レポート形式に取り組む
レポート作成において形式の選択は重要です。形式はレポートの外観や使用方法に影響を与えるばかりでなく、レポートに表示される情報の内容にもある程度影響が出る可能性があります。
人間可読形式に取り組む
レポートの配布を容易にし、即座に開いて読むことができる形式がいくつかあります:
- PDFは、Adobe Readerで開き表示することが可能です。
- HTMLは、ウェブブラウザで開き表示することが可能です。
- RTFは、Microsoft Wordで開き表示し編集することが可能です。この形式は、レポートを編集する/に注釈を付ける場合に好まれます。
- Textは、あらゆるテキスト編集プログラムで開き表示し編集することが可能です。
注意: PDFレポートをアジア言語文字で生成する場合は、ホストコンピュータにUTF-8フォントが適切にインストールされていることを確認してください。UTF-8フォントを使用するPDFは、ファイルサイズがやや大きくなる傾向があります。
2010年9月1日以降PCIスキャンに義務付けられている3つのレポート・テンプレート(準拠性の証明、PCIエクゼクティブサマリー、あるいは脆弱性の詳細)の1つを使用する、またはこれらのテンプレートのセクションで構成されるカスタム・テンプレートを使用する場合、RTF形式のみを利用可能です。これら3つのテンプレートは特定セクションを手動で入力するため、ASVが必要です。
XML形式に取り組む
ヒント: XMLエクスポート属性の情報については、エクスポート・テンプレート属性をご参照ください。当該セクションでは、CSVエクスポートテンプレート内の同様の属性が説明されており、一部は名前がやや異なっています。
さまざまなXML形式により、レポートをサードパーティシステムと統合できるようになります。
- アセットレポート形式(ARF)は、接続タイプ、ホスト名、IPアドレスに基づくアセットの情報を提供します。本テンプレートは、ポリシースキャン結果のレポートを米国政府に送信しSCAP認証を得るために必要です。
- XML Exportは「生XML」とも呼ばれており、最低限の構造をした包括的なスキャンデータのセットが含まれています。このコンテンツについては、その他のシステムでの情報利用を可能にするため、パースが必要です。
- XML Export 2.0はXMLエクスポートに似ていますが、以下の追加の属性が含まれます:
| アセット・リスク
| エクスプロイト・タイトル | サイト名 |
| エクスプロイトID | マルウェアキット名 | サイトの重要性 |
| 必要なエクスプロイトスキル | PCIコンプライアンスステータス | 脆弱性リスク |
| エクスプロイトソースのリンク | Scan ID | 脆弱性発見日 |
| エクスプロイト・タイプ | スキャンテンプレート | |
- Nexpose TM Simple XMLもまた、「生XML」形式です。スキャンデータをMetasploit脆弱性エクスプロイト・フレームワークと統合するのに理想的です。XML Export形式で利用可能なデータのサブセットが含まれています:
- スキャンされたホスト
- これらのホスト上で発見された脆弱性
- スキャンされたサービス
- これらのサービス上で発見された脆弱性
- SCAP Compatible XMLもまた「生XML」形式であり、フィンガープリント・プラットフォームの共通プラットフォーム一覧(CPE)名が含まれています。本形式は、認証されていないスキャナ製品のセキュリティ設定共通化手順(SCAP)の基準へのコンプライアンスをサポートしています。
- XMLは、明確に編成された人間可読XMLへとデータを整えます。また、その他の文書形式へのエクスポートに理想的です。
- XCCDF Results XML Reportは、個別のUSGCBまたはFDCC設定ポリシー・ルールに関するコンプライアンステストについての情報を提供します。レポートはそれぞれ、1つのルール専用となっています。XML出力にはルール自体についての詳細が含まれており、スキャン結果についてのデータがその後に続きます。結果がオーバーライドされた場合、出力は当該レポートが実行された時点で一番最近のオーバーライドを特定します。ルールテスト結果をオーバーライドする をご覧ください。
