[要約] RFC 7632は、エンタープライズのエンドポイントセキュリティの評価に関するガイドラインです。このRFCの目的は、エンタープライズ環境でのエンドポイントセキュリティの評価に関するベストプラクティスを提供することです。
Internet Engineering Task Force (IETF) D. Waltermire
Request for Comments: 7632 NIST
Category: Informational D. Harrington
ISSN: 2070-1721 Effective Software
September 2015
Endpoint Security Posture Assessment: Enterprise Use Cases
エンドポイントセキュリティポスチャ評価:エンタープライズユースケース
Abstract
概要
This memo documents a sampling of use cases for securely aggregating configuration and operational data and evaluating that data to determine an organization's security posture. From these operational use cases, we can derive common functional capabilities and requirements to guide development of vendor-neutral, interoperable standards for aggregating and evaluating data relevant to security posture.
このメモは、構成データと運用データを安全に集約し、そのデータを評価して組織のセキュリティ体制を決定するための使用例のサンプルを文書化しています。これらの運用ユースケースから、共通の機能機能と要件を導き出し、セキュリティポスチャに関連するデータを集約および評価するためのベンダー中立の相互運用可能な標準の開発を導くことができます。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7632.
このドキュメントの現在のステータス、正誤表、フィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7632で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Endpoint Posture Assessment . . . . . . . . . . . . . . . . . 4
2.1. Use Cases . . . . . . . . . . . . . . . . . . . . . . . . 5
2.1.1. Define, Publish, Query, and Retrieve Security
Automation Data . . . . . . . . . . . . . . . . . . . 6
2.1.2. Endpoint Identification and Assessment Planning . . . 9
2.1.3. Endpoint Posture Attribute Value Collection . . . . . 11
2.1.4. Posture Attribute Evaluation . . . . . . . . . . . . 11
2.2. Usage Scenarios . . . . . . . . . . . . . . . . . . . . . 13
2.2.1. Definition and Publication of Automatable
Configuration Checklists . . . . . . . . . . . . . . 13
2.2.2. Automated Checklist Verification . . . . . . . . . . 14
2.2.3. Detection of Posture Deviations . . . . . . . . . . . 17
2.2.4. Endpoint Information Analysis and Reporting . . . . . 18
2.2.5. Asynchronous Compliance/Vulnerability Assessment at
Ice Station Zebra . . . . . . . . . . . . . . . . . . 18
2.2.6. Identification and Retrieval of Guidance . . . . . . 20
2.2.7. Guidance Change Detection . . . . . . . . . . . . . . 21
3. Security Considerations . . . . . . . . . . . . . . . . . . . 22
4. Informative References . . . . . . . . . . . . . . . . . . . 22
Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . . 23
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . 23
This document describes the core set of use cases for endpoint posture assessment for enterprises. It provides a discussion of these use cases and associated building-block capabilities. The described use cases support:
このドキュメントでは、企業のエンドポイントポスチャ評価のコアユースケースセットについて説明します。これらの使用例と関連するビルディングブロック機能について説明します。説明されているユースケースは以下をサポートします。
o securely collecting and aggregating configuration and operational data, and
o 構成データと運用データを安全に収集および集約し、
o evaluating that data to determine the security posture of individual endpoints.
o そのデータを評価して、個々のエンドポイントのセキュリティ体制を決定します。
Additionally, this document describes a set of usage scenarios that provide examples for using the use cases and associated building blocks to address a variety of operational functions.
さらに、このドキュメントでは、さまざまな運用機能に対処するための使用例と関連するビルディングブロックの使用例を提供する一連の使用シナリオについて説明します。
These operational use cases and related usage scenarios cross many IT security domains. The use cases enable the derivation of common:
これらの運用ユースケースと関連する使用シナリオは、多くのITセキュリティドメインにまたがっています。ユースケースは、共通の派生を可能にします。
o concepts that are expressed as building blocks in this document,
o このドキュメントでビルディングブロックとして表現されている概念
o characteristics to inform development of a requirements document,
o 要件文書の作成を通知する特性、
o information concepts to inform development of an information model document, and
o 情報モデル文書の開発を通知する情報概念、および
o functional capabilities to inform development of an architecture document.
o アーキテクチャドキュメントの開発を通知する機能。
Together, these ideas will be used to guide development of vendor-neutral, interoperable standards for collecting, aggregating, and evaluating data relevant to security posture.
これらのアイデアは、セキュリティ状況に関連するデータを収集、集約、評価するためのベンダー中立で相互運用可能な標準の開発を導くために一緒に使用されます。
Using this standard data, tools can analyze the state of endpoints as well as user activities and behaviour, and evaluate the security posture of an organization. Common expression of information should enable interoperability between tools (whether customized, commercial, or freely available), and the ability to automate portions of security processes to gain efficiency, react to new threats in a timely manner, and free up security personnel to work on more advanced problems.
この標準データを使用して、ツールはエンドポイントの状態とユーザーのアクティビティおよび動作を分析し、組織のセキュリティ体制を評価できます。情報の一般的な表現により、ツール間の相互運用性(カスタマイズされたもの、商用、または自由に利用できるもの)、およびセキュリティプロセスの一部を自動化して効率を高め、新しい脅威にタイムリーに対応し、セキュリティ担当者が作業できるようにする必要があります。より高度な問題。
The goal is to enable organizations to make informed decisions that support organizational objectives, to enforce policies for hardening systems, to prevent network misuse, to quantify business risk, and to collaborate with partners to identify and mitigate threats.
目標は、組織が組織の目標をサポートする十分な情報に基づいた意思決定を行えるようにし、システムを強化するためのポリシーを適用し、ネットワークの誤用を防ぎ、ビジネスリスクを定量化し、パートナーと協力して脅威を特定して軽減することです。
It is expected that use cases for enterprises and for service providers will largely overlap. When considering this overlap, there are additional complications for service providers, especially in handling information that crosses administrative domains.
企業とサービスプロバイダーのユースケースは、大部分が重複することが予想されます。この重複を考慮すると、サービスプロバイダーにとって、特に管理ドメインを横断する情報の処理において、さらに複雑な問題が生じます。
The output of endpoint posture assessment is expected to feed into additional processes, such as policy-based enforcement of acceptable state, verification and monitoring of security controls, and compliance to regulatory requirements.
エンドポイントポスチャアセスメントの出力は、ポリシーベースの受け入れ可能な状態の実施、セキュリティ制御の検証とモニタリング、規制要件への準拠などの追加プロセスにフィードされることが期待されています。
Endpoint posture assessment involves orchestrating and performing data collection and evaluating the posture of a given endpoint. Typically, endpoint posture information is gathered and then published to appropriate data repositories to make collected information available for further analysis supporting organizational security processes.
エンドポイントのポスチャ評価には、データ収集を調整および実行し、特定のエンドポイントのポスチャを評価することが含まれます。通常、エンドポイントのポスチャ情報が収集され、適切なデータリポジトリに公開されて、収集された情報が組織のセキュリティプロセスをサポートするさらなる分析に利用できるようになります。
Endpoint posture assessment typically includes:
エンドポイントポスチャアセスメントには通常、次のものが含まれます。
o collecting the attributes of a given endpoint;
o 特定のエンドポイントの属性を収集する。
o making the attributes available for evaluation and action; and
o 属性を評価およびアクションに使用できるようにする。そして
o verifying that the endpoint's posture is in compliance with enterprise standards and policy.
o エンドポイントの姿勢が企業の標準とポリシーに準拠していることを確認します。
As part of these activities, it is often necessary to identify and acquire any supporting security automation data that is needed to drive and feed data collection and evaluation processes.
これらのアクティビティの一部として、データの収集と評価のプロセスを推進および提供するために必要な、サポートされているセキュリティ自動化データを識別して取得することが必要になることがよくあります。
The following is a typical workflow scenario for assessing endpoint posture:
以下は、エンドポイントのポスチャを評価するための一般的なワークフローシナリオです。
1. Some type of trigger initiates the workflow. For example, an operator or an application might trigger the process with a request, or the endpoint might trigger the process using an event-driven notification.
1. あるタイプのトリガーがワークフローを開始します。たとえば、オペレーターまたはアプリケーションが要求でプロセスをトリガーしたり、エンドポイントがイベント駆動型通知を使用してプロセスをトリガーしたりする場合があります。
2. An operator/application selects one or more target endpoints to be assessed.
2. オペレーター/アプリケーションは、評価する1つ以上のターゲットエンドポイントを選択します。
3. An operator/application selects which policies are applicable to the targets.
3. オペレーター/アプリケーションは、ターゲットに適用できるポリシーを選択します。
4. For each target:
4. 各ターゲットについて:
A. The application determines which (sets of) posture attributes need to be collected for evaluation. Implementations should be able to support (possibly mixed) sets of standardized and proprietary attributes.
