VulnerabilityResultNvtCVE
  • VulnerabilityResultNvtCVSS
  • VulnerabilityResultQod
  • VulnerabilityResultSeverity
  • VulnerabilityResultThreat