話題の記事

大規模バージョンアップ！新しくなったFutureVulsを触ってみた

新しくなったFutureVulsを触っていました｡メニュー毎に細かく説明しています｡

加藤諒

2018.08.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

2018/08/27にFutureVulsが大規模バージョンアップしました｡無料で触れるデモサービスが提供されているので触ってみました｡

デモ環境にはAmazon Linux､RedHat､CentOS､Ubuntuが用意されています｡今回はWindows Serverの場合どのように表示されるかは触れません｡

画面が刷新
パッチ未提供な脆弱性も検知可能
2要素認証

お知らせを確認すると上記が主な更新内容のようです｡

触ってみた

デモサービスの申し込み

FutureVuls公式サイトのから申し込みが可能です｡申し込むとメールで接続情報が届きます｡

デモサービスは利用者全員が共有する環境です｡他人に見られて困る情報などは絶対に記入しないようにしてください｡

初回ログイン時はこのようなチュートリアルが表示されます｡このブログではそれぞれの機能について説明するのでヘルプのスクリーンショットは貼りませんが､実際にログインされている方は､まずはスキップせずにチュートリアルを確認してみてください｡

画面構成

画面は2階層のメニュー､ボタン､テーブルで構成されています｡この用語は公式ではなく私が勝手に言っているだけです､ご注意ください｡

大メニューは脆弱性､サーバ､タスク､ロールと何を見るかを選択するのに使い､中メニューは脆弱性メニューの場合で重要､新着､未対策､すべてとプリセットされた条件でテーブルをフィルタしてくれます｡

テーブルは昇順降順ソートとフィルタが可能で､列幅と列順も自由に変更可能です｡またCSV形式でダウンロードすることもできます｡

行をクリックして選択すると右ペインに詳細な情報が表示されます｡この右ペインにも中メニューがありますが､こちらはフィルタするのではなく何を見るかを選択するのに使用します｡

この状態で右上のデザイン変更のボタンをクリックすると､右ペインではなく下ペインにデザインを切り替えることが可能です｡

脆弱性メニュー

脆弱性メニューでは管理下のサーバで発生している脆弱性を一覧で見ることができます｡

中メニュー

テーブルに表示する脆弱性を以下の条件でフィルタできます｡

重要
新着
未対策
すべて

ボタン

関連するタスクを非表示
関連するタスクを更新
- 対象脆弱性のタスクをまとめて更新します
- 脆弱性が3台のサーバで発生しているならば3つのタスクが更新対象です
｢重要｣フィルタを編集
- 中メニューの重要を選択した時にフィルタされる条件を設定します

テーブル列

深刻度
サマリ
- 脆弱性の内容
CVSS v3
CVSS v2
未対策サーバ数
- N/Mのように表される
- N: 未対策サーバ数
- M: 脆弱性のある/あった全サーバ数
NWから攻撃可能
- (詳細未確認)リモートから攻撃を受ける脆弱性
OwaspTop10
- 脆弱性がOwaspTop10に該当するか
CVE ID
更新日時
トピックカウント
- 脆弱性に対してFutureVuls上で付けたコメントの数
トピック最終更新日時
- 最後にトピックが更新された日時

詳細情報(詳細)

サマリ

JVN､NVD､REDHATによる脆弱性のスコアとサマリを見ることができます｡リンクが用意されている為､原文もすぐに確認することができます｡

また､Google翻訳のリンクも用意されています｡

CVSS

CVSSを評価基準とした評価値を確認できます｡

Open Recalcをクリックすることでメニューが表示され､現状評価基準と環境評価基準を自分で入力しスコアを再計算することができます｡

CWE

CWEによる脆弱性タイプを確認することができます､リンクが用意されている為､原文もすぐに確認することができます｡サマリのリンク先(JVNなど)にCWEへのリンクが記載されている場合表示されるようです｡その為リンクが重複する場合があります｡

Open Recalcをクリックすると開くメニュー

ディストリビューションサポートページ

ディストリビューションが公開しているサポートページへのリンクです｡

Reference

脆弱性について参考となるリンクが列挙されています｡

詳細情報(トピック)

脆弱性に対してコメントを残すことができます｡

既存のコメントに対して返信ができスレッド形式で管理ができます｡

詳細情報(タスク✕サーバ)

対象の脆弱性に関連する発行されたタスクが表示されます｡内容はタスクメニューと同じなので後述します｡

ソフトウェア

対象の脆弱性が発生しているソフトウェアのパッケージ名が表示されます｡アップデートを行うと具体的にどのパッケージが更新されるか､現在のパッケージのバージョンなどを確認できます｡

ボタンは脆弱性に関連するという意味です｡図で説明すると1行目チェックボックスのみをオンにした状態でタスクを更新するとタスク✕サーバのテーブルに表示されているタスク全てが更新されます｡

テーブル列

パッケージ名
サーバ
- サーバ名
バージョン
未対策タスク数
- 対象のパッケージの対応を進めていないタスク数
- 対象の脆弱性以外も含む
全タスク数
- 未対策タスク数に対策済みを足したもの
リリース
- リリース番号
パッチ提供済み
- ○: パッチが提供されている
- ☓: パッチが提供されていない

サーバメニュー

サーバメニューでは管理下のサーバを一覧で見ることができます｡

ボタン

サーバを編集
- 対象のサーバの情報を編集します
- 一括で編集できるのでAmazon LinuxはAさんがデフォルト担当者といった感じの設定を簡単に行えます

テーブル列

サーバ
- サーバ名
ロール
カーネル再起動
- ○: アップデート済みだが適用のためにカーネル再起動が必要
- ☓: カーネル再起動の必要がない
コンテナ
- ○: コンテナ
- ☓: サーバ
OS
バージョン
未対策タスク数
- タスクが発行されてからタスクステータスが変化していないタスク数(脆弱性数)
全タスク数
- 未対策タスク数に対策中・対策済みを加えた数
タグ
最終スキャン日時
デフォルト担当者
- 対象のサーバに対してタスクが発行された時にデフォルトで割り当てられる担当者

