====== セキュリティ強化の監視 ====== {{indexmenu_n>20}} [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] ===== 強化監視 ===== The recommendations of the **Center for Internet Security** (**CIS**) have been merged with [[:en:documentation:pandorafms:monitoring:01_intro_monitoring|Pandora FMS monitoring technology]] to offer an integrated assurance audit system. This allows the evolution of hardening measures (security strengthening) to be tracked and evaluated over time in the environments used and monitored. **インターネットセキュリティセンター** (**CIS**) の推奨事項を、[[:ja:documentation:pandorafms:monitoring:01_intro_monitoring|Pandora FMS の監視技術]] と統合し、統合された保証監査システムを提供します。これにより、使用および監視対象の環境におけるセキュリティ強化策の進捗状況を、時間の経過とともに追跡および評価できます。 System hardening is a process used to improve the security of a computer system by reducing its attack surface and strengthening its defenses. It consists of making it more difficult for potential attackers to explore configuration errors, whether due to default configurations, bad configurations or improper configurations. システム強化とは、攻撃対象領域を縮小し、防御を強化することでコンピュータシステムのセキュリティを向上させるプロセスです。これは、デフォルト設定、間違った設定、あるいは不適切な設定など、潜在的な攻撃者が設定の問題を見つけることをより困難にすることを意味します。 System hardening is an ongoing process as security threats and vulnerabilities evolve over time. It requires constant monitoring, risk assessments, and adjustments to security configurations to adapt to changing circumstances. Additionally, organizations often follow industry-specific standards and best practices, such as **CIS** controls or **National Institute of Standards and Technology** (**NIST**) guidelines, to ensure integral hardening system. セキュリティの脅威と脆弱性は時間とともに進化するため、システムの強化は継続的なプロセスです。状況の変化に適応するためには、継続的な監視、リスク評価、そしてセキュリティ設定の調整が必要です。さらに、組織は、**CIS** 管理策や **米国国立標準技術研究所** (**NIST**) ガイドラインなど、業界固有の標準やベストプラクティスに従い、システムの総合的な強化を図ることがよくあります。 Pandora FMS uses several CIS categories to group the checks it performs. Pandora FMS は、実行するチェックをグループ化するために複数の CIS カテゴリを使用します。 ===== Pandora FMS で監査される CIS カテゴリ ===== We have taken the CIS recommendations a step further by implementing more than 1,500 individual checks across a variety of safety-critical categories. 当社では、安全性が極めて重要なさまざまなカテゴリにわたって 1,500 を超える個別のチェックを実施することで、CIS の推奨事項をさらに一歩進めています。 **Inventory and control of hardware and software assets**: Monitor and manage all devices and software in your organization. Maintain an up-to-date inventory of your technology assets and use authentication to block unauthorized processes. **ハードウェアおよびソフトウェア資産のインベントリと管理**:組織内のすべてのデバイスとソフトウェアを監視および管理します。テクノロジー資産の最新のインベントリを維持し、認証を使用して不正なプロセスをブロックします。 **Device inventory and control**: Identify and manage your hardware devices so that only authorized ones have access, blocking others. Maintaining proper inventory minimizes internal risks, organizes your environment, and provides clarity to your network. **デバイスのインベントリと管理**:ハードウェアデバイスを識別・管理し、許可されたデバイスのみがアクセスできるようにし、それ以外のデバイスはブロックします。適切なインベントリを維持することで、内部リスクを最小限に抑え、環境を整理し、ネットワークの透明性を確保できます。 **Vulnerability Management**: Analyze your assets continuously over time to detect potential vulnerabilities and fix them before they become the gateway to an attack. Strengthen network security by ensuring that software and operating systems in the organization are always up-to-date with the latest security measures and patches. Help manage your software to ensure that only authorized software is installed and running. Avoid vulnerabilities and risks by maintaining accurate inventory and managing your software. **脆弱性管理**:資産を継続的に分析し、潜在的な脆弱性を検出して、攻撃の入り口となる前に修正します。