Aplique etiquetas a los dispositivos afectados
Las definiciones de OVAL contienen la información necesaria para realizar las pruebas de OVAL. Esta información puede incluir controles para las entradas de registro, versiones de archivo y datos WMI (Instrumental de administración de Windows).
Las definiciones de las pruebas de OVAL pasan a través de una serie de fases antes de ser aprobadas. Según la ubicación de una definición en este proceso, se asigna uno de los siguientes valores de estado:
Otros valores de estado posibles incluyen:
Para obtener más información acerca de las etapas de las definiciones de OVAL, consulte http://cve.mitre.org.
Cuando las pruebas de OVAL están habilitadas, se ejecutan todas las pruebas de OVAL disponibles en los dispositivos de destino.
Los detalles de la prueba de OVAL no indican la gravedad de la vulnerabilidad. Use su propio criterio para determinar si debe analizar su red para detectar la presencia de una vulnerabilidad en particular.
Puede ver las pruebas y definiciones de OVAL en la Consola del administrador.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
2. |
Opcional: Limite las pruebas que se muestran por medio de la lista desplegable Ver por o el campo Buscar para encontrar pruebas de OVAL por el Id. de OVAL, el número de CVE, el sistema operativo o el texto. |
La página Detalles de la definición de OVAL muestra la siguiente información:
La tabla de la parte inferior de la página Pruebas de OVAL: Definición muestra la lista de dispositivos de la red que contienen la vulnerabilidad. Para su comodidad, hay una versión disponible de estos datos que se puede imprimir.
El dispositivo K1000 ejecuta pruebas de OVAL que se basan automáticamente en el programa especificado en Ajustes de OVAL.
Lleva aproximadamente una hora ejecutar las pruebas de OVAL. Además, las pruebas de OVAL consumen una gran cantidad de memoria y de recursos de la CPU, lo que podría afectar el rendimiento de los dispositivos de destino. Para minimizar las molestias a los usuarios, ejecute las pruebas de OVAL de forma semanal o mensual y durante aquellas horas en que haya menos probabilidades de que los usuarios sufran inconvenientes.
Además, puede ejecutar las pruebas de OVAL manualmente si inicia sesión en el dispositivo como administrador y ejecuta debug.bat. Por lo general, el archivo se encuentra en el directorio de datos del programa. Por ejemplo:
• |
Windows XP: C:\Documents and Settings\All Users\Dell\KACE\kbots_cache\packages\kbots\9 |
Si ejecuta pruebas de OVAL periódicamente, o si desea obtener resultados de las pruebas de OVAL solo para algunos dispositivos, puede asignar una etiqueta a esos dispositivos. Puede usar la función Ejecutar ahora para ejecutar la prueba de OVAL solo en esos dispositivos.
Para obtener más información sobre el uso de etiquetas, consulte Acerca de las etiquetas.
El dispositivo K1000 verifica si hay nuevas definiciones de OVAL todas las noches, pero usted debería esperar nuevas definiciones cada mes. Si se habilitan las pruebas de OVAL, el dispositivo descarga nuevas definiciones de OVAL en todos los dispositivos administrados durante la siguiente actualización de scripts, siempre que haya un nuevo paquete disponible e independientemente de los ajustes del programa de OVAL.
El archivo ZIP de actualización de OVAL puede tener más de 30 MB, por lo que resulta lo suficientemente pesado como para influir en el rendimiento de dispositivos con conexiones lentas. El archivo ZIP incluye las versiones de 32 y 64 bits del OVAL Interpreter y utiliza la versión adecuada para el dispositivo. El OVAL Interpreter requiere Microsoft .NET Framework y es compatible con la versión completa ("extendida") y la versión cliente.
Para ejecutar pruebas de OVAL, debe habilitar OVAL, seleccionar los dispositivos y sistemas operativos de destino, y establecer un programa de ejecución.
