Guía del usuario de Tivoli Endpoint Manager for Configuration

Anuncio
Guía del usuario de Tivoli Endpoint
Manager for Configuration
Management SCAP
򔻐򗗠򙳰
ii
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
Contenido
Guía del usuario de Configuration
Management SCAP . . . . . . . . . . 1
Listas de comprobación . . . . . . . . . .
Sitios personalizados . . . . . . . . . .
Creación de un sitio personalizado . . . . .
Suscripción de los clientes al sitio personalizado
Acerca de SCAP . . . . . . . . . . . .
Information Security Automation Program . .
Visión general de SCAP . . . . . . . .
Normas SCAP . . . . . . . . . . . .
Opciones de disponibilidad de contenido . . .
.
.
.
.
.
.
.
.
.
1
1
1
1
2
2
2
3
6
Utilización de SCAP . . . . . . . . . . . . 7
Suscripción al contenido de SCAP . . . . . . 8
Utilización del asistente de importación de SCAP 8
Utilización del asistente de creación de informes
de SCAP . . . . . . . . . . . . . . 10
Recursos . . . . . . . . . . . . . . . 12
Preguntas más frecuentes . . . . . . . . . 12
Glosario . . . . . . . . . . . . . . 13
Abreviaturas . . . . . . . . . . . . . 14
Soporte técnico . . . . . . . . . . . . 15
Avisos . . . . . . . . . . . . . . . . 15
iii
iv
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
Guía del usuario de Configuration Management SCAP
Tivoli Endpoint Manager Configuration Management es una cartera de contenido
en forma de listas de comprobación que permite a las organizaciones evaluar y
administrar las configuraciones de ordenadores de sobremesa, portátiles y
servidores. Tivoli Endpoint Manager Configuration Management es uno de los
pocos productos a los que el National Institute of Standards and Technology
(NIST) ha otorgado la Security Content Automation Protocol (SCAP) para la
evaluación y solución de problemas de configuración. Al ofrecer una amplia
biblioteca de controles técnicos, Configuration Management detecta y aplica las
políticas de configuración de seguridad a la vez que utiliza las mejores prácticas
del sector.
Listas de comprobación
Las listas de comprobación de Configuration Management evalúan y administran
las configuraciones de ordenadores de sobremesa, portátiles y servidores. Los
equipos de seguridad utilizan las listas de comprobación de Configuration
Management para definir y evaluar las configuraciones y los parámetros de
seguridad que requiere la política organizativa. Los directores de TI utilizan las
listas de comprobación de Configuration Management para aplicar políticas de
seguridad y documentar el estado actual del cumplimiento de la política. Los
auditores las utilizan para determinar el estado actual de cumplimiento de un
determinado conjunto de sistemas dentro de la organización.
Para obtener información detallada sobre cómo configurar listas de comprobación
de Windows o UNIX, consulte la Guía de listas de comprobación de Configuration
Management.
Sitios personalizados
Puede controlar su estado de seguridad personalizando Configuration
Management y excluyendo equipos específicos de un análisis. También puede crear
sitios personalizados y reutilizar las listas de comprobación de Configuration
Management para mejorar la implementación.
Creación de un sitio personalizado
Para crear una lista de comprobación personalizada en función de una o varias
listas de comprobación suscritas externas, utilice el asistente Crear una lista de
comprobación personalizada situado en la carpeta “Herramientas de la lista de
comprobación” en el dominio de configuración de seguridad de la consola. Para
obtener más información sobre cómo utilizar este asistente, consulte la Guía de
listas de comprobación de Configuration Management.
Suscripción de los clientes al sitio personalizado
Después de crear su sitio personalizado, debe suscribir equipos a él. La
recopilación correcta de datos de cumplimiento depende de la selección del
contenido de los equipos adecuados. Puede suscribir equipos a su sitio mediante
1
equipos específicos o mediante propiedades del equipo. Para obtener información
detallada sobre cómo crear y gestionar sitios personalizados, consulte la Guía del
usuario de Configuration Management.
Acerca de SCAP
La función de automatización del proceso de configuración técnica de dispositivos
en infraestructuras empresariales ha sido un reto histórico. Algunas organizaciones
como el NIST (National Institute of Standards and Technology -Instituto Nacional
de Normas y Tecnología), la NSA (National Security Agency -Agencia de seguridad
nacional), el CIS (Center for Internet Security -Centro para la seguridad en
Internet) y la DISA (Defense Information Systems Agency -Agencia de Sistemas de
Información de Defensa) han tratado de dar alguna orientación a través de
documentación, normas y directrices. Pero la tecnología ha limitado la capacidad
de automatizar completamente estas configuraciones técnicas, especialmente a
escala en entornos de distribución global.
El SCAP (Protocolo de automatización de contenido de seguridad) se ha adoptado
para cumplir este reto. Como parte de la configuración del producto Configuration
Management, SCAP es un método para automatizar la definición, el consumo y la
evaluación de las configuraciones del sistema en sistemas de escritorio en toda la
infraestructura de una organización. IBM Tivoli Endpoint Manager proporciona
visibilidad en tiempo real y control sobre las configuraciones del sistema a través
de una única infraestructura, un único agente y una única consola; y permite una
evaluación continua y la aplicación de líneas de base de configuración SCAP en
sistemas en red y no en red. Con Tivoli Endpoint Manager, los organismos
estatales pueden identificar fácilmente sistemas que no cumplen con un flujo de
datos SCAP, solucionar problemas de configuraciones que no son cumplen con las
normas de seguridad e informar sobre el estado de la configuración de uno o
varios sistemas en tiempo real.
Information Security Automation Program
Information Security Automation Program (ISAP) automatiza y estandariza las
operaciones técnicas de seguridad. ISAP, principalmente centrado en el gobierno,
ofrece control de seguridad, recuperación, así como la automatización de las
actividades de cumplimiento técnico de normas como FISMA y FDCC.
Los objetivos de ISAP incluyen la habilitación de la comunicación basada en
estándares de datos de vulnerabilidad; la personalización y la gestión de líneas de
base de configuración para varios productos de TI; la evaluación de los sistemas de
información y la presentación de informes sobre la situación del cumplimiento.
Para ello se utilizan métricas estándar para medir el impacto global de una posible
vulnerabilidad y remediar las vulnerabilidades que se han encontrado.
Visión general de SCAP
Las especificaciones técnicas de ISAP se encuentran en el Security Content
Automation Protocol (SCAP) relacionado. SCAP se compone de un conjunto de
normas que permiten la gestión automatizada, la medición, y la evaluación de la
política de cumplimiento de la vulnerabilidad, por ejemplo, el cumplimiento de la
ley FISMA.
En concreto, las normas SCAP se dirigen a los siguientes objetivos:
2
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
v Enumerar los defectos de software, nombres de productos y cuestiones de
configuración relacionadas con la seguridad
v Comprobar los sistemas para determinar la presencia de vulnerabilidades
v Proporcionar mecanismos para clasificar los resultados de estas mediciones para
evaluar el impacto de los problemas de seguridad que se han encontrado
SCAP define la manera en la que se combinan estas normas. El NIST (National
Institute of Standards and Technology) de EE.UU. se ocupa del programa NCP
(National Checklist Program -Programa de listas de comprobación nacional) y
proporciona un repositorio de fuentes de datos que utiliza las normas SCAP.
También es el repositorio de datos oficiales de las normas SCAP.
El NIST define y mantiene el protocolo y las fuentes de datos de contenido de las
normas SCAP. Por lo tanto, el NIST define cómo utilizar los estándares abiertos en
el contexto SCAP y define las correlaciones entre las normas enumeración SCAP.
Normas SCAP
SCAP se compone de las siguientes normas:
CVE Common Vulnerabilities and Exposures (Exposiciones y
vulnerabilidades comunes)
El estándar CVE de SCAP es un diccionario de vulnerabilidades de seguridad de
información conocidas públicamente que permite intercambios de datos entre
productos de seguridad y proporciona un punto de referencia para evaluar la
cobertura de herramientas y servicios.
Tivoli Endpoint Manager ha utilizado el CVE en varias versiones del producto y
mantiene una integración de contenido CVE en sus productos. Cualquier revisión
de seguridad o vulnerabilidad que tenga asociado un ID de CVE y que esté
disponible como flujo de datos SCAP o a través de otros procesos desarrollados de
Tivoli Endpoint Manager mostrará el ID de CVE pertinente dentro de la consola de
Tivoli Endpoint Manager.
Puede encontrar este ID asociado con una vulnerabilidad o parche de seguridad.
Para ello, debe abrir la consola de Tivoli Endpoint Manager y navegar hasta un
parche o un sitio de Fixlet de vulnerabilidad, hacer doble clic en el Fixlet
adecuado, seleccionar la pestaña Detalles y ver el ID de CVE. También se puede
acceder al identificador de CVE desde otras vistas y se puede utilizar como parte
de los criterios de presentación de informes detallados e informes de resumen de
los sistemas individuales de punto final o para un grupo grande de sistemas del
que se ha informado.
Common Configuration Enumeration (CCE™) (Enumeración de
configuración común)
El estándar SCAP CCE proporciona identificadores exclusivos para los problemas
de configuración del sistema para facilitar la correlación rápida y precisa de los
datos de configuración a través de múltiples herramientas y fuentes de
información. Por ejemplo, los identificadores CCE pueden asociar las
comprobaciones de las herramientas de evaluación de configuración con las
declaraciones de los documentos de mejores prácticas para la configuración. La
plataforma Tivoli Endpoint Manager incluye la función de evaluar estaciones de
trabajo, portátiles, servidores y dispositivos de informática móvil según los valores
de configuración común para identificar los estados de configuración incorrecta en
Guía del usuario de Configuration Management SCAP
3
un entorno informático diverso. Tivoli Endpoint Manager utiliza CCE y muestra el
ID de CCE en cada configuración incorrecta para la que exista un ID de CCE en la
consola de Tivoli Endpoint Manager. En caso de que se asocie una configuración
incorrecta con múltiples identificaciones CCE, se realizarán referencias cruzadas de
todos los ID y se mostrarán.