組織内のソフトウェアとオペレーティングシステムを常に最新のセキュリティ対策とパッチで更新することで、ネットワークセキュリティを強化します。ソフトウェア管理を支援し、承認されたソフトウェアのみがインストールおよび実行されるようにします。正確なインベントリを維持し、ソフトウェアを管理することで、脆弱性とリスクを回避します。 **Controlled use of administrative privileges**: Closely monitor access controls and the behavior of users with privileged accounts to prevent any unauthorized access to critical systems. Ensure that only authorized people have the appropriate privileges to avoid any misuse of administrative privileges. Establish strict policies to prevent misuse of privileges. **管理者権限の適切な使用**:アクセス制御と特権アカウントを持つユーザーの行動を綿密に監視し、重要なシステムへの不正アクセスを防止します。管理者権限の不正使用を防ぐため、適切な権限を付与されたユーザーのみがアクセスできるようにします。権限の不正使用を防ぐための厳格なポリシーを確立します。 **Secure hardware and software configuration**: Establish and maintain security configurations based on standards approved by your organization. Create a rigorous configuration management system that detects and alerts about any bad configuration, and establishes a change control process to prevent attackers from exploiting vulnerable services and configurations. **ハードウェアとソフトウェアの構成をセキュリティで保護する**:組織が承認した標準に基づいてセキュリティ構成を確立し、維持します。不適切な構成を検出して警告する厳格な構成管理システムを構築し、攻撃者が脆弱なサービスや構成を悪用するのを防ぐための変更管理プロセスを確立します。 **Log and audit log maintenance, monitoring, and analysis**: Collect, manage, and analyze event audit logs to identify potential anomalies. Maintain detailed logs to fully understand attacks and respond effectively to security incidents. **ログと監査ログの維持、監視、分析**:イベント監査ログを収集、管理、分析し、潜在的な異常を特定します。詳細なログを維持することで、攻撃を完全に理解し、セキュリティインシデントに効果的に対応できます。 **Malware Defenses**: Monitor and control the installation and execution of malicious code at different points in your organization to prevent attacks. Configure and use anti-malware software and leverage automation to ensure fast defense updates and prompt corrective action in the event of attacks. **マルウェア対策**:組織内の様々なポイントにおける悪意のあるコードのインストールと実行を監視・制御し、攻撃を防止します。マルウェア対策ソフトウェアを設定・使用し、自動化を活用することで、迅速な防御アップデートと攻撃発生時の迅速な是正措置を確実に実施できます。 **Email and Web Browser Protection**: Protect and manage your web browsers and email systems from online threats to reduce your attack surface. Disable unauthorized email plugins and ensure that users only access trusted websites using web-based URL filters. Keep common entry doors safe from attacks. **メールとウェブブラウザの保護**:ウェブブラウザとメールシステムをオンラインの脅威から保護・管理し、攻撃対象領域を縮小します。許可されていないメールプラグインを無効化し、ウェブベースのURLフィルターを使用して、ユーザーが信頼できるウェブサイトにのみアクセスできるようにします。共通の入口を攻撃から守ります。 **Data recovery capabilities**: Establish processes and tools to ensure your organization's critical information is properly backed up. Ensure you have a reliable data recovery system to restore information in the event of attacks that compromise critical data. Prepare your organization to deal with data loss effectively. **データ復旧能力**:組織の重要な情報が適切にバックアップされていることを確認するためのプロセスとツールを確立します。重要なデータが侵害されるような攻撃が発生した場合でも、情報を復元できる信頼性の高いデータ復旧システムを確保します。組織がデータ損失に効果的に対処できるよう準備を整えます。 **Boundary defense and data protection**: Identify and separate sensitive data, and establish a series of processes that include encryption, data infiltration protection plans, and data loss prevention techniques. Establish strong barriers to prevent unauthorized access. **境界防御とデータ保護**:機密データを特定・分離し、暗号化、データ侵入防止計画、データ損失防止技術を含む一連のプロセスを確立します。不正アクセスを防止するための強固な障壁を構築します。 **Monitoring and Account Control**: Closely monitors the entire life cycle of your systems and application accounts, from creation to deletion, usage and inactivity. This active management prevents attackers from exploiting legitimate but inactive user accounts for malicious purposes and allows you to maintain constant control over the accounts and their activities. **監視とアカウント制御**:システムとアプリケーションアカウントのライフサイクル全体、つまり作成から削除、使用中、そして非アクティブ状態に至るまでを綿密に監視します。