椭圆形,椭圆形的用例的向导

用例指导

椭圆形认养项目成立:

启用安全产品之间的互操作性。
教育供应商关于椭圆形的使用和实现最佳实践。
为供应商提供一个机会让正式自信他们的产品如何利用椭圆。
允许斜方获得更深的见解如何椭圆形,或可能,利用椭圆可以进化最有用的社区。

当前的支持椭圆形集下面详细的用例。额外的用例将通过持续记录,因为他们出现椭圆形的操作应用。

椭圆形的能力

椭圆形使安全产品之间的互操作性,让他们能够通过一个标准的XML语言交换信息。它允许产品在不同垂直市场利用其他产品,完成不同的任务。例如,一个漏洞评估产品可以利用漏洞研究服务快速和自动检查最新的漏洞。合规检查引擎可以利用政府安全指导自动监控合规而不需要翻译传统散文的基础指导。

只为了让组织实现这些部分的椭圆形最适合他们的产品,一组椭圆能力定义创建逻辑功能分组。这是椭圆形的优点是可用于更广泛的安全产品,从而使行业更大的互操作性。这组椭圆功能映射到支持椭圆形的用例,以确保一个清晰的连接之间的一个给定的用例和相关的椭圆形的能力。具体要求,为每一个功能,介绍了采用椭圆形的需求。

五个椭圆形功能定义:

创作工具——产品,艾滋病的过程中创造新的椭圆文件(包括产品,巩固现有椭圆定义成一个单一的文件)。
定义评估者——产品使用一个椭圆的定义来指导系统评价和产生一个椭圆的结果文档(全部结果)作为输出。
定义存储库——椭圆定义的存储库提供社区(免费或支付)。
结果消费者——产品,接受一个椭圆形的结果文件作为输入,并将结果显示给用户,或者使用结果来执行一些动作。
系统特征生产商——产品,生成一个有效的椭圆形的系统特征文件基于一个系统的细节。

回到顶部

用例

椭圆形的用例定义最佳实践的使用标准。八个椭圆形当前用例详细如下,包括相关的椭圆形的列表功能。

安全顾问分布

供应商发布的安全警告和安全人员发现产品漏洞。安全报告通常包含所需的信息检测系统上脆弱的产品的存在。这些报告是利用报警服务和漏洞扫描产品的最新问题,这些问题可能会影响个人和组织使用脆弱的产品。承认需要安全行业内的应用程序和操作系统供应商,和其他权威机构,在标准发布漏洞信息,机器可读的格式。这个的好处是双重的。首先,它为扫描产品提供了直接访问的内容,可以用来评估系统的安全状况。第二,它的创作技术细节的漏洞的逆向工程努力scanner-product开发人员更权威的来源:脆弱的产品的开发人员。

用例场景

发布一个顾问

在这个场景中,一个软件供应商收到的报告未披露的脆弱性以及利用代码从安全社区的一员。供应商检验报告和开发代码和证实他们的软件有一个漏洞。供应商进一步调查的漏洞来确定版本软件的影响和在什么平台上。供应商保留一个常见的漏洞和风险敞口(CVE)标识符(也称为CVE标识符、CVE-IDs和cf)的脆弱性和创建一个标准化检查漏洞的形式一个椭圆的定义。这个新的椭圆定义包括影响的平台和产品,包括保留CVE的引用标识符,和脆弱的描述。脆弱的软件供应商增加了测试检查软件相关的平台。一旦完成,签署的椭圆的定义是,确保完整性和真实性和测试,以确保它准确地检测所有已知的脆弱的软件版本。最后,软件供应商发布新的安全咨询的脆弱性包括保留CVE标识符和椭圆定义检测漏洞的存在。

出版后,立即组织开始下载安全顾问是椭圆的定义,验证其签名,以确保它在运输过程中没有修改,并使用它的漏洞扫描工具的选择来决定是否他们的系统。

漏洞评估

脆弱性管理是一个过程,识别系统中的漏洞并排列优先级根据其严重性。目前,组织开发脆弱性管理产品开发人员需要使用一组内容。这个团队调查成为已知的漏洞,收集所有可用的信息对于一个给定的脆弱性,对实时系统检查和运行各种测试参数,表明存在一个漏洞。一旦理解一个漏洞,这团队开发一个检查将显示系统上的漏洞的存在,在他们的产品中使用。结果检查然后分发给供应商的客户,这样他们就可以评估他们的系统和基于脆弱性评估结果采取行动。必须完成所有这些任务在一个非常严格的时间要求和重复在几乎每一个组织,开发和提供一个漏洞管理产品。