A.アプリケーションは、評価のために収集する必要がある姿勢属性(のセット)を決定します。実装は、標準化された独自仕様の属性のセット(おそらく混合)をサポートできる必要があります。
B. The application might retrieve previously collected information from a cache or data store, such as a data store populated by an asset management system.
B.アプリケーションは、以前に収集された情報を、資産管理システムによって入力されたデータストアなどのキャッシュまたはデータストアから取得する場合があります。
C. The application might establish communication with the target, mutually authenticate identities and authorizations, and collect posture attributes from the target.
C.アプリケーションは、ターゲットとの通信を確立し、IDと承認を相互に認証し、ターゲットからポスチャ属性を収集する場合があります。
D. The application might establish communication with one or more intermediaries or agents, which may be local or external. When establishing connections with an intermediary or agent, the application can mutually authenticate their identities and determine authorizations, and collect posture attributes about the target from the intermediaries or agents.
D.アプリケーションは、ローカルまたは外部の1つ以上の仲介者またはエージェントとの通信を確立する場合があります。仲介者またはエージェントとの接続を確立するとき、アプリケーションは相互にIDを認証し、承認を決定し、仲介者またはエージェントからターゲットに関するポスチャ属性を収集できます。
E. The application communicates target identity and (sets of) collected attributes to an evaluator, which is possibly an external process or external system.
E.アプリケーションは、ターゲットIDと収集された属性(のセット)を、おそらく外部プロセスまたは外部システムである評価者に伝達します。
F. The evaluator compares the collected posture attributes with expected values as expressed in policies.
F.評価者は、ポリシーで表現されているように、収集された姿勢属性を期待値と比較します。
G. The evaluator reports the evaluation result for the requested assessment, in a standardized or proprietary format, such as a report, a log entry, a database entry, or a notification.
G.評価者は、要求された評価の評価結果を、レポート、ログエントリ、データベースエントリ、通知などの標準化された形式または独自の形式で報告します。
The following subsections detail specific use cases for assessment planning, data collection, analysis, and related operations pertaining to the publication and use of supporting data. Each use case is defined by a short summary containing a simple problem statement, followed by a discussion of related concepts, and a listing of associated building blocks that represent the capabilities needed to support the use case. These use cases and building blocks identify separate units of functionality that may be supported by different components of an architectural model.
次のサブセクションでは、評価計画、データ収集、分析、および関連データの公開と使用に関連する操作の具体的な使用例について詳しく説明します。各ユースケースは、簡単な問題ステートメントを含む短い要約、それに続く関連概念の説明、およびユースケースをサポートするために必要な機能を表す関連するビルディングブロックのリストによって定義されます。これらのユースケースとビルディングブロックは、アーキテクチャモデルのさまざまなコンポーネントでサポートされる機能の個別の単位を識別します。
This use case describes the need for security automation data to be defined and published to one or more data stores, as well as queried and retrieved from these data stores for the explicit use of posture collection and evaluation.
この使用例では、セキュリティ自動化データを定義して1つ以上のデータストアに公開し、ポスチャの収集と評価を明示的に使用するためにこれらのデータストアからクエリおよび取得する必要性について説明します。
Security automation data is a general concept that refers to any data expression that may be generated and/or used as part of the process of collecting and evaluating endpoint posture. Different types of security automation data will generally fall into one of three categories:
セキュリティ自動化データは、エンドポイントポスチャを収集および評価するプロセスの一部として生成または使用、あるいはその両方が行われる可能性がある任意のデータ式を指す一般的な概念です。さまざまなタイプのセキュリティ自動化データは、通常、次の3つのカテゴリのいずれかに分類されます。
Guidance: Instructions and related metadata that guide the attribute collection and evaluation processes. The purpose of this data is to allow implementations to be data-driven, thus enabling their behavior to be customized without requiring changes to deployed software.
ガイダンス:属性の収集と評価のプロセスをガイドする指示と関連メタデータ。このデータの目的は、実装をデータドリブンにできるようにすることです。これにより、実装されたソフトウェアを変更することなく、その動作をカスタマイズできます。
This type of data tends to change in units of months and days. In cases where assessments are made more dynamic, it may be necessary to handle changes in the scope of hours or minutes. This data will typically be provided by large organizations, product vendors, and some third parties. Thus, it will tend to be shared across large enterprises and customer communities. In some cases, access may be controlled to specific authenticated users. In other cases, the data may be provided broadly with little to no access control.
このタイプのデータは、月と日の単位で変化する傾向があります。評価がより動的に行われる場合は、時間または分の範囲の変更を処理する必要がある場合があります。このデータは通常、大規模な組織、製品ベンダー、および一部のサードパーティによって提供されます。したがって、大企業や顧客コミュニティ全体で共有される傾向があります。場合によっては、特定の認証済みユーザーへのアクセスが制御されることがあります。他の場合では、データはアクセス制御がほとんどないかまったくない状態で広く提供される場合があります。
This includes:
これも:
* Listings of attribute identifiers for which values may be collected and evaluated.
* 値を収集して評価できる属性識別子のリスト。
* Lists of attributes that are to be collected along with metadata that includes: when to collect a set of attributes based on a defined interval or event, the duration of collection, and how to go about collecting a set of attributes.
* 収集される属性のリスト。メタデータとともに、定義された間隔またはイベントに基づいて一連の属性を収集するタイミング、収集期間、および一連の属性の収集方法について説明します。
* Guidance that specifies how old collected data can be when used for evaluation.
* 評価に使用する場合に収集されたデータの古さを指定するガイダンス。
* Policies that define how to target and perform the evaluation of a set of attributes for different kinds or groups of endpoints and the assets they are composed of. In some cases, it may be desirable to maintain hierarchies of policies as well.
* エンドポイントのさまざまな種類またはグループ、およびそれらを構成するアセットの一連の属性を対象として評価を実行する方法を定義するポリシー。場合によっては、ポリシーの階層も維持することが望ましい場合があります。
* References to human-oriented data that provide technical, organizational, and/or policy context. This might include references to: best practices documents, legal guidance and legislation, and instructional materials related to the automation data in question.
* 技術、組織、および/またはポリシーのコンテキストを提供する人間指向のデータへの参照。これには、ベストプラクティスドキュメント、法的ガイダンスおよび法律、問題の自動化データに関連する教材への参照が含まれる場合があります。
Attribute Data: Data collected through automated and manual mechanisms describing organizational and posture details pertaining to specific endpoints and the assets that they are composed of (e.g., hardware, software, accounts). The purpose of this type of data is to characterize an endpoint (e.g., endpoint type, organizationally expected function/role) and to provide actual and expected state data pertaining to one or more endpoints. This data is used to determine what posture attributes to collect from which endpoints and to feed one or more evaluations.
属性データ:特定のエンドポイントおよびそれらが構成されるハードウェア、ソフトウェア、アカウントなどの資産に関連する組織およびポスチャの詳細を説明する自動および手動のメカニズムを通じて収集されたデータ。このタイプのデータの目的は、エンドポイント(エンドポイントタイプ、組織的に期待される機能/役割など)を特徴付け、1つ以上のエンドポイントに関連する実際の状態データと期待される状態データを提供することです。このデータは、どのエンドポイントから収集するポスチャ属性を決定し、1つ以上の評価をフィードするために使用されます。
This type of data tends to change in units of days, minutes, and seconds, with posture attribute values typically changing more frequently than endpoint characterizations. This data tends to be organizationally and endpoint specific, with specific operational groups of endpoints tending to exhibit similar attribute profiles. Generally, this data will not be shared outside an organizational boundary and will require authentication with specific access controls.
このタイプのデータは、日、分、秒の単位で変化する傾向があり、通常、ポスチャ属性値はエンドポイントの特性よりも頻繁に変化します。このデータは、組織的およびエンドポイント固有である傾向があり、エンドポイントの特定の運用グループは同様の属性プロファイルを示す傾向があります。通常、このデータは組織の境界の外では共有されず、特定のアクセス制御による認証が必要になります。
This includes:
これも:
* Endpoint characterization data that describes the endpoint type, organizationally expected function/role, etc.
* エンドポイントタイプ、組織的に期待される機能/役割などを説明するエンドポイント特性化データ
* Collected endpoint posture attribute values and related context including: time of collection, tools used for collection, etc.
* 収集されたエンドポイントポスチャ属性値と関連するコンテキスト:収集時刻、収集に使用されたツールなど。
* Organizationally defined expected posture attribute values targeted to specific evaluation guidance and endpoint characteristics. This allows a common set of guidance to be parameterized for use with different groups of endpoints.
* 特定の評価ガイダンスとエンドポイントの特性を対象とした、組織的に定義された予想されるポスチャ属性値。これにより、エンドポイントのさまざまなグループで使用するために、共通のガイダンスセットをパラメーター化できます。
Processing Artifacts: Data that is generated by, and is specific to, an individual assessment process. This data may be used as part of the interactions between architectural components to drive and coordinate collection and evaluation activities. Its lifespan will be bounded by the lifespan of the assessment. It may also be exchanged and stored to provide historic context around an assessment activity so that individual assessments can be grouped, evaluated, and reported in an enterprise context.
