Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP ii Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP Contenido Guía del usuario de Configuration Management SCAP . . . . . . . . . . 1 Listas de comprobación . . . . . . . . . . Sitios personalizados . . . . . . . . . . Creación de un sitio personalizado . . . . . Suscripción de los clientes al sitio personalizado Acerca de SCAP . . . . . . . . . . . . Information Security Automation Program . . Visión general de SCAP . . . . . . . . Normas SCAP . . . . . . . . . . . . Opciones de disponibilidad de contenido . . . . . . . . . . . . 1 1 1 1 2 2 2 3 6 Utilización de SCAP . . . . . . . . . . . . 7 Suscripción al contenido de SCAP . . . . . . 8 Utilización del asistente de importación de SCAP 8 Utilización del asistente de creación de informes de SCAP . . . . . . . . . . . . . . 10 Recursos . . . . . . . . . . . . . . . 12 Preguntas más frecuentes . . . . . . . . . 12 Glosario . . . . . . . . . . . . . . 13 Abreviaturas . . . . . . . . . . . . . 14 Soporte técnico . . . . . . . . . . . . 15 Avisos . . . . . . . . . . . . . . . . 15 iii iv Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP Guía del usuario de Configuration Management SCAP Tivoli Endpoint Manager Configuration Management es una cartera de contenido en forma de listas de comprobación que permite a las organizaciones evaluar y administrar las configuraciones de ordenadores de sobremesa, portátiles y servidores. Tivoli Endpoint Manager Configuration Management es uno de los pocos productos a los que el National Institute of Standards and Technology (NIST) ha otorgado la Security Content Automation Protocol (SCAP) para la evaluación y solución de problemas de configuración. Al ofrecer una amplia biblioteca de controles técnicos, Configuration Management detecta y aplica las políticas de configuración de seguridad a la vez que utiliza las mejores prácticas del sector. Listas de comprobación Las listas de comprobación de Configuration Management evalúan y administran las configuraciones de ordenadores de sobremesa, portátiles y servidores. Los equipos de seguridad utilizan las listas de comprobación de Configuration Management para definir y evaluar las configuraciones y los parámetros de seguridad que requiere la política organizativa. Los directores de TI utilizan las listas de comprobación de Configuration Management para aplicar políticas de seguridad y documentar el estado actual del cumplimiento de la política. Los auditores las utilizan para determinar el estado actual de cumplimiento de un determinado conjunto de sistemas dentro de la organización. Para obtener información detallada sobre cómo configurar listas de comprobación de Windows o UNIX, consulte la Guía de listas de comprobación de Configuration Management. Sitios personalizados Puede controlar su estado de seguridad personalizando Configuration Management y excluyendo equipos específicos de un análisis. También puede crear sitios personalizados y reutilizar las listas de comprobación de Configuration Management para mejorar la implementación. Creación de un sitio personalizado Para crear una lista de comprobación personalizada en función de una o varias listas de comprobación suscritas externas, utilice el asistente Crear una lista de comprobación personalizada situado en la carpeta “Herramientas de la lista de comprobación” en el dominio de configuración de seguridad de la consola. Para obtener más información sobre cómo utilizar este asistente, consulte la Guía de listas de comprobación de Configuration Management. Suscripción de los clientes al sitio personalizado Después de crear su sitio personalizado, debe suscribir equipos a él. La recopilación correcta de datos de cumplimiento depende de la selección del contenido de los equipos adecuados. Puede suscribir equipos a su sitio mediante 1 equipos específicos o mediante propiedades del equipo. Para obtener información detallada sobre cómo crear y gestionar sitios personalizados, consulte la Guía del usuario de Configuration Management. Acerca de SCAP La función de automatización del proceso de configuración técnica de dispositivos en infraestructuras empresariales ha sido un reto histórico. Algunas organizaciones como el NIST (National Institute of Standards and Technology -Instituto Nacional de Normas y Tecnología), la NSA (National Security Agency -Agencia de seguridad nacional), el CIS (Center for Internet Security -Centro para la seguridad en Internet) y la DISA (Defense Information Systems Agency -Agencia de Sistemas de Información de Defensa) han tratado de dar alguna orientación a través de documentación, normas y directrices. Pero la tecnología ha limitado la capacidad de automatizar completamente estas configuraciones técnicas, especialmente a escala en entornos de distribución global. El SCAP (Protocolo de automatización de contenido de seguridad) se ha adoptado para cumplir este reto. Como parte de la configuración del producto Configuration Management, SCAP es un método para automatizar la definición, el consumo y la evaluación de las configuraciones del sistema en sistemas