スキャンおよびレポート対象のアセットの論理グループを作成する際に、アセットグループを使用すると便利です。必要に応じて、アセット(ホスト、ドメイン、アプライアンス)を複数のグループに割り当てることができます。
「Assets」->「Asset Groups」を選択します。「New」->「Asset Group」を選択します。既存のアセットグループを編集するには、「Quick Actions」メニューから「Edit」を選択します。
手順は簡単です。IP を追加するには、「IP」項を選択します。また、ドメインを追加するには、「Domains」項を選択します。追加する IP とドメインを入力するかまたは選択します。別のアセットグループから IP をコピーすることもできます。作業が終わったら、グループを保存します。
アプライアンスを追加して、アセットグループで定義したホストのスキャンにどのアプライアンスを使用するかを管理できます。
次の方法で実行可能です。
1)グループ内のアプライアンスを使用してアセットグループをスキャンします。デフォルトでは、最大 5 つのアプライアンスが使用されます。これは、アカウントでカスタマイズできます。詳細
2)グループ内のデフォルトのアプライアンスを使用してアセットグループをスキャンします。
入力したビジネス情報は、アセットグループのホストに関するレポート生成の際にも使用できます。
ビジネスインパクトレベルの選択ビジネスインパクトレベルの選択
選択したビジネスインパクトレベルは、グループのすべてのホストに自動で適用されます。ビジネスインパクトのレベルによって、組織にとって最も重要なアセットグループを判断できます。インパクトのレベルが高いほど、危険な状態に置かれた場合のビジネス損失の危険性が高くなります。例えば、デスクトップシステムのグループよりもミッションクリティカルなアプリケーションを実行しているサーバのグループの方に高いインパクトレベルを適用できます。アセットグループにインパクトレベルを割り当てないと、「High」(または同等)が適用されます(ヒント: マネージャは、「VM/VMDR」->「Reports」->「Business Risk Setup」を選択して、ビジネスインパクトのタイトルをカスタマイズできます)。
「Division」、「Function」、「Location」の値の入力「Division」、「Function」、「Location」の値の入力
スコアカードレポートを生成する場合、このビジネス情報を使用して、レポートに含めるホストをフィルタリングできます。例えば、「Division」が「Finance」に設定されているアセットグループのみを含めたり、「Division」が「Finance」に設定され、「Function」が「On-line Banking」に設定されているアセットグループのみを含めたりします。
サブスクリプションで CVSS スコアが有効な場合、「Business/CVSS Info」項に CVSS 環境評価基準を設定するオプションが表示されます。選択した内容は、このアセットグループのホストの CVSS スコアを決定する際のレポートで使用されます。
CVSS 環境評価基準についてCVSS 環境評価基準について
CVSS 環境評価基準は、ユーザの IT 環境に関連する脆弱性の特徴を把握するために使用します。アセットグループに定義された値は、そのアセットグループのすべてのホストに適用されます。
「Collateral Damage Potential」は、物理的な装置の損失や資産の損害の可能性を示します。指定可能な値の表示指定可能な値の表示
「Not Defined」 -評価基準に対してこの値を設定しても、スコアには影響しません。CVSS スコアの計算では、この評価基準が無視されます。
「None」 -人命、物理的資産、生産性、収益の損失の可能性はありません。
「Low」 -この脆弱性が悪用されると、物理的または資産に小規模な損害が発生する可能性があります。または、組織の収益または生産性に小規模な損失が発生する可能性があります。
「Low-Medium」 -この脆弱性が悪用されると、物理的または資産に中規模な損害が発生する可能性があります。または、組織の収益または生産性に中規模な損失が発生する可能性があります。
「Medium-High」 -この脆弱性が悪用されると、物理的または資産に大規模な損害が発生する可能性があります。または、組織の収益または生産性に大規模な損失が発生する可能性があります。
「High」 -この脆弱性が悪用されると、物理的または資産に重大な損害が発生する可能性があります。または、組織の収益または生産性に重大な損失が発生する可能性があります。
