スキャンレポートには、アカウント内のホスト(実行時に選択するホスト)に関する現在の脆弱性情報が含まれています。レポートの詳細レベルは、レポートのテンプレート設定に基づきます。
|
スキャンレポートを使用すると、検出した脆弱性のトレンドの分析、スキャンデータの分類および選別、グラフレポートの生成、ネットワークセキュリティ全体の概要を表示するエグゼクティブレポートの作成が可能になります。
「VM/VMDR」->「Reports」->「Templates」を選択します。実行するスキャンレポートテンプレートの上にマウスポインタを合わせて、「Quick Actions」メニューから「Run」を選択します。
レポートの実行時にレポート対象を選択します。スキャンの検出結果を持つ対象のホストが含まれるようになります。ホストを含めるには、次の条件がすべて満たされていなければなりません。
- 脆弱性スキャンの対象である。
- スキャン時にアクティブである(稼働している)ことが検出される。
- ホストスキャンが正常に実行され、結果(スキャン結果)が返される。
- レポート作成時にホストの検出結果が存在する(ホストがスキャン後にパージされていない)。検出結果によって、脆弱性の検出の有無が示されます。
スキャン時にアクティブである(稼働している)ことが検出されるホストがカウントされます。
レポートテンプレートで定義されたフィルタと合致するホストがカウントされます。
「Summary of Vulnerabilities」では、レポートに含まれる全ホストで検出された、すべての脆弱性の概要を表示します。合計検出件数には、脆弱性、潜在的な脆弱性、収集情報が含まれます。注記: 1)トレンドレポートの場合、これは、レポートで指定されている期間で検出した件数です。2)修正された脆弱性(および修正された潜在的な脆弱性)はカウントされません。3)それ以前のスキャンと比較して、合計が増加または減少したのか、変化がないのかを示すトレンド数が表示されます。トレンド数には、脆弱性と潜在的な脆弱性のみが含まれます(収集情報は含まれません)。
レポートサマリには、レポート全体のセキュリティリスクスコアが表示され、詳細な結果には、ホスト別のセキュリティリスクスコアが表示されます。スキャンレポートは、1)テンプレートベース(エグゼクティブレポート、高重大度レポート、テクニカルレポート、またはスキャンレポートテンプレートに基づくその他のレポート)で実行し、2)スキャンベースの検出結果ではなくホストベースの検出結果を選択する必要があります。
レポート全体のスコアは、レポート内のすべてのホスト(フィルタに一致するすべてのホスト)のセキュリティリスクの平均値です。これは、レポート内のすべてのホストのセキュリティリスクスコアの合計をホスト数で除算して計算されます。各ホストのスコアは、検出された重大度の平均値(デフォルト)、または検出された最も高い重大度のいずれかになります。計算では、すべての脆弱性と潜在的な脆弱性がカウントされます。マネージャが「Reports」->「Setup」->「Security Risk」を選択して、サブスクリプションでの計算方法を設定できます(Express Lite ユーザの場合、常に重大度の平均値が使用されます)。
レポート全体のセキュリティリスクの平均値の計算には、次の数式が使用されます。
レポートがホストごとに分類されない場合レポートがホストごとに分類されない場合
レポートの「Detailed Results」項に表示されるセキュリティリスク値は、分類基準(ホスト、オペレーティングシステム、アセットグループなど)に一致するすべてのホストのセキュリティリスクです。
例えば、ホストで分類すると、各ホストのセキュリティリスクが表示されます。オペレーティングシステムで分類すると、すべてのホストのセキュリティリスクがオペレーティングシステムとともに表示されます。アセットグループで分類すると、アセットグループにあるすべてのホストのセキュリティリスクが表示されます。その他の分類基準にも同じ方法論が適用されます。
ホスト別のスコアが表示されない場合ホスト別のスコアが表示されない場合
場合によって、スキャンレポートテンプレートを設定する必要があります。「Display」->「Detailed Results」で「Text Summary」が選択されていることを確認してください。
ビジネスリスクは数値(0 ~ 100)で表します。重要なアセットが脆弱である場合に高い数値が返されるため、通常、数値が高いほど、ビジネス上の損失の危険性が高くなります。マネージャは、「Reports」->「Setup」->「Business Risk」を選択して、ビジネスリスクを設定できます(Express Lite ユーザはこの設定を編集できません)。
「Summary of Vulnerabilities」項のビジネスリスクは、レポート全体の総合的なビジネスリスクを表します。ビジネスリスクは、レポート内の各アセットグループ/ホストに対して最初に計算されます。次に、これらの値の平均が計算され、サマリに表示されます。
