- FireSIGHT System ユーザ ガイド
- Contents
- Cisco FireSIGHT システムの概要
- FireSIGHT システム へのログイン
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスの設定
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- 集約インターフェイスのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの準備
- セキュリティ インテリジェンスの IP アドレ ス レピュテーションを使用したブラックリ スト登録
- アクセス コントロール ルールを使用したト ラフィック フローの調整
- ネットワークベースのルールによるトラ フィックの制御
- レピュテーション ベースのルールによるト ラフィックの制御
- ユーザに基づくトラフィックの制御
- 侵入ポリシーおよびファイル ポリシーを使 用したトラフィックの制御
- トラフィック復号の概要
- SSL ポリシーの準備
- SSL ルールの準備
- SSL ルールを使用したトラフィック復号の調整
- ネットワーク分析ポリシーおよび侵入ポリ シーについて
- ネットワーク分析ポリシーまたは侵入ポリ シーでのレイヤの使用
- トラフィックの前処理のカスタマイズ
- ネットワーク分析ポリシーの準備
- アプリケーション層プリプロセッサの使用
- SCADA の前処理の設定
- トランスポート層およびネットワーク層の 前処理の設定
- パッシブ展開における前処理の調整
- 侵入ポリシーの準備
- ルールを使用した侵入ポリシーの調整
- ネットワーク資産に応じた侵入防御の調整
- 特定の脅威の検出
- 侵入イベント ロギングのグローバルな制限
- 侵入ルールの理解と作成
- マルウェアと禁止されたファイルのブロッ キング
- ネットワーク トラフィックの接続のロギ ング
- 接続およびセキュリティ インテリジェンス のデータの使用
- マルウェアとファイル アクティビティの 分析
- 侵入イベントの操作
- インシデント対応
- 外部アラートの設定
- 侵入ルールの外部アラートの設定
- ネットワーク検出の概要
- ネットワーク検出の拡張
- アクティブ スキャンの設定
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- FireSIGHT システムのコンプライアンス ツー ルとしての使用
- トラフィック プロファイルの作成
- 修復の設定
- ダッシュボードの使用
- Context Explorer の使用
- レポートの操作
- ワークフローの概要と使用
- カスタム テーブルの使用
- イベントの検索
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システム のライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ設定の指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、お よび通信ポート
- サードパーティ製品
- Glossary
FireSIGHT System バージョン 5.4.1 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2018年8月6日
章のタイトル: アクティブ スキャンの設定
アクティブ スキャンの設定
FireSIGHT システムは、ネットワークのトラフィックをパッシブ分析してネットワーク マップを構築します。しかし、ホストをアクティブにスキャンして、そのホストに関する情報を判別する必要が生じることがあります。たとえば、オープン ポート上で実行中のサーバがホストにあり、システムによるネットワークのモニタリング中にそのサーバがトラフィックを送受信しなかった場合、システムではそのサーバに関する情報をネットワーク マップに追加しません。しかし、アクティブ スキャナを使用して直接そのホストをスキャンすると、サーバの存在を検出できます。
ホストをアクティブにスキャンする場合、ホストに関する情報を取得しようとする際にパケットを送信します。FireSIGHT システムは Nmap™ 6.01 と統合されています。これはネットワークの調査やセキュリティの監査用のオープン ソースのアクティブ スキャナで、ホスト上で実行されているオペレーティング システムやサーバを検出するのに使用できます。Nmap スキャンを使用すると、その結果に基づいて、ホスト上で実行されているオペレーティング システムやサーバに関する詳細情報を調べ、システムの脆弱性に関する報告内容を改善できます。
(注
) スキャン オプションによっては(ポートスキャンなど)低帯域幅のネットワークに非常に負荷をかけることがあります。この種のスキャンは、必ずネットワーク利用率が低い時間にスケジュールする必要があります。
Nmap スキャンの概要
Nmap を使用すると、ネットワーク内のホスト上のポートをアクティブにスキャンして、そのホストのオペレーティング システムやサーバのデータを判別することにより、ネットワーク マップの質を高めたり、スキャン対象のホストにマップされている脆弱性の精度を微調整したりできます。Nmap がホスト プロファイルに結果を追加できるようにするには、その前にホストがネットワーク マップ内になければならないことに注意してください。結果ファイル内でスキャン結果を参照することもできます。
Nmap を使用してホストをスキャンすると、以前に検出されなかったオープン ポート上のサーバが、そのホストに関するホスト プロファイル内の Servers リストに追加されます。ホスト プロファイルの Scan Results セクションには、フィルタ処理されていたり閉じていたりしている TCP ポートや UDP ポート上で検出されたサーバがリストされます。デフォルトでは、Nmap は 1660 を超える TCP ポートをスキャンします。
Nmap はスキャン結果と 1500 を超える既知のオペレーティング システムのフィンガープリントを比較して、オペレーティング システムを判別し、それぞれにスコアを割り当てます。最高スコアのオペレーティング システムのフィンガープリントが、ホストに割り当てられるオペレーティング システムになります。
Nmap スキャンで識別されたサーバがシステムで認識され、対応するサーバ定義がシステムにある場合、システムはそのサーバの脆弱性をホストにマップします。システムは、Nmap で使用されているサーバの名前を対応する Cisco のサーバ定義にマップし、システム内で各サーバにマップされた脆弱性を使用します。同様に、システムは Nmap のオペレーティング システム名を Cisco のオペレーティング システム定義にマップします。Nmap がホストのオペレーティング システムを検出すると、システムは対応する Cisco のオペレーティング システム定義からホストに脆弱性を割り当てます。
スキャンに使用される基礎的な Nmap テクノロジーの詳細については、 http://insecure.org にある Nmap のマニュアルを参照してください。
Cisco アプライアンス上の Nmap の詳細については、次のトピックを参照してください。
Nmap 修復の概要
