ゼロデイ脆弱性の自動作成
ゼロデイ脆弱性シナリオでは、CVE のアサインをまだ受けていない脆弱性を TISC が検出して管理する方法を示します。
必要なロール:sn_sec_tisc.admin
この機能により、構成可能なタグ付けルールを使用してゼロデイ脆弱性を自動的に検出して処理できます。詳細については、「TISCでのタグ付けルールの構成」を参照してください。
前提条件:
「ゼロデイメンションを含む RSS フィード」タグ付けルールが有効になっていることを確認します。これにより、RSS フィードが脆弱性 インテリジェンス:ZERODAY 分類に自動的に関連付けられるようになります。
ゼロデイ脆弱性処理:脆弱性ソースレコードの作成
ゼロデイ脆弱性処理:脆弱性ソースレコードの作成。
次の場合に脆弱性ソースレコードが自動的に作成されます。
- RSS フィードレコードは、特定のゼロデイ分類値に関連付けられています。
- ゼロデイ分類に関連付けられている RSS フィードが更新され、CWE ID、CVE ID、CPE、製品 ID などの新しいエンティティが含まれます。
レコードの識別:各脆弱性ソースレコードは RSS フィード GUID を使用して一意に識別され、元のソースへのトレーサビリティが確保されます。
処理レイヤーは、脆弱性レコードが存在しない場合にのみ、対応する脆弱性ソースレコードに対してゼロデイ脆弱性レコードを作成します。
TISC は、脆弱性ソースと脆弱性レコードの次のフィールドに自動的に入力されます。
| フィールド | 説明 |
|---|---|
| 名前 | RSS フィード GUID とタイムスタンプの組み合わせ。 |
| 説明 | レコードが GUID 参照を含む RSS フィードから作成されていることを示します。 |
| ゼロデイフラグ | True に設定します。 |
| CVE ID | CVE が 1 つだけ特定されたときに入力されます。 |
| 追加コンテキスト | 抽出された CVE ID と製品 ID が含まれます。 |
次のエンティティが RSS フィードから抽出されます。
- CVE ID (脆弱性)
- CWE ID (弱点)
- CPE と製品 ID (影響を受ける製品)
抽出と相関メカニズムの詳細については、 KB2936701 記事を参照してください。