Para encontrar el ID de CCE asociado a una opción de configuración, abra la
consola de Tivoli Endpoint Manager y navegue a una opción de configuración
utilizada por un flujo de datos SCAP. Haga clic en un Fixlet que representa una
opción de configuración y consulte la columna de ID de origen. El ID de origen
mostrará el ID de CCE. También se puede acceder al identificador de CCE desde
otras vistas y se puede utilizar como parte de los criterios de presentación de
informes detallados e informes de resumen de los sistemas individuales de punto
final o para un grupo grande de sistemas del que se ha informado.
Common Platform Enumeration (CPE™) (Enumeración de
plataforma común)
El estándar SCAP CPE es un esquema de nombres estructurado para sistemas de
tecnología de la información, plataformas y paquetes. El CPE, que está basado en
la sintaxis genérica de URI (identificadores uniformes de recursos), incluye un
formato de nombre formal, un lenguaje para describir plataformas complejas, un
método para comprobar los nombres en un sistema y un formato de descripción de
texto para vincular texto y pruebas a un nombre. Tivoli Endpoint Manager utiliza
CPE para garantizar que las opciones de configuración se evalúen en el sistema
correcto. Independientemente del sistema operativo, el ID de CPE puede identificar
una plataforma y garantizar que se realiza una evaluación.
Puede evaluar y reparar configuraciones del sistema enfocando los sistemas según
la plataforma, además de otros mecanismos. Al enfocarse en una plataforma en
particular, puede asegurarse de que se realizan búsquedas en sistemas
correctamente y de que se pesan en comprobaciones de configuración aplicables.
Las comprobaciones se evalúan en tiempo real según la plataforma y se pueden
hacer cumplir las políticas, lo que proporciona a los administradores una
visibilidad actual y control sobre plataformas en un entorno de computación
distribuido o no distribuido.
Common Vulnerability Scoring System (CVSS) (Sistema de
puntuación de vulnerabilidad común)
El estándar CVSS de SCAP proporciona un marco abierto para la comunicación de
las características de las vulnerabilidades de TI. Su modelo cuantitativo garantiza a
los usuarios la medición exacta y repetible a la vez que muestra las características
de vulnerabilidad que se utilizaron para generar los resultados. Por lo tanto, CVSS
es muy adecuado como un sistema de medición estándar para las industrias,
organizaciones y agencias que necesitan una puntuación precisa y coherente del
impacto de la vulnerabilidad.
Tivoli Endpoint Manager evalúa e informa sobre vulnerabilidades y cuantifica el
impacto para varias plataformas informáticas. Tivoli Endpoint Manager utiliza el
estándar CVSS y muestra la puntuación de base CVSS de cada vulnerabilidad
aplicable y el vector de puntuación de base CVSS empleado para producir el
resultado.
Los administradores de Tivoli Endpoint Manager pueden acceder a la puntuación
de CVSS y a la cadena de vectores asociada desde la consola de Tivoli Endpoint
4
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
Manager. Para obtener más información, los administradores pueden dirigirse a la
definición de vulnerabilidad desde los Fixlets. Tivoli Endpoint Manager
proporciona un enlace en el sitio web de NVD para que los administradores se
puedan conectar a la definición CVSS. Tivoli Endpoint Manager aumenta el valor
de CVSS exhibiendo esta métrica común para los informes detallados sobre los
distintos sistemas de punto final y para grupos grandes de sistemas de los que se
ha informado.
Extensible Configuration Checklist Description Format (XCCDF)
(Formato de descripción de listas de comprobación de
configuración ampliable)
El estándar XCCDF de SCAP es un lenguaje de especificación para escribir listas
de comprobación de seguridad, puntos de referencia y documentos relacionados.
Un documento XCCDF representa un grupo estructurado de reglas de
configuración de seguridad para algunos conjuntos de sistemas de destino y es el
elemento básico para el flujo de datos SCAP. La especificación también define un
modelo de datos y el formato para almacenar los resultados de las pruebas de
cumplimiento de listas de comprobación.
Los flujos de datos de SCAP utilizan el formato XCCDF para traducir las
comprobaciones de configuración subyacentes que se definen en los Fixlets de
Tivoli Endpoint Manager. Cuando se crean, estos Fixlets de configuración basados
en SCAP permiten a los administradores evaluar sus activos informáticos según las
reglas de configuración definidas por SCAP en tiempo real y en una escala global.
Cuando las reglas de configuración de SCAP se importen en Tivoli Endpoint
Manager, cualquier sistema se puede evaluar inmediatamente con las reglas de
configuración definidas. Los resultados de los controles de configuración se
transmiten a la consola de Tivoli Endpoint Manager, donde los administradores
pueden ver los resultados y generar informes detallados sobre un sistema
individual o en grandes grupos de sistemas.
Tivoli Endpoint Manager también exporta los resultados de las comprobaciones de
configuración en el formato de informes XCCDF definido de tal manera que la
organización puede almacenar, enviar o importar dichos informes en otra
herramienta.