Nmap 修復を作成して、Nmap スキャンの設定を定義できます。Nmap 修復は、相関ポリシー内で応答として使用したり、オン デマンドで実行したり、特定の時間に実行するようにスケジュールしたりできます。Nmap スキャンの結果をネットワーク マップ内に表示するには、スキャン対象のホストがネットワーク マップ内にすでに存在していなければなりません。
Nmap により提供されるサーバやオペレーティング システムのデータは、もう一度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用してホスト内でオペレーティング システムやサーバのデータをスキャンすることを計画している場合は、定期的なスキャンのスケジュールをセットアップして、Nmap によって提供されるオペレーティング システムやサーバのデータを最新に保つこともできます。詳細については、Nmap スキャンの自動化を参照してください。ホストがネットワーク マップから削除されると、そのホストに関する Nmap スキャン結果は破棄されることにも注意してください。
Nmap の機能に関する詳細情報については、 http://insecure.org のマニュアルを参照してください。次の表に、FireSIGHT システム 上で設定できる Nmap 修復オプションを示します。
|
|
|
|
|---|---|---|
Nmap スキャンを相関ルールに対する応答として使用する場合、イベント内の送信元ホスト、宛先ホスト、またはその両方のどのアドレスをスキャンするのか制御するオプションを選択します。 |
||
|
||
TCP ポートに加えて UDP ポートのスキャンも有効にします。UDP ポートのスキャンには時間がかかることがあるので、クイック スキャンする場合はこのオプションを使用しないように注意してください。 |
||
相関ポリシー内で応答として修復を使用する計画の場合に、修復によるスキャンの対象として、相関応答をトリガーするイベントで指定されたポートのみを有効にします。 |
||
スキャン元デバイス上の |
||
Nmap ポート仕様シンタックスを使用して、スキャンする特定のポートを設定し、スキャンする順序も設定します。このオプションと [高速ポート スキャン(Fast Port Scan)] オプションを併用できないことに注意してください。 |
||
ベンダーおよびバージョン情報に関するオープン ポートのプローブ(Probe open ports for vendor and version information) |
サーバ ベンダーとバージョン情報の検出を有効にします。オープン ポートでサーバ ベンダーとバージョン情報を調査する場合、Nmap はサーバの識別に使用するサーバ データを取得します。次に、Ciscoのサーバ データをそのサーバに置き換えます。 |
|
サービス バージョンに対する Nmap プローブの強度を選択します。サービスの強度の数値が大きいほど、使用されるプローブが多くなり、精度は高くなります。強度の数値が小さいほど、プローブは高速になりますが、取得する情報は少なくなります。 |
||
ホストのオペレーティング システム情報の検出を有効にします。 ホストでのオペレーティング システムの検出を設定した場合、Nmap はホストをスキャンし、その結果を使用してオペレーティング システムごとに評価を作成します。この評価は、ホスト上でそのオペレーティング システムが実行されている可能性を反映します。Nmap で識別されるアイデンティティ データがネットワーク マップに表示される時点とその方法の詳細については、現在の ID についてを参照してください。 |
||
ホスト ディスカバリ プロセスを省略し、ターゲット範囲内のすべてのホスト上でのポート スキャンを有効にします。このオプションを有効にすると、Nmap は [ホスト ディスカバリ方式(Host Discovery Method)] と [ホスト ディスカバリ ポート リスト(Host Discovery Port List)] の設定を無視するので注意してください。 |
||
ホスト ディスカバリを、ターゲット範囲内のすべてのホストに対して実行するか、[ホスト ディスカバリ ポート リスト(Host Discovery Port List)] にリストされているポートを経由して実行するか、または、ポートがリストされていない場合にそのホスト ディスカバリ方式のデフォルト ポートを経由するかを選択します。 ここで、[すべてのホストをオンラインとして処理(Treat All Hosts As Online)] も有効にすると、[ホスト ディスカバリ方式(Host Discovery Method)] オプションは無効になり、ホスト ディスカバリが実行されないことに注意してください。 ホストが存在していて利用可能であるかどうかを Nmap がテストする際に使用する方式を以下から選択します。
|
||
ホスト ディスカバリを行い、サーバ、オペレーティング システム、脆弱性を検出する Nmap スクリプトのデフォルト セットを実行できるようにします。デフォルト スクリプトのリストについては、 http://nmap.org/nsedoc/categories/default.html を参照してください。 |
||
Nmap スキャン戦略の作成
アクティブ スキャンにより重要な情報が得られることがありますが、Nmap などのツールを多用すると、ネットワーク リソースに負荷がかかり、重要なホストがクラッシュすることさえあります。アクティブ スキャナを使用する際には、スキャン戦略を作成して、スキャンする必要があるホストとポートのみスキャンするようにしてください。
適切なスキャン ターゲットの選択
Nmap を設定する際に、スキャン対象のホストを識別するスキャン ターゲットを作成できます。スキャン ターゲットには 1 つの IP アドレス、IP アドレスの CIDR ブロックまたはオクテット範囲、IP アドレス範囲、スキャンする IP アドレスまたは範囲のリスト、および 1 つ以上のホスト上のポートが含まれます。
– 厳密な IP アドレス( 192.168.1.101 など)
– 厳密な IP アドレス( 192.168.1.101 など)またはカンマかスペースで区切った IP アドレスのリスト
– CIDR 表記を使用した IP アドレス ブロック(たとえば、 192.168.1.0/24 は、両端を含めて 192.168.1.1 から 192.168.1.254 の間の 254 個のホストをスキャンします)
FireSIGHT システムでの CIDR 表記の使用法の詳細については、IP アドレスの表記規則を参照してください。
– オクテットの範囲アドレッシングを使用した IP アドレス範囲(たとえば、 192.168.0-255.1-254 は、192.168.x.x の範囲内の末尾が.0 と.255 以外のすべてのアドレスをスキャンします)
– ハイフンを使用した IP アドレス範囲(たとえば、 192.168.1.1 - 192.168.1.5 は、両端を含めて 192.168.1.1 から 192.168.1.5 の間の 6 つのホストをスキャンします)
– カンマかスペースで区切ったアドレスか範囲のリスト(たとえば、 192.168.1.0/24, 194.168.1.0/24 は、両端を含めて 192.168.1.1 から 192.168.1.254 の間の 254 個のホストと、両端を含めて 194.168.1.1 から 194.168.1.254 の間の 254 個のホストをスキャンします)
理想的な Nmap スキャンのスキャン ターゲットには、システムで識別できないオペレーティング システムがあるホスト、識別されていないサーバがあるホスト、最近ネットワーク上で検出されたホストが含まれます。ネットワーク マップ内にないホストに関する Nmap 結果は、ネットワーク マップに追加できないことに注意してください。
