Kompira Sonar関連

ノードの検索

2021.07.01

Kompira Sonar では、Ksocketを使用して収集したノード情報を、様々な条件で検索することができます。Kompira Sonar にログイン後、画面左側のアイコンから検索画面を表示することができます。

検索フォーム欄の下には、検索クエリのチートシートが表示されています。

曖昧な検索

例えば「CentOS」のノードだけを探したい場合、 cent とだけ入力すると、OS名、ホスト名、ベンダ名、パッケージ情報などの構成情報の中に
cent という文字列が含まれるノードを全て探します。

キーワード指定による検索

system:centos のように、 system: というキーワードを指定すれば、「機種・OS名」の項目の中だけに限定して
centos という文字列が含まれるノードのみを探すことができます。

指定できるキーワードには以下のようなものがあります。

キーワード	例	意味
system	`system:CentOS`	システム名に CentOS を含むノードを検索
addr	`addr:10.10.0.3`	IP アドレスに 10.10.0.3 を含むノードを検索
host	`host:dns.your.domain.com`	ホスト名に dns.your.domain.com を含むノードを検索
macaddr	`macaddr:aa:bb:cc:dd:ee:ff`	MAC アドレスに aa:bb:cc:dd:ee:ff を含むノードを検索
nicVendor	`nicVendor:vmware`	NIC ベンタ名に vmware を含むノードを検索
package	`package:httpd`	httpd というパッケージを持つノードを検索
package (バージョン指定)	`package:httpd:2.6`	httpd のバージョン 2.6 を持つノードを検索
windowsUpdate	`windowsUpdate:KB3124263`	KB3124263 という Windows アップデートを持つノード検索
serial	`serial:4D9569ER0069B`	シリアル番号に 4D9569ER0069B を含むノードを検索

複雑な検索

さらに、AND/ORや「～を含まない」という検索を行うこともできます。

例	意味
`-system:ubuntu`	システム名に ubuntu を含まないノードを検索
`host:fixpoint AND package:apache`	ホスト名に fixpoint を含み apache を持つノードを検索
`package:nginx OR package:apache`	nginx か apache を持つノードを検索
`host:fixpoint AND (package:nginx OR package:apache)`	ホスト名に fixpoint を含み nginx か apache を持つノードを検索
`system:"windows server 2016" AND -windowsUpdate:KB3124263`	“windows server 2016” だが KB3124263 が適用されていないノードを検索

これにより、Kompira Sonar で管理しているノードを条件によって簡単に見つけることができます。

実践的な検索の使い方

脆弱性が発見されたアプリケーションを持ったノードを見つける

実践的な例として、ある脆弱性が発見されたため、自分が管理しているサーバ群が脆弱性を持っていないか探さなければいけない、という状況を考えてみましょう。

最も代表的な脆弱性情報サイトであるCVE – Common Vulnerabilities and Exposuresでは、脆弱性情報がCVE番号
(CVE-XXXX-YYYY) で管理されており、ある脆弱性に関する「どの環境下、どのアプリケーションに含まれているものか」「攻撃の成立条件」「対策方法」などの情報がまとめられています。

例えば、適当な例として
CVE-2018-12882
という脆弱性を見てみましょう。この脆弱性はPHPに関するもので、PHP 7.2.7までの7.2.xに含まれます。

この脆弱性を検索機能で見つけるには、単に
php と検索してもよいですし、より厳密に検索させたいのであれば
package:php:7.2 と書くこともできます。

また、この脆弱性に対する対応方法はRed Hat/CentOS, Ubuntu, Debian など OSごとにそれぞれ公開されているため、以下のようにOSごとに結果を表示させるのも有効です。

PHP 7.2系がインストールされたUbuntu
- package:php:7.2 and system:ubuntu
PHP 7.2系がインストールされたDebian
- package:php:7.2 and system:debian
PHP 7.2系がインストールされたRed Hat Enterprise Linux, または CentOS
- package:php:7.2 and (system:"red hat" or system:centos)

管理しているサーバ・ネットワーク機器が数百～数千単位になると、「1台1台ログインして脆弱性が含まれていないか確認する」という方法ではほとんど管理できなくなります。

Kompira Sonarでは、構成情報が自動収集される環境下で様々な検索を簡単に試すことができるため、管理している機器台数が多いほどその効果も大きくなります。

ServiceNow に Kompira Enterprise からチケット起票する

Redmine でのチケット作成を Kompira Enterprise に通知する

Redmine へ新規チケットを登録する

簡単なWebサーバーの監視をする

pingを使って簡単なサーバーの死活監視をする

Kompira AlertHub から Kompira Enterprise へメッセージを通知する

アラートメールをフィルタリングして転送する

AlertHubで受信したメッセージの文中から取り出した値をルールで利用できるようになりました

AlertHubで受信したメッセージの情報を確認できるようになりました

Zabbix でアラートが発生したときに Pigeon で電話がかかるように設定する

Kompira Sonar から Zabbix への連携ツールを作成しました

Zabbix からの通知を Kompira Enterprise で受信する

Kompira のセッション機能を利用して対話的にコマンドを実行する

複数サーバーに対してコマンドを実行する

CSVファイルからテーブル情報を作成する

簡単なWebサーバーの監視をする

Web ページから内容を取得する

Kompira Enterprise から Kompira Sonar のスキャンを実行する

Kompira AlertHub から Kompira Enterprise へメッセージを通知する

Kompira Pigeon を利用した通知電話の利用

メールアクション送信先のメールアドレスを一括で変更したい

AlertHub と Google スプレッドシートを連携する

Sonar のスキャン時の通知を AlertHub を介して Slack にメッセージとして送信する方法

AlertHub で受信した複数のメッセージを集約する

Pigeonの新しい連絡APIの機能と使いかたについて

Zabbix でアラートが発生したときに Pigeon で電話がかかるように設定する

Pigeon チュートリアル

Sonar のスキャン時の通知を AlertHub を介して Slack にメッセージとして送信する方法

Sonar のスキャンで仮想マシンのインスタンス情報を取得できるようになりました

Sonar のスキャンで VMware vSphere 上の仮想マシン及び vCenter に登録されている ESXi の検出に対応しました

Sonar のスキャンで VMware vSphere (ESXi、及び vCenter) の検出に対応しました

ローカルネットワークスキャンの実行例

詳細情報の取得のためのアカウント情報の設定

KsocketからWindowsサーバーの接続受け入れ設定を一括で行う手順を公開しました

Ksocket の手動アンインストール

Python で記述された処理を Kompira Enterprise から呼び出す

Web ページから内容を取得する

Kompira AlertHub から Kompira Enterprise へメッセージを通知する

Kompira Pigeon を利用した通知電話の利用

ノードの検索

曖昧な検索

キーワード指定による検索

複雑な検索

実践的な検索の使い方

脆弱性が発見されたアプリケーションを持ったノードを見つける

CATEGORY