de escritorio en toda la infraestructura de una organización. IBM Tivoli Endpoint Manager proporciona visibilidad en tiempo real y control sobre las configuraciones del sistema a través de una única infraestructura, un único agente y una única consola; y permite una evaluación continua y la aplicación de líneas de base de configuración SCAP en sistemas en red y no en red. Con Tivoli Endpoint Manager, los organismos estatales pueden identificar fácilmente sistemas que no cumplen con un flujo de datos SCAP, solucionar problemas de configuraciones que no son cumplen con las normas de seguridad e informar sobre el estado de la configuración de uno o varios sistemas en tiempo real. Information Security Automation Program Information Security Automation Program (ISAP) automatiza y estandariza las operaciones técnicas de seguridad. ISAP, principalmente centrado en el gobierno, ofrece control de seguridad, recuperación, así como la automatización de las actividades de cumplimiento técnico de normas como FISMA y FDCC. Los objetivos de ISAP incluyen la habilitación de la comunicación basada en estándares de datos de vulnerabilidad; la personalización y la gestión de líneas de base de configuración para varios productos de TI; la evaluación de los sistemas de información y la presentación de informes sobre la situación del cumplimiento. Para ello se utilizan métricas estándar para medir el impacto global de una posible vulnerabilidad y remediar las vulnerabilidades que se han encontrado. Visión general de SCAP Las especificaciones técnicas de ISAP se encuentran en el Security Content Automation Protocol (SCAP) relacionado. SCAP se compone de un conjunto de normas que permiten la gestión automatizada, la medición, y la evaluación de la política de cumplimiento de la vulnerabilidad, por ejemplo, el cumplimiento de la ley FISMA. En concreto, las normas SCAP se dirigen a los siguientes objetivos: 2 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP v Enumerar los defectos de software, nombres de productos y cuestiones de configuración relacionadas con la seguridad v Comprobar los sistemas para determinar la presencia de vulnerabilidades v Proporcionar mecanismos para clasificar los resultados de estas mediciones para evaluar el impacto de los problemas de seguridad que se han encontrado SCAP define la manera en la que se combinan estas normas. El NIST (National Institute of Standards and Technology) de EE.UU. se ocupa del programa NCP (National Checklist Program -Programa de listas de comprobación nacional) y proporciona un repositorio de fuentes de datos que utiliza las normas SCAP. También es el repositorio de datos oficiales de las normas SCAP. El NIST define y mantiene el protocolo y las fuentes de datos de contenido de las normas SCAP. Por lo tanto, el NIST define cómo utilizar los estándares abiertos en el contexto SCAP y define las correlaciones entre las normas enumeración SCAP. Normas SCAP SCAP se compone de las siguientes normas: CVE Common Vulnerabilities and Exposures (Exposiciones y vulnerabilidades comunes) El estándar CVE de SCAP es un diccionario de vulnerabilidades de seguridad de información conocidas públicamente que permite intercambios de datos entre productos de seguridad y proporciona un punto de referencia para evaluar la cobertura de herramientas y servicios. Tivoli Endpoint Manager ha utilizado el CVE en varias versiones del producto y mantiene una integración de contenido CVE en sus productos. Cualquier revisión de seguridad o vulnerabilidad que tenga asociado un ID de CVE y que esté disponible como flujo de datos SCAP o a través de otros procesos desarrollados de Tivoli Endpoint Manager mostrará el ID de CVE pertinente dentro de la consola de Tivoli Endpoint Manager. Puede encontrar este ID asociado con una vulnerabilidad o parche de seguridad. Para ello, debe abrir la consola de Tivoli Endpoint Manager y navegar hasta un parche o un sitio de Fixlet de vulnerabilidad, hacer doble clic en el Fixlet adecuado, seleccionar la pestaña Detalles y ver el ID de CVE. También se puede acceder al identificador de CVE desde otras vistas y se puede utilizar como parte de los criterios de presentación de informes detallados e informes de resumen de los sistemas individuales de punto final o para un grupo grande de sistemas del que se ha informado. Common Configuration Enumeration (CCE™) (Enumeración de configuración común) El estándar SCAP CCE proporciona identificadores exclusivos para los problemas de configuración del sistema para facilitar la correlación rápida y precisa de los datos de configuración a través de múltiples herramientas y fuentes de información. Por ejemplo, los identificadores CCE pueden asociar las comprobaciones de las herramientas de evaluación de configuración con las declaraciones de los documentos de mejores prácticas para la configuración. La plataforma Tivoli Endpoint Manager incluye la función de evaluar estaciones de trabajo, portátiles, servidores y dispositivos de informática móvil según los valores de configuración común para identificar los estados de configuración incorrecta en Guía