L'analyseur de conformité des unités (DCS) de Client Automation analyse les ordinateurs cibles pour vérifier qu'ils sont conformes à la liste de contrôle FDCC. Ce chapitre décrit l'implémentation des normes SCAP.
Le DCS s'articule autour du protocole SCAP (Security Content Automation Protocol). SCAP est une série de normes ouvertes sélectionnées qui énumèrent les défaillances logicielles, les problèmes de configuration liés à la sécurité et les noms de produits. Elle mesure également les systèmes pour déterminer la présence de vulnérabilités et fournit des mécanismes de classement (évaluation) des résultats de ces mesures dans le cadre de l'évaluation de l'impact des problèmes de sécurité détectés.
Client Automation implémente la vérification de conformité de tous les flux de données SCAP 1.1 écrits aux formats XML exploités par la norme SCAP : XCCDF, CCE, CVE, CPE, CVSS et OVAL. DCS est implémenté en tant que module d'inventaire d'Asset Management. L'analyseur DCS est distribué sur tous les agents, puis exécute la vérification de conformité à l'heure prévue et génère les fichiers de sortie requis selon les spécifications. L'analyseur DCS utilise les protocoles d'évaluation XCCDF et OVAL pour déterminer les éléments à vérifier et la manière de procéder. Il utilise également les protocoles de référence CPE, CCE, CVSS et CVE pour contrôler que toutes les règles sont reflétées de façon précise et adéquate dans le système. L'analyseur DCS signale les résultats à la base de données de gestion centrale qui les utilisera pour l'inspection et la génération de rapports et de requêtes. Les fichiers de résultats sont générés pour chaque fichier du flux d'entrée de données SCAP, sont stockés dans l'ordinateur agent et le gestionnaire de domaines s'il est configuré, pour faire l'objet d'une vérification.
La norme Common Vulnerabilities and Exposures (CVE) est une liste ou un dictionnaire contenant des identificateurs standard de failles de sécurité des informations et d'imperfections logicielles connues du public. Les résultats de vérification de la conformité générés par Client Automation incluent les références d'ID CVE pertinentes dans la sortie pour chaque règle vérifiée, pour autant que ces références soient comprises dans la définition même de la liste de contrôle. Les informations CVE sont stockées dans le fichier XML de résultats de patch généré par l'analyseur et peuvent être examinées et vérifiées dans le répertoire de travail de l'agent.
Dans les flux de données SCAP, le contenu OVAL destiné à la détection des applications, patchs ou vulnérabilités, peut contenir des références d'ID CVE identifiant l'élément exact dans la liste CVE. Les listes de contrôle FDCC pour Windows XP et IE7 contiennent des fichiers OVAL distincts dédiés à cette fin et incluent des ID CVE.
Lors du traitement de ces flux de données SCAP, les fichiers de résultats OVAL générés incluent également des références d'ID CVE pour chaque définition OVAL. De plus, les données d'inventaire présentées pour l'ordinateur cible dans l'explorateur DSM contiennent un groupe de résultats de patchs détaillés dans lequel chaque définition OVAL dédiée à la détection de patchs ou de vulnérabilités possède son propre sous-groupe. Ce sous-groupe contient une table de références CVE chaque fois que la définition OVAL possède de telles références définies dans le flux même de données SCAP. Chaque référence CVE contient une URL CVE et une URL NVD. L'explorateur DSM permet de naviguer directement vers ces URL.
Common Configuration Enumeration (CCE) associe des identificateurs uniques aux problèmes de configuration du système afin d'assurer une corrélation précise et rapide des données de configuration avec les différents outils et sources d'informations. Par exemple, vous pouvez utilisez les identificateurs CCE pour associer des vérifications dans les outils d'évaluation de configuration avec des instructions figurant dans des documents relatifs aux meilleures pratiques de configuration.
Les flux de données SCAP peuvent inclure des références aux ID CCE dans les fichiers XCCDF ou OVAL. Dans le fichier XCCDF, la référence CCE se présente sous la forme de balises <ident> répertoriant les ID CCE associés à chaque règle dans la liste. Si le fichier XCCDF comporte des ID CCE, l'analyseur de conformité des unités (DCS) inclut ces références pour chaque résultat de règle. Ces informations sont disponibles dans le fichier de résultats XCCDF généré et dans les données d'inventaire envoyées à la base de données. Dans l'explorateur DSM, les informations des références CCE se trouvent sous Inventaire, SCAP, Checklist Name, Rule Results, Rule Name, Idents.
Les fichiers OVAL peuvent contenir des ID CCE associés à chaque définition OVAL et contenus dans des balises <reference>. Si ces références existent, elles sont incluses dans les fichiers de résultats OVAL générés pendant le traitement des définitions OVAL.
Les références et résultats CCE sont également disponibles avec l'ensemble de fichiers de résultats sous le nom <ordinateur>-<liste_contrôle>-xccdf-CCE-result.txt.
Toutes les listes de contrôle FDCC fournies avec Client Automation comprennent des références d'ID CCE dans les fichiers XCCDF et OVAL. Vous pouvez afficher le nom et l'emplacement des fichiers de sortie dans l'explorateur DSM sous Inventaire, SCAP, Checklist Inventory Component, Status group.