アーティファクトの処理:個々の評価プロセスによって生成された、固有のデータ。このデータは、収集と評価活動を推進および調整するための建築コンポーネント間の相互作用の一部として使用できます。その寿命は、評価の寿命によって制限されます。また、個別の評価をグループ化し、評価し、エンタープライズコンテキストで報告できるように、評価アクティビティに関する履歴コンテキストを提供するために交換および保存することもできます。
This includes:
これも:
* The identified set of endpoints for which an assessment should be performed.
* 評価を実行する必要がある識別されたエンドポイントのセット。
* The identified set of posture attributes that need to be collected from specific endpoints to perform an evaluation.
* 評価を実行するために特定のエンドポイントから収集する必要がある識別されたポスチャ属性のセット。
* The resulting data generated by an evaluation process including the context of what was assessed, what it was assessed against, what collected data was used, when it was collected, and when the evaluation was performed.
* 評価プロセスのコンテキスト、評価対象、評価されたデータ、使用された収集データ、収集された日時、評価が実行された日時など、評価プロセスによって生成された結果のデータ。
The information model for security automation data must support a variety of different data types as described above, along with the associated metadata that is needed to support publication, query, and retrieval operations. It is expected that multiple data models will be used to express specific data types requiring specialized or extensible security automation data repositories. The different temporal characteristics, access patterns, and access control dimensions of each data type may also require different protocols and data models to be supported furthering the potential requirement for specialized data repositories. See [RFC3444] for a description and discussion of distinctions between an information and data model. It is likely that additional kinds of data will be identified through the process of defining requirements and an architectural model. Implementations supporting this building block will need to be extensible to accommodate the addition of new types of data, whether proprietary or (preferably) using a standard format.
セキュリティ自動化データの情報モデルは、上記のさまざまな異なるデータタイプをサポートする必要があります。また、パブリケーション、クエリ、および取得操作をサポートするために必要な関連メタデータもサポートする必要があります。複数のデータモデルを使用して、特殊または拡張可能なセキュリティオートメーションデータリポジトリを必要とする特定のデータタイプを表現することが期待されます。各データタイプのさまざまな時間特性、アクセスパターン、およびアクセス制御次元では、さまざまなプロトコルとデータモデルをサポートして、特殊なデータリポジトリの潜在的な要件をさらに促進する必要がある場合があります。情報とデータモデルの違いの説明と説明については、[RFC3444]を参照してください。要件とアーキテクチャモデルを定義するプロセスを通じて、追加の種類のデータが識別される可能性があります。このビルディングブロックをサポートする実装は、新しいタイプのデータの追加に対応できるように拡張可能である必要があります。これは、プロプライエタリであるか、(できれば)標準形式を使用しているかにかかわらずです。
The building blocks of this use case are:
このユースケースの構成要素は次のとおりです。
Data Definition: Security automation data will guide and inform collection and evaluation processes. This data may be designed by a variety of roles -- application implementers may build security automation data into their applications; administrators may define guidance based on organizational policies; operators may define guidance and attribute data as needed for evaluation at runtime; and so on. Data producers may choose to reuse data from existing stores of security automation data and/or may create new data. Data producers may develop data based on available standardized or proprietary data models, such as those used for network management and/or host management.
データ定義:セキュリティ自動化データは、収集と評価のプロセスを導き、通知します。このデータは、さまざまな役割によって設計される場合があります。アプリケーションの実装者は、セキュリティ自動化データをアプリケーションに組み込むことができます。管理者は、組織のポリシーに基づいてガイダンスを定義できます。オペレーターは、実行時の評価のために必要に応じてガイダンスおよび属性データを定義できます。等々。データ作成者は、セキュリティ自動化データの既存のストアからのデータを再利用することを選択したり、新しいデータを作成したりできます。データ作成者は、ネットワーク管理やホスト管理に使用されるものなど、利用可能な標準化されたデータモデルまたは独自のデータモデルに基づいてデータを開発できます。
Data Publication: The capability to enable data producers to publish data to a security automation data store for further use. Published data may be made publicly available or access may be based on an authorization decision using authenticated credentials. As a result, the visibility of specific security automation data to an operator or application may be public, enterprise-scoped, private, or controlled within any other scope.
データ公開:データプロデューサーがデータをセキュリティオートメーションデータストアに公開して、さらに使用できるようにする機能。公開されたデータは公開されるか、アクセスは認証された資格情報を使用した承認決定に基づく場合があります。その結果、オペレーターまたはアプリケーションに対する特定のセキュリティ自動化データの可視性は、パブリック、エンタープライズスコープ、プライベート、またはその他のスコープ内で制御されます。
Data Query: An operator or application should be able to query a security automation data store using a set of specified criteria. The result of the query will be a listing matching the query. The query result listing may contain publication metadata (e.g., create date, modified date, publisher, etc.) and/or the full data, a summary, snippet, or the location to retrieve the data.
データクエリ:オペレーターまたはアプリケーションは、指定された一連の基準を使用して、セキュリティ自動化データストアにクエリを実行できる必要があります。クエリの結果は、クエリに一致するリストになります。クエリ結果のリストには、パブリケーションのメタデータ(作成日、変更日、発行者など)や完全なデータ、概要、スニペット、またはデータを取得する場所が含まれる場合があります。
Data Retrieval: A user, operator, or application acquires one or more specific security automation data entries. The location of the data may be known a priori, or may be determined based on decisions made using information from a previous query.
データ検索:ユーザー、オペレーター、またはアプリケーションは、1つ以上の特定のセキュリティー自動化データ項目を取得します。データの場所は、事前にわかっている場合もあれば、以前のクエリからの情報を使用して行われた決定に基づいて決定される場合もあります。
Data Change Detection: An operator or application needs to know when security automation data they are interested in has been published to, updated in, or deleted from a security automation data store that they have been authorized to access.
データ変更の検出:オペレーターまたはアプリケーションは、関心のあるセキュリティオートメーションデータが、アクセスが許可されているセキュリティオートメーションデータストアに公開、更新、または削除されたときを知る必要があります。
These building blocks are used to enable acquisition of various instances of security automation data based on specific data models that are used to drive assessment planning (see Section 2.1.2), posture attribute value collection (see Section 2.1.3), and posture evaluation (see Section 2.1.4).
これらのビルディングブロックは、評価計画(セクション2.1.2を参照)、ポスチャ属性値の収集(セクション2.1.3を参照)、およびポスチャ評価を推進するために使用される特定のデータモデルに基づいて、セキュリティ自動化データのさまざまなインスタンスの取得を可能にするために使用されます(セクション2.1.4を参照)。
This use case describes the process of discovering endpoints, understanding their composition, identifying the desired state to assess against, and calculating what posture attributes to collect to enable evaluation. This process may be a set of manual, automated, or hybrid steps that are performed for each assessment.
この使用例では、エンドポイントを検出し、その構成を理解し、評価する必要のある状態を識別し、評価を可能にするために収集する姿勢属性を計算するプロセスについて説明します。このプロセスは、各評価に対して実行される手動、自動、またはハイブリッドのステップのセットである場合があります。
The building blocks of this use case are:
このユースケースの構成要素は次のとおりです。
Endpoint Discovery: To determine the current or historic presence of endpoints in the environment that are available for posture assessment. Endpoints are identified in support of discovery by using information previously obtained or using other collection mechanisms to gather identification and characterization data. Previously obtained data may originate from sources such as network authentication exchanges.
エンドポイントの検出:ポスチャ評価に使用できる環境内のエンドポイントの現在または過去の存在を判別します。エンドポイントは、以前に取得した情報を使用するか、他の収集メカニズムを使用して識別と特性データを収集することにより、検出をサポートするために識別されます。以前に取得したデータは、ネットワーク認証交換などのソースに由来する場合があります。
Endpoint Characterization: The act of acquiring, through automated collection or manual input, and organizing attributes associated with an endpoint (e.g., type, organizationally expected function/role, hardware/software versions).
エンドポイントの特性評価:自動収集または手動入力を通じて取得し、エンドポイントに関連付けられた属性(たとえば、タイプ、組織的に期待される機能/役割、ハードウェア/ソフトウェアのバージョン)を整理する行為。
Endpoint Target Identification: Determine the candidate endpoint target(s) against which to perform the assessment. Depending on the assessment trigger, a single endpoint or multiple endpoints may be targeted based on characterized endpoint attributes. Guidance describing the assessment to be performed may contain instructions or references used to determine the applicable assessment targets. In this case, the Data Query and/or Data Retrieval building blocks (see Section 2.1.1) may be used to acquire this data.