Nmap によって提供されるサーバやオペレーティング システムのデータは、もう一度 Nmap スキャンを実行するまで静的な状態のままになります。Nmap を使用したホストのスキャンを計画している場合は、Nmap で提供されるオペレーティング システムやサーバのデータを最新に保つため、定期的なスキャンのスケジュールをセットアップすることもできます。詳細については、
Nmap スキャンの自動化を参照してください。ホストがネットワーク マップから削除されると、Nmap スキャン結果は破棄されることにも注意してください。また、ターゲットをスキャンする権限を持っていることを確認してください。Nmap を使用して自分や自社に属さないホストをスキャンすると違法になる場合があります。
スキャン対象にする適切なポートの選択
設定するスキャン ターゲットごとに、スキャン対象のポートを選択できます。各ターゲット上でスキャンする必要があるポートのセットを正確に識別するため、個々のポート番号、ポート範囲、または一連のポート番号やポート範囲を指定できます。
デフォルトでは、Nmap は 1 から 1024 までの TCP ポートをスキャンします。相関ポリシー内で応答として修復を使用する計画の場合は、相関応答をトリガーするイベントで指定されたポートのみを修復でスキャンできます。オン デマンドまたはスケジュール済みタスクとして修復を実行する場合、または Use Port From Event を使用しない場合は、その他のポート オプションを使用して、スキャンするポートを決定できます。 nmap-services ファイルにリストされている TCP ポートのみスキャンし、その他のポート設定を無視するよう選択できます。TCP ポートの他に UDP ポートもスキャンできます。UDP ポートに対するスキャンには時間がかかることがあるので、すばやくスキャンする場合はこのオプションを使用しないように注意してください。スキャン対象として特定のポートかポート範囲を選択するには、Nmap ポート仕様シンタックスを使用してポートを識別します。
ホスト ディスカバリ オプションの設定
ホストに対してポート スキャンを始める前にホスト ディスカバリを実行するかどうかを決めるか、またはスキャンを計画しているすべてのホストがオンラインであると想定できます。すべてのホストをオンラインとして扱わないことを選択した場合、使用するホスト ディスカバリ方式を選択でき、必要に応じて、ホスト ディスカバリ時のスキャン対象ポートのリストをカスタマイズできます。ホスト ディスカバリ時には、リストされているポートでオペレーティング システムやサーバの情報は調査されません。特定のポートを経由する応答を使用して、ホストがアクティブで使用可能かどうかのみを判別します。ホスト ディスカバリを実行して、ホストが利用可能でなかった場合には、そのホスト上のポートは Nmap でスキャンされません。
サンプルの Nmap スキャン プロファイル
例:不明なオペレーティング システムの解決
システムでネットワーク上のホストのオペレーティング システムを判別できない場合、Nmap を使用してホストをアクティブ スキャンできます。Nmap は、スキャンから得られた情報を利用して、使用されている可能性のあるオペレーティング システムを評価します。次に、最高の評価のオペレーティング システムを、ホストのオペレーティング システムを識別したものとして使用します。
Nmap を使用して新しいホストにオペレーティング システムやサーバの情報を要求すると、スキャン対象のホストに対するシステムによるそのデータのモニタリングは非アクティブになります。Nmap を使用してホスト検出を実行し、システムにより不明なオペレーティング システムがあるとマークが付けられたホストのサーバ オペレーティング システムを検出すると、同種のホストのグループを識別できる場合があります。その場合、それらのホストのうちの 1 つに基づいたカスタム フィンガープリントを作成し、システムでそのフィンガープリントを、Nmap スキャンに基づいてそのホスト上で実行されていると判明したオペレーティング システムと関連付けるようにすることができます。可能な限り、Nmap などのサードパーティ製の静的データを入力するよりも、カスタム フィンガープリントを作成してください。カスタム フィンガープリントを使用すると、システムはホストのオペレーティング システムを継続してモニタし、必要に応じて更新できるからです。
Nmap を使用してオペレーティング システムを検出する方法:
手順 1 Nmap モジュールのスキャン インスタンスを設定します。
詳細については、Nmap スキャン インスタンスの作成を参照してください。
- [イベントからのポートを使用(Use Port From Event)] を有効にして、新しいサーバに関連付けられたポートをスキャンします。
- [オペレーティング システムの検出(Detect Operating System)] を有効にして、ホストのオペレーティング システムの情報を検出します。
- [ベンダーおよびバージョン情報に関するオープン ポートのプローブ(Probe open ports for vendor and version information)] を有効にして、サーバ ベンダーとバージョン情報を検出します。
- ホストが既存であることが判明しているので、[すべてのホストをオンラインとして処理(Treat All Hosts as Online)] を有効にします。
Nmap 修復の作成の詳細については、Nmap 修復の作成を参照してください。
手順 3 システムで不明なオペレーティング システムがあるホストが検出されたときにトリガーされる相関ルールを作成します。
このルールは、 ディスカバリ イベントが発生 し、 ホストの OS 情報が変更 されており、 OS 名が不明 という条件が満たされている場合にトリガーされる必要があります。
相関ルールの作成の詳細については、相関ポリシーのルールの作成を参照してください。
相関ポリシーの作成の詳細については、相関ポリシーの作成を参照してください。
手順 5 相関ポリシー内で、ステップ 2 で応答として作成した Nmap 修復をステップ 3 で作成したルールに追加します。
手順 7 ネットワーク マップ上のホストを消去し、強制的にネットワーク検出が再起動されてネットワーク マップが再構築されるようにします。
手順 8 1 日後か 2 日後に、相関ポリシーによって生成されたイベントを検索します。Nmap 結果から、ホスト上で検出されたオペレーティング システムを分析し、システムで認識されない特定のホスト設定がネットワーク上にあるかどうか調べます。
Nmap 結果の分析の詳細については、スキャン結果の分析を参照してください。
手順 9 不明なオペレーティング システムがあるホストが複数検出され、Nmap 結果が同一の場合は、それらのホストの 1 つに対してカスタム フィンガープリントを作成し、将来類似のホストを識別する際に使用します。
詳細については、クライアント フィンガープリントの作成を参照してください。
例:新しいホストに対する応答
システムにより、侵入の可能性があるサブネット内で新しいホストが検出された場合、そのホストをスキャンして、そのホストの脆弱性に関する正確な情報を入手できます。
そのためには、このサブネット内に新しいホストが出現した時点で検出し、そのホスト上で Nmap スキャンを実行する修復を起動する相関ポリシーを作成してアクティブにします。