「Target Distribution」は、脆弱性の影響を受ける対象システムの領域の相対的な規模を示します。指定可能な値の表示指定可能な値の表示
「Not Defined」 -評価基準に対してこの値を設定しても、スコアには影響しません。CVSS スコアの計算では、この評価基準が無視されます。
「None」 -対象システムが存在しないか、試験環境での設定にしか存在しないほど特殊です。事実上、環境にリスクはありません。
「Low」 -対象は環境内に存在していますが、小規模です。環境全体の 1 ~ 25% がリスクにさらされています。
「Medium」 -対象は環境内に存在しており、中規模です。環境全体の 26 ~ 75% がリスクにさらされています。
「High」 -対象は環境内に存在しており、大規模です。環境全体の 76 ~ 100% がリスクにさらされています。
次のセキュリティ要件評価基準により、ユーザの組織に対する該当ホストの重要度に応じて、ユーザは最終的な CVSS スコアをカスタマイズできます。
「Confidentiality Requirement」は、機密性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。
「Integrity Requirement」は、整合性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。
「Availability Requirement」は、可用性の損失が組織または組織に関連する個人(例えば、従業員や顧客)に与える影響を表します。
セキュリティ要件評価基準に指定可能な値の表示セキュリティ要件評価基準に指定可能な値の表示
次に、「Security Requirements」評価基準に割り当て可能な値を示します。
「Not Defined」 -評価基準に対してこの値を設定しても、スコアには影響しません。CVSS スコアの計算では、この評価基準が無視されます。
「Low」 -要件が満たされなくても、組織や組織に関連する個人(従業員、顧客など)への悪影響は限定的です。
「Medium」 -要件が満たされない場合、組織や組織に関連する個人(従業員、顧客など)に大きな悪影響があります。
「High」 -要件が満たされない場合、組織や組織に関連する個人(従業員、顧客など)に重大な悪影響があります。
Scan by Hostname 機能が有効になっている場合、アセットグループに DNS ホスト名と NetBIOS ホスト名を追加するオプションが表示されます。DNS 名は「DNS」項に追加し、NetBIOS 名は「NetBIOS」項に追加します。アセットグループのこれらの項を編集できるのは、マネージャに限られます。グループには Scanner Appliance を追加する必要があります。追加する Scanner Appliance は、グループのホスト名を IP アドレスに解決できる必要があります。
グループに IP アドレスを追加することができます。アセットグループがスキャンされるときには、DNS ホスト名と NetBIOS ホスト名、および IP アドレスも含めたグループにあるすべてのアセットがスキャンされます。
ホスト名が正しい書式であることの確認ホスト名が正しい書式であることの確認
DNS ホスト名と NetBIOS ホスト名を追加すると、そのホスト名が正しい書式であることを確認するための検証が行われます。ホスト名が以下の要件を満たしていない場合は、エラーが表示されます。書式を修正して、再度検証します。
DNS ホスト名は、FQDN(完全修飾ドメイン名)の書式設定の要件に従っている必要があります。ホスト名にはドットで区切られた 2 つ以上のラベルを含めることができます。各ラベルには英数字とハイフンを最大 63 文字まで含めることができます。ただし、ハイフンをラベルの最初または最後に使用することはできません。最後のラベル(右端のラベル)には、英字のみを 2 文字以上を含める必要があります。
有効な DNS ホスト名の例を次に示します。
qualys.com
corp.qualys.com
host30-2-100.corp.qualys.com
NetBIOS ホスト名には、英数字と次の特殊文字を最大 15 文字まで含めることができます。
! @ # $ % ^ & ( ) - _ ' { } .~
この情報は、マネージャがアセットグループを編集する場合に表示されます。ユーザアカウントの詳細を表示するには、「Users」項でリストからユーザを選択し、「View」ボタンをクリックします。
