ネットワーク全体の脆弱性を網羅的に検査する 「脆弱性診断・管理
Download
Report
Transcript ネットワーク全体の脆弱性を網羅的に検査する 「脆弱性診断・管理
ネットワーク全体の脆弱性を網羅的に検査する
「脆弱性診断・管理サービス」 簡易操作マニュ
アル
2012年8月
富士通株式会社
クラウドセキュリティ事業部
Copyright FUJITSU LIMITED
はじめに
脆弱性診断・管理サービスをすぐにご利用いただけるように、QualysGuardにログインして脆弱性スキャ
ン
を実行する方法をご説明します。基本的なステップは以下の2段階の手順に分けられます。
手順1 スキャンの準備をする
1.1 QualysGuardへのログイン
1.2 IPアドレスの登録
1.3 アセットグループの作成
手順2 スキャンを実行す
る
2.1 脆弱性スキャンの実施
ご参考
1. スケジュールスキャンを設定する
2. スキャン結果通知の制限
3. オプションプロファイルについて
【ヘルプ・各種確認事項】
◆
◆
◆
◆
◆
オンラインヘルプについて
脆弱性スキャン実施元IPアドレスの確認方法
ご利用アカウントの有効期限の確認方法
Assigned Asset Groupに登録されているアセットグループの確認方法
Target Hostsに登録したアセットグループの確認方法
1
Copyright FUJITSU LIMITED
手順1 スキャンの準備をする
1.1 QualysGuardへのログイン
(1)
(2)
(3)
アカウント取得
ログイン
完了
2
Copyright FUJITSU LIMITED
アカウント取得
QualysGuardへログインするためのアカウント情報をメールでお
送りします。
(1)
受領したアカウント票からログインIDおよびパスワードを確認します。
アカウント票
・・・・・・・・・・・
・・・・・・
ログインID:Xxxxx_xx
パスワード:xxxxxxxxxx
・・・・・・・・・・・・・・・・・
・・・・・・・・
3
Copyright FUJITSU LIMITED
ログイン
(2)
QualysGuardログイン画面( https://qualysguard.qualys.com )にアクセス
し、アカウント
票に記載されているログインIDとパスワードを入力し、Loginボタンをクリッ
クします。
Xxxxx_xx
xxxxxxxxxx
4
Copyright FUJITSU LIMITED
完了
(3) QualysGuardログイン後、以下のHOME画面が表示されます。
メニューバー
タブ
「New」から新しいスキャンの開始や新しいレポートの作成などを行う
選択した行の上から
「Quick Actions」メニューを
使用して、参照/編集や
ダウンロードなどができる
5
Copyright FUJITSU LIMITED
手順1 スキャンの準備をする
1.2 IPアドレスの登録
(1) AssetsからIP Tracked Hostsを選択
(2) Host IPsの登録
6
Copyright FUJITSU LIMITED
AssetsからIP Tracked Hostsを選択
メニューバーで「Assets」を選択後、 「Host Assets」タブの「New」-「IP
Tracked
(1)
Hosts」を選択します。
① メニューバーから「Assets」を選択
② 「Host Assets」タブを選択
③「New」から「IP Tracked Hosts」を選択
※登録可能なIPアドレス数に達した場合、「New」を押下後、「IP Tracked Hosts」 「DNS Tracked Hosts」 「NetBIOS
Tracked Hosts」は、
表示されません。
7
Copyright FUJITSU LIMITED
Host IPsの登録
[New Hosts]画面から、「Host IPs」タブにスキャンを実施する機器のIPアド
レスを入
(2)
力し、「Add」をクリックします。
←スキャンを実施する機器のIPアドレスを入力
8
Copyright FUJITSU LIMITED
手順1 スキャンの準備をする
1.3 アセットグループの作成
(1) Asset Groupの選択
(2) Asset Group Titleの設定
(3) Assigned IPsの登録
9
Copyright FUJITSU LIMITED
Asset Groupの選択
メニューバーで「Assets」を選択後、 「Asset Groups」タブの「New」「Asset Group」
(1)
を選択します。
① メニューバーから「Assets」を選択
② 「Asset Groups」タブを選択
③ 「New」から「Asset Group」を選択
※アセットグループとは
IPアドレス(=資産)のグループです。
IPアドレスまたはドメイン(FQDN)をグルーピングし、その属性を示す名前を割り当てて、