del usuario de Configuration Management SCAP 3 un entorno informático diverso. Tivoli Endpoint Manager utiliza CCE y muestra el ID de CCE en cada configuración incorrecta para la que exista un ID de CCE en la consola de Tivoli Endpoint Manager. En caso de que se asocie una configuración incorrecta con múltiples identificaciones CCE, se realizarán referencias cruzadas de todos los ID y se mostrarán. Para encontrar el ID de CCE asociado a una opción de configuración, abra la consola de Tivoli Endpoint Manager y navegue a una opción de configuración utilizada por un flujo de datos SCAP. Haga clic en un Fixlet que representa una opción de configuración y consulte la columna de ID de origen. El ID de origen mostrará el ID de CCE. También se puede acceder al identificador de CCE desde otras vistas y se puede utilizar como parte de los criterios de presentación de informes detallados e informes de resumen de los sistemas individuales de punto final o para un grupo grande de sistemas del que se ha informado. Common Platform Enumeration (CPE™) (Enumeración de plataforma común) El estándar SCAP CPE es un esquema de nombres estructurado para sistemas de tecnología de la información, plataformas y paquetes. El CPE, que está basado en la sintaxis genérica de URI (identificadores uniformes de recursos), incluye un formato de nombre formal, un lenguaje para describir plataformas complejas, un método para comprobar los nombres en un sistema y un formato de descripción de texto para vincular texto y pruebas a un nombre. Tivoli Endpoint Manager utiliza CPE para garantizar que las opciones de configuración se evalúen en el sistema correcto. Independientemente del sistema operativo, el ID de CPE puede identificar una plataforma y garantizar que se realiza una evaluación. Puede evaluar y reparar configuraciones del sistema enfocando los sistemas según la plataforma, además de otros mecanismos. Al enfocarse en una plataforma en particular, puede asegurarse de que se realizan búsquedas en sistemas correctamente y de que se pesan en comprobaciones de configuración aplicables. Las comprobaciones se evalúan en tiempo real según la plataforma y se pueden hacer cumplir las políticas, lo que proporciona a los administradores una visibilidad actual y control sobre plataformas en un entorno de computación distribuido o no distribuido. Common Vulnerability Scoring System (CVSS) (Sistema de puntuación de vulnerabilidad común) El estándar CVSS de SCAP proporciona un marco abierto para la comunicación de las características de las vulnerabilidades de TI. Su modelo cuantitativo garantiza a los usuarios la medición exacta y repetible a la vez que muestra las características de vulnerabilidad que se utilizaron para generar los resultados. Por lo tanto, CVSS es muy adecuado como un sistema de medición estándar para las industrias, organizaciones y agencias que necesitan una puntuación precisa y coherente del impacto de la vulnerabilidad. Tivoli Endpoint Manager evalúa e informa sobre vulnerabilidades y cuantifica el impacto para varias plataformas informáticas. Tivoli Endpoint Manager utiliza el estándar CVSS y muestra la puntuación de base CVSS de cada vulnerabilidad aplicable y el vector de puntuación de base CVSS empleado para producir el resultado. Los administradores de Tivoli Endpoint Manager pueden acceder a la puntuación de CVSS y a la cadena de vectores asociada desde la consola de Tivoli Endpoint 4 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP Manager. Para obtener más información, los administradores pueden dirigirse a la definición de vulnerabilidad desde los Fixlets. Tivoli Endpoint Manager proporciona un enlace en el sitio web de NVD para que los administradores se puedan conectar a la definición CVSS. Tivoli Endpoint Manager aumenta el valor de CVSS exhibiendo esta métrica común para los informes detallados sobre los distintos sistemas de punto final y para grupos grandes de sistemas de los que se ha informado. Extensible Configuration Checklist Description Format (XCCDF) (Formato de descripción de listas de comprobación de configuración ampliable) El estándar XCCDF de SCAP es un lenguaje de especificación para escribir listas de comprobación de seguridad, puntos de referencia y documentos relacionados. Un documento XCCDF representa un grupo estructurado de reglas de configuración de seguridad para algunos conjuntos de sistemas de destino y es el elemento básico para el flujo de datos SCAP. La especificación también define un modelo de datos y el formato para almacenar los resultados de las pruebas de cumplimiento de listas de comprobación. Los flujos de datos de SCAP utilizan el formato XCCDF para traducir las comprobaciones de configuración subyacentes que se definen en los Fixlets de Tivoli Endpoint Manager. Cuando se crean, estos Fixlets de configuración basados en SCAP permiten a los administradores evaluar sus activos informáticos según las reglas de configuración definidas por SCAP en tiempo real y en una escala global. Cuando las reglas de configuración de SCAP se importen en Tivoli Endpoint Manager, cualquier sistema se puede