Las pruebas de OVAL requieren el uso extenso de los recursos y pueden afectar el rendimiento de los dispositivos de destino. Por lo tanto, deberá tener cuidado al configurar los ajustes de OVAL.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
4. |
En la sección Programar, especifique la hora y la frecuencia para la ejecución de OVAL: |
Ajuste |
Descripción |
Ninguno |
Ejecute en combinación con un evento y no en una fecha u hora específicas. |
Cada n minutos/horas |
Se ejecuta en un intervalo especificado. |
Todos los días/un día específico a las HH:MM |
Se ejecuta cada día a una hora especificada o se ejecuta en un día de la semana designado a una hora específica. |
Ejecutar el día (número) de cada mes o de un mes específico a las HH:MM |
Se ejecuta el mismo día todos los meses o en un mes específico a una hora determinada. |
Personalizado |
Se ejecuta de acuerdo con un programa personalizado.
Usar el formato cronológico de cinco campos estándar (no se admite el formato cron. extendido):
Utilice lo siguiente al especificar valores:
• |
Asteriscos (*): Incluya toda la gama de valores de un campo con un asterisco. Por ejemplo, un asterisco en el campo de hora indica cada hora. |
• |
Comas (,): Separe los valores de un campo con una coma. Por ejemplo, 0,6 en el campo de día de la semana indica Domingo y Sábado. |
• |
Guiones (-): Indique una gama de valores de un campo con un guion. Por ejemplo, 1-5 en el campo de día de la semana equivale a 1,2,3,4,5, lo que indica de lunes a viernes. |
• |
Barras inclinadas (/): Especifique los intervalos en los cuales repetir una acción con una barra inclinada. Por ejemplo, */3 en el campo de hora equivale a 0,3,6,9,12,15,18,21. El asterisco ( *) especifica cada hora, pero /3 lo limita a horas divisibles por 3. |
Ejemplos: |
Ejecutar en la próxima conexión si está desconectado |
Cuando se ejecuta un análisis de OVAL, calcula el número de máquinas en que se supone se ejecutará en función de sus etiquetas, o sus sistemas operativos, o mediante la identificación manual de las máquinas seleccionadas. Dado ese conjunto de máquinas, el análisis de OVAL luego determina cuál de esas máquinas se encuentra actualmente en línea y, a continuación, pone en línea una tarea para las máquinas en línea en el Konductor.
Cuando se selecciona esta opción, el análisis de OVAL omite el paso que identifica las máquinas en línea y se ejecuta en las máquinas en línea. Para las máquinas sin conexión, la tarea se agrega a la cola del Konductor y se ejecuta cuando esas máquinas vuelven a estar en línea.
Todas las tareas posteriores para ejecutar el análisis de OVAL (por ejemplo, para una máquina sin conexión que ya existe en la cola del Konductor) sobrescriben las tareas existentes, de modo que nunca más puede haber una tarea en la cola del Konductor para la misma máquina.
De forma predeterminada, esta opción está deshabilitada. |
6. |
Haga clic en Ejecutar ahora para ejecutar el script inmediatamente. |
La página Informe de OVAL muestra las pruebas de OVAL que se han ejecutado desde la última vez que se actualizaron las definiciones de OVAL.
Los resultados de OVAL se eliminan de esta página cuando se actualizan las definiciones de OVAL. Para guardar los resultados, programe un informe del dispositivo OVAL para que se ejecute periódicamente. Consulte Agregue programas de informes.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
c. |
En la sección Informes, haga clic en Mostrar resumen de resultados. |
Desde la vista Detalles de la prueba, puede ver todos los dispositivos que reprobaron la prueba de OVAL y puede asignar una etiqueta a esos dispositivos para aplicarles un parche más adelante.
b. |
En Informes, haga clic en Mostrar cumplimiento del dispositivo. |
3. |
Seleccione Elegir actividad, luego seleccione la etiqueta que corresponda en Aplicar etiqueta a dispositivos afectados. |
La página Cumplimiento del dispositivo de OVAL muestra una lista de dispositivos con los resultados de las pruebas de OVAL. En la lista puede ver un resumen de las pruebas que se ejecutaron en dispositivos específicos.
