CIS-CAT: Ausführen und Melden von Ergebnissen an IA

Verwendung des CIS-CAT-Tools zur Sicherung von U-M-Systemen, Datenbanken und Anwendungen sowie zum Melden der Ergebnisse an Information Assurance. Siehe CIS-CAT für U-M-Systeme für Informationen über die UM-spezifische Version des Werkzeugs und seine empfohlene Verwendung.

In diesem Dokument:

  • Was ist CIS-CAT?
  • CIS-Cat herunterladen und extrahieren
  • Scan ausführen — Einfachste Methode
  • Ausführen von CIS-CAT über eine Befehlszeile
  • Ausführen von CIS-CAT mit grafischer Benutzeroberfläche (GUI)
  • Senden Sie Ihre CIS-CAT-Ergebnisse an Information Assurance
  • Überprüfen Sie Ihre CIS-CAT-Ergebnisse selbst

Was ist CIS-CAT?

CIS-CAT_Standalones sind die UM-angepassten Versionen des Center for Internet Security Configuration Assessment Tools-CIS-CAT. Diese Versionen können verwendet werden, um die Sicherheit von Betriebssystemen und Softwarekonfigurationen anhand einer Vorlage von Best Practices zu bewerten. Information Assurance (IA) empfiehlt die Verwendung von CIS-CAT in Verbindung mit den Anleitungen in den Safe Computing Hardening Guides, um die Basissicherheit für U-M-IT-Systeme zu erreichen.

Das CIS-CAT-Tool läuft auf 32- oder 64-Bit-Systemen. IA stellt eine 64-Bit-Version von CIS-CAT bereit, die die für die Ausführung erforderliche Java Runtime Environment (JRE) enthält (falls Ihr System keine JRE hat oder Sie diese nicht hinzufügen möchten). Diese 64-Bit-Version ist für die Verwendung auf U-M-Systemen angepasst. Wenn Sie andere Systeme scannen möchten, für die eine 32-Bit-Version erforderlich ist, finden Sie auf der CIS-Website kostenlose Downloads. IT-Experten können sich auch registrieren, um die CIS WorkBench zu verwenden, mit der Benutzer Feedback geben oder Tickets direkt an CIS senden können.

Hinweis: CIS-CAT-Scores zeigen nicht an, dass ein System die Compliance-Anforderungen für eine bestimmte Klassifizierungsstufe sensibler Universitäts-ata erfüllt. Möglicherweise müssen Sie weitere Sicherheitsmaßnahmen ergreifen, die durch die IT-Richtlinien von U-M, staatliche oder bundesstaatliche Gesetze oder vertragliche Vereinbarungen erforderlich sind, um bestimmte Arten von Daten zu schützen.

CIS-Cat herunterladen und extrahieren

CIS-CAT für alle Betriebssysteme, Anwendungen oder Datenbanken aus dem Ordner CIS-CAT U-M Box herunterladen. Laden Sie die Version herunter, die dem Betriebssystem, der Anwendung oder der Datenbank entspricht, die Sie scannen möchten. Extrahieren Sie die heruntergeladene komprimierte Datei an einen Speicherort, der Ihnen während des CIS-CAT-Scans zur Verfügung steht.

Hinweis: Sie können CIS-CAT von jedem Speicherort aus ausführen, der während des Scanvorgangs als lesbares und beschreibbares Laufwerk bereitgestellt wird, wenn Sie das Tool nicht auf dem zu scannenden Computer speichern möchten.