evaluar inmediatamente con las reglas de configuración definidas. Los resultados de los controles de configuración se transmiten a la consola de Tivoli Endpoint Manager, donde los administradores pueden ver los resultados y generar informes detallados sobre un sistema individual o en grandes grupos de sistemas. Tivoli Endpoint Manager también exporta los resultados de las comprobaciones de configuración en el formato de informes XCCDF definido de tal manera que la organización puede almacenar, enviar o importar dichos informes en otra herramienta. OVAL™ Open Vulnerability and Assessment Language (Lenguaje abierto de evaluación y vulnerabilidad) El estándar OVAL de SCAP es un estándar internacional de seguridad de la información que promueve el contenido de seguridad y estandariza la transferencia de esta información en todos los servicios y herramientas de seguridad. El lenguaje OVAL es un grupo de esquemas XML que se utiliza para representar la información del sistema expresando estados específicos de la máquina, y notificando los resultados de la evaluación. A través de un repositorio de políticas de evaluación de la vulnerabilidad, Tivoli Endpoint Manager evalúa los sistemas gestionados según las definiciones de vulnerabilidad OVAL utilizando un seguimiento datos en tiempo real basado en los elementos de datos de cada definición. El producto Tivoli Endpoint Manager recupera automáticamente estas políticas en la red de una organización. Cuando se haya comprobado la autenticidad, las políticas se pondrán a disposición del cliente Tivoli Endpoint Manager instalado en cada equipo administrado y se añadirá a su grupo local de políticas de configuración. El agente evalúa continuamente el estado Guía del usuario de Configuration Management SCAP 5 de la máquina según la política de cada uno de manera que cualquier se pueda informar sobre cualquier instancia de incumplimiento al servidor de Tivoli Endpoint Manager para que la revise el administrador. Si el administrador lo autoriza previamente, se aplicará la acción correctiva apropiada al equipo inmediatamente después de la detección de una configuración errónea, incluso para los usuarios remotos o móviles que no estén conectados a la red de la organización. Opciones de disponibilidad de contenido SCAP se compone de las listas de comprobación de Fixlets de SCAP y de los asistentes de generación de SCAP, que los administradores de Tivoli Endpoint Manager pueden utilizar para administrar y mantener los resultados del cumplimiento y el contenido de la lista de comprobación basada en SCAP. Listas de comprobación de Fixlets de SCAP Tivoli Endpoint Manager distribuye Fixlets a través de suscripción y sitios. Tivoli Endpoint Manager toma el XML de lista de comprobación de SCAP, contenido de Tivoli Endpoint Manager generado a partir de él y lo pone a su disposición mediante suscripción. Los clientes cargan los encabezados de sitios externos para cada una de las listas de comprobación de SCAP disponibles en la consola de Tivoli Endpoint Manager, y el servidor de Tivoli Endpoint Manager descarga el contenido y lo pone a disposición del administrador de Tivoli Endpoint Manager para comenzar a evaluar en sistemas. Tivoli Endpoint Manager se entrega con contenido para las listas de comprobación de SCAP de FDCC (Federal Desktop Core Configuration). A medida que NIST proporciona listas de comprobación nuevas, Tivoli Endpoint Manager puede incluir estos sitios como parte del servicio de suscripción. Además de los sitios de Fixlet, Tivoli Endpoint Manager incluye un panel de control de informes que permite ver los resultados de las evaluaciones del sistema y otro para generar contenido de Tivoli Endpoint Manager desde una lista de comprobación de SCAP. Estos paneles de control se encuentran en el sitio Informes de gestión de configuración. Las listas de comprobación SCAP siguientes se incluyen actualmente con este producto: v FDCC en Windows XP v FDCC en el cortafuegos de Windows XP v FDCC en Windows Vista v FDCC en el cortafuegos de Windows Vista v FDCC en Internet Explorer 7 v USGCB en el cortafuegos de Windows 7 v USGCB en Windows 7 Energy v USGCB en Internet Explorer 8 v USGCB en Windows 7 Asistentes de generación SCAP Puede personalizar listas de comprobación de SCAP para generar sus propias listas de comprobación de configuración en lugar de utilizar contenidos basados en 6 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP suscripción. Para facilitar esto, Tivoli Endpoint Manager proporciona herramientas que le permiten utilizar una lista de comprobación de SCAP y generar Fixlets para evaluar uno o varios puntos finales. Están incluidas las siguientes herramientas: 1. Asistente para importación SCAP: este asistente genera contenido de Tivoli Endpoint Manager desde una lista de comprobación de SCAP. El contenido se importará en un sitio personalizado que cree para este fin. Se incluye un Fixlet para cada control en la lista de comprobación de SCAP. 2. Asistente para la creación de informes SCAP: este asistente se utiliza para crear un archivo de resultados XCCDF para cada punto final