OVAL™ Open Vulnerability and Assessment Language (Lenguaje
abierto de evaluación y vulnerabilidad)
El estándar OVAL de SCAP es un estándar internacional de seguridad de la
información que promueve el contenido de seguridad y estandariza la transferencia
de esta información en todos los servicios y herramientas de seguridad. El lenguaje
OVAL es un grupo de esquemas XML que se utiliza para representar la
información del sistema expresando estados específicos de la máquina, y
notificando los resultados de la evaluación.
A través de un repositorio de políticas de evaluación de la vulnerabilidad, Tivoli
Endpoint Manager evalúa los sistemas gestionados según las definiciones de
vulnerabilidad OVAL utilizando un seguimiento datos en tiempo real basado en
los elementos de datos de cada definición. El producto Tivoli Endpoint Manager
recupera automáticamente estas políticas en la red de una organización. Cuando se
haya comprobado la autenticidad, las políticas se pondrán a disposición del cliente
Tivoli Endpoint Manager instalado en cada equipo administrado y se añadirá a su
grupo local de políticas de configuración. El agente evalúa continuamente el estado
Guía del usuario de Configuration Management SCAP
5
de la máquina según la política de cada uno de manera que cualquier se pueda
informar sobre cualquier instancia de incumplimiento al servidor de Tivoli
Endpoint Manager para que la revise el administrador. Si el administrador lo
autoriza previamente, se aplicará la acción correctiva apropiada al equipo
inmediatamente después de la detección de una configuración errónea, incluso
para los usuarios remotos o móviles que no estén conectados a la red de la
organización.
Opciones de disponibilidad de contenido
SCAP se compone de las listas de comprobación de Fixlets de SCAP y de los
asistentes de generación de SCAP, que los administradores de Tivoli Endpoint
Manager pueden utilizar para administrar y mantener los resultados del
cumplimiento y el contenido de la lista de comprobación basada en SCAP.
Listas de comprobación de Fixlets de SCAP
Tivoli Endpoint Manager distribuye Fixlets a través de suscripción y sitios. Tivoli
Endpoint Manager toma el XML de lista de comprobación de SCAP, contenido de
Tivoli Endpoint Manager generado a partir de él y lo pone a su disposición
mediante suscripción. Los clientes cargan los encabezados de sitios externos para
cada una de las listas de comprobación de SCAP disponibles en la consola de
Tivoli Endpoint Manager, y el servidor de Tivoli Endpoint Manager descarga el
contenido y lo pone a disposición del administrador de Tivoli Endpoint Manager
para comenzar a evaluar en sistemas.
Tivoli Endpoint Manager se entrega con contenido para las listas de comprobación
de SCAP de FDCC (Federal Desktop Core Configuration). A medida que NIST
proporciona listas de comprobación nuevas, Tivoli Endpoint Manager puede incluir
estos sitios como parte del servicio de suscripción.
Además de los sitios de Fixlet, Tivoli Endpoint Manager incluye un panel de
control de informes que permite ver los resultados de las evaluaciones del sistema
y otro para generar contenido de Tivoli Endpoint Manager desde una lista de
comprobación de SCAP. Estos paneles de control se encuentran en el sitio Informes
de gestión de configuración.
Las listas de comprobación SCAP siguientes se incluyen actualmente con este
producto:
v FDCC en Windows XP
v FDCC en el cortafuegos de Windows XP
v FDCC en Windows Vista
v FDCC en el cortafuegos de Windows Vista
v FDCC en Internet Explorer 7
v USGCB en el cortafuegos de Windows 7
v USGCB en Windows 7 Energy
v USGCB en Internet Explorer 8
v USGCB en Windows 7
Asistentes de generación SCAP
Puede personalizar listas de comprobación de SCAP para generar sus propias listas
de comprobación de configuración en lugar de utilizar contenidos basados en
6
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
suscripción. Para facilitar esto, Tivoli Endpoint Manager proporciona herramientas
que le permiten utilizar una lista de comprobación de SCAP y generar Fixlets para
evaluar uno o varios puntos finales.
Están incluidas las siguientes herramientas:
1. Asistente para importación SCAP: este asistente genera contenido de Tivoli
Endpoint Manager desde una lista de comprobación de SCAP. El contenido se
importará en un sitio personalizado que cree para este fin. Se incluye un Fixlet
para cada control en la lista de comprobación de SCAP.
2. Asistente para la creación de informes SCAP: este asistente se utiliza para
crear un archivo de resultados XCCDF para cada punto final administrado.
Utilización de SCAP
Tivoli Endpoint Manager proporciona actualizaciones periódicas en el contenido de
FDCC. Sin embargo, también podrá utilizar las herramientas SCAP para generar
contenido a partir de otras listas de comprobación de SCAP.
