Der Device Compliance Scanner (DCS) in Client Automation durchsucht Zielcomputer auf Konformität mit der FDCC-Checkliste. Dieses Kapitel beschreibt die Implementierung von SCAP-Standards.
DCS ist um das Security Content Automation Protocol (SCAP) herum konzipiert. SCAP ist eine Suite von ausgewählten offenen Standards, die Softwarefehler, sicherheitsbezogene Konfigurationsprobleme und Produktnamen auflisten. Die Suite untersucht auch Systeme, um das Vorkommen von Schwachstellen zu bestimmen, und stellt Mechanismen bereit, um die Ergebnisse dieser Untersuchungen im Hinblick auf die Auswirkungen der erkannten Sicherheitsprobleme einzuordnen.
Client Automation implementiert die Compliance-Prüfung eines beliebigen SCAP 1.1-Datenstroms im XML-Format, der vom SCAP-Standard verwendet wird: XCCDF, CCE, CVE, CPE, CVSS und OVAL. DCS wurde als Asset Management-Inventarerkennungsmodul implementiert. DCS wird an alle Agenten verteilt, die dann die Compliance-Prüfung zum angegebenen Zeitpunkt ausführen und die von den Spezifikationen geforderten Ausgabedateien erstellen. Der DCS-Scanner verwendet die XCCDF- und OVAL-Bewertungsprotokolle, um festzulegen, welche Elemente wie überprüft werden sollen. Er verwendet darüberhinaus die CPE-, CCE-, CVSS-, und CVE-Referenzprotokolle, um sicherzugehen, dass alle Regeln genau und sachgemäß im System wiedergegeben werden. Der DCS-Scanner gibt die Ergebnisse an die zentrale Managementdatenbank zur Abnahme, zum Bericht und zur Abfrage weiter. Die Ergebnisdateien für jede Datei werden im Eingabe-SCAP-Datenstrom generiert und auf dem Agent-Computer und im Domänen-Manager (wenn konfiguriert) zur Überprüfung gespeichert.
Common Vulnerabilities and Exposures (CVE) ist eine Liste oder ein Wörterbuch, das Standard-Identifizierer für öffentlich bekannte Informations-Sicherheitslücken und Softwarefehler bietet. Die Ergebnisse der Compliance-Prüfung von Client Automation enthalten die relevanten CVE-ID-Referenzen in der Ausgabe für jede überprüfte Regel, vorausgesetzt, dass solche Referenzen Teil der Checklistendefinition sind. Die CVE-Information wird in der XML-Patch Result-Datei gespeichert, die der Scanner generiert und die im Agent-Arbeitsverzeichnis zur Überprüfung zur Verfügung steht.
In SCAP-Datenströmen können OVAL-Inhalte, die zur Erkennung von Anwendungen, Patches oder Sicherheitslücken verwendet werden, CVE-ID-Referenzen enthalten, um genau das Element der CVE-Liste identifizieren. Die FDCC-Checklisten für Windows XP und IE7 enthalten zu diesem Zweck separate OVAL-Dateien sowie CVE-IDs.
Wenn diese SCAP Datenströme verarbeitet werden, enthält die erzeugte OVAL-Ergebnisdatei auch die CVE-ID-Referenzen für jede OVAL-Definition. Zusätzlich enthalten die Inventardaten, die im DSM Explorer für den Zielcomputer dargestellt werden, eine Gruppe für detaillierte Patch-Ergebnisse, in der jede OVAL-Definition zur Suche von Patches und Sicherheitslücken über eine eigene Untergruppe verfügt. Diese Untergruppe enthält immer dann eine Tabelle mit CVE-Definitionen, wenn die OVAL-Definition solche Referenzen im SCAP-Datenstrom selbst definiert hat. Jede CVE-Referenz enthält die CVE-URL und die NVD-URL. Der DSM Explorer ermöglicht es, diese URLs direkt aufzurufen.
