NVD 統合の概要
NVD 統合では、National Institute of Standards and Technology (NIST) 脆弱性情報データベース (NVD) 製品からインポートしたデータを使用して、コードの欠陥の影響と優先度を判断できます。この統合は、脆弱性対応 の初期設定の一部として、サードパーティのスキャナー製品を使用してインスタンスに脆弱性データをインポートする前に実行します。
ストアでアプリを要求する
ServiceNow Storeにアクセスして、利用可能なすべてのアプリを表示し、ストアに要求を送信する方法を確認してください。リリースされたすべてのアプリのリリースメモ情報については、「ServiceNow Store バージョンの履歴リリースノート」を参照してください。
利用可能バージョン
| リリースバージョン | リリースノート |
|---|---|
脆弱性対応 Integration with NVD v1.2 |
NVD と CWE の統合による脆弱性データの初期インポート
- CWE Comprehensive 2000 統合を使用して、CWE データの初期インポートを実行します。
「CWE レコードの更新のためのスケジュール済みジョブの構成および実行」を参照してください。デフォルトでは、統合レコードから [オンデマンド] で CWE 更新を実行します。これを構成する必要があります。
注:NVD データベースの更新の前に実行するように CWE の更新をスケジュールします。NVD 更新のデフォルト日は [毎週] [月曜日] です。 - 脆弱性対応 Integration with NVD アプリケーションがインストールされ、NIST National Vulnerability Database Integration - API (CVE のみ) または NIST National Vulnerability Database Integration - API (CVE および CPE) のいずれかから、初期データが正常にインポートされたことを確認します。
CPE の場合、NIST National Vulnerability Database Integration - API (CPE のみ) からの初回データインポートが正常に完了していることを確認します。
本番インスタンスでこのプラグインをアクティブ化するには、別のライセンスが必要になる場合があります。プラグインをインストールすると、NIST National Vulnerability Database Integration - API (CVE のみ) がデフォルトで有効になります。これは、毎日実行されます。詳細については、「脆弱性対応 Integration with the NIST National Vulnerability Database のインストール」を参照してください。
- サードパーティのライブラリはスケジュール済みジョブとして更新されます。サードパーティとの統合の詳細については、脆弱性対応 の統合 の統合ドキュメントを参照してください。
インポートされた脆弱性データと脆弱性一致アイテムの概要
ServiceNow AI Platform インスタンスでは、インポートされた各脆弱性は、Qualys などのサードパーティスキャナー製品のソースライブラリの脆弱性エントリーで示されます。インスタンスでインポートおよび更新される脆弱性一致アイテム (VI) は、Qualys ライブラリなどのサードパーティライブラリを参照します。サードパーティライブラリも NVD を参照できます。
たとえば、Qualys などの製品からサードパーティの脆弱性データを取り込むと、QID (Qualys 識別子) を参照する VI が取り込まれます。Qualys の場合、その QID は NVD ライブラリの CVE を参照します。脆弱性対応 アプリケーションの修復タスクまたは脆弱性一致アイテムレコードでその QID をクリックし、NVD と CWE の統合を実行してデータを取り込むと、現在の拡張された脆弱性データが表示され、VI と CVE、CWE、および CPE 間の関係を確認できます。
独自のライブラリを持つ Qualys などのサードパーティスキャナー製品を実行する前に、少なくとも NIST National Vulnerability Database Integration - API (CVE のみ) 統合 (CISA 関連の詳細も含む) と CWE 統合をインストールして実行し、脆弱性データを取り込む必要があります。これらの NVD および CWