KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente Runecast? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Runecast - Analisi della configurazione e security compliance

Runecast - Analisi della configurazione e security compliance

Questa sezione dell’interfaccia utente web di Runecast Analyzer è molto importante perché riguarda l’analisi della configurazione dell’ambiente virtuale; allo scopo, include diverse visualizzazioni dei problemi di configurazione rilevati dalla scansione dell'intera infrastruttura virtuale e dall'analisi delle impostazioni di configurazione. Ciascuna vista offre la possibilità di esportare (in alto a destra dello schermo) i problemi mostrati nella tabella e permette anche di includere gli oggetti interessati che genereranno per ciascun oggetto interessato, i valori dei risultati degli oggetti.               


KB di configurazione rilevati

Questa visualizzazione elenca tutti i problemi rilevati all'interno dell'infrastruttura virtuale scansionata derivati dagli articoli della Knowledge Base VMware.


Best Practices

Questa visualizzazione include le best practice del settore relative ai consigli di VMware. Ogni procedura consigliata viene confrontata con gli elementi di configurazione dell'infrastruttura virtuale scansionata. Se per tutti gli oggetti correlati viene rispettata una Best Practice, l'elemento della Best Practice viene contrassegnato come Pass; invece se la Best Practice non viene seguita per almeno uno degli oggetti interessati, viene contrassegnata come Fail.

L'espansione della sezione Best Practice mostrerà i dettagli sugli oggetti interessati e fornirà le impostazioni che non sono in linea con la relativa Best Practice.

Banner

 

Vulnerabilities

Runecast Analyzer è costantemente aggiornato per rilevare le ultime vulnerabilità inerenti alle tecnologie supportate. La sezione Vulnerabilities è dedicata ad evidenziare qualsiasi vulnerabilità applicabile a tutti i sistemi connessi all’appliance Runecast. Un widget correlato che si trova nella dashboard principale fornisce una rapida panoramica della vostra esposizione alla vulnerabilità.


Security compliance

Questa sezione contiene le politiche di sicurezza e conformità relative a numerose linee guida, che nello specifico sono quelle di VMware, DISA STIG, PCI DSS, HIPAA, BSI IT-Grundschutz, CIS, NIST, GDPR, Cyber Essentials, Essential Eight e ISO 27001. Di seguito vengono descritte le singole sezioni distinte per linee guida.

 

VMware Guideline

Le regole di sicurezza visualizzate in questa vista sono tratte dalle guide ufficiali di VMware Security Hardening. La gravità delle relative segnalazionivaria in base al tipo di controllo di sicurezza:

  • Low Severity: rafforzamento della sicurezza destinato esclusivamente ad ambienti altamente sicuri;
  • Medium Severity: rafforzamento della sicurezza relativo agli ambienti comuni;
  • Major Severity: rafforzamento della sicurezza che può essere correlato a qualsiasi ambiente ed è correlato a un host oa un elemento di configurazione di rete.

Indipendentemente dalla gravità originale, alcune regole di sicurezza potrebbero non essere necessarie a soddisfare la politica di sicurezza dell'organizzazione sulle cui infrastrutture “vigila” Runecast. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli che non sono inclusi nei criteri di sicurezza dell'organizzazione.
Ogni controllo di sicurezza può essere superato o fallito. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come non riuscito (Fail).

L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati.

 

DISA STIG 6

Le regole di sicurezza visualizzate in questa visualizzazione sono tratte dal sito Web ufficiale dell'Information Assurance Support Environment (IASE). La loro gravità varia in base al tipo di controllo di sicurezza che si esegue:

  • Low Severity: riguarda qualsiasi vulnerabilità la cui esistenza degrada le misure di protezione contro la perdita di Riservatezza, Disponibilità o Integrità (questi concetti riguardano la tutela dei dati ed anche l’ambito GDPR);
  • Medium Severity: qualsiasi vulnerabilità il cui sfruttamento può potenzialmente comportare una perdita di Riservatezza, Disponibilità o Integrità;
  • High Severity: qualsiasi vulnerabilità il cui sfruttamento comporterà direttamente e immediatamente la perdita di Riservatezza, Disponibilità o Integrità.

Indipendentemente dalla gravità originale, alcune regole di sicurezza potrebbero non essere necessarie per la politica di sicurezza dell'organizzazione. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli che non sono inclusi nei criteri di sicurezza dell'organizzazione.
I risultati dell'analisi possono portare alla visualizzazione dei seguenti stati:

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Pass: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta ad un Controllo manuale;
  • Fail (M): verrà visualizzato dove è presente almeno un oggetto nella vostra infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Fail (M): verrà visualizzato dove nessun oggetto risulta non conforme (è previsto un controllo manuale).

