====== 脆弱性検出 ====== {{indexmenu_n>30}} [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]] ===== 脆弱性監視 ===== In a similar way to how the hardening evaluation is carried out, Pandora FMS EndPoints and the remote discovery engine will search for information about the software installed on the system, then compare this information with the central database of vulnerabilities that Pandora FMS has (downloaded from NIST, Miter and other sources) and will provide a list of software packages with known vulnerabilities. 強化評価の実行方法と同様に、Pandora FMS エンドポイントとリモート検出エンジンは、システムにインストールされたソフトウェアに関する情報を検索し、この情報を Pandora FMS が持つ脆弱性の中央データベース (NIST、Miter などのソースからダウンロード) と比較し、既知の脆弱性を持つソフトウェアパッケージのリストを提供します。 This feature is available whether you have EndPoints (and these EndPoints have software inventory enabled) or if you do not have EndPoints and have to scan the network. If the network is scanned, the amount of information provided will be lower. It is recommended to use an agent. この機能は、エンドポイントがある場合 (およびこれらのエンドポイントでソフトウェアインベントリが有効になっている場合)、またはエンドポイントが存在せずネットワークをスキャンする必要がある場合に使用できます。ネットワークがスキャンされる場合、提供される情報量は少なくなります。エージェントを使用することをお勧めします。 Any version 7 EndPoint can be used for this **as long as it has software inventory activated**. This system works for Linux® and MS Windows® systems. **ソフトウェアインベントリが有効である限り** 、バージョン7の全てのエンドポイントが使用できます。このシステムは Linux® と MS Windows® システムで動作します。 In a similar way to how hardening works, Pandora FMS will offer a unique risk indicator for each system, based on the number of vulnerabilities and their dangerousness. 強化と同様の仕組みで、Pandora FMS は脆弱性の数とその危険性に基づいた各システムごとのリスク指標を提供します。 It will provide an information panel of the system's vulnerabilities, indicating the evolution of the risk over time, the vulnerabilities sorted by different criteria, such as complexity of the attack, severity, type of vulnerability, attack vector, user interaction, type of privileges required, etc. これはシステム脆弱性の情報パネルを提供し、時間経過ごとのリスクの進化を示し、攻撃の複雑さ、重大度、脆弱性の種類、攻撃ベクトル、ユーザ操作、必要な権限の種類といった様々な基準で分類した脆弱性を表示します。 {{ :wiki:pfms-system_risk_summary-1.png }} You may navigate through the control panel to filter the information and reach a level of detail where each vulnerable software package is specified, the vulnerability (with CVE code) that applies to it and the description of the problem: コントロールパネルを操作して情報をフィルタし、脆弱なソフトウェアパッケージが指定された詳細レベルと、それに適用される脆弱性(CVE コード付き)と問題の説明を表示できます。 {{ :wiki:pfms-system_risk_summary-2.png }} {{ :wiki:pfms-system_risk_summary-3.png }} ===== CVE とは? ===== **Common Vulnerabilities and Exposures** (CVE) is a unique, standardized identification for a security vulnerability in software or hardware. CVE are a naming and tracking system used around the world to identify and list specific security vulnerabilities. This system was created to make vulnerability information organization, communication and reference easier, allowing the cybersecurity community and IT professionals to address and solve security issues more efficiently. **CVE(Common Vulnerabilities and Exposures, 共通脆弱性識別子)** はソフトウェアやハードウェアのセキュリティ脆弱性に対するユニークで標準化された識別子です。CVE は特定のセキュリティ脆弱性を識別しリスト化するため世界中で利用されている命名・追跡システムです。このシステムは脆弱性情報の整理、伝達、参照を容易にし、サイバーセキュリティコミュニティと IT プロフェッショナルがセキュリティの問題により効率的に対処して解決できるようにするため作成されました。 The key features of a CVE are the following: CVEの鍵となる特徴は以下です。 * **Unique identification**: Each CVE has a unique number that identifies it, making it easy to track and reference. For example, a CVE may have a format like "CVE-2021-12345." * **Detailed Description**: Each CVE includes a detailed description of the vulnerability, allowing users to better understand the nature and impact of the issue. * **Cross-references**: CVEs often include cross-references to other security resources and databases, such as the National Institute of Standards and Technology (NIST) **National Vulnerability Database** (NVD), to provide additional information about the vulnerability. * **Publication Date**: CVEs normally include the date the vulnerability information was published. * **固有識別**: 各 CVE は識別のための固有の番号を持ち、追跡や参照を容易にします。