<div dir="ltr">Fen,<div><br></div><div>Thanks for sharing your situation.  </div><div><br></div><div>You say you are dealing with ten instances.  I had imagined more, but no mind ten is enough.  I do have a solution in mind. What I do is convert the SCAP result sets into RDF then load them into a database (I use MapReduce for this.) so I can work on them in aggregate.  Currently, I frontend the database with MatLab. One can view the query results using the graphics MatLab currently supports, or one can export, and view using the likes of Spotfire or Tableau.  </div><div><br></div><div>As soon as I can, I intend to see what I can do processing these query results with say Tensor Flow,  but I'm getting ahead of myself. </div><div><br></div><div>I did want to poll the community and see what the interest level might be.  </div><div><br></div><div>My background is in health information specifically, health systems interoperability.  The solution I outlined above, grew out of efforts to find a better way of rummaging around in large health datasets--lots of hefty XML files.  I got into SCAP because the need for better security in health systems and bingo! there again were quantities of sizable XML files. </div><div><br></div><div>I have a few people who have expressed an interest in working on this.  They like the Tensor Flow part.  We'll see.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 15, 2018 at 1:06 PM, Fen Labalme <span dir="ltr"><<a href="mailto:fen.labalme@civicactions.com" target="_blank">fen.labalme@civicactions.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra">Totally agree. I have two federal clients each with about ten instances to scan. Easy to read results by hand, but I would like two things: 1) a summary something like:</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra"># Results from scanning instances on 20180208</div><div class="gmail_extra">Using OpenSCAP command line tool (oscap) 1.2.16</div><div class="gmail_extra">Using profile xccdf_org.ssgproject.content_<wbr>profile_stig-rhel7-disa</div><div class="gmail_extra">From XCCDF data stream file ssg-rhel7-ds.xml version v0.1.37</div><div class="gmail_extra">## Instance1</div><div class="gmail_extra">- 30 high severity controls. OpenSCAP says 23 passing,  4 failing, and  3 notchecked.</div><div class="gmail_extra">- 177 med severity controls. OpenSCAP says 136 passing, 11 failing, and 30 notchecked.</div><div class="gmail_extra">- 32  low severity controls. OpenSCAP says 28 passing,  4 failing, and  0 notchecked.</div><div class="gmail_extra">## Instance2...</div><div class="gmail_extra"><br></div><div class="gmail_extra">and 2) a feed into e.g. Graylog so I can get nice graphs of trends as the number of fails shrink ;) over time (or a warning if they go up).</div><div class="gmail_extra"><br></div><div class="gmail_extra">Trevor suggested some XSLT here:  <a href="https://lists.fedorahosted.org/archives/list/scap-security-guide@lists.fedorahosted.org/message/H7GOMUHF3LWX5ZSC5JCONLBAM6HCVYG4/" target="_blank">https://lists.fedorahosted.<wbr>org/archives/list/scap-<wbr>security-guide@lists.<wbr>fedorahosted.org/message/<wbr>H7GOMUHF3LWX5ZSC5JCONLBAM6HCVY<wbr>G4/</a></div><div class="gmail_extra"><br></div><div class="gmail_extra">And the summary above was created using XSLT from an old GovReady script here:  <a href="https://github.com/GovReady/govready/blob/master/govready#L501" target="_blank">https://github.com/GovReady/<wbr>govready/blob/master/govready#<wbr>L501</a></div><div class="gmail_extra"><br></div><div class="gmail_extra">I've got ansible-based automation in place that creates the scans now, just want to feed them to Graylog. <span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:small;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">It's not "large volumes" but enough that I want more automation.</span></div><div class="gmail_extra"><br></div><div class="gmail_extra">Do you have any suggestions? (As previously mentioned, I'm not facile in XSLT).</div><div class="gmail_extra"><br></div><div class="gmail_extra">Thanks,</div><div class="gmail_extra">=Fen</div><div class="gmail_extra"><br></div></div><div class="gmail_extra">
<br><div class="gmail_quote"><div><div class="h5">On Mon, May 14, 2018 at 7:26 PM, Geoffry Roberts <span dir="ltr"><<a href="mailto:geoffry.roberts@hedronanalytics.com" target="_blank">geoffry.roberts@<wbr>hedronanalytics.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div class="h5"><div dir="ltr">A few weeks ago I saw a thread or two where some were seeking a means of analyzing large volumes of SCAP result sets.  <div><br></div><div>I'd like to ask the community as to what extent this represents a problem?   </div><div><br></div><div>People I know who are using SCAP are scanning on a small scale and can read the results manually.  It makes sense to me that as volumes rise some form automation would be in order.  </div><div><br></div><div><div>What say ye?</div><div><br><div><div><br></div></div></div></div></div>
<br></div></div>______________________________<wbr>_________________<br>
Open-scap-list mailing list<br>
<a href="mailto:Open-scap-list@redhat.com" target="_blank">Open-scap-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/open-scap-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/open-scap-list</a><br></blockquote></div><br></div></div>
</blockquote></div><br></div>