システム メンテナンス:OpenSCAPレポートの生成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

Security Content Automation Protocol (SCAP)は、米国National Institute of Standards and Technology (NIST)によって管理される一連の標準またはルールです。これは、エンタープライズ システムのセキュリティを維持するための標準的なアプローチ(パッチの自動的チェック、システム セキュリティの構成チェック、セキュリティ侵害の兆候に関する調査など)を提供するために作成されています。

OpenSCAPレポートは、SCAPルールに対してシステムを評価します。この結果は、選択した出力形式に応じて、HOSTNAME-ssg-resultsXML|HTML)に送信されます。

OpenSCAPレポートでの一部ルールの無効化(レポート異常終了の防止)

レポートの異常終了を避けるため、OpenSCAPレポートから一部のSTIGルールを除外する必要がある場合があります。SCAPレポートのアイテムを無効化するには、次のコマンドを使用します。

sed -i 's/select idref="rule-id" selected="true"/select idref="rule-id" selected="false"/g' /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

ここでrule-idはルールIDです。テスト中に異常停止が発生した場合、該当するルールIDに置き換えて、このコマンドを実行します。

たとえば、レポートにpartition_for_auditRule ID: partition_for_audit)というルールIDがあるとします。ルールを無効化すると、OpenSCAPではそのルールに対するチェックは行われません。この場合、partition_for_auditルールに対する適合性は手動でチェックする必要があります。

OpenSCAPのインストール

新規インストール環境では、初期イメージにOpenSCAPレポートが存在します。

サンプル レポート

次のレポートは、OpenSCAPレポート内のサンプル セクションです。

OpenSCAPRpt.png

レポートのフィールド

                                                                                                          
セクションフィールド説明
Introduction - Test ResultResult IDレポート結果のXCCDF(Extensible Configuration Checklist Description Format)識別子。 
プロファイルレポート結果が分類されるXCCDFプロファイル。
Start timeレポートが開始された時刻。
End timeレポートが終了した時刻。
BenchmarkXCCDFベンチマーク
Benchmark versionベンチマークのバージョン番号。
Introduction - ScoresystemXCCDFスコアリング手法。
scoreレポートの実行後に獲得されたスコア。
max獲得可能なスコアの最高値。
%レポートの実行後に獲得されたスコアのパーセンテージ。
bar該当なし。
Results overview - Rule Results Summarypassルール チェックに合格しました。
fixed以前に失敗したルール チェックが修正されました。
failルール チェックに失敗しました。
errorルール チェックを実行できませんでした。
not selectedこのチェックはSecurity Analytics導入環境に適用されませんでした。
not checkedルールをチェックできませんでした。ルールをチェックできない理由はいくつかあります。 たとえば、ルール チェックに必要なチェック エンジンがOpenSCAPレポートによってサポートされていない場合です。
not applicableルール チェックがSecurity Analytics導入環境に適用されません。
informational情報の提供のみを目的としたルール チェック(失敗の場合も必要なアクションはありません)。
unknownレポートがルールをチェックできませんでした。ルールをチェックするには、レポートに記載されている手順を手動で実行します。
totalチェックされたルールの合計数。
ExceptionsTitleチェックされているルールの名前。
Result有効な値は、passfixedfailerrornot selectednot checkednot applicableinformational、またはunknownです。

注:値の定義は、「Results overview - Rule Results Summary」を参照してください。

OpenSCAPレポートの作成

次のタスクは、HTML、XML、またはHTMLとXMLの両方でOpenSCAPレポートを作成する方法を示します。

HTML形式のみでのレポート作成

HTML形式でのみOpenSCAPレポートを作成するには、次の手順を実行します。

  1. sshでホストに接続します。
  2. 次のコマンドを実行します。
    mkdir -p /opt/rsa/openscap
  3. 次のコマンドを、レポートのアップグレードの場合にのみ実行します。
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. 次のコマンドを実行します。
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --report /tmp/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  5. ブラウザでレポートを開きます。
    /tmp/hostname-ssg-results.html

XML形式のみでのレポート作成

XML形式でのみOpenSCAPレポートを作成するには、次の手順を実行します。

  1. sshでホストに接続します。
  2. 次のコマンドを実行します。
    mkdir -p /opt/rsa/openscap
  3. 次のコマンドを、レポートのアップグレードの場合にのみ実行します。
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  1. 次のコマンドを実行します。
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /tmp/`hostname`-ssg-results.xml --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

XMLおよびHTMLの両形式でのレポート作成

XMLおよびHTMLの両形式でOpenSCAPレポートを作成するには、次の手順を実行します。

  1. sshでホストに接続します。
  2. 次のコマンドを実行します。
    mkdir -p /opt/rsa/openscap
  3. 次のコマンドを、レポートのアップグレードの場合にのみ実行します。
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. 次のコマンドを実行します。
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /opt/rsa/openscap/`hostname`-ssg-results.xml --report /opt/rsa/openscap/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
You are here
Table of Contents > DISA STIG Hardeningガイド > 手順 > OpenSCAPレポートの生成

Attachments

    Outcomes