administrado. Utilización de SCAP Tivoli Endpoint Manager proporciona actualizaciones periódicas en el contenido de FDCC. Sin embargo, también podrá utilizar las herramientas SCAP para generar contenido a partir de otras listas de comprobación de SCAP. Guía del usuario de Configuration Management SCAP 7 Suscripción al contenido de SCAP La solución Tivoli Endpoint Manager Configuration Management consta de varios Fixlets externos que se pueden importar en la consola de Tivoli Endpoint Manager para evaluar uno o varios sistemas. Cada Fixlet proporciona un conjunto específico de contenido basado en la conversión de un flujo de datos SCAP individual en un conjunto de Fixlets. Cada Fixlet representa una comprobación de la configuración única como se describe en el flujo de datos SCAP. Una vez que el sitio SCAP se ha cargado en la consola, el contenido se actualiza y se evalúan continuamente los puntos finales para el cumplimiento con la norma de configuración. El proceso de suscripción del sitio depende de la versión de la consola de Tivoli Endpoint Manager. Para instrucciones específicas de suscripción al sitio, consulte el artículo de la Base de conocimiento de Tivoli Endpoint Manager aquí. Una vez que el sitio de SCAP se haya cargado en la consola, el servidor de Tivoli Endpoint Manager reunirá el contenido y lo mostrará en el árbol de navegación de Configuration Management. Nota: Cuando Tivoli Endpoint Manager genera Fixlets a partir de un flujo de datos SCAP, las secuencias CPE asociadas con el flujo de datos SCAP determina qué tipos de sistemas deben evaluarse en el contenido. Cuando se suscriban, los sistemas evaluarán el contenido, si el contenido coincide con la secuencia CPE definida. Este comportamiento se puede alterar. Para obtener más información, consulte el sitio web de soporte de Tivoli Endpoint Manager. Utilización del asistente de importación de SCAP Utilice este asistente para generar contenido de Tivoli Endpoint Manager a partir de un conjunto de archivos de entrada XML SCAP. El contenido que se genera incluye un Fixlet para cada comprobación que se haya encontrado en la lista de comprobación de SCAP. Antes de utilizar el asistente, debe crear un sitio personalizado que contendrá la lista de comprobación resultante. Para obtener más 8 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP información sobre cómo utilizar listas de comprobación personalizadas, consulte la Guía del usuario de Configuration Management. Puede obtener las listas de comprobación de SCAP aquí. El Asistente para importación SCAP se ha validado para las listas de comprobación del nivel IV en este repositorio. Para utilizar el asistente de importación, siga estos pasos: 1. Haga clic en Examinar y seleccione el archivo XCCDF que desea importar. 2. Opcional: marque la casilla de requisitos de contenido de OVAL. 3. Opcional: especifique un archivo de esquema XSD XCCDF que se utilizará para validar la entrada XML. 4. Haga clic en Cargar perfiles. Se visualizará la ventana para seleccionar los perfiles de XCCDF. Este proceso puede llevar de 1 a 2 minutos. 5. Seleccione un perfil XCCDF en el menú. 6. Haga clic en Importar. Se visualizará la ventana Importar contenido. Seleccione el sitio personalizado en el menú y haga clic en Aceptar. Guía del usuario de Configuration Management SCAP 9 Utilización del asistente de creación de informes de SCAP Para generar un archivo de resultados XCCDF para cada punto final utilizando el asistente para la creación de informes SCAP, realice los pasos siguientes: 1. Haga clic en la creación de informes SCAP. 2. Seleccione los parámetros de informes. 10 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP a. Especifique una lista de comprobación SCAP en el menú. b. Para especificar una carpeta de salida, haga clic en el botón de la parte superior Examinar. c. Opcional: para especificar un esquema XCCDF para validar el archivo de resultados, haga clic en el botón de la parte inferior Examinar. 3. Marcar equipos como objetivo. Puede seleccionar equipos por su nombre, propiedad o grupo de equipos. También puede escribir manualmente una lista de equipos en el campo correspondiente. Haga clic en el botón Ver equipos seleccionados para comprobar su selección. 4. Seleccionar propiedades de informe adicionales. Utilice la barra de desplazamiento para ver una lista de las propiedades de informe disponibles. Compruebe las casillas correspondientes y visualice cada selección en el recuadro correspondiente Incluido en el Informe a la derecha. Guía del usuario de Configuration Management SCAP 11 5. Haga clic en Crear informe. Asigne el tiempo adecuado para la creación de estos informes. La cantidad de tiempo utilizado para generar un informe depende del tamaño de su implementación. Por ejemplo, la creación de un informe para el despliegue de 5000 equipos puede llevar 15 minutos en un equipo de consola con el tamaño adecuado. Recursos Preguntas más frecuentes ¿Hay informes de evaluación de conformidad o mecanismos que comparen un portátil o un servidor con los estándares FISMA/NIST/DISA? Tivoli Endpoint Manager