Common Platform Enumeration (CPE) est un schéma d'attribution de noms structuré destiné aux systèmes informatiques, aux plates-formes et aux packages. S'inspirant de la syntaxe générique des URI (Uniform Resource Identifiers), le schéma CPE inclut un format de nom formel, un langage de description des plates-formes complexes, une méthode de vérification des noms par rapport à un système et un format de description permettant de lier du texte et des tests à un nom.
Les flux de données SCAP peuvent éventuellement inclure un dictionnaire CPE qui permet de mapper les noms CPE aux définitions OVAL servant à déceler la présence du système d'exploitation ou de l'application identifiée par ce nom CPE. L'analyseur de conformité des unités utilise ce dictionnaire pour le fichier XCCDF du flux de données contenant des balises <platform> ; ces balises indiquent qu'un nom CPE doit être spécifié pour le fichier XCCDF. Tous les packages de listes de contrôle FDCC contiennent des fichiers de dictionnaire CPE ainsi que leur référence dans les fichiers XCCDF. Les fichiers de résultats XCCDF incluront les noms CPE dans les balises <platform> pour indiquer que la plate-forme a été correctement testée pour l'ensemble de la liste de contrôle. Vous pouvez afficher le nom et l'emplacement des fichiers de sortie dans l'explorateur DSM sous Inventaire, SCAP, Checklist Inventory Component, Status group.
La norme Common Vulnerability Scoring System (CVSS) fournit une structure ouverte pour communiquer les caractéristiques et les impacts des vulnérabilités informatiques. Son modèle quantitatif contribue à garantir des mesures précises renouvelables tout en permettant aux utilisateurs de visualiser les caractéristiques des vulnérabilités sous-jacentes utilisées pour générer les résultats. CVSS s'adapte donc en tant que système de mesure standard destinés aux entreprises, aux organisations et aux gouvernements qui ont besoin de résultats précis et cohérents en termes d'impact des vulnérabilités. CVSS s'utilise principalement pour définir les priorités au niveau des activités de remédiation des vulnérabilités et pour estimer la sévérité des vulnérabilités détectées sur les ordinateurs. La Base de données nationale des vulnérabilités (NVD) fournit des résultats de CVSS pour quasiment toutes les vulnérabilités connues.
Pour chaque patch ou vulnérabilité, des références d'ID CVE sont fournies dans l'explorateur DSM. Celui-ci fournit également des résultats détaillés sur les patchs, notamment les URL CVE et NVD. L'utilisateur peut utiliser l'URL afin de visiter la page Web du NIST (National Institute of Standards and Technology) pour l'entrée de l'ID CVE correspondant dans la NVD, qui contient le score CVSS et d'autres informations concernant la vulnérabilité. Les détails de la référence CVE sont disponibles sous le groupe de résultats Inventaire, SCAP, Checklist Inventory Component, Detailed patch results group.
Le langage de spécification eXtensible Configuration Checklist Description Format (XCCDF) s'utilise pour écrire des listes de contrôle de sécurité, des bancs d'essai et d'autres types de documents connexes. Un document XCCDF représente une collection structurée de règles de configuration de sécurité pour certains ensembles de systèmes cibles. La spécification est conçue pour prendre en charge l'échange d'informations, la génération de documents, l'adaptation organisationnelle et situationnelle, les tests automatisés de conformité et l'évaluation de la conformité.
Le DCS lit le fichier XCCDF et analyse les ordinateurs cibles sur la base des règles du fichier XCCDF. L'analyseur génère un fichier d'inventaire qui contient les résultats pour chaque règle dans le fichier XCCDF. Le fichier de sortie XCCDF est stocké dans le répertoire de travail de l'agent sur chaque ordinateur agent. Les résultats de chaque règle et les résultats finaux sont affichés dans l'explorateur DSM sous Inventaire, SCAP, Checklist Inventory Component, Rule Results.
Vous pouvez afficher le nom et l'emplacement des fichiers XCCDF et des fichiers de résultats générés dans l'explorateur DSM sous Inventaire, SCAP, Checklist Inventory Component, Status group.
Client Automation implémente la norme Open Vulnerability and Assessment Language (OVAL). OVAL est une norme communautaire et internationale de sécurité des informations utilisée pour promouvoir des contenus de sécurité ouverts et disponibles pour tous. Son objectif est de normaliser le transfert de ces informations dans l'intégralité de la gamme d'outils et services de sécurité.
Les définitions de règles des listes de contrôle dans les fichiers XCCDF utilisent généralement des références aux définitions OVAL des fichiers OVAL pour indiquer la manière de vérifier si un ordinateur cible est conforme à la règle. De même, les noms CPE répertoriés dans le dictionnaire CPE utilisent des références aux définitions OVAL pour indiquer la manière de vérifier la présence d'un composant logiciel indiqué par le nom. Tous les flux de données de DCS regroupés contiennent au moins un fichier OVAL à chacune de ces fins.
Pour chaque fichier OVAL évalué, l'interpréteur OVAL produit un fichier de résultats OVAL dans le répertoire de travail de l'agent. Vous pouvez afficher le nom et l'emplacement de tous les fichiers OVAL et les fichiers de résultats générés dans l'explorateur DSM sous Inventaire, SCAP, Checklist Inventory Component, Status group.
|
Copyright © 2014 CA Technologies.
Tous droits réservés.
|
|