Loading...

ナレッジセンター


Vulnerability Manager の脆弱性診断で誤検知または非検知が検出された場合のトラブルシューティングでの FSDiag の使用方法
技術的な記事 ID:  KB55996
最終更新:  2014/03/25
評価:


環境

McAfee Vulnerability Manager 7.x

概要

 

動画チュートリアル

 

問題

Vulnerability Manager スキャンで誤検知または非検知が検出される。

スキャン結果が正しくない可能性がある。

システムの変更

 

原因

 

解決策 1

Windowsベースの Windows Host Assessment Module (WHAM)
  1. スキャンからログを収集する。
  2. 有効な認証が最初にWHAM モジュールに入力されたことを確認します。
  3. 有効な認証が使用されたのに誤検知が発生する場合は、そのホストにパッチがインストールされていることを証明するフォームを入手します。証明の例として以下があります。

    • HKLM\Software\Microsoft\Windows\Current Version\Uninstall レジストリーのエクスポート
    • %windir% にある KB*.log (* は KB のID)
    • %windir% にある Windows Update.log
       
  4. スキャンレポートを検索します。 
  5. FSDiag アウトプット(.txt および .pcap)を検索します。

    注意: WHAM チェックの場合、 IPC$ およびC$ シェアがマップされた状態でスクリプトを実行します。(C:\ がシステムドライブでない場合、システムドライブとなっているドライブの管理シェアをマップします。)
     
  6. パッチがどのように適用されたかの情報を収集します。パッチ適用には以下の方法があります。

    • 手動 (ダウンロードしてクリック)
    • Windows Update
    • SMS
    • マイクロソフト以外のパッチ管理ユーティリティ

解決策 2

*NIXベース (*NIX, *NIX 上のApache、*NIX 上のOracle など)

注意: *NIX は Linux、Unix および Mac OS (Unixベース) システムの一般的な用語です。
 
*NIX 環境にはWHAMのようなビルトイン証明機能がありません。その結果、非侵入チェックのほとんどは単純なバナーのチェックに依存しています。多くの場合、パッチベンダーバナーで返されるバージョンを更新しません。 したがってパッチを適用したシステム脆弱として識別されます。これは真の誤検知ではありません。 これはサービスによってバナーに返されたバージョンに基づいた正確な評価ですこのような状況における最良の選択肢は、既存の非侵入型チェックバナー以外にも照会しようとする侵入チェックに置き換えるためのFASL作成リクエストを置くことです。

*NIX 誤検知のトラブルシューティングには、以下のアイテムが必要となります。
  • FSDiag Output (.txt or .pcap)
  • Scan Reports
  • 誤検知を報告したホストにパッチがインストールされていることを示す証拠 (該当する場合のみ)
この情報は調査のためマカフィーテクニカルサポートに提出する必要があります。

解決策 3

Vulnerability Manager スキャンにおける誤検知 / 非検知のトラブルシューティングにFSDiag を使用する場合

  1. Copy the attached FSDiag tool to the engine where the scan took place.

    注意: FSDiag は、Vulnerability Manager バージョン 7.0.4 上の ...\Foundstone\ インストール ディレクトリから実行する必要があります。 
     
  2. fsdiag.exe をダブルクリックします。
    FSDiag 管理インターフェースが開きます。
  3. [Target]という名前のエリアで、ターゲットの IP を入力します。
  4. [Run]、[Mode]の順に選択します。
  5. Shell ターゲットの場合は[SSH]を、その他の場合は[FSL]を選択します。
  6. [File]、[Open]の順に選択します。
  7. ~\Foundstone\FASLScripts\ ディレクトリを検索してスクリプト名を選択します。

    注意:選択するスクリプトが分からない場合は、マカフィー テクニカルサポートにご相談ください。その際には、脆弱性の名前または Faultline ID が必要です。
     
  8. 接続の認証情報を指定します。

    SSH の場合:

    1. [SSH Module]、[Connection Options]の順にクリックします。
    2. UsernamePasswordを入力します。
    3. Connection Optionsで正しいプロトコルを選択します。
    4. [OK]をクリックします。

    Windows の場合:

    1. [Shares]、[Map Share]の順に選択します。
    2. UsernamePassword、およびServer(IP)を入力します。
    3. Shareは[IPC$]のままにします。
    4. [Connect]をクリックします。

     
  9. [Run]、[Start]の順に選択します。
  10. 処理終了後、[File]、[Save As]の順にクリックします。
  11. [File name]テキスト ボックスに分かりやすいファイル名を入力します(ファイル名にはスクリプトの名前を使用することを推奨します)。
  12. [Save as type]ドロップダウン リストから[Save All]を選択します。
  13. [Save]をクリックします。
  14. [File]、[Exit]の順にクリックして FSDiag ツールを閉じます。

診断結果が以下であることを検査します。

  • VULNERABLEは脆弱性あり
  • NOTVULNERABLEは脆弱性なし

調査のために、Save した Text および PCAPファイルをマカフィー テクニカルサポートにご提出ください。

連絡先情報:

次の方法でも可能です。
サービスポータル https://support.mcafee.com にログインします。
  • 登録済みのユーザの場合は、ユーザ IDパスワードを入力し、OKをクリックします。
  • 登録済みのユーザーでない場合は、New Userをクリックし、必須フィールドに必要事項を入力します。パスワードとログイン手順が電子メールで届きます。

回避策

 

添付ファイル 1

FSDiag_7_0.zip
407K • 1 minute(s) @ 56k, < 1 minute @ broadband


添付ファイル 2

FSDiag_7_5.zip
255K • < 1 minute @ 56k, < 1 minute @ broadband


以前のドキュメント ID

KB40247, FS12082302

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
México - Español
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.