「Scan 」タブでは、スキャンするポート、スキャンする QID、認証を含めるかどうか、スキャンパフォーマンス設定などのスキャン設定を行うことができます。
下記の項に移動します。
|
|
ポートは、ホストが稼動中であるかどうかを判別するためのパケットを送信するために使用されます。また、サービス検出のためのフィンガープリンティングを実行するためにも使用されます。プロファイルで別のオプションが選択されない限り、TCP ポートの標準リストがスキャンされます。「Full」を選択するとすべてのポートがスキャンされます。「Light Scan」を選択すると一部のポートがスキャンされます。「Additional」を選択し、表示されたフィールドにポートを入力することで、スキャンにポートのカスタムリストを追加することもできます。
このオプションを有効にすると、対象のホストでスリーウェイハンドシェイクが実行されます。サービスと対象のホストとの間で接続が確立されると、この接続は終了します。このオプションを有効にする必要があるのは、SYN パケットの後に RST パケットが許可されない設定の場合のみです。また、このオプションが有効になっている場合、対象のホストで TCP ベースの OS 検出が実行されません。TCP ベースの OS 検出が行われないと、対象のホストにインストールされているオペレーティングシステムを識別して OS 固有の脆弱性チェックを実行できない場合があります。
ポートは、ホストが稼動中であるかどうかを判別するためのパケットを送信するために使用されます。また、サービス検出のためのフィンガープリンティングを実行するためにも使用されます。プロファイルで別のオプションが選択されない限り、UDP ポートの標準リストがスキャンされます。「Full」を選択するとすべてのポートがスキャンされます。「Light Scan」を選択すると一部のポートがスキャンされます。「Additional」を選択し、表示されたフィールドにポートを入力することで、スキャンにポートのカスタムリストを追加することもできます。
UDP ポートの完全スキャンの実行を選択する場合は、対象ホストにおいてこのスキャンが実行可能であるかどうかを事前に判別しておく必要があります。ほとんどの UDP パケットをブロックまたはドロップするように設定されたファイアウォールでホストが保護されている場合や、ICMP Port Unreachable パケットの送信速度に制限がある場合(例えば、1 秒あたりで 1 ICMP パケット)、フル UDP ポートスキャンにかかる時間は大幅に増大します。このような場合は、完全スキャンの代わりに、デフォルトの UDP ポートに対する標準スキャンが自動的に実行されます。
トラフィックはポートがスキャンされている場合に発生しますが、これ以外の理由(OS の検出、ルータ/ファイアウォールの検出、パスの分析、ポートマッピング分析など)でも発生することがあります。このような場合、実際にはスキャンしないのにポートにデータが送信されることがあります。“ スキャンするポート ”のリストは、スキャン時のトラフィックを制御できるだけで、これ以外のタイプのトラフィックは制御できません。ポートのスキャンとは関係がない理由でポートへのアクセスが必要になる状況が多数存在します。スキャン対象のポートのリストには示されていないポートでも、スキャン中にネットワークトラフィックを受信することは考えられますが、これはポートがスキャンされているということではありません。
このオプションを有効にすると、ライトポートスキャンおよびカスタマイズポートリストのスキャンの結果が、スキャンされたポートで検出された脆弱性だけでなく、対象のホストのすべての脆弱性のステータスに影響を及ぼします。詳細
オプションプロファイルの「Additional」タブでホスト検出のポートを選択します(スキャンとマップの両方に影響)。詳細
オプションプロファイルの「Map」タブで基本情報収集のためのポートを選択します(マップに影響)。詳細
Dead Host(反応のないホスト)とは、Qualys からの ping に応答しなかった到達不能なホストのことです。通常は、反応のないホストに対する無駄なスキャン時間を避ける必要があります。反応のないホストに対するスキャンは選択できますが、スキャン時間が大幅に増加することにご留意ください。
所定の回数のスキャンを行った後、稼働していないと判断されたホストの脆弱性を簡単にクローズできます。この機能を有効にすると、反応のないホストに関連付けられている既存のチケットが「Closed/Fixed」としてマークされ、脆弱性ステータスが「Fixed」に更新されます。
注記:
