审核并改进 CIS 合规性
目录
为审核对策略进行分组
创建合规性审核的第一步,是将您希望用于审核特定目标系统组是否合规的策略进行分组。
注意:请记住,合规性审核仅会在其操作系统与策略相匹配的目标系统上运行。因此,建议根据操作系统对策略进行分组,以便有效地将其映射到属于相同操作系统的目标。
要创建策略组,请按以下步骤操作:
- 转到“合规性”>“策略组”。
- 如果您刚开始使用且尚未创建策略组,请单击“查看合规性策略”。这将打开一个向导,显示所有可用策略及其详细信息,例如策略类别、适用的操作系统平台,以及将用于扫描目标的规则总数。
注意:创建策略组后,“查看合规性策略”按钮将变为“创建策略组”。
- 为策略组指定一个有意义的名称。
- 选择您希望一起分组用于审核的策略。单击某个策略可查看其详细明细。请参阅此文档,了解更多有关受支持策略及其结构的信息。
- 单击“创建组”。
创建的组将列在“策略组”部分下。单击已创建的策略组可查看其中包含的策略。您可以使用筛选器按弃用状态和操作系统平台查看策略。弃用策略是指已过时并被其最新升级版本取代的策略。弃用策略将在控制台中显示为灰色。 Vulnerability Manager Plus 会立即支持所有弃用策略的替代版本。之后,当您将目标系统组映射到此策略组时,它们将显示在“已映射的目标组”部分下。
在内置模板下,系统已提供基于操作系统和配置级别整合策略而构建的策略组模板。单击某个模板可查看其中包含的策略。如果您希望使用这些模板策略组进行审核,请单击所需模板对应的“添加到策略组”按钮。这些模板随后将显示在“策略组”下,并可用于审核。
配置合规性审核
创建策略组后,您必须将其链接到一个目标自定义组,合规性扫描将在该组上执行。
单击“合规性 → 映射并审核目标 → 创建审核”。
系统将打开一个用于创建审核的新窗口。在“目标组”下,选择您要运行合规性检查的自定义组。在“映射策略组”部分中,在“映射要用于审核目标的策略组”选项下,选择您已创建的策略组。
在“计划扫描”部分中,选择扫描的“频率”(建议每天计划一次,以便轻松跟踪任何合规性偏差),然后在“开始于”选项下选择开始扫描的日期。
如果您希望配置有关此 CIS 合规性审核的通知,请启用“启用通知”复选框。
配置完成后,如果您希望立即执行合规性扫描,请单击“创建审核并立即扫描”;如果单击“创建审核”,则合规性扫描将在后续刷新周期中执行。
一旦为目标组计划了审核扫描,该目标组将显示在“映射并审核目标”视图的表格中。随后,将根据计划定期针对已映射策略中的所有规则评估目标组内系统的合规性。系统会显示每个目标组的总体合规百分比。该总体合规百分比表示:在目标组中扫描的所有系统中,安全系统(即每台系统的合规百分比至少达到 90% 的系统)所占的百分比。单击某个目标组可查看其完整的合规性详细信息。
总体合规百分比 = 安全系统数量(合规百分比至少达到 90% 的系统)/ 扫描的系统总数 * 100
注意:总体合规百分比仅考虑已扫描的系统,而不是所有系统,因为未来可能会有新系统被添加到所选为目标的自定义组中。如果审核扫描发生在这些系统加入之前,那么目标组中的这些新机器将不会被审核其合规性,因此在根据计划进行下一次扫描并被评估之前,也不会被计入合规百分比。如果系统在计划扫描期间处于离线状态,则合规百分比只会反映该计划扫描之前最后一次扫描的结果。该系统的合规性扫描将在后续刷新周期中执行,之后合规百分比将相应更新。
目标组内部
在顶部,您可以看到目标组的名称、安排审核的人员以及其扫描计划。您可以单击“修改计划”按钮来编辑计划。
合规状态
此部分显示在已扫描计算机总数中,需要关注的计算机数量(即单机合规性低于 90% 的计算机)。根据 Vulnerability Manager Plus 的定义,合规性至少达到 90% 的系统被视为安全。此处显示的合规百分比表示:在目标组中已扫描的所有系统中,安全系统所占的百分比。该百分比与目标组的总体合规百分比相同。
按健康状态划分的计算机明细
本部分根据计算机的合规百分比按健康状态对其进行分类。
| 系统的合规百分比 | 健康状态 |
| 低于 10% | 易受攻击 - 表示存在漏洞风险的计算机 |
| 10% - 50% | 合规性差 - 表示合规性较差的系统 |
| 50% - 90% | 中等合规 - 表示合规性可以改进的系统 |
| 高于 90% | 安全 - 表示安全的计算机 |
表格视图