管理します。
予めIPアドレスをグルーピングしておくことで、効率的にスキャンをすることが可能です。
10
Copyright FUJITSU LIMITED
Asset Group Titleの設定
[New Asset Group]画面の「Asset Group Title」タブで、「Title」に任意のタ
イトル
(2)
を入力します。
↓含まれるIPアドレスの属性やドメインがわかるようなグループ名等を入力
11
Copyright FUJITSU LIMITED
Assigned IPsの登録
(3)
[New Asset Group]画面の「IPs」タブで、作成するアセットグループの属性に基づく
IPアドレスを 「Available IPs」欄から選択し、「Add>>」をクリックします。
「Assigned IPs」欄に選択したIPアドレスが移動したのを確認、「Save」で設定を
保存します。
↑「Available IPs」欄から、アセットグ
ループに追加するIPアドレスを選択
12
↑「Assigned IPs」欄へ移動
Copyright FUJITSU LIMITED
手順2 スキャンを実行する
2.1 脆弱性スキャンの実施
(1)
(2)
(3)
(4)
(5)
スキャン対象の選択①
スキャン対象の選択②
スキャン実行
スキャンのステータス確認
結果表示・ダウンロード
13
Copyright FUJITSU LIMITED
スキャン対象の選択①
(1)
メニューバーで「Scans」を選択後、 「Scans」タブ-「New」-「Scan」を選択します。
[Launch Vulnerability Scan]画面でスキャンのタイトルを入力、オプションプロファイルの設定、
「Asset Groups」の「Select」から登録したアセットグループを選択します。
① メニューバーから「Scans」を選択
↓任意のタイトルを入力
↓オプションプロファイル「Initial Options(default)」を選択
② 「Scans」タブを選択
↓イントラネット診断はスキャナアプライアンスを選択
③ Newから「Scan」を選択
↓「Asset Groups」の「Select」をクリック
14
Copyright FUJITSU LIMITED
スキャン対象の選択②
[Select Asset Groups]画面で、スキャン対象であるアセットグループの
チェックボッ
(2)
クスをチェックし、「Add」をクリックします。
↑対象のアセットグループを選択
15
Copyright FUJITSU LIMITED
スキャン実行
[Launch Vulnerability Scan]画面の「Asset Groups」欄に、選択したアセット
グルー
(3)
プ名が表示されます。「Launch」をクリックし、スキャンを実行します。
↓スキャン実行
16
Copyright FUJITSU LIMITED
スキャンのステータス確認
(4)
メニューバーで「Scans」を選択後、「Scans」タブにスキャンのリストが表示されます。
「Status」欄の「Finished (Processed)」を確認後、結果表示やレポート作成などを行います。
①メニューバーから「Scans」を選択
②「Scans」タブを選択
スキャン結果の処理済
アプリケーション全体
でスキャン結果が反映
されていることを示す
スキャン結果の処理中
17
Copyright FUJITSU LIMITED
結果表示・ダウンロード
(5)
メニューバーで「Scans」を選択後、「Scans」タブでタイトル(行)を選択し、
「Quick Action」
メニューの「View」を選択すると、新しいウインドウにスキャン結果が表示されます。
スキャン結果の表示
スキャン結果のダウンロード
診断中はアクティブになります
一覧から任意のフォーマットを選択し、「Download」をクリック
18
Copyright FUJITSU LIMITED
(ご参考1)スケジュールスキャンを設定する
スケジュールスキャンとは
「Map」や「Scan」は、予め、特定の日時または定期的に実行するようにスケジュール
設定をしておくと、設定したスケジュールにスキャンが自動で実行されます。
[手順2 スキャンを実行する]のスキャン方法は、オンデマンドによるスキャン方法です。
19
Copyright FUJITSU LIMITED
スケジュールによるスキャンの設定
メニューバーで「Scans」を選択後、「Scans」タブの「New」-「Schedule
Scan」を選択
(1) します。もしくは、「Schedules」タブの「New」-「Schedule Scan」から
も可能です。
① メニューバーから「Scans」を選択
② 「Scans」タブを選択
③ 「New」から「Schedule Scan」を選択
20
Copyright FUJITSU LIMITED