このポリシーをアクティブにした後で、修復状態の表示([ポリシーと応答(Policy & Response)] > [応答(Responses)] > [修復(Remediations)] > [ステータス(Status)])を定期的に検査して、修復が起動された時点を調べることができます。修復の動的なスキャン ターゲットには、サーバ検出の結果としてスキャンされたホストの IP アドレスを含める必要があります。これらのホストのホスト プロファイルを調べて、Nmap によって検出されたオペレーティング システムとサーバに基づいて、対処する必要がある脆弱性がホストにあるかどうか確認します。
大規模なネットワークや動的なネットワークがある場合、新しいホストの検出は頻繁に発生するので、スキャンを使用して応答するには不向きな場合があります。リソースの過負荷を避けるために、頻繁に発生するイベントへの応答として Nmap スキャンを使用しないでください。また、Nmap を使用して新しいホストのオペレーティング システムやサーバの情報を要求すると、スキャン対象のホストに対する Cisco によるそのデータのモニタリングが非アクティブになることに注意してください。
手順 1 Nmap モジュールのスキャン インスタンスを設定します。
詳細については、Nmap スキャン インスタンスの作成を参照してください。
- [イベントからのポートを使用(Use Port From Event)] を有効にして、新しいサーバに関連付けられたポートをスキャンします。
- [オペレーティング システムの検出(Detect Operating System)] を有効にして、ホストのオペレーティング システムの情報を検出します。
- [ベンダーおよびバージョン情報に関するオープン ポートのプローブ(Probe open ports for vendor and version information)] を有効にして、サーバ ベンダーとバージョン情報を検出します。
- ホストが既存であることが判明しているので、[すべてのホストをオンラインとして処理(Treat All Hosts as Online)] を有効にします。
Nmap 修復の作成の詳細については、Nmap 修復の作成を参照してください。
手順 3 システムが特定のサブネット上で新しいホストを検出したときにトリガーされる相関ルールを作成します。
このルールは、 ディスカバリ イベントが発生 し、 新しいホストが検出 されたときにトリガーされる必要があります。
相関ルールの作成の詳細については、相関ポリシーのルールの作成を参照してください。
相関ポリシーの作成の詳細については、相関ポリシーの作成を参照してください。
手順 5 相関ポリシー内で、ステップ 2 で応答として作成した Nmap 修復をステップ 3 で作成したルールに追加します。
手順 7 新しいホストが通知されたら、ホスト プロファイルを調べて Nmap スキャンの結果を確認し、ホストに適用されている脆弱性に対処します。
Nmap スキャンのセットアップ
Nmap を使用してスキャンするには、最初にスキャン インスタンスとスキャン修復を設定します。Nmap スキャンをスケジュールする計画の場合は、スキャン ターゲットも定義します。
Nmap スキャン インスタンスの作成
脆弱性についてネットワークをスキャンするのに使用する Nmap モジュールごとに別々のスキャン インスタンスをセットアップできます。Defense Center 上のローカル Nmap モジュールか、リモートでスキャンを実行するために使用するデバイスに対してスキャン インスタンスをセットアップできます。各スキャンの結果は常に Defense Center に保存されます。リモート デバイスからスキャンを実行する場合でも、この場所でスキャンを設定できます。ミッション クリティカルなホストへの不慮のスキャンや悪意のあるスキャンを防ぐには、インスタンスのブラックリストを作成し、そのインスタンスで決してスキャンしてはならないホストを指示できます。
既存のスキャン インスタンスと同じ名前のスキャン インスタンスを追加できないことに注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 [Nmap インスタンスの追加(Add Nmap Instance)] をクリックします。
[インスタンスの詳細(Instance Detail)] ページが表示されます。
手順 3 [インスタンス名(Instance Name)] フィールドに、1 文字から 63 文字の英数字の名前を入力します。アンダースコア(_)とハイフン(-)以外の特殊文字およびスペースは使用できません。
手順 4 [説明(Description)] フィールドに 0 文字から 255 文字の英数字の説明を指定します。スペースや特殊文字を使用できます。
手順 5 オプションで、[ブラックリスト化されたスキャン ホスト(Black Listed Scan hosts)] フィールドで、このスキャン インスタンスがスキャン しない ホストまたはネットワークを指定します。
ブラックリストに含まれるネットワーク内のホストをスキャン対象として特定すると、スキャンは実行されません。
手順 6 オプションで、Defense Centerの代わりにリモート デバイスからスキャンを実行するには、そのデバイスの IP アドレスか名前を指定します。この情報は、Defense Center Web インターフェイス内のそのデバイスに関する [情報(Information)] ページの [リモート デバイス名(Remote Device Name)] フィールドに表示されます。
Nmap スキャン ターゲットの作成
特定のホストとポートを識別するスキャン ターゲットを作成して保存できます。その後、オンデマンド スキャンを実行するかスキャンをスケジュールする際に、保存済みのスキャン ターゲットの 1 つを使用できます。
IPv4 アドレスのターゲットをスキャンする場合、1 つの IP アドレス、IP アドレスのリスト、CIDR 表記、または Nmap スキャンのオクテットを使用して、スキャンするホストを選択できます。ハイフンを使用して、アドレスの範囲を指定することもできます。カンマかスペースを使用して、リスト内のアドレスや範囲を区切ります。
IPv6 アドレスのスキャンの場合、1 つの IP アドレスを使用します。インターフェイスの範囲は入力できません。
Nmap により提供されるサーバやオペレーティング システムのデータは、もう一度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用したホストのスキャンを計画している場合は、Nmap で提供されるオペレーティング システムやサーバのデータを最新に保つため、定期的なスキャンのスケジュールをセットアップすることもできます。詳細については、Nmap スキャンの自動化を参照してください。ホストがネットワーク マップから削除されると、そのホストに関する Nmap スキャン結果は破棄されることにも注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 ツールバーで、[ターゲット(Targets)] をクリックします。
[スキャン ターゲット リスト(Scan Target List)] ページが表示されます。
手順 3 [スキャン ターゲットの作成(Create Scan Target)] をクリックします。
