Comments 19
Добрый день. Спасибо за статью, очень интересно. Есть несколько вопросов.
1. Это работает только для linix-хостов? Можно ли подобное делать для Windows систем?
2. В данном случае мы определяем только уязвимости установленных пакетов. Есть ли возможность сгружать в заббикс данные от сетевого сканера? Т.е. видеть в дашборде дыры, которые образуются в результате miss configuration (открытые порты, слабый пароль и т.д.)?

Добрый день.
Да, сейчас плагин работает только с linux системами. Та как мы им решали свою задачу в рамках компании QIWI.
Добавить функционал сканирования Windows-систем, как и добавить отображение уязвимостей от сетевого сканера — идея интересная, но нужен заказчик :)

Ну а в целом, Zabbix-агент позволяет собирать информацию об установленных приложениях и самое главное их версиях (под Windows)?
С сайта через раздел Аудит не получается указать Windows в поле ОС, есть какая-то серверная валидация ввода?
Unknown operation system. Can't find comparator and splitter for packages

Для того, что бы это заработало с Windows нужно что-то большее чем написать агента/плагин?
Если есть путь отдать серверу Windows (версия — билд?) и список софта, и получить на это ответ по уязвимостям, то в принципе готов написать на powershell аналог того, что есть у вас на питоне для линукса.
Да, чтобы заработало сканирование Windows, необходимо реализовать поддержку и на стороне агента и на стороне Vulners API.
Команда:
>wmic product get name,version
выдаст список установленного ПО с именами и версиями, а заббикс-агент может запускать внешние скрипты, вывод которых отдавать заббикс-серверу…
К сожалению, эта команда охватывает не все установленное ПО:
C:\Utils>wmic product get name,version | find "SNMP"
C:\Utils>
C:\Utils>reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall /s | find "SNMP"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SNMP Informant Agent Standard Edition_is1

Здесь можно взять powershell-скрипт для получения списка установленного ПО: gallery.technet.microsoft.com/scriptcenter/Get-Software-Function-to-bd2e0204
Чем данный софт в целом отличается от Vulners Audit Scanner, тем что через Zabbix реализован?
Технологии и API полностью идентичные.
Отличается дашбордами, кнопкой «починить» и быстрой интеграцией в систему, если вы используете Zabbix как систему мониторинга.
На самом деле, я бы использовал для визуализации какую-нибудь Grafana. Данные для графиков/таблиц можно выдергивать через Zabbix-API. Получается отдельный интерфейс для безопасников, чтобы они не лазили в IT-шном заббиксе.

Grafana великолепна и ничего не мешает прикрутить её к существующему решению и не смотреть в дашборды Zabbix. Но веб-интерфейс Zabbix умеет выполнять fix-команды по запросу.
А еще zabbix-агент умеет работать сразу с несколькими экземплярами Zabbix-сервера. И можно для "безопасников" поставить отдельный экземпляр Zabbix-сервера, в который будут собираться только нужные им данные. И основной Zabbix "не захламлять" и найденные уязвимости не на виду.

У вас там есть поля для указания причины не устранения уязвимости ?

У вас там есть поля для указания причины не устранения уязвимости ?

Наверное стоит детальнее это прокомментировать. В интерфейсе это сейчас работает вот так:


  1. При Подтверждении проблемы нужно поставить галочку Close problem и в поле Message написать — почему мы решили проблему закрыть, а не обновлять пакет:
    Подтверждение


  2. После этого проблема будет считаться решенной (покрасится в зеленый цвет). И при наведении на нее будет показано то самое сообщение.
    Решено



Осталось сделать чтобы Zabbix Threat Control не игнорировал галочку Close problem, которая указывает что проблема более не актуальна и её "закрыли" вручную. Вот это сейчас в работе.

Индекс влияния — это количество затронутых уязвимым пакетом серверов, умноженное на CVSS-балл уязвимости. Зачастую бывает что уязвимость с не самым выскоким балом имеет гораздо большее распространение в инфраструктуре, и поэтому потенциально более опасна

Смею не согласиться. Допустим, у меня имеется 50 серверов с низким уровнем уязвимости и 1 сервер с критической уязвимостью. Из-за такого расчета индекса влияния на верхней позиции окажется строчка с 50 серверами, и, пока я буду устранять уязвимости на этих серверах (а ведь таких серверов/ПК может быть и гораздо больше), может произойти компрометация сервера через критическую уязвимость. Исходя из собственного опыта, в первую очередь я бы начал устранять критические уязвимости и уязвимости с высоким уровнем опасности, т.к. это занимает меньше времени и эффективнее снижает риски ИБ.

Да, вы все верно пишете!
Именно по этому мы в ZTC предлагаем группировку и по уязвимым серверам и по уязвимым пакетам.


  • Группировка по серверам отсортирована именно по максимальному баллу. Это позволяет видеть наиболее уязвимые сервера вверху списка.
  • Группировка по пакетам отсортирована по индексу влияния. Ну и балл уязвимого пакета тоже виден. При этом у вас есть понимание о масштабах распространения этого уязвимого пакета.

А далее вы сами можете выбирать: или обновлять наиболее уязвимвый сервер или же обновлять уязвимый пакет.

Спасибо за отличный инструмент. Скажите не удалось ни у кого, портировать это для Windows?

Only those users with full accounts are able to leave comments. Log in, please.