- この機能を使用する場合、同じオプションプロファイルの「TCP Ports」と「UDP Ports」の両方に「Full」または「Standard」オプションを選択する必要があります。これは、ライトスキャンの脆弱性はクローズされないためです。
- この機能はサブスクリプションで有効になっている必要があります。機能を有効にするには、アカウント管理者かサポート担当者にご連絡ください。
注記 - サブスクリプションでこの機能が有効になっている必要があります。機能を有効にするには、アカウント管理者かサポート担当者にご連絡ください。
このオプションは、システムが定期的に使用されなくなったり、入れ替えられたりする場合に便利です。このオプションを有効にすると、オペレーティングシステムのベンダの変更(例えば OS の Linux から Windows へ、または Debian から Ubuntu への変更)を検出すると、ホストがパージされます。Linux 2.8.13 から Linux 2.9.4 の変更など、OS バージョンの変更では、ホストはパージされません。
重要 - パフォーマンス設定は、対象ネットワークと利用可能な帯域リソースに精通したユーザによってのみカスタマイズ可能です。
パフォーマンス設定を行って、スキャンの強度を調整します。デフォルトではパフォーマンスレベルに「Normal」が選択されています。これはほとんどの場合に推奨される設定です。別のパフォーマンスレベルに変更するには、「Configure」をクリックします。カスタムのレベルも定義できます。「Overall Performance」で「Custom」を選択して、設定を行ってください。詳細については、「スキャンのパフォーマンス設定」を参照してください。
「Scan」項でロードバランサの検出が有効になっている場合、対象の各ホストについて、ロードバランサであるかどうかがチェックされます。ロードバランサが検出されると、接続された Web サーバ数の特定が試みられ、結果に QID #86189「ロードバランシングデバイスの存在を検出(Presence of a Load-Balancing Device Detected)」が出力されます。
パスワード総当たり攻撃は、パスワード解析の手法に対してホストがどの程度脆弱であるのかを調べるために使用します。総当たり攻撃の対象となりやすいのは、FTP、ssh、Windows を実行しているホストです。「System」を選択すると、スキャンされた対象の各ホストで検出されたログイン ID に対してパスワードの推測が試みられます。総当たり攻撃のレベルとして、「Minimal」から「Exhaustive」までのオプションを選択します。ユーザが独自に試みるログイン/パスワードの組み合わせを設定するには、「Custom」を選択します。詳細
このオプションは、「Scans」->「Setup」->「Max Scan Duration per Asset」で、マネージャがサブスクリプションの機能を有効にした場合のみ表示されます。
サブスクリプションが有効化されると、ユーザは各自のオプションプロファイルでこのオプションを有効にできます。「Set maximum scan duration of <number> minutes per asset」オプションを選択し、1 つのアセットに対して許可するスキャン時間を分数(30 ~ 2880)で入力します。
1 つのアセットに対するスキャンが、オプションプロファイルで指定した時間を超過した場合、そのアセットに対するスキャンは中断され、次の対象でスキャンが継続されます。「Scan Status」ページには、オプションプロファイルの指定時間を超過したホストのリストが表示されます。詳細
ホストをスキャンするときには、最初にホストに関する情報がスキャナによって収集され、その後、ホストで該当する KnowledgeBase のすべての脆弱性(QID)がスキャンされます。これは「Complete」脆弱性スキャンです。
選択した QID のリストにスキャン対象を制限する場合は、「Vulnerability Detection」の「Custom」を選択します。次に、スキャンの対象にする QID を含む検索リストを追加します。例えば、特定の製品、オペレーティングシステム、またはカテゴリに関連する脆弱性のみをスキャンすることができます。
「Select at runtime」オプションを使用すると、1 回限りのカスタムスキャンを開始することができます。スキャン時に、スキャンに含める脆弱性を選択するように求められます。この脆弱性のリストはプロファイルには保存されず、このオプションはスケジュールスキャンでは使用できません。