[スキャン ターゲット(Scan Target)] ページが表示されます。
手順 4 [名前(Name)] フィールドに、このスキャン ターゲットに使用する名前を入力します。
手順 5 [IP 範囲(IP Range)] テキスト ボックスで、次のシンタックスを使用して、スキャンする 1 つ以上のホストを指定します。
FireSIGHT システムでの CIDR 表記の使用法の詳細については、IP アドレスの表記規則を参照してください。
- IPv4 ホストの場合、オクテットの範囲アドレッシングを使用した IP アドレス範囲(たとえば、
192.168.0-255.1-254は、192.168.x.xの範囲内の末尾が.0 と.255 以外のすべてのアドレスをスキャンします) - IPv4 ホストの場合、ハイフンを使用した IP アドレス範囲(たとえば、
192.168.1.1-192.168.1.5は、両端を含めて 192.168.1.1 から 192.168.1.5 の間の 6 つのホストをスキャンします) - IPv4 ホストの場合、カンマかスペースで区切ったアドレスまたは範囲のリスト(たとえば、
192.168.1.0/24, 194.168.1.0/24は、両端を含めて 192.168.1.1 から 192.168.1.254 の間の 254 個のホストと、両端を含めて 194.168.1.1 から 194.168.1.254 の間の 254 個のホストをスキャンします)
(注) [IP 範囲(IP Range)] テキスト ボックスには最大 255 文字まで入力できます。また、スキャン ターゲット内の IP アドレスか範囲のリストでカンマを使用した場合、ターゲットを保存する際にカンマはスペースに変換されるので注意してください。
手順 6 [ポート(Ports)] フィールドで、スキャンするポートを指定します。
1 から 65535 までの値を使用して、次のいずれかを入力できます。
Nmap 修復の作成
Nmap 修復を作成して、Nmap スキャンの設定を定義できます。Nmap 修復は、相関ポリシー内で応答として使用したり、オン デマンドで実行したり、特定の時間に実行するようにスケジュールしたりできます。Nmap スキャンの結果をネットワーク マップ内に表示するには、スキャン対象のホストがネットワーク マップ内にすでに存在していなければなりません。
Nmap 修復の具体的な設定について詳しくは、Nmap 修復の概要を参照してください。
Nmap により提供されるサーバやオペレーティング システムのデータは、もう一度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用してホスト内でオペレーティング システムやサーバのデータをスキャンすることを計画している場合は、定期的なスキャンのスケジュールをセットアップして、Nmap によって提供されるオペレーティング システムやサーバのデータを最新に保つこともできます。詳細については、Nmap スキャンの自動化を参照してください。ホストがネットワーク マップから削除されると、そのホストに関する Nmap スキャン結果は破棄されることにも注意してください。
Nmap の機能に関する一般情報については、 http://insecure.org にある Nmap のマニュアルを参照してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 修復を追加するスキャン インスタンスの隣の [修復の追加(Add Remediation)] をクリックします。
[修復の編集(Edit Remediation)] ページが表示されます。
手順 3 [修復名(Remediation Name)] フィールドに、1 文字から 63 文字の英数字を使用して修復の名前を入力します。アンダースコア(_)とハイフン(-)以外の特殊文字およびスペースは使用できません。
手順 4 [説明(Description)] フィールドに、0 文字から 255 文字の英数字を使用して修復の説明を入力します。スペースや特殊文字を使用できます。
手順 5 侵入イベント、接続イベント、またはユーザ イベントでトリガーとして使用する相関ルールに応じてこの修復を使用する場合は、[イベントに基づくアドレスのスキャン(Scan Which Address(es) From Event?)] オプションを設定します。
ディスカバリ イベントまたはホスト入力イベントに対してトリガーする相関ルールへの応答としてこの修復を使用する計画の場合は、デフォルトでそのイベントに関連するホストの IP アドレスが修復によってスキャンされます。このオプションを設定する必要はありません。
(注) トラフィック プロファイルの変更でトリガーとして使用する相関ルールへの応答として Nmap 修復を割り当てないでください。
手順 6 次のように、[スキャン タイプ(Scan type)] オプションを設定します。
- TCP 接続を開始して完了していない状態で、
adminアカウントが raw パケット アクセス権を持つホストや IPv6 が実行されていないホスト上でステルス モードですばやくスキャンするには、[TCP Syn スキャン(TCP Syn Scan)] を選択します。 - システム コール
connect()(Defense Center 上のadminアカウントが raw パケット アクセス権を持っていないホストや IPv6 が実行されているホスト上で使用できる)を使用してスキャンするには、[TCP Connect スキャン(TCP Connect Scan)] を選択します。 - ACK パケット送信して、ポートがフィルタ処理されているかどうか検査するには、[TCP ACK スキャン(TCP ACK Scan)] を選択します。
- ポートがフィルタリングされているかどうかを確認し、ポートが開いているか閉じているかも判別するために ACK パケットを送信するには、[TCP Window スキャン(TCP Window Scan)] を選択します。
- FIN/ACK プローブを使用して BSD 派生システムを識別するには、[TCP Maimon スキャン(TCP Maimon Scan)] を選択します。
手順 7 オプションで、TCP ポートに加えて UDP ポートをスキャンするには、[UDP ポートのスキャン(Scan for UDP ports)] オプションで [オン(On)] を選択します。
ヒント UDP ポートスキャンは TCP ポートスキャンよりも時間がかかります。スキャン時間を短縮するには、このオプションを無効のままにします。
手順 8 相関ポリシー違反への応答としてこの修復を使用する計画の場合は、[イベントからのポートを使用(Use Port From Event)] を以下のように設定します。
- 相関イベント内のポートをスキャンし、ステップ 11 で指定するポートをスキャンしない場合は、[オン(On)] を選択します。
相関イベント内のポートをスキャンする場合は、ステップ 5 で指定した IP アドレス上のポートが修復によりスキャンされることに注意してください。これらのポートも修復の動的スキャンのターゲットに追加されます。
- ステップ 11 で指定するポートのみスキャンするには、[オフ(Off)] を選択します。
手順 9 相関ポリシー違反への応答としてこの修復を使用する計画で、イベントを検出した検出エンジンを実行しているアプライアンスを使用してスキャンを実行するには、[レポート検出エンジンからスキャン(Scan from reporting detection engine)] オプションを以下のように設定します。