Configuration Management evalúa los servidores, los portátiles y los equipos de escritorio según un conjunto predefinido de normas de configuración como DISA STIG (Standard Technical Implementation Guides) y FDCC (Federal Desktop Core Configuration). Tivoli Endpoint Manager también puede dar soporte a los estándares de configuración de NIST, NSA y otras organizaciones de normativas. Se puede adherir a la reglamentación de cumplimiento de normas, tales como FISMA, PCI, mediante los controles de configuración de normas que se proporcionan con Tivoli Endpoint Manager en entornos Windows y UNIX. ¿Qué es lo que no se puede hacer con este contenido? La solución Tivoli Endpoint Manager Confirmation Management está diseñada para ser flexible. Sin embargo, la funcionalidad de recuperación en Windows y UNIX se limita a unos valores de configuración específicos. En algunos casos, hay controles que no se pueden recuperar. La funcionalidad de parámetro en Windows y UNIX se limita a unos valores de configuración específicos. Al igual que la recuperación, no de todo se pueden o se deben extraer parámetros. ¿Qué pasa si suscribo sitios a un sistema de forma incorrecta? Si es posible, utilice la función de suscripción a sitios al implementar Configuration Management para garantizar que el panel de control y los informes calculen los resultados de cumplimiento correctamente. Los controles de Configuration Management evalúan en cualquier punto final que está suscrito, incluidos los sistemas que no deben evaluar contenido. La utilización de las suscripciones adecuadamente garantiza que sólo los sistemas designados evalúen el contenido. Durante la instalación de los sitios de Confirmation Management que se proporcionan con el programa, modifique de inmediato la suscripción. Al crear listas de comprobación personalizadas, asegúrese de suscribir los sistemas 12 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP adecuados. Si los sistemas no se suscriben adecuadamente, los informes de Configuration Management calcularán la conformidad de forma incorrecta. Ejemplo: Si carga los encabezados de Windows XP, de manera predeterminada se medirá el contenido en todos los sistemas, incluyendo los sistemas Windows XP, Windows Vista y UNIX. Este comportamiento hace que cada sistema que no sea Windows XP devuelva un resultado No relevante. Esto se traduce en Conforme al ejecutar informes. Al establecer la suscripción del sitio para que se incluyan sólo los sistemas Windows XP, sólo se evaluarán los sistemas Windows XP. Esto garantiza que los informes de cumplimiento generen los resultados más precisos. La "Fecha de lanzamiento de la fuente" del contenido FDCC, ¿debería ser la fecha que publicó NIST, o la fecha en que se generó el contenido? Los datos consumidos desde un flujo de datos SCAP incluye las siguientes fechas de referencia: 1. Fecha de lanzamiento de la fuente: esta fecha representa la fecha en que Tivoli Endpoint Manager generó los Fixlets de la configuración que se incluyen con el programa a partir de un flujo de datos SCAP o la fecha en que un usuario genera contenido mediante la herramienta SCAPEval.exe. Esta fecha se muestra en la columna Fecha de lanzamiento de la fuente de cada Fixlet encontrado en la consola de Tivoli Endpoint Manager. 2. Fecha y estado de publicación: en el flujo de datos de SCAP, cada objeto de la lista de comprobación incluye un elemento de estado que indica el estado de revisión o de estandarización para una lista de comprobación. Este elemento debe mostrarse una vez en un objeto de la lista de comprobación y se puede mostrar una vez en cualquier elemento. Si un elemento no tiene su propio elemento de estado, se presupone el elemento padre. Este elemento incluye un estado (aceptado, en desuso, proyecto, provisional o incompleto) junto con una fecha que indica cuándo ha entrado la lista de comprobación en el estado determinado. Cuando se crean los Fixlets, el estado adecuado se añade a la sección Descripción de información de lista de comprobación del Fixlet: v Fecha aceptada: AAAA-MM-DD v Fecha obsoleta: AAAA-MM-DD v Fecha en proyecto: AAAA-MM-DD v Fecha provisional: AAAA-MM-DD v Fecha incompleta: AAAA-MM-DD Glosario Comprobación SCAP Es una comprobación de configuración específica dentro de una lista de comprobación SCAP. Las comprobaciones están escritas en XCCDF y deben incluir las enumeraciones SCAP y correlaciones de cada plantilla SCAP. Contenidos SCAP Son los datos de la lista de comprobación de seguridad representados en formatos XML automatizados, enumeraciones relacionadas con el nombre del producto y la vulnerabilidad, y las correlaciones entre las enumeraciones. Correlaciones SCAP Interrelacionan las enumeraciones y proporcionan mediciones del impacto Guía del usuario de Configuration Management SCAP 13 basadas en normas de problemas de configuración y errores del software. Por lo tanto, para cualquier defecto de software determinado (CVE), se pueden determinar los nombres de producto estándar afectados (CPE). Para cualquier nombre de producto estándar (CPE), se pueden determinar los problemas de configuración