La etiqueta dentro de la columna Dispositivo de la página Informe informático de OVAL es el id. de inventario asignado por el componente de inventario de K1000.
Para obtener más información sobre cualquiera de los dispositivos en el informe, haga clic en el nombre del dispositivo vinculado para navegar hasta la página de detalles del dispositivo.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
c. |
En la sección Informes, haga clic en Mostrar resumen de resultados. |
Aparece la página Cumplimiento del dispositivo OVAL que contiene una lista de informes de OVAL.
Ver el informe de OVAL
Las definiciones de OVAL contienen la información necesaria para realizar las pruebas de OVAL. Esta información puede incluir controles para las entradas de registro, versiones de archivo y datos WMI (Instrumental de administración de Windows).
Las definiciones de las pruebas de OVAL pasan a través de una serie de fases antes de ser aprobadas. Según la ubicación de una definición en este proceso, se asigna uno de los siguientes valores de estado:
Otros valores de estado posibles incluyen:
Para obtener más información acerca de las etapas de las definiciones de OVAL, consulte http://cve.mitre.org.
Cuando las pruebas de OVAL están habilitadas, se ejecutan todas las pruebas de OVAL disponibles en los dispositivos de destino.
Los detalles de la prueba de OVAL no indican la gravedad de la vulnerabilidad. Use su propio criterio para determinar si debe analizar su red para detectar la presencia de una vulnerabilidad en particular.
Puede ver las pruebas y definiciones de OVAL en la Consola del administrador.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
2. |
Opcional: Limite las pruebas que se muestran por medio de la lista desplegable Ver por o el campo Buscar para encontrar pruebas de OVAL por el Id. de OVAL, el número de CVE, el sistema operativo o el texto. |
La página Detalles de la definición de OVAL muestra la siguiente información:
La tabla de la parte inferior de la página Pruebas de OVAL: Definición muestra la lista de dispositivos de la red que contienen la vulnerabilidad. Para su comodidad, hay una versión disponible de estos datos que se puede imprimir.
El dispositivo K1000 ejecuta pruebas de OVAL que se basan automáticamente en el programa especificado en Ajustes de OVAL.
Lleva aproximadamente una hora ejecutar las pruebas de OVAL. Además, las pruebas de OVAL consumen una gran cantidad de memoria y de recursos de la CPU, lo que podría afectar el rendimiento de los dispositivos de destino. Para minimizar las molestias a los usuarios, ejecute las pruebas de OVAL de forma semanal o mensual y durante aquellas horas en que haya menos probabilidades de que los usuarios sufran inconvenientes.
Además, puede ejecutar las pruebas de OVAL manualmente si inicia sesión en el dispositivo como administrador y ejecuta debug.bat. Por lo general, el archivo se encuentra en el directorio de datos del programa. Por ejemplo:
• |
Windows XP: C:\Documents and Settings\All Users\Dell\KACE\kbots_cache\packages\kbots\9 |
Si ejecuta pruebas de OVAL periódicamente, o si desea obtener resultados de las pruebas de OVAL solo para algunos dispositivos, puede asignar una etiqueta a esos dispositivos. Puede usar la función Ejecutar ahora para ejecutar la prueba de OVAL solo en esos dispositivos.
Para obtener más información sobre el uso de etiquetas, consulte Acerca de las etiquetas.
El dispositivo K1000 verifica si hay nuevas definiciones de OVAL todas las noches, pero usted debería esperar nuevas definiciones cada mes. Si se habilitan las pruebas de OVAL, el dispositivo descarga nuevas definiciones de OVAL en todos los dispositivos administrados durante la siguiente actualización de scripts, siempre que haya un nuevo paquete disponible e independientemente de los ajustes del programa de OVAL.
El archivo ZIP de actualización de OVAL puede tener más de 30 MB, por lo que resulta lo suficientemente pesado como para influir en el rendimiento de dispositivos con conexiones lentas. El archivo ZIP incluye las versiones de 32 y 64 bits del OVAL Interpreter y utiliza la versión adecuada para el dispositivo. El OVAL Interpreter requiere Microsoft .NET Framework y es compatible con la versión completa ("extendida") y la versión cliente.
