スキャンを基にアセット情報を表示・分類して、環境およびそれに影響を及ぼすあらゆるセキュリティ問題の素早いアセスメントを実行可能です。
ヒント: これにより、スキャンされたアセットの情報が見やすくなります。また、組織内のどのユーザーがどのアセット情報を閲覧可能かを制御するための、アセット・グループ作成のベストプラクティスとなっています。アセット・グループを有利に利用するをご参照ください。
アクセス権を持つすべての発見されたアセットを表示可能です。アセットアイコンをクリックして、アセット ページの アセット 表をご参照ください。
アクセス権を持つすべてのアセットの数が、当該ページ上部に表示されます。同様に、アクセス権を持つサイト、アセット・グループ、およびタグ付けされたアセットの数も表示されます。
注意: モバイル、AWS、VMware、DHCP といった動的発見を利用している場合、合計アセットカウントには発見されたアセットおよび評価されたアセットが含まれます。
またページ上部付近に円グラフがあり、以下の アセット 表内のアセットについての集約された情報が表示されています。これらのグラフにより、脆弱性ステータスの概要を見ることができ、さらにはデータと連動させて改善作を優先順位付けするために役立ちます。
オペレーティング・システム別のアセット
オペレーティング・システム別のアセットグラフには、各オペレーティング・システムを実行しているアセットがいくつあるかが表示されます。各セクションにマウスオーバーすると、各オペレーティング・システムのカウントおよびパーセント値が見られます。またセクションをクリックすると、そのカテゴリーのより詳細な内訳へと掘り下げることができます。本機能の詳細については、オペレーティング・システムごとにアセットを見つけるをご参照ください。
スキルレベル別のエクスプロイト可能なアセット
スキルレベル別のエクスプロイト可能なアセットグラフでは、エクスプロイト可能な脆弱性を持つアセットがエクスプロイトに必要なスキルレベル別に分類されます。初心者レベルのアセットは、最もエクスプロイトしやすいため、最も早急に対処すべきです。アセットは2回以上カウントされませんが、そのアセット上の最もエクスプロイト可能な脆弱性に従いカテゴリー化されます。例えば、あるアセットが初心者レベルの脆弱性を1つ、中級者レベルの脆弱性を2つ、上級者レベルの脆弱性を1つ持つ場合、そのアセットは初心者カテゴリに分類されます。既知のエクスプロイトのないアセットは、エクスプロイト可能性なしのスライスに表示されます。
注意: 類似した円グラフが脆弱性ページに表示されますが、これはアセットではなく個別の脆弱性を分類したものです。詳細については、脆弱性に取り組む。
3番目の円グラフには、脆弱性およびポリシー・コンプライアンスについて 評価済み であるアセットの数、およびスキャンまたは動的発見接続のいずれかにより発見されたが未評価であるアセットの数が表示されます。
アセスメントステータス
動的発見を利用する場合(1ページのアセット(資産)の動的検出を管理するをご覧ください)、アセット ページに2つの個別のアセット表が表示されます。
1 つには スキャン済み のアセットがリストされています。
もう片方の表には、動的発見接続により 発見済み のアセットがリストされています。後者のアセットは、脆弱性またはポリシー・コンプライアンスのスキャンがまだ行われていません。これら後者のアセットが初めてスキャンされると、接続により発見済み 表から削除され、スキャン済み 表に表示されます。
注意: IPアドレスは、モバイルデバイスにはリストされません。その代り、コラムには値モバイルデバイスが、これらの各アセットに表示されます。
1 つ以上の発見接続を作成したが実際にアセット発見のために接続を開始していない場合、接続により発見済み に表示されるアセットはありません。
発見済みであるがまだ評価されていないアセットを表示することは、見過ごされているセキュリティ問題があるかもしれない環境内のエリアを洗い出す良い方法です。
注意: 接続により発見済み 表には、発見スキャンによりスキャンされたアセットは表示されません。これらのアセットは スキャン済み 表に現れます。
アセット表
アセット 表内でコラムの行ヘッダをクリックして、アセットを分類できます。例えば、最上行のリスクコラムをクリックすると、各アセット上で発見されたすべての脆弱性の総合リスク・スコアにより数値的に分類できます。
アセットキット・リストのカンマ区切り(CSV)ファイルを作成して、組織内の他者と共有することができます。CSVにエクスポート
をクリックします。ブラウザの設定により、当該ファイルを保存または互換性のあるプログラム内で開くオプションを利用できる、ポップアップウィンドウが表示されます。
表の右フレームの下部にある1ページあたりの行ドロップダウンリストで値を選択して、それぞれの表に表示されるアセットの数を制御可能です。当該エリアのナビゲーションオプションを利用して、より多くのアセット記録を表示できます。
サイトごとにアセットを表示するには、アセットページ上部に表示されているハイパーリンクされたサイト数をクリックします。セキュリティ・コンソールにサイトページが表示されます。このページから新規サイトを作成できます。
あるサイトについてスキャンが進行中である場合、スキャン ステータスとラベル付けされたコラムが表に現れます。このスキャンについての情報を表示するには、進行中のスキャンリンクをクリックします。進行中のスキャンが存在しない場合、最後のスキャンとラベル付けされたコラムが表に現れます。任意のサイトの最後のスキャンコラム内の日付リンクをクリックして、そのサイトの最後に完了したスキャンに関する情報を表示します。
サイトリストペイン内のいずれかのサイトのリンクをクリックすると、アセットが表示されます。セキュリティ・コンソールに、最近のスキャン情報、統計チャートおよびグラフを含む、そのサイトのページが表示されます。
サイト要旨トレンドチャート
サイト要旨ページには、トレンドチャートおよび散布図(Scatter plot)が表示されます。トレンドチャートのデフォルト選択は、ホームページ – リスクおよびアセットに経時的にマッチします。またドロップダウンメニューを利用して、このサイトの時間ごとに脆弱性を表示するよう選択することが出来ます。 この脆弱性チャートは、2014年8月6日の製品アップデートをインストールしたときから始まるデータを投入します。アップデートを最近インストールした場合、チャートには今現在限られたデータが表示されますが、時間が経つにつれ追加のデータが収集され表示されます。
リスクおよび脆弱性別のアセット
散文図(Scatter plot)のチャートにおいて、異常値を容易に発見できますので、平均リスクを超えるアセットを発見できます。リスクおよび脆弱性が最も高いアセットは、クラスタの外側に現れます。また位置および色により、アセットのリスクスコア別にアセットに関連するリスクが表示されており、右端に近いほど、色が赤いほど、リスクが高いということを示します。アセットをチャートから直接選択することでアセットレベルビューへと移行し、措置を講じることができます。
サイトに7,000を超えるアセットがある場合、まずバブルチャートが表示されます。ここでアセットのグループを選択して、その後、バブルを選択しそのバブルの散布図(Scatter plot)を表示して、表示を調整することが出来ます。
アセット表に、スキャンされた各アセットの名前およびIPアドレスが表示されます。サイトにIPv4アドレスおよびIPv6アドレスが含まれている場合、これらのアドレスはアドレスコラムに個別にグループ化されます。これらのアドレス・グループの表示順を変更することが出来ます。アドレスコラム内の分類アイコン
をクリックしてください。
注意: IPアドレスは、モバイルデバイスにはリストされません。その代り、コラムには値モバイルデバイスが、これらの各アセットに表示されます。
アセット表で各アセットについての重要なセキュリティ関連情報を表示して、利用可能なエクスプロイトの数、脆弱性の数、リスク・スコアといった、改善プロジェクトの優先順位付けに役立てることができます。
エクスプロイトによる脆弱性の露呈機能を含む2010年1月29日のリリースより前にスキャンされたアセットについては、エクスプロイト数が0となります。これは必ずしも、当該アセットに利用可能なエクスプロイトが存在しないという意味ではありません。この機能が利用可能となる前にスキャンされたという意味です。さらなる情報については、Exploit Exposureを使用するをご参照ください。
アセットの詳細ページから、サイトアセットの管理およびサイトレベルのレポートの作成ができます。また、そのアセットのスキャンを開始することもできます。
アセット表にリストされているアセットについての情報を表示するには、そのアセットのリンクをクリックします。アセットについての詳細を表示するをご参照ください。
アセット・グループごとにそれらに含まれるアセットを表示するには、アセットページ上部に表示されているハイパーリンクされたアセット・グループの数をクリックします。セキュリティ・コンソールにアセット・グループページが表示されます。
アセット・グループページ上部のチャートおよびグラフにより、リスクおよび脆弱性を含む当該アセット・グループの統計的概要を知ることができます。このページから新規アセット・グループを作成できます。アセット・グループを有利に利用するをご参照ください。
スキャン済み 表内のいずれかのグループのリンクをクリックすると、そのアセットが表示されます。セキュリティ・コンソールに、統計チャートとグラフおよびアセットのリストを含む、そのアセット・グループのページが表示されます。アセット ペインで、スキャン、リスク、およびアセットについての情報を表示可能です。アセットが属するサイトのリンクをクリックして、そのサイトについての情報を表示できます。また、いずれかのアセットのリンクをクリックして、それについての情報を表示することもできます。アセットについての詳細を表示するをご参照ください。
オペレーティング・システムごとにそれらの上で実行されているアセットを表示するには、アセットページのオペレーティング・システム別のアセットチャートまたは表をご参照ください。
オペレーティング・システム別のアセット
オペレーティング・システム別のアセット円グラフでは機能のドリルダウンができます。すなわち、オペレーティング・システムを選択して、指定カテゴリーのさらなる内訳を表示できます。例えばOSとしてMicrosoftが選択されている場合、Windows Server 2008、Windows Server 2012など、存在するすべてのWindows OSバージョンのリストが表示されます。引き続きグラフ分割部をクリックすると、システムから特定のエディションやサービスパック(該当する場合)へとさらに分類されていきます。グラフ内の不明部分の大半は、それらのアセットが適切にフィンガープリントされていないことを示しますので、調査が必要です。
注意: アセットにオペレーティング・システムが10種類以上ある場合、グラフには最もよく見られる9つのオペレーティング・システムとその他カテゴリーが表示されます。その他をクリックすると、残りのオペレーティング・システムを見ることができます。
オペレーティング・システム別のアセット 表には、ネットワーク内で実行されているすべてのオペレーティング・システムおよび各オペレーティング・システムのインスタンスの数がリストされています。オペレーティング・システムのリンクをクリックすると、それを実行しているアセットが表示されます。セキュリティ・コンソールには、そのオペレーティング・システムを実行するすべてのアセットをリストするページが表示されます。アセットに関するスキャン、リスク、および脆弱性情報を表示することが可能です。アセットが属するサイトのリンクをクリックして、そのサイトについての情報を表示できます。また、いずれかのアセットのリンクをクリックして、それについての情報を表示することもできます。アセットについての詳細を表示するをご参照ください。
ソフトウェアごとにそれらの上で実行されているアセットを表示するには、アセットページのソフトウェア・リスト表をご参照ください。この表には、ネットワーク内で実行中であると本アプリケーションにより認識されたソフトウェア、プログラムのインスタンスの数、プログラムのタイプがリストされています。
本アプリケーションでは、スキャンすべき認証資格情報(credentials)を有するソフトウェアのみがリストされます。これの例外は、ルート/管理アクセスを許可する脆弱性が発見された場合です。
プログラムのリンクをクリックすると、それを実行しているアセットが表示されます。
セキュリティ・コンソールに、そのプログラムを実行しているすべてのアセットがリストされているページが表示されます。アセットに関するスキャン、リスク、および脆弱性情報を表示することが可能です。アセットが属するサイトのリンクをクリックして、そのサイトについての情報を表示できます。また、いずれかのアセットのアドレスまたは名前のリンクをクリックして、それについての情報を表示することもできます。アセットについての詳細を表示するをご参照ください。
サービスごとにそれらが実行しているアセットを表示するには、アセットページのサービス・リスト表をご参照ください。この表には、ネットワーク内で実行されているすべてのサービスおよび各サービスのインスタンスの数がリストされています。サービスのリンクをクリックすると、それを実行しているアセットが表示されます。アセットについての詳細を表示するをご参照ください。
アセットをどのように見つけるかに関わらず、その名前またはIPアドレスをクリックしてより多くの情報を見つけることが可能です。
セキュリティ・コンソールに、固有であると判定された各アセットのページが表示されます。ライブ・アセットを発見するにあたり、Nexpose は相関的なヒューリスティックにより、アセットがサイト内で固有であるかどうかを識別します。検討される要因は以下の通りです:
発見されたアセットのページで、そのアセットに関連するビジネス・コンテキスト・タグを表示・追加可能です。詳細情報および指示については、タグでRealContextを適用するをご参照ください。
アセットトレンドチャートにより、特定アセットの時間ごとのリスクまたは脆弱性を表示できます。ドロップダウンリストを利用して、リスクまたは脆弱性へと表示を切り替えできます。
レポートされた脆弱性の、およびレポートから除外された脆弱性の脆弱性リスト表を表示可能です。当該表には脆弱性に関連するエクスプロイトまたはマルウェア・キットが表示されており、これらの露出に基づいた改善策の優先順位付けに役立ちます。
また、当該表にはエクスプロイトと共に検証された脆弱性についての特別なアイコンが表示されています。脆弱性がMetasploitモジュール経由でエクスプロイトと共に検証されると、当該コラムに
アイコンが表示されます。脆弱性がエクスプロイトデータベースで公表されたエクスプロイトと共に検証されると、当該コラムに
アイコンが表示されます。さらなる情報については、検証された脆弱性に取り組む
をご参照ください。
また、本アプリケーションで発見されるに従い、そのアセット上のソフトウェア、サービス、ポリシーリスト、データベース、ファイル、およびディレクトリについての情報を表示できます。そのアセットに関連するユーザーまたはグループを表示可能です。
資産プロパティウィンドウのアドレスフィールドには、そのアセットについて発見されたすべてのアドレス(カンマ区切りで)が表示されます。これには、スキャンされていないアドレスも含まれます。例:任意のアセットに、IPv4アドレスおよびIPv6アドレスが含まれている場合があります。ご自身のサイト向けにスキャン対象を設定する際に、IPv4アドレスのみを認識していたため、そのアドレスのみをサイト設定内でのスキャン対象として含めていたとします。当該アセットページで発見されたIPv6アドレスを表示すると、今後のスキャンに含めることができ、セキュリティ範囲が広がります。
あらゆるアセットのフィンガープリントを表示できます。フィンガープリントは、発見されたアセットについての詳細をできる限り多く識別することができる、一連の方法です。バッファー確保の領域で、特定ビットの設定や応答タイミング、また固有の確認応答などのプロパティを調べることにより、アセットのハードウェアおよびオペレーティング・システムについてのインジケータを識別可能です。
アセットプロパティ表で、スキャンを実行できます。または、アセットのレポートを作成できます。
脆弱性リスト表で、脆弱性の改善策を追跡するチケットを開くことが可能です。チケットを使用するをご参照ください。脆弱性リスト表およびその使用方法の詳細については、アクティブな脆弱性を表示するおよびの例外に取り組む脆弱性の例外に取り組むをご参照ください。当該表には、CVSS評価、リスク・スコア、脆弱性公開日、および深刻度評価といった、異なるセキュリティ評価基準がリストされています。コラムヘッダをクリックすると、これらの評価基準に従って、脆弱性を分類可能です。上記を行うと、これらの異なる評価基準に従って脆弱性を順序付けし、セキュリティ状況および優先順位の概観が得られます。
ポリシー・マネージャー・チェックでアセットをスキャンした場合、これらのチェックの結果をポリシーリスト表内に表示可能です。リストされたポリシーの名前をクリックすると、そのポリシーに対してテストされたその他アセットまたはそのポリシーを補完する個別ルールのコンプライアンスチェックの結果といった、詳細を表示できます。さらなる情報については、ポリシー・マネージャー結果に取り組むをご参照ください。
OracleまたはLotus Dominoなどの標準ポリシー・チェックでアセットをスキャンした場合、標準ポリシーリスト表内でこれらのチェックの結果をレビュー可能です。
特定のアセットのページ
以下の理由によりアセットを削除したいケースが考えられます:
上記の状況のいずれかがお客様の環境に当てはまる場合、ベストプラクティスは、スキャン日を基に動的アセット・グループを作成することです。アセット・グループに取り組むをご参照ください。その後、アセットを見つける・取り組むで説明されているステップを利用して、そのグループ内でアセットを見つけることが可能です。このトピックで説明されているバルク・アセット削除機能を利用して、1ステップで複数のアセットを削除可能です。
サイトからアセットを削除すると、そのアセットは、当該サイトまたは以前含まれていたアセット・グループに含まれなくなります。アセット・グループからアセットを削除すると、それを含むサイトからも削除されます。また、以前含まれていたその他のアセット・グループからも削除されます。削除されたアセットは、ウェブ・インターフェースまたは履歴レポート(トレンドレポートなど)を除くレポートに表示されなくなります。後日行ったスキャンで当該アセットが再発見されると、ウェブ・インターフェースとレポートで新規アセットと見なされます。
注意: アセット・グループからアセットを削除することは、アセット・グループからアセットを除外することとは異なります。後者はアセット・グループ管理内で行います。アセット・グループに取り組むをご参照ください。
アクセス権を持つサイトまたはアセット・グループ内のアセットのみを削除可能です。
アセットを見つける・取り組むで説明されている、サイトまたはアセット・グループドリルダウンを利用して見つけた個々のアセットを削除するには、以下のステップを行います:
アセットについての詳細を表示するの『ドリルダウンを利用』にある『個々のアセットを削除する』を行うには、以下のステップを行います:
アセット詳細ページから個々のアセットを削除します。
サイトまたはアセット・グループドリルダウンを利用して見つけたすべての表示されているアセットを削除するには、以下のステップを行います:
選択をキャンセルするには、アセット 表の最上行をクリックします。現れたポップアップ内のすべてをクリアをクリックします。
注意: この手順により、サイトまたはアセット・グループ内のすべてのアセットではなく、表内に表示されたアセットのみが削除されます。例えば、あるサイトに100のアセットが含まれていても、表の設定により25までが表示されている場合、一度に選択できるのは25のみです。すべてのアセットを選択するには、この手順を繰り返す必要があります。または表に表示されるアセット数を増やす必要があります。表の右側にある選択されたアセット総数フィールドには、そのサイトまたはアセット・グループにアセットがいくつ含まれているかが示されます。
1ステップで複数アセットを削除する
先のセクションで説明したアセット、オペレーティング・システム、ソフトウェア、またはサービスリスト表を利用して見つけたアセットを削除するには、以下のステップを行います。
このアクションにより、アセットおよびそのすべての関連データ(脆弱性を含む)が、属性サイトあるいは資産グループならびに、レポートから削除されます。
注意: 消去は、オペレーティング・システム、ソフトウェア、サービス、または すべてのアセット ドリルダウンを利用して見つけた アセット 表では利用できません。複数ではなく単一の消去は、スキャン済み ドリルダウンおよび 接続により発見済み ドリルダウンを利用して行えます。
接続ドリルダウンにより特定したスキャン/接続経由でアセットを消去する
すべてのサイトにわたり一致アセットをグローバルにリンクしている場合(複数サイトでアセットをリンクするをご覧ください)、サイトからアセットを削除するというオプションもあります。これにより、サイトとアセットとの間のリンクを切ります。消去したアセットとは異なり、削除したアセットはすでに存在しているその他のサイトに利用可能なままです。しかし、1つのサイトにのみ属していたアセットについては、全ワークスペースから削除されます。
本オプションは、サイトからアセットを削除できます