手順 10 [高速ポート スキャン(Fast Port Scan)] オプションを以下のように設定します。
手順 11 [ポート範囲とスキャン順序(Port Ranges and Scan Order)] フィールドに、デフォルトでスキャンするポートを入力します。Nmap 構文を使用し、ポートをスキャンする順序で入力します。
1 から 65535 までの値を指定します。ポートを区切るには、カンマかスペースを使用します。ハイフンを使用してポートの範囲を指示することもできます。TCP ポートと UDP ポートの両方ともスキャンする場合は、スキャン対象の TCP ポートのリストの先頭に T を挿入し、UDP ポートのリストの先頭に U を挿入します。たとえば UDP トラフィックのポート 53 と 111 をスキャンしてから TCP トラフィックのポート 21 ~ 25 をスキャンするのであれば U:53,111,T:21-25 と入力します。
ステップ 8 で説明されているように、相関ポリシー違反への応答として修復が起動する場合には、[イベントからのポートを使用(Use Port From Event)] オプションによりこの設定が上書きされることに注意してください。
手順 12 サーバ ベンダーおよびバージョン情報に関して開いているポートをプローブするには、[ベンダーおよびバージョン情報に関するオープン ポートのプローブ(Probe open ports for vendor and version information)] を設定します。
手順 13 オープン ポートの調査を選択する場合は、[サーバ バージョン強度(Service Version Intensity)] ドロップダウン リストから数値を選択して、使用するプローブの数を設定します。
手順 14 オペレーティング システム情報をスキャンするには、[オペレーティング システムの検出(Detect Operating System)] を以下のように設定します。
手順 15 ホスト ディスカバリが行われるかどうか、およびポートのスキャンが使用可能なホストのみに対して実行されるかどうかを決めるには、[すべてのホストをオンラインとして処理(Treat All Hosts As Online)] を以下のように設定します。
手順 16 Nmap でホストの可用性をテストする場合に使用する方式を以下のように選択します。
このオプションはデフォルトでポート 80 をスキャンすることと、TCP SYN スキャンはステートフル ファイアウォール ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
このオプションはデフォルトでポート 80 をスキャンすることと、TCP ACK スキャンはステートレス ファイアウォール ルールが指定されたファイアウォールでブロックされる可能性が低いことに注意してください。
手順 17 ホスト ディスカバリ時にポートのカスタム リストをスキャンする場合は、選択したホスト ディスカバリ方式に該当するポートのリストを、[ホスト ディスカバリ ポート リスト(Host Discovery Port List)] フィールドにカンマで区切って入力します
手順 18 ホスト ディスカバリを行い、サーバ、オペレーティング システム、脆弱性 のディスカバリを行う Nmap スクリプトのデフォルト セットを使用するかどうかを制御するには、[デフォルト NSE スクリプト(Default NSE Scripts)] オプションを以下のように設定します。
デフォルト スクリプトのリストについては、 http://nmap.org/nsedoc/categories/default.html を参照してください。
手順 19 スキャン プロセスのタイミングを設定するには、タイミングのテンプレート番号を選択します。選択する数値が大きいほどスキャンは高速で幅が狭くなり、小さいほどスキャンは低速で包括的になります。
手順 20 [保存(Save)] をクリックし、[完了(Done)] をクリックします。
Nmap スキャンの管理
必要に応じて、Nmap スキャン インスタンスや修復を変更したり削除したりできます。オンデマンドの Nmap スキャンを実行することもできます。以前のスキャンに関する Nmap 結果を表示したりダウンロードしたりすることもできます。詳細については、次の項を参照してください。
Nmap スキャン インスタンスの管理
Nmap スキャン インスタンスの編集
スキャン インスタンスを変更するには、次の手順を使用します。インスタンスを変更する際に、そのインスタンスに関連付けられた修復を表示、追加、削除できることに注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 編集するインスタンスの横にある [表示(View)] をクリックします。
[インスタンスの詳細(Instance Detail)] ページが表示されます。
手順 3 オプションで、表示または編集する修復の横にある [表示(View)] をクリックします。
修復の編集の詳細については、Nmap 修復の編集を参照してください。
手順 4 オプションで、削除する修復の横にある [削除(Delete)] をクリックします。
修復の削除の詳細については、Nmap 修復の削除を参照してください。
手順 5 オプションで、[追加(Add)] をクリックして、このスキャン インスタンスに新しい修復を追加します。
新しい修復の作成の詳細については、Nmap 修復の管理を参照してください。
手順 6 オプションで、スキャン インスタンスの設定に変更を加えてから、[保存(Save)] をクリックします。
Nmap スキャン インスタンスの削除
インスタンス内でプロファイルが作成された Nmap モジュールを使用しなくなった場合には、Nmap スキャン インスタンスを削除します。スキャン インスタンスを削除すると、そのインスタンスを使用する修復も削除されることに注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] をクリックします。
手順 2 削除するスキャン インスタンスの横にある [削除(Delete)] をクリックします。
Nmap 修復の管理
Nmap 修復の編集
Nmap 修復に加えた変更は、進行中のスキャンには影響しません。新しい設定は、次回スキャンが開始されたときに有効になります。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 編集する修復の横にある [表示(View)] をクリックします。
[修復の編集(Remediation Edit)] ページが表示されます。
変更できる設定については、Nmap 修復の作成を参照してください。
手順 4 [保存(Save)] をクリックし、[完了(Done)] をクリックします。
Nmap 修復の削除
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 削除する修復の横にある [削除(Delete)] をクリックします。
オンデマンド Nmap スキャンの実行
必要なときにいつでもオンデマンド Nmap スキャンを起動できます。スキャンする IP アドレスとポートを入力するか、既存のスキャン ターゲットを選択して、オンデマンド スキャンのターゲットを指定できます。
