IBM BigFix -自动化辅助补丁

本文详细介绍了使用IBM BigFix的自动化辅助补丁提供的工作流自动化在InsightVM特性。

提醒

InsightVM自动化工作流需要安装和激活协调器以便与外部工具进行沟通。

如果您仍然需要部署协调器,请参阅协调器帮助页面安装说明。

本内容涵盖以下主题:

目标

此工作流是为希望利用IBM BigFix工具通过自动化协助简化漏洞管理过程的InsightVM用户设计的。

它是如何工作的

该工作流消耗来自InsightVM的漏洞和资产信息,以形成查询,检查BigFix的相关补丁(在BigFix中称为“fixlets”)和资产。如果找到匹配的fixlet和资产,工作流将提示用户选择以下两个选项之一:

  • 使用Multiple Action Group立即部署相关的修复程序
  • 将修复程序打包到基线中,以便稍后部署

引发行为

当Insight平台从您的环境接收到新的漏洞评估数据时,工作流触发器会dota2必威联赛做出响应。换句话说,新配置的工作流不会基于网络的当前状态启动,即使当前状态处于您定义的触发器范围内。

在这种情况下,工作流触发器响应由您的安全控制台启动的完整漏洞扫描和由您的Insight Agents报告的完整漏洞评估组成的数据上传。必威体育app登录当这些数dota2必威联赛据上传发生时,Insight平台检查与工作流相关的触发条件,并启动符合条件的工作流。

请注意

如果您在触发器事件中遇到延迟或停止,则可能是由于平台通信问题。检查配置与Insight平台的通信dota2必威联赛页以验证白名单设置是否正确。

限制

该工作流在以下限制条件下运行:

  • 工作流不会定期批量处理要发送到BigFix的补丁。
  • 如前所述引发行为,工作流仅在触发事件时向BigFix发送新的漏洞和资产。
  • 工作流只能基于BigFix中可用的内容实现补丁。
  • 由InsightVM识别的漏洞,如果在BigFix中没有相关补丁,则不会采取任何行动。
  • 包含在InsightVM工作流范围中的资产也必须与BigFix中的可用资产相关联。
  • 如果InsightVM包含了BigFix不知道的资产,则不会对这些资产采取任何行动。
  • 被InsightVM识别为脆弱的资产也必须被BigFix识别为脆弱资产,否则将不采取任何行动。

工作流过程深入

这个工作流程通过以下步骤来实现它的目标:

  1. 触发基于资产和漏洞过滤器的工作流
  2. 将触发器数据转换为关联字符串
  3. 使用关联字符串查询BigFix
  4. 发现修复时的人工决策选项

触发基于资产和漏洞过滤器的工作流

您在工作流向导期间配置的资产和漏洞过滤器共同充当启动工作流的触发器。当在状态更改时检测到合格数据时,InsightVM将此触发数据打包到工件中。该工件包括关于触发器数据的一般信息,如描述、时间戳和资产数据。

将触发器数据转换为关联字符串

然后,工作流将资产和漏洞数据从触发器传递到BigFix操作,该操作将其转换为关联字符串。

什么是“关联”字符串?

“相关性”是专有语言的名称,BigFix使用它来确定资产是否需要一个或多个修复程序以保持遵从性。InsightVM工作流触发器数据必须转换为关联语言中的字符串,以便BigFix处理它。

关联字符串指示BigFix将重点放在已定义的InsightVM工作流触发器范围提供的资产和漏洞上。

使用关联字符串查询BigFix

在工作流将触发器数据转换为BigFix可以读取的Relevance字符串后,工作流就会查询BigFix,以获取与工作流触发器中包含的漏洞相关的CVE代码相对应的任何适用的修复程序:

  • 如果fixlets被发现,工作流提示用户选择立即部署补丁,或者将它们打包到基线中以供以后部署。
  • 如果fixlets是没有找到,工作流创建一个工件来记录这一点。

请注意

如果没有找到适用的修复程序,工作流将终止。

发现修复时的人工决策选项

如果工作流在BigFix中找到可应用的修复程序,则会提示用户做出以下决策之一。

立即部署

如果用户决定立即将修复程序部署到包含的资产中,那么工作流将在BigFix中创建一个具有名称的Multiple Action GroupRapid7 InsightVM: AutoPatch ActionGroup.此时,BigFix将在您的目标资产上部署修复程序。

后续部署基线

如果用户决定延迟部署修复程序,工作流就会在BigFix中使用名称创建一个BaselineRapid7 InsightVM: AutoPatch基线:. ..您的BigFix管理员可以在以后使用此基线部署修复程序。

InsightVM工作流配置说明

要配置新工作流,请使用使用IBM BigFix的自动化辅助补丁在InsightVM中创建模板,请按照以下步骤操作:

  1. 配置工作流触发器
  2. 选择或配置连接
  3. 命名并激活您的工作流

配置工作流触发器

首先,您需要配置将启动工作流的触发器条件。

要启动向导并配置工作流触发器,请执行以下操作:

  1. 在“InsightVM”中,单击自动化选项卡在左侧导航菜单上。
  1. 在“自动化”页面,单击+新的自动化在右上角。将出现自动化配置向导。
  2. 选择工作流并点击继续
  3. 单击脆弱性触发型单选按钮。
  • 使用IBM BigFix的自动化辅助补丁模板需要此触发器类型。
  1. 应用一个资产过滤器和一个漏洞过滤器来细化你的触发器范围。点击继续当准备好了。
  • 这些过滤器决定工作流将哪些资产发送给BigFix,以及这些资产上的哪些漏洞需要修复。
  1. 选择使用IBM BigFix的自动化辅助补丁下拉列表中的工作流模板。将显示所有单个工作流步骤的预览。点击继续在这个步骤列表的底部。

选择或配置连接

接下来,您需要选择到BigFix工具的现有连接,或者配置工作流要使用的新连接。

创建一个新连接:

  1. 选择新连接从下拉列表。将出现连接创建表单。
  2. 给你的新连接起一个名字。您将能够在未来的工作流向导中选择此连接。
  3. 选择协调器可以从下拉列表访问BigFix工具。
  4. 从下拉列表中选择与BigFix工具关联的现有凭据,或单击创建新的证书配置一个新的。
  • 在InsightVM自动化工作流程中,“凭据”是用于访问BigFix软件的帐户的用户名和密码对。

说明—凭据帐户要求

要运行此工作流,您的凭据帐户必须具有BigFix软件的管理员权限和读写权限。具体来说,帐户必须具有以下权限:

  • 可以创建操作
  • 可以向多台计算机发送刷新
  • 可以提交查询
  • 自定义内容
  • post操作行为
  • 动作脚本命令
  • 可以使用REST API
  1. 在“URL”字段中,输入承载BigFix软件的服务器的完整主机名URL。
  2. 在“SSL验证”字段中,选择真正的从下拉列表。
  • 虽然真正的这里是您的首选,您可以选择吗如果您使用自签名证书。
  1. 点击保存联系当完成。
  2. 选择连接后,单击继续

命名并激活您的工作流

现在您已经配置了工作流触发器和连接,为您的工作流命名,以便您可以在“工作流”表中识别它。点击激活完成工作流向导。

您的工作流准备好了!

您现在应该已经成功地配置了工作流使用IBM BigFix的自动化辅助补丁模板。

进行故障排除

看到IBM BigFix部分的处理失败的任务帮助页面提供常见故障处理场景和解决方案。

资源