|
|
スキャンとレポートは、まず 1 つか 2 つの少数の IP から始めることをお勧めします。レポートを確認して、検出された脆弱性を修正し、修正した内容を検証するために同じ IP を再スキャンして、レポートを入手します。この手順を習得すると、より多数の IP のスキャンも実行しやすくなります。
簡単に言うと、脆弱性スキャンが実行された、アカウント内のあらゆる IP がレポートの対象となります。IP には、ルータ、スイッチ、ハブ、ファイアウォール、サーバ(すべての一般的なオペレーティングシステム)、ワークステーション、データベース、デスクトップコンピュータ、プリンタ、ワイヤレスアクセスデバイスなど、ネットワーク上のあらゆるデバイスが含まれます。
新しい脆弱性は毎日発見されているため、脆弱性は定期的に識別して除去する必要があります。例えば、Microsoft 社では毎月第 2 火曜日にアドバイザリとパッチをリリースしており、これは“ 月例パッチ(Patch Tuesday) ”と呼ばれています。スキャンスが自動で実行されるようにスケジュール(日単位、週単位、月単位)し、同じ頻度でレポートを作成することをお勧めします。このようにすることで、ホストの最新の脆弱性情報を常に取得することができます。さらに、レポートが自動で開始されるようにスケジュール(日単位、週単位、月単位)を設定することもできます。
レポートの完了時に E メールで通知を受け取るように設定することが可能です。E メールにより、結果のサマリとレポートへの安全なリンクが通知されます。ユーザ名の下にある「User Profile」を選択して「Options」項に移動し、「Report Notification」を選択します。この他にも使用できる E メール通知があります。
スキャン時に選択するスキャン設定(オプションプロファイル、認証など)により、スキャンの実行方法と検出される脆弱性が影響を受けます。スキャンごとのスキャン結果が、参照用としてアカウント内に保存されます。スキャン結果が処理されると、ホストごとに脆弱性データが保存されます。これにより、レポートに最新の検出結果を取り込むことができます。ホストベースの検出結果を含むテンプレートベースのカスタムレポートを作成しない限り、レポートには、ホストごとに検出された最新の脆弱性データが取り込まれることに注意してください。詳細
ヒント - 常に同じスキャン設定を使用することをお勧めします。これにより、一定期間にわたるホストのセキュリティと脆弱性のトレンドについて、より正確な状況を把握することができます。
参照: パッチレポート | スコアカードレポート | 高重大度レポート | エグゼクティブレポート | テクニカルレポート | 認証レポート | PCI レポート
脆弱性をスキャンし、レポート対象の IP を表示するには、「VM/VMDR」->「Assets」->「Host Assets」を選択します。レポート対象にする IP がリストに表示されない場合は、目的の IP を追加して(またはマネージャが追加してからこのユーザに割り当て)、IP をスキャンします。IP アドレスがスキャン済みであるかどうかを確認するには、アセット検索を実行します。「Assets」->「Asset Search」を選択して、IP を入力し、「Search」をクリックします。IP アドレスがスキャン済みの場合、検索結果に表示されます。IP アドレスをクリックすると、現在の脆弱性を含むホスト情報が表示されます。
アセットグループは、ユーザが定義したホストアセット(IP アドレス)のグループです。ホストは、重要度、優先順位、所在地、所有者など、組織にとって意味のある方法でグループ化することができます。アセットグループについてレポートすると、そのグループに含まれるホストだけが取り込まれます。これにより、レポートの範囲を特定のホストのグループやネットワーク内の一部の環境に限定できるようになり、レポートの管理が容易になります。詳細
アセットタグは、アカウントにあるアセットの整理と追跡を行うためのもう一つの方法です。ホストアセットにはタグを割り当てることができます。スキャンとレポートを開始するときに、ホストに関連付けられるタグを選択できます。この動的なアプローチは、ネットワークがホストの追加と削除によって常に変化している場合であっても、特定の条件に一致するすべてのホストを含めるための優れた方法です。例えば、すべての Windows XP ホスト、またはポート 80 が開いているすべてのホストをスキャンおよびレポートします。タグを作成するには複数の方法があります。例えば、アセット検索(「Assets」->「Asset Search」を選択)からタグを作成することができます。また AssetView アプリケーションを使用して作成することもできます。詳細