Guía del usuario de Configuration Management SCAP
7
Suscripción al contenido de SCAP
La solución Tivoli Endpoint Manager Configuration Management consta de varios
Fixlets externos que se pueden importar en la consola de Tivoli Endpoint Manager
para evaluar uno o varios sistemas. Cada Fixlet proporciona un conjunto específico
de contenido basado en la conversión de un flujo de datos SCAP individual en un
conjunto de Fixlets. Cada Fixlet representa una comprobación de la configuración
única como se describe en el flujo de datos SCAP.
Una vez que el sitio SCAP se ha cargado en la consola, el contenido se actualiza y
se evalúan continuamente los puntos finales para el cumplimiento con la norma de
configuración.
El proceso de suscripción del sitio depende de la versión de la consola de Tivoli
Endpoint Manager. Para instrucciones específicas de suscripción al sitio, consulte el
artículo de la Base de conocimiento de Tivoli Endpoint Manager aquí.
Una vez que el sitio de SCAP se haya cargado en la consola, el servidor de Tivoli
Endpoint Manager reunirá el contenido y lo mostrará en el árbol de navegación de
Configuration Management.
Nota: Cuando Tivoli Endpoint Manager genera Fixlets a partir de un flujo de
datos SCAP, las secuencias CPE asociadas con el flujo de datos SCAP determina
qué tipos de sistemas deben evaluarse en el contenido. Cuando se suscriban, los
sistemas evaluarán el contenido, si el contenido coincide con la secuencia CPE
definida. Este comportamiento se puede alterar. Para obtener más información,
consulte el sitio web de soporte de Tivoli Endpoint Manager.
Utilización del asistente de importación de SCAP
Utilice este asistente para generar contenido de Tivoli Endpoint Manager a partir
de un conjunto de archivos de entrada XML SCAP. El contenido que se genera
incluye un Fixlet para cada comprobación que se haya encontrado en la lista de
comprobación de SCAP. Antes de utilizar el asistente, debe crear un sitio
personalizado que contendrá la lista de comprobación resultante. Para obtener más
8
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
información sobre cómo utilizar listas de comprobación personalizadas, consulte la
Guía del usuario de Configuration Management.
Puede obtener las listas de comprobación de SCAP aquí. El Asistente para
importación SCAP se ha validado para las listas de comprobación del nivel IV en
este repositorio. Para utilizar el asistente de importación, siga estos pasos:
1. Haga clic en Examinar y seleccione el archivo XCCDF que desea importar.
2. Opcional: marque la casilla de requisitos de contenido de OVAL.
3. Opcional: especifique un archivo de esquema XSD XCCDF que se utilizará para
validar la entrada XML.
4. Haga clic en Cargar perfiles. Se visualizará la ventana para seleccionar los
perfiles de XCCDF. Este proceso puede llevar de 1 a 2 minutos.
5. Seleccione un perfil XCCDF en el menú.
6. Haga clic en Importar. Se visualizará la ventana Importar contenido. Seleccione el
sitio personalizado en el menú y haga clic en Aceptar.
Guía del usuario de Configuration Management SCAP
9
Utilización del asistente de creación de informes de SCAP
Para generar un archivo de resultados XCCDF para cada punto final utilizando el
asistente para la creación de informes SCAP, realice los pasos siguientes:
1. Haga clic en la creación de informes SCAP.
2. Seleccione los parámetros de informes.
10
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
a. Especifique una lista de comprobación SCAP en el menú.
b. Para especificar una carpeta de salida, haga clic en el botón de la parte
superior Examinar.
c. Opcional: para especificar un esquema XCCDF para validar el archivo de
resultados, haga clic en el botón de la parte inferior Examinar.
3. Marcar equipos como objetivo.
Puede seleccionar equipos por su nombre, propiedad o grupo de equipos.
También puede escribir manualmente una lista de equipos en el campo
correspondiente. Haga clic en el botón Ver equipos seleccionados para comprobar
su selección.
4. Seleccionar propiedades de informe adicionales.
Utilice la barra de desplazamiento para ver una lista de las propiedades de
informe disponibles. Compruebe las casillas correspondientes y visualice cada
selección en el recuadro correspondiente Incluido en el Informe a la derecha.
Guía del usuario de Configuration Management SCAP
11
5. Haga clic en Crear informe.
Asigne el tiempo adecuado para la creación de estos informes. La cantidad de
tiempo utilizado para generar un informe depende del tamaño de su
implementación. Por ejemplo, la creación de un informe para el despliegue de
5000 equipos puede llevar 15 minutos en un equipo de consola con el tamaño
adecuado.
Recursos
Preguntas más frecuentes
¿Hay informes de evaluación de conformidad o mecanismos que comparen un
portátil o un servidor con los estándares FISMA/NIST/DISA?
Tivoli Endpoint Manager Configuration Management evalúa los servidores, los
portátiles y los equipos de escritorio según un conjunto predefinido de normas de
configuración como DISA STIG (Standard Technical Implementation Guides) y
FDCC (Federal Desktop Core Configuration). Tivoli Endpoint Manager también
puede dar soporte a los estándares de configuración de NIST, NSA y otras
organizaciones de normativas. Se puede adherir a la reglamentación de
cumplimiento de normas, tales como FISMA, PCI, mediante los controles de
configuración de normas que se proporcionan con Tivoli Endpoint Manager en
entornos Windows y UNIX.