この積極的な管理により、攻撃者が正当なユーザアカウントを悪意のある目的で悪用するのを防ぎ、アカウントとそのアクティビティを常に制御できます。 ===== 各マシンの詳細な強化監査 ===== The checks are performed by the [[:en:documentation:pandorafms:monitoring:02_operations|EndPoint]] that runs on each machine. Usually an audit takes place every week, but that period can be set to a longer period, such as a month. That way you can take a snapshot of the security of the system, calculate and assign a security index (a numerical rating, defined as the percentage of checks carried out and approved versus checks that do not pass the tests) and see the evolution of that safety index over time. チェックは、各マシンで実行される [[:ja:documentation:pandorafms:monitoring:02_operations|エンドポイント]] によって実行されます。通常、監査は毎週行われますが、1か月など、より長い期間に設定することもできます。これにより、システムのセキュリティのスナップショットを取得し、セキュリティインデックス(実行され承認されたチェックとテストに合格しなかったチェックの割合として定義される数値評価)を計算して割り当て、その安全性インデックスの経時的な変化を確認できます。 Example of a "snapshot" of the hardening status of a system: システムの強化状態の「スナップショット」の例: {{ :wiki:pfms-hardening-snapshot.png }} Example of the evolution of hardening of a system over time: システムの強化が時間の経過とともにどのように進化するかの例: {{ :wiki:pfms-hardening-evolution.png }} The system allows us to see, broken down by category, the checks that have been executed: システムでは、実行されたチェックをカテゴリ別に分類して確認できます。 {{ :wiki:pfms-hardening-summary_of_categories.png }} And for each group of elements, see the detail, to be able to work on its correction: それぞれの要素グループの詳細を確認し、修正作業を行うことができます。 {{ :wiki:pfms-hardening-results_for_audit.png }} {{ :wiki:pfms-hardening-results_for_audit-details.png }} ===== 強化監視設定 ===== Controls have been developed, depending on each system if applicable, that will help determine if they are relevant for the environment to be monitored. Currently this feature is available for MS Windows® and Linux® servers. 各システム(該当する場合)に応じて、監視対象環境における適切な制御方法を開発しました。現在、この機能はMS Windows® および Linux® サーバで利用可能です。 This feature is available with 773 EndPoints or later. **If the EndPoints belong to a version prior to 773, [[:en:documentation:pandorafms:management_and_operation:17_endpoints_deployment#ks1|they must be updated]]**. この機能は 773 以降のエンドポイントで利用できます。**エンドポイントが 773 より前のバージョンの場合は、[[:ja:documentation:pandorafms:management_and_operation:17_endpoints_deployment#ks1|更新する必要があります]]**。 For that, activate the corresponding plugin in the EndPoint configuration. It can be done manually or through [[:en:documentation:pandorafms:complex_environments_and_optimization:02_policy|monitoring policies]] on machine groups. そのためには、エンドポイント設定で対応するプラグインを有効化します。これは手動で行うことも、マシングループの[[:ja:documentation:pandorafms:complex_environments_and_optimization:02_policy|監視ポリシー]]を通じて行うこともできます。 On MS Windows®: MS Windows®: module_begin module_plugin "%PROGRAMFILES%\Pandora_Agent\util\pandora_hardening.exe -t 150" module_absoluteinterval 7d module_end Linux®: module_begin module_plugin /usr/share/pandora_agent/plugins/pandora_hardening -t 150 module_absoluteinterval 7d module_end In these examples, the hardening audit will be executed every 7 days, with a timeout of 150 seconds for each command launched during the audit. You may increase this value to 30 days, but we do not recommend doing it every few days, as it will generate unnecessary inventory data. これらの例では、強化監査は7日ごとに実行され、監査中に実行される各コマンドのタイムアウトは 150秒です。この値を 30日に増やすことも可能ですが、不要なインベントリデータが生成されるため、数日ごとに実行することはお勧めしません。 ==== 強化データ監視 ==== In addition to the [[#ks8|dashboard]] and specific views to be able to analyze this data in specific systems or at a global level, there are some modules generated by the hardening system that will allow the hardening evaluation data to be processed like other Pandora FMS data, to establish alerts, generate graphics or any other use that is needed. These modules are generated or updated automatically each time a hardening audit is run and belong to the **Module group** called **Security**. 特定のシステムまたはグローバルレベルでこのデータを分析するための [[#ks8|ダッシュボード]] と特定のビューに加えて、強化システムによって生成されるいくつかのモジュールがあり、強化評価データを他の Pandora FMS データと同様に処理して、アラートを生成したり、グラフを生成したり、その他の必要な用途に使用したりできます。これらのモジュールは、強化監査が実行されるたびに自動的に生成または更新され、**モジュールグループ****セキュリティ** に属します。 * **Hardening - Failed checks**: It shows the total number of checks that did not pass the securing test. * **Hardening - Not applied checks**: It shows the total number of checks that were not run because they do not apply (for example, checks for another version of your Linux distribution or Windows version, or because they look for a certain component that is not installed). * **Hardening - Passed checks**: It shows the total number of checks that passed the securing test. * **Hardening - Score**: It shows the percentage of checks that passed. A threshold can be set here to show when the system is in ''Warning'' or ''Critical'' state regarding securing. * **強化 - 失敗したチェック(Hardening - Failed checks)**: セキュリティテストに合格しなかったチェックの総数が表示されます。 * **強化 - 適用されなかったチェック(Hardening - Not applied checks)**: 適用されないため実行されなかったチェックの総数が表示されます(例: Linuxディストリビューションの別のバージョンや Windows バージョンのチェック、またはインストールされていない特定のコンポーネントを探すチェックなど)。 * **強化 - 合格したチェック(Hardening - Passed checks)**: セキュリティテストに合格したチェックの総数が表示されます。 * **強化 - スコア(Hardening - Score)**: 合格したチェックの割合が表示されます。ここでしきい値を設定することで、システムがセキュリティに関して「警告」または「障害」状態にあるかどうかを確認できます。 {{ :wiki:pfms-hardening-modules.png }} ===== 強化データ表示 ===== Once the EndPoints run the hardening module for the first time, the information will arrive and you may see in the detail of each EndPoint (**Operation → Monitoring views → Agent detail → Agent main view**) in the **Agent Contact** box three elements summarizing the security status (**SecurityMon**, hovering the pointer over it will show the number of security modules), the security percentage achieved (**Hardening**) and the vulnerability status (**Vulnerability**, hovering the pointer over it will show the score achieved): エンドポイントが強化モジュールを初めて実行すると、情報が到着し、各エンドポイントの詳細 (**操作(Operation) → 表示(Monitoring views) → エージェント詳細(Agent detail) → エージェントメイン画面**) の **エージェント接続** ボックスに、セキュリティステータス (**SecurityMon**、ポインターを合わせるとセキュリティモジュールの数が表示されます)、達成されたセキュリティのパーセンテージ (**強化(Hardening)**)、および脆弱性ステータス (**脆弱性(Vulnerbility)**、ポインターを合わせると達成されたスコアが表示されます) を要約した 3 つの要素が表示されます。 {{ :wiki:pfms-operation-monitoring_views-agent_detail-agent_main_view-agent_contact-security_overview.png }} A specific section will also be enabled for the hardening of these agents: これらのエージェントの強化のために、特定のセクションも有効になります。 {{ :wiki:pfms-resources-view_agents-security_hardening-agent_main_view.png }} In addition, you will be able to see a section in the operation menu called **Security**, where there is a [[:en:documentation:pandorafms:management_and_operation:09_dashboard#ks2_1_42|specific dashboard]] for **Hardening** data where you may filter by groups, agents, CIS categories and other details. さらに、操作メニューに **セキュリティ(Security)(** というセクションが表示されます。ここには、**強化(Hardening)** データ用の [[:ja:documentation:pandorafms:management_and_operation:09_dashboard#ks2_1_42|特定のダッシュボード]] があり、グループ、エージェント、CIS カテゴリ、その他の詳細でフィルタリングできます。 {{ :wiki:pfms-security_menu.png }} {{ :wiki:pfms-operation-hardening-historical_summary.png }} ===== 強化レポート ===== New [[:en:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks16|report types]] have been created to display hardening information: 強化情報を表示するための新しい [[:ja:documentation:pandorafms:technical_annexes:22_pfms_report_types#ks16|レポートタイプ]] があります。 * **Top N agents with the worst score**. Filtered by groups. * **Top N of checkups that fail most frequently**. Filtered by groups. * **Pie chart with Vulnerabilities by type**. Choosing a CIS category, the fails, passed and skipped (optional) of all agents are grouped (or only the group selected) by category. * **Top N of checks that fail by category**, the latest data from all agents (or only the selected group) is grouped by hardening categories and the categories with the highest number of fails among all agents are listed. * **List of security checks** is a technical and exhaustive report with all the details, the latest checks of an agent are listed, filtered by group, category and status. * **Scoring**, the latest scoring of the agents of the selected group or of all within the time range selected in the default filter of the reports is shown. The last scoring of each agent within the temporal range is always taken, that is, if a range of one month is set, the last scoring of the agents within that month will be searched. * **Evolution**, a global evolution of hardening is shown by averaging the tests that passed and those that failed, grouped by day, for all agents or those within the selected group. * **スコアが最も低い上位Nのエージェント(Top N agents with the worst score)**。グループ別にフィルタリングされます。 * **最も頻繁に失敗するチェックの上位N(Top N of checkups that fail most frequently)**。グループ別にフィルタリングされます。 * **脆弱性の種類別円グラフ(Pie chart with Vulnerabilities by type)**。CISカテゴリを選択すると、すべてのエージェント(または選択したグループのみ)の不合格、合格、スキップ(オプション)がカテゴリ別にグループ化されます。 * **カテゴリ別に失敗するチェックの上位N(Top N of checks that fail by category)**。すべてのエージェント(または選択したグループのみ)の最新データが強化カテゴリ別にグループ化され、すべてのエージェントの中で不合格数が最も多いカテゴリがリストされます。 * **セキュリティチェックのリスト(List of security checks)**。すべての詳細を含む技術的かつ包括的なレポートで、エージェントの最新のチェックがグループ、カテゴリ、ステータス別にフィルタリングされてリストされます。 * **スコアリング(Scoring)**。選択したグループのエージェント、またはレポートのデフォルトフィルタで選択された期間内のすべてのエージェントの最新のスコアリングが表示されます。時間範囲内の各エージェントの最新のスコアリングが常に取得されます。つまり、1か月の範囲が設定されている場合、その月内のエージェントの最新のスコアリングが検索されます。 * **進化(Evolution)** では、すべてのエージェントまたは選択したグループ内のエージェントについて、合格したテストと不合格のテストを日ごとにグループ化して平均することで、強化の全体的な進化が表示されます。 Here are some examples of PDF reports: PDF レポートの例をいくつか示します。 {{ :wiki:pfms-hardening_resport-example_1.png }} {{ :wiki:pfms-hardening_resport-example_2.png }} ===== 強化ダッシュボード ===== A new widget in the Pandora FMS Dashboard groups most hardening reports: Pandora FMS ダッシュボードの新しいウィジェットは、ほとんどの強化レポートをグループ化します。 {{ :wiki:security_hardening.png }} Configuration options: 設定オプション: {{ :wiki:pfms-dashboard-security_hardening_widget_options.png }} ===== エージェントのセキュリティ表示 ===== **Operation → Security → Agent security** menu. **操作(Operation) → セキュリティ(Security) → エージェントセキュリティ(Agent security)** メニュー。 In the agents' security view, **Hardening** column, you will be able to see the score of each agent, among other data. You may filter by hardening score percentage and include other additional fields. To show the agents without hardening score, use the **All** option. エージェントのセキュリティ表示の**強化(Hardening)**列では、各エージェントのスコアをはじめとするデータを確認できます。強化スコアのパーセンテージでフィルタリングしたり、その他の追加フィールドを含めたりすることも可能です。強化スコアのないエージェントを表示するには、**すべて(All)**オプションを使用してください。 {{ :wiki:pfms-operation-security-agent_security.png }} [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]