QRadar Vulnerability Manager で行われる検査

QRadar® Vulnerability Manager は、パケットの送信およびリモート・プローブを行うアクティブな検査とパッシブな相関検査を組み合わせて使用します。 QRadar Vulnerability Manager データベースは、約 70,000 件のネットワーク、OS、およびアプリケーション層の脆弱性をカバーしています。

「脆弱性」タブの「調査 (Research)」ウィンドウで、CVE、日付範囲、ベンダー名、製品名、製品バージョン、および機密漏れの名前によって完全なスキャン・ライブラリーを検索できます。

QRadar Vulnerability Manager テスト

以下の例では、QRadar Vulnerability Manager がテストするカテゴリーの一部を示します。
  • データベース検査
  • Web サーバー検査
  • Web アプリケーション・サーバー検査
  • 一般 Web スクリプト検査
  • カスタム Web アプリケーション検査
  • DNS サーバー検査
  • メール・サーバー検査
  • アプリケーション・サーバー検査
  • ワイヤレス・アクセス・ポイント検査
  • 一般サービス検査
  • 廃止ソフトウェアおよびシステム
以下の表では、QRadar Vulnerability Manager で行われる一部の検査について説明します。
表 1. QRadar Vulnerability Manager 検査のタイプ
検査タイプ 説明
ポート・スキャン アクティブなホスト、および各アクティブなホスト上で開かれているポートとサービスをスキャンします。

ホストがスキャナーと同じサブネット上にある場合、MAC を返します。

OS 情報を返します。
Web アプリケーション・スキャン 以下の検査を使用して、Web サーバー上の各 Web アプリケーションおよび Web ページを検査します。

ファイルのアップロード

HTTP ディレクトリーの参照

CWE-22 - 制限ディレクトリーに対するパス名の不適切な制限 (パス・トラバーサル)

興味深いファイル/ログで表示

ブラウザーでのオートコンプリートのパスワード

デフォルト・ファイルの構成の誤り

情報開示

暗号化されていないログイン・フォーム

ディレクトリーが索引付け可能: サーバー・ディレクトリーを参照できるかどうかを検査

HTTP PUT の許可: サーバー・ディレクトリーで PUT オプションが有効になっているかどうかを検査

廃止ファイルの存在

CGI スキャン: 一般 Web ページ検査

注入 (XSS/スクリプト/HTML)

リモート・ファイル検索 (サーバー全体)

リモート・シェルからのコマンドの実行

認証バイパス、ソフトウェア識別、リモート送信元を含む、SQL インジェクション

指定されたオプションを除くリバース調整オプション

注: 認証 Web アプリケーションのスキャンはサポートされません。 例えば、サイトにアクセスするために認証が必要な場合、Web アプリケーション・テストを実行できません。
OS ユーザー名とパスワードの開示

ファイル・システムへのアクセス

デフォルトのユーザー名およびパスワード

特権のエスカレーション

サービス妨害

リモート・コマンド実行

クロスサイト・スクリプティング (Microsoft)
データベース データベースに対するエクスプロイトおよびオープン・アクセス。

デフォルト・パスワード

ユーザー名およびパスワードの漏えい

サービス妨害

管理権限
Web サーバー Web サーバーの既知の脆弱性、エクスプロイト、および構成の問題。

サービス妨害

デフォルト管理者パスワード

ファイル・システムを表示する機能

クロスサイト・スクリプティング
一般 Web スクリプト CGI などの一般的にある Web スクリプト

E-commerce に関連したスクリプト

ASP

PHP
DNSサーバー 脆弱なパスワード暗号化

サービス妨害

アカウント名の判別

E メールの送信

任意の E メールおよび機密アカウント情報の読み取り

管理者権限の取得
ワイヤレス・アクセス・ポイント デフォルトの管理者アカウントのパスワード

デフォルトの SNMP コミュニティー名

プレーン・テキストでのパスワード保管

サービス妨害
一般サービス ドメイン・ネーム・システム (DNS)

ファイル転送プロトコル (FTP)

Simple Mail Transfer Protocol (SMTP)
アプリケーション・サーバー 認証バイパス

サービス妨害

情報開示

デフォルトのユーザー名およびパスワード

弱いファイル許可

クロスサイト・スクリプティング
楕円形 IE、Chrome、Skype などのクライアント・サイドの脆弱性
パスワード・テスト デフォルト・パスワード・テスト
Windows パッチ・スキャン レジストリー・キー項目、Windows サービス、インストールされている Windows アプリケーション、およびパッチが適用されている Microsoft バグを収集します。
UNIX パッチ・スキャン インストールされている RPM の詳細を収集します

