本付録には、Nexposeで利用可能なすべての内蔵スキャンテンプレートがリストされています。各テンプレートの説明、および使用時期の提案が記載されています。
本テンプレートには、インターネット・セキュリティ・センター(CIS)ベンチマークへのコンプライアンスを検証するための、ポリシー・マネージャーのスキャン機能が組み込まれています。スキャンによりアプリケーションレイヤー監査が実行されます。ポリシーチェックには、ターゲットの管理認証資格情報(credentials)による認証が必要です。脆弱性のチェックは含まれません。
これは、アプリケーションレイヤー監査による国防情報システム局(DISA)ポリシー・コンプライアンス・テストをサポート対象のDISAベンチマーク・システム上で実行する、スキャンテンプレートです。ポリシーチェックには、ターゲットの管理認証資格情報(credentials)による認証が必要です。脆弱性のチェックは含まれません。デフォルトポートのみがスキャンされます。
すべてのネットワークアセットの基本的監査であり、セーフチェックとアンセーフ(サービスの否認)チェックの両方を使用します。このスキャンには深遠なパッチ/ホットフィックス・チェック、ポリシーコンプライアンス・チェック、アプリケーションレイヤー監査は含まれていません。サービスの否認スキャンは生産開始前環境で実行して、アセットのサービスの否認条件に対する抵抗性をテストすることが可能です。
本スキャンによりネットワーク上のLIVEアセットが特定され、それらのホスト名およびオペレーティング・システムが識別されます。本テンプレートには、一覧、ポリシー、または脆弱性スキャンは含まれません。
発見スキャンを実行して、すべてのネットワークアセットの完全なリストをコンパイル可能です。その後これらのアセットのサブセットを、網羅的スキャンテンプレートによるスキャンのような集中的脆弱性スキャンの対象とすることが可能です。
この迅速で大まかなスキャンにより高速ネットワーク上のLIVEアセットが特定され、それらのホスト名およびオペレーティング・システムが識別されます。当該システムはパケットを非常に高い率で送信しますので、IPS/IDSセンサ、SYN floodプロテクション、およびステートフル・ファイアウォールのエグゾースト状態がトリガされる場合があります。本テンプレートは、一覧、ポリシー、または脆弱性スキャンは実行しません。
本テンプレートの範囲は、より多くのスレッドを使用するためより高速であるという点を除き、発見スキャンの範囲と同じです。その代わり、本テンプレートを利用するスキャンは発見スキャンテンプレートのものほど網羅的ではありません。
すべてのシステムおよびサービスの徹底したネットワーク・スキャンであり、パッチ/ホットフィックス検査、ポリシー・コンプライアンス・アセスメント、アプリケーションレイヤー監査を含むセーフチェックのみを使用します。本スキャンは、ターゲットアセットの数により、完了までに数時間あるいは数日かかる場合があります。
本テンプレートにより実行されるスキャンは、綿密ですが時間がかかります。少数のアセットを対象とする集中的スキャンを実行する場合に、本テンプレートを使用します。
本テンプレートには、米国政府デスクトップ基準(あるいは連邦政府デスクトップ基準(FDCC))ポリシーへのコンプライアンスを検証するための、ポリシー・マネージャーのスキャン機能が組み込まれています。本スキャンは、すべてのWindows XPおよびWindows Vistaシステム上でアプリケーションレイヤー監査を実行します。ポリシーチェックには、ターゲットの管理認証資格情報(credentials)による認証が必要です。脆弱性のチェックは含まれません。デフォルトポートのみがスキャンされます。
米国政府機関に勤務しているまたは同政府と取り引きするベンダーである場合、本テンプレートを利用してWindows VistaおよびXPシステムがFDCCポリシーに準拠しているかを検証できます。
すべてのシステムのフルネットワーク監査であり、ネットワークベースの脆弱性、パッチ/ホットフィックス・チェック、およびアプリケーションレイヤー監査を含むセーフチェックのみを使用します。当該システムはデフォルトポートのみをスキャンしポリシーチェックを無効化ますので、網羅的スキャンより高速になります。また本テンプレートは、潜在的な脆弱性をチェックしません。
徹底した脆弱性スキャンを実行する場合に、本テンプレートを使用します。
このフルネットワーク監査は、ネットワークベースの脆弱性、パッチ/ホットフィックス・チェック、およびアプリケーションレイヤー監査を含む、セーフチェックのみを使用します。当該システムはデフォルトポートのみをスキャンしポリシーチェックを無効化ますので、網羅的スキャンより高速になります。またウェブスパイダーを含んでいませんので、ウェブスパイダーを含むフル監査より高速です。また本テンプレートは、潜在的な脆弱性をチェックしません。
これはデフォルトのスキャンテンプレートです「箱から出して」すぐに迅速な脆弱性スキャンを実行する場合に使用します。
本テンプレートは、HIPAAセクション164.312(「テクニカル・セーフガード」)に準拠するこの監査内のセーフチェックを使用します。当該スキャンは、不適切なアクセス制御、不適切な監査、整合性の欠損、不適切な認証、または不適切な送信セキュリティ(暗号化)の結果生じる条件をフラグ付けします。
HIPAAコンプライアンス・プログラムの一環として、HIPAA規制環境においてアセットをスキャンする場合に、本テンプレートを使用します。