que afectan a ese producto (CCE). Para cualquier defecto de software determinado (CVE) o problema de configuración (CCE), se puede determinar la puntuación del impacto de la norma (CVSS). Enumeraciones SCAP Incluyen la lista de todos los problemas de seguridad del software conocidos (CVE), la lista de problemas de configuración del software conocidos (CCE) y la lista de los nombres de producto y los proveedores estándar (CPE). Informes SCAP Los informes SCAP deben incluir las enumeraciones SCAP y correlaciones de cada plantilla SCAP. Listas de comprobación de SCAP Las listas de comprobación de SCAP son listas de comprobación de configuración escritas en lenguaje que puede leer una máquina (XCCDF). Las listas de comprobación SCAP, también denominadas “listas de comprobación” o “líneas de base”, son listas que ha presentado y aprobado el National Checklist Program del NIST. También se ajustan a una plantilla SCAP para asegurar la compatibilidad con los productos y servicios SCAP. Las plantillas SCAP plantean los requisitos necesarios para la inclusión de las enumeraciones SCAP y las correlaciones dentro de la lista de comprobación. Procedimientos de pruebas SCAP Las listas de comprobación SCAP hacen referencia a “procedimientos de pruebas SCAP” para información legible por una máquina sobre la realización de pruebas de bajo nivel del estado de la máquina (OVAL). Los procedimientos de pruebas SCAP se utilizan junto con listas de comprobación SCAP. Abreviaturas CCE Common Configuration Enumeration (Enumeración de configuración común) CPE Common Platform Enumeration (Enumeración de plataforma común) CVE Vulnerabilidades y riesgos comunes CVSS Common Vulnerability Scoring System (Sistema de puntuación de vulnerabilidad común) DHS Department of Homeland Security (Departamento de Seguridad Nacional Americano) DISA Defense Information Systems Agency (Agencia de Sistemas de Información de la Defensa) DoD Department of Defense (Ministerio de Defensa) DOE Department of Energy (Ministerio de Energía) FDCC Federal Desktop Core Configuration (Estándares de la Administración Federal de los EE.UU. sobre configuración básica de escritorios) 14 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP FISMA Federal Information Security Management Act (Ley de la Administración Federal de los EE.UU. sobre seguridad de la información) NCP National Checklist Program (Programa Nacional de EE.UU. sobre Listas de comprobación) NIST National Institute of Standards and Technology (Instituto Nacional Americano de Estándares y Tecnología) NSA National Security Agency (Agencia Nacional de Seguridad Americana) NVD National Vulnerability Database (Base de datos oficial del gobierno de EE.UU. sobre vulnerabilidades) OMB Office of Management and Budget (Oficina de Administración y Presupuesto) OVAL Open Vulnerability and Assessment Language (Lenguaje Abierto de evaluación y vulnerabilidades) SCAP Security Content Automation Protocol (Automatización del contenido de seguridad) STIG Standard Technical Implementation Guide (Guía de implementación técnica estándar de seguridad) CONFIGURATION MANAGEMENT Gestión de la configuración de seguridad XCCDF eXtensible Configuration Checklist Description Format (Formato de descripción de listas de comprobación de configuración ampliable) Soporte técnico El sitio de soporte técnico de Tivoli Endpoint Manager ofrece varias opciones de soporte especializadas que le ayudarán a aprender, entender y optimizar su uso de este producto: v Centro de información de Tivoli Endpoint Manager v v v v Sitio de soporte Documentación Base de conocimiento Foros y comunidades Avisos Puede que IBM no ofrezca los productos, servicios o características tratados en este documento en otros países. Póngase en contacto con el representante de IBM para obtener información sobre los productos y servicios disponibles actualmente en su área. Cualquier referencia a un producto, programa o servicio de IBM no pretende implicar que únicamente se pueda utilizar el producto, programa o servicio de IBM. Puede utilizarse en su lugar cualquier producto, programa o servicio funcionalmente equivalente que no infrinja ningún derecho de propiedad intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y verificar el funcionamiento de cualquier producto, programa o servicio que no sea de IBM. IBM puede tener patentes o aplicaciones pendientes de patente que abarquen el tema descrito en este Guía del usuario de Configuration Management SCAP 15 documento. La entrega de este documento no le otorga ninguna licencia sobre dichas patentes. Puede enviar sus consultas sobre licencias, por escrito, a: IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 EE.UU. Para realizar consultas sobre licencias relacionadas con la información de doble byte (DBCS), póngase en contacto con el departamento de propiedad intelectual de IBM de su país o envíe sus consultas, por escrito, a: Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan Ltd. 1623-14, Shimotsuruma, Yamato-shi Kanagawa 242-8502 Japón El siguiente párrafo no se aplica en el Reino Unido ni en ningún otro país en el que