例えば「CVE-2021-12345」のようなフォーマットになります。 * **詳細な説明**: 各 CVE は脆弱性の詳細な説明を含んでおり、ユーザが問題の性質と影響をより良く理解できます。 * **相互参照**: CVE はしばしば米国国立標準技術研究所(NIST)の国家脆弱性データベース(NVD)といった他のセキュリティリソースやデータベースとの相互参照を含んでおり、脆弱性についての追加情報を提供しています。 * **発行日**: CVE は通常脆弱性情報が公開された日付を含んでいます。 CVEs are used by the computer security industry, software and hardware vendors, security researchers and system administrators to track and manage vulnerabilities. This standardized nomenclature is essential to ensure that vulnerabilities are communicated and addressed consistently around the world, helping to protect organizations and end users from security threats. Additionally, the existence of CVE makes it easier to create databases and tools that allow organizations to stay up to date with the latest threats and apply patches or security solutions when necessary. CVE はコンピュータセキュリティ産業、ソフトウェア・ハードウェアベンダー、セキュリティ研究者、システム管理者が脆弱性を追跡し管理するために利用されています。この標準化された命名法は脆弱性を世界中に一貫して伝達・対処し、組織とエンドユーザをセキュリティの脅威から保護するのに不可欠です。加えて CVE の存在は、組織が最新の脅威を把握し、必要に応じパッチ適用やセキュリティ対策を取るためのデータベースやツールを作成することを容易にします。 ===== Pandora FMS 脆弱性データベース ===== The Pandora FMS vulnerability database draws from two sources: Pandora FMS 脆弱性データベースは2つのソースから取得されます。 * **CVE-Search** which combines data from NVD NIST, MITER and Red Hat. * **Direct information from the repositories** of Canonical, Red Hat, Debian, Arch Linux, NVD NIST, and Microsoft Security Updates. * NVD NIST、MITER、Red Hat からデータを組み合わせた **CVE 検索** * Canonical、Red Hat、Debian、Arch Linux、NVD NIST、Microsoft Security Updates の**リポジトリからの直接情報** The Pandora server builds its own database from this data and segments and indexes it in memory for quick detection, so that it only loads the vulnerabilities corresponding to the operating systems reported by Pandora FMS EndPoints. Pandora サーバーはこのデータから独自のデータベースを構築し、メモリ内でセ​​グメント化とインデックス作成を行い迅速な検出を実現します。これにより、Pandora FMS エンドポイントによって報告されたオペレーティングシステムに対応する脆弱性のみが読み込まれます。 To detect vulnerabilities using EndPoints, a database is used that is distributed by default with the PFMS server and associates package and application names with different CVEs. To detect remote vulnerabilities, a database is used that associates CPEs with CVEs. The console uses a database with information about the different CVEs found in the server database to display it to the user and generate reports. The data of the different CVEs are loaded in ''tpandora_cve'' table, which has existed since version 774. エンドポイントを用いて脆弱性を検出するため、デフォルトでは Pandora FMS サーバによって配布される、パッケージとアプリケーション名を様々な CVE と関連付けるデータベースを利用します。リモートで脆弱性を検知するため、CPE と CVE を関連付けるデータベースが利用されます。コンソールはサーバデータベースで見つかった様々な CVE 情報を含むデータベースを利用し、ユーザへの表示とレポート生成を行います。様々な CVE データはバージョン774から存在する ''tpandora_cve'' テーブルから読み込まれます。 ===== 脆弱性監査の設定 ===== ==== サーバでの設定 ==== For local vulnerability detection, [[:en:documentation:pandorafms:installation:04_configuration#dataserver|the Data Server]] must be activated and the EndPoints [[:en:documentation:pandorafms:management_and_operation:04_inventory#ks2|must send inventory information software]]. ローカルな脆弱性検知のためには、[[:ja:documentation:pandorafms:installation:04_configuration#dataserver|データサーバ]]がアクティブでエンドポイントが[[:ja:documentation:pandorafms:management_and_operation:04_inventory#collection_of_data_for_the_inventory|インベントリ情報を送信している]]必要があります。 For remote vulnerability detection to work [[:en:documentation:pandorafms:installation:04_configuration#discoveryserver|the Discovery Server must be activated]]. リモート脆弱性検知のためには[[:ja:documentation:pandorafms:installation:04_configuration#discoveryserver|自動検出サーバが有効である]]必要があります。 ==== エージェントでの設定 ==== The default configuration (global) is done in the setup. An agent can be manually deactivated or activated or using the global setup configuration, in the advanced configuration section. デフォルトであるグローバル設定は初期設定で完了しています。エージェントは手動で有効、無効、または グローバル設定を使用する を拡張オプションのセクションで切り替えられます。 {{ :wiki:pfms-agent_setup_view-advanced_options-vulnerability_scanning.png }} ==== リモートスキャンタスク ==== To do this you must go to [[:en:documentation:pandorafms:monitoring:17_discovery_2#ks2_3|Discovery]] and launch a new vulnerability discovery task. You will be asked for one or more groups of machines that already exist in monitoring to launch vulnerability detection on them. The main IP address of these agents will be used to launch the scan. If you do not have monitoring or they do not exist in Pandora FMS, they must be detected first with a normal discovery network detection. これを利用するためには、[[:ja:documentation:pandorafms:monitoring:17_discovery_2#ks2_3|自動検出]]に進み新たに脆弱性検出タスクを立ち上げる必要があります。脆弱性検出を始めるために、既存の1つ以上のグループを選択するよう求められます。スキャンには各エージェントのメイン IP アドレスが使用されます。監視していない、または Pandora FMS に存在しない対象の場合は、はじめに通常のネットワーク検出で検出しておく必要があります。 Vulnerability scanning will not create new agents. 脆弱性スキャンは新しいエージェントを作成しません。 {{ :wiki:pfms-discovery-application-tasks-vulnerability_scan-example_1.png }} {{ :wiki:pfms-discovery-application-tasks-vulnerability_scan-example_2.png }} {{ :wiki:pfms-discovery-application-tasks-vulnerability_scan-example_3.png }} ===== 脆弱性データ表示 ===== Once the system has information, it will be displayed in the Vulnerabilities tab of each monitored system. 情報を取得できると各監視システムに脆弱性のタブが表示されます。 It also has (**as of version 775**) a general dashboard, with several added graphs, such as the **Top-10** of most vulnerable systems (worst ranking of vulnerabilities), **Top-10 vulnerabilities ** (most frequent) and other groupings. **バージョン775現在** ダッシュボードが表示され、(脆弱性ランキングで最低の)最も脆弱なシステム**トップ10** 、(最も頻出の)**脆弱性トップ10** 、その他グルーピングのグラフが含まれています。 These reports have some specific filters: これらのレポートはいくつかの要素でフィルタできます。 * By group of machines. * Attack complexity (low/high/medium). * Type of vulnerability (confidentiality, integrity, availability…). * Access vector: Network, Adjacent Network… * **User interaction: none, required, etc**. * **Privileges required: None, low**… * 機器のグループ * 攻撃の複雑さ(低/中/高) * 脆弱性の種類(機密性、完全性、可用性、…) * アクセスベクトル(ネットワーク、隣接ネットワーク、…) * ユーザ操作(なし、必要、など) * 必要な権限(なし、低、…) {{ :wiki:pfms-vulnerability_views-1.png }} {{ :wiki:pfms-vulnerability_views-2.png }} {{ :wiki:pfms-vulnerability_views-3.png }} {{ :wiki:pfms-vulnerability_views-4.png }} Scope metrics allow you to quickly filter out vulnerabilities: スコープメトリクスで脆弱性を素早くフィルタできます。 {{ :wiki:pfms-vulnerability_views-5.png }} ==== 戦略的セキュリティの表示 ==== **Operation → Security → Vulnerabilities** menu. **操作(Operation)****→ セキュリティ(Security) ****→ 脆弱性(Vulnerabilities)** メニューに進みます。 === 概要 === It presents an overall picture of the agents, with graphs summarizing the total system risk as a whole, the severity of the complexity of the attacks and the vulnerabilities presented by each installed software package. エージェントの全体像が表示され、システム全体のリスク、攻撃の複雑さの重大度、インストールされている各ソフトウェアパッケージがもたらす脆弱性をまとめたグラフが表示されます。 {{ :wiki:pfms-operation-security-vulnerabilities-summary_section.png }} You may filter by agent group, all groups are displayed by default (**All**). エージェントグループでフィルタできます。デフォルトでは**全て(All)** のグループが表示されます。 === データの内訳 === It presents a breakdown of security data, showing the top 10 agents and top 10 software packages with the most vulnerabilities. セキュリティデータの内訳として、最も脆弱であるトップ10のエージェントとトップ10のソフトウェアパッケージを表示します。 {{ :wiki:pfms-operation-security-vulnerabilities-data_breakdown_section.png }} Information can be filtered by agent groups and exported in CSV format. Summaries in **Privileges required**, **User Interaction** and **Attack Vector** boxes have display buttons that refer to the [[#audit|audit section]]. 情報はエージェントグループでのフィルタと CSV フォーマットでのエクスポートが可能です。**必要な権限** 、**ユーザ操作** 、**攻撃ベクトル** の項は[[#監査|監査]]セクションを参照するボタンがあります。 === 監査 === By default it displays all vulnerability information, so it may take some time to load. You will be able to filter by infinite combinations of vulnerability features, including specific CVE identifier numbers. デフォルトでは全ての脆弱性情報を表示するので、ロードに時間がかかるかもしれません。CVE 番号を含む脆弱性の特徴の組み合わせでフィルタすることができます。 {{ :wiki:pfms-operation-security-vulnerabilities-audit_section.png }} Once the information has been filtered, each item has a detail display button (eye icon) that will display the corresponding detailed information. 情報をフィルタすると、各アイテムに詳細な情報を表示するボタン(目のアイコン)が現れます。 [[ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]