CIS-CAT: How To Run and Report Results to IA

How to use the CIS-CAT tool to help secure U-M systems, databases and applications, and how to reporting the results to Information Assurance. Zie CIS-CAT Voor U-M systemen voor informatie over de UM-specifieke versie van de tool en de aanbevolen toepassingen.

In dit document:

  • Wat is CIS-CAT?
  • downloaden en extraheren CIS-Cat
  • Scan uitvoeren-gemakkelijkste methode
  • CIS-CAT uitvoeren vanaf een opdrachtregel
  • CIS-CAT uitvoeren met grafische gebruikersinterface
  • uw CIS-CAT-resultaten indienen bij Information Assurance
  • bekijk zelf uw CIS-CAT-resultaten

Wat is CIS-CAT?

CIS-CAT_Standalones zijn de UM-aangepaste versies van het Center for Internet Security Configuration Assessment Tool—CIS-CAT. Deze versies kunnen worden gebruikt om de beveiliging van besturingssystemen en softwareconfiguraties te beoordelen aan de hand van een sjabloon van best practices. Information Assurance (IA) beveelt aan CIS-CAT te gebruiken in combinatie met de richtsnoeren in de Safe Computing Hardening Guides om basisbeveiliging voor U-M IT-systemen te bereiken.

de CIS-CAT tool zal draaien op 32 of 64-bits systemen. IA biedt een 64-bits versie van CIS-CAT die de Java Runtime Environment (JRE) bevat die nodig is om het te draaien (in het geval dat uw systeem geen JRE heeft of u het niet wilt toevoegen). Deze 64-bit versie is aangepast voor gebruik op U-M systemen. Als u andere systemen die u wilt scannen die een 32-bits versie vereisen, check de CIS website voor gratis downloads. IT-professionals kunnen zich ook willen registreren om de CIS-werkbank te gebruiken, die gebruikers in staat stelt om deel te nemen aan het geven van feedback of het verzenden van tickets rechtstreeks naar CIS.

opmerking: CIS-CAT-scores wijzen er niet op dat een systeem voldoet aan de vereisten voor een bepaald classificatieniveau van gevoelige Universitaire ata. Mogelijk moet u verdere beveiligingsmaatregelen nemen die vereist zijn door het IT-beleid van U-M, staats-of federale wetten of contractovereenkomsten om bepaalde soorten gegevens te beveiligen.

download en extraheer CIS-Cat

download CIS-CAT voor alle besturingssystemen, toepassingen of databases uit de CIS-CAT U-M Boxmap. Download de versie die overeenkomt met het besturingssysteem, de toepassing of de database die u wilt scannen. Pak het gedownloade gecomprimeerde bestand uit naar een locatie die voor u beschikbaar is tijdens het scannen van CIS-CAT.

Noot: U kunt CIS-CAT uitvoeren vanaf elke locatie die tijdens het scannen als een leesbaar en beschrijfbaar station wordt gemonteerd als u de tool niet wilt opslaan op de machine die u wilt scannen.

een Scan uitvoeren-gemakkelijkste methode voor het werken met IA

een scan van niveau 1 van de O/S-Configuratie is de basisbenchmark die IA voor de meeste systemen aanbeveelt. Als u werkt met de informatie Assurance, is de eenvoudigste manier om een level-1 scan van een systeem uit te voeren en de resultaten naar IA te sturen::

  1. zorg ervoor dat het systeem zich op het U-M-netwerk bevindt of op afstand is aangesloten met behulp van de VPN.
  2. Open een opdrachtprompt op het systeem als beheerder (of u kunt sudo ook gebruiken op Linux-en Mac-systemen).
  3. Navigeer naar de map waarin u CIS-CAT hebt uitgepakt.
  4. voer scirpt uit voor uw besturingssysteem:
    • .\CIS-CAT_send_results_to_information_assurance.Vleermuis voor ramen.
    • . /CIS-CAT_send_results_to_information_assurance.sh script voor Linux en Mac systemen.

het script voert de O/S niveau 1 benchmark uit en stuurt de resultaten automatisch naar IA.

CIS-CAT uitvoeren vanaf een opdrachtregel

CIS-CAT uitvoeren met behulp van de onderstaande opdrachten. Deze commando ‘ s zullen ook je XML uitvoerbestand doorsturen naar IA. Deze voorbeelden tonen Ubuntu en Windows 10 als besturingssystemen.

  • Mac OS en de meeste Unix/Linux-systemen: sudo. / CIS-CAT_Linux_Launcher.sh -ui https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload – B benchmarks / CIS_Ubuntu_Linux_18. 04_LTS_Benchmark_v2. 0. 1-xccdf.xml
  • Windows-systemen:
    .CIS-CAT.BBT-u https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload – ui-b benchmarks / CIS_Microsoft_Windows_10_Enterprise_release_1709_benchmark_v1. 4. 0-xccdf.XML-p “Level 1”- sr-x-s-a-n

Opmerking: U moet een aantal parameters aanpassen die specifiek zijn voor uw situatie. Kies bijvoorbeeld een benchmark die overeenkomt met uw besturingssysteem of applicatie – /databaseversie. Benchmark .xml-bestanden zijn zichtbaar in de CIS-CAT-map zodra u deze hebt uitgepakt. U kunt ook CIS-CAT uitvoeren om systemen te controleren die u onderhoudt zonder een rapport naar IA te sturen. De CIS website heeft meer informatie over CIS-CAT opties.