脆弱性管理产品的供应商,在一个标准的漏洞信息结构化格式允许他们快速消耗来自多个数据源的数据。这些供应商可以与对方分享漏洞检查和协作开发最好的检查一个给定的问题。如果最初的安全顾问包括标准化的检查问题,这些供应商可以自动使用这些数据。这将允许卖方转移资源从内容生成任务,提高他们的产品的功能,同时向顾客分发更快更高质量的检查。

客户从产品的角度来看,主要要求有一个标准的内容格式是它介绍漏洞评估过程,并提供他们的能力做一个横向比较的产品。当进行产品比较,给出一组特定的定义,每个产品测试应该返回相同的结果。如果情况不是这样,它不再是一个产品的结果采取不同的方法检测漏洞,并删除客户,以确定哪些产品的负担他们认为返回最准确的结果。最终的结果是,客户可以更注重选择最佳的产品特性,满足他们的需求,而不是更困难问题的产品是否正确的检测工作漏洞。最后,证据确凿的,标准格式为用户提供他们需要的信息能够理解一个问题的细节,并确定一个特定的产品进行其业务。

用例场景

利用标准化的安全顾问

操作系统供应商发布一系列新的安全警告其平台椭圆定义。系统管理员运行组织的脆弱性管理工具检索椭圆的定义和验证其签名。脆弱性管理工具收集所需的属性做出断言是否系统处于脆弱的状态,包括这个信息在椭圆形的系统特征。接下来,脆弱性管理工具评估椭圆形的系统特征对椭圆的椭圆的定义和表示这些发现的结果。

合作开发的一个漏洞检查

新的关键漏洞披露由应用程序供应商和最初的安全顾问不包括一个权威的标准化检查的漏洞。脆弱性管理产品供应商迅速发展和分配一个椭圆定义检查漏洞的存在在供应商平台支持为其客户。供应商与论坛其他共享这一新的检查脆弱性管理供应商和行业专家的形式一个椭圆的定义。椭圆的定义是延长额外的另一个供应商,包括详细的检查信息平台,使平台漏洞检查完成的所有已知的脆弱。由此产生的椭圆的定义是再次与业界分享论坛。安全专家参与论坛的注意到在某些情况下椭圆定义将检测漏洞,而实际上它并不存在(假阳性)。安全专家纠正该缺陷在椭圆的定义和再次与论坛共享这些信息。论坛成员合作开发一个全面,准确,规范检查的漏洞和杠杆的椭圆定义他们的产品和服务。

分享漏洞评估结果

脆弱性管理产品,使用一个椭圆的定义,检测系统上的一个漏洞的存在和生成椭圆记录这一发现的结果。椭圆形的结果提供给组织的安全指示板加工。由于脆弱性的严重程度和可用性的一个补丁是确定受影响的系统必须修补。然后椭圆形结果作为输入提供给组织的补丁管理工具,影响系统识别和适当的补丁,脆弱,是由CVE标识符标识系统和应用。系统不再是处于脆弱的状态。

补丁管理

补丁管理是一个过程,确定影响系统的安全问题和软件更新,应用补丁,解决这些问题,验证补丁成功安装。确保系统正确的修补是一个主要关注组织的破坏系统的主要原因。补丁管理工具必须有一个详细的了解这意味着对于一个给定的补丁已正确安装在一个系统,以确保系统正确的修补。因此,补丁管理供应商雇佣的分析师团队逆向补丁和完全理解给定补丁应用到系统的影响。这些分析师必须为每个补丁开发和维护检查他们的产品支持。

补丁管理供应商社区,有补丁检查信息结构化标准格式允许他们快速消耗来自多个数据源的数据。这些供应商可以共享彼此补丁检查和协作开发最好的检查一个给定的补丁。如果补丁分发标准化检查补丁这些供应商可以自动使用这些数据。这将允许卖方转移资源从内容生成任务,提高他们的产品的功能,而分配顾客更快更高质量的补丁检查。

用例场景

利用一块标准化检查

操作系统供应商为其平台发布一套新的补丁,包括标准化的补丁检查椭圆定义。系统管理员运行组织的补丁管理工具检索椭圆的定义和验证其签名。补丁管理工具收集所需的属性做出断言是否需要给系统打补丁,包括这个信息在椭圆形的系统特征。接下来,补丁管理工具评估椭圆形的系统特征对椭圆的椭圆的定义和表示这些发现的结果。补丁管理工具分析了椭圆形结果和确定一个补丁应该安装。安装补丁和系统不再是脆弱的。