¿Qué es lo que no se puede hacer con este contenido?
La solución Tivoli Endpoint Manager Confirmation Management está diseñada
para ser flexible. Sin embargo, la funcionalidad de recuperación en Windows y
UNIX se limita a unos valores de configuración específicos. En algunos casos, hay
controles que no se pueden recuperar. La funcionalidad de parámetro en Windows
y UNIX se limita a unos valores de configuración específicos. Al igual que la
recuperación, no de todo se pueden o se deben extraer parámetros.
¿Qué pasa si suscribo sitios a un sistema de forma incorrecta?
Si es posible, utilice la función de suscripción a sitios al implementar Configuration
Management para garantizar que el panel de control y los informes calculen los
resultados de cumplimiento correctamente. Los controles de Configuration
Management evalúan en cualquier punto final que está suscrito, incluidos los
sistemas que no deben evaluar contenido. La utilización de las suscripciones
adecuadamente garantiza que sólo los sistemas designados evalúen el contenido.
Durante la instalación de los sitios de Confirmation Management que se
proporcionan con el programa, modifique de inmediato la suscripción. Al crear
listas de comprobación personalizadas, asegúrese de suscribir los sistemas
12
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
adecuados. Si los sistemas no se suscriben adecuadamente, los informes de
Configuration Management calcularán la conformidad de forma incorrecta.
Ejemplo:
Si carga los encabezados de Windows XP, de manera predeterminada se medirá el
contenido en todos los sistemas, incluyendo los sistemas Windows XP, Windows
Vista y UNIX. Este comportamiento hace que cada sistema que no sea Windows
XP devuelva un resultado No relevante. Esto se traduce en Conforme al ejecutar
informes. Al establecer la suscripción del sitio para que se incluyan sólo los
sistemas Windows XP, sólo se evaluarán los sistemas Windows XP. Esto garantiza
que los informes de cumplimiento generen los resultados más precisos.
La "Fecha de lanzamiento de la fuente" del contenido FDCC, ¿debería ser la
fecha que publicó NIST, o la fecha en que se generó el contenido?
Los datos consumidos desde un flujo de datos SCAP incluye las siguientes fechas
de referencia:
1. Fecha de lanzamiento de la fuente: esta fecha representa la fecha en que Tivoli
Endpoint Manager generó los Fixlets de la configuración que se incluyen con el
programa a partir de un flujo de datos SCAP o la fecha en que un usuario
genera contenido mediante la herramienta SCAPEval.exe. Esta fecha se muestra
en la columna Fecha de lanzamiento de la fuente de cada Fixlet encontrado en la
consola de Tivoli Endpoint Manager.
2. Fecha y estado de publicación: en el flujo de datos de SCAP, cada objeto de la
lista de comprobación incluye un elemento de estado que indica el estado de
revisión o de estandarización para una lista de comprobación. Este elemento
debe mostrarse una vez en un objeto de la lista de comprobación y se puede
mostrar una vez en cualquier elemento. Si un elemento no tiene su propio
elemento de estado, se presupone el elemento padre. Este elemento incluye un
estado (aceptado, en desuso, proyecto, provisional o incompleto) junto con una
fecha que indica cuándo ha entrado la lista de comprobación en el estado
determinado. Cuando se crean los Fixlets, el estado adecuado se añade a la
sección Descripción de información de lista de comprobación del Fixlet:
v Fecha aceptada: AAAA-MM-DD
v Fecha obsoleta: AAAA-MM-DD
v Fecha en proyecto: AAAA-MM-DD
v Fecha provisional: AAAA-MM-DD
v Fecha incompleta: AAAA-MM-DD
Glosario
Comprobación SCAP
Es una comprobación de configuración específica dentro de una lista de
comprobación SCAP. Las comprobaciones están escritas en XCCDF y deben
incluir las enumeraciones SCAP y correlaciones de cada plantilla SCAP.
Contenidos SCAP
Son los datos de la lista de comprobación de seguridad representados en
formatos XML automatizados, enumeraciones relacionadas con el nombre
del producto y la vulnerabilidad, y las correlaciones entre las
enumeraciones.
Correlaciones SCAP
Interrelacionan las enumeraciones y proporcionan mediciones del impacto
Guía del usuario de Configuration Management SCAP
13
basadas en normas de problemas de configuración y errores del software.
Por lo tanto, para cualquier defecto de software determinado (CVE), se
pueden determinar los nombres de producto estándar afectados (CPE).
Para cualquier nombre de producto estándar (CPE), se pueden determinar
los problemas de configuración que afectan a ese producto (CCE). Para
cualquier defecto de software determinado (CVE) o problema de
configuración (CCE), se puede determinar la puntuación del impacto de la
norma (CVSS).
Enumeraciones SCAP
Incluyen la lista de todos los problemas de seguridad del software
conocidos (CVE), la lista de problemas de configuración del software
conocidos (CCE) y la lista de los nombres de producto y los proveedores
estándar (CPE).