Ausführen eines Scans – Einfachste Methode zum Arbeiten mit IA

Ein Level-1-Scan der O / S-Konfiguration ist der grundlegende Benchmark, den IA für die meisten Systeme empfiehlt. Wenn Sie mit ITS Information Assurance arbeiten, ist es am einfachsten, einen Level-1-Scan eines Systems durchzuführen und die Ergebnisse an IA zu senden:

  1. Stellen Sie sicher, dass sich das System im U-M-Netzwerk befindet oder über das VPN remote verbunden ist.
  2. Öffnen Sie eine Eingabeaufforderung auf dem System als Administrator (oder Sie können auch sudo auf Linux- und Mac-Systemen verwenden).
  3. Navigieren Sie zu dem Ordner, in den Sie CIS-CAT extrahiert haben.
  4. Führen Sie scirpt für Ihr Betriebssystem aus:
    • .\CIS-CAT_send_results_to_information_assurance.BAT für Windows.
    • ./CIS-CAT_send_results_to_information_assurance.sh skript für Linux- und Mac-Systeme.

Das Skript führt den O / S Level 1 Benchmark aus und sendet die Ergebnisse automatisch an IA.

Ausführen von CIS-CAT über eine Befehlszeile

Führen Sie CIS-CAT mit den unten aufgeführten Befehlen aus. Diese Befehle leiten auch Ihre XML-Ausgabedatei an IA weiter. Diese Beispiele zeigen Ubuntu und Windows 10 als Betriebssysteme.

  • Mac OS und die meisten Unix/Linux-Systeme: sudo ./CIS-CAT_Linux_Launcher.sh -ui https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload -b benchmarks/CIS_Ubuntu_Linux_18.04_LTS_Benchmark_v2.0.1-xccdf.xml
  • Windows-Systeme:
    .\CIS-KAT.BAT -u https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload -ui -b benchmarks/ CIS_Microsoft_Windows_10_Enterprise_Release_1709_Benchmark_v1.4.0-xccdf.xml -p “Level 1” -sr -x -s -a -n

Hinweis: Sie müssen einige Parameter speziell für Ihre Situation anpassen. Wählen Sie beispielsweise einen Benchmark, der Ihrem Betriebssystem oder Ihrer Anwendungs- / Datenbankversion entspricht. Benchmark .XML-Dateien können im CIS-CAT-Ordner angezeigt werden, sobald Sie sie extrahiert haben. Sie können CIS-CAT auch ausführen, um Systeme zu überprüfen, die Sie pflegen, ohne einen Bericht an IA zu senden. Auf der CIS-Website finden Sie weitere Informationen zu CIS-CAT-Optionen.

Ausführen von CIS-CAT mit grafischer Benutzeroberfläche (GUI)

  1. Navigieren Sie zu dem Ordner, in dem Sie die erweiterten CIS-CAT-Dateien gespeichert haben.
  2. Führen Sie den Befehl aus, um ihn für das von Ihnen verwendete Betriebssystem zu starten:
    • Windows-Betriebssysteme: Öffnen Sie eine Eingabeaufforderung als Administrator und führen Sie ihn aus .\CIS-CAT_Windows_Launcher.BAT
    • Mac OS und die meisten Unix / Linux-Systeme:
      1. Aktualisieren Sie die Berechtigungen für den extrahierten Ordner und seinen Inhalt, um die Ausführung zu ermöglichen. Dies kann mit dem Befehl sudo chmod 755 FOLDERNAME erfolgen, wobei FOLDERNAME der Ordner ist, in den Sie CIS-CAT extrahiert haben.
      2. Führen Sie die CIS-CAT_Mac_Launcher.sh durch Ausgabe des Befehls: ./CIS-CAT_Mac_Launcher.sh
  3. Klicken Sie in den Nutzungsbedingungen auf Akzeptieren.
  4. Wählen Sie im Dropdown-Menü CIS Benchmark den Benchmark aus, der dem zu scannenden System oder der zu scannenden Anwendung entspricht, und klicken Sie auf Weiter.
  5. Wählen Sie im Dropdown-Menü Profil(e)das Profil aus, das Sie verwenden möchten, und klicken Sie auf Weiter.
    Welches Profil soll verwendet werden? Wählen Sie in den meisten Fällen ein Profil der Stufe 1 aus, mit dem Sie nach einem praktischen Sicherheitsniveau suchen, das das Systemdienstprogramm nicht einschränkt. In einigen Fällen fordert IA Sie möglicherweise auf, das strengere Level-2-Profil zu verwenden.
  6. Wählen Sie das Format für die Berichte, die CIS-CAT generiert. Wählen Sie XML-Bericht aus, um Ihren Bericht an IA zu senden. Sie können auch zusätzliche Berichtsformate auswählen, wenn Sie dies wünschen.
  7. Ändern Sie bei Bedarf den Speicherort. Standardmäßig speichert CIS-CAT im Home-Ordner oder im Bereich Eigene Dateien des Benutzers, der den Scan ausführt.
    Hinweis: Sie müssen einen Speicherort auswählen, der für das Benutzerkonto, unter dem Sie CIS-CAT ausführen, beschreibbar ist und dem System während des Scannens zur Verfügung steht.
  8. Wenn IA Sie darum gebeten hat, wählen Sie Bericht an URL SENDEN und geben Sie die URL ein, die IA Ihnen zur Verfügung gestellt hat.
  9. Klicken Sie auf Weiter.
  10. Überprüfen Sie die Bewertungszusammenfassung. Wenn es richtig aussieht, klicken Sie auf Bewertung starten. Wenn Sie Einstellungen ändern möchten, klicken Sie auf Zurück und passen Sie die Einstellungen nach Bedarf an.
  11. Wenn die Bewertung abgeschlossen ist, klicken Sie auf Berichte anzeigen, um zu dem Speicherort zu wechseln, an dem Sie die Berichte gespeichert haben.