Web アプリケーション・スキャン

QRadar Vulnerability Manager は、コア Web アプリケーション・スキャンに非認証スキャンを使用します。 以下のリストでは、QRadar Vulnerability Manager Web 脆弱性検査について説明します。
  • SQL インジェクションの脆弱性

    SQL インジェクションの脆弱性は、不適切に作成されたプログラムが、入力を検証せずに、データベース照会でユーザー指定データを受け入れる場合に発生します。これは、動的コンテンツが含まれた Web コンテンツで検出されます。 SQL インジェクションの脆弱性をテストすることで、QRadar Vulnerability Manager は、そのようなエクスプロイトが発生しないように、必要な許可が設定されていることを保証します。

  • クロスサイト・スクリプティング (XSS) の脆弱性

    悪意のあるユーザーは、クロスサイト・スクリプティングの脆弱性を利用して、他のユーザーに表示される Web ページにコードを注入できます。 Web ページに注入される可能性があるコードの例としては、HTML やクライアント・サイド・スクリプトがあります。 攻撃者はエクスプロイトされたクロスサイト・スクリプティングの脆弱性を使用して、同一オリジン・ポリシーなどのアクセス制御をバイパスできます。 QRadar Vulnerability Manager は、永続および非永続のクロスサイト・スクリプティングの脆弱性についてテストし、Web アプリケーションがこの脅威の影響を受けないことを確認します。

  • Web アプリケーション・インフラストラクチャー

    QRadar Vulnerability Manager には、デフォルト構成、CGI スクリプト、インストールされているアプリケーション・サポート・アプリケーション、基盤のオペレーティング・システム、およびデバイスをチェックする何千もの検査が含まれています。

  • Web ページのエラー

詳細な Web アプリケーション・スキャンのために、QRadar Vulnerability Manager は IBM® Security AppScan® と統合され、脆弱性に対する Web アプリケーションの可視性を向上させています。

ネットワーク・デバイス・スキャン

QRadar Vulnerability Manager には、ネットワーク・デバイスのスキャンをサポートする SNMP プラグインが含まれています。 QRadar Vulnerability Manager では、SNMP V1 および SNMP V2 がサポートされます。 SNMP V3 はサポートされません。 QRadar Vulnerability Manager は、各種 SNMP 対応デバイスの既知のコミュニティー・デフォルトの辞書を使用します。 この辞書をカスタマイズできます。

外部スキャナー・チェック

外部スキャナーは、以下の OWASP (Open Web Application Security Project) の CWE (共通脆弱性タイプ一覧) をスキャンします。
  • ディレクトリーのリスト作成
  • パス・トラバーサル、Windows ファイル・パラメーター変更、UNIX ファイル・パラメーター変更、有害ヌル・バイト、Windows ファイル取得、有害ヌル・バイト UNIX ファイル取得
  • クロスサイト・スクリプティング、DOM ベースのクロスサイト・スクリプティング
  • SQL インジェクション、ブラインド SQL インジェクション、ブラインド SQL インジェクション (時間ベース)
  • パスワード・フィールドで HTML の autocomplete 属性が無効になっていない
  • 非暗号化ログイン要求、非暗号化パスワード・パラメーター
  • リモート・コード実行、パラメーター・システム・コール・コード注入、ファイル・パラメーター・シェル・コマンド注入、フォーマット・ストリング・リモート・コマンド実行

データベース・スキャン

QRadar Vulnerability Manager は、ターゲット・ホストの非認証スキャンを使用して、主要なデータベースの脆弱性を検出します。 また、QRadar Vulnerability Manager は、プラグインを使用して、複数のデータベースをターゲットにします。

オペレーティング・システムの検査

表 2. オペレーティング・システムの検査
オペレーティング・システム 脆弱点スキャン パッチ・スキャン 構成
Windows Yes Yes Yes
AIX® UNIX Yes Yes No
CentOS Linux® Yes Yes No
Debian Linux Yes Yes No
Fedora Linux Yes Yes No
Red Hat Linux Yes Yes いいえ
Sun Solaris Yes Yes いいえ
HP-UX Yes Yes いいえ
Suse Linux Yes Yes いいえ
Ubuntu Linux Yes Yes いいえ
CISCO いいえ いいえ いいえ
AS/400® / iSeries いいえ No No

OVAL とオペレーティング・システム

OVAL 定義は、以下のオペレーティング・システムでサポートされます。

  • Microsoft Windows 10
  • Microsoft Windows 8.1
  • Microsoft Windows 8
  • Microsoft Windows 7
  • Microsoft Windows Vista
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2003
  • CentOS バージョン 3 から 7
  • IBM AIX バージョン 4 から 7
  • RHEL バージョン 3 から 7
  • SUSE バージョン 10 から 11
  • Ubuntu バージョン 6 から 14
  • Red Hat 9
  • Solaris バージョン 2.6、 7 から 10