Informes SCAP
Los informes SCAP deben incluir las enumeraciones SCAP y correlaciones
de cada plantilla SCAP.
Listas de comprobación de SCAP
Las listas de comprobación de SCAP son listas de comprobación de
configuración escritas en lenguaje que puede leer una máquina (XCCDF).
Las listas de comprobación SCAP, también denominadas “listas de
comprobación” o “líneas de base”, son listas que ha presentado y aprobado
el National Checklist Program del NIST. También se ajustan a una plantilla
SCAP para asegurar la compatibilidad con los productos y servicios SCAP.
Las plantillas SCAP plantean los requisitos necesarios para la inclusión de
las enumeraciones SCAP y las correlaciones dentro de la lista de
comprobación.
Procedimientos de pruebas SCAP
Las listas de comprobación SCAP hacen referencia a “procedimientos de
pruebas SCAP” para información legible por una máquina sobre la
realización de pruebas de bajo nivel del estado de la máquina (OVAL). Los
procedimientos de pruebas SCAP se utilizan junto con listas de
comprobación SCAP.
Abreviaturas
CCE
Common Configuration Enumeration (Enumeración de configuración
común)
CPE
Common Platform Enumeration (Enumeración de plataforma común)
CVE
Vulnerabilidades y riesgos comunes
CVSS Common Vulnerability Scoring System (Sistema de puntuación de
vulnerabilidad común)
DHS
Department of Homeland Security (Departamento de Seguridad Nacional
Americano)
DISA Defense Information Systems Agency (Agencia de Sistemas de Información
de la Defensa)
DoD
Department of Defense (Ministerio de Defensa)
DOE
Department of Energy (Ministerio de Energía)
FDCC Federal Desktop Core Configuration (Estándares de la Administración
Federal de los EE.UU. sobre configuración básica de escritorios)
14
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
FISMA
Federal Information Security Management Act (Ley de la Administración
Federal de los EE.UU. sobre seguridad de la información)
NCP
National Checklist Program (Programa Nacional de EE.UU. sobre Listas de
comprobación)
NIST
National Institute of Standards and Technology (Instituto Nacional
Americano de Estándares y Tecnología)
NSA
National Security Agency (Agencia Nacional de Seguridad Americana)
NVD
National Vulnerability Database (Base de datos oficial del gobierno de
EE.UU. sobre vulnerabilidades)
OMB
Office of Management and Budget (Oficina de Administración y
Presupuesto)
OVAL Open Vulnerability and Assessment Language (Lenguaje Abierto de
evaluación y vulnerabilidades)
SCAP Security Content Automation Protocol (Automatización del contenido de
seguridad)
STIG
Standard Technical Implementation Guide (Guía de implementación técnica
estándar de seguridad)
CONFIGURATION MANAGEMENT
Gestión de la configuración de seguridad
XCCDF
eXtensible Configuration Checklist Description Format (Formato de
descripción de listas de comprobación de configuración ampliable)
Soporte técnico
El sitio de soporte técnico de Tivoli Endpoint Manager ofrece varias opciones de
soporte especializadas que le ayudarán a aprender, entender y optimizar su uso de
este producto:
v Centro de información de Tivoli Endpoint Manager
v
v
v
v
Sitio de soporte
Documentación
Base de conocimiento
Foros y comunidades
Avisos
Puede que IBM no ofrezca los productos, servicios o características tratados en este
documento en otros países. Póngase en contacto con el representante de IBM para
obtener información sobre los productos y servicios disponibles actualmente en su
área. Cualquier referencia a un producto, programa o servicio de IBM no pretende
implicar que únicamente se pueda utilizar el producto, programa o servicio de
IBM. Puede utilizarse en su lugar cualquier producto, programa o servicio
funcionalmente equivalente que no infrinja ningún derecho de propiedad
intelectual de IBM. No obstante, es responsabilidad del usuario evaluar y verificar
el funcionamiento de cualquier producto, programa o servicio que no sea de IBM.
IBM puede tener patentes o aplicaciones pendientes de patente que abarquen el
tema descrito en este
Guía del usuario de Configuration Management SCAP
15
documento. La entrega de este documento no le otorga ninguna licencia sobre
dichas patentes. Puede enviar sus consultas sobre licencias, por escrito, a:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504-1785
EE.UU.
Para realizar consultas sobre licencias relacionadas con la información de doble
byte (DBCS), póngase en contacto con el departamento de propiedad intelectual de
IBM de su país o envíe sus consultas, por escrito, a:
Intellectual Property Licensing
Legal and Intellectual Property Law
IBM Japan Ltd.
