QRadar での SAINT Security Suite 脆弱性スキャナーの追加
QRadar は、SAINT API を使用して、SAINT Security Suite アプライアンスからスキャン・レポートを収集してインポートします。
始める前に
手順
- QRadar Consoleにログインします。
- 「管理」 タブをクリックします。
- 「VA スキャナー」 アイコンをクリックし、 「追加」をクリックします。
- 「スキャナー名」 フィールドに、SAINT Security Suite スキャナーを識別する名前を入力します。
- 「管理対象ホスト」 リストから、以下のいずれかのプラットフォームに基づくオプションを選択します。
- QRadar Consoleで、スキャナー・デバイスとの通信を担当する管理対象ホストを選択します。
- QRadar on Cloudでは、スキャナーがクラウドでホストされている場合、 QRadar コンソール を管理対象ホストとして使用できます。 それ以外の場合は、スキャナー・デバイスとの通信を担当するデータ・ゲートウェイを選択します。
- 「タイプ」 リストから、 「セント・セキュリティー・スイート・スキャナー」を選択します。
- 「API ホスト名」 フィールドに、SAINT API の IP アドレスまたはホスト名を入力します。
- 「API ポート」 フィールドに、SAINT API ポート番号を入力します。 API ポートについて詳しくは、 SAINT API ポート番号の取得 を参照してください。
- 「 API トークン 」フィールドに、SAINT API トークンを入力します。 SAINT API トークンについて詳しくは、「 SAINT API トークンの取得」を参照してください。
- 「スキャン・タイプ」 リストから、以下のいずれかのスキャン・タイプ・オプションを選択します。
オプション 説明 ライブ・スキャン (Live Scan) QRadar は、SAINT Security Suite アプライアンスで新規スキャンを作成して実行します。 スキャンが完了すると、 QRadar は SAINT Security Suite アプライアンスからスキャン・レポートを収集してインポートします。 レポートのみ (Report Only) QRadar は、以下の要件に一致する SAINT Security Suite アプライアンスに既に存在するすべてのスキャンのスキャン・レポートを収集してインポートします。- スキャンが「最大レポート存続期間 (Max Report Age)」フィールドに指定されている存続期間より古くないこと。
- スキャンのスキャン・レベルが指定されている「スキャン・レベル (Scan Level)」と一致していること。
- スキャンのターゲット・マップに、CIDR 範囲と共通の IP アドレスが少なくとも 1 つあること。
このオプションでは、SAINT Security Suite アプライアンスで新しいスキャンは開始されません。 正確な結果を収集するには、SAINT Security Suite アプライアンスに、関係する定期実行スキャンがスケジュールされていることを確認してください。
- 「スキャン・レベル」 リストから、使用するスキャン・レベルを以下のオプションから選択します。注: SAINT Security Suite アプライアンスおよび SAINT Security Suite 資料では、スキャン・レベルはスキャン・ポリシーと呼ばれます。 OVAL/SCAP スキャンについて詳しくは、 SAINT Security Suite 資料の Web サイト (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html) を参照してください。 ナビゲーション・ペインで、 「ユーザー・ガイド」 > 「SCAP」をクリックします。
スキャン・レベル 説明 Normal SAINT は、ホストの一般的な特性を取得するための情報を収集し、オペレーティング・システムのタイプとソフトウェアのリリース・バージョン (可能な場合) を設定します。
Heavy/Vulnerability Scan 「Heavy/Vulnerability Scan」レベルは、ヘビー・ポリシーとも呼ばれます。 SAINT は、TCP ポートまたは UDP ポートを listen するサービスを検索します。 検出されたサービスはすべて、既知の脆弱性がないかどうかを調べるためにスキャンされます。 このスキャンは、SAINT の脆弱性チェックのセット全体を含んでおり、ほとんどのシチュエーションで SAINT が使用を推奨するスキャン・ポリシーとなります。
ディスカバリー SAINT は、ターゲットをスキャンして、稼働中のホストがあるターゲットを判別します。 このスキャン・レベルは、稼働中のホストを識別するために必要な最小限のスキャンのみを実行します。 このため、「Discovery」スキャンは詳細ではありません。
Port Scan SAINT は、TCP ポートまたは UDP ポートを listen するサービスを識別します。
Web Crawl SAINT は、Web サービス用のポートをスキャンしてターゲット上の Web ディレクトリーを検出し、次にホーム・ページから HTML リンクをたどってディレクトリーを見つけます。
SQL/XSS SAINT は、Web サーバー上の SQL インジェクションとクロスサイト・スクリプティングの脆弱性を検索します。 両方の一般的なテストも含まれます。 SAINT は、HTML フォームを見つけて、SQL インジェクションとクロスサイト・スクリプティングのすべてのパラメーターをテストし、次に SQL インジェクションとクロスサイト・スクリプティングの既知の脆弱性について検査します。
Windows パッチ SAINT は、欠落している Windows パッチを探します。 Windows パッチの検査のほとんどは、Windows ドメイン認証を必要とします。
Content Search SAINT は、Windows および Linux®/Mac のターゲット上のファイルで、クレジット・カード番号、社会保障番号、または指定されたその他のパターンを検索します。 認証が必要です。 Linux/Mac ターゲットをスキャンする場合は、SSH を有効にする必要があります。