Para ejecutar pruebas de OVAL, debe habilitar OVAL, seleccionar los dispositivos y sistemas operativos de destino, y establecer un programa de ejecución.
Las pruebas de OVAL requieren el uso extenso de los recursos y pueden afectar el rendimiento de los dispositivos de destino. Por lo tanto, deberá tener cuidado al configurar los ajustes de OVAL.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
4. |
En la sección Programar, especifique la hora y la frecuencia para la ejecución de OVAL: |
Ajuste |
Descripción |
Ninguno |
Ejecute en combinación con un evento y no en una fecha u hora específicas. |
Cada n minutos/horas |
Se ejecuta en un intervalo especificado. |
Todos los días/un día específico a las HH:MM |
Se ejecuta cada día a una hora especificada o se ejecuta en un día de la semana designado a una hora específica. |
Ejecutar el día (número) de cada mes o de un mes específico a las HH:MM |
Se ejecuta el mismo día todos los meses o en un mes específico a una hora determinada. |
Personalizado |
Se ejecuta de acuerdo con un programa personalizado.
Usar el formato cronológico de cinco campos estándar (no se admite el formato cron. extendido):
Utilice lo siguiente al especificar valores:
• |
Asteriscos (*): Incluya toda la gama de valores de un campo con un asterisco. Por ejemplo, un asterisco en el campo de hora indica cada hora. |
• |
Comas (,): Separe los valores de un campo con una coma. Por ejemplo, 0,6 en el campo de día de la semana indica Domingo y Sábado. |
• |
Guiones (-): Indique una gama de valores de un campo con un guion. Por ejemplo, 1-5 en el campo de día de la semana equivale a 1,2,3,4,5, lo que indica de lunes a viernes. |
• |
Barras inclinadas (/): Especifique los intervalos en los cuales repetir una acción con una barra inclinada. Por ejemplo, */3 en el campo de hora equivale a 0,3,6,9,12,15,18,21. El asterisco ( *) especifica cada hora, pero /3 lo limita a horas divisibles por 3. |
Ejemplos: |
Ejecutar en la próxima conexión si está desconectado |
Cuando se ejecuta un análisis de OVAL, calcula el número de máquinas en que se supone se ejecutará en función de sus etiquetas, o sus sistemas operativos, o mediante la identificación manual de las máquinas seleccionadas. Dado ese conjunto de máquinas, el análisis de OVAL luego determina cuál de esas máquinas se encuentra actualmente en línea y, a continuación, pone en línea una tarea para las máquinas en línea en el Konductor.
Cuando se selecciona esta opción, el análisis de OVAL omite el paso que identifica las máquinas en línea y se ejecuta en las máquinas en línea. Para las máquinas sin conexión, la tarea se agrega a la cola del Konductor y se ejecuta cuando esas máquinas vuelven a estar en línea.
Todas las tareas posteriores para ejecutar el análisis de OVAL (por ejemplo, para una máquina sin conexión que ya existe en la cola del Konductor) sobrescriben las tareas existentes, de modo que nunca más puede haber una tarea en la cola del Konductor para la misma máquina.
De forma predeterminada, esta opción está deshabilitada. |
6. |
Haga clic en Ejecutar ahora para ejecutar el script inmediatamente. |
La página Informe de OVAL muestra las pruebas de OVAL que se han ejecutado desde la última vez que se actualizaron las definiciones de OVAL.