Task Titleタブの設定
[New Scheduled Vulnerability Scan]画面の「Task Title」タブで、任意のタイ
トル
(2)
を入力し、オプションプロファイルを設定します。
↓任意のタイトル(設定するスケジュールの内容がわかるような名称)を入力
↓オプションプロファイルを「Initial Options(default)」に設定
↓イントラネット診断の場合、スキャナアプライアンスを選択
21
Copyright FUJITSU LIMITED
Target Hostタブの設定
[New Scheduled Vulnerability Scan]画面の「Target Hosts」タブで、定期的
にス
(3)
キャンを実施するアセットグループ、またはIPアドレスを選択します。
「Asset Groups」か「IPs/Ranges」の「Select」
からスキャン対象のIPアドレス、またはアセット
グループを選択
22
Copyright FUJITSU LIMITED
Schedulingタブの設定
[New Scheduled Vulnerability Scan]画面の「Scheduling」タブで、スケジュ
ールを
(4)
設定します。
↓スケジュールスキャンを実施する日時を設定
↑開始日時に適用される地域のタイムゾーンを選択
↓ X 回実施した後に設定を無効にする場合に入力
X
「Daily」 「Weekly」 「Monthly」 から選択
Daily(日間隔)
: □ days : □ 日ごとに実施
Weekly(週間隔) : Every □ weeks : □ 週ごとに実施。希望の曜日のチェックボックスにチェック
Monthly(月間隔) : Day (A) of every (B) month : (B) 月 ごとの (A) 日に実施
The [A] [B] of every (C) month : (C) 月ごとの 第 [A] 週 の [B] 曜日に実施
23
Copyright FUJITSU LIMITED
Notificationsタブの設定
(必要により)[New Scheduled Vulnerability Scan]画面の「Notifications」
タブで、
(5)
スケジュール開始時の電子メール通知の設定をします。
↓スケジュールタスクの所有者に電子メール通知を送信する場合
↓予定された開始時間の 1 ~ 31 日前、1 ~ 24 時間前、または 5 ~ 120 分前に通知を設定
←通知の宛先を追加する場合、電子メールアドレスを入力
←電子メール通知に含めるカスタムメッセージを入力
24
Copyright FUJITSU LIMITED
Schedule Statusタブの設定
(必要により)[New Scheduled Vulnerability Scan]画面の「Schedule
Status」タブ
(6) で、タスクのアクティブ/非アクティブ設定を行い、「Save」をクリックし
ます。
←スケジュールされている時間にスキャンを実行しない場合、
このチェックボックスをオンにします。
タスクは一時的に非アクティブになります。
スキャンを再度アクティブにするには、このチェックボックス
をオフにします。
25
Copyright FUJITSU LIMITED
(ご参考2)スキャン結果通知の制限
スキャン結果通知の制限とは
QualysGuard7.1より、スキャン結果を必要とする認証されたビジネスユニットのメンバー
のみに確実に送信されるよう、 「Map」通知や「Scan」通知の制御機能が追加されました。
26
Copyright FUJITSU LIMITED
ユーザロールの権限と概要
ユーザロール
権限の概要
マネージャー
◆想定されるユーザ:最高セキュリティ責任者(CSO)、セキュリティマネージャ
- 全てのアセットへのアクセス権を持つ、最も権限の高いユーザロール
- 検出(マップ)、セキュリティ監査(スキャン)、レポート、改善
- アセットとユーザの管理
- サブスクリプションポリシーの設定とグローバルな設定の調整
監査者
◆想定されるユーザ:セキュリティ監査者、サードパーティのコンサルタント
- ポリシー、例外リクエスト、およびコンプライアンスレポートの管理
- サブスクリプション内のすべてのコンプライアンスホストへのアクセス
※このユーザーロールは
Policy Complianceモ
ルが有効な場合に使用す
ことができます
ユニットマネージャ
◆想定されるユーザ:部署の管理者、地域の管理者
- 検出(マップ)、セキュリティ監査(スキャン)、レポート、改善
- 割り当てられたビジネスユニット内のアセットグループへのアクセス
- 割り当てられたビジネスユニット内のアセットとユーザーの管理
スキャナ
◆想定されるユーザ:セキュリティエンジニア、IT管理者、内部コンサルタント
- 検出(マップ)、セキュリティ監査(スキャン)、レポート、改善