PCI SAINT は、Payment Card Industry Data Security Standard (PCI DSS) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
Anti-virus Information インストールされている AV ソフトウェアに関する情報 (最後にスキャンした日付、スキャンを有効化した日付、定義ファイルの日付、および PCI DSS の要件 5 を監査するために役立つそのほかの情報) が収集されます。 また、McAfee,Symantec、AVG、F-Secure、MS Forefront、Trend Microなど、多くのAVソフトウェア製品のWindowsバージョンの情報も収集される。 認証が必要です。 「(Master)」というストリングを含む情報は、ターゲットにアンチウィルスのサーバー、マネージャー、または管理者がインストールされていることを示します。
FISMA SAINT は、連邦情報セキュリティマネジメント法 (FISMA) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
Authentication Test SAINT は、脆弱性スキャナーの追加時に指定された資格情報を使用してターゲットに対する認証を実行します。
Win Password Guess パスワード推測とパスワード辞書の構成オプションを使用して、Windows ターゲットに対するパスワード推測チェックを実行します。 SAINT がアカウントを列挙するにあたり、認証が推奨されます。
Microsoft パッチ火曜日 毎月第 2 火曜日に最後に公開された Microsoft パッチ火曜日の脆弱性を検査します。 このスキャン・レベル、および関連付けられている内容は、通常木曜日の正午までに SAINTexpress によって更新されます。
Web Scan (OWASP Top 10) Web サーバーと Web アプリケーションの脆弱性 (SQL インジェクション、クロスサイト・スクリプティング、パッチが適用されていない Web サーバー・ソフトウェア、脆弱な SSL 暗号など、 OWASP の上位 10 件の脆弱性) を検査します。 ファイル内容の検査も有効にします。 含まれている一部の検査には認証が必要な場合があります。
IAVA (Maps CVEs to IAVA codes) SAINT は、Information Assurance Vulnerability Alert (IAVA) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
OS Password Guess オペレーティング・システム・パスワードを予測するために設計された、SAINT のすべてのパスワード予測機能が含まれます。 このポリシーには、デフォルトの FTP パスワード、および Telnet、SSH、FTP を介した辞書ベースのパスワード予測に対する検査が含まれます。 ユーザー・アカウントの列挙を確実に行うためには、認証が推奨されます。
NERC CIP SAINT は、North American Electric Reliability Corporation と Critical Infrastructure Protection (NERC CIP) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
ソフトウェア・インベントリー Windows ターゲットにインストールされているソフトウェアのリストを生成します。 認証が必要です。 ソフトウェア・リストは、Windows レジストリー内のアンインストール・キーを列挙することによって生成されます。 インストール時にオペレーティング・システムに登録されたソフトウェアのみが含められます。 インストーラー・プログラムを実行せずにシステムに配置されたソフトウェアは、通常除外されます。 システムから不適切に削除された登録済みソフトウェアは、削除後もリストに含められる可能性があります。
HIPAA SAINT は、医療保険の積算と責任に関する法律 (HIPAA) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
SOX SAINT は、サーベンス・オクスリー法 (SOX) への準拠に関連するすべての脆弱性チェックを使用してターゲットをスキャンします。
Mobile Device 「Mobile Device」スキャン・レベルでは、Exchange ActiveSync を使用するモバイル・デバイスに関する情報を Active Directory サーバーに照会し、その情報を使用してそれらのデバイス上の脆弱性を提示します。 デバイスは、スキャンされていないものもスキャン結果に個別のターゲットとしてリストされます。
このスキャン・レベルを成功させるには、スキャン・ホストに OpenLDAP をインストールし、Windows ドメイン管理者資格情報を使用してスキャンを実行する必要があります。 認証について詳しくは、 SAINT Security Suite 資料の Web サイト-ステップ 4-認証 (my.saintcorporation.com/resources/documentation/help/saint8_help/scan.html#Step_4__Authentication) を参照してください。
ターゲット・リストには、少なくとも 1 つの Active Directory サーバーを含める必要があり、その Active Directory サーバーの SSL 証明書がスキャン対象のホスト上にインストールおよび構成されている必要があります。 Windows ターゲットについて詳しくは、 SAINT Security Suite 資料の Web サイト「Authenticating to Windows Targets」を参照してください。 (my.saintcorporation.com/resources/documentation/help/saint8_help/scan.html#Windows_Targets)