下面的表格部分列出了属于此目标组的所有计算机。您可以在此查看诸如操作系统平台、已扫描和尚未扫描的策略,以及每台计算机的合规百分比等详细信息。如果在一次扫描之后,审核被修改为向目标映射新的一个或多个策略组,则这些策略在根据计划进行下一次扫描之前将保持未扫描状态。在此之前,这些策略将被计为“待扫描”策略。每个系统的合规百分比表示:该计算机在所有已映射策略中已扫描的规则总数(不包括未评分规则)中,通过的规则所占百分比。
合规百分比 = 已通过规则数 /(已扫描规则总数 - 未评分规则数)* 100
注意:并非已映射策略中的所有规则都会计入您的合规百分比。以下三种情况下,规则不会被纳入合规百分比计算:
1. 规则属于尚未扫描的策略。
2. 规则属于不适用于该系统的策略。如果策略是为特定操作系统设计的,而该操作系统与系统的操作系统不匹配,就会发生这种情况。
3. 规则被标记为未评分。虽然这些规则仍计入某个策略的规则总数,但其结果不会计入合规百分比。
此外,如果映射到目标的策略组在审核扫描后被修改以添加/删除策略,那么在后续扫描之前,这些更改不会影响合规百分比。只有在系统于后续扫描中根据修改后的映射策略列表完成扫描后,合规百分比才会相应变化。
您还可以按策略查看某台计算机的合规状态和合规百分比。为此,请单击某台计算机。
单台计算机视图
合规状态
此部分显示该计算机在所有已映射策略中、已扫描规则总数里未能满足合规要求的规则数量。此处显示的合规百分比表示:该计算机在所有已映射策略中已扫描规则总数(不包括未评分规则)中,通过的规则所占百分比。
合规百分比 = 已通过规则数 /(已扫描规则总数 - 未评分规则数)* 100
按合规状态划分的规则明细
此部分根据计算机的合规状态对所有适用于该计算机的规则进行分类。
- 失败 - 计算机配置未能满足合规要求的规则
- 错误 - 扫描过程中处理失败的规则。
- 未评分 - 虽然这些规则仍计入某个策略的规则总数,但其结果不会计入合规百分比。根据 CIS 的定义,规则要么为“已评分”,要么为“未评分”。“已评分”的建议是实现CIS 合规性所必需的,如果未满足,将降低总体基准合规百分比。而“未评分”的建议不会影响合规百分比。
- 通过 - 计算机配置成功满足合规要求的规则
表格视图
下面的表格部分列出了映射到此计算机的所有策略,以及每个策略中通过的规则数和该计算机在各策略下的合规百分比。每个策略的合规百分比表示:该计算机在该策略已扫描规则总数中,通过的规则所占百分比。您可以使用筛选选项,根据计算机的合规状态查看规则。例如,如果您在合规状态筛选器中选择“失败”,则会显示每个策略中的失败规则。每条规则都会为某项安全设置提供一个建议值。单击失败规则旁边的“查看解决方案”,可查看实施建议值的详细步骤。
您还可以按规则查看某台计算机的合规状态。为此,请单击某个策略。
单个策略视图
合规状态
此部分显示该计算机在此特定策略的已扫描规则总数中未能满足合规要求的规则数量。此处显示的合规百分比表示:该计算机在该策略的已扫描规则总数中,通过的规则所占百分比。
按合规状态划分的规则明细
此部分根据计算机的合规状态对该策略中的所有规则进行分类。
- 失败 - 计算机配置未能满足合规要求的规则
- 错误 - 扫描过程中处理失败的规则。
- 未评分 - 虽然这些规则仍计入某个策略的规则总数,但其结果不会计入合规百分比。根据 CIS 的定义,规则要么为“已评分”,要么为“未评分”。“已评分”的建议是实现 CIS 合规性所必需的,如果未满足,将降低总体基准合规百分比。而“未评分”的建议不会影响合规百分比。
- 通过 - 计算机配置成功满足合规要求的规则
策略明细表格视图
如果您希望进一步了解策略的结构以及策略中所用术语的详细解释,请参阅此页面。对于每个标题,您都可以查看该计算机已通过的规则数。单击标题可展开并显示与之相关的规则。您可以在每条规则旁查看其合规状态。每条规则都会为某项安全设置提供一个建议值。如果您单击某条规则,将显示详细摘要、理由以及修复方法列。“修复方法”列会针对每条失败规则,提供在您的计算机上实施建议值的详细步骤。
您还可以创建自定义的 CIS 合规性报告。导航至“报告---> 高管报告”,然后选择“CIS 合规性报告”。请参阅此页面,了解有关如何创建此类报告的更多信息。
注意:此功能并非在所有国家/地区都可用。有关更多详细信息,请联系支持团队。
如果您还有其他问题,请参阅我们的常见问题解答部分以获取更多信息。
