Maintenance sys. : Générer le rapport OpenSCAP

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Le protocole SCAP (Security Content Automation Protocol) est une ligne de normes ou de règles gérées par le NIST (National Institute of Standards and Technology). Il a été créé pour fournir une approche standardisée à la maintenance de la sécurité des systèmes d'entreprise, comprenant la vérification automatique de la présence de correctifs, la vérification des paramètres de configuration de la sécurité du système et l'examen des systèmes à la recherche de signes de compromis.

Le rapport OpenSCAP évalue votre environnement par rapport aux règles SCAP. Les résultats sont envoyés à HOSTNAME-ssg-results. (XML|HTML) selon le format de sortie que vous sélectionnez.

Désactiver les règles du rapport OpenSCAP qui bloquent le rapport

Vous pouvez ne pas vouloir inclure certaines règles STIG au rapport OpenSCAP parce qu'elles le bloquent. Utilisez la commande suivante pour désactiver des éléments sur le rapport SCAP :

sed -i 's/select idref="rule-id" selected="true"/select idref="rule-id" selected="false"/g' /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

rule-id est l'ID de règle que vous pouvez remplacer par l'ID de règle susceptible de se bloquer pendant un test.

Par exemple, le rapport contient un ID de règle partition_for_audit (représenté par Rule ID: partition_for_audit). Si vous désactivez une règle, OpenSCAP ne procède à aucune vérification par rapport à cette dernière. Cela signifie que vous devez vérifier la conformité à la règle partition_for_audit manuellement.

Installer OpenSCAP

Pour les nouvelles installations, le rapport OpenSCAP se trouve sur l'Image.

Exemple de rapport

Le rapport suivant est un exemple de section d'un rapport OpenSCAP.

OpenSCAPRpt.png

Champs du rapport

                                                                                                          
SectionChampDescription :
Introduction : résultat de testID de résultatL'identifiant XCCDF (eXtensible Configuration Checklist Description Format) des résultats du rapport. 
ProfilProfil XCCDF sous lequel les résultats du rapport sont classés.
Start timeDébut du rapport.
Heure de finFin du rapport.
BenchmarkBenchmark XCCDF
Version de benchmarkNuméro de version du benchmark.
Introduction : scoresystemMéthode de score XCCDF.
scoreScore atteint après l'exécution du rapport.
maxScore maximal pouvant être atteint.
%Score atteint après l'exécution du rapport, en pourcentage.
barNon applicable.
Présentation des résultats : résumé des résultats de règlepassVérification de règle réussie.
fixedLa vérification de règle qui a échoué précédemment est corrigée.
failÉchec de la vérification de règle.
errorLa vérification de règle n'a pas pu être effectuée.
not selectedCette vérification n'était pas applicable à votre déploiement Security Analytics.
not checkedLa règle n'a pas pu être vérifiée. Plusieurs raisons peuvent expliquer le fait qu'une règle n'ait pas pu être vérifiée.  Par exemple, la vérification de règle requiert un moteur de vérification qui n'est pas pris en charge par le rapport OpenSCAP.
sans objetLa vérification de règle ne s'applique pas à votre déploiement Security Analytics.
informationalVérifications de règles à des fins d'information uniquement (aucune action requise en cas d'échec).
UnknownLe rapport a pu vérifier la règle. Exécutez les étapes manuellement comme décrit dans le rapport pour vérifier la règle.
totalNombre total de règles vérifiées.
ExceptionsTitleNom de la règle vérifiée.
RésultatLes valeurs valides sont pass, fixed, fail, error, not selected, not checked, not applicable, informational ou unknown.

Remarque : Les valeurs de résultats sont définies dans Présentation des résultats : résumé des résultats de règle.

Créer le rapport OpenSCAP

Les tâches suivantes vous montrent comment créer le rapport OpenSCAP au format HTML, XML ou les deux.

Créer un rapport au format HTML uniquement

Pour créer un rapport OpenSCAP au format HTML uniquement :

  1. Ouvrez une session SSH sur l'hôte.
  2. Exécutez les commandes suivantes :
    mkdir -p /opt/rsa/openscap
  3. Soumettez les commandes suivantes pour les mises à niveau de rapport uniquement :
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. Exécutez les commandes suivantes :
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --report /tmp/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  5. Ouvrez le rapport dans votre navigateur :
    /tmp/hostname-ssg-results.html

Créer un rapport au format XML uniquement

Pour créer un rapport OpenSCAP au format XML uniquement :

  1. Ouvrez une session SSH sur l'hôte.
  2. Exécutez les commandes suivantes :
    mkdir -p /opt/rsa/openscap
  3. Soumettez la commande suivante pour les mises à niveau de rapport uniquement :
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  1. Exécutez les commandes suivantes :
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /tmp/`hostname`-ssg-results.xml --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

Créer un rapport aux formats XML et HTML

Pour créer un rapport OpenSCAP aux formats XML et HTML :

  1. Ouvrez une session SSH sur l'hôte.
  2. Exécutez les commandes suivantes :
    mkdir -p /opt/rsa/openscap
  3. Soumettez la commande suivante pour les mises à niveau de rapport uniquement :
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. Exécutez les commandes suivantes :
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /opt/rsa/openscap/`hostname`-ssg-results.xml --report /opt/rsa/openscap/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
You are here
Table of Contents > Guide du renforcement STIG DISA > Procédures > Générer le rapport OpenSCAP

Attachments

    Outcomes