「Basic host information checks」は、DNS ホスト名、NetBIOS ホスト名、オペレーティングシステムなどを確認します。ホストに対してこの情報が取得されると、スキャンレポート、ホストアセットリスト、改善チケットなどに表示されます。この種のチェックは完全スキャンには常に含まれています。しかし、カスタムスキャンを実行中の場合は、プロファイルでこのオプションを選択する必要があります。選択しない場合、基本ホスト情報はチェックされません。
「OVAL checks」をスキャンするには、以下で説明するように、「Vulnerability Detection」項にある検索リストを使用します。同じオプションプロファイル内で、Windows 認証も有効になっている必要があります。詳細については、詳細
すべての OVAL 脆弱性をスキャンするには: QID 105186 を含む検索リストを追加し、「Include」項にある「OVAL checks」オプションを選択します。
選択した OVAL 脆弱性のみをスキャンするには: QID 105186 に加えて、特定の OVAL QID を含む検索リストを追加します。
QID 105186 について: QID 105186「ユーザ指定の検出実行中のエラー(Errors During Execution of User-Provided Detections)」は、レポートされたエラーなど OVAL 検出について重要な情報を提供する診断 QID であり、OVAL 検出に失敗した場合に役に立ちます。
「Complete」オプションは使用可能かはい、すべての OVAL 脆弱性をスキャンする「OVAL checks」と同時に脆弱性検出の「Complete」を使用できますが、このスキャンには QID 105186 は含まれません。これが検索リストの使用をお勧めする理由です。
「Excluded QIDs」オプションを選択し、除外する QID を含む 1 つ以上の検索リストを追加します。このリストはスキャン時にスキャンエンジンによって参照され、可能であればスキャンから除外されます。「Exclude QIDs」オプションは、トラフィックのブロックメカニズムとして意図されているものではないということを理解しておくことが重要です。このオプションは、特定の QID のみに関心があるユーザに対して、スキャン時間削減のために提供されているものです。
チェック(回線上に発生するスキャントラフィック)と QID との間に必ずしも 1 対 1 の対応が成り立つわけではないからです。チェックの多くは QID と直接関連付けられていますが、すべてでははりません。除外した QID でもチェックが引き続き実行され、関連するネットワークトラフィックが発生する場合があります。QID に必要なデータは、スキャン時に複数の場所から収集されており、スキャンの開始時にはスキャンに含まれている QID に対してどのチェックが必要になるのかは判明していない場合があるため、除外された QID に対するチェックが実行されることがあります。
干渉型チェックは、デフォルトではスキャンから除外されており、これをスキャンに含めるには設定が必要になります。干渉型チェックは、カスタム検索リストに含まれている場合であっても、明示的に含める必要があります。リモートの脆弱性の中には、この脆弱性の侵害を試行することによってしか、実効的に検出できないことがあります。Qualys では、この侵害の試行が無害であることを確証しようとしていますが、完全に保証できるものではありません。
干渉型のチェックは、リモートシステムを不安定な状態のままにする可能性があります。干渉型 QID は、スキャンのオプションプロファイルで「Do not exclude Intrusive checks」オプションを選択している場合にのみ、スキャンに含まれます。オプションプロファイルを保存するときに、このオプションが選択されていると、UI に警告が表示されます。これにより、この設定を間違って選択していた場合に、前に戻って設定を変更することが可能になります。
認証を使用すると、提供された資格情報を使用してスキャナがシステムにリモートでログインできるようになります。システムにログインすることで、更に徹底したテストの実行が可能になります。
認証スキャンを始める前に、使用するテクノロジの認証レコードを設定する必要があります。レコードを作成するには、「Scans」->「Authentication」を選択します。
このオプションプロファイルでは、実行する認証のタイプ(Windows、Unix、Oracle など)を選択します。詳細については、詳細
Unix 認証を有効にして、このオプションを選択すると、Unix 認証に必要な最低限の権限を使用できます。これを選択すると、スキャナは、脆弱性スキャンを行うスキャナに対して、Unix レコードで指定されたルート権限委譲情報を渡さないため、スキャナは必要とされない昇格ルート権限でのチェックを実行しません。詳細