Los resultados de OVAL se eliminan de esta página cuando se actualizan las definiciones de OVAL. Para guardar los resultados, programe un informe del dispositivo OVAL para que se ejecute periódicamente. Consulte Agregue programas de informes.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
c. |
En la sección Informes, haga clic en Mostrar resumen de resultados. |
Desde la vista Detalles de la prueba, puede ver todos los dispositivos que reprobaron la prueba de OVAL y puede asignar una etiqueta a esos dispositivos para aplicarles un parche más adelante.
b. |
En Informes, haga clic en Mostrar cumplimiento del dispositivo. |
3. |
Seleccione Elegir actividad, luego seleccione la etiqueta que corresponda en Aplicar etiqueta a dispositivos afectados. |
La página Cumplimiento del dispositivo de OVAL muestra una lista de dispositivos con los resultados de las pruebas de OVAL. En la lista puede ver un resumen de las pruebas que se ejecutaron en dispositivos específicos.
La etiqueta dentro de la columna Dispositivo de la página Informe informático de OVAL es el id. de inventario asignado por el componente de inventario de K1000.
Para obtener más información sobre cualquiera de los dispositivos en el informe, haga clic en el nombre del dispositivo vinculado para navegar hasta la página de detalles del dispositivo.
a. |
Inicie sesión en la consola de administrador de K1000, http://K1000_hostname/admin. O bien, si la opción Mostrar menú de organización en encabezado de administración está habilitada en los ajustes generales del dispositivo, seleccione una organización de la lista desplegable en la esquina superior derecha de la página junto a la información de inicio de sesión. |
c. |
En la sección Informes, haga clic en Mostrar resumen de resultados. |
Aparece la página Cumplimiento del dispositivo OVAL que contiene una lista de informes de OVAL.
Acerca de SCAP
SCAP (Protocolo de automatización del contenido de seguridad) es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina los sistemas para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren en los dispositivos con Windows.
El SCAP está establecido por el Instituto Nacional de Estándares y Tecnología (NIST) y su uso es exigido por agencias gubernamentales como la US OMB (Oficina de Administración y Presupuesto de Estados Unidos).
El SCAP utiliza la base de datos nacional de vulnerabilidad (NVD) del gobierno de EE.UU., que es un repositorio de datos de administración de vulnerabilidad basado en estándares. La NVD incluye bases de datos de listas de comprobación de seguridad, de imperfecciones de software relacionadas con la seguridad, de configuraciones incorrectas, de nombres de productos y de métricas de impacto. Para obtener más información sobre el SCAP y la NVD, visite los sitios web del NIST en http://scap.nist.gov/index.html y http://nvd.nist.gov/.
El dispositivo K1000 es compatible con SCAP 1.0, 1.1, y 1.2 y SCAP está certificado para ejecutarse en plataformas de Windows 7 (sistemas de 32 bits y 64 bits), Windows Vista y Windows XP.
El dispositivo K1000 realiza análisis de SCAP por medio del software agente de K1000 que se instala en los dispositivos administrados. SCAP no se encuentra disponible para dispositivos que no cuenten con el software agente de K1000 instalado, como es el caso de los dispositivos sin agente.
El dispositivo K1000 realiza análisis de SCAP a través de la ejecución de scripts en dispositivos seleccionados administrados por agentes que utilizan listas de comprobación de configuración de seguridad del repositorio nacional de listas de comprobación.
Para las versiones 1.0 y 1.1 de SCAP, los scripts verifican la secuencia de datos de SCAP escrita en formatos XML de acuerdo con los siguientes estándares de SCAP: CCE, CPE, CVE, CVSS, OVAL y XCCDF. Consulte Definiciones de estándares de SCAP.
El SCAP 1.2 incorpora el concepto de "Secuencia de datos", en donde todos los archivos de resultados individuales se combinan en un único archivo XML. Además, el SCAP 1.2 incorpora un nuevo formato de salida llamado ARF (Asset Report Format 1.1). Para obtener más información, visite http://scap.nist.gov/specifications/arf/.
El dispositivo K1000 utiliza el software agente para realizar controles de cumplimiento de análisis de SCAP. Los archivos de resultados se cargan en la base de datos del dispositivo o de la organización y se ordenan en un único archivo para informar a una agencia de gobierno (si se solicita). Los resultados también se muestran para cada dispositivo en la página Resultados del análisis de SCAP del dispositivo.