- XCCDF Results XML Reportは、個別のUSGCBまたはFDCC設定ポリシー・ルールに関するコンプライアンステストについての情報を提供します。レポートはそれぞれ、1つのルール専用となっています。XML出力にはルール自体についての詳細が含まれており、スキャン結果についてのデータがその後に続きます。結果がオーバーライドされた場合、出力は当該レポートが実行された時点で一番最近のオーバーライドを特定します。ルールテスト結果をオーバーライドする をご覧ください。
- CyberScope XML Exportは、CyberScopeアプリケーションに送信するためのスキャンデータを編成します。特定エンティティについては、米国行政管理予算局によりCyberScope形式のデータの送信が、脅威報告月例プログラムの一環として義務付けられています。
- Qualys* XML Exportは、Qualysレポート・フレームワークとの統合を対象としています。
*QualysはQualys, Inc.の商標です。
XML Export 2.0には、ほとんどの情報が含まれています。実際のところ、スキャン中に捕捉されるすべての情報が含まれています。そのスキーマを、ヘルプのサポートページからダウンロード可能です。これを利用して、データの編成を理解し、ニーズに合わせてカスタマイズする方法を理解するために役立てることができます。
CSVエクスポートに取り組む
CSV(カンマ区切り値)レポートは、Microsoft Excel内で開くことが可能です。これは強力かつ汎用的な形式です。レポート・テンプレートで利用可能なスキャン情報よりはるかに膨大な量を含むばかりでなく、マクロおよびその他のExcelツールを容易に使用してこのデータを操作し、複数の見解を提供することが可能です。2つのCSV形式を利用可能です:
- CSV Exportには、包括的なスキャンデータが含まれます。
- XCCDF Human Readable CSV Reportは、個別のUSGCBまたはFDCC設定ポリシー・ルールへの準拠に関する個別のアセットのテスト結果を提供します。結果がオーバーライドされた場合、出力は、当該出力が生成された時点で一番最近のオーバーライドに基づく結果をリストします。ただし、出力はそのようなオーバーライドを識別しませんし、オーバーライド履歴を含めません。ルールテスト結果を無効化するをご参照ください。
CSV Export形式は、基本の脆弱性のチェック結果テンプレートおよびデータタイプ・カスタム・テンプレートでのみ動作します。カスタム・レポート・テンプレートで情報を微調整をご参照ください。
Excelピボットテーブルを使用してCSVファイルからカスタムレポートを作成する
Microsoft Excel内のピボットテーブルにより、本質的に1つのエクスポートCSVファイルから複数のレポートを作成する、さまざまな方法でレポートデータを処理できます。以下はピボットテーブルの使用法の説明です。この説明にはExcel 2007が反映されています。その他のバージョンのExcelでのワークフローも類似のものです。
Microsoft Excelをセキュリティ・コンソールに接続されているコンピュータ上にインストールしている場合、レポートページ上のCSVファイルのリンクをクリックします。これによりMicrosoft Excelが起動され、当該ファイルが開きます。コンソールに接続されているコンピュータ上にExcelがインストールされていない場合、レポートページからCSVファイルをダウンロードして、Excelがインストールされているコンピュータへと転送します。その後、以下の手順を利用します。
CSVファイルからカスタムレポートを作成するには:
- ピボットテーブルを作成するプロセスを開始します。
- すべてのデータを選択します。
- 挿入タブをクリックして、その後ピボットテーブルアイコンを選択します。
ピボットテーブルを作成ダイアログボックスが現れます。
- OKをクリックして、デフォルト設定を受け入れます。
Excelの新規空白シートが開きます。このシートの右側にピボットテーブル・フィールド・リストとタイトルが付いたバーがあり、レポート作成に使用されます。このバーのペイン上部は、レポートを追加できるフィールドのリストになっています。これらのフィールドのほとんどは、読んだとおりの意味です。
