Проверки политик

Проверки — это основной компонент системы технического аудита. Они формируют конкретные критерии и условия для оценки состояния конечных точек в соответствии с установленными стандартами и политиками безопасности. Каждая проверка является детализированным описанием того, как агенту следует производить сканирование конечной точки и как интерпретировать полученные результаты.

Проверки в системе запускаются автоматически с интервалом в 12 часов и принудительно после каждого перезапуска агента.

Структура проверки

Структура проверки политики технического аудита имеет следующий вид:

Метаданные:
- id — уникальный идентификатор проверки.
- title — отображаемое имя проверки.
- description — описание сути проверки.
- rationale — причины введения данной проверки.
- remediation — действия при обнаружении отклонений.
Логическое описание:
- condition — условия, при которых проверка считается выполненной.
- rules — конкретные действия или параметры, которые следует проверить.

В дополнение к основным полям, проверки могут включать поле compliance, в котором указывается, каким стандартам или политикам безопасности соответствует данная проверка.

Example 1. Пример проверки

   - id: 2651
     title: "Убедитесь, что HostbasedAuthentication в SSH отключен"
     description: "Параметр HostbasedAuthentication указывает, разрешена ли аутентификация через доверенные хосты с использованием .rhosts или /etc/hosts.equiv, наряду с успешной аутентификацией хоста клиента с публичным ключом. Этот параметр применяется только к протоколу SSH версии 2."
     rationale: "Даже если файлы .rhosts неэффективны, если поддержка отключена в /etc/pam.conf, отключение возможности использовать файлы .rhosts в SSH обеспечивает дополнительный уровень защиты."
     remediation: "Отредактируйте файл /etc/ssh/sshd_config, чтобы установить параметр следующим образом: HostbasedAuthentication no"
     compliance:
        - cis: ["5.2.9"]
        - cis_csc: ["16.3"]
        - pci_dss: ["4.1"]
        - hipaa: ["164.312.a.2.IV", "164.312.e.1", "164.312.e.2.I", "164.312.e.2.II"]
        - nist_800_53: ["SC.8"]
        - tsc: ["CC6.7"]
     condition: all
     rules:
        - 'c:sshd -T -> r:HostbasedAuthentication\s+no'

Результаты проверки

Результат технического аудита определяется соответствующим набором правил и агрегатором результатов правил в процессе проверки.

Каждое событие проверки может иметь один из трех возможных исходов: Успешно, Неуспешно или Неприменимо.

Система ведет подсчет статистики результатов проверок и представляет их в количественном выражении. Счетчик проверок для каждой категории результата отображает количество проверок каждого типа:

Успешно — зеленый;
Неуспешно — красный;
Неприменимо — серый.

Результаты выполнения проверки отображаются при просмотре проверки.

Просмотр проверки

Вы можете просматривать проверки политики агентов и проверки политики технического аудита.

Просмотр проверок политики агента

Чтобы просмотреть список проверок политики, проводимой на агенте:

Перейдите в раздел Агенты. Система отобразит сведения об имеющихся агентах в виде списка.
Нажмите на строку нужного агента в списке. Система отобразит в правой части рабочей области карточку агента с подробной информацией о нем.

В секции Аудит карточки перечислены политики, в рамках которых проводился аудит агента.
Нажмите на стрелку справа от названия требуемой политики. Система отобразит окно со списком проверок, содержащихся в этой политике.

Над списком проверок отображается информация о выбранной политике:

название политики;
агент, для которого проводился аудит по политике;
дата и время проведения последнего проведения аудита;
количество успешных, неуспешных и неприменимых проверок;
общий результат аудита в виде процентного соотношения количества успешных проверок к количеству всех примененных проверок.

Список проверок представлен в виде таблицы со следующими колонками:

Имя — системное имя проверки, используемое для ее идентификации.
Путь — проверяемая сущность с указанием типа.
Тех. аудит — результаты технического аудита, представленные в виде количества проверок каждого типа, обозначенных разными цветами:
- Успешно — зеленый;
- Неуспешно — красный;
- Неприменимо — серый.

Чтобы экспортировать данные из списка проверок в файл формата CSV, нажмите на кнопку upload на панели инструментов.

Чтобы отфильтровать список проверок:

По поисковому запросу — введите в поле Поиск на панели инструментов искомый запрос. В списке отобразятся проверки, в полях которых найден введенный запрос.
По нормативному акту — выберите из выпадающего списка Нормативный акт требуемый нормативный документ. В списке отобразятся проверки, которые проводились в соответствии с выбранным нормативным актом.
По статусу — нажмите на счетчик количества проверок соответствующего статуса (Успешно, Неуспешно, Неприменимо) в правом верхнем углу рабочей области. В списке отобразятся проверки с выбранным статусом.

Чтобы раскрыть или свернуть карточку с детальной информацией о проверке, используйте стрелку в левой части строки проверки в таблице. Чтобы раскрыть или свернуть карточки сразу всех проверок, используйте стрелку в левой части строки заголовков таблицы.

Карточка проверки отображает следующую информацию:

id — уникальный идентификационный код проверки.
Заголовок — системное имя проверки, используемое для ее идентификации.
Описание — описание проверки.
Проблема — проблема, выявленная в ходе выполнения проверки.
Устранение — рекомендации по устранению выявленной проблемы.
Проверка — заданные правила проверки.
Соответствие — стандарты или политики безопасности, которым соответствует проверка.

Просмотр проверок политики технического аудита

Чтобы посмотреть проверки в составе политики технического аудита в системе:

Перейдите в раздел Технический аудит. Система отобразит панель инструментов и таблицу со списком проверок.
Выберите требуемую политику из выпадающего списка Политика в левой части панели инструментов. Система отобразит в таблице проверки, относящиеся к выбранной политике.

Над списком проверок отображается информация о выбранной политике:

название политики;
описание политики;
условия проверки;
список проверяемых сущностей.

Список проверок представлен в виде таблицы со следующими колонками:

Имя — системное имя проверки, используемое для ее идентификации.
Путь — проверяемая сущность с указанием типа.
Тех. аудит — результаты технического аудита, представленные в виде количества проверок каждого типа, обозначенных разными цветами:
- Успешно — зеленый;
- Неуспешно — красный;
- Неприменимо — серый.

Чтобы отфильтровать список проверок:

По поисковому запросу — введите в поле Поиск на панели инструментов искомый запрос. В списке отобразятся проверки, в полях которых найден введенный запрос.
По группе агентов — выберите из выпадающего списка Группа требуемую группу агентов. В списке отобразятся проверки, которые проводились для выбранной группы агентов.
По нормативному акту — выберите из выпадающего списка Нормативный акт требуемый нормативный документ. В списке отобразятся проверки, которые проводились в соответствии с выбранным нормативным актом.
По статусу — нажмите на счетчик количества проверок соответствующего статуса (Успешно, Неуспешно, Неприменимо) в правом верхнем углу рабочей области. В списке отобразятся проверки с выбранным статусом.

Карточка проверки отображает следующую информацию:

id — уникальный идентификационный код проверки.
Заголовок — системное имя проверки, используемое для ее идентификации.
Описание — описание проверки.
Проблема — проблема, выявленная в ходе выполнения проверки.
Устранение — рекомендации по устранению выявленной проблемы.
Проверка — заданные правила проверки.
Соответствие — стандарты или политики безопасности, которым соответствует проверка.
Успешно — список агентов, для которых проверка была успешной.
Неуспешно — список агентов, для которых проверка была неуспешной.
Неприменимо — список агентов, для которых проверка была неприменима.