IPv6 アドレスのスキャンが完了すると、マップされた IPv4 アドレスの代わりに IPv6 アドレスが表示されます(可能な場合)。例えば、脆弱性レポートとホストアセットリスト(マップされた IP の後)に IPv6 アドレスが表示されます。IPv6 スキャンを実行するためには、IPv6 スキャンを有効にする必要があります。サポートまたはテクニカルアカウントマネージャにお問い合わせください。IPv6 スキャンを開始する方法: 詳細
レポートにセキュリティリスクスコアを表示するには、1)テンプレートベース(「Reports」->「New」->「Scan Report」->「Template Based」)を選択し、2)テンプレートで定義されている「Host Based Findings」を含むスキャンレポートを作成する必要があります。
レポートサマリには、レポート全体のセキュリティリスクスコアが表示され、詳細な結果には、ホスト別のセキュリティリスクスコアが表示されます。
レポート全体のスコア - これは、レポート内のすべてのホスト(フィルタに一致するすべてのホスト)のセキュリティリスクの平均値です。これは、レポート内のすべてのホストのセキュリティリスクスコアの合計をホスト数で除算して計算されます。
レポート全体のセキュリティリスクの平均値の計算には、次の数式が使用されます。
ホスト別のスコア - 各ホストのスコアは、検出された重大度の平均値、または検出された最も高い重大度のいずれかになります。使用される計算方法は、「Reports」->「Setup」->「Security Risk」でのサブスクリプション設定に基づきます。サブスクリプション設定は、マネージャのみが変更できます。ホスト別のセキュリティリスクの計算には、すべての脆弱性と潜在的な脆弱性が含まれます。(Express Lite ユーザの場合、常に重大度の平均値が使用されます)。
レポートがホストごとに分類されない場合レポートがホストごとに分類されない場合
レポートの「Detailed Results」項に表示されるセキュリティリスク値は、分類基準(ホスト、オペレーティングシステム、アセットグループなど)に一致するすべてのホストのセキュリティリスクです。
例えば、ホストで分類すると、各ホストのセキュリティリスクが表示されます。オペレーティングシステムで分類すると、すべてのホストのセキュリティリスクがオペレーティングシステムとともに表示されます。アセットグループで分類すると、アセットグループにあるすべてのホストのセキュリティリスクが表示されます。その他の分類基準にも同じ方法論が適用されます。
ホスト別のスコアが表示されない場合ホスト別のスコアが表示されない場合
スキャンレポートテンプレートを編集して、「Display」->「Detailed Results」で「Text Summary」が選択されていることを確認してください。
スキャンレポートには、アセットグループのビジネスリスクの評価が表示されます。次のスキャンレポートを作成する必要があります。1)テンプレートベース(「Reports」->「New」->「Scan Report」->「Template Based」)を選択し、2)レポート対象としてアセットグループが選択され、3)スキャン結果で「Status」または「Status and Trend」が設定され、4)詳細な結果がアセットグループで分類されたスキャンレポートを作成する必要があります。アセットグループのビジネスインパクトレベルとセキュリティリスクは、ビジネスリスクの評価を計算する際に使用される要素です。マネージャは、「Reports」->「Setup」->「Business Risk」を選択してレポートのビジネスリスクの計算方法を設定できます(Express Lite ユーザはこの設定を編集できません)。
セキュリティリスクが 2 つの値の間にある場合、2 つの値の間の線形補間が計算されます。
例 1: セキュリティリスクが 3.4 で、ビジネスインパクトが「High」の場合例 1: セキュリティリスクが 3.4 で、ビジネスインパクトが「High」の場合