結果コードフィールドは、脆弱性のチェックの結果を提供します。結果コードおよびそれらの説明のリストについては、XML・CSV形式での脆弱性の例外の表示方法をご参照ください。
深刻度フィールドは、深刻度評価を数値で提供します。本アプリケーションは各脆弱性を深刻度レベルに割り当て、それらは深刻度コラムにリストされます。3つの深刻度レベル(危機的、深刻、中度)には、任意の脆弱性がネットワークセキュリティにもたらすリスクの度合いが反映されています。本アプリケーションは、CVSSスコア、脆弱性日齢とまん延度、エクスプロイトの可用性を含む、さまざまな要因を使用して、深刻度を評価します。
注意: 深刻度フィールドは、PCIレポートの深刻度スコアには関連付けられていません。
- 8~10 =クリティカル
- 4~7 = 深刻
- 1~3 = 中度
次のステップでは、以下の3つの例にみられるように、作成するレポート・タイプのフィールドの選択を行います。
例1: 最も多くエクスプロイトされている脆弱性の上位5つをリストするレポートを作成する
- 結果コードをレポートフィルターペインへとドラッグします。
- コラムBのドロップダウン矢印をクリックして、レポートに含めることが可能な結果コードを表示します。
- 複数アイテムのオプションを選択します。
- エクスプロイトされた脆弱性についてveを選択します。
- OKをクリックします。
- vuln-idを行ラベルペインにドラッグします。
行ラベルがコラムAに現れます。
- vuln-idを値ペインにドラッグします。
脆弱性IDのカウントがコラムBに現れます。
- コラムAのドロップダウン矢印をクリックして、リストされている脆弱性の数を5に変更します。
- 値フィルターを選択し、その後トップ10を選択します...
- トップ10フィルター・ダイアログボックスに5を入力して、OKをクリックします。
生成されるレポートに、最も多くエクスプロイトされている脆弱性の上位5つがリストされます。
例2: 各アセットに必須のMicrosoftホットフィックスをリストするレポートを作成する
- 結果コードをレポートフィルターペインへとドラッグします。
- シートのコラムBのドロップダウン矢印をクリックして、レポートに含めることが可能な結果コードを表示します。
- 複数アイテムのオプションを選択します。
- エクスプロイトされた脆弱性にveを、脆弱バージョンにvvを選択します。
- OKをクリックします。
- hostを行ラベルペインにドラッグします。
- vuln-idを行ラベルペインにドラッグします。
- ピボットテーブル・フィールド・リストバーのフィールドを選択するペイン内で、vuln-idを1度クリックします。
- その横に現れるドロップダウン矢印をクリックして、ラベルフィルターを選択します。
- ラベルフィルターダイアログボックスの含む...を選択します。
- 値windows-hotfixを入力します。
- OKをクリックします。
生成されるレポートに、各アセットに必須のMicrosoftホットフィックスがリストされます。
例3: 最も危機的な脆弱性およびリスクにさらされているシステムをリストするレポートを作成する
- 結果コードをレポートフィルターペインへとドラッグします。
- コラムBに現れるドロップダウン矢印をクリックして、レポートに含めることが可能な結果コードを表示します。
- 複数アイテムのオプションを選択します。
- エクスプロイトされた脆弱性についてveを選択します。
- OKをクリックします。
- 深刻度をレポートフィルターペインへとドラッグします。
シートをもう1つ開きます。
- コラムBに現れるドロップダウン矢印をクリックして、レポートに含めることが可能な評価を表示します。
- 複数アイテムのオプションを選択します。
- 危機的な脆弱性に、8、9、および10を選択します。
- OKをクリックします。
- vuln-titlesを行ラベルペインにドラッグします。
- vuln-titlesを値ペインにドラッグします。
- コラムAに現れるドロップダウン矢印をクリックして、値フィルターを選択します。
- トップ10フィルターダイアログボックスのトップ10...を選択して、値が10であることを確認します。
- OKをクリックします。
- hostを行ラベルペインにドラッグします。