マネージャとユニットマネージャは、アセットグループの作成時ではなく、グループを編集する際に、アセットグループの所有者を変更できますグループを編集して、「Owner」メニューからユーザを選択します。「Owner」メニューに表示される割り当て先は、変更を行うマネージャのロールや現在の所有者のロールおよびビジネスユニットによって異なります。
アセットグループの所有者は、マネージャ、ユニットマネージャ、スキャナのいずれかです。
処理を行うユーザ |
現在の所有者 |
割り当て可能な新しい所有者 |
マネージャ |
「Unassigned」ビジネスユニットのマネージャまたはスキャナ |
「Unassigned」ビジネスユニットのマネージャまたはスキャナ |
マネージャ |
カスタムビジネスユニットのユニットマネージャまたはスキャナ |
「Unassigned」ビジネスユニットのマネージャ |
ユニットマネージャ |
カスタムビジネスユニットのユニットマネージャまたはスキャナ |
現在の所有者と同じビジネスユニットのユニットマネージャまたはスキャナ |
スケジュールタスクとの矛盾についてスケジュールタスクとの矛盾について
アセットグループの所有者を変更すると、スケジュールタスクとの間に矛盾が生じる場合があります。この矛盾は、そのアセットグループが対象として指定されているスケジュールタスクの所有者がそのグループを利用できなくなることで発生します。
新しい所有者でアセットグループを保存すると、スケジュールタスクとの矛盾を解決するようにというメッセージが確認ページに表示されます。「View Report」ボタンをクリックすると、変更によって影響を受けるスケジュールタスクのリストを表示することができます。確認後、各スケジュールタスクを編集し、新しい対象を割り当てます。次の実行時までにスケジュールタスクに有効な対象を割り当てないと、そのスケジュールタスクは自動的に無効化され、タスクの所有者に E メールで通知が届きます。
スキャナからユニットマネージャまたはマネージャへの所有者の変更スキャナからユニットマネージャまたはマネージャへの所有者の変更
所有者をスキャナからユニットマネージャまたはマネージャに変更した後、新しい所有者は矛盾を回避するために、ユーザのアカウントを編集してアセットグループをそのユーザに割り当て直すことができます。
ユニットマネージャからマネージャへの所有者の変更ユニットマネージャからマネージャへの所有者の変更
アセットグループの所有者をユニットマネージャからマネージャに変更した場合、アセットグループは自動でビジネスユニットに継承されるため、ビジネスユニットのユーザは使用を継続することができます。
アセットグループリストに「ID」カラムを表示します。右側のリストの上部にある「Tools」メニューを選択して、「Columns」->「ID」を選択します。ID は、プレビューウィンドウと「Asset Group Information」ページにも表示されます。
「Assets」->「Asset Groups」を選択します。リスト内で 1 つ以上のアセットグループのチェックボックスを選択し、リスト上部の「Actions」メニューから「Delete」を選択します。「View Report」ボタンのある確認ウィンドウが表示されます。そこに、削除されるアセットグループにまだ関連付けられているオブジェクト(ビジネスユニット、スケジュールタスク、レポートテンプレートなど)が表示されます。次に進む前に、新しいアセットグループを関連付けて、オブジェクトをクリーンアップすることをお勧めします。アセットグループを削除すると、ビジネスユニットおよびレポートテンプレートが空または無効になる場合があります。対象がなくなったスケジュールタスクは、次回のスケジュール実行時に自動的に非アクティブ化されます。
サブスクリプションでアセットタグ付けが有効になると、サブスクリプションの各アセットグループに対して、AssetView でアセットタグがシステムによって作成されます。AssetView からシステム生成のタグを削除することはできませんが、アセットグループを削除すると、対応するタグも削除されます。
ビジネスユニット(BU)にアセットグループを割り当て、BU ユーザにこれらのアセットグループ内のホスト、ドメイン、アプライアンスへのアクセス権を付与するのはマネージャです。BU ユーザ(ユニットマネージャ、スキャナ、リーダ)は、BU アセットグループ内のホスト、ドメイン、アプライアンスを含む、個人のアセットグループを作成できます。
BU アセットグループを変更すると、次の内容に影響します。
- BU ユーザが表示できるアセット
- 自身の個人アセットグループに表示できるアセット
アセットグループについて | アセットの整理 | スキャン - 基本事項 | Scan by Hostname | ビジネスユニットの設定