この侵入テストは、ウェブ、FTP、メール(SMTP/POP/IMAP/Lotus Notes)、DNS、データベース、Telnet、SSH、VPNといった、すべての一般的なインターネットサービスをカバーします。本テンプレートには、深遠なパッチ/ホットフィックス・チェックおよびポリシーコンプライアンス監査は含まれません。
DMZ内のアセットをスキャンする場合に本テンプレートを使用します。
本スキャンは、RPMパッチがLinux上に適切にインストールされていることを検証します。最良の結果のため、管理者の認証資格情報(credentials)を使用します。
Linuxオペレーティング・システムを実行するアセットをスキャンする場合に、本テンプレートを使用します。
本スキャンは、Microsoft Windowsシステム上にホットフィックスおよびサービスパックが適切にインストールされていることを検証します。最適な成功のため、管理者の認証資格情報(credentials)を使用します。
ホットフィックスパッチがインストールされているWindowsを実行しているアセットを検証する場合に、本テンプレートを使用します。
以前はペイメントカード業界(PCI)監査と呼称されていました。
ペイメントカード業界(PCI)コンプライアンスの監査であり、ネットワークベースの脆弱性、パッチ/ホットフィックス検証、アプリケーションレイヤー・テストを含むセーフチェックのみを使用します。すべてのTCPポートおよびよく知られたUDPポートがスキャンされます。ポリシーチェックは含まれません。
本テンプレートは、PCIコンプライアンスプログラムの一環としてアセットをスキャンするために、認定済みのスキャンベンダー(ASV)により使用されるものとします。内部PCI発見スキャンについては、PCI内部監査テンプレートを使用してください。
本テンプレートは、ペイメントカード業界(PCI)データセキュリティ基準(DSS)要件に従い脆弱性を発見することを意図しています。すべてのネットワークベースの脆弱性、およびウェブ・アプリケーション・スキャンが含まれます。潜在的脆弱性および外部周辺に固有の脆弱性は、明確に除外されます。
本テンプレートは、PCIコンプライアンス目的での組織の内部スキャンを対象としています。
すべてのシステムの深遠なスキャンであり、セーフチェックのみを使用します。当該システムはホスト発見およびネットワーク侵入機能により、その他の方法では検出されないアセットを動的に検出できます。本テンプレートには深遠なパッチ/ホットフィックス・チェック、ポリシーコンプライアンス・チェック、アプリケーションレイヤー監査は含まれていません。
本テンプレートを利用して、初期スキャンの範囲外であったアセットを発見できる場合があります。また本テンプレートを利用してスキャンを実行することは、公式の侵入テスト手順実行の前段階として有用です。
すべてのネットワークアセットの非侵入性スキャンであり、セーフチェックのみを使用します。本テンプレートには深遠なパッチ/ホットフィックス・チェック、ポリシーコンプライアンス・チェック、アプリケーションレイヤー監査は含まれていません。
本テンプレートは、ネットワークの迅速で一般的なスキャン向けとして有用です。
すべてのシステムのセーフチェックSarbanes-Oxley(SOX)監査です。デジタルデータ整合性、データアクセス監査、説明責任、および可用性に対する脅威を検出します。上記は順にセクション302(「企業の会計報告責任」)、セクション404(「社内制御の管理アセスメント」)、セクション409(「リアルタイム発行人公開」)で義務付けされています。
SOXコンプライアンス・プログラムの一環としてアセットをスキャンする場合に、本テンプレートを使用します。
慎重に扱うべき監視制御データ収集(SCADA)システムの「丁重な」またはあまり積極的でないネットワーク監査であり、セーフチェックのみを使用します。パケットブロック・ディレイが増大して送信パケット間の時間が増大し、プロトコル・ハンドシェイクが無効化され、アセットへの同時ネットワークアクセスが制限されます。
SCADAシステムをスキャンする場合に、本テンプレートを使用します。
本テンプレートには、すべての米国政府共通設定基準(USGCB)ポリシーへのコンプライアンスを検証するための、ポリシー・マネージャーのスキャン機能が組み込まれています。本スキャンは、すべてのWindows 7システム上でアプリケーションレイヤー監査を実行します。ポリシーチェックには、ターゲットの管理認証資格情報(credentials)による認証が必要です。脆弱性のチェックは含まれません。デフォルトポートのみがスキャンされます。
米国政府機関に勤務しているまたは同政府と取り引きするベンダーである場合、本テンプレートを利用してWindows 7システムがUSGCBポリシーに準拠しているかを検証できます。
すべてのウェブサーバーおよびウェブアプリケーションの監査であり、アプリケーションサーバー、ASP、およびCGIスクリプトを含む、パブリック向け内部アセットに適しています。本テンプレートには、パッチチェックまたはポリシーコンプライアンス監査は含まれていません。DMZ監査スキャンテンプレートを利用する場合のような、FTPサーバー、メールサーバー、データベースサーバーのスキャンも行いません。
パブリック向けのウェブアセットをスキャンする場合に本テンプレートを使用します。