セキュリティリスク 4 のビジネスリスク = 36、
セキュリティリスク 3 のビジネスリスク = 16 であるため、
セキュリティリスク 3.4 のビジネスリスク = 16 + [0.4 * (36-16)] = 24 になります。
例 2: セキュリティリスクが 4.7 で、ビジネスインパクトが「Critical」の場合例 2: セキュリティリスクが 4.7 で、ビジネスインパクトが「Critical」の場合
セキュリティリスク 5 のビジネスリスク = 100、
セキュリティリスク 4 のビジネスリスク = 64 であるため、
セキュリティリスク 4.7 のビジネスリスク = 64 + [0.7 * (100-64)] = 89.2* になります。
(*小数点以下は切り捨てられるためビジネスリスクは 89 と表示されます)
レポートはテンプレートベースであるため、容易にレポート設定を変更し、レポートを再実行することで、脆弱性データとセキュリティリスクを別の視点から確認することができます。既存のレポートテンプレートを設定し、新しいテンプレートを作成できます。詳細
特定の QID(静的な検索リスト)、または指定した検索条件に一致する QID(動的な検索リスト)によるフィルタをレポートに適用するために、脆弱性スキャンレポートテンプレートに検索リストを追加します。スキャンテンプレートで「Filter」項へ移動し、「Selective Vulnerability Reporting」で「Custom」を選択します。次にアカウントからカスタム検索リストを追加するか、またはライブラリから検索リストをインポートします。カスタム検索リストを作成するには、「Reports」->「Search Lists」->「New」を選択します。
新しいスキャンレポートテンプレートを作成するときは(Reports」->「Template」->「New」->「Scan Template」)、ステータス(「New」、「Fixed」、「Re-Opened」、「Active」)を選択して脆弱性をフィルタできます。これらのフィルタは、テンプレートで「Host Based Findings」(「Findings」タブ)が選択されている場合にのみ適用されます。
検索リストを使用すると、公開日に基づく脆弱性を含むレポートを簡単に作成できます。詳細
1 つの Linux ホストで複数のカーネルが検出されることもあります。デフォルトでは、すべての Linux カーネルで見つかったすべての脆弱性がレポートされます。実行されていないカーネルで検出された脆弱性を表示する場合は、「Display non-running kernels」オプションを選択します。実行されていないカーネルで検出された脆弱性を除外する場合は、「Exclude non-running kernels」オプションを選択します。一度に選択できるのは 1 つのオプションだけです。これらのオプションは、スキャンレポート、パッチレポート、スコアカードレポートで利用できます。
これらのオプションが表示されない場合これらのオプションが表示されない場合
まず、マネージャが、「Users」->「Setup」->「Security」を選択して、新しいデータセキュリティモデルを有効にする必要があります。選択した後、レポート対象のホストで脆弱性スキャンを実行します。
ホストで実行されているカーネルを特定する方法ホストで実行されているカーネルを特定する方法
各 Linux ホストで実行されているカーネルは、収集情報 QID 45097 でレポートされています。
このフィルタを選択すると、実行されていないポートやサービスで見つかった脆弱性がレポートから除外されます。このフィルタは、特定の QID にのみ適用されます。スキャンレポート、パッチレポート、スコアカードレポートにこのフィルタを適用します。
このフィルタが適用される QIDこのフィルタが適用される QID
このフィルタは、特定の QID にのみ適用されます。テンプレートの「View QIDs」リンクをクリックして、QID を表示します。KnowledgeBase で検索することもできます。「VM/VMDR」->「KnowledgeBase」を選択して、検索オプションの「Non-running services」を選択します。このフィルタが適用される QID の横に が表示されます。