Sul profilo DISA STIG, è disponibile un rapporto aggiuntivo sotto il pulsante Export; l’esportazione della lista di controllo STIG (formato CKL) offre un file .zip che può essere importato nel visualizzatore STIG.

 

PCI DSS

I requisiti e i controlli citati nel profilo sono tratti da PCI DSS v3.2.1 (maggio 2018). Le milestone  visualizzate in questa visualizzazione sono tratte dall'approccio prioritario PCI DSS, il quale  fornisce sei milestone di sicurezza (ossia sei punti chiave) che aiutano i produttori e altre organizzazioni che desiderano  ottenere la conformità PCI DSS, a proteggere in modo incrementale dai fattori di rischio più elevati e dalle minacce crescenti. Le milestone vanno da 1 a 6, dove 1 è la priorità più alta e 6 è la più bassa, secondo quando descritto qui di seguito.


  • milestone 1: rimuovere i dati di autenticazione sensibili e limitare la conservazione dei dati; questa si rivolge a un'area chiave di rischio per le entità che sono state compromesse.
    • milestone 2: proteggere le reti perimetrali, interne e wireless; questa è focalizzata sui controlli per i punti di accesso alla maggior parte dei compromessi: la rete o un punto di accesso wireless.
        • milestone 3: applicazioni per carte di pagamento sicure; essa si rivolge ai controlli per le applicazioni, i processi delle applicazioni e i server delle applicazioni.
        • milestone 4: monitora e controlla l'accesso ai tuoi sistemi; i controlli per questa milestone vi consentono di rilevare chi, cosa, quando e in che modo sta accedendo alla vostra rete e all'ambiente dei dati dei titolari di carta.
        • milestone 5: protegge i dati dei titolari di carta memorizzati; per le organizzazioni che hanno analizzato i propri processi aziendali e determinato che devono archiviare i numeri di conto principale, Milestone Five si rivolge a meccanismi di protezione chiave per i dati archiviati.
        • milestone 6: finalizzare gli sforzi di conformità rimanenti e assicurarsi che tutti i controlli siano in atto; l'intento di questa milestone è completare i requisiti PCI DSS e finalizzare tutte le restanti politiche, procedure e processi correlati necessari per proteggere l'ambiente dei dati dei titolari di carta.

Indipendentemente dalla gravità intrinseca, non tutte le regole di sicurezza contemplate potrebbero essere necessarie e rientrare nelle policy di sicurezza dell’organizzazione analizzata da Runecast. Potrebbe anche essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.

 

PCI DSS contiene due tipi di regole (Customizable e Non-customizable): la principale differenza tra esse è che le regole personalizzabili consentono all'utente di modificare i valori predefiniti dei parametri, utilizzati dai controlli, a quelli desiderati. È possibile utilizzare una scheda filtro aggiuntiva denominata Customizable per selezionare rapidamente uno dei due tipi. Per modificare i valori predefiniti, espandete la regola contrassegnata come Customizable e andate alla scheda Customize. È disponibile una breve nota che descrive lo scopo dell'impostazione e il suo valore predefinito.

Fate clic sul pulsante Add Custom Value, inserite il valore personalizzato nel campo dedicato e selezionate un oggetto di inventario che verrà valutato rispetto al nuovo valore. Selezionando un oggetto padre, il valore verrà propagato ai suoi figli. Dopo aver cliccato sul pulsante Save potrete visualizzare una nuova riga che presenta l'oggetto in questione, il valore personalizzato, il nome utente e l'ora in cui ha aggiornato il valore. È possibile aggiungere più valori a diversi oggetti dell'inventario, ricordando che un valore impostato sull'oggetto figli riscriverà il valore impostato a livello padre. Al termine della personalizzazione, non dimenticare di analizzare l'ambiente in modo da considerare i nuovi valori. Ciascuna delle regole personalizzate verrà contrassegnata con un segno C nella colonna Stato del risultato.


Ogni controllo di sicurezza può restituire un risultato Fail o Configured, tenendo presente che basta che un solo oggetto nell'infrastruttura non sia conforme a un controllo di sicurezza specifico, per far sì che tale controllo venga contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati. Un risultato Configured significa che non ci sono oggetti che non hanno superato il controllo specifico, ma ciò non significa che sei completamente conforme all'intero requisito o controllo PCI DSS.
Sul profilo PCI DSS, è disponibile un rapporto aggiuntivo sotto il pulsante Esporta: si tratta del Consolidated host report, un report che offre una panoramica migliore di tutte le regole PCI DSS non riuscite o superate per ogni vCenter, a livello di cluster ed ESXi.

