OVAL定義を使用した脆弱性の監査

6 OVAL定義を使用した脆弱性の監査

OVAL定義ファイルを使用して、システムの既知の脆弱性や構成の問題を監査できます。 OVAL監査スキャンを実行すると、システムに適切なセキュリティ・パッチが適用されているかどうかを確認できます。

SCAPデータ・ストリーム・ファイルに含まれるOVAL定義エントリは、リモートOVAL定義(https://linux.oracle.com/securityでOracleによって提供されるものなど)を自動的にダウンロードして適用できます。

切断された環境で作業している場合は、OVAL定義ファイルを手動でダウンロードして、環境内のシステムで使用できるようにします。 --local-filesオプションを使用して、これらのローカル定義ファイルを使用してスキャンを実行できます。

OVALファイルのダウンロード

ULNのすべての更新情報のOVAL定義が提供されます。これらの定義を使用して、すべての適用可能な更新情報がOracle Linuxシステムにインストールされていることを確認します。

定義ファイルをダウンロードします。
https://linux.oracle.com/securityからファイルをダウンロードします。

使用可能なファイル・タイプは次のとおりです。

個々のOVAL定義ファイル

これらのファイルには、特定のセキュリティ・パッチの定義が含まれています。たとえば、com.oracle.elsa-20205535.xmlはELSA-2020-5535に関連しています。

統合されたOVAL定義ファイル

これらのファイルは、bzip2アルゴリズムを使用して圧縮され、年またはプラットフォームで表されるすべてのOVAL定義が含まれます。たとえば、com.oracle.elsa-2024.xml.bz2には、2024年のすべての定義が含まれます。すべてのELSAパッチのすべてのOVAL定義の完全なアーカイブは、com.oracle.elsa-all.xml.bz2にあります。統合OVAL定義は、Oracle Linuxリリースごとに、com.oracle.elsa-olrelease.xml.bz2という形式の名前が付いたファイルでも提供されます。

たとえば、Oracle Linux 9のすべてのELSAパッチの統合されたOVAL定義をダウンロードするには、次を実行します。
```
wget https://linux.oracle.com/security/oval/com.oracle.elsa-ol9.xml.bz2
```
必要に応じて、統合定義ファイルを抽出します。
圧縮ファイルをダウンロードした場合は、OVAL定義ファイルを抽出します。
```
bzip2 -d com.oracle.elsa-ol9.xml.bz2
```
スキャンを実行します。

スキャンを実行するには、「OVAL監査スキャンの実行」を参照してください。

OVALファイルの情報の表示

oscap infoコマンドを使用して、OVALファイルに関する情報を表示できます。

コマンド構文は次のとおりです。

oscap info path/OVAL file

たとえば:

oscap info com.oracle.elsa-2024.xml

出力には、OVALバージョンと、ファイルが生成およびインポートされた日時が表示されます。

Document type: OVAL Definitions
OVAL version: 5.11
Generated: date and time
Imported: date and time

OVALファイルの検証

oscap validateコマンドを使用して、スキーマに対してOVALファイルを検証できます。

oscap validateを使用して終了コードを確認し、そのスキーマに対してOVALファイルを検証します。これにより、ファイルが正しくフォーマットされていることが確認されます。

たとえば、com.oracle.elsa-2024.xml OVALファイルを検証するには、次のコマンドを実行します。

oscap oval validate com.oracle.elsa-2024.xml \
  && echo "ok" || echo "exit code = $? not ok"

ok

OVAL監査スキャンの実行

OVAL定義ファイルに対してOracle Linuxシステムをスキャンし、適用可能なすべての更新情報がインストールされていることを確認します。

OVAL定義ファイルを取得します。

特定のOVAL定義を手動でダウンロードしてインストールする必要がある場合は、「OVALファイルのダウンロード」の手順に従ってください。

OVAL定義ファイルを使用してシステム監査を実行します。

OVAL定義ファイルを手動でダウンロードし、それに対してシステムを監査する場合は、次のコマンドを実行します。

sudo oscap oval eval –-results path/results-file-name.xml \
--report path/report-file-name.html path/OVAL-definition-file-name.xml

たとえば:

sudo oscap oval eval --results /tmp/elsa-results-oval.xml \
--report /var/www/html/elsa-report-oval.html com.oracle.elsa-all.xml

出力が次のように表示されます。

...
Definition oval:com.oracle.elsa:def:20259978: false
Definition oval:com.oracle.elsa:def:20259940: false
Definition oval:com.oracle.elsa:def:20259896: true
Definition oval:com.oracle.elsa:def:20259880: false
Definition oval:com.oracle.elsa:def:20259878: false
Definition oval:com.oracle.elsa:def:20259877: false
Definition oval:com.oracle.elsa:def:20259845: false
Definition oval:com.oracle.elsa:def:20259844: false
Definition oval:com.oracle.elsa:def:20259741: false
Definition oval:com.oracle.elsa:def:20259740: false
Definition oval:com.oracle.elsa:def:20259635: false
Definition oval:com.oracle.elsa:def:20259634: false
Definition oval:com.oracle.elsa:def:20259623: false
Definition oval:com.oracle.elsa:def:20259605: false
Definition oval:com.oracle.elsa:def:20259580: false
...
Evaluation done.

重要:

trueフラグはパッチがシステムに適用されていないことを意味し、falseフラグはパッチが適用されていることを意味します。

HTMLレポートを表示します。
ブラウザでレポートを開いて表示します。サンプルHTMLレポート:
ノート:

コマンドで--reportオプションを省略してシステムを監査する場合でも、後で結果ファイルからレポートを作成できます。次に例を示します。
```
sudo oscap oval generate report /tmp/elsa-results-oval.xml \ 
/var/www/html/elsa-report-oval.html
```