「Detailed Results」項のビジネスリスクは、各アセットグループのビジネスリスク値を表します(結果がアセットグループで分類される場合にのみ含まれます)。
計算に使用されるビジネスインパクトレベル計算に使用されるビジネスインパクトレベル
レポートに含まれるアセットグループの場合、ビジネスリスクの計算には、各グループに割り当てられたビジネスインパクトレベルが使用されます。レポートに個別の IP が含まれる場合、計算には、「High」(または「High」と同様)のビジネスインパクトレベルが使用されます。これは、これらの IP が複数のグループに含まれる場合やいずれのグループにも含まれない場合があるためです。
ホスト別またはアセットグループ別に詳細結果をソートした場合、ベクトル文字列とともに CVSS スコア(v2 および v3.1)が脆弱性レベルに表示されます。
次の条件が満たされる場合、各脆弱性の CVSS スコアが表示されます。1)ホストベースの検出結果を含むスキャンレポート(テンプレートベース)を実行した、および 2)サブスクリプションで CVSS スコア機能が有効である。
テンプレートの設定に基づき、結果には各脆弱性の詳細として、割り当てられた QID、CVE ID、Bugtraq ID、CVSS 基本値と現状値のスコア、脅威、影響、および解決策の説明、サードパーティベンダや公的に利用可能なソースからのエクスプロイト情報およびマルウェア情報、および各脆弱性インスタンスに対する特定のスキャンテスト結果などが表示されます。各アセットの QID ごとに検出された CVE ID のリストを含むように選択することもできます。 詳細
スキャンレポートテンプレートでこのオプションを選択すると、アセットリスクスコア(ARS)、アセット緊急度スコア(ACS)、および Qualys 検出スコア(QDS)などの TruRisk の詳細がレポートに表示されます。
アセットリスクスコアとアセット緊急度スコアは、ホストのサマリ項に表示されます。Qualys 検出スコアは、脆弱性の詳細を展開すると表示されます。
スキャンレポートに脆弱性の詳細を含めると、QID ごとに関連付けられた CVE ID のリストが必ず表示されます。このリストには、(検出されたものではなく)脆弱性に関連付けられたすべての CVE ID が含まれます。このリストは、レポート内で「Associated CVEs」として表示されます。
重大度の横に表示される鉛筆()は、その脆弱性が編集されたことを示します。内容(「Threat」、「Impact」、「Solution」)や重大度がマネージャによって変更されています。
レポートの詳細結果項は、次のいずれかの項目を基準として整理されます。ホスト、脆弱性、アセットグループ、オペレーティングシステム、サービス、またはポート。使用する方法を変更するには、スキャンレポートテンプレートを編集します。
スキャン結果レポートでは、ホストは常に IP アドレスごとにリスト表示されます。ホストベースの検出結果を含むスキャンレポートでは、ホストが追跡方法ごと(IP アドレス、DNS ホスト名、または NetBIOS ホスト名)にリスト表示されます。ホストごとに、ホストで検出されたオペレーティングシステムなどの詳細が表示されます。
各ホストに表示されるアセットタグについて各ホストに表示されるアセットタグについて
サブスクリプションでアセットタグ付けが有効になっており、レポートの実行にタグが使用されている場合は、各ホストについてタグのリストが表示されます。このリストには、ホストに割り当てられた他のタグに加えて、ホスト対象で選択したタグと一致するタグが含まれます。
例えば、ホスト 10.10.10.65 に、「10.10.10-network」、「Linux」、「Milwaukee」という 3 つのタグが割り当てられているとします。また、「Milwaukee」タグは「USA」タグの子タグであるとします。「USA」タグでレポートを実行すると、レポートにはホスト 10.10.10.65 が表示され(「USA」タグは「Milwaukee」タグの親タグであるため)、このとき、このホストに対して表示されるタグは、「USA」、「10.10.10-network」、「Linux」および「Milwaukee」になります。
これは、ホストで検出されたオペレーティングシステムに割り当てられた OS CPE 名です(OS CPE 名はサブスクリプションで OS CPE 機能が有効であり、この機能を有効にした後で認証スキャンが実行された場合にのみ表示されます)。
スキャンレポートテンプレートを編集することで、レポート内に多種のグラフを含めることができます。フィルタ設定はグラフに反映されるデータに影響を与えますので注意してください。グラフに“ There is no data available ”というメッセージが表示された場合、フィルタ設定を確認してください。
10 Most Prevalent Vulnerabilities10 Most Prevalent Vulnerabilities