修补一个已知的漏洞

一个组织的补丁管理工具分析了椭圆形的结果所产生的漏洞管理工具。椭圆形的结果包括总结所有的漏洞都检查信息和全部细节的漏洞被发现在漏洞评估。补丁管理工具使用CVE标识符与每个椭圆定义有关,包括在椭圆形的结果,列举可用的补丁软件发现系统的脆弱。

配置管理

配置管理的过程包括检查机器的配置状态,比较它与一个已知的好或授权配置状态,并报告结果。有很多公开可用的最佳实践(例如,配置指南国家安全局(NSA)配置指南),和更多的专为个人开发的组织。在许多情况下,这些指南只存在于纸质表单,由it人员将文档转化为可以应用和执行一致的基础。也有自动化解决方案可以扫描系统对给定配置和提供合规裁剪功能以适应组织的特定需求。不幸的是,这些产品通常依靠专有数据格式,使得它难以实施新政策,产品或从一个产品到另一个移动数据。最后,正如上面的一些用例,剥离的语言从产品为产品供应商提供了一个更广泛的存储库的内容,并允许他们更注重功能和特性。

用例场景

政策分布

操作系统供应商发布一个新版本的操作系统。随着最初版本的操作系统,包括详细的安全配置指南。本指南的目的是作为一个基线为操作系统的用户定制自己的环境和安全要求。操作系统供应商包括椭圆定义安全配置指南。每个椭圆定义包含一个引用有关常见的配置枚举(CCE)标识符(也称为CCE标识符、CCE-IDs和cc)与其他政策和相关的可用于检查系统是否符合操作系统供应商的推荐配置项。系统管理员组织的配置管理工具和运行提供了椭圆定义作为输入。配置管理工具然后收集所需的属性做出断言是否系统向新操作系统政策,包括这个信息在椭圆形的系统特征。接下来,配置管理工具评估椭圆形的系统特征对椭圆的椭圆的定义和表示这些发现的结果。

权威的政策重用

组织决定开发一个安全配置策略的桌面系统。而不是从头开始创建一个新的政策组织利用安全配置指南推荐的桌面操作系统供应商。因为这个政策是发表在一个标准化的格式,与椭圆形的集合定义检查遵守政策,组织下载政策和裁缝他们的环境。举个例子,该组织有一个非常严格的密码策略,需要需要一个最小密码长度14字符在所有桌面系统。考虑到操作系统供应商推荐的8个字符的最小密码长度,已经有一个椭圆的定义在发布的安全配置检查最小密码长度。组织能够简单地调整最小密码长度的值设置到14和重用其他检查逻辑在椭圆的定义。组织其他定制适用于政策通过编辑出版椭圆的定义。一旦完成,该组织新政策输入它的配置管理工具开始监控所有桌面系统符合政策。

遵从性报告

一个组织需要符合官方配置政策和报告政策为了参加一个行业。这个政策已经表达和出版为椭圆形的集合定义和开发它的权威来进行数字签名。不需要翻译策略,组织评估其系统遵守政策使用组织的配置管理工具和椭圆的定义。对于每个系统,配置管理工具收集所需的属性做出断言系统及其符合政策。然后工具包括这些信息在椭圆形的系统特征来表示系统的当前状态。配置管理工具中定义的椭圆系统特性对政策评估椭圆定义之间的差异,包括当前的系统状态和所需的政策在椭圆形的结果。椭圆形的结果然后转发到组织的法规遵循报告工具,系统的合规政策的结果可以提供给当局证明合规。

审计和集中审核验证

审计验证负责提供有关机器的状态在任何给定的时间过去。在这个地区有两个基本需求。首先是捕获机器配置信息的粒度级别,允许组织监视、跟踪,并重建系统的过渡的配置从一个状态到另一个地方。第二个是数据需要存储在一个标准化的、以数据为中心的格式,从而确保它不是绑定到一个特定的产品,这可能是也可能不是当时有必要回顾可用的数据。