dichas disposiciones entren en conflicto con la legislación local: INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN "TAL CUAL" SIN GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NI IMPLÍCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS IMPLÍCITAS DE NO INFRINGIMIENTO, COMERCIABILIDAD O ADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunas legislaciones no contemplan la declaración de limitación de responsabilidad, ni implícita ni explícita, en determinadas transacciones, por lo que cabe la posibilidad de que esta declaración no sea aplicable en su caso. Esta información puede contener inexactitudes técnicas o errores tipográficos. Periódicamente se realizan cambios en la información aquí contenida; estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puede realizar mejoras y/o cambios en el producto productos y/o en el programa o programas descritos en esta publicación en cualquier momento y sin previo aviso. Las referencias en esta información a sitios web que no son de IBM se proporcionan sólo para su comodidad y de ninguna manera constituyen una recomendación de estos sitios web. Los materiales de dichos sitios web no forman parte de los materiales para este producto IBM y el uso de dichos sitios web es a cuenta y riesgo del usuario. IBM puede utilizar o distribuir la información que se le proporcione del modo que considere conveniente sin incurrir en ninguna obligación con usted 16 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP Los usuarios con licencia de este programa que deseen obtener información sobre éste con el propósito de habilitar: (i) el intercambio de información entre programas creados independientemente y otros programas (incluido este) y (ii) el uso mutuo de la información que se ha intercambiado, deben ponerse en contacto con: IBM Corporation 2Z4A/101 11400 Burnet Road Austin, TX 78758 EE.UU. Dicha información puede estar disponible, sujeta a los términos y condiciones adecuados, incluido en algunos casos el pago de una tarifa. IBM proporciona el programa bajo licencia descrito en este documento y todo el material bajo licencia disponible para el mismo se proporcionan bajo los términos del IBM Customer Agreement, el Acuerdo Internacional de Licencia de Programa de IBM o cualquier acuerdo equivalente entre las partes. La información relativa a productos que no son de IBM se ha obtenido de los proveedores de estos productos, sus anuncios publicados y otras fuentes públicamente disponibles. IBM no ha probado esos productos y no puede confirmar la precisión del rendimiento, compatibilidad ni ninguna otra afirmación referente a productos que no sean de IBM. Las consultas sobre las prestaciones de productos que no sean de IBM se deben dirigir a los proveedores de esos productos. LICENCIA DE COPYRIGHT: Esta información contiene programas de aplicación de ejemplo en lenguaje fuente, que ilustran técnicas de programación en diversas plataformas operativas. Puede copiar, modificar y distribuir estos programas de ejemplo de cualquier forma sin realizar ningún pago a IBM, con el fin de desarrollar, utilizar, comercializar o distribuir programas de aplicación para la interfaz de programación de aplicaciones para la plataforma operativa para la que se han escrito los programas. Estos ejemplos no se han probado completamente en todas las condiciones. IBM, por lo tanto, no puede garantizar ni dar a entender la fiabilidad, utilidad o funcionamiento de estos programas. Los programas de ejemplo se proporcionan "TAL CUAL", sin garantía de ningún tipo. IBM no se responsabiliza de ningún daño resultante de la utilización de los programas de ejemplo. MARCAS REGISTRADAS: IBM, el logotipo de IBM e ibm.com son marcas comerciales o marcas registradas de International Business Machines Corporation en los Estados Unidos y/o en otros países. Si estos y otros términos de IBM están marcados en su primera aparición en esta información con un símbolo de marca registrada (® o ™), estos símbolos indican marcas registradas en EE.UU. propiedad de IBM en el momento de publicar esta información. Dichas marcas registradas Guía del usuario de Configuration Management SCAP 17 también pueden ser marcas registradas en otros países. Encontrará una lista actual de marcas registradas de IBM en la Web en "Copyright and trademark information", en http://www.ibm.com/legal/copytrade.shtml. Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas registradas o marcas registradas de Adobe Systems Incorporated en Estados Unidos y/o en otros países. Java y todas las marcas registradas y logotipos basados en Java son marcas comerciales o marcas registradas de Oracle y/o sus filiales. Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en los Estados Unidos y/o en otros países. Linux es una marca registrada de Linus Torvalds en Estados Unidos y/o en otros países. UNIX es una marca registrada de The Open Group en los Estados Unidos y en otros países. Otros nombres de empresas, productos y servicios pueden ser marcas registradas o marcas de servicio de otras empresas. 18 Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP