QRadar Vulnerability Manager によって行われる検査

QRadar® Vulnerability Manager は、パケットとリモート・プローブの送信に関係するアクティブ・チェックと、パッシブ相関チェックの組み合わせを使用します。 QRadar Vulnerability Manager データベースは、約 70,000 件のネットワーク、OS、およびアプリケーション層の脆弱性に対応しています。

「脆弱性」 タブの 「調査」 ウィンドウで、完全なスキャン・ライブラリーを CVE、日付範囲、ベンダー名、製品名、製品バージョン、および公開名で検索できます。

QRadar Vulnerability Manager テスト

以下の例は、 QRadar Vulnerability Manager がテストするカテゴリーの一部です。
  • データベース検査
  • Web サーバー検査
  • Web アプリケーション・サーバー検査
  • 一般 Web スクリプト検査
  • カスタム Web アプリケーション検査
  • DNS サーバー検査
  • メール・サーバー検査
  • アプリケーション・サーバー検査
  • ワイヤレス・アクセス・ポイント検査
  • 一般サービス検査
  • 廃止ソフトウェアおよびシステム
以下の表では、 QRadar Vulnerability Managerによって行われるいくつかの検査について説明します。
表 1. QRadar Vulnerability Manager チェックのタイプ
検査タイプ 説明
ポート・スキャン アクティブなホスト、および各アクティブなホスト上で開かれているポートとサービスをスキャンします。

ホストがスキャナーと同じサブネット上にある場合、MAC を返します。

OS 情報を返します。

Web アプリケーション・スキャン 以下の検査を使用して、Web サーバー上の各 Web アプリケーションおよび Web ページを検査します。

ファイルのアップロード

HTTP ディレクトリーの参照

CWE-22 - 制限ディレクトリーに対するパス名の不適切な制限 (パス・トラバーサル)

興味深いファイル/ログで表示

ブラウザーでのオートコンプリートのパスワード

デフォルト・ファイルの構成の誤り

情報開示

暗号化されていないログイン・フォーム

ディレクトリーが索引付け可能: サーバー・ディレクトリーを参照できるかどうかを検査

HTTP PUT の許可: サーバー・ディレクトリーで PUT オプションが有効になっているかどうかを検査

廃止ファイルの存在

CGI スキャン: 一般 Web ページ検査

注入 (XSS/スクリプト/HTML)

リモート・ファイル検索 (サーバー全体)

リモート・シェルからのコマンドの実行

認証バイパス、ソフトウェア識別、リモート送信元を含む、SQL インジェクション

指定されたオプションを除くリバース調整オプション

注: 認証済み Web アプリのスキャンはサポートされていません。 例えば、サイトにアクセスするために認証が必要な場合、Web アプリケーション・テストを実行できません。
OS ユーザー名とパスワードの開示

ファイル・システムへのアクセス

デフォルトのユーザー名およびパスワード

権限のエスカレーション

サービス妨害

リモート・コマンド実行

クロスサイト・スクリプティング (Microsoft)

データベース データベースに対するエクスプロイトおよびオープン・アクセス。

デフォルト・パスワード

ユーザー名およびパスワードの漏えい

サービス妨害

管理権限

Web サーバー Web サーバーの既知の脆弱性、エクスプロイト、および構成の問題。

サービス妨害

デフォルト管理者パスワード

ファイル・システムを表示する機能

クロスサイト・スクリプティング

一般 Web スクリプト CGI などの一般的にある Web スクリプト

E-commerce に関連したスクリプト

ASP

PHP

DNSサーバー 脆弱なパスワード暗号化

サービス妨害

アカウント名の判別

E メールの送信

任意の E メールおよび機密アカウント情報の読み取り

管理者権限の取得

ワイヤレス・アクセス・ポイント デフォルトの管理者アカウントのパスワード

デフォルトの SNMP コミュニティー名

プレーン・テキストでのパスワード保管

サービス妨害

一般サービス ドメイン・ネーム・システム (DNS)

ファイル転送プロトコル (FTP)

Simple Mail Transfer Protocol (SMTP)

アプリケーション・サーバー 認証バイパス

サービス妨害

情報開示

デフォルトのユーザー名およびパスワード

弱いファイル許可

クロスサイト・スクリプティング

楕円形 IE、Chrome、Skype などのクライアント・サイドの脆弱性
パスワード・テスト デフォルト・パスワード・テスト
Windows パッチ・スキャン レジストリー・キー項目、Windows サービス、インストール済み Windows アプリケーション、およびパッチ適用済み Microsoft バグを収集します。
UNIX パッチ・スキャン インストールされている RPM の詳細を収集します

Web アプリケーション・スキャン

QRadar Vulnerability Manager は、コア Web アプリケーション・スキャンに非認証スキャンを使用します。 以下のリストで、 QRadar Vulnerability Manager Web 脆弱性チェックについて説明します。
  • SQL インジェクションの脆弱性

    SQL インジェクションの脆弱性は、不適切に作成されたプログラムが、入力を検証せずに、データベース照会でユーザー指定データを受け入れる場合に発生します。これは、動的コンテンツが含まれた Web コンテンツで検出されます。 SQL インジェクションの脆弱性をテストすることにより、 QRadar Vulnerability Manager は、これらのエクスプロイトが発生しないようにするために必要な許可が設定されていることを保証します。

  • クロスサイト・スクリプティング (XSS) の脆弱性

    悪意のあるユーザーは、クロスサイト・スクリプティングの脆弱性を利用して、他のユーザーに表示される Web ページにコードを注入できます。 Web ページに注入される可能性があるコードの例としては、HTML やクライアント・サイド・スクリプトがあります。 攻撃者はエクスプロイトされたクロスサイト・スクリプティングの脆弱性を使用して、同一オリジン・ポリシーなどのアクセス制御をバイパスできます。 QRadar Vulnerability Manager は、さまざまな永続的および非永続的なクロスサイト・スクリプティングの脆弱性をテストして、Web アプリケーションがこの脅威の影響を受けないことを確認します。

  • Web アプリケーション・インフラストラクチャー

    QRadar Vulnerability Manager には、デフォルト構成、CGI スクリプト、インストール済みでサポートするアプリケーション、基礎となるオペレーティング・システム、およびデバイスを検査する何千もの検査が含まれています。

  • Web ページのエラー

QRadar Vulnerability Manager は、 IBM® Security AppScan と統合することで、ウェブアプリケーションの詳細なスキャンが可能となり、お客様の脆弱性に対するウェブアプリケーションの可視性を向上させます。

ネットワーク・デバイス・スキャン

QRadar Vulnerability Manager ネットワークデバイスのスキャンをサポートする SNMP プラグインが含まれています。 QRadar Vulnerability Manager SNMP、 V1、 SNMP、 V2 をサポートします。 SNMP V3 はサポートされません。 QRadar Vulnerability Manager SNMP 対応デバイス向けに、既知のコミュニティデフォルト設定をまとめた辞書を使用します。 この辞書をカスタマイズできます。

外部スキャナー・チェック

外部スキャナーは、以下の OWASP (Open Web Application Security Project) の CWE (共通脆弱性タイプ一覧) をスキャンします。
  • ディレクトリーのリスト作成
  • パス・トラバーサル、Windows ファイル・パラメーター変更、UNIX ファイル・パラメーター変更、有害ヌル・バイト、Windows ファイル取得、有害ヌル・バイト UNIX ファイル取得
  • クロスサイト・スクリプティング、DOM ベースのクロスサイト・スクリプティング
  • SQL インジェクション、ブラインド SQL インジェクション、ブラインド SQL インジェクション (時間ベース)
  • パスワード・フィールドで HTML の autocomplete 属性が無効になっていない
  • 非暗号化ログイン要求、非暗号化パスワード・パラメーター
  • リモート・コード実行、パラメーター・システム・コール・コード注入、ファイル・パラメーター・シェル・コマンド注入、フォーマット・ストリング・リモート・コマンド実行

データベース・スキャン

QRadar Vulnerability Manager は、ターゲット・ホストの非認証スキャンを使用して、主要なデータベースの脆弱性を検出します。 さらに、 QRadar Vulnerability Manager は、プラグインを使用していくつかのデータベースをターゲットにします。

オペレーティング・システムの検査

表 2. オペレーティング・システムの検査
オペレーティング・システム 脆弱点スキャン パッチ・スキャン 構成
Windows (US) はい はい はい
AIX® UNIX はい はい いいえ
CentOS Linux® はい はい いいえ
Debian Linux はい はい いいえ
Fedora Linux はい はい いいえ
Red Hat Linux はい はい いいえ
Sun Solaris はい はい いいえ
HP-UX はい はい いいえ
Suse Linux はい はい いいえ
Ubuntu Linux はい はい いいえ
CISCO いいえ いいえ いいえ
AS/400 / iSeries いいえ いいえ いいえ

OVAL とオペレーティング・システム

OVAL 定義は、以下のオペレーティング・システムでサポートされます。

  • Microsoft Windows 10
  • Microsoft Windows 8.1
  • Microsoft Windows 8
  • Microsoft Windows 7
  • Microsoft Windows Vista
  • Microsoft Windows サーバー 2016
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2008
  • Microsoft Windows サーバー 2003
  • CentOS バージョン 3 から 7
  • IBM AIX バージョン 4 から 7
  • RHEL バージョン 3 から 7
  • SUSE バージョン 10 から 11
  • Ubuntu バージョン 6 から 14
  • Red Hat 9
  • Solaris バージョン 2.6、 7 から 10