IBM BigFix -自动化辅助补丁

本文详细介绍了使用IBM BigFix的自动化辅助补丁提供的工作流自动化在InsightVM特性。

提醒

InsightVM自动化工作流需要安装和激活协调器为了与您的外部工具进行通信。

如果您仍然需要部署协调器,请参阅Orchestrator帮助页面安装说明。

本内容涵盖以下主题:

目标

此工作流是为希望利用IBM BigFix工具通过自动化协助简化漏洞管理过程的InsightVM用户设计的。

它是如何工作的

该工作流消耗来自InsightVM的漏洞和资产信息,以形成查询,检查BigFix的相关补丁(在BigFix中称为“fixlets”)和资产。如果找到匹配的fixlet和资产,工作流将提示用户选择以下两个选项之一:

  • 使用Multiple Action Group立即部署相关的修复程序
  • 将修复程序打包到基线中,以便稍后部署

触发行为

当Insight平台从您的环境接收到新的漏洞评估数据时,工作流触发器会dota2必威联赛做出响应。换句话说,新配置的工作流不会基于网络的当前状态启动,即使当前状态处于您定义的触发器范围内。

在此上下文中,工作流程触发器响应数据上传,该数据上载包含由您的安全控制台发起的已完成的漏洞扫描,并完成了您的洞察代理人报告的已完成的漏洞评估。必威体育app登录洞察力平dota2必威联赛台在这些数据上传发生并启动资格的工作流程时检查与工作流相关的触发条件。

如果您在触发器事件中遇到延迟或停止,则可能是由于平台通信问题。检查配置与Insight平台的通信dota2必威联赛页面验证您的白名单设置是否正确。

限制

此工作流程在以下限制下运行:

  • 工作流不会定期批量处理要发送到BigFix的补丁。
  • 如前所述引发行为,工作流仅在触发事件时向BigFix发送新的漏洞和资产。
  • 工作流只能基于BigFix中可用的内容实现补丁。
  • 由InsightVM识别的漏洞,如果在BigFix中没有相关补丁,则不会采取任何行动。
  • 包含在InsightVM工作流范围中的资产也必须与BigFix中的可用资产相关联。
  • 如果InsightVM包含了BigFix不知道的资产,则不会对这些资产采取任何行动。
  • 被InsightVM识别为脆弱的资产也必须被BigFix识别为脆弱资产,否则将不采取任何行动。

工作流过程深入

这个工作流程通过以下步骤来实现它的目标:

  1. 触发基于资产和漏洞过滤器的工作流
  2. 将触发数据转换为相关性字符串
  3. 使用关联字符串查询BigFix
  4. 找到拾取器时的人为决策选项

触发基于资产和漏洞过滤器的工作流

您在工作流向导期间配置的资产和漏洞过滤器共同充当启动工作流的触发器。当在状态更改时检测到合格数据时,InsightVM将此触发数据打包到工件中。该工件包括关于触发器数据的一般信息,如描述、时间戳和资产数据。

将触发数据转换为相关性字符串

然后,工作流程将资产和漏洞数据从触发器传递给将其转换为相关性字符串的BigFix操作。

什么是“关联”字符串?

“相关性”是专有语言的名称,BigFix使用它来确定资产是否需要一个或多个修复程序以保持遵从性。InsightVM工作流触发器数据必须转换为关联语言中的字符串,以便BigFix处理它。

关联字符串指示BigFix将重点放在已定义的InsightVM工作流触发器范围提供的资产和漏洞上。

使用关联字符串查询BigFix

在工作流将触发器数据转换为BigFix可以读取的Relevance字符串后,工作流就会查询BigFix,以获取与工作流触发器中包含的漏洞相关的CVE代码相对应的任何适用的修复程序:

  • 如果fixlets被发现,工作流程提示用户选择立即部署Fixlet,或将它们包装在基线中以供稍后部署。
  • 如果fixlets是没有找到,工作流创建一个工件来记录这一点。

如果没有找到适用的修复程序,工作流将终止。

找到拾取器时的人为决策选项

如果工作流在BigFix中找到可应用的修复程序,则会提示用户做出以下决策之一。

立即部署

如果用户决定立即将Fixlet部署到包含资产,则Workflow在BigFix中创建一个名称的多个动作组Rapid7 InsightVM: AutoPatch ActionGroup。Bigfix此时将在目标资产上部署Fixlets。

后续部署基线

如果用户决定延迟部署修复程序,工作流就会在BigFix中使用名称创建一个BaselineRapid7 InsightVM: AutoPatch基线:. .。您的BigFix管理员可以在以后使用此基线部署修复程序。

InsightVM工作流配置说明

使用使用的新工作流程使用IBM BigFix的自动化辅助补丁InsightVM中的模板,请按照下列步骤操作:

  1. 配置工作流触发器
  2. 选择或配置连接
  3. 命名并激活您的工作流

配置工作流触发器

首先,您需要配置启动工作流的触发条件。

要启动向导并配置工作流触发器,请执行以下操作:

  1. 在InsightVM中,单击自动化选项卡在左侧导航菜单上。
  1. 在“自动化”页面,单击+新的自动化在右上角。出现自动化配置向导。
  2. 选择工作流并点击继续
  3. 单击脆弱性触发型单选按钮。
  • 使用IBM BigFix的自动化辅助补丁模板需要此触发器类型。
  1. 申请一个资产过滤器和一个漏洞过滤器来细化你的触发器范围。点击继续准备好了。
  • 这些过滤器确定工作流向Bigfix的资产以及需要进行何种资产的漏洞。
  1. 选择使用IBM BigFix的自动化辅助补丁下拉列表中的工作流模板。将显示所有单个工作流步骤的预览。点击继续在这个步骤列表的底部。

选择或配置连接

接下来,您需要选择到BigFix工具的现有连接,或者配置工作流要使用的新连接。

创建一个新连接:

  1. 选择新连接从下拉列表。将出现连接创建表单。
  2. 给你的新连接起一个名字。您将能够在未来的工作流向导中选择此连接。
  3. 选择协调器从下拉列表中可以访问您的BigFix工具。
  4. 从下拉列表中选择与BigFix工具关联的现有凭据,或单击创建新的凭据配置一个新的。
  • 在InsightVM自动化工作流程中,“凭据”是用于访问BigFix软件的帐户的用户名和密码对。

说明—凭据帐户要求

要运行此工作流程,您的凭据帐户必须在BigFix软件上具有管理员权限和读/写访问。具体而言,该帐户必须具有以下权限:

  • 可以创建动作
  • 可以向多台计算机发送刷新
  • 可以提交查询
  • 自定义内容
  • post操作行为
  • 动作脚本命令
  • 可以使用REST API
  1. 在“URL”字段中,输入承载BigFix软件的服务器的完整主机名URL。
  2. 在“SSL验证”字段中,选择真正的从下拉列表。
  • 虽然真正的这里是您的首选,您可以选择吗如果您使用自签名证书。
  1. 点击保存联系当完成。
  2. 选择连接后,单击继续

命名并激活您的工作流

现在您已经配置了工作流触发器和连接,为您的工作流命名,以便您可以在“工作流”表中识别它。点击启用完成工作流向导。

您的工作流准备好了!

您现在应该已经成功地配置了工作流使用IBM BigFix的自动化辅助补丁模板。

故障排除

看到IBM BigFix部分排除失败的作业帮助页面对于常见的故障排除方案和解决方案。

资源