基于altstack及第三方应用的漏洞检测可读性报表输出方法技术

本发明专利技术公开基于altstack及第三方应用的漏洞检测可读性报表输出方法，涉及信息检测领域。该基于altstack及第三方应用的漏洞检测可读性报表输出方法，包括预研Saltstack安装配置、预研模块部署及平台配置和平台数据源配置。该基于altstack及第三方应用的漏洞检测可读性报表输出方法，将saltstack

【技术实现步骤摘要】
基于altstack及第三方应用的漏洞检测可读性报表输出方法


[0001]本专利技术涉及安全检测
，具体为基于altstack及第三方应用的漏洞检测可读性报表输出方法。

技术介绍

[0002]主机是否存在安全问题，与主机的操作系统及应用的版本直接相关。内部主机资产脆弱性问题一直依赖于扫描器的扫描，但由于内网网络结构的复杂性，很多的内网主机，扫描器是不可达的，因此，一直以来，对主机脆弱性的核查一直存在不完整不全面的弊端，安全厂间提出过在主机端安装agent方案，但由于推动落地难度大、成本高一直搁置。今年了解到水土 CT域资源池因其它业务需要，已对所有主机安装了saltstack的Minion端，并已实现了Master端的部署，通过前期预研已确认此通道(saltstack)可以被复用，解决资产脆弱性等历史问题。

技术实现思路

[0003](一)解决的技术问题
[0004]针对现有技术的不足，本专利技术公开了基于altstack及第三方应用的漏洞检测可读性报表输出方法，以解决上述
技术介绍
中提出的问题。
[0005](二)技术方案
[0006]为实现以上目的，本专利技术通过以下技术方案予以实现：基于altstack及第三方应用的漏洞检测可读性报表输出方法，包括预研Saltstack安装配置、预研模块部署及平台配置和平台数据源配置：
[0007]预研Saltstaek安装配置，如下步骤：
[0008]S1：安装saltstack master端；
[0009]S2：修改基本配置；
[0010]S3：Minion端安装；
[0011]S4：返回master端建立连接；
[0012]预研模块部署及平台配置，如下步骤：
[0013]S1：模块部署；
[0014]S2：解析规则和数据源配置；
[0015]平台数据源配置，如下步骤：
[0016]S1：在数据源管理中，对数据源进行配置；
[0017]S2：启用监听脚本。
[0018]优选的，所述预研Saltstack安装配置S3中下载安装salt
‑
windows
‑
minion端(widows端)，安装完成后，在服务中会看到有一个salt
‑
minion的服务，处于自动启动状态，然后Linux端。
[0019]优选的，所述预研Saltstack安装配置S4返回master端建立连接如果收不到
minion端，查看minion和master端配置是否正确，然后关闭防火墙和SElinux，重启master端和minion端。
[0020]优选的，所述预研模块部署S1中预研模块部署及平台配置文件中的“/etc”为监听路径。
[0021]优选的，所述平台数据源配置S2中使用enable参数可以控制脚本启动那些监听器，参数为空时默认启用所有的监听器，同时可以配置相关的采集间隔，例如
“‑‑
enable service：60：43200，user：60：43200”表示启动服务监听和用户监听，并设置服务监听每隔60秒上报一次差异，每隔43200秒(12小时)全量上报一次。
[0022]本专利技术公开了基于altstack及第三方应用的漏洞检测可读性报表输出方法，其具备的有益效果如下：
[0023]该基于altstack及第三方应用的漏洞检测可读性报表输出方法，将saltstack
‑
master端收集到的数据对接到态势感知平台，将数据与漏洞情报库进行比对，输出一份具有可读性的主机安全问题列表，提高业务主机脆弱性的分析完整性和准确率。
附图说明
[0024]图1为本专利技术整体实施流程图；
[0025]图2为本专利技术saltstack落地方案流程图；
[0026]图3为本专利技术报表生成流程图。
具体实施方式
[0027]结合说明书附图1
‑
3，基于altstack及第三方应用的漏洞检测可读性报表输出方法，包括预研Saltstack安装配置、预研模块部署及平台配置和平台数据源配置：
[0028]需求范围一新场景，需求场景，识别攻击者对陷阱文件的读写行为，进行横向攻击前的主动防御；
[0029]1、设计陷阱文件，包括文件名、文件路径、权限、内容等
‑‑‑‑
和安全分析人员沟通；
[0030]2、在minion节点上放入陷阱文件，看是否可以通过server端统一下发
‑‑‑
研发确认；
[0031]3、通过saltstack的beacons实现文件读写事件监控，上报到server端；
[0032]4、server端放平台外发脚本，外发到ISOP，走数据接入产生告警日志(字段细化)
[0033]5、预判直接产品该条运维事件，并对接SOAR，对该攻击者进行快速封堵(春耕期间)；
[0034]6、攻击识别规则关联分析(规则组)，发现目标主机陷阱文件被读写并紧接着发生了内网渗透事件，该事件对接SOAR，对攻击者进行快速封堵(春耕期间)。
[0035]预研Saltstack安装配置，如下步骤：
[0036]S1：安装saltstack master端；
[0037]yum install
‑
y epel
‑
release//添加epel源，本地有官方源；
[0038]yum
‑
y install salt
‑
master//安装saltstack master端；
[0039]systemctl start salt
‑
master//启动服务器；
[0040]systemctl enable salt
‑
master//设置开机自运行；
[0041]S2：修改基本配置；
[0042]vim/etc/salt/master//安装完成修改主配置文件interface：10.67.0.12//15行，监听地址，master地址auto_accept：True//215行，避免要运行salt
‑
key来确认证书认证。
[0043]S3：Minion端安装；
[0044]下载安装salt
‑
windows
‑
minion端(widows端)；
[0045]安装完成后，在服务中会看到有一个salt
‑
minion的服务，处于自动启动状态；
[0046]Linux端
[0047]yum
‑‑
y install epel
‑‑
release
[0048]yum
‑
y install salt
‑
mi本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于altstack及第三方应用的漏洞检测可读性报表输出方法，包括预研Saltstack安装配置、预研模块部署及平台配置和平台数据源配置：预研Saltstack安装配置，如下步骤：S1：安装saltstack master端；S2：修改基本配置；S3：Minion端安装；S4：返回master端建立连接；预研模块部署及平台配置，如下步骤：S1：模块部署；S2：解析规则和数据源配置；平台数据源配置，如下步骤：S1：在数据源管理中，对数据源进行配置；S2：启用监听脚本。2.根据权利要求1所述的基于altstack及第三方应用的漏洞检测可读性报表输出方法，其特征在于：所述预研Saltstack安装配置S3中下载安装salt
‑
windows
‑
minion端(widows端)，安装完成后，在服务中会看到有一个salt
‑
minion的服务，处于自动启动状态，然后Linux端。3.根据权利要求1所述的基于altsta...

【专利技术属性】
技术研发人员：朱世桐，
申请(专利权)人：朱世桐，
类型：发明
国别省市：