Network Device ルーター、スイッチ、その他のネットワーク・デバイスの脆弱性を検査します。
OVAL Scan OVAL/SCAP スキャンを実行します。 OVAL/SCAP のスキャンについて詳しくは、 SAINT セキュリティー・スイート文書の Web サイト (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html)にアクセスしてください。 ナビゲーション・ペインで、「 ユーザー・ガイド > SAINT の使用 > SCAP (曲)」をクリックします。
SAINT スキャン・パラメーターについて詳しくは、 SAINT セキュリティー・スイート文書の Web サイト (my.saintcorporation.com/resources/documentation/help/saint8_help/saint_help.html) にアクセスして、以下のステップを実行してください。 ナビゲーション・ペインで、 「ユーザー・ガイド」 > 「スキャン」 > 「ジョブ」タブをクリックします。
- 「スキャン・レベル」 リストから 「OVAL スキャン」 を選択した場合は、使用するスキャン・ポリシーの名前を 「OVAL スキャン・ポリシー名」 フィールドに入力します。 OVAL/SCAP スキャンとは、信頼性の高いソースから収集されたベンチマークに基づくスキャンのタイプです。
- スキャン・タイプとして 「ライブ・スキャン」 を選択した場合は、スキャン中にターゲットを認証するために使用するスキャン・ターゲット資格情報を指定します。 「スキャン・ターゲットの資格情報タイプ (Scan Target Credentials Type)」リストで、使用する資格情報に対する次のオプションからいずれか 1 つを選択します。注: スキャン・タイプに「 レポートのみ 」が選択されている場合、スキャン・ターゲットの資格情報は無視されます。
オプション 説明 なし 資格情報を使用しません。 HTTP 基本 基本 HTTP の資格情報を使用します。 Linux / Unix /Mac (SSH) SSH を介して Linux、UNIX、または Mac サーバーに接続するための資格情報を使用します。 Microsoft SQL Server Microsoft SQL Server データベースに接続するための資格情報を使用します。 Oracle Oracle データベースに接続するための資格情報を使用します。 Windows 管理者 Windows サーバー上の管理者アカウントの資格情報を使用します。 Windows 非管理者 Windows サーバー上の非管理者アカウントの資格情報を使用します。 MySQL MySQL データベースに接続するための資格情報を使用します。 SNMPv3 SNMPv3 資格情報を使用します。 - 「スキャン・ターゲット資格情報タイプ (Scan Target Credentials Type)」 リストから 「なし」 オプションを除き、いずれかのオプションを選択した場合は、選択した 「スキャン・ターゲット資格情報 (Scan Target Credentials)」 に対して以下のパラメーターを構成します。
パラメーター 値 スキャン・ターゲットの資格情報のユーザー名 (Scan Target Credentials Username) 選択したスキャン・ターゲットの資格情報のユーザー名。 スキャン・ターゲット資格情報パスワード 選択したスキャン・ターゲットの資格情報のパスワード。 - (任意) 「スキャン対象の認証情報タイプ 」リストから 「 Linux 」/「 Unix 」/「Mac (SSH)」 を選択した場合は、 SSH秘密鍵を指定してください。
- オプション: 「スキャン・ターゲット資格情報タイプ」 リストから Oracle を選択した場合は、 「Oracle SID」 フィールドに Oracle データベース・インスタンスの Oracle サービス ID (SID) を入力して指定できます。
- オプション: 「スキャン・ターゲット資格情報タイプ」 リストから SNMPv3 を選択した場合は、以下の手順を実行します。
- 「 SNMP パスワードプロトコル 」リストから、以下のチェックサムアルゴリズムのオプションのいずれかを選択してください:
オプション 説明 SHA 「スキャン・ターゲットの資格情報のパスワード (Scan Target Credentials Password)」フィールドに入力したパスワードで SHA プロトコルを使用する場合は、このオプションを選択します。 MD5 MD5 プロトコルを使用するには、「スキャン・ターゲットの資格情報のパスワード (Scan Target Credentials Password)」フィールドに入力したパスワードに対してこのオプションを選択します。 - オプション: SNMP パスフレーズフィールドに入力することで、 SNMP パスフレーズを指定できます。「SNMP パスフレーズ (SNMP Passphrase)」を指定した場合は、「SNMP パスフレーズのプロトコル (SNMP Passphrase Protocol)」リストで次のオプションのいずれか 1 つを選択します。
オプション 説明 DES DES プロトコルを使用するには、「SNMP パスフレーズ (SNMP Passphrase)」フィールドに入力したパスフレーズに対してこのオプションを選択します。 AES AES プロトコルを使用するには、「SNMP パスフレーズ (SNMP Passphrase)」フィールドに入力したパスフレーズに対してこのオプションを選択します。
- 「 SNMP パスワードプロトコル 」リストから、以下のチェックサムアルゴリズムのオプションのいずれかを選択してください:
- 「スキャン・タイプ」 リストから 「レポートのみ」 を選択した場合は、インポートするスキャン・レポートの最大存続期間を 「最大レポート存続期間」 フィールドに入力します。
- 次のように、スキャナーの CIDR 範囲を構成します。
- 「CIDR 範囲」 フィールドにスキャンの CIDR 範囲を入力するか、 「参照」 をクリックしてネットワーク・リストから CIDR 範囲を選択します。
- 「追加」をクリックします。
- 「保存」をクリックします。