- ユーザのアカウント内のアセットグループへのアクセス
リーダ
◆想定されるユーザ:エグゼクティブ、外部コンサルタント、監査者、ITアシスタ
- レポートと改善のみ
- ユーザのアカウント内のアセットグループへのアクセス
連絡先
◆想定されるユーザ:監視または追跡デバイス、監査者、警告システム
- QualysGuardユーザインタフェースにはアクセスしない
- スキャンとマップの概要Eメールの通知を受け取る
- ユーザのアカウント内のアセットグループへのアクセス
27
Copyright FUJITSU LIMITED
ユーザロールの選択
(1)
各ユーザごとの業務範囲に応じて、ユーザロールを選択することにより、ユーザ管理
やアセットへのアクセス権等の権限が付与できます。また、複数のユーザに同一の
ユーザロールを割り当てることも可能です。
① メニューバーから「Users」を選択
② 「Users」タブを選択
③ 「New」から「User」を選択
④ ドロップダウンリストから
ユーザロールを選択
「Save」をクリックし、設定を保存
28
Copyright FUJITSU LIMITED
スキャンの完了通知の設定
(2)
完了通知が必要なユーザが、以下の条件を満たす設定であるか確認します。
【ユーザーロールがManagerの場合】
ユーザー設定の「Options」で「Scan Complete Notification」がOnになっている。
【ユーザーロールがManager以外の場合】
・アセットグループが設定されている。 ※アセットグループの詳細は次の(ご参考2)をご確認下さい。
・各ユーザでの設定で①登録したアセットグループが「Assigned Asset Groups」に登録さ
れている、
②「Options」で「Scan Compleate Notification」がOnになっている。
・「Schedule Scan」の「Target Hosts」に、登録したアセットグループが設定されている。
「On」が選択されているか確認
29
Copyright FUJITSU LIMITED
【補足】各ユーザでのアセットグループ設
定
ユーザーロールが『Scanner』 『Reader』 『Contact』の場合、以下の手順でア
セットグループ
を設定して頂く必要があります。※その他のユーザーロールでは、アセットグループの設定は必要ありませ
ん。
① メニューバーから「Users」を選択
② 「Users」タブを選択
④[Edit User]画面の 「Asset Groups」タブを選択
③ 「Edit」を選択
⑤「Available Asset Groups」から任意のアセットグループ
を選択します。
「Add>>」をクリックし、「Assigned Asset Group」に追加
された事を確認、「Save」をクリックして保存します。
30
Copyright FUJITSU LIMITED
(ご参考3)オプションプロファイルについて
オプションプロファイルとは
「Map」や「Scan」を実行するとき、オプションプロファイルを選択します。
オプションプロファイルは、診断対象の情報をどのように収集するのか、どのようにセキュリティ評価を
するのかについて設定するファイルです。設定内容によって「Map」や「Scan」の結果に影響があります。
使用例1: 診断対象サーバへの負荷を考慮してパフォーマンスレベルを下げて設定した
オプションプロファイルを作成し、スキャンを実施する。
使用例2: 必要に応じて特定のポートのみや特定の脆弱性のみをスキャンするように
設定したオプションプロファイルを作成し、スキャンを実施する。
31
Copyright FUJITSU LIMITED
オプションプロファイルの確認
デフォルトで数種類のオプションプロファイルがご用意されています。
用意されているオプションプロファイルをカスタマイズしたり、新規に作成することも可能です。
「Initial Options(default)」は、デフォルトでご用意している一般的に利用可能なオプションプロファ
イルです。
新規ユーザの場合は 「Initial Options(default)」の利用を推奨します。
①メニューバーから「Scans」を選択
②「Option Profiles」タブを選択
← 一般的なデフォルトのオプションプロファイル
用意されているオプションプロファイルを編集する場合は、オプションプロファイル行
を選択し、
Quick Actionsメニューで「Edit」を選択し設定内容を編集します。
オプションプロファイルを新規作成する場合は、「New」-「Option Profiles」を選択しま
す。
32
Copyright FUJITSU LIMITED
オプションプロファイルで設定できること
オプションプロファイル「Scan」設定一覧
Scan設定項目
説明
初期設定
TCP Ports
スキャンするTCPポートを選択します。
