Überblick: Bewertung der Einhaltung

IBM® Concert nimmt die Daten aus der Konformitätsbewertung Ihres Unternehmens auf und liefert einen ganzheitlichen Überblick über die Konformität Ihrer Anwendungsumgebungen.

Die folgenden Schritte geben einen Überblick über den gesamten Prozess, um einen umfassenden Überblick über die Compliance-Situation Ihres Unternehmens zu erhalten.

Hinweis: Der folgende Arbeitsablauf geht davon aus, dass Sie bereits Ihre Anwendungstopologie in Concert durch Hochladen von SBOM-Dateien oder Konfigurieren von Dateneingabeaufträgen von Tools und Diensten Dritter aufgebaut haben.

Schritt 1: Hochladen eines Compliance-Katalogs

Ein Compliance-Katalog dient als zentrale Quelle für die Compliance-bezogenen Richtlinien, Verfahren und Standards einer Organisation. Concert unterstützt Compliance-Kataloge, die auf NIST 800-53 (Rev4 for OCP and Rev5), PCI oder einem benutzerdefinierten Standard basieren.

Weitere Informationen und Anweisungen zum manuellen Hochladen eines Scans finden Sie unter "Verwalten eines Compliance-Katalogs ".

Sie können jetzt einen Workflow für CIS auslösen, um nach Red Hat® Enterprise Linux® 9 ( RHEL9 ) oder OpenShift Container Platform 4 ( OCP4 ) Clustern zu suchen und diese in Concert zu importieren. Informationen zum Importieren von Scans mit dem Workflow Concert finden Sie auf den Seiten OCP4 scan oder RHEL9 scan.

Schritt 2: Erstellen eines Compliance-Profils

Ein Compliance-Profil stellt eine Teilmenge von Kontrollen aus einem Compliance-Katalog dar. Jedes Profil legt eine Reihe von Regeln fest, anhand derer die (von anderen Anwendungen generierten) Scan-Ergebnisse die allgemeine Konformität Ihrer Anwendungsumgebungen bewerten. Durch die Definition eines Profils vor dem Hochladen einer Konformitätsprüfung können Sie sicherstellen, dass die Ergebnisse den Konformitätsanforderungen Ihres Unternehmens gerecht werden.

Weitere Informationen und Anweisungen finden Sie unter "Erstellen eines Compliance-Profils ".

Schritt 3: Hochladen oder manuelles Erstellen eines Compliance-Scans

Sie können entweder einen Compliance-Scan auf Concert hochladen oder eine Compliance-Bewertung manuell erstellen. Durch das Hochladen des Konformitätsscans wird die Konformitätsprüfung durchgeführt, die die Gesamtkonformität Ihrer Anwendungsumgebungen bewertet und eine Konformitätsbewertung erstellt. Die Konformitätsprüfung muss im OSCAL- oder XCCDF-Format (XML oder YAML) erfolgen. Concert kann auch Scan-Ergebnisse unterstützen, die vom IBM Z Security Compliance Center ( IBM Z SCC) stammen.

Erfahren Sie mehr über OSCAL-Modelle und das von Concert akzeptierte XCCDF-Format.

Nach dem Hochladen und Verarbeiten des Scans liefert Concert eine Konformitätsbewertung und andere Erkenntnisse über die Auswirkungen von Konformitätsproblemen auf bestimmte Umgebungen. Die Konformitätsbewertung gibt den Prozentsatz der Kontrollen an, die in der bewerteten Umgebung eingehalten wurden, bezogen auf die Gesamtzahl der Kontrollen, die im Konformitätsprofil für diese Überprüfung angegeben sind. Die Konformitätsbewertung bestimmt, ob der Grad der Konformität der Umwelt hoch, mittel oder niedrig ist und basiert auf der berechneten Konformitätsbewertung.

Einzelheiten und Anweisungen finden Sie unter Verwaltung von Konformitätsprüfungen.

Sie können auch Concert Workflows verwenden, um CIS Red Hat® Enterprise Linux® ( RHEL9 ) und CIS OpenShift® Container Platform cluster version 4 ( OCP4 ) Scans zu erstellen und zu importieren.

Schritt 4: Scanergebnisse anzeigen

Navigieren Sie zu Dimensionen > Konformität, um eine Liste von Konformitätsbewertungen unter der Unternavigation Bewertungen anzuzeigen, und wählen Sie den Namen einer Konformitätsprüfung aus, um die Ergebnisse anzuzeigen.

Die Seite enthält die Konformitätsstufe, die Punktzahl und die Anzahl der Kontrollen, die von der Gesamtzahl der Kontrollen konform sind. Sie enthält auch eine Liste der Kontrollen, den Namen der bewerteten Ressourcen, den Status der Bewertung (bewertet oder nicht bewertet), das Ergebnis der Konformitätsprüfung und eine Option zur Erstellung eines Tickets. Wenn Sie ein Ticket für eine beliebige Kontrolle erstellen, wird die entsprechende Ticketnummer für die Kontrolle auf der Registerkarte Ticket angezeigt.

Schritt 5: Nachweise für nicht bewertete Kontrollen erbringen

Wenn die bewertete Umgebung eine Kontrolle nicht einhält, können Sie den Status der Nichteinhaltung aufheben, indem Sie Nachweise vorlegen, die erklären, warum die Umgebung als einhaltungskonform angesehen werden sollte. Die von Ihnen vorgelegten Nachweise werden von " IBM watsonx bewertet, um ihre Gültigkeit festzustellen. Wenn sie gültig ist, wird das Feld Status auf "Beurteilt" aktualisiert

Diese Option ist z. B. nützlich, wenn Maßnahmen außerhalb der in Concert verfolgten Maßnahmen das Problem der Einhaltung der Vorschriften angehen.

Die Schritte zum Hochladen von Nachweisen finden Sie im Abschnitt Nachweisführung.

Um einen Nachweis für eine bewertete Kontrolle zu erbringen, klicken Sie auf das Menüsymbol neben der Kontrolle in der Liste, dann auf Nachweis erbringen und folgen Sie den Anweisungen.