Die Common Configuration Enumeration (CCE) bietet eindeutige IDs für Probleme in der Systemkonfiguration, um eine schnelle und genaue Korrelation von Konfigurationsdaten über eine Vielzahl von Informationsquellen und Werkzeugen hinweg zu ermöglichen. CCE-IDs können etwa dazu verwendet werden, Prüfungen mit Werkzeugen zur Konfigurationsbeurteilung mit Angaben in Dokumenten zur Best Practice der Konfiguration zu kombinieren.
In einem SCAP-Datenstrom können sich Referenzen zu CCE-IDs entweder in der XCCDF-Datei oder in den OVAL-Dateien befinden. In der XCCDF-Datei hat die CCE-Referenz die Form von <ident>-Tags, die CCE-IDs auflisten, die mit jeder Regel in der Liste assoziiert sind. Wenn die CCE-IDs in der XCCDF-Datei präsent sind, wird DCS diese Referenzen in die Ergebnisse jeder Regel einschließen. Diese Information wird sowohl in der erstellten XCCDF-Ergebnisdatei als auch in den Inventardaten, die an die Datenbank versandt werden, bereitgestellt. Im DSM-Explorer stehen die CCE-Referenzinformationen unter "Inventar", "SCAP" "Checklist Name", "Rule Results", "Rule Name" ,"Idents" zur Verfügung.
Die OVAL-Dateien können zu jeder OVAL-Definition zugeordnete CCE-IDs enthalten, die in <reference>-Tags enthalten sind. Wenn solche Referenzen vorhanden sind, werden sie in die OVAL-Ergebnisdateien integriert, die erstellt werden, wenn die OVAL-Definitionen verarbeitet werden.
CCE-Referenzen und Ergebnisse sind auch mit dem Set von Ergebnisdateien unter dem Namen <machine>-<checklist>-xccdf-CCE-result.txt verfügbar.
Alle FDCC-Checklisten, die mit Client Automation geliefert werden, umfassen CCE-ID-Referenzen sowohl in den XCCDF-Dateien als auch in den OVAL-Dateien. Name und Speicherort der Ausgabedateien können im DSM-Explorer unter "Inventar", "SCAP" "Checklist Inventory Component", "Status group" angezeigt werden.
Common Platform Enumeration (CPE) ist ein strukturiertes Namensgebungsschema für EDV-Systeme, Plattformen und Pakete. Auf der Basis der generischen Syntax für Uniform Resource Identifiers (URI) umfasst CPE ein formales Namensformat, eine Sprache zur Beschreibung komplexer Plattformen, eine Methode, um Namen gegen ein System abzugleichen sowie ein Beschreibungsformat, um Text und Tests an einen Namen zu binden.
Ein SCAP-Datenstrom kann optional ein CPE-Wörterbuch enthalten, das CPE-Namen OVAL-Definitionen zuordnet, die auf das Vorhandensein des Betriebssystems oder der Anwendung hin testet, die durch diesen CPE-Namen identifiziert sind. DCS verwendet dieses Wörterbuch, wenn die XCCDF-Datei aus dem Datenstrom <platform>-Tags enthält, die angeben, dass die XCCDF-Datei das Vorhandensein des angegebenen CPE-Namens erfordert. Alle komprimierten FDCC-Checklisten enthalten CPE-Wörterbuchdateien und deren Referenz in den XCCDF-Dateien. Die XCCDF-Ergebnisdateien enthalten die CPE-Namen in den <platform>-Tags, um anzugeben, dass ein Plattform-Test für die gesamte Checkliste erfolgreich ausgeführt wurde. Name und Speicherort der Ausgabedateien können im DSM-Explorer unter "Inventar", "SCAP" "Checklist Inventory Component", "Status group" angezeigt werden.
Der Common Vulnerability Scoring System (CVSS)-Standard bietet ein offenes System zur Kommunikation von Eigenschaften und Einflüssen von IT-Sicherheitslücken. Sein quantitatives Modell garantiert akkurate und wiederholbare Messungen und ermöglicht es den Benutzern, die zugrundeliegenden Eigenschaften der Sicherheitslücken einzusehen, die zur Generierung der Ergebnisse verwendet wurden. Darum ist CVSS gut als Standard-Messinstrument für Industrie, Organisationen und Regierungen, die eine genaue und konsistente Auswertung der Bedeutung von Sicherheitslücken benötigen, geeignet. Zwei Hauptanwendungen von CVSS sind die Priorisierung von Aktivitäten zur Behebung von Sicherheitslücken und die Berechnung der Relevanz der in einem System entdeckten Sicherheitslücken. Die National Vulnerability Database (NVD) bietet CVSS-Werte für nahezu alle bekannten Sicherheitslücken.