Senden Sie Ihre CIS-CAT-Ergebnisse an Information Assurance

Wenn Sie mit IA arbeiten, z. B. während einer Risikoanalyse (AUFKLÄRUNG), überprüft IA die Ergebnisse und empfiehlt bei Bedarf spezifische Maßnahmen zur weiteren Sicherung Ihres Systems.

Um die Ergebnisse an IA zu senden, führen Sie am einfachsten das Skript aus, das sich im CIS-CAT-Paket für Ihr Betriebssystem befindet:

  • Mac OS- und Unix-Systeme mit sudo: ./CIS-CAT_send_results_to_information_assurance.sh
  • Windows mit als Administrator ausführen: .\CIS-CAT_send_results_to_information_assurance.BAT

Michigan Medicine

  • Einheiten innerhalb von Michigan Medicine sollten Ergebnisse im XML-Format über das Kundendienstportal Health Information Technology & Services (HITS) einreichen und darum bitten, dass sie an das IA Cybersecurity Risk Management Team weitergeleitet werden.

Überprüfen Sie Ihre CIS-CAT-Ergebnisse selbst

Möglicherweise möchten Sie Ihre CIS-CAT-Ergebnisse selbst überprüfen, und wenn Sie nicht mit IA arbeiten, sollten Sie die Ergebnisse überprüfen und Schwachstellen beheben, die das CIS-CAT-Tool in der Sicherheit Ihres Systems findet.

Wenn Sie die Ergebnisse selbst überprüfen, beachten Sie, dass:

  • CIS-CAT kann Einstellungen von Zeit zu Zeit falsch identifizieren. Wenn Sie eine Einstellung überprüfen und feststellen, dass sie bereits so eingestellt ist, wie CIS-CAT empfiehlt (dass Sie ein “Falsch-Positiv” haben), melden Sie dies CIS, damit das Tool kontinuierlich verbessert werden kann.
  • CIS-CAT berichtet über die im System vorhandenen Einstellungen und kann nicht vorhersagen, wann Sie ein Sicherheitsproblem auf andere Weise beheben können. Zum Beispiel können Sie einen Zyklus von Patch-Tests und Patching durch andere Mittel als automatische Updates haben; CIS-CAT meldet dann eine fehlende Einstellung für automatische Updates.

Keines der oben genannten Probleme ist besorgniserregend, solange Sie die Handhabung der betreffenden Sicherheitselemente berücksichtigen können.

Wenn Sie Fragen oder Probleme im Zusammenhang mit CIS-CAT haben, senden Sie eine Anfrage an IA über das ITS Service Center.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.