1623-14, Shimotsuruma, Yamato-shi
Kanagawa 242-8502 Japón
El siguiente párrafo no se aplica en el Reino Unido ni en ningún otro país en el
que dichas
disposiciones entren en conflicto con la legislación local: INTERNATIONAL
BUSINESS MACHINES CORPORATION PROPORCIONA ESTA PUBLICACIÓN
"TAL CUAL" SIN GARANTÍAS DE NINGÚN TIPO, NI EXPLÍCITAS NI
IMPLÍCITAS, INCLUYENDO, PERO SIN LIMITARSE A, LAS GARANTÍAS
IMPLÍCITAS DE NO INFRINGIMIENTO, COMERCIABILIDAD O ADECUACIÓN
A UN PROPÓSITO DETERMINADO. Algunas legislaciones no contemplan la
declaración de limitación de responsabilidad, ni implícita ni explícita, en
determinadas transacciones, por lo que cabe la posibilidad de que esta declaración
no sea aplicable en su caso.
Esta información puede contener inexactitudes técnicas o errores tipográficos.
Periódicamente se realizan cambios en la información aquí contenida; estos
cambios se incorporarán en nuevas ediciones de la publicación. IBM puede realizar
mejoras y/o cambios en el producto productos y/o en el programa o programas
descritos en esta publicación en cualquier momento y sin previo aviso.
Las referencias en esta información a sitios web que no son de IBM se
proporcionan sólo para su comodidad y de ninguna manera constituyen una
recomendación de estos sitios web. Los materiales de dichos sitios web no forman
parte de los materiales para este producto IBM y el uso de dichos sitios web es a
cuenta y riesgo del usuario.
IBM puede utilizar o distribuir la información que se le proporcione del modo que
considere conveniente sin incurrir en ninguna obligación con usted
16
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
Los usuarios con licencia de este programa que deseen obtener información sobre
éste con el propósito de habilitar: (i) el intercambio de información entre
programas creados independientemente y otros programas (incluido este) y (ii) el
uso mutuo de la información que se ha intercambiado, deben ponerse en contacto
con:
IBM Corporation
2Z4A/101
11400 Burnet Road
Austin, TX 78758 EE.UU.
Dicha información puede estar disponible, sujeta a los términos y condiciones
adecuados, incluido en algunos casos el pago de una tarifa.
IBM proporciona el programa bajo licencia descrito en este documento y todo el
material bajo licencia disponible para el mismo se proporcionan bajo los términos
del IBM Customer Agreement, el Acuerdo Internacional de Licencia de Programa
de IBM o cualquier acuerdo equivalente entre las partes.
La información relativa a productos que no son de IBM se ha obtenido de los
proveedores de estos productos,
sus anuncios publicados y otras fuentes públicamente disponibles. IBM no ha
probado esos productos y no puede confirmar la precisión del rendimiento,
compatibilidad ni ninguna otra afirmación referente a productos que no sean de
IBM. Las consultas sobre las prestaciones de productos que no sean de IBM se
deben dirigir a los proveedores de esos productos.
LICENCIA DE COPYRIGHT:
Esta información contiene programas de aplicación de ejemplo en lenguaje fuente,
que ilustran técnicas de programación en diversas plataformas operativas. Puede
copiar, modificar y distribuir estos programas de ejemplo de cualquier forma sin
realizar ningún pago a IBM, con el fin de desarrollar, utilizar, comercializar o
distribuir programas de aplicación para la interfaz de programación de
aplicaciones para la plataforma operativa para la que se han escrito los programas.
Estos ejemplos no se han probado completamente en todas las condiciones. IBM,
por lo tanto, no puede garantizar ni dar a entender la fiabilidad, utilidad o
funcionamiento de estos programas. Los programas de ejemplo se proporcionan
"TAL CUAL", sin garantía de ningún tipo. IBM no se responsabiliza de ningún
daño resultante de la utilización de los programas de ejemplo.
MARCAS REGISTRADAS:
IBM, el logotipo de IBM e ibm.com son marcas comerciales o marcas registradas de
International Business Machines Corporation en los Estados Unidos y/o en otros
países.
Si estos y otros términos de IBM están marcados en su primera aparición en esta
información con un símbolo de marca registrada (® o ™), estos símbolos indican
marcas registradas en EE.UU. propiedad de IBM en el momento de publicar esta
información. Dichas marcas registradas
Guía del usuario de Configuration Management SCAP
17
también pueden ser marcas registradas en otros países. Encontrará una lista actual
de marcas registradas de IBM en la Web en "Copyright and trademark
information", en http://www.ibm.com/legal/copytrade.shtml.
Adobe, el logotipo de Adobe, PostScript y el logotipo de PostScript son marcas
registradas o marcas registradas de Adobe Systems Incorporated en Estados
Unidos y/o en otros países.
Java y todas las marcas registradas y logotipos basados en Java son marcas
comerciales o marcas registradas de Oracle y/o sus filiales.
Microsoft, Windows, Windows NT y el logotipo de Windows son marcas
registradas de Microsoft Corporation en los Estados Unidos y/o en otros países.
Linux es una marca registrada de Linus Torvalds en Estados Unidos y/o en otros
países.
UNIX es una marca registrada de The Open Group en los Estados Unidos y en
otros países.
Otros nombres de empresas, productos y servicios pueden ser marcas registradas o
marcas de servicio de otras empresas.
18
Guía del usuario de Tivoli Endpoint Manager for Configuration Management SCAP
Descargar