Évaluation des règles

États possibles d’une règle

  • Succès : Le système est conforme par rapport à la règle testée
  • Échec : Le système n’est pas conforme par rapport à la règle testée
  • Anomalie : Une erreur s’est produite lors de l’exécution du script de conformité, cela peut être dû à une dépendance ou fichier manquant sur le système testé
  • Passé : La règle n’a pas été exécutée. Ce cas se produit quand l’actif n’est pas scanné avec les droits suffisants

Niveaux des règles

Les niveaux des règles constituent des fils conducteurs pour aider à l’administration système. L’interprétation de ces niveaux reprend celle donnée par l’ANSSI :

  • Minimal : A mettre en œuvre systématiquement sur tout le système
  • Intermédiaire : A mettre en oeuvre dès que possible sur la plupart des systèmes dès que les recommandations de niveau minimal sont appliquées
  • Renforcé : A mettre en œuvre sur des systèmes ayant un fort besoin de sécurité ou ayant plusieurs applications à isoler les unes des autres sur le même système
  • Élevé : A ne mettre en œuvre que si les ressources internes ont les compétences et le temps nécessaire pour assurer leur maintien régulier sous peine de dégrader la sécurité du système. Celles-ci peuvent cependant apporter un gain de sécurité important

Règles personnalisées

Une règle personnalisée est définie par :

  • un script à exécuter sur l’actif,
  • une expression régulière de conformité,
  • une expression régulière de non-conformité,
  • une expression régulière d’applicabilité.

Lors de la vérification du résultat du script, Cyberwatch procède de la façon suivante :

  1. si une expression régulière d’applicabilité est fournie et que la sortie du script n’y correspond pas, la règle passe en état Passé,
  2. sinon, si le résultat du script correspond à l’expression régulière de conformité, la règle passe en état Succès,
  3. sinon, si le résultat du script correspond à l’expression régulière de non-conformité, la règle passe en état Échec,
  4. sinon, la règle passe en état Anomalie.

Conformité déclarative

Les actifs air gap ou ne disposant pas de capacité d’exécution de script shell permettent à la place d’éditer manuellement depuis l’onglet Analyses de leur page de détails ou par API leurs données de conformité déclarative.

Les données de conformité ont le format suivant :

--cbw-compliance-check
Rule: Référence-de-la-règle

Sortie de la règle.

--cbw-compliance-check
Rule: Référence-de-la-règle
Status: Skipped

Cas d’une règle sautée.

L’état des règles est évalué en comparant leur sortie aux expressions régulières configurées dans la règle, de la même façon que si la règle avait été exécutée par un script shell.

Une règle personnalisée peut être configurée comme déclarative, auquel cas elle n’aura pas de script et ne pourra être utilisée que via les données présentées ci-dessus. Une règle shell peut quant à elle être ou bien exécutée ou bien déclarée, selon l’actif.

Les référentiels de l’actif n’ont aucun impact sur l’attribution ou l’évaluation des règles de conformité via les données déclaratives.

Relancer les règles déjà exécutées sur un actif

  1. Se rendre dans l’Inventaire
  2. Cliquer sur le nom de l’actif ou sur l’icône de la loupe afin de se rendre sur la page de l’actif
  3. Cliquer sur le bouton « Contrôler les règles » pour relancer toutes les règles affectées à l’actif

Relancer toutes les règles sur plusieurs actifs

  1. Rendez-vous sur l’Inventaire
  2. Sélectionner les actifs pour lesquels toutes les règles leur étant affectées seront relancées
  3. Cliquer sur le bouton « Actions groupées »
  4. Cliquer sur le bouton « Relancer maintenant l’analyse des actifs »

Ignorer une règle

  1. Se rendre dans l’Inventaire
  2. Cliquer sur le nom de l’actif ou sur l’icône de la loupe afin de se rendre sur la page de l’actif
  3. Cliquer sur l’onglet « Conformité »
  4. Sélectionner la ou les règles à ignorer
  5. Cliquer sur le bouton « Ignorer »

Activer une règle

  1. Se rendre dans l’Inventaire
  2. Cliquer sur le nom de l’actif ou sur l’icône de la loupe afin de se rendre sur la page de l’actif
  3. Cliquer sur l’onglet « Conformité »
  4. Sélectionner la ou les règles ignorées à activer
  5. Cliquer sur le bouton « Activer »

Commenter une règle ignorée

De la même manière qu’expliqué dans la partie « Ignorer une règle », il est possible de commenter une règle via les actions avancées dans le menu déroulant.

Retour en haut

English Français Español