QRadar Vulnerability Manager のデプロイメント

IBM® QRadar® Vulnerability Manager をデプロイして、ネットワーク内の脆弱性を見つけて、管理します。 HCL BigFix®IBM Security SiteProtector などのアドオン機能を統合することで、ネットワーク・セキュリティーを強化します。

IBM QRadar Vulnerability Manager は、ネットワーク・デバイス、アプリケーション、およびソフトウェア上の脆弱性を検出し、脆弱性にコンテキストを追加し、ネットワーク上のアセット・リスクに優先順位を付けて、検出された脆弱性の修復をサポートします。

QRadar Risk Manager を統合して保護を強化できます。これにより、ポリシー・コンプライアンスに基づき、アセットに対して、ネットワーク・トポロジー、アクティブな攻撃パス、および高リスクのアセットのリスク・スコア調整を行うことができます。 QRadar Vulnerability ManagerQRadar Risk Manager は 1 つのオファリングに結合されており、どちらも単一の基本ライセンスを通じて有効化されます。

インストールする製品によって、および IBM QRadar をアップグレードするか新規システムをインストールするかによって、「脆弱性」タブが表示されない場合があります。 IBM QRadar Vulnerability Manager にアクセスするには、「脆弱性」タブを使用します。 IBM QRadar SIEM をインストールする場合は、「脆弱性」タブが一時ライセンス・キーを使用してデフォルトで有効化されます。 QRadar Log Manager をインストールする場合は、「脆弱性」タブが有効化されません。 「試用」オプションを使用して、QRadar Vulnerability Manager を 30 日間試用できます。 QRadar Vulnerability Manager のライセンスを別個に購入することで、ライセンス・キーを使用してこれを有効化できます。 アップグレードについて詳しくは、「IBM QRadar Upgrade Guide」を参照してください。

QRadar Vulnerability Managerコンポーネント

以下は、QRadar Vulnerability Manager プロセッサーの情報です。

  • スキャン・プロセッサーは、スキャンをスケジューリングおよび管理し、各スキャナーに作業を委任します。これらのスキャナーは、ネットワーク全体に分散されている場合があります。
  • QRadar デプロイメント内で使用できるスキャン・プロセッサーは 1 つのみです。
  • オールインワン・システムに QRadar Vulnerability Manager をインストールし、ライセンス交付を受けると、脆弱性プロセッサーがご使用の QRadar コンソールに自動的にデプロイされ、スキャン・コンポーネントが組み込まれます。
  • 脆弱性プロセッサーには、デフォルトでスキャン・コンポーネントが備わっています。 また、必要に応じて、脆弱性プロセッサーをデプロイメント内の他の管理対象ホストに移動することができます。
  • 600 管理対象ホスト・アプライアンスを追加した場合、QRadar Vulnerability Manager を初めて使用するときに、スキャン・プロセッサーが 600 管理対象ホスト・アプライアンスに割り当てられます。
  • スキャン・プロセッサーは処理ライセンスによって管理されます。このライセンスによって、QRadar Vulnerability Manager で処理できるアセットの最大数が決まります。
  • スキャン・プロセッサーは、QRadar コンソール または管理対象ホストで実行できます。

以下は、QRadar Vulnerability Manager スキャナーの情報です。

  • スキャナーは仮想マシン上にデプロイすることも、ソフトウェアのみとしてデプロイすることもできます。
  • QRadar Vulnerability Manager スキャナー専用スキャナー・アプライアンスをデプロイできます。これは、610 アプライアンスです。
  • スキャナーは QRadar コンソールにデプロイできます。または、フロー・コレクターフロー・プロセッサーイベント・コレクターイベント・プロセッサー (Event Processor)データ・ノードなどの管理対象ホストにデプロイできます。
  • スキャナーでスキャンできるアセットの数は、スキャナーの容量によって決まります。ライセンスによって影響を受けることはありません。

コンポーネントおよびスキャン・プロセス

スキャン・ジョブは、1 つのプロセッサーと 1 つのスキャナー・コンポーネントによって実行されます。 以下の図には、スキャン・コンポーネントと、実行するプロセスが示されています。

図 1. スキャン・コンポーネントおよびプロセス
コンポーネントおよびスキャン・プロセス
以下のリストには、スキャン・プロセスのステップが説明されています。
  1. アセットの IP アドレス、スキャンのタイプ、および認証スキャンに必要な資格情報などのパラメーターを指定することで、スキャン・ジョブを作成します。
  2. スキャン・ジョブはプロセッサーによって受け入れられ、記録され、ジョブを実行するタイミングを決定するスケジューリング情報と共に、データベースに追加されます。
  3. スケジューラー・コンポーネントは、スキャンのスケジューリングを管理します。 スケジューラーは、スキャンを開始したときに、必要なツールのリストを判別し、それらを呼び出しのキューに入れます。その後、関連するスキャナーにツールが割り当てられます。
  4. スキャナーは、固有のスキャナー ID を送信することにより、実行する必要があるスキャン・ツールがないか、スキャン・プロセッサーを継続的にポーリングします。 特定のスキャナーに関連する、キューに入れられたツールがスケジューラーにある場合、そのツールはスキャナーに送信されて呼び出されます。

