CIS-CAT: hur man kör och rapporterar resultat till IA
hur man använder CIS-CAT-verktyget för att säkra U-M-system, databaser och applikationer och hur man rapporterar resultaten till Information Assurance. Se CIS-CAT för U-M-system för information om den UM-specifika versionen av verktyget och dess rekommenderade användningsområden.
- i detta dokument:
- Vad är CIS-Cat?
- ladda ner och extrahera CIS-Cat
- kör en Scan-enklaste metod för att arbeta med IA
- så här kör du CIS-CAT från en kommandorad
- hur man kör CIS-CAT med grafiskt användargränssnitt (GUI)
- skicka dina CIS-CAT-resultat till Information Assurance
- granska dina CIS-CAT-resultat själv
i detta dokument:
- vad är CIS-CAT?
- hämta och extrahera CIS-Cat
- kör en Scan—enklaste metoden
- hur man kör CIS-CAT från en kommandorad
- hur man kör CIS-CAT med grafiskt användargränssnitt (GUI)
- skicka dina CIS-CAT resultat till Information Assurance
- granska dina CIS-CAT resultat själv
Vad är CIS-Cat?
CIS-CAT_Standalones är de um-anpassade versionerna av Center for Internet Security Configuration Assessment Tool-CIS-CAT. Dessa versioner kan användas för att bedöma säkerheten för operativsystem och programvarukonfigurationer mot en mall med bästa praxis. Information Assurance (IA) rekommenderar att du använder CIS-CAT tillsammans med vägledningen i Safe Computing Härdningsguider för att uppnå baslinjesäkerhet för U-M IT-system.
CIS-CAT-verktyget körs på 32 eller 64-bitarssystem. IA tillhandahåller en 64-bitarsversion av CIS-CAT som innehåller Java Runtime Environment (JRE) som krävs för att köra den (om ditt system inte har JRE eller om du inte vill lägga till det). Denna 64-bitarsversion är anpassad för användning på U-M-system. Om du har andra system som du vill skanna som kräver en 32-bitarsversion, kolla CIS-webbplatsen för gratis nedladdningar. IT-proffs kan också vilja registrera sig för att använda CIS WorkBench, som tillåter användare att delta i att ge feedback eller skicka biljetter direkt till CIS.
OBS: CIS-CAT-poäng indikerar inte att ett system uppfyller kraven för någon särskild klassificeringsnivå för känslig universitets ata. Du kan behöva vidta ytterligare säkerhetssteg som krävs enligt um IT-policy, statliga eller federala lagar eller avtalsavtal för att säkra vissa typer av data.
ladda ner och extrahera CIS-Cat
ladda ner CIS-CAT för alla operativsystem, applikationer eller databaser från mappen CIS-CAT U-M Box. Ladda ner den version som matchar operativsystemet, programmet eller databasen som du vill skanna. Extrahera den nedladdade komprimerade filen till en plats som kommer att vara tillgänglig för dig när du gör CIS-CAT-skanningen.
notera: Du kan köra CIS-CAT från vilken plats som helst som ska monteras som en läsbar och skrivbar enhet under skanning om du inte vill spara verktyget på den maskin du ska skanna.
kör en Scan-enklaste metod för att arbeta med IA
en nivå-1-skanning av O/S-konfigurationen är det grundläggande riktmärket IA rekommenderar för de flesta system. Om du arbetar med sin informationssäkerhet är det enklaste sättet att köra en nivå-1-skanning av ett system och skicka resultaten till IA att:
- se till att systemet är på U-M-nätverket eller fjärransluten med VPN.
- öppna en kommandotolk på systemet som admin (eller du kan också använda sudo på Linux och Mac-system).
- navigera till mappen där du extraherade CIS-CAT.
- kör scirpt för ditt operativsystem:
- .\ CIS-CAT_send_results_to_information_assurance.BAT för Windows.
- . /CIS-CAT_send_results_to_information_assurance.sh skript för Linux och Mac-system.
skriptet kommer att köra o / s Nivå 1 riktmärke och skicka resultaten till IA automatiskt.
så här kör du CIS-CAT från en kommandorad
kör CIS-CAT med kommandona nedan. Dessa kommandon vidarebefordrar också din XML-utdatafil till IA. Dessa exempel visar Ubuntu och Windows 10 som operativsystem.