HIPAA

Questo profilo si riferisce all'Health Insurance Portability and Accountability Act del 1996 (HIPAA) pubblicato dalla Segreteria del U.S. Department of Health and Human Services (HHS) degli Stati Uniti.
Le organizzazioni (denominate "covered entities") devono mettere in atto salvaguardie tecniche per proteggere le "informazioni sanitarie protette elettroniche" (e-PHI) degli individui. Il profilo elenca le salvaguardie tecniche rilevanti nell'infrastruttura virtuale che vengono automaticamente verificate e confrontate con i requisiti degli standard di sicurezza HIPAA per la protezione delle informazioni sanitarie protette elettroniche (Security Rule).
Ogni controllo di sicurezza può restituire un risultato Fail o Configured. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati.

Un risultato di Configured significa, invece, che nessun oggetto ha esito negativo per il controllo specifico.
Indipendentemente dalla gravità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.

 

BSI IT-Grundschutz

Lo standard IT-Grundschutz, sviluppato dalla BSI tedesca, consente di identificare e attuare le misure di sicurezza necessarie attraverso una procedura sistematica. Gli standard BSI forniscono le migliori pratiche, i requisiti concreti dell'IT-Grundschutz Compendium.
Ogni controllo di sicurezza può restituire un risultato Fail o Configured. Nei casi in cui è presente almeno un oggetto nell'infrastruttura che non è conforme a un controllo di sicurezza specifico, questo controllo verrà contrassegnato come Fail. L'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati. Un risultato Configured, invece, che nessun oggetto ha esito negativo per il controllo specifico.
Anche in questo caso, a prescindere dalla gravità intrinseca alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare con Runecast. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.


CIS

Il Center for Internet Security, Inc. (CIS) è un'entità lungimirante e senza scopo di lucro che sfrutta il potere di una comunità IT globale per salvaguardare le organizzazioni private e pubbliche dalle minacce informatiche.
I benchmark VMware ESXi CIS sono documenti destinati ad amministratori di sistema e applicazioni, specialisti della sicurezza, auditor, help desk e personale addetto all'implementazione della piattaforma che pianificano di sviluppare, distribuire, valutare o proteggere soluzioni che incorporano VMware ESXi.
I benchmark definiscono i seguenti profili di configurazione:

  • Level 1 (L1): Corporate/Enterprise Environment (uso generale);
  • Level 2 (L2): ambiente ad alta sicurezza/dati sensibili (funzionalità limitata).

Uno stato di punteggio indica se il rispetto della raccomandazione fornita incide sul punteggio di riferimento dell'obiettivo valutato. In questo benchmark vengono utilizzati i seguenti stati di punteggio:

  • Scored: il mancato rispetto delle raccomandazioni "Scored" diminuirà il punteggio del benchmark finale, mentre il loro rispetto aumenterà il punteggio del benchmark finale;
  • Not Scored segnato: il mancato rispetto delle raccomandazioni “Not Scored“non diminuirà il punteggio del benchmark finale e comunque il loro rispetto non aumenterà il punteggio del benchmark finale.


I risultati dell'analisi possono visualizzare i seguenti stati:

Banner

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (nessun controllo manuale è coinvolto);
  • Pass: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme. Nessun controllo manuale è coinvolto;
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato dove è presente almeno un oggetto nell’infrastruttura che non è conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (in questo caso è previsto un controllo manuale);
  • Pass (M): verrà visualizzato dove nessun oggetto risulta non conforme e in questo caso è previsto un controllo manuale.

Anche in questo caso, indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie nella valutazione della politica di sicurezza dell'organizzazione da analizzare con Runecast. Potrebbe inoltre essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.

 

NIST

Il National Institute of Standards and Technology (NIST) è uno dei più antichi laboratori di scienze fisiche degli Stati Uniti e fornisce standard di misura applicabili ai settori della scienza e della tecnologia. L e misurazioni NIST supportano la più piccola delle tecnologie fino alle più grandi e complesse creazioni create dall'uomo, dai dispositivi su scala nanometrica così piccoli che decine di migliaia possono stare sulla punta di un singolo capello umano fino ai grattacieli resistenti ai terremoti e alle reti di comunicazione globali .
Il database NIST SP 800-53 rappresenta i controlli di sicurezza e le procedure di valutazione correlate, definiti nel documento NIST SP 800-53 Revision 4 Recommended Security Controls for Federal Information Systems and Organizations.

Le organizzazioni possono utilizzare la designazione del codice di priorità consigliata associata a ciascun controllo di gestione del programma per aiutare a prendere decisioni di sequenziamento per l'implementazione, ad esempio: 

  • un controllo con codice di priorità Priority Code 1 [P1] ha una priorità più alta per l'implementazione rispetto a un controllo con codice di priorità 2 [P2];
  • un controllo con Priority Code 1 [P2] ha una priorità di implementazione maggiore rispetto a un controllo con codice di priorità 3 [P3];
  • un codice di priorità Priority Code 1 [P0] indica che il controllo di sicurezza non è selezionato in alcuna baseline.