Standard Scan (about 1900 ports)
UDP Ports
スキャンするTCPポートを選択します。
Standard Scan (about 180 ports)
Perform 3-way Handshake
スキャン対象のホストとスリーウェイハンドシェークを
かどうかを指定します。
無効
Authoritative Option
信頼オプションが有効かどうかを指定します。
無効
Scan Dead Host
反応のないホストも最後までスキャンする場合、チェッ
す。
無効
Load Balancer Detection
ロードバランサ検出を有効にするかどうかを指定します。 無効
Performance
スキャンの全体的なパフォーマンスレベルを指定します。 Normal(推奨)
Password Brute Forcing
スキャンで実行するパスワードの総当たり攻撃のレベル
定します。
No Brute Forcing
Vulnerability Detection
スキャンする脆弱性を選択します。
Complete(すべての脆弱性をス
ン)
Authentication
Windows、MS SQL、Unix/Cisco IOS、Oracle、Oracle
および SNMP システムで認証済みの信頼できるスキャン
証情報を設定して行うスキャン)を有効にするかどうか
します。
無効
別途、上部メニューScansからAuthenticationタブにてロ
情報を登録する必要があります。
Share Enumeration
Windows 共有の列挙を有効にするかどうかを指定します。 無効
33
Copyright FUJITSU LIMITED
ヘルプ・各種確認事項
オンラインヘルプについて
脆弱性スキャン実施元IPアドレスの確認方法
ご利用アカウントの有効期限の確認方法
Assigned Asset Groupに登録されているアセットグループの確認方法
Target Hostsに登録したアセットグループの確認方法
34
Copyright FUJITSU LIMITED
オンラインヘルプについて
QualysGuardにログインし、オンラインヘルプで各種操作を確認することができます。
1.メニューバーの「Help」-「OnlineHelp」を選択します。
2.アプリケーションを選択してヘルプを参照、または単語を入力して検索することも可能です。
選択する
35
Copyright FUJITSU LIMITED
脆弱性スキャンの実施元IPアドレスの確認
方法
QualysGuardにログインし、スキャン実施元のIPアドレスを確認することができます。
1.メニューバーの「Help」-「About」を選択します。
2.「Security Operations Center(SOC)」
欄に記載されているアドレス群のうち、
自動的に1IPが選択され、スキャンされ
ます。
36
Copyright FUJITSU LIMITED
ご利用アカウントの有効期限の確認方法
QualysGuardにログインし、ご利用のアカウントの有効期限を確認することができます
1.メニューバーの「Help」-「Account Info」を選択します。
2.「Valid Until」欄に記載されている日付が
ご利用のアカウントの有効期限になります。
37
Copyright FUJITSU LIMITED
Assigned Asset Groupに登録されているアセットグループの確認
方法
「Assigned Asset Groups」に登録されているアセットグループを[Asset Group
Information
]画面から確認することができます。
①メニューバーから「Assets」を選択
②「Asset Groups」タブを選択
③任意のチェックボックスにチェック
④「info」を選択
⑤「Users」タブを選択
※ユーザーロールが『Scanner』『Reader』『Contact』以外の場合
はアセットグループの登録がないため、「The following users
have been assigned to this group: 」欄に表示されません。
38
「Assigned Asset group」
に
登録されているユーザー
が
表示されます。
Copyright FUJITSU LIMITED
Target Hostsに登録したアセットグループの確認
方法
スケジュールスキャンの「Target Hosts」に、登録したアセットグループが設定さ
れているか
を下記画面にて確認することができます。
①メニューバーから「Scans」を選択
②「Schedules」タブを選択
↑Inactive schedule
↑Active schedule
「Target Hosts」に登録したアセットグループが表示されます
39
Copyright FUJITSU LIMITED
40
Copyright FUJITSU LIMITED