- シートをもう1つ開きます。
- コラムBに現れるドロップダウン矢印をクリックして、ラベルフィルターを選択します。
- ラベルフィルター・ダイアログボックスのを超える...を選択して、値1を入力します。
- OKをクリックします。
生成されるレポートに、最も危機的な脆弱性およびリスクにさらされているアセットがリストされます。
XML・CSV形式での脆弱性の例外の表示方法
脆弱性の例外は、改善プロジェクトの優先順位付けおよびコンプライアンス監査に重要である場合があります。レポート・テンプレートには、例外専用のセクションがあります。脆弱性の例外をご参照ください。XMLレポートおよびCSVレポートでも、例外情報を利用可能です。
XML: 脆弱性テスト・ステータス属性は、例外により抑制された以下の脆弱性の値のいずれかに設定されます:
exception-vulnerable-exploited - 露呈(exploited)した脆弱性の抑止的な例外
exception-vulnerable-version - バージョンチェック後による脆弱性の抑止的な例外
exception-vulnerable-potential - 潜在的な脆弱性の抑止的な例外
CSV: 脆弱性結果のコード列は、例外により抑制された以下の脆弱性の値のいずれかに設定されます。
脆弱性の結果コード
各コードは脆弱性のチェックの結果に対応しています:
- ds(省略、無効):スキャンテンプレート内で無効化されていたため、チェックは実行されませんでした。
- ee(除外、エクスプロイト):エクスプロイト可能な脆弱性のチェックが除外されました。
- ep(除外、潜在的):潜在的脆弱性のチェックが除外されました。
- er(チェック中のエラー):脆弱性のチェック中にエラーが発生しました。
- ev(除外、バージョンチェック):チェックは除外されました。これは特定可能な脆弱性について行われます。なぜなら、スキャンされたサービス/アプリケーションのバージョンが既知の脆弱性に関連しているからです。
- nt(テストなし):実行すべきチェックがありませんでした。
- nv(非脆弱性):チェックは陰性でした。
- ov(オーバーライド、バージョンチェック):ターゲット・サービス/アプリケーションのバージョンが既知の脆弱性に関連しているため通常陽性である脆弱性のチェックが、その他のチェックからの情報により陰性でした。
- sd(DoS設定のため省略):sd(DoS設定のため省略):スキャンテンプレート内でアンセーフチェックが有効化されていない場合、サービスの否認(DOS)が生じるリスクがあるため、本アプリケーションはチェックを省略します。脆弱性のチェック設定のステップを設定するをご参照ください。
- sv(非適用バージョンであるため省略):スキャンアイテムのバージョンがチェックのリスト内に含まれていないため、本アプリケーションはチェックを実行しませんでした。
- uk(不明):内部問題により、本アプリケーションはスキャン結果をレポートしませんでした。
- ve(脆弱、エクスプロイト):アセット特定の脆弱性テストにより判明したため、チェックは陽性でした。この結果を持つ脆弱性は、見つかった脆弱性の結果タイプがレポート設定内で選択された場合には、CSVレポートに表示されます。レポート範囲を脆弱性でフィルタリングするをご参照ください。
- vp(脆弱、潜在的):潜在的脆弱性のチェックが陽性でした。
- vv(脆弱、バージョンチェック):チェックは陽性でした。スキャンされたサービス/ソフトウェアのバージョンが既知の脆弱性に関連しています。
データベース・エクスポート形式に取り組む
データベース・エクスポートレポート形式を、Oracle、MySQL、およびMicrosoft SQL Serverに出力可能です。
CSV形式およびXML形式のように、データベース・エクスポート形式は、含むデータという点でかなり包括的です。データベース・エクスポートにどの情報を含め、どの情報を除外するかは、設定できません。代替として、CSV形式またはXML形式の1つを検討してください。
Nexposeにより、レポートにどのデータが含まれデータがどのように配置されるかを理解するために役立つスキーマが提供されますので、データへの作業方法の理解に役立ちます。データベース・エクスポート・スキーマは、技術サポートにリクエスト可能です。