このグラフは、最も頻繁に報告される 10 件の脆弱性を表示します。これらの脆弱性は、レポート対象で最もよく見られます。例えば、ある脆弱性がレポートで初めて検出されたときに、多数のホストで検出された場合、最も流行している脆弱性の 1 つであると考えられます。また、トレンドも含まれているため、各脆弱性の発生数の増減も表示されます。
Operating Systems DetectedOperating Systems Detected
このグラフには、検出されたすべてのオペレーティングシステムが表示されます。注記: 1)レポート内のすべてのホストのオペレーティングシステムを検出できたとは限りません。2)スキャンに QID 45017(OS の検出(Operating System Detected))が含まれなかった場合、このグラフにはデータは提供されません。
Services DetectedServices Detected
このグラフには、公開 TCP サービスの一覧(Open TCP Services List)および公開 UDP サービスの一覧(Open UDP Services List)で検出されたすべてのサービス(ssh、FTP、SMTP など)が表示されます。注記: 1)同一のサービスが異なるポートで検出された場合、1 つのホストで複数回カウントされることがあります。2)レポートに含まれるすべてのホストでサービスが検出されるとは限りません。3)スキャンに QID 82023(公開 TCP サービスの一覧(Open TCP Services List))および QID 82004(公開 UDP サービスの一覧(Open UDP Services List))が含まれなかった場合、このグラフにはデータは提供されません。
これは、レポートに表示されるホストの実行されていない Linux カーネルで検出された脆弱性(QID)のリストです。この項は、レポートテンプレートの「Display non-running kernels」(「Filter」タブにある)が選択されている場合にのみ表示されます。ヒント - 実行されていないカーネルの脆弱性を除外することもできます。
レポートの最後の「Appendix」項には追加情報が表示されます。
No results available for these hostsNo results available for these hosts
このリストには、スキャン結果を持たない最大 200 のIP が表示されます。考えられる理由は次の通りです。
- スキャン時にホストが稼働していなかった。
- ホストがスキャンされなかった。
- ホストはスキャンされたが、データがパージされた。
IP のリストが表示されない場合: スキャン結果を持たない IP の数が表示されます。
このリストには、スキャンは実行されたが結果が表示されない IP が表示されます。理由は次のとおりです。
- 脆弱性が検出されなかった。
- すべての脆弱性が除外された。これらの結果を表示するには、レポートテンプレートのフィルタ設定を編集します。
「Appendix」が表示されない場合「Appendix」が表示されない場合
スキャンレポートテンプレートを編集して、「Display」設定の「Appendix」オプションを選択します。
レポートの「Detailed Results」項にスクロールダウンし、 をクリックしてアクションを選択します。選択したアクションが脆弱性インスタンス(ホスト/脆弱性/ポート)に適用されます。
次のオプションがあります: Ignore vulnerabilityIgnore vulnerability | Activate vulnerabilityActivate vulnerability | View / Create ticketView / Create ticket
既存のチケットを表示するか、新しいチケットを作成します。チケットを作成すると、そのアクションがチケット履歴に記録され、ユーザ名およびタイムスタンプが記録されます。既存のチケットを変更するには、チケットの詳細を表示しているときに、「File」->「Edit」を選択します。
無視とマークされた脆弱性を有効にします。このオプションは、ホストベースの検出結果を含むスキャンレポート(テンプレートベース)を表示する場合に有効にできます。
脆弱性を無視すると、UI(ホスト情報、アセット検索、ダッシュボードなど)から、およびホストベースの検出結果を含むテンプレートベースのスキャンレポートから、脆弱性が除外されます。
動作方法 - 現時点で改善チケットが存在していない場合、追跡用にチケットが自動で作成されてクローズされます。既にチケットがある場合その脆弱性に関連付けられているチケットがクローズされます。
これらのオプションが表示されない場合これらのオプションが表示されない場合
これらのオプションは、ホストベースの検出結果と脆弱性の詳細を含むスキャンレポート(テンプレートベース)を HTML 形式で表示する場合にのみ表示されます。
サブスクリプションで設定されている改善オプションによっては、スキャナおよびリーダに脆弱性を無視/アクティブ化するパーミッションがないこともあります。
Express Lite ユーザの場合、チケットオプションは使用できません。