Nmap により提供されるサーバやオペレーティング システムのデータは、もう一度 Nmap スキャンを実行するまで静的な状態のままであることに注意してください。Nmap を使用したホストのスキャンを計画している場合は、Nmap で提供されるオペレーティング システムやサーバのデータを最新に保つため、定期的なスキャンのスケジュールをセットアップすることもできます。詳細については、Nmap スキャンの自動化を参照してください。また、ホストがネットワーク マップから削除されると、Nmap スキャン結果は破棄されることにも注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 スキャンの実行時に使用する Nmap 修復の横にある [スキャン(Scan)] をクリックします。
[Nmap スキャン ターゲット(Nmap Scan Target)] ダイアログ ボックスが表示されます。
手順 3 オプションで、保存済みのスキャン ターゲットを使用してスキャンするには、[保存済みターゲット(Saved Targets)] ドロップダウン リストからターゲットを選択して、[ロード(Load)] をクリックします。
スキャン ターゲットに関連付けられた IP アドレスおよびポートが、[IP 範囲(IP Range(s))] フィールドと [ポート(Ports)] フィールドに入力されます。
ヒント スキャン ターゲットを作成するには、[ターゲットの編集/追加(Edit/Add Targets)] をクリックします。詳細については、Nmap スキャン ターゲットの作成を参照してください。
手順 4 [IP 範囲(IP Range(s))] フィールドで、最大 255 文字までで、スキャンするホストの IP アドレスを指定するかロードされたリストを変更します。
IPv4 アドレスのホストの場合、複数の IP アドレスをカンマで区切って指定するか、CIDR 表記を使用できます。感嘆符(!)を前に挿入して IP アドレスを否定することもできます。FireSIGHT システムでの CIDR 表記の使用法の詳細については、IP アドレスの表記規則を参照してください。
IPv6 アドレスのホストの場合、厳密な IP アドレスを使用します。インターフェイスの範囲は入力できません。
手順 5 [ポート(Ports)] フィールドで、スキャンするポートを指定するか、ロードされたリストを変更します。
ポート番号、カンマで区切ったポートのリスト、ハイフンで区切ったポート番号の範囲を入力できます。ポートの入力の詳細については、検索でのポートの指定を参照してください。
手順 6 [今すぐスキャン(Scan Now)] をクリックします。
Nmap は IP アドレスの範囲を検証し、範囲が無効な場合はエラー メッセージを表示することに注意してください。表示された場合は、[IP 範囲(IP Range(s))] フィールドの内容を訂正し、有効な IP アドレス範囲を指定してください。
スキャン ターゲットの管理
Nmap モジュールを設定する際にスキャン ターゲットを作成して保存できます。スキャン ターゲットは、オンデマンドまたはスケジュール済みのスキャンの実行時にターゲットにするホストとポートを識別します。これにより、毎回新しいスキャン ターゲットを作成する必要がなくなります。スキャン ターゲットには、スキャンする 1 つの IP アドレスか IP アドレスのブロック、および 1 つ以上のホスト上のポートが含まれます。Nmap ターゲットの場合、Nmap オクテット範囲のアドレッシングや IP アドレスの範囲も使用できます。Nmap オクテットの範囲アドレッシングの詳細については、 http://insecure.org にある Nmap のマニュアルを参照してください。
スキャン ターゲットに多数のホストが含まれている場合、スキャンに要する時間が延びる場合があることに注意してください。回避策として、一度にスキャンするホストを減らしてください。
スキャン ターゲットの編集
ヒント 修復を使用して特定の IP アドレスをスキャンするつもりがないのに、修復を起動した相関ポリシー違反にホストが関係していたためにその IP アドレスがターゲットに追加された場合は、修復の動的スキャン ターゲットを編集できます。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 ツールバーで、[ターゲット(Targets)] をクリックします。
[スキャン ターゲット リスト(Scan Target List)] ページが表示されます。
手順 3 編集するスキャン ターゲットの横にある [編集(Edit)] をクリックします。
[スキャン ターゲット(Scan Target)] ページが表示されます。
手順 4 必要に応じて変更を加え、[保存(Save)] をクリックします。
スキャン ターゲットの削除
スキャン ターゲットにリストされているホストをスキャンする必要がなくなった場合は、そのスキャン ターゲットを削除します。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 ツールバーで、[ターゲット(Targets)] をクリックします。
[スキャン ターゲット リスト(Scan Target List)] ページが表示されます。
手順 3 削除するスキャン ターゲットの横にある [削除(Delete)] をクリックします。
アクティブ スキャンの結果での作業
進行中の Nmap スキャンをモニタする方法、FireSIGHT システムで以前に実行したスキャンからの結果か FireSIGHT システム以外で実行した結果をインポートする方法、およびスキャン結果を表示して分析する方法については、次の項を参照してください。
スキャン結果の表示
スキャン結果のテーブルを表示してから、探している情報に応じてイベント表示を操作できます。
スキャン結果にアクセスすると表示されるページは、使用するワークフローに応じて異なります。定義済みのワークフローを使用できます。このワークフローにはスキャン結果のテーブル ビューが含まれます。
また、特定のニーズを満たす情報だけを表示するカスタム ワークフローを作成することもできます。カスタム ワークフローの作成方法については、カスタム ワークフローの作成を参照してください。
次の表で、スキャン結果ワークフローのページで実行できる特定のアクションの一部について説明します。
|
|
|
|---|---|
スキャン結果テーブルについてで詳細を参照してください。 |
|
時間範囲のリンクをクリックします。詳細については、イベント時間の制約の設定を参照してください。 |
|
非表示にするカラムの見出しで、クローズ アイコン( 展開矢印( |
|
詳細については、イベントの制約を参照してください。 |
|
ツールバーの [スキャナ(Scanners)] をクリックします。 詳細については、Nmap スキャンのセットアップを参照してください。 |
|
ワークフローのページの使用で詳細を参照してください。 |
|
表示するイベント ビューの名前を [ジャンプ先(Jump to)] ドロップダウン リストから選択します。詳細については、ワークフロー間のナビゲートを参照してください。 |
|
[検索(Search)] をクリックします。詳細については、スキャン結果の検索を参照してください。 |
)をクリックします。表示されるポップアップ ウィンドウで、[適用(Apply)] をクリックします。
)をクリックして検索制約を展開してから、[無効化されたカラム(Disabled Columns)] の下の列名をクリックします。手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 [スキャン結果(Scan Results)] をクリックします。