Si el componente Organización está habilitado en su dispositivo, puede visualizar los resultados del análisis de SCAP para cada organización por separado.
El SCAP utiliza la versión 5.10.1 de OVAL Interpreter y proporciona:
Estas funciones mejoran la seguridad del software, la evaluación de amenazas y la corrección de vulnerabilidades.
Los análisis de SCAP supervisan la seguridad del dispositivo con protocolos y estándares especificados.
Estándar |
Definición |
CCE |
La enumeración de configuración común (CCE) proporciona identificadores únicos a los problemas de configuración del sistema para facilitar la rápida y precisa correlación de los datos de configuración a través de múltiples fuentes y herramientas de información.
Los resultados del control de cumplimiento generados por el análisis de SCAP del dispositivo de administración K1000 incluyen las referencias de id. de CCE significativas para las definiciones de XCCDF y de OVAL para cada regla marcada como designada en la definición de la lista de comprobación.
La información CCE está disponible en el archivo de resultados XCCDF y en la página Resultados del análisis de SCAP del dispositivo. |
CPE |
La enumeración de plataforma común (CPE) es un esquema de nombres estructurados para sistemas de tecnología de la información, plataformas y paquetes. CPE se basa en la sintaxis general de los identificadores uniformes de recursos (URI). Incluye un formato de nombres formal, un lenguaje para describir plataformas complejas, un método para controlar nombres con un sistema, y un formato de descripción para el texto de enlace y las pruebas para un nombre. En esencia, CPE asegura que se aplique la lista de comprobación de seguridad a la plataforma correcta.
La información está disponible en el archivo de resultados XCCDF y en la página Resultados del análisis de SCAP del dispositivo. |
CVE |
Vulnerabilidad y exposiciones comunes es una lista o un diccionario que brinda identificadores estándares (nombres comunes) para vulnerabilidades de seguridad e imperfecciones del software que son de público conocimiento.
Los resultados del control de cumplimiento generados por el análisis de SCAP del dispositivo de administración K1000 incluyen las referencias de Id. de CVE significativas y la definición de OVAL para cada regla verificada en la definición de la lista de comprobación.
Para cada parche o vulnerabilidad, las referencias de Id. de CVE se proporcionan en la página Resultados del análisis de SCAP del dispositivo.
La información de CVE se almacena en un archivo XML de resultados de parches generado por el análisis. El archivo se encuentra disponible para su revisión y verificación en el directorio de trabajo del agente y en la página Resultados del análisis de SCAP del servidor. |
CVSS |
El Sistema de puntuación de vulnerabilidad común proporciona un marco abierto para la comunicación de las características y los impactos de las vulnerabilidades de TI. El modelo cuantitativo permite garantizar una medición sistemática precisa, al tiempo que permite a los usuarios ver las características de vulnerabilidad subyacentes que se utilizaron para generar las puntuaciones. El CVSS es muy adecuado para industrias, organizaciones o gobiernos que necesitan puntuaciones de impactos de vulnerabilidad precisas y coherentes. Entre otros, el CVSS ayuda a priorizar las actividades de corrección de vulnerabilidad y a calcular la gravedad de las vulnerabilidades. La Base de datos nacional de vulnerabilidad (NVD) brinda los puntuaciones CVSS para casi todas las vulnerabilidades conocidas. |
OVAL |
El lenguaje abierto de evaluación y vulnerabilidad (OVAL) es un estándar internacional de la comunidad de seguridad de la información para promover el contenido de seguridad disponible de forma pública y abierta. Estandariza la transferencia de esta información a través de todo el espectro de herramientas y servicios de seguridad.