詳細情報(詳細)

サーバの詳細の確認・変更できる｡サーバの削除もここから行う｡

詳細情報(タスク✕脆弱性)

対象サーバのタスク一覧が表示されます｡

ボタン

タスクを非表示
非表示の解除
タスクを編集
アップデートコマンド
- アップデートの為にサーバで実行するコマンドが表示されます
- 図は全ての行にチェックを入れた状態でボタンを押したのでopensslとopenjdk両方を同時にアップデートする手順が表示されています

テーブル列

タスクメニューの所で後述

詳細情報(脆弱性✕タスク)

詳細情報(タスク✕脆弱性)とテーブル列の項目が若干異なりますが､ほぼ同じです｡

詳細情報(ソフトウェア)

サーバにインストールされているソフトウェア一覧が見れます｡(脆弱性の有無に関係なく)

ボタン

脆弱性のない(タスクのない)ソフトウェアに対してはタスクに関するアクションは行なえません｡

関連するタスクを非表示
関連するタスクを更新
CPE追加
- 検索､手動でCPE追加ができます

タスクメニュー

前提としてFutureVulsのタスクについて簡単に説明します｡

タスクは脆弱性が発見されると自動で必ず発行される
ユーザーが任意でタスクを作成することはできない

1タスク = 1サーバ ✕ 1脆弱性となります｡

テーブル列

タスク優先度
- タスクに設定した優先度
  - HIGH
  - MEDIUM
  - LOW
  - NONE(デフォルト)
未対策
- タスクが発行されてからタスクステータスが変化していない(NEWのまま)なら○それ以外なら☓
- ○: 未対策の状態
- ☓: 対策を進めている状態
ステータス
- NEW(デフォルト)
- INVESTIGATING(調査中)
- ONGOING(進行中)
- WORKAROUND(回避策?)
- PATCH_APPLIED(手動では設定できないパッチ適用後に自動で設定される)
対応予定日
主担当者
副担当者
パッチ提供済み
- ○: パッチが提供されている
- ☓: パッチが提供されていない
CVE ID
サーバ
- サーバ名
タグ
ロール
更新日時
非表示フラグ

詳細情報

タスクの詳細情報を変更できる｡

システムによるコメントが表示される｡ユーザーがコメントを残すことも可能です｡

ロールメニュー

ロールの管理ができる画面です｡FutureVulsにおけるロールはサーバが求められる機密性(CR)､完全性(IR)､可用性(AR)要求度のグループです｡

個人情報を含む､社内のみからの利用などサーバの状態毎にロールを作成しましょう｡要求度は低､中､高の3段階で設定可能です｡

詳細画面の画像以外のサブメニューはロールの単位でフィルタされているだけで､ここまでで説明済みのため省略します｡

あとがき

新しくなったFutureVulsを触ってみました!デモ環境には245件もの脆弱性が検出されています｡これがパッチ未提供な脆弱性も検知の凄さですね｡

脆弱性指標についての説明がほとんど無いのは私の知識が無いためです...すいません...

なるべく気をつけましたが､もし誤りがありましたらコメントからぜひご指摘をお願いします｡

大規模バージョンアップ！新しくなったFutureVulsを触ってみた

はじめに

触ってみた

デモサービスの申し込み

ログイン

画面構成

脆弱性メニュー

中メニュー

ボタン

テーブル列

詳細情報(詳細)

サマリ

CVSS

CWE

ディストリビューションサポートページ

Reference

詳細情報(トピック)

詳細情報(タスク✕サーバ)

ソフトウェア

テーブル列

サーバメニュー

ボタン

テーブル列

詳細情報(詳細)

詳細情報(タスク✕脆弱性)

ボタン

テーブル列

詳細情報(脆弱性✕タスク)

詳細情報(ソフトウェア)

ボタン

タスクメニュー

テーブル列

詳細情報

ロールメニュー

あとがき

イベント

EVENT【4/23リモート】クラスメソッドのフリーランスエンジニア会社説明会 〜AWS / システムアーキテクト案件特集〜 を開催します

EVENT【5/28（火）】AWSを最大活用するための1dayカンファレンス

EVENT【5/17（金）】認証機能の開発工数削減をデモで体験！次世代認証基盤サービス『Auth0 by Okta』導入実践ウェビナー

EVENT【5/14（火）】アノテーションの中途向けオンライン会社説明会を開催します

EVENT【5/23（木）】ユースケースに学ぶAWS運用のノウハウ～可視化から統制まで～

EVENT【5/16（木）】Snowflakeを触ってみよう！初めての方向けハンズオンセミナー

EVENT【5/10（金） 名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【4/25（木）リモート】Google Cloudに携わるエンジニアのキャリア～クラスメソッド会社説明会～

EVENT【4/30（火）リモート】クラスメソッドの会社説明会を開催します

EVENT【5/9（木）】組織的なクラウド統制 はじめの一歩

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

Splunk の CIM (Common Information Model) の使い方と CIM 対応 App について理解する

Exploring WhatsApp Data with Splunk: A Hands-On Guide

EVENT【4/23リモート】クラスメソッドのフリーランスエンジニア会社説明会〜AWS / システムアーキテクト案件特集〜を開催します

EVENT【5/10（金）名古屋】クラスメソッドグループの会社説明会を開催します！

EVENT【5/9（木）】組織的なクラウド統制はじめの一歩

インシデントレスポンスのライフサイクルを廻すポイントってなに【資料公開】 #devio_osakaday1