エンドポイントターゲットの識別:評価を実行する対象となるエンドポイントターゲットの候補を決定します。評価トリガーに応じて、特徴付けられたエンドポイント属性に基づいて、単一のエンドポイントまたは複数のエンドポイントがターゲットになる場合があります。実施される評価を説明するガイダンスには、該当する評価目標を決定するために使用される指示または参照が含まれる場合があります。この場合、データクエリやデータ取得のビルディングブロック(セクション2.1.1を参照)を使用して、このデータを取得できます。
Endpoint Component Inventory: To determine what applicable desired states should be assessed, it is first necessary to acquire the inventory of software, hardware, and accounts associated with the targeted endpoint(s). If the assessment of the endpoint is not dependent on the these details, then this capability is not required for use in performing the assessment. This process can be treated as a collection use case for specific posture attributes. In this case, the building blocks for Endpoint Posture Attribute Value Collection (see Section 2.1.3) can be used.
エンドポイントコンポーネントのインベントリ:評価すべき適用可能な望ましい状態を判断するには、まず、対象のエンドポイントに関連付けられているソフトウェア、ハードウェア、およびアカウントのインベントリを取得する必要があります。エンドポイントの評価がこれらの詳細に依存していない場合、この機能を使用して評価を実行する必要はありません。このプロセスは、特定のポスチャ属性のコレクションユースケースとして扱うことができます。この場合、エンドポイントポスチャ属性値コレクション(セクション2.1.3を参照)のビルディングブロックを使用できます。
Posture Attribute Identification: Once the endpoint targets and their associated asset inventory is known, it is then necessary to calculate what posture attributes are required to be collected to perform the desired evaluation. When available, existing posture data is queried for suitability using the Data Query building block (see Section 2.1.1). Such posture data is suitable if it is complete and current enough for use in the evaluation. Any unsuitable posture data is identified for collection.
ポスチャ属性の識別:エンドポイントターゲットとそれに関連付けられたアセットインベントリがわかったら、目的の評価を実行するために収集する必要のあるポスチャ属性を計算する必要があります。利用可能な場合、既存のポスチャデータは、データクエリビルディングブロックを使用して適合性を照会されます(セクション2.1.1を参照)。このような姿勢データは、評価に使用するのに十分で最新である場合に適しています。収集に不適切な姿勢データが特定されます。
If this is driven by guidance, then the Data Query and/or Data Retrieval building blocks (see Section 2.1.1) may be used to acquire this data.
これがガイダンスによって推進されている場合、データクエリやデータ検索のビルディングブロック(セクション2.1.1を参照)を使用して、このデータを取得できます。
At this point, the set of posture attribute values to use for evaluation are known, and they can be collected if necessary (see Section 2.1.3).
この時点で、評価に使用する姿勢属性値のセットは既知であり、必要に応じて収集できます(セクション2.1.3を参照)。
This use case describes the process of collecting a set of posture attribute values related to one or more endpoints. This use case can be initiated by a variety of triggers including:
この使用例では、1つ以上のエンドポイントに関連するポスチャ属性値のセットを収集するプロセスについて説明します。この使用例は、次のようなさまざまなトリガーによって開始できます。
1. a posture change or significant event on the endpoint.
1. エンドポイントでの姿勢変化または重要なイベント。
2. a network event (e.g., endpoint connects to a network/VPN, specific netflow [RFC3954] is detected).
2. ネットワークイベント(エンドポイントがネットワーク/ VPNに接続する、特定のネットフロー[RFC3954]が検出されるなど)。
3. a scheduled or ad hoc collection task.
3. スケジュールされた、または特別な収集タスク。
The building blocks of this use case are:
このユースケースの構成要素は次のとおりです。
Collection Guidance Acquisition: If guidance is required to drive the collection of posture attributes values, this capability is used to acquire this data from one or more security automation data stores. Depending on the trigger, the specific guidance to acquire might be known. If not, it may be necessary to determine the guidance to use based on the component inventory or other assessment criteria. The Data Query and/or Data Retrieval building blocks (see Section 2.1.1) may be used to acquire this guidance.
収集ガイダンスの取得:ポスチャ属性値の収集を実行するためにガイダンスが必要な場合、この機能を使用して、1つ以上のセキュリティオートメーションデータストアからこのデータを取得します。トリガーによっては、取得する具体的なガイダンスがわかっている場合があります。そうでない場合は、コンポーネントのインベントリやその他の評価基準に基づいて、使用するガイダンスを決定する必要がある場合があります。このガイダンスを取得するには、データクエリおよび/またはデータ取得のビルディングブロック(セクション2.1.1を参照)を使用できます。
Posture Attribute Value Collection: The accumulation of posture attribute values. This may be based on collection guidance that is associated with the posture attributes.
ポスチャ属性値コレクション:ポスチャ属性値の累積。これは、姿勢属性に関連付けられている収集ガイダンスに基づく場合があります。
Once the posture attribute values are collected, they may be persisted for later use or they may be immediately used for posture evaluation.
ポスチャ属性値が収集されると、それらは後で使用するために永続化するか、ポスチャ評価にすぐに使用できます。
This use case represents the action of analyzing collected posture attribute values as part of an assessment. The primary focus of this use case is to support evaluation of actual endpoint state against the expected state selected for the assessment.
このユースケースは、収集された姿勢属性値を評価の一部として分析するアクションを表しています。このユースケースの主な焦点は、評価のために選択された予想される状態に対する実際のエンドポイントの状態の評価をサポートすることです。
This use case can be initiated by a variety of triggers including:
この使用例は、次のようなさまざまなトリガーによって開始できます。
1. a posture change or significant event on the endpoint.
1. エンドポイントでの姿勢変化または重要なイベント。
2. a network event (e.g., endpoint connects to a network/VPN, specific netflow [RFC3954] is detected).
2. ネットワークイベント(エンドポイントがネットワーク/ VPNに接続する、特定のネットフロー[RFC3954]が検出されるなど)。
3. a scheduled or ad hoc evaluation task.
3. スケジュールされた、またはその場限りの評価タスク。
The building blocks of this use case are:
このユースケースの構成要素は次のとおりです。
Collected Posture Change Detection: An operator or application has a mechanism to detect the availability of new posture attribute values or changes to existing ones. The timeliness of detection may vary from immediate to on-demand. Having the ability to filter what changes are detected will allow the operator to focus on the changes that are relevant to their use and will enable evaluation to occur dynamically based on detected changes.
収集された姿勢変化の検出:オペレーターまたはアプリケーションには、新しい姿勢属性値または既存のものへの変更の可用性を検出するメカニズムがあります。検出の適時性は、即時からオンデマンドまでさまざまです。検出された変更をフィルタリングする機能があると、オペレーターはその使用に関連する変更に集中でき、検出された変更に基づいて動的に評価を行うことができます。
Posture Attribute Value Query: If previously collected posture attribute values are needed, the appropriate data stores are queried to retrieve them using the Data Query building block (see Section 2.1.1). If all posture attribute values are provided directly for evaluation, then this capability may not be needed.
ポスチャ属性値クエリ:以前に収集されたポスチャ属性値が必要な場合、適切なデータストアがクエリされ、データクエリビルディングブロックを使用してそれらを取得します(セクション2.1.1を参照)。すべての姿勢属性値が評価のために直接提供される場合、この機能は必要ない場合があります。
Evaluation Guidance Acquisition: If guidance is required to drive the evaluation of posture attributes values, this capability is used to acquire this data from one or more security automation data stores. Depending on the trigger, the specific guidance to acquire might be known. If not, it may be necessary to determine the guidance to use based on the component inventory or other assessment criteria. The Data Query and/or Data Retrieval building blocks (see Section 2.1.1) may be used to acquire this guidance.
評価ガイダンスの取得:姿勢属性値の評価を促進するためにガイダンスが必要な場合、この機能を使用して、1つ以上のセキュリティオートメーションデータストアからこのデータを取得します。トリガーによっては、取得する具体的なガイダンスがわかっている場合があります。そうでない場合は、コンポーネントのインベントリやその他の評価基準に基づいて、使用するガイダンスを決定する必要がある場合があります。このガイダンスを取得するには、データクエリおよび/またはデータ取得のビルディングブロック(セクション2.1.1を参照)を使用できます。
Posture Attribute Evaluation: The comparison of posture attribute values against their expected values as expressed in the specified guidance. The result of this comparison is output as a set of posture evaluation results. Such results include metadata required to provide a level of assurance with respect to the posture attribute data and, therefore, evaluation results. Examples of such metadata include provenance and or availability data.
姿勢属性評価:指定されたガイダンスに示されている、姿勢属性値と期待値との比較。この比較結果は、姿勢評価結果のセットとして出力されます。このような結果には、姿勢属性データに関する保証レベルを提供するために必要なメタデータが含まれているため、評価結果も含まれます。そのようなメタデータの例には、来歴データや可用性データが含まれます。
While the primary focus of this use case is around enabling the comparison of expected vs. actual state, the same building blocks can support other analysis techniques that are applied to collected posture attribute data (e.g., trending, historic analysis).
このユースケースの主な焦点は、予想状態と実際の状態の比較を可能にすることですが、同じビルディングブロックは、収集された姿勢属性データに適用される他の分析手法(傾向分析、履歴分析など)をサポートできます。
Completion of this process represents a complete assessment cycle as defined in Section 2.
このプロセスの完了は、セクション2で定義されている完全な評価サイクルを表します。
In this section, we describe a number of usage scenarios that utilize aspects of endpoint posture assessment. These are examples of common problems that can be solved with the building blocks defined above.
このセクションでは、エンドポイントポスチャ評価の側面を利用するいくつかの使用シナリオについて説明します。これらは、上記で定義されたビルディングブロックで解決できる一般的な問題の例です。
2.2.1. Definition and Publication of Automatable Configuration Checklists
2.2.1. 自動化可能な構成チェックリストの定義と公開
A vendor manufactures a number of specialized endpoint devices. They also develop and maintain an operating system for these devices that enables end-user organizations to configure a number of security and operational settings. As part of their customer support activities, they publish a number of secure configuration guides that provide minimum security guidelines for configuring their devices.
ベンダーは、いくつかの特殊なエンドポイントデバイスを製造しています。また、これらのデバイス用のオペレーティングシステムを開発および保守して、エンドユーザー組織が多数のセキュリティおよび運用設定を構成できるようにします。カスタマーサポートアクティビティの一環として、デバイスを構成するための最低限のセキュリティガイドラインを提供する安全な構成ガイドを多数発行しています。
Each guide they produce applies to a specific model of device and version of the operating system and provides a number of specialized configurations depending on the device's intended function and what add-on hardware modules and software licenses are installed on the device. To enable their customers to evaluate the security posture of their devices to ensure that all appropriate minimal security settings are enabled, they publish automatable configuration checklists using a popular data format that defines what settings to collect using a network management protocol and appropriate values for each setting. They publish these checklists to a public security automation data store that customers can query to retrieve applicable checklist(s) for their deployed specialized endpoint devices.
彼らが作成する各ガイドは、デバイスの特定のモデルとオペレーティングシステムのバージョンに適用され、デバイスの目的の機能と、デバイスにインストールされているアドオンハードウェアモジュールとソフトウェアライセンスに応じて、いくつかの特殊な構成を提供します。顧客がデバイスのセキュリティ状態を評価して、適切な最小限のセキュリティ設定がすべて有効になっていることを確認できるようにするために、ネットワーク管理プロトコルを使用して収集する設定と各設定に適切な値を定義する一般的なデータ形式を使用して、自動化可能な構成チェックリストを公開します。これらのチェックリストは、顧客がクエリを実行して、展開された特殊なエンドポイントデバイスに適用可能なチェックリストを取得できるパブリックセキュリティオートメーションデータストアに公開します。
Automatable configuration checklists could also come from sources other than a device vendor, such as industry groups or regulatory authorities, or enterprises could develop their own checklists.
自動化可能な構成チェックリストは、業界団体や規制当局などのデバイスベンダー以外のソースから取得することも、企業が独自のチェックリストを作成することもできます。
This usage scenario employs the following building blocks defined in Section 2.1.1 above:
この使用シナリオでは、上記のセクション2.1.1で定義された次の構成要素を使用します。
Data Definition: To allow guidance to be defined using standardized or proprietary data models that will drive collection and evaluation.
データ定義:収集と評価を促進する標準化されたまたは独自のデータモデルを使用してガイダンスを定義できるようにします。
Data Publication: Providing a mechanism to publish created guidance to a security automation data store.
データ公開:作成したガイダンスをセキュリティ自動化データストアに公開するメカニズムを提供します。
Data Query: To locate and select existing guidance that may be reused.
データクエリ:再利用できる既存のガイダンスを見つけて選択します。
Data Retrieval To retrieve specific guidance from a security automation data store for editing.
データの取得セキュリティオートメーションデータストアから特定のガイダンスを取得して編集します。
While each building block can be used in a manual fashion by a human operator, it is also likely that these capabilities will be implemented together in some form of a guidance editor or generator application.
各ビルディングブロックは人間のオペレーターが手動で使用できますが、これらの機能が何らかの形のガイダンスエディターまたはジェネレーターアプリケーションで一緒に実装される可能性もあります。
A financial services company operates a heterogeneous IT environment. In support of their risk management program, they utilize vendor-provided automatable security configuration checklists for each operating system and application used within their IT environment. Multiple checklists are used from different vendors to ensure adequate coverage of all IT assets.
金融サービス会社は、異機種混在のIT環境を運営しています。彼らはリスク管理プログラムをサポートするために、IT環境内で使用される各オペレーティングシステムとアプリケーションについて、ベンダーが提供する自動化可能なセキュリティ構成チェックリストを利用しています。さまざまなベンダーの複数のチェックリストを使用して、すべてのIT資産を適切にカバーしています。
To identify what checklists are needed, they use automation to gather an inventory of the software versions utilized by all IT assets in the enterprise. This data gathering will involve querying existing data stores of previously collected endpoint software inventory posture data and actively collecting data from reachable endpoints as needed, utilizing network and systems management protocols. Previously collected data may be provided by periodic data collection, network connection-driven data collection, or ongoing event-driven monitoring of endpoint posture changes.
必要なチェックリストを特定するために、自動化を使用して、企業内のすべてのIT資産で利用されているソフトウェアバージョンのインベントリを収集します。このデータ収集には、以前に収集されたエンドポイントソフトウェアインベントリポスチャデータの既存のデータストアにクエリを送信し、ネットワークおよびシステム管理プロトコルを利用して、必要に応じて到達可能なエンドポイントからアクティブにデータを収集します。以前に収集されたデータは、定期的なデータ収集、ネットワーク接続主導のデータ収集、またはエンドポイントの姿勢変化の継続的なイベント主導の監視によって提供される場合があります。
Appropriate checklists are queried, located, and downloaded from the relevant guidance data stores. The specific data stores queried and the specifics of each query may be driven by data including:
適切なチェックリストが照会され、検索され、関連するガイダンスデータストアからダウンロードされます。照会される特定のデータストアと各クエリの詳細は、以下を含むデータによって駆動されます。
o collected hardware and software inventory data, and
o 収集されたハードウェアおよびソフトウェアのインベントリデータ、および
o associated asset characterization data that may indicate the organizationally defined functions of each endpoint.
o 各エンドポイントの組織的に定義された機能を示す可能性がある関連する資産特性データ。
Checklists may be sourced from guidance data stores maintained by an application or OS vendor, an industry group, a regulatory authority, or directly by the enterprise.
チェックリストは、アプリケーションまたはOSベンダー、業界グループ、規制当局が管理するガイダンスデータストアから、または企業が直接提供する場合があります。
The retrieved guidance is cached locally to reduce the need to retrieve the data multiple times.
取得されたガイダンスはローカルにキャッシュされ、データを複数回取得する必要性を減らします。
Driven by the setting data provided in the checklist, a combination of existing configuration data stores and data collection methods are used to gather the appropriate posture attributes from (or pertaining to) each endpoint. Specific posture attribute values are gathered based on the defined enterprise function and software inventory of each endpoint. The collection mechanisms used to collect software inventory posture will be used again for this purpose. Once the data is gathered, the actual state is evaluated against the expected state criteria defined in each applicable checklist.
チェックリストで提供される設定データに基づいて、既存の構成データストアとデータ収集方法の組み合わせを使用して、各エンドポイントから(または関連して)適切なポスチャ属性を収集します。特定のポスチャ属性値は、定義されたエンタープライズ機能と各エンドポイントのソフトウェアインベントリに基づいて収集されます。ソフトウェアインベントリポスチャを収集するために使用される収集メカニズムは、この目的で再び使用されます。データが収集されると、実際の状態が、該当する各チェックリストで定義されている予想される状態基準に対して評価されます。
A checklist can be assessed as a whole, or a specific subset of the checklist can be assessed resulting in partial data collection and evaluation.
チェックリストは全体として評価することも、チェックリストの特定のサブセットを評価して、部分的なデータ収集と評価を行うこともできます。
The results of checklist evaluation are provided to appropriate operators and applications to drive additional business logic. Specific applications for checklist evaluation results are out of scope for current SACM (Security Automation and Continuous Monitoring) efforts. Irrespective of specific applications, the availability, timeliness, and liveness of results are often of general concern. Network latency and available bandwidth often create operational constraints that require trade-offs between these concerns and need to be considered.