Los resultados de cada prueba de OVAL se escriben en varios archivos en el dispositivo de destino y, luego, se compilan en un único archivo de resultados en el dispositivo y se muestran en la página Resultados del análisis de SCAP. |
SCAP |
El protocolo de automatización del contenido de seguridad es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina los dispositivos para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren. Consulte Acerca de SCAP. |
XCCDF |
El formato de descripción de la lista de comprobación de configuración extensible (XCCDF) es un lenguaje de especificación para escribir las listas de comprobación de seguridad, los bancos de pruebas y los documentos relacionados. Un archivo XCCDF contiene una colección estructurada de reglas de configuración de seguridad para un conjunto de dispositivos de destino. La especificación está diseñada para admitir el intercambio de información, la generación de documentos, la adaptación organizativa y circunstancial, las pruebas de cumplimiento automatizadas, y el puntaje de cumplimiento. Consulte Como funciona un análisis de SCAP. |
Versiones y plataformas compatibles con SCAP
SCAP (Protocolo de automatización del contenido de seguridad) es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina los sistemas para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren en los dispositivos con Windows.
El SCAP está establecido por el Instituto Nacional de Estándares y Tecnología (NIST) y su uso es exigido por agencias gubernamentales como la US OMB (Oficina de Administración y Presupuesto de Estados Unidos).
El SCAP utiliza la base de datos nacional de vulnerabilidad (NVD) del gobierno de EE.UU., que es un repositorio de datos de administración de vulnerabilidad basado en estándares. La NVD incluye bases de datos de listas de comprobación de seguridad, de imperfecciones de software relacionadas con la seguridad, de configuraciones incorrectas, de nombres de productos y de métricas de impacto. Para obtener más información sobre el SCAP y la NVD, visite los sitios web del NIST en http://scap.nist.gov/index.html y http://nvd.nist.gov/.
El dispositivo K1000 es compatible con SCAP 1.0, 1.1, y 1.2 y SCAP está certificado para ejecutarse en plataformas de Windows 7 (sistemas de 32 bits y 64 bits), Windows Vista y Windows XP.
El dispositivo K1000 realiza análisis de SCAP por medio del software agente de K1000 que se instala en los dispositivos administrados. SCAP no se encuentra disponible para dispositivos que no cuenten con el software agente de K1000 instalado, como es el caso de los dispositivos sin agente.
El dispositivo K1000 realiza análisis de SCAP a través de la ejecución de scripts en dispositivos seleccionados administrados por agentes que utilizan listas de comprobación de configuración de seguridad del repositorio nacional de listas de comprobación.
Para las versiones 1.0 y 1.1 de SCAP, los scripts verifican la secuencia de datos de SCAP escrita en formatos XML de acuerdo con los siguientes estándares de SCAP: CCE, CPE, CVE, CVSS, OVAL y XCCDF. Consulte Definiciones de estándares de SCAP.
El SCAP 1.2 incorpora el concepto de "Secuencia de datos", en donde todos los archivos de resultados individuales se combinan en un único archivo XML. Además, el SCAP 1.2 incorpora un nuevo formato de salida llamado ARF (Asset Report Format 1.1). Para obtener más información, visite http://scap.nist.gov/specifications/arf/.
El dispositivo K1000 utiliza el software agente para realizar controles de cumplimiento de análisis de SCAP. Los archivos de resultados se cargan en la base de datos del dispositivo o de la organización y se ordenan en un único archivo para informar a una agencia de gobierno (si se solicita). Los resultados también se muestran para cada dispositivo en la página Resultados del análisis de SCAP del dispositivo.
Si el componente Organización está habilitado en su dispositivo, puede visualizar los resultados del análisis de SCAP para cada organización por separado.
El SCAP utiliza la versión 5.10.1 de OVAL Interpreter y proporciona:
Estas funciones mejoran la seguridad del software, la evaluación de amenazas y la corrección de vulnerabilidades.
Los análisis de SCAP supervisan la seguridad del dispositivo con protocolos y estándares especificados.
Estándar |
Definición |
CCE |
La enumeración de configuración común (CCE) proporciona identificadores únicos a los problemas de configuración del sistema para facilitar la rápida y precisa correlación de los datos de configuración a través de múltiples fuentes y herramientas de información.
