Mantenimiento del sistema: Generar el informe de OpenSCAP

Document created by RSA Information Design and Development on Mar 2, 2017
Version 1Show Document
  • View in full screen mode
  

El protocolo de automatización del contenido de seguridad (SCAP) es una línea de estándares o reglas que administra el Instituto Nacional de Estándares y Tecnología (NIST). Se creó para proporcionar un enfoque estandarizado del mantenimiento de la seguridad de sistemas empresariales, como la verificación automática de la presencia de parches, la comprobación de los ajustes de configuración de seguridad del sistema y el análisis de los sistemas para saber si existen señales de riesgo.

El informe de OpenSCAP evalúa un ambiente en relación con las reglas de SCAP. Los resultados se envían a HOSTNAME-ssg-results. (XML|HTML) según el formato de salida que seleccione.

Inhabilitar reglas que hacen que el informe de OpenSCAP deje de responder

Puede haber reglas de STIG que no desea incluir en el informe de OpenSCAP debido a que hacen que este deje de responder. Use el siguiente comando para desactivar elementos en el informe de SCAP:

sed -i 's/select idref="rule-id" selected="true"/select idref="rule-id" selected="false"/g' /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

donde rule-id es el ID de la regla que puede reemplazar por el ID de la regla que puede dejar de responder durante una prueba.

Por ejemplo, el informe tiene un ID de regla denominado partition_for_audit (se muestra como Rule ID: partition_for_audit). Si desactiva una regla, OpenSCAP no realiza comprobaciones relacionadas con ella. Esto significa que debe comprobar manualmente el cumplimiento de normas respecto de la regla partition_for_audit.

Instalar OpenSCAP

En el caso de las instalaciones nuevas, el informe de OpenSCAP se encuentra en la imagen.

Informe de muestra

El siguiente informe es una sección de muestra de un informe de OpenSCAP.

OpenSCAPRpt.png

Campos del informe

                                                                                                          
SecciónCampoDescripción
Introducción: Resultado de la pruebaID de resultadoEl identificador del formato de descripción de listas de verificación de configuración ampliable (XCCDF) de los resultados del informe. 
PerfilPerfil de XCCDF bajo el cual se categorizan los resultados del informe.
Start timeCuándo se inició el informe.
Hora de finalizaciónCuándo finalizó el informe.
ParámetroParámetro de XCCDF.
Versión del parámetroNúmero de versión del parámetro.
Introducción: PuntajesystemMétodo de puntaje de XCCDF.
puntajePuntaje que se obtuvo después de la ejecución del informe.
máx.Puntaje máximo obtenible.
%Puntaje que se obtuvo después de la ejecución del informe como porcentaje.
barraNo corresponde.
Descripción general de resultados: Resumen de resultados de reglacorrectaComprobación de reglas correcta.
fixedLa comprobación de reglas que había fallado con anterioridad ahora se corrigió.
fallaLa comprobación de reglas falló.
errorNo se pudo realizar la comprobación de reglas.
no seleccionadaEsta comprobación no se aplica a su implementación de Security Analytics.
no comprobadaLa regla no se pudo comprobar. Hay varias razones por las cuales no se puede comprobar una regla.  Por ejemplo, la comprobación de reglas requiere un motor de comprobación que no es compatible con el informe de OpenSCAP.
no aplicableLa comprobación de reglas no se aplica a su implementación de Security Analytics.
informativoComprobaciones de reglas solo con fines informativos (no se requiere ninguna acción si el resultado es falla).
unknownEl informe pudo comprobar la regla. Para comprobar la regla, ejecute pasos manualmente como se describe en el informe.
totalCantidad total de reglas comprobadas.
ExcepcionesTítuloNombre de la regla que se comprueba.
ResultadoLos valores válidos son correcta, corregida, falla, error, no seleccionada, no comprobada, no aplicable, informativa o desconocida.

Nota: los valores de resultados se definen en Descripción general de resultados: Resumen de resultados de regla.

Generar el informe de OpenSCAP

Las siguientes tareas muestran cómo crear el informe de OpenSCAP en HTML, XML o ambos, HTML y XML.

Crear un informe solo en HTML

Para crear un informe de OpenSCAP solo en html:

  1. Obtenga acceso al host mediante el protocolo SSH.
  2. Ejecute los siguientes comandos:
    mkdir -p /opt/rsa/openscap
  3. Ejecute los siguientes comandos para informar únicamente actualizaciones:
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. Ejecute los siguientes comandos:
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --report /tmp/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  5. Abra el informe en un navegador:
    /tmp/hostname-ssg-results.html

Crear un informe solo en XML

Para crear un informe de OpenSCAP solo en xml:

  1. Obtenga acceso al host mediante el protocolo SSH.
  2. Ejecute los siguientes comandos:
    mkdir -p /opt/rsa/openscap
  3. Ejecute el siguiente comando para informar únicamente actualizaciones:
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  1. Ejecute los siguientes comandos:
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /tmp/`hostname`-ssg-results.xml --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

Crear un informe en XML y HTML

Para crear un informe de OpenSCAP en xml y html:

  1. Obtenga acceso al host mediante el protocolo SSH.
  2. Ejecute los siguientes comandos:
    mkdir -p /opt/rsa/openscap
  3. Ejecute el siguiente comando para informar únicamente actualizaciones:
    sed -i -r -e "s/<platform.*//g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
  4. Ejecute los siguientes comandos:
    oscap xccdf eval --profile "stig-rhel6-server-upstream" --results /opt/rsa/openscap/`hostname`-ssg-results.xml --report /opt/rsa/openscap/`hostname`-ssg-results.html --cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
You are here
Table of Contents > DISA STIG Hardening Guide > Procedures > Generate the OpenSCAP Report

Attachments

    Outcomes