このオプションをオンにすると、簡単なカスタムスキャンを実行して、対象ホストに対する認証をテストできます。これにより、完全スキャンを実行する前に、認証資格情報に関する問題を特定することができます。「Scan Results」レポートの「Appendix」項に、認証に成功/失敗したホストの一覧が表示されます。ここには、スキャンに含まれる QID のカスタムリストも表示されます。
「Test Authentication」を選択すると、同時に以下のオプションが有効になります。
- すべての認証タイプ(必要のないタイプをクリアしても問題ありませんが、少なくとも 1 つは残す必要があります)
- 完全な脆弱性の検出(ただし、QID のカスタムリストのスキャンのみ実行)
- TCP/UDP ポートの標準スキャン(「None」以外の別のオプションへの切り替えが可能)
Pay Per Scan アカウントを使用する場合、「Test Authentication」を有効にしたスキャンは、アカウントのスキャン回数としてカウントされません。
「Scan」タブで「Additional Certificate Detection」オプションを有効にすると、ホストのポート以外の場所でも証明書が検出されるようになります。このオプションを使用すると、今までポートに限られていた証明書の検出範囲が拡張されます。
Dissolvable Agent(エージェント)は、特定のスキャン機能(Windows 共有の列挙など)で必要になります。エージェントは、サブスクリプションで承認されている必要があります。マネージャは、「Scans」->「Setup」->「Dissolvable Agent」を選択することで、エージェントを承認できます。マネージャによって承認されると、スキャンのパーミッションを持つすべてのユーザは、オプションプロファイルの編集で「Enable the Dissolvable Agent」を選択するだけで、各自のスキャンで Dissolvable Agent を有効にできます。
処理の概要スキャン時に、データ収集のためのエージェントが Windows デバイスにインストールされます。スキャンが完了すると、エージェントは対象システムから完全に削除されます。
すべてのユーザから読み取りが可能な Windows 共有を見つけて、共有されているファイルの数やファイルが書き込み可能であるかどうかなどの詳細をレポートするには、Windows 共有の列挙を使用します。これは、より厳格なアクセス制御が必要だと考えられるファイルのグループを識別するのに便利です。このセキュリティテストは QID 90635 を使用して実行されます。
設定で、1)Dissolvable Agent が有効であること、2)QID 90635 が「Vulnerability Detection」項に含まれていること、3)Windows 認証レコードが定義されていることを確認してください。詳細
オプションプロファイルの「Enable Lite OS detection」オプションを選択します。このオプションが有効化され、QID 45017 がスキャンに設定されていると、スキャンジョブにより、最初のホスト検出段階からのみ不経済な OS 検出方法が削除されます。これらの方法は、他の QID 検出でこれらが必要な場合には脆弱性テストで実行されます。ただし、基本的なホストのインベントリ情報が収集される際のホスト検出の方法にはなりません。詳細
認証スキャンの実行時に、ロギング、IP などの防御を下げるために、スキャンに特定の HTTP ヘッダ値を追加できます。この値は、「Qualys-Scan:」ヘッダで使用されます。このヘッダは、多くの CGI および Web アプリケーションのフィンガープリンティングチェックで設定されます。一部の検出および Web サーバフィンガープリンティングチェックでは、このヘッダは使用されません。ヘッダは、プレーンテキストで送信されるため、単独でセキュリティコントロールを回避するメカニズムにはなりません。
このオプションを使用して、クイックスキャンを開始し、他のスキャンテストを実行することなく対象ホストのどれが稼働中であるかを判断できます。スキャン結果レポートの「Appendix」項に、稼働中のホストと稼働中でないホストが表示されます。稼働中と判断されたホストの結果に、情報収集の QID が表示される場合があります。
このオプションが選択されている場合、対象ホストのオペレーティングシステムは更新されません。この機能は、ライトスキャンまたはカスタムスキャンの実行中に、前回のスキャンで検出された OS を上書きしたくない場合に特に役立ちます。