Los resultados del control de cumplimiento generados por el análisis de SCAP del dispositivo de administración K1000 incluyen las referencias de id. de CCE significativas para las definiciones de XCCDF y de OVAL para cada regla marcada como designada en la definición de la lista de comprobación.
La información CCE está disponible en el archivo de resultados XCCDF y en la página Resultados del análisis de SCAP del dispositivo. |
CPE |
La enumeración de plataforma común (CPE) es un esquema de nombres estructurados para sistemas de tecnología de la información, plataformas y paquetes. CPE se basa en la sintaxis general de los identificadores uniformes de recursos (URI). Incluye un formato de nombres formal, un lenguaje para describir plataformas complejas, un método para controlar nombres con un sistema, y un formato de descripción para el texto de enlace y las pruebas para un nombre. En esencia, CPE asegura que se aplique la lista de comprobación de seguridad a la plataforma correcta.
La información está disponible en el archivo de resultados XCCDF y en la página Resultados del análisis de SCAP del dispositivo. |
CVE |
Vulnerabilidad y exposiciones comunes es una lista o un diccionario que brinda identificadores estándares (nombres comunes) para vulnerabilidades de seguridad e imperfecciones del software que son de público conocimiento.
Los resultados del control de cumplimiento generados por el análisis de SCAP del dispositivo de administración K1000 incluyen las referencias de Id. de CVE significativas y la definición de OVAL para cada regla verificada en la definición de la lista de comprobación.
Para cada parche o vulnerabilidad, las referencias de Id. de CVE se proporcionan en la página Resultados del análisis de SCAP del dispositivo.
La información de CVE se almacena en un archivo XML de resultados de parches generado por el análisis. El archivo se encuentra disponible para su revisión y verificación en el directorio de trabajo del agente y en la página Resultados del análisis de SCAP del servidor. |
CVSS |
El Sistema de puntuación de vulnerabilidad común proporciona un marco abierto para la comunicación de las características y los impactos de las vulnerabilidades de TI. El modelo cuantitativo permite garantizar una medición sistemática precisa, al tiempo que permite a los usuarios ver las características de vulnerabilidad subyacentes que se utilizaron para generar las puntuaciones. El CVSS es muy adecuado para industrias, organizaciones o gobiernos que necesitan puntuaciones de impactos de vulnerabilidad precisas y coherentes. Entre otros, el CVSS ayuda a priorizar las actividades de corrección de vulnerabilidad y a calcular la gravedad de las vulnerabilidades. La Base de datos nacional de vulnerabilidad (NVD) brinda los puntuaciones CVSS para casi todas las vulnerabilidades conocidas. |
OVAL |
El lenguaje abierto de evaluación y vulnerabilidad (OVAL) es un estándar internacional de la comunidad de seguridad de la información para promover el contenido de seguridad disponible de forma pública y abierta. Estandariza la transferencia de esta información a través de todo el espectro de herramientas y servicios de seguridad.
Los resultados de cada prueba de OVAL se escriben en varios archivos en el dispositivo de destino y, luego, se compilan en un único archivo de resultados en el dispositivo y se muestran en la página Resultados del análisis de SCAP. |
SCAP |
El protocolo de automatización del contenido de seguridad es un conjunto de estándares abiertos que enumera imperfecciones de software, supervisa las configuraciones relacionadas con la seguridad y los nombres de los productos, y examina los dispositivos para determinar la presencia de vulnerabilidades y clasificar (calificar) el impacto de los problemas de seguridad que se descubren. Consulte Acerca de SCAP. |
XCCDF |
El formato de descripción de la lista de comprobación de configuración extensible (XCCDF) es un lenguaje de especificación para escribir las listas de comprobación de seguridad, los bancos de pruebas y los documentos relacionados. Un archivo XCCDF contiene una colección estructurada de reglas de configuración de seguridad para un conjunto de dispositivos de destino. La especificación está diseñada para admitir el intercambio de información, la generación de documentos, la adaptación organizativa y circunstancial, las pruebas de cumplimiento automatizadas, y el puntaje de cumplimiento. Consulte Como funciona un análisis de SCAP. |