QRadar Vulnerability Insightsダッシュボードで脆弱性データを読む

「QVI」タブでは、ネットワークの脆弱性状況をさまざまな観点から表示します。

ダッシュボードの各領域では、ネットワークの脆弱性について固有の表示が提供されます。 表示された数値の横にある矢印は、前回QRadar®から脆弱性ステータスがポーリングされた時からの相対的な増減を示します。例えば、上向きの矢印は、その脆弱性ステータスのインスタンスが、前回のポーリングのデータと比較したときに増加していることを表します。

ダッシュボード

次の画像は、QRadar資産データベースから照会される脆弱性データの可視化の例です。

図 1. Vulnerability Insights
qviグラフ

デフォルトでは、QRadar展開で設定されているすべてのネットワークが表示されます。 「All_Networks」メニューで、特定のネットワークでビューをフィルタリングできます。これは、ネットワーク階層の構成に基づいています。

グラフの上の行には、以下のデータが示されます。 詳細を表示するには、各カテゴリーに関連付けられている数字をクリックします。

アクティブ・インスタンス
アクティブな脆弱性 (修正されていない脆弱性) のすべてのインスタンスを示します。 通常、脆弱性インスタンスの数は、固有の脆弱性の数より多くなります。これは、同じ脆弱性が 2 つのアセットに存在する場合、2 つの脆弱性インスタンスとしてカウントされるためです。
修正済み (90 日間) (Remediated (90 days))
過去 90 日間に修正された脆弱性の数を表します。
パッチ済み
これらの脆弱性を修正するために、ソフトウェア・フィックスが適用された脆弱性の数。
注: 「パッチ適用済み (Patched)」 ダッシュボード項目は、 IBM BigFixとの統合を必要とする「パッチ状況が修正済み (Patch Status equals Fixed)」検索パラメーターに基づいています。 この統合により、両製品では脆弱性、およびアセット/パッチ管理のデータを共有できます。 BigFix,との統合の詳細については、IBM BigFixIntegrationを参照してください。
エクスプロイト
「エクスプロイト対象 (Exploited)」の脆弱性とは、何らかの方法で危険にさらされた脆弱性です。
注: 「エクスプロイト (Exploited)」 ダッシュボード項目は、「前回のエクスプロイトからの日数 (Days since Last Exploited)」デフォルト検索に基づいています。この検索は、脆弱性データを検出したり、脆弱性データから保護したりすることができる既知の IPS および IDS ベンダーのシグネチャーを相関させます。 エクスプロイトの試行が実行されたかどうかに関して相互関連付けを実行するには、以下のパラメーターを使用して IPS または IDS のイベントに基づくカスタム・ルールを作成する必要があります。
  • セットのリファレンス・マップに追加
  • CorrelatedAttackMap
  • キーとしての宛先 IP (Destination IP as the key)
  • 値としての QID (QID as the value)
図 2. カスタム・ルールのサンプル
カスタム・ルールのサンプル

以下の画像は、ダッシュボードの脆弱性データのビューを示しています。

エクスプロイトが容易 (Easy to Exploit)

エクスプロイトが容易な脆弱性には、以下の特性があります。
  • アクセスの複雑性が低い (脆弱性へのアクセスが容易である)。
  • 脆弱性への攻撃は、認証を行わずにネットワーク経由で実行される。
図3: 脆弱性のエクスプロイトが容易
脆弱性のエクスプロイトが容易

トレンドの脆弱性 (Trending Vulnerabilities)

トレンドの脆弱性とは、ニュースで最近報告された脆弱性です。 IBM® X-Force® ExchangeAPI キーとパスワードを入力すると、QRadarVulnerability Manager脆弱性データと関連付けられたX-Force Exchangeデータから傾向のある脆弱性リストが動的に生成されます。

図 4. トレンドの脆弱性 (Trending vulnerabilities)

高いリスク

脆弱性は、高リスク (重大リスク) として分類されます。

「インスタンス」は、脆弱性の合計数を示します。同じ脆弱性が複数のシステムに影響を及ぼす場合も数は変わりません。

Figure 5. High risk vulnerabilities
High risk vulnerabilities

影響を受けたアセット (Affected Assets)

検出された脆弱性によって影響を受けたアセットの数です。

以下のメトリックが示されます。

悪用可能な資産
アセットに脆弱性が存在するため、エクスプロイト可能なアセット。
エクスプロイトされた資産
何らかの方法でエクスプロイト (危険にさらされた) アセット。
最も影響を受けたもの
集約リスク・スコアが、ネットワーク内で最高の集約リスク・スコアを持つアセットのリスク・スコアの 90% 以上であるアセット。
Figure 6. Assets affected by vulnerabilities
Assets affected by vulnerabilities

個別の脆弱性 (Distinct Vulnerabilities)

検出された固有の脆弱性の数です。

以下のメトリックが示されます。

  • エクスプロイト可能な脆弱性 (Exploitable Vulnerabilities): エクスプロイト可能な脆弱性。
  • エクスプロイトされた脆弱性 (Exploited Vulnerabilities): エクスプロイトされた脆弱性。
  • 最近公開 (Recently Published): 過去 30 日以内に公開された脆弱性。
Figure 7. Distinct vulnerabilities
Distinct vulnerabilities

視覚化の探索 (Explore Visualization)

グラフをクリックすると、ネットワークの脆弱性状況のグラフィカル表現が表示されます。

Figure 8. Visualization of vulnerabilities
Visualization of vulnerabilities

ネットワーク上の脆弱性を状態、重大度、またはオペレーティング・システム別にフィルタリングします。

以下の画像は、「視覚化の探索 (Explore Visualization)」ページを示しています。このページでは、ネットワークやその他のフィルターでフィルタリングできます。

Figure 9. Explore Visualization graphs
Visualization of vulnerabilities

パッチ使用不可 (Patch Unavailable)

この脆弱性を修正するためにソフトウェア更新を使用できません。 ソフトウェア更新を使用できない理由としては、ソフトウェア更新がまだ用意されていない場合や、この脆弱性 (脆弱なデフォルト・パスワードなど) を修正するためにソフトウェア更新を使用できない場合があります。 QRadarは BigFixのコンテンツ更新を毎日受信する。

Figure 10. Patches unavailable
Patches unavailable

デフォルト・パスワード

脆弱性がログインにあることが示され、既知のデフォルト・パスワードで構成されています。

Figure 11. Default passwords
Default passwords

新規の早期警告

過去 30 日以内に公開された新しい脆弱性がネットワークで検出されました。

Figure 12. New early warnings
New early warnings