デフォルトのスキャン結果ワークフローの先頭ページが表示されます。カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。別のデフォルト ワークフローの指定方法については、イベント ビュー設定の設定を参照してください。
スキャン結果テーブルについて
Nmap スキャンを実行すると、Defense Center でデータベース内のスキャン結果が収集されます。スキャン結果テーブルのフィールドについて、以下の表で説明します。
|
|
|
|---|---|
スキャン結果の分析
ローカル Nmap モジュールを使用して作成したスキャン結果を、レンダリングされたページとしてポップアップ ウィンドウで表示できます。Nmap 結果ファイルを未加工の XML 形式でダウンロードすることもできます。
Nmap によって検出されたオペレーティング システムやサーバの情報を、ホスト プロファイルやネットワーク マップ内で参照することもできます。ホストのスキャンが生成するサーバ情報がフィルタ除去されているかクローズ状態のポートのサーバに関する情報の場合、または、スキャンが収集した情報がオペレーティング システム情報やサーバのセクションに含めることができない情報の場合、それらの結果は、ホスト プロファイルの Nmap Scan Results セクションに含められます。詳細については、ホスト プロファイルの表示を参照してください。
スキャンのモニタリング
Nmap スキャンの進行状況を検査し、現在進行中のスキャン ジョブをキャンセルできます。スキャン結果には各スキャンの開始時刻と終了時刻が示されます。またスキャンの完了後に、スキャン結果をレンダリングされたページとしてポップアップ ウィンドウで表示することもできます。Nmap は、 http://insecure.org で入手できる Nmap バージョン 1.01 DTD を使用して、ダウンロードして表示できる結果を生成します。スキャン結果をクリアすることもできます。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
手順 2 [スキャン結果(Scan Results)] をクリックします。
デフォルトのスキャン結果ワークフローの先頭ページが表示されます。カスタム ワークフローなど、別のワークフローを使用するには、ワークフローのタイトルの横の [(ワークフローの切り替え)((switch workflow))] をクリックします。別のデフォルト ワークフローの指定方法については、イベント ビュー設定の設定を参照してください。
ヒント スキャン結果のテーブル ビューが含まれていないカスタム ワークフローを使用している場合、ワークフローのタイトル付近の [(ワークフローの切り替え)((switch workflow))] をクリックしてから、[スキャン結果(Scan Results)] を選択します。
スキャン結果のインポート
FireSIGHT システムの外部で実行された Nmap スキャンによって作成された XML 結果ファイルをインポートできます。以前に FireSIGHT システムからダウンロードした XML 結果ファイルもインポートできます。Nmap スキャン結果をインポートするには、結果ファイルは XML 形式で、Nmap バージョン 1.01 DTD に準拠している必要があります。Nmap 結果の作成と Nmap DTD の詳細については、 http://insecure.org にある Nmap のマニュアルを参照してください。FireSIGHT システムからの XML 結果のダウンロードの詳細については、スキャンのモニタリングを参照してください。
Nmap がホスト プロファイルに結果を追加できるようにするには、その前にホストがネットワーク マップ内になければならないことに注意してください。
手順 1 [ポリシー(Policies)] > [アクション(Actions)] > [スキャナ(Scanners)] を選択します。
[スキャン インスタンス(Scan Instances)] ページが表示されます。
手順 2 ツールバーで、[結果のインポート(Import Results)] をクリックします。
[結果のインポート(Import Results)] ページが表示されます。
手順 3 [参照(Browse)] をクリックし、結果ファイルに移動します。
手順 4 [結果のインポート(Import Results)] ページに戻ったら、[インポート(Import)] をクリックして結果をインポートします。
スキャン結果の検索
FireSIGHT システム内のアプライアンスや管理対象アプライアンスで実行した Nmap またはサードパーティのスキャン結果を検索できます。
|
|
|
|---|---|
| 時間入力の構文については、検索での時間制約の指定を参照してください。 |
|
| 時間入力の構文については、検索での時間制約の指定を参照してください。 |
|
この結果を作成したスキャンのスキャン ターゲットの IP アドレス(DNS 解決が有効になっている場合はホスト名)を入力します。 IP アドレスの範囲を指定するには、特定の IP アドレスか CIDR 表記を使用します。IP アドレスに使用できるシンタックスの完全な説明については、検索での IP アドレスの指定を参照してください。 |
|
保存されている検索をロードおよび削除する方法など、検索の詳細については、イベントの検索を参照してください。
手順 1 [分析(Analysis)] > [検索(Search)] を選択してから、テーブルのドロップダウン リストから [スキャン結果(Scan Results)] を選択します。
[スキャン結果(Scan Results)] 検索ページが表示されます。
ヒント データベース内で別の種類のイベントを検索するには、テーブルのドロップダウン リストから選択します。
手順 2 表 スキャン結果の検索条件 に記載されているように、該当するフィールドに検索基準を入力します。
複数のフィールドに条件を入力して検索すると、すべてのフィールドに対して指定された検索条件に一致するレコードのみが返されます。
手順 3 必要に応じて検索を保存する場合は、[プライベート(Private)] チェックボックスをオンにしてプライベートとして検索を保存すると、本人だけがアクセスできるようになります。本人のみではなくすべてのユーザを対象にする場合は、このチェックボックスをオフのままにして検索を保存します。
ヒント 制約された権限を持つカスタム ユーザ ロールの制約として検索を保存する場合は、検索を非公開として保存する必要があります。
手順 4 必要に応じて、後で再度使用する検索を保存できます。次の選択肢があります。
新しい検索の場合、ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。保存済みの既存の検索で新しい条件を保存する場合、プロンプトは表示されません。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
ダイアログボックスに検索の名前を要求するプロンプトが表示されます。一意の検索名を入力して [保存(Save)] をクリックします。検索が保存され([プライベート(Private)] を選択した場合は本人のアカウントでのみ閲覧可能)、後で実行できます。
手順 5 検索を開始するには、[検索(Search)] ボタンをクリックします。
フィードバック