用例场景

变化的跟踪

一个组织部署集中审计验证系统。新系统连接网络的时候,立即由组织的脆弱性扫描管理、补丁管理和配置管理工具基于最新的安全警告,补丁,和政策。由此产生的椭圆形的结果,与扫描,作为系统的集中审计验证系统的初始状态。从那以后,系统扫描一周一次,以确定是否有变化。如果发现自上次更新变化,集中审计验证系统更新最新的椭圆形的结果。如果之间的任何时间点安排扫描,系统分为或合规或一个新的补丁已经安装,集中审计验证系统立即更新与新椭圆形的结果。现在集中审计验证系统包含多个椭圆集的结果记录系统的各种状态改变。

安全信息管理系统(SIMS)

西姆斯集成的输出各种安全、审计、和配置产品,以及自己的代理,构建一个全面的视图的一个组织的网络的安全态势。更少的数据格式的SIM需要了解更加灵活和强大的产品。之间的数据交换格式标准化产品极大地简化了互操作性需求,为最终用户提供了一个广泛的应用程序可供选择。

用例场景

数据聚合

安全信息管理系统供应商利用椭圆的结果所产生的漏洞管理工具、补丁管理工具、配置管理工具和其他工具,产生椭圆结果作为主要格式数据进入他们的系统。这样,系统可以使用数据从整个范围的工具而不需要以简单明了的方式翻译不同的格式,像数据,到一个格式,才能分析。

系统库存

系统库存收集的过程是一个给定系统上已安装的应用程序的详细清单。大型企业通常有很多版本的在各种操作系统上运行的应用程序。组织不依赖一个厂商的软件运行在他们的企业。这就提出了一个相当大的挑战当跟踪软件许可、漏洞管理、合规、和其他用途。应用程序和操作系统供应商需要一个标准的方法来描述如何检查应用程序和系统库存工具厂商需要接触大量的应用程序和操作系统供应商信息,以准确地确定什么是安装在一个系统。目前,这些系统库存工具厂商必须开发自己的检查应用程序或操作系统的存在,通常基于一个系统的猜测,而不是权威的知识。

用例场景

操作系统升级

一个组织想要剩下的系统升级到最新版本的操作系统。组织的任务系统管理员决定有多少需要购买许可证。系统管理员下载椭圆定义包含检查所有的以前版本的操作系统随着CPE的引用标识符对应于特定平台检查。系统管理员然后整个组织运行系统库存工具使用下载的椭圆的定义。系统库存工具收集所需的属性做出断言上安装的软件系统,包括椭圆系统的特点,系统的观察状态的快照。接下来,系统库存工具比较椭圆定义的椭圆的系统特征,并记录结果在椭圆形的结果。最后,系统库存工具将椭圆形结果转发到该组织的报告工具。利用报告工具通用平台枚举(CPE)标识符(也称为CPE标识符、CPE-IDs和cp)在椭圆形的结果提供详细信息的数量和类型的早期版本的操作系统,允许系统管理员发现了多少升级所需的许可证。

恶意软件和威胁指标共享

事故协调中心,组织和安全社区的其他成员积极讨论恶意软件和共享底层系统细节,可以用来检测潜在的破坏系统。这些细节通常共享散文文件需要翻译成可操作的内容之前被用于系统评估。需要一个标准格式编码的恶意软件威胁指标被广泛承认,及其事故协调中心将广泛使用。

用例场景

检测受损系统

一个组织发现他们的系统已经被一些恶意软件。立即组织任务和调查取证的团队受感染的系统。在调查过程中,法医团队注意到受感染的系统包含某些文件已修改,之前未公开漏洞被用来访问系统。意识到没有公开检查这个漏洞,法医团队创建一个椭圆的定义和测试检查是否存在在调查过程中发现的修改的文件。根据法医团队的内部工具产生的椭圆的定义可能会从众多可能的来源包括静态分析工具自动生成输出或手写的情况下更手动过程被用来调查这一事件。一旦完成,法医团队迅速把新的椭圆定义基于主机的安全系统,以确定如何广泛攻击他们的基础设施是在反病毒厂商发布了更新的签名。基于主机的安全系统收集所需的属性来确定系统已经妥协记录这个信息在椭圆形的系统特征获取系统的当前状态。接下来,基于主机的安全系统比较了椭圆形的系统特征对椭圆的定义和记录系统状态在椭圆形的差异的结果。最后,基于主机的安全系统将椭圆形结果转发到该组织的报告工具,椭圆形结果杠杆提供详细信息系统被破坏的数量。因此,使法医团队迅速隔离和纠正这个问题。