エクスポージャーアセスメントの概要
エクスポージャーアセスメントでは、共通脆弱性識別子 (CVE) システムの一部である共通プラットフォーム一覧 (CPE) フレームワークを使用して、脆弱なソフトウェアに対する資産の脆弱性エクスポージャーを評価します。このアセスメントは、ソフトウェアディスカバリーモデルを使用して実行されます。
照合アルゴリズムを使用することで、関連する CPE がソフトウェアディスカバリーモデルに関連付けられてマッピングされ、潜在的なエクスポージャーを特定できるようになります。
- 従来のスキャナーでは特定できない可能性がある脆弱性
- スキャナーが脆弱性検出の署名を提供する前のゼロデイ脆弱性
| アプリケーション | バージョン |
|---|---|
| 脆弱性危機管理プラグイン |
1.0 |
| 脆弱性対応 | 20.0 |
| 脆弱性対応 with NVD | 1.3 |
| CISA の強弱性対応統合 | 1.2 |
| NVD の脆弱性対応統合 注: 詳細については、「NVD 統合の概要」を参照してください。 |
1.3 |
| ソフトウェア資産管理 | ソフトウェア資産管理の基盤プラグイン または ソフトウェア資産管理プロ プラグイン |
ユースケース
| アセスメントタイプ | 使用 |
|---|---|
| CVE による評価 | CVE で脆弱性を評価することで、ソフトウェア資産管理 (SAM) や ディスカバリー データを活用して、関連するシステムの影響やエクスポージャーを完全に把握できます。また、手動で VIT を作成し、修復オーナーにアサインすることで、迅速に修復アクションを実行できるようになります。影響を受けるシステムをスキャナーですべて検出できるわけではありませんが、一般的に ディスカバリー は攻撃対象領域のソフトウェアをほとんど識別できるので、CVE による評価は有益であると言えます。 |
| ソフトウェアによる評価 |
CVE が使用できない場合は、ソフトウェアで影響を評価して、ソフトウェアがインストールされている CI の数を特定します。ソフトウェアで評価し、手動で VIT を作成して修復オーナーにアサインすることで、正式公開やスキャナーでの特定よりも早く、ゼロデイ脆弱性や重大な脆弱性に対してプロアクティブに対処できるようになります。 |
| パブリッシャーによる評価 | ソフトウェアベンダーの脆弱性の評価により、ある一定の期間内にベンダーが公開する CVE において、関連するシステムの影響やエクスポージャーを把握できるようになります。パブリッシャーによる評価を活用することで、ベンダーリスクや重大な脆弱性を評価して、プロアクティブな修復を行うことができるようになります。 |
互換性とシステム要件
- ソフトウェア資産管理の基盤プラグイン (com.snc.sams)
- ソフトウェア資産管理プロ (com.snc.pa.samp)
- ソフトウェア資産管理プラグイン (com.snc.software_asset_management)
SAM の基盤 アプリケーションがインスタンスにインストールされていることを確認するには、次に移動します をクリックし、com.snc.asset_managementを検索します。アプリケーションがインストールされていない場合は、[インストール] を選択します。脆弱性エクスポージャーアセスメントアプリケーションは ServiceNow AI Platform® インスタンスの資産データにアクセスする必要があるため、資産管理アプリケーションには参照するデータが必要です。ソフトウェアディスカバリーモデルテーブル (cmdb_sam_sw_discovery_model) とソフトウェアインストール (cmdb_sam_sw_install) にはデータが必要です。
ソフトウェアディスカバリーモデルの一致するアルゴリズムフィールド
| CPE (ソフトウェアモデル) | SAM Foundations | SAM Professional |
|---|---|---|
| ベンダー | プライマリキー | プライマリキー |
| 製品 | 表示名 | 表示名 |
| バージョン | 検出されたパブリッシャー | 検出されたパブリッシャー |
| エディション | 検出された製品 | 検出された製品 |
| 検出されたバージョン | 検出されたバージョン | |
| 正規化済みパブリッシャー | ||
| 正規化済み製品 | ||
| 正規化されたバージョン |
システムプロパティ
エクスポージャーアセスメントのために CISA で悪用された脆弱性を自動的に処理するには、システムプロパティ sn_vul_analyst.enable_exposure_for_cisa を trueに設定します。デフォルト値は false です。
スケジュール済みジョブ
スケジュール済みジョブは次のとおりです。
| スケジュール済みジョブの名前 | 説明 |
|---|---|
| 潜在的な脆弱性エクスポージャーのチェック (Check potential vulnerability exposure) | デルタ CVE、ソフトウェア、およびインストールを処理して、エクスポージャーを取得します。 注: このスケジュール済みジョブは 12 時間ごとに実行されます。他のスケジュール済みジョブよりも長時間実行されます。 |
| CISA で悪用された CVE をエクスポージャー構成に挿入 (Insert CISA exploited CVE to exposure config) | オンデマンド。エクスポージャー構成 (Exposure Configuration) テーブルに CISA CVE を挿入してエクスポージャーを計算します。 |
| 構成済み CVE のエクスポージャーアセスメントの実行 (Run exposure assessment for configured CVEs) | オンデマンド。エクスポージャー構成 (Exposure Configuration) テーブル内のすべての CVE レコードのエクスポージャーを計算します。 |
| ソフトウェアエクスポージャーの実行 (Run software exposure) | オンデマンド。エクスポージャー構成 (Exposure Configuration) テーブル内のすべてのソフトウェアレコードのエクスポージャーを計算します。 |
主要な用語
- 信頼スコア:信頼スコアは、フィールドの推奨事項を提供する際の信頼性の測定値です。スコアが高いほど、推奨事項の信頼性が高いことを示します。計算の例については、「信頼スコア計算の例」を参照してください。
- ソフトウェアインストール数:脆弱性の影響を受けるソフトウェア資産の数。
- ソフトウェアモデル:製品に関連付けられているソフトウェアモデル。ソフトウェアモデルの結果を確認するには、ソフトウェアモデルをドリルダウンします。詳細については、「Software Asset Management Foundation plugin discovery models and software installations」を参照してください。
[ソフトウェアインストール数] フィールドには、ディスカバリーモデルのステータス (アクティブ / 非アクティブ) に関係なく、ソフトウェアインストールの合計数が表示されます。脆弱性対応 v22.0 以降、新しいシステムプロパティ sn_vul.filter_inactive_sw_installs が導入され、非アクティブなソフトウェアのインストールをエクスポージャーアセスメントや から除外するかどうか決めることができます。デフォルトでは、このプロパティはベースシステムで有効になっています。フィルターを有効化すると、アクティブなインストールのみが表示されます。
[ディスカバリーモデル] フィールドには、アクティブなソフトウェアのインストール数が明確に表示されます。これは、[ソフトウェアディスカバリーモデル] テーブルのフィルターがデフォルトで「active=true」であることに基づいて非アクティブなソフトウェアが除外されるためです。このフィールドの数は、[ソフトウェアインストール数] フィールドに表示されるフィルタリング後の数と一致します。[ソフトウェアインストール] フィールドの数は、システムプロパティが更新されても保持されます。更新された数を取得するには、スケジュール済みジョブの Run exposure assessment for configured CVEs と Run software exposure that updates the count を実行する必要があります。