ホストで、脆弱であると判断されたソフトウェアが検出されたものの、ホストに特定の設定があるため、その悪用が不可能になっている場合があります。このフィルタを選択すると、ホストの設定のためにその悪用が不可能な脆弱性が除外されます。スキャンレポート、パッチレポート、スコアカードレポートにこのフィルタを適用します。
このフィルタが適用される QIDこのフィルタが適用される QID
このフィルタは、特定の QID と設定にのみ適用されます。テンプレートの「View QIDs」リンクをクリックして、QID を表示します。KnowledgeBase で検索することもできます。「VM/VMDR」->「KnowledgeBase」を選択して、検索オプションの「Not exploitable due to configuration」を選択します。このフィルタが適用される QID の横に が表示されます。
このオプションは、スキャンレポートテンプレートの「Filters」の下に表示されます。このオプションを選択すると、同じホストに対して推奨されている別の Microsoft パッチ QID によって置換された Microsoft パッチ QID を除外できます。未適用のパッチは、他の脆弱性と同様に QID で特定されます。
検索リストを使用している場合検索リストを使用しているカスタム脆弱性レポートでは、検索リストにより、置換ロジックから得られる結果が、レポートに含まれる限定的な範囲の QID によって変更される場合があります。検索リストがレポート出力に及ぼす影響について
注記:
- このフィルタは、テンプレートで「Host Based Findings」(「Findings」タブ)が選択されている場合にのみ適用されます。
- このフィルタは、オペレーティングシステム(OS)レベルのパッチ QID にのみ適用されます。
XML 形式のスキャンレポートで、<GLOSSARY> タグを除外して、レポートのサイズを小さくすることができます。このタグが記載されるかどうかは、スキャンレポートテンプレートの「Vulnerability Details」のサブオプション(「Threat」、「Impact」、「Results」など)の選択状況によって決まります。これらのオプションは、テンプレートの「Display」タブに表示されます。
- 「Vulnerability Details」のサブオプションが何も選択されていない場合、<GLOSSARY> タグは XML 形式のレポートから 除外されます。
- 「Vulnerability Details」のサブオプションが 1 つでも選択されている場合、<GLOSSARY> タグは XML 形式のレポートに記載されます。
スキャンが完了している必要があります。スキャンリストのスキャンステータスに「Finished」と表示されていれば、スキャンは完了しています。
また、スキャン結果の準備も必要です。スキャンが完了すると、スキャン結果はアカウントにマージ(処理)されます。このプロセスでは、ホストごとにスキャンの検出結果が索引付けされます。スキャンリストのスキャンの横にある緑色で塗りつぶされた円 は、スキャン結果が処理されたことを示します。これでレポートを開始する準備が整いましたので、処理済みのスキャンから脆弱性データが取り込まれます。
当社は数百のアプリケーションやオペレーティングシステムにわたる 26,000 以上の脆弱性が登録された業界で最も包括的な脆弱性 KnowledgeBase を保有しています。バックドアとトロイの木馬、総当たり攻撃、CGI、データベース、DNS と Bind、電子商取引アプリケーション、ファイル共有、FTP、ファイアウォール、リモートサービス全般、ハードウェアおよびネットワークアプライアンス、メールサービス、SMB/Netbios Windows、TCP/IP、VMware、VoIP、Web サーバ、ワイヤレスアクセスポイント、X-windows など、広範囲のカテゴリで脆弱性をスキャンします。脆弱性カテゴリの詳細なリストは、KnowledgeBase の「Search」オプションで確認できます。
当社では、新たな脅威の出現に応じて、エンジニアが毎日脆弱性シグネチャの作成にあたっています。これらのシグネチャは、クォリス品質保証ラボの厳しいテストを通過すると、次回のスキャンで自動的に使用できるようになります。ユーザによる操作は不要です。さらに、新たに検出が可能になった脆弱性の詳細が記載された脆弱性シグネチャ更新 E メール(毎日/毎週発行)に登録することができます。