Für jeden Patch und jede Sicherheitslücke stehen dem DSM Explorer CVE-ID-Referenzen zur Verfügung. DSM Explorer bietet außerdem detaillierte Patch-Ergebnisse, die die CVE-URL und die NVD-URL enthalten. Der Benutzer kann die URL verwenden, um die Webseite des US-amerikanischen National Institute of Standards and Technology (NIST) für den entsprechenden CVE-ID-Eintrag im NVD aufzurufen. Dieser Datenbankeintrag schließt die CVSS-Werte und weitere Informationen über die Schwachstelle ein. Die CVE-Referenzdetails sind unter "Inventar", "SCAP", "Checklist Inventory Component", "Detailed patch results group" verfügbar.
eXtensible Configuration Checklist Description Format (XCCDF) ist eine Spezifikationssprache, die zum Schreiben von Sicherheits-Checklisten, Benchmarks und ähnlichen Arten von Dokumenten verwendet wird. Ein XCCDF-Dokument stellt eine strukturierte Sammlung von Sicherheitskonfigurationsregeln für eine Gruppe von Zielsystemen dar. Die Spezifikation unterstützt den Austausch von Informationen, das Generieren von Dokumenten, die Anpassung an Organisationen und Situationen, die automatisierte Compliance-Kontrolle sowie die Bewertung der Compliance.
DCS liest die XCCDF-Datei und scannt die Zielcomputer auf der Basis der in der XCCDF-Datei angegebenen Regeln. Der Scanner generiert eine Inventardatei, die die Ergebnisse für jede Regel in der XCCDF-Datei enthält. Die XCCDF-Ausgabedatei wird im Arbeitsverzeichnis des Agenten direkt auf jedem Agent-Computer gespeichert. Die Ergebnisse für die Regeln sowie die Endergebnisse werden im DSM-Explorer unter "Inventar", "SCAP" "Checklist Inventory Component", "Rule Results" angezeigt
Sie können den Namen und den Speicherort der XCCDF-Dateien und der erzeugten Ergebnisdateien im DSM-Explorer unter "Inventory", "SCAP", "Checklist Inventory Component", "Status group" anzeigen.
Client Automation implementiert den Open Vulnerability and Assessment Language (OVAL)-Standard. OVAL ist ein internationaler Communitystandard für die Informationssicherheit, der verwendet wird, um offenen und öffentlich verfügbaren Sicherheitsinhalt zu fördern. Sein Ziel ist, die Übertragung dieser Informationen über alle Sicherheitstools und -Services hinweg zu standardisieren.
Die Regeldefinitionsdatei der Checkliste in XCCDF-Dateien verwendet normalerweise Referenzen auf OVAL-Definitionen in OVAL-Dateien als Hinweis darauf, wie ein Zielcomputer auf Compliance mit der Regel hin geprüft werden soll. Vergleichbar dazu verwenden CPE-Namen, die im CPE-Wörterbuch aufgelistet sind, ebenfalls Referenzen auf OVAL-Dateien, um anzugeben, wie das Vorhandensein eines Softwareelementes, das durch den Namen angegeben wird, überprüft werden soll. Alle diese gebündelten DCS-SCAP-Datenströme enthalten mindestens eine OVAL-Datei für jede dieser Nutzungen.
Für jede bewertete OVAL-Datei erstellt das OVAL-Übersetzungsprogramm eine OVAL-Ergebnisdatei im Arbeitsverzeichnis des Agenten. Sie können den Namen und den Speicherort aller OVAL-Dateien und der erzeugten Ergebnisdateien im DSM Explorer unter "Inventar", "SCAP", "Checklist Inventory Component", "Status group" anzeigen.
|
Copyright © 2014 CA Technologies.
Alle Rechte vorbehalten.
|
|