CIS-CAT draaien met grafische gebruikersinterface (GUI))

  1. Navigeer naar de map waar u de uitgebreide CIS-CAT-bestanden hebt opgeslagen.
  2. voer het commando uit om het te starten voor het besturingssysteem dat u gebruikt:
    • Windows-besturingssystemen: Open een opdrachtprompt als beheerder en voer uit .\CIS-CAT_Windows_Launcher.BBT
    • Mac OS en de meeste Unix / Linux-systemen:
      1. Machtigingen voor de uitgepakte map en de inhoud ervan bijwerken om uitvoering toe te staan. Dit kan worden gedaan met het commando sudo chmod 755 mapnaam, waarbij mapnaam de map is waarnaar u CIS-CAT hebt geëxtraheerd.
      2. Voer de CIS-CAT_Mac_Launcher.sh door het geven van de opdracht:./ CIS-CAT_Mac_Launcher.sh
  3. klik in de gebruiksvoorwaarden op Accepteren.
  4. selecteer in het keuzemenu CIS-Benchmark de benchmark die overeenkomt met het systeem of de toepassing die u scant en klik op Volgende.
  5. selecteer in het vervolgkeuzemenu profiel(en) het profiel dat u wilt gebruiken en klik op Volgende.
    welk profiel te gebruiken? In de meeste gevallen selecteert u een niveau 1-profiel, dat is ontworpen om te controleren op een praktisch beveiligingsniveau dat het Systeemhulpprogramma niet beperkt. In sommige gevallen kan IA u vragen om het strengere niveau 2-profiel te gebruiken.
  6. Selecteer het formaat voor de rapporten die CIS-CAT zal genereren. Selecteer XML rapport voor het verzenden van uw rapport naar IA. U kunt ook extra rapportformaten selecteren als u dat wilt.
  7. Wijzig de opslaglocatie indien nodig. Standaard zal CIS-CAT ruimte opslaan in de persoonlijke map of Mijn documenten van de gebruiker die de scan uitvoert.
    Opmerking: U moet een opslaglocatie kiezen die beschrijfbaar is voor het gebruikersaccount waaronder u CIS-CAT uitvoert en die beschikbaar is voor het systeem tijdens het scannen.
  8. als IA u daarom heeft gevraagd, selecteert u rapport naar URL plaatsen en voert u de URL in die IA u heeft verstrekt.
  9. Klik Op Volgende.
  10. herzie de samenvatting van de beoordeling. Als het er goed uitziet, klikt u op Start Assessment. Als u instellingen wilt wijzigen, klikt u op Ga terug en pas de instellingen indien nodig aan.
  11. wanneer de beoordeling is uitgevoerd, klikt u op rapporten weergeven om naar de locatie te gaan waar u de rapporten hebt opgeslagen.

stuur uw CIS-CAT-resultaten naar Information Assurance

als u met IA werkt, bijvoorbeeld tijdens een risicoanalyse (RECON), zal IA de resultaten beoordelen en indien nodig specifieke acties aanbevelen om uw systeem verder te beveiligen.

om de resultaten naar IA te sturen, is het het makkelijkst en de beste manier om het script uit te voeren dat zich in het CIS-CAT pakket bevindt voor uw besturingssysteem:

  • Mac OS en Unix systemen die sudo gebruiken: ./CIS-CAT_send_results_to_information_assurance.sh
  • vensters die draaien als admin: .\CIS-CAT_send_results_to_information_assurance.BBT

Michigan Medicine

  • eenheden binnen Michigan Medicine dienen de resultaten in XML-formaat in te dienen via de Health Information Technology & Services (HITS) Customer Service Portal en verzoeken om deze door te sturen naar het IA Cybersecurity Risk Management team.

Controleer uw CIS-CAT-resultaten zelf

mogelijk wilt u uw CIS-CAT-resultaten zelf beoordelen, en als u niet met IA werkt, moet u de resultaten bekijken en plannen om de zwakke punten die het CIS-CAT-hulpmiddel in de beveiliging van uw systeem vindt, te verhelpen.

als u de resultaten zelf bekijkt, moet u zich ervan bewust zijn dat:

  • CIS-CAT kan van tijd tot tijd de instellingen verkeerd identificeren. Als je een instelling controleert en ziet dat deze al is ingesteld zoals CIS-CAT aanbeveelt (dat je een “false-positive” hebt), rapporteer het dan aan CIS, zodat ze de tool voortdurend kunnen verbeteren.
  • CIS-CAT rapporteert over de instellingen op het systeem en kan niet voorspellen wanneer u een beveiligingsprobleem op een andere manier kunt afhandelen. Bijvoorbeeld, je kan een cyclus van patch testen en patchen met andere middelen dan Automatische updates; CIS-CAT zal dan een ontbrekende auto-updates-instelling rapporteren.

geen van de bovenstaande problemen geeft aanleiding tot bezorgdheid, zolang u maar rekening kunt houden met de behandeling van het(de) beveiligingsitem (en) in kwestie.

als u vragen of problemen hebt in verband met CIS-CAT, dient u een verzoek in bij IA via het its Service Center.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.