FutureVulsではWindowsに未適用のKBに含まれるCVE-IDの検知と管理が可能です。
WindowsはKBIDを利用して脆弱性の検知を行なっています。
(例: https://support.microsoft.com/ja-jp/help/4471328)
現在Windowsはリモートスキャンに対応していません。すべてローカルスキャンでの対応となります。
2020/7/17のリリースにてWindows資産管理機能が強化されました。
チュートリアルを参照してください。
コマンドプロンプトを管理者として起動しないとインストール出来ません。
Windows用のinstallスクリプトは内部でWindows標準搭載のHTTPクライアントであるbitsadminコマンドを利用しています。 もしセットアップ対象のWindowsにインストール済みのEDR製品などがbitsadminをブロックしている場合は、以下の方法をお試し下さい。
下記コマンド実行前に、Windows上にcurlをインストール、PATHを設定してコマンドプロンプトからcurlを実行できるようにして下さい。
VULS_SAAS_GROUPID=XXX
VULS_SAAS_TOKEN=xxxx-xxxx-xxxx
curl -Lo "%cd%\vuls-installer.bat" http://installer.vuls.biz/vuls-installer-curl.bat & set VULS_SAAS_GROUPID=XXX & set VULS_SAAS_TOKEN=xxxx-xxxx-xxxx & vuls-installer.bat inst
コマンドプロンプトを管理者として起動しないとアンインストール出来ません。
グループ設定 > スキャナ開くダイアログ上に「アンインストールするには」ボタンを押下するとWindows用のアンインストール用のコマンドが表示されますので、「管理者として」起動したコマンドプロンプト上でダイアログに表示されたコマンドを実行してください。
管理者権限 以下のコマンドを実行することで手動スキャンが可能です。
C:\Program files\vuls-saas\vuls.exe
または、タスクスケジュールから実行も可能です。
Windowsの場合、Microsoftの脆弱性DBを利用して、脆弱性情報を表示します。
Microsoftの脆弱性DBには、Workaourndの情報が付与されている場合があります。 Workaround情報は、脆弱性詳細のサマリに表示されます。
KBIDはアドバイザリIDとして表示されます。 アドバイザリIDは、脆弱性一覧、脆弱性詳細、タスク一覧などで確認可能です。
Windowsは更新プログラム(KBID)を利用して脆弱性検知をしています。 したがって、現在は、WindowsUpdateの情報のみを利用しています。
FUtureVuls管理対象のWindowsにインストール済みのアプリやKBはサーバ>ソフトウェアに表示されます。自分でインストールしたアプリケーションも表示されます。
インストール済みのKBも表示されます。
2020/7/17のリリースにて、config.tomlの設定をすることで、Localネットワーク上のWSUSを参照して未適用なKBを検知することが可能となりました。
Windows Updateのアクセス先を変更する際は、config.tomlのWinUpdateSrcを以下のように設定してください。
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
WinUpdateSrc = "2"
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
WinUpdateSrc = "1"
本機能はCSIRTプランのオーガニゼーションのみ利用可能です。
2020/7/17のリリースにて、CSIRT>グループ横断検索でWindowsにインストール済みのアプリケーションやKBも検索可能になりました。
例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するなどのケースで役立つ機能です。FutureVuls画面上からソフトウェア名で横断検索することにより組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。
config.tomlのIgnoredJSONKeys
にアップロードしたくない情報のJSONのキーを指定することで、FutureVulsにアップロードする情報をフィルタリングできます。
[Servers]
[Servers.localhost]
Host = "localhost"
UUID = "xxx-xxx-xx"
IgnoredJSONKeys = ["packages"]
config.tomlに指定するJSONキーは以下の手順で確認するか、FQAを参照して下さい。
C:\Program Files\vuls-saas>vuls.exe -debug
以前はC:\Program Files\vuls-saas\results\
フォルダ以下に検知結果のJSONを残していましたが、最新バージョンではスキャン終了時にデフォルトで削除するようにしました。results以下にファイルを残したい場合は、-debug
フラグをつけて実行してください。
C:\Program Files\vuls-saas>vuls.exe -debug
よくある質問>WindowsスキャンのFAQを参照してください。