Questa priorità di sequenziamento consigliata aiuta a garantire che i controlli di sicurezza fondamentali da cui dipendono altri controlli siano implementati per primi, quindi consente alle organizzazioni di implementare i controlli in modo più strutturato e tempestivo in base alle risorse disponibili.
I risultati dell'analisi secondo NIST possono determinare in Runecast Analyzer i seguenti stati:

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Configured: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato se nell’infrastruttura analizzata è presente almeno un oggetto non conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Configured (M): verrà visualizzato dove nessun oggetto risulta non conforme; in questo caso è previsto un controllo manuale.

Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.


GDPR                

Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy intesa ad armonizzare le leggi sulla protezione dei dati in tutta l'Unione Europea (UE) applicando un'unica legge sulla protezione dei dati che è vincolante in ogni stato membro dell'UE. In Runecast Analyzer, il profilo GDPR attualmente copre solo Amazon Web Services e si concentra su:

Banner

  • Data Access: l'articolo 25 del GDPR prevede che il titolare del trattamento "attuerà misure tecniche e organizzative idonee a garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ciascuna specifica finalità del trattamento";
  • Data Protection: l'articolo 32 del GDPR richiede che le organizzazioni debbano "implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui ... la pseudonimizzazione e la crittografia dei dati personali...". Inoltre, le organizzazioni devono tutelarsi dalla divulgazione o dall'accesso non autorizzati ai dati personali;
  • Monitoring and Logging: l'articolo 30 del GDPR afferma che "ciascun titolare del trattamento e, ove applicabile, il rappresentante del titolare, conserva un registro delle attività di trattamento sotto la propria responsabilità".

I risultati dell'analisi possono visualizzare i seguenti stati:

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Configured: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato se nell’infrastruttura analizzata è presente almeno un oggetto non conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Configured (M): verrà visualizzato dove nessun oggetto risulta non conforme; in questo caso è previsto un controllo manuale.

 

ISO 27001

Pubblicata dall'Organizzazione internazionale per la standardizzazione (ISO) in collaborazione con la Commissione elettrotecnica internazionale (IEC), la norma ISO 27001 è stata sviluppata per aiutare le organizzazioni, di qualsiasi dimensione o settore, a rendere più sicure le risorse informative in loro possesso. ISO-27001 fa parte di una serie di standard della famiglia ISO/IEC 27000.
I risultati dell'analisi con Runecast Analyzer possono visualizzare i seguenti stati:
 

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Configured: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato se nell’infrastruttura analizzata è presente almeno un oggetto non conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Configured (M): verrà visualizzato dove nessun oggetto risulta non conforme; in questo caso è previsto un controllo manuale.

Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.

 

Cyber Essentials

Cyber Essentials è uno schema sostenuto dal governo del Regno Unito che aiuta le organizzazioni ad adottare best practice in materia di sicurezza delle informazioni.
I risultati dell'analisi fatta attraverso Runecast Analyzer possono far visualizzare quanto segue:

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Configured: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato se nell’infrastruttura analizzata è presente almeno un oggetto non conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Configured (M): verrà visualizzato dove nessun oggetto risulta non conforme; in questo caso è previsto un controllo manuale.

Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.


Essential Eight

Si tratta di una serie di strategie di mitigazione di base definite dall'Australian Cyber ​​Security Center. L'implementazione di queste strategie come minimo rende molto più difficile per gli avversari compromettere i sistemi.
I risultati dell'analisi fatta con Runecast Analyzer possono dare luogo alla visualizzazione dei seguenti stati:

Banner

  • Fail: verrà visualizzato dove è presente almeno un oggetto nella tua infrastruttura che non è conforme a uno specifico controllo di sicurezza; l’elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (non è coinvolto alcun controllo manuale);
  • Configured: verrà visualizzato nel caso in cui nessun oggetto risulti non conforme (non è coinvolto alcun controllo manuale);
  • Manual: è richiesta una risposta a Controllo manuale;
  • Fail (M): verrà visualizzato se nell’infrastruttura analizzata è presente almeno un oggetto non conforme a uno specifico controllo di sicurezza; l'elenco degli oggetti non conformi può essere visualizzato nei dettagli della sezione degli oggetti interessati (è previsto un controllo manuale);
  • Configured (M): verrà visualizzato dove nessun oggetto risulta non conforme; in questo caso è previsto un controllo manuale.

Indipendentemente dalla severità intrinseca, alcune regole di sicurezza potrebbero non essere necessarie per l'interpretazione della politica di sicurezza dell'organizzazione analizzata e potrebbe essere necessario personalizzare i controlli di sicurezza visualizzati filtrando quelli non necessari.