    QRadar Vulnerability Manager はアタック・ツリー方式を使用してスキャンを管理し、どのツールが起動されるかを決定します。 アセット・ディスカバリー、ポート/サービス・ディスカバリー、サービス・スキャン、およびパッチ・スキャンのフェーズがあります。

  5. ディスパッチャーによって、リスト内の各スキャン・ツールが実行および管理されます。 実行されるツールごとに、ディスパッチャーはスキャン・ツールがいつ開始され、いつ完了したかを示すメッセージをプロセッサーに送信します。
  6. スキャン・ツールからの出力が結果ライターによって読み取られます。その後、結果ライターによってそれらの結果がプロセッサーに戻されます。
  7. 結果ディスパッチャーは、スキャン・ツールからの未加工の結果を処理し、Postgres データベースに記録します。
  8. 結果エクスポーターはプロセッサー・データベースで完了したスキャンを検出し、その結果を QRadar コンソールにエクスポートします。
  9. エクスポートされた結果は、QRadar データベースに追加されます。ユーザーはこのデータベースでスキャン結果を確認し、管理できます。

オールインワン・デプロイメント

オールインワン・システムから QRadar Vulnerability Manager を実行できます。ここでは、スキャン機能と処理機能はコンソールに組み込まれています。 以下に、基本的なセットアップで実行できる内容を示します。
  • 最大で 255 個のアセットをスキャンする。
  • 無制限の自動検出スキャンを実行する。
  • DMZ スキャンでホスト・スキャナーを使用する。
  • QRadar に統合されたサード・パーティー・スキャナーからスキャン・データを管理する。
  • あらゆる管理対象ホストにスキャナーをデプロイする。
  • 無制限のスタンドアロン・ソフトウェアまたは仮想スキャナーをデプロイする。

デプロイメント環境の拡張

デプロイメント環境の拡大に合わせて、処理機能を QRadar コンソールから切り離してリソースを解放する必要が生じたり、スキャナーをアセットの近くにデプロイする必要が生じたりする場合があります。

デプロイメント環境にスキャナーを追加する理由を以下に示します。
  • QRadar Vulnerability Manager プロセッサーとは異なる地理的地域でアセットをスキャンする場合。
  • 短時間で多数のアセットを同時にスキャンする必要がある場合。
  • ログ・ソースであるファイアウォールを介したスキャンを回避するために、スキャナーを追加する必要がある場合。 また、ファイアウォールをバイパスするスキャナー・ホストにインターフェースを追加することで、ネットワークにスキャナーを直接追加することも検討できます。

次の図には、管理対象ホストにデプロイされている外部スキャンとスキャナーを含むスキャン・デプロイメント環境が示されています。

図 2. スキャン・デプロイメント
スキャン・デプロイメント

DMZ ホスト・スキャナー

ホスト・スキャナーは、パブリック IP アドレスを使用してインターネットから DMZ をスキャンします。 DMZ 内のアセットで脆弱性がないかをスキャンする場合、DMZ にスキャナーをデプロイする必要はありません。 ネットワークの外部にあるホスト IBM スキャナーを使用して QRadar Vulnerability Manager を構成する必要があります。 詳しくは、「IBM QRadar Vulnerability Manager ユーザー・ガイド」を参照してください。

QRadar Vulnerability Manager の統合

IBM QRadar Vulnerability ManagerHCL BigFix の統合により、修正可能な脆弱性をフィルタリングし、優先順位を付けることができます。 BigFix には、IT 運用とセキュリティーの間で共有される可視性と制御機能が備わっています。 BigFix は、QRadar Vulnerability Manager によって特定され、BigFix に送信される優先度の高い脆弱性に Fixlet を適用します。 Fixlet とは、特定の脆弱性を修復するために、アセットまたはエンドポイントにデプロイするパッケージです。

QRadar Vulnerability Manager は、侵入防止システム (IPS) ポリシーを指示できるように、IBM Security SiteProtector と統合されます。 IBM Security SiteProtector を構成すると、スキャンによって検出された脆弱性が IBM Security SiteProtector に自動的に転送されます。 IBM Security SiteProtector は、統合が構成された後に実行された QRadar Vulnerability Manager スキャンからの脆弱性データのみを受信します。 IBM Security SiteProtector に接続します。

サード・パーティー・スキャナー

QRadar Vulnerability Manager によって、スキャン・データのソースに関係なく、効率的な脆弱性管理プラットフォームが提供されます。 QRadar Vulnerability Manager は、Nessus、nCircle、および Rapid 7 などのサード・パーティー・スキャナーとシームレスに統合されます。

以下のオプションを利用するには、QRadar Vulnerability Manager スキャンが必要です。
  • イベント・ドリブンおよびオンデマンドのスキャン
  • アセット・データベースおよびウォッチリスト・ベースのスキャン
  • 既存の QRadar アプライアンスおよび管理対象ホストからのスキャン
  • どのスキャン結果にも存在しない、新たに公開された脆弱性の検出
以下のオプションを利用するには、QRadar Risk Manager が必要です。
  • アセット、脆弱性、およびトラフィック・ベースの脆弱性管理
  • 調整された脆弱性スコアと、コンテキスト認識によるリスク・スコアリング