チェックリスト評価の結果は、適切なオペレーターとアプリケーションに提供され、追加のビジネスロジックを推進します。チェックリスト評価結果の特定のアプリケーションは、現在のSACM(セキュリティオートメーションと継続的モニタリング)の取り組みの範囲外です。特定のアプリケーションに関係なく、結果の可用性、適時性、および活発さは、多くの場合、一般的な関心事です。多くの場合、ネットワークの待ち時間と使用可能な帯域幅によって運用上の制約が生じ、これらの懸念とのトレードオフが必要になるため、考慮する必要があります。
Uses of checklists and associated evaluation results may include, but are not limited to:
チェックリストおよび関連する評価結果の使用には、以下が含まれますが、これらに限定されません。
o Detecting endpoint posture deviations as part of a change management program to identify:
o 変更管理プログラムの一環としてエンドポイントの姿勢の偏差を検出して、次のものを識別します。
* missing required patches,
* 必要なパッチがない、
* unauthorized changes to hardware and software inventory, and
* ハードウェアおよびソフトウェアのインベントリに対する不正な変更、および
* unauthorized changes to configuration items.
* 構成アイテムへの不正な変更。
o Determining compliance with organizational policies governing endpoint posture.
o エンドポイントのポスチャを管理する組織のポリシーへのコンプライアンスを決定します。
o Informing configuration management, patch management, and vulnerability mitigation and remediation decisions.
o 構成管理、パッチ管理、および脆弱性の軽減と修復の決定を通知します。
o Searching for current and historic indicators of compromise.
o 妥協の現在および過去の指標を検索する。
o Detecting current and historic infection by malware and determining the scope of infection within an enterprise.
o マルウェアによる現在および過去の感染を検出し、企業内の感染範囲を決定します。
o Detecting performance, attack, and vulnerable conditions that warrant additional network diagnostics, monitoring, and analysis.
o 追加のネットワーク診断、監視、および分析を必要とするパフォーマンス、攻撃、および脆弱な状態の検出。
o Informing network access control decision-making for wired, wireless, or VPN connections.
o 有線、無線、またはVPN接続のネットワークアクセス制御の意思決定を通知します。
This usage scenario employs the following building blocks defined in Section 2.1.1 above:
この使用シナリオでは、上記のセクション2.1.1で定義された次の構成要素を使用します。
Endpoint Discovery: The purpose of discovery is to determine the type of endpoint to be posture assessed.
エンドポイントの検出:検出の目的は、ポスチャ評価されるエンドポイントのタイプを決定することです。
Endpoint Target Identification: To identify what potential endpoint targets the checklist should apply to based on organizational policies.
エンドポイントターゲットの識別:組織のポリシーに基づいて、チェックリストを適用する必要のあるエンドポイントターゲットを識別する。
Endpoint Component Inventory: Collecting and consuming the software and hardware inventory for the target endpoints.
エンドポイントコンポーネントインベントリ:ターゲットエンドポイントのソフトウェアおよびハードウェアインベントリの収集と消費。
Posture Attribute Identification: To determine what data needs to be collected to support evaluation, the checklist is evaluated against the component inventory and other endpoint metadata to determine the set of posture attribute values that are needed.
ポスチャ属性の識別:評価をサポートするために収集する必要があるデータを決定するために、チェックリストがコンポーネントインベントリおよび他のエンドポイントメタデータに対して評価され、必要なポスチャ属性値のセットが決定されます。
Collection Guidance Acquisition: Based on the identified posture attributes, the application will query appropriate security automation data stores to find the "applicable" collection guidance for each endpoint in question.
収集ガイダンスの取得:識別されたポスチャ属性に基づいて、アプリケーションは適切なセキュリティ自動化データストアにクエリを実行し、問題の各エンドポイントに「適用可能な」収集ガイダンスを見つけます。
Posture Attribute Value Collection: For each endpoint, the values for the required posture attributes are collected.
ポスチャ属性値の収集:エンドポイントごとに、必要なポスチャ属性の値が収集されます。
Posture Attribute Value Query: If previously collected posture attribute values are used, they are queried from the appropriate data stores for the target endpoint(s).
ポスチャ属性値クエリ:以前に収集されたポスチャ属性値が使用されている場合、それらはターゲットエンドポイントの適切なデータストアからクエリされます。
Evaluation Guidance Acquisition: Any guidance that is needed to support evaluation is queried and retrieved.
評価ガイダンスの取得:評価をサポートするために必要なガイダンスが照会され、取得されます。
Posture Attribute Evaluation: The resulting posture attribute values from previous collection processes are evaluated using the evaluation guidance to provide a set of posture results.
姿勢属性評価:以前の収集プロセスから得られた姿勢属性値は、評価ガイダンスを使用して評価され、一連の姿勢結果を提供します。
Example Corporation has established secure configuration baselines for each different type of endpoint within their enterprise including: network infrastructure, mobile, client, and server computing platforms. These baselines define an approved list of hardware, software (i.e., operating system, applications, and patches), and associated required configurations. When an endpoint connects to the network, the appropriate baseline configuration is communicated to the endpoint based on its location in the network, the expected function of the device, and other asset management data. It is checked for compliance with the baseline, and any deviations are indicated to the device's operators. Once the baseline has been established, the endpoint is monitored for any change events pertaining to the baseline on an ongoing basis. When a change occurs to posture defined in the baseline, updated posture information is exchanged, allowing operators to be notified and/or automated action to be taken.
Example Corporationは、ネットワークインフラストラクチャ、モバイル、クライアント、サーバーコンピューティングプラットフォームなど、企業内のさまざまなタイプのエンドポイントごとに安全な構成基準を確立しています。これらのベースラインは、ハードウェア、ソフトウェア(オペレーティングシステム、アプリケーション、パッチなど)、および関連する必要な構成の承認済みリストを定義します。エンドポイントがネットワークに接続すると、適切なベースライン構成が、ネットワーク内の場所、デバイスの予想される機能、およびその他の資産管理データに基づいてエンドポイントに伝達されます。ベースラインに準拠しているかどうかがチェックされ、偏差がデバイスのオペレーターに示されます。ベースラインが確立されると、ベースラインに関連する変更イベントがないかエンドポイントが継続的に監視されます。ベースラインで定義されたポスチャに変更が発生すると、更新されたポスチャ情報が交換され、オペレータに通知したり、自動アクションを実行したりできます。
Like the Automated Checklist Verification usage scenario (see Section 2.2.2), this usage scenario supports assessment based on automatable checklists. It differs from that scenario by monitoring for specific endpoint posture changes on an ongoing basis. When the endpoint detects a posture change, an alert is generated identifying the specific changes in posture, thus allowing assessment of the delta to be performed instead of a full assessment as in the previous case. This usage scenario employs the same building blocks as Automated Checklist Verification (see section 2.2.2). It differs slightly in how it uses the following building blocks:
自動チェックリスト検証の使用シナリオ(セクション2.2.2を参照)と同様に、この使用シナリオは自動チェックリストに基づく評価をサポートします。これは、特定のエンドポイントのポスチャ変化を継続的に監視するという点で、このシナリオとは異なります。エンドポイントが姿勢の変化を検出すると、姿勢の特定の変化を識別するアラートが生成されるため、前のケースのように完全な評価の代わりにデルタの評価を実行できます。この使用シナリオでは、自動チェックリスト検証と同じ構成要素を採用しています(セクション2.2.2を参照)。次の構成要素の使用方法が少し異なります。
Endpoint Component Inventory: Additionally, changes to the hardware and software inventory are monitored, with changes causing alerts to be issued.
エンドポイントコンポーネントインベントリ:さらに、ハードウェアおよびソフトウェアインベントリへの変更が監視され、アラートが発行されます。
Posture Attribute Value Collection: After the initial assessment, posture attributes are monitored for changes. If any of the selected posture attribute values change, an alert is issued.
ポスチャ属性値の収集:最初の評価の後、ポスチャ属性の変更が監視されます。選択したポスチャ属性値のいずれかが変更されると、アラートが発行されます。
Posture Attribute Value Query: The previous state of posture attributes are tracked, allowing changes to be detected.
姿勢属性値クエリ:姿勢属性の以前の状態が追跡され、変更を検出できます。
Posture Attribute Evaluation: After the initial assessment, a partial evaluation is performed based on changes to specific posture attributes.
姿勢属性の評価:最初の評価の後、特定の姿勢属性の変更に基づいて部分的な評価が実行されます。
This usage scenario highlights the need to query a data store to prepare a compliance report for a specific endpoint and also the need for a change in endpoint state to trigger Collection and Evaluation.
この使用シナリオでは、特定のエンドポイントのコンプライアンスレポートを準備するためにデータストアをクエリする必要性と、収集と評価をトリガーするためにエンドポイントの状態を変更する必要性を強調しています。
Freed from the drudgery of manual endpoint compliance monitoring, one of the security administrators at Example Corporation notices (not using SACM standards) that five endpoints have been uploading lots of data to a suspicious server on the Internet. The administrator queries data stores for specific endpoint posture to see what software is installed on those endpoints and finds that they all have a particular program installed. She then queries the appropriate data stores to see which other endpoints have that program installed. All these endpoints are monitored carefully (not using SACM standards), which allows the administrator to detect that the other endpoints are also infected.