- Mac OS och de flesta Unix/Linux-system: sudo ./CIS-CAT_Linux_Launcher.sh -ui https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload – B riktmärken / CIS_Ubuntu_Linux_18.04_lts_benchmark_v2. 0. 1-xccdf.xml
- Windows-system:
.\ CIS-KAT.BAT-u https://ccpd.miserver.it.umich.edu/CCPD/api/reports/upload – UI-B riktmärken / CIS_Microsoft_Windows_10_Enterprise_release_1709_benchmark_v1.4. 0-xccdf.xml-p “Nivå 1” – sr-x-s-a-n
Obs! Du måste justera vissa parametrar som är specifika för din situation. Välj Till exempel ett riktmärke som matchar ditt operativsystem eller program/databasversion. Riktmärke .xml-filer kan visas i CIS-CAT-mappen när du har extraherat den. Du kan också köra CIS-CAT för att kontrollera system du underhåller utan att skicka en rapport till IA. CIS-webbplatsen har mer information om CIS-CAT-alternativ.
hur man kör CIS-CAT med grafiskt användargränssnitt (GUI)
- navigera till mappen där du har sparat de utökade CIS-CAT-filerna.
- Kör kommandot för att starta det för operativsystemet du använder:
- Windows operativsystem: öppna en kommandotolk som Admin och kör .\ CIS-CAT_Windows_Launcher.BAT
- Mac OS och de flesta Unix / Linux-system:
- uppdatera behörigheter på den extraherade mappen och dess innehåll för att tillåta körning. Detta kan göras med kommandot sudo chmod 755 mappnamn, där mappnamn är den mapp du extraherade CIS-CAT till.
- kör CIS-CAT_Mac_Launcher.sh genom att utfärda kommandot:./ CIS-CAT_Mac_Launcher.sh
- klicka på Acceptera I Användarvillkoren.
- i rullgardinsmenyn CIS-riktmärke väljer du riktmärket som matchar det system eller det program du skannar och klickar på Nästa.
- välj den profil du vill använda i rullgardinsmenyn profil (er) och klicka på Nästa.
vilken profil ska du använda? I de flesta fall väljer du en nivå 1-profil, som är utformad för att kontrollera en praktisk säkerhetsnivå som inte begränsar systemverktyget. I vissa fall kan IA be dig att använda den strängare nivå 2-profilen. - Välj format för de rapporter som CIS-CAT kommer att generera. Välj XML-rapport för att skicka din rapport till IA. Du kan också välja ytterligare rapportformat om du vill.
- ändra spara plats om det behövs. Som standard sparar CIS-CAT i hemmappen eller mitt Dokumentutrymme för användaren som kör skanningen.
Obs: Du måste välja en spara plats skrivbar av användarkontot under vilket du kör CIS-CAT som är tillgänglig för systemet under skanning. - om IA har bett dig, välj posta rapport till URL och ange den URL som IA har gett dig.
- Klicka På Nästa.
- granska sammanfattningen av bedömningen. Om det ser korrekt ut klickar du på Starta bedömning. Om du vill ändra några inställningar klickar du på Gå tillbaka och justera inställningarna efter behov.
- när bedömningen är klar klickar du på Visa rapporter för att gå till den plats där du sparade rapporterna.
skicka dina CIS-CAT-resultat till Information Assurance
om du arbetar med IA, till exempel under en riskanalys (RECON), kommer IA att granska resultaten och rekommendera specifika åtgärder för att ytterligare säkra ditt system om det behövs.
för att skicka resultaten till IA är det enklaste och föredragna sättet att köra skriptet i CIS-CAT-paketet för ditt operativsystem:
- Mac OS och Unix-system som använder sudo:. /CIS-CAT_send_results_to_information_assurance.sh
- Windows använder Kör som admin:.\ CIS-CAT_send_results_to_information_assurance.BAT
Michigan Medicine
- enheter inom Michigan Medicine ska skicka in resultat i XML-format via Health Information Technology & Services (HITS) Kundtjänstportal och be att de riktas till IA Cybersecurity Risk Management team.
granska dina CIS-CAT-resultat själv
du kanske vill granska dina CIS-CAT-resultat själv, och om du inte arbetar med IA bör du granska resultaten och planera att åtgärda svagheter som CIS-CAT-verktyget hittar i ditt systems säkerhet.
om du granskar resultaten själv, var medveten om att:
- CIS-CAT kan felidentifiera inställningar då och då. Om du kontrollerar en inställning och upptäcker att den redan är inställd som CIS-CAT rekommenderar (att du har ett “falskt positivt”), rapportera det till CIS så att de kontinuerligt kan förbättra verktyget.
- CIS-CAT rapporterar om de inställningar som finns på systemet och kan inte förutsäga när du kan hantera ett säkerhetsproblem på andra sätt. Du kan till exempel ha en cykel med lapptestning och patchning på andra sätt än automatiska uppdateringar; CIS-CAT rapporterar sedan en saknad inställning för automatiska uppdateringar.
inget av ovanstående problem är oroande, så länge du kan redogöra för hanteringen av säkerhetsartiklarna i fråga.
om du har frågor eller problem relaterade till CIS-CAT, skicka en förfrågan till IA via its-servicecentret.