手動のエンドポイントコンプライアンス監視の煩わしさから解放され、Example Corporationのセキュリティ管理者の1人は(SACM標準を使用せずに)5つのエンドポイントがインターネット上の疑わしいサーバーに大量のデータをアップロードしていることに気付きました。管理者は、特定のエンドポイントポスチャのデータストアを照会して、それらのエンドポイントにインストールされているソフトウェアを確認し、それらすべてに特定のプログラムがインストールされていることを確認します。次に、適切なデータストアにクエリを実行して、そのプログラムがインストールされている他のエンドポイントを確認します。これらのエンドポイントはすべて(SACM標準を使用せずに)慎重に監視されるため、管理者は他のエンドポイントも感染していることを検出できます。
This is just one example of the useful analysis that a skilled analyst can do using data stores of endpoint posture.
これは、熟練したアナリストがエンドポイントポスチャのデータストアを使用して実行できる有用な分析の一例にすぎません。
This usage scenario employs the following building blocks defined in Section 2.1.1 above:
この使用シナリオでは、上記のセクション2.1.1で定義された次の構成要素を使用します。
Posture Attribute Value Query: Previously collected posture attribute values for the target endpoint(s) are queried from the appropriate data stores using a standardized method.
ポスチャ属性値クエリ:ターゲットエンドポイントの以前に収集されたポスチャ属性値は、標準化された方法を使用して適切なデータストアからクエリされます。
This usage scenario highlights the need to query a repository for attributes to see which attributes certain endpoints have in common.
この使用シナリオでは、特定のエンドポイントに共通する属性を確認するために、リポジトリーに属性を照会する必要性を強調しています。
2.2.5. Asynchronous Compliance/Vulnerability Assessment at Ice Station Zebra
2.2.5. Ice Station Zebraでの非同期コンプライアンス/脆弱性評価
A university team receives a grant to do research at a government facility in the Arctic. The only network communications will be via an intermittent, low-speed, high-latency, high-cost satellite link. During their extended expedition, they will need to show continued compliance with the security policies of the university, the government, and the provider of the satellite network, as well as keep current on vulnerability testing. Interactive assessments are therefore not reliable, and since the researchers have very limited funding, they need to minimize how much money they spend on network data.
大学チームは、北極圏の政府機関で研究を行うための助成金を受け取ります。唯一のネットワーク通信は、断続的、低速、高遅延、高コストの衛星リンクを経由します。長期の探検の間、彼らは大学、政府、衛星ネットワークのプロバイダーのセキュリティポリシーへの継続的な準拠を示すとともに、脆弱性テストの最新情報を維持する必要があります。したがって、インタラクティブな評価は信頼性が低く、研究者の資金は非常に限られているため、ネットワークデータに費やす金額を最小限に抑える必要があります。
Prior to departure, they register all equipment with an asset management system owned by the university, which will also initiate and track assessments.
出発前に、大学が所有する資産管理システムにすべての機器を登録します。これにより、評価も開始および追跡されます。
On a periodic basis -- either after a maximum time delta or when the security automation data store has received a threshold level of new vulnerability definitions -- the university uses the information in the asset management system to put together a collection request for all of the deployed assets that encompasses the minimal set of artifacts necessary to evaluate all three security policies as well as vulnerability testing.
定期的に(最大タイムデルタの後、またはセキュリティオートメーションデータストアが新しい脆弱性定義のしきい値レベルを受け取ったとき)、大学は資産管理システムの情報を使用して、すべての収集リクエストをまとめます3つのセキュリティポリシーすべてと脆弱性テストを評価するために必要なアーティファクトの最小限のセットを含む展開されたアセット。
In the case of new critical vulnerabilities, this collection request consists only of the artifacts necessary for those vulnerabilities, and collection is only initiated for those assets that could potentially have a new vulnerability.
新しい重大な脆弱性の場合、この収集リクエストはそれらの脆弱性に必要なアーティファクトのみで構成され、収集は新しい脆弱性を持つ可能性のあるアセットに対してのみ開始されます。
(Optional) Asset artifacts are cached in a local configuration management database (CMDB). When new vulnerabilities are reported to the security automation data store, a request to the live asset is only done if the artifacts in the CMDB are incomplete and/or not current enough.
(オプション)アセットアーティファクトは、ローカル構成管理データベース(CMDB)にキャッシュされます。新しい脆弱性がセキュリティオートメーションデータストアに報告された場合、ライブアセットへのリクエストは、CMDBのアーティファクトが不完全であるか、最新でない場合にのみ行われます。
The collection request is queued for the next window of connectivity. The deployed assets eventually receive the request, fulfill it, and queue the results for the next return opportunity.
収集要求は、接続の次のウィンドウのためにキューに入れられます。デプロイされたアセットは最終的にリクエストを受け取り、それを実行し、次のリターン機会のために結果をキューに入れます。
The collected artifacts eventually make it back to the university where the level of compliance and vulnerability exposed is calculated and asset characteristics are compared to what is in the asset management system for accuracy and completeness.
収集されたアーティファクトは最終的に大学に戻り、そこでコンプライアンスと脆弱性のレベルが計算され、資産の特性が資産管理システムの内容と比較されて、正確さと完全性が確保されます。
Like the Automated Checklist Verification usage scenario (see section 2.2.2), this usage scenario supports assessment based on checklists. It differs from that scenario in how guidance, collected posture attribute values, and evaluation results are exchanged due to bandwidth limitations and availability. This usage scenario employs the same building blocks as Automated Checklist Verification (see section 2.2.2). It differs slightly in how it uses the following building blocks:
自動チェックリスト検証の使用シナリオ(セクション2.2.2を参照)と同様に、この使用シナリオはチェックリストに基づく評価をサポートします。帯域幅の制限と可用性のため、ガイダンス、収集されたポスチャ属性値、および評価結果がどのように交換されるかは、このシナリオとは異なります。この使用シナリオでは、自動チェックリスト検証と同じ構成要素を採用しています(セクション2.2.2を参照)。次の構成要素の使用方法が少し異なります。
Endpoint Component Inventory: It is likely that the component inventory will not change. If it does, this information will need to be batched and transmitted during the next communication window.
エンドポイントコンポーネントインベントリ:コンポーネントインベントリは変更されない可能性があります。その場合、この情報をバッチ処理して、次の通信ウィンドウで送信する必要があります。
Collection Guidance Acquisition: Due to intermittent communication windows and bandwidth constraints, changes to collection guidance will need to batched and transmitted during the next communication window. Guidance will need to be cached locally to avoid the need for remote communications.
収集ガイダンスの取得:断続的な通信ウィンドウと帯域幅の制約により、収集ガイダンスへの変更は、次の通信ウィンドウ中にバッチ処理して送信する必要があります。ガイダンスは、リモート通信の必要性を回避するためにローカルにキャッシュされる必要があります。
Posture Attribute Value Collection: The specific posture attribute values to be collected are identified remotely and batched for collection during the next communication window. If a delay is introduced for collection to complete, results will need to be batched and transmitted.
ポスチャ属性値の収集:収集される特定のポスチャ属性値はリモートで識別され、次の通信ウィンドウ中に収集のためにバッチ処理されます。収集が完了するまでに遅延が生じる場合は、結果をバッチ処理して送信する必要があります。
Posture Attribute Value Query: Previously collected posture attribute values will be stored in a remote data store for use at the university.
ポスチャ属性値クエリ:以前に収集されたポスチャ属性値は、大学で使用するためにリモートデータストアに保存されます。
Evaluation Guidance Acquisition: Due to intermittent communication windows and bandwidth constraints, changes to evaluation guidance will need to batched and transmitted during the next communication window. Guidance will need to be cached locally to avoid the need for remote communications.
評価ガイダンスの取得:断続的な通信ウィンドウと帯域幅の制約により、評価ガイダンスの変更は、次の通信ウィンドウ中にバッチ処理して送信する必要があります。ガイダンスは、リモート通信の必要性を回避するためにローカルにキャッシュされる必要があります。
Posture Attribute Evaluation: Due to the caching of posture attribute values and evaluation guidance, evaluation may be performed at both the university campus as well as the satellite site.
姿勢属性評価:姿勢属性値と評価ガイダンスのキャッシュにより、評価は大学キャンパスと衛星サイトの両方で実行できます。
This usage scenario highlights the need to support low-bandwidth, intermittent, or high-latency links.
この使用シナリオは、低帯域幅、断続的、または高遅延リンクをサポートする必要性を強調しています。
In preparation for performing an assessment, an operator or application will need to identify one or more security automation data stores that contain the guidance entries necessary to perform data collection and evaluation tasks. The location of a given guidance entry will either be known a priori or known security automation data stores will need to be queried to retrieve applicable guidance.
評価を実行する準備として、オペレーターまたはアプリケーションは、データ収集および評価タスクを実行するために必要なガイダンスエントリを含む1つ以上のセキュリティオートメーションデータストアを識別する必要があります。特定のガイダンスエントリの場所は、事前にわかっているか、既知のセキュリティオートメーションデータストアを照会して、該当するガイダンスを取得する必要があります。
To query guidance it will be necessary to define a set of search criteria. This criteria will often utilize a logical combination of publication metadata (e.g., publishing identity, create time, modification time) and criteria elements specific to the guidance data. Once the criteria are defined, one or more security automation data stores will need to be queried, thus generating a result set. Depending on how the results are used, it may be desirable to return the matching guidance directly, a snippet of the guidance matching the query, or a resolvable location to retrieve the data at a later time. The guidance matching the query will be restricted based on the authorized level of access allowed to the requester.
ガイダンスを照会するには、一連の検索条件を定義する必要があります。この基準では、公開メタデータ(公開ID、作成時刻、変更時刻など)とガイダンスデータに固有の基準要素の論理的な組み合わせを利用することがよくあります。基準を定義したら、1つ以上のセキュリティオートメーションデータストアをクエリして、結果セットを生成する必要があります。結果の使用方法によっては、一致するガイダンス、クエリに一致するガイダンスのスニペット、または後でデータを取得するための解決可能な場所を直接返すことが望ましい場合があります。クエリに一致するガイダンスは、要求者に許可されたアクセスの許可レベルに基づいて制限されます。
If the location of guidance is identified in the query result set, the guidance will be retrieved when needed using one or more data retrieval requests. A variation on this approach would be to maintain a local cache of previously retrieved data. In this case, only guidance that is determined to be stale by some measure will be retrieved from the remote data store.
クエリ結果セットでガイダンスの場所が特定されている場合、1つ以上のデータ取得リクエストを使用して、必要に応じてガイダンスが取得されます。このアプローチのバリエーションは、以前に取得したデータのローカルキャッシュを維持することです。この場合、何らかの手段によって古くなっていると判断されたガイダンスのみがリモートデータストアから取得されます。
Alternately, guidance can be discovered by iterating over data published with a given context within a security automation data store. Specific guidance can be selected and retrieved as needed.
または、セキュリティ自動化データストア内の特定のコンテキストで公開されたデータを反復処理することにより、ガイダンスを見つけることができます。必要に応じて、特定のガイダンスを選択して取得できます。
This usage scenario employs the following building blocks defined in Section 2.1.1 above:
この使用シナリオでは、上記のセクション2.1.1で定義された次の構成要素を使用します。
Data Query: Enables an operator or application to query one or more security automation data stores for guidance using a set of specified criteria.
データクエリ:オペレーターまたはアプリケーションは、指定された一連の基準を使用して、ガイダンスのために1つ以上のセキュリティオートメーションデータストアにクエリを実行できます。
Data Retrieval: If data locations are returned in the query result set, then specific guidance entries can be retrieved and possibly cached locally.
データの取得:クエリ結果セットでデータの場所が返された場合、特定のガイダンスエントリを取得して、ローカルにキャッシュすることができます。
An operator or application may need to identify new, updated, or deleted guidance in a security automation data store for which they have been authorized to access. This may be achieved by querying or iterating over guidance in a security automation data store, or through a notification mechanism that generates alerts when changes are made to a security automation data store.
オペレーターまたはアプリケーションは、アクセスが許可されているセキュリティー自動化データ・ストア内の新規、更新、または削除されたガイダンスを識別する必要がある場合があります。これは、セキュリティ自動化データストアのガイダンスをクエリまたは反復することによって、またはセキュリティ自動化データストアに変更が加えられたときにアラートを生成する通知メカニズムを介して実現できます。
Once guidance changes have been determined, data collection and evaluation activities may be triggered.
ガイダンスの変更が決定されると、データ収集および評価アクティビティがトリガーされます。
This usage scenario employs the following building blocks defined in Section 2.1.1 above:
この使用シナリオでは、上記のセクション2.1.1で定義された次の構成要素を使用します。
Data Change Detection: Allows an operator or application to identify guidance changes in a security automation data store for which they have been authorized to access.
データ変更検出:オペレーターまたはアプリケーションは、アクセスが許可されているセキュリティー自動化データストア内のガイダンス変更を識別できます。
Data Retrieval: If data locations are provided by the change detection mechanism, then specific guidance entries can be retrieved and possibly cached locally.
データの取得:データの場所が変更検出メカニズムによって提供されている場合、特定のガイダンスエントリを取得して、ローカルにキャッシュすることができます。
This memo documents, for informational purposes, use cases for security automation. Specific security and privacy considerations will be provided in related documents (e.g., requirements, architecture, information model, data model, protocol) as appropriate to the function described in each related document.
このメモは、情報提供の目的で、セキュリティ自動化の使用例を文書化しています。特定のセキュリティとプライバシーに関する考慮事項は、各関連ドキュメントで説明されている機能に応じて、関連ドキュメント(要件、アーキテクチャ、情報モデル、データモデル、プロトコルなど)で提供されます。
One consideration for security automation is that a malicious actor could use the security automation infrastructure and related collected data to gain access to an item of interest. This may include personal data, private keys, software and configuration state that can be used to inform an attack against the network and endpoints, and other sensitive information. It is important that security and privacy considerations in the related documents indicate methods to both identify and prevent such activity.
セキュリティ自動化に関する1つの考慮事項は、悪意のある攻撃者がセキュリティ自動化インフラストラクチャと関連する収集データを使用して、関心のあるアイテムへのアクセスを取得できることです。これには、個人データ、秘密鍵、ソフトウェア、およびネットワークとエンドポイントに対する攻撃の通知に使用できる構成状態、およびその他の機密情報が含まれる場合があります。関連ドキュメントのセキュリティとプライバシーの考慮事項が、そのようなアクティビティを識別して防止する方法を示していることが重要です。
For consideration are means for protecting the communications as well as the systems that store the information. For communications between the varying SACM components, there should be considerations for protecting the confidentiality, data integrity, and peer entity authentication. For exchanged information, there should be a means to authenticate the origin of the information. This is important where tracking the provenance of data is needed. Also, for any systems that store information that could be used for unauthorized or malicious purposes, methods to identify and protect against unauthorized usage, inappropriate usage, and denial of service need to be considered.
考慮事項は、通信を保護するための手段と、情報を保存するシステムです。さまざまなSACMコンポーネント間の通信では、機密性、データ整合性、およびピアエンティティ認証を保護するための考慮事項があります。交換される情報については、情報の出所を認証する手段が必要です。これは、データの来歴を追跡する必要がある場合に重要です。また、不正または悪意の目的で使用される可能性のある情報を格納するシステムでは、不正使用、不適切な使用、およびサービス拒否を特定して保護する方法を検討する必要があります。
[RFC3444] Pras, A. and J. Schoenwaelder, "On the Difference between Information Models and Data Models", RFC 3444, DOI 10.17487/RFC3444, January 2003, <http://www.rfc-editor.org/info/rfc3444>.
[RFC3444] Pras、A。およびJ. Schoenwaelder、「情報モデルとデータモデルの違いについて」、RFC 3444、DOI 10.17487 / RFC3444、2003年1月、<http://www.rfc-editor.org/info/ rfc3444>。
[RFC3954] Claise, B., Ed., "Cisco Systems NetFlow Services Export Version 9", RFC 3954, DOI 10.17487/RFC3954, October 2004, <http://www.rfc-editor.org/info/rfc3954>.
[RFC3954] Claise、B。、編、「Cisco Systems NetFlow Services Export Version 9」、RFC 3954、DOI 10.17487 / RFC3954、2004年10月、<http://www.rfc-editor.org/info/rfc3954>。
Acknowledgements
謝辞
Adam Montville edited early versions of this document.
Adam Montvilleがこのドキュメントの初期バージョンを編集しました。
Kathleen Moriarty and Stephen Hanna contributed text describing the scope of the document.
Kathleen MoriartyとStephen Hannaは、ドキュメントの範囲を説明するテキストを寄稿しました。
Gunnar Engelbach, Steve Hanna, Chris Inacio, Kent Landfield, Lisa Lorenzin, Adam Montville, Kathleen Moriarty, Nancy Cam-Winget, and Aron Woland provided text about the use cases for various revisions of this document.
Gunnar Engelbach、Steve Hanna、Chris Inacio、Kent Landfield、Lisa Lorenzin、Adam Montville、Kathleen Moriarty、Nancy Cam-Winget、およびAron Wolandが、このドキュメントのさまざまな改訂の使用例に関するテキストを提供しました。
Authors' Addresses
著者のアドレス
David Waltermire National Institute of Standards and Technology 100 Bureau Drive Gaithersburg, Maryland 20877 United States
デビッドウォルターミア国立標準技術研究所100 Bureau Driveゲイザースバーグ、メリーランド20877アメリカ合衆国
Email: david.waltermire@nist.gov
David Harrington Effective Software 16 Bayview Drive Westerly, Rhode Island 02891 United States
デビッドハリントン効果的なソフトウェア16ベイビュードライブウェスタリー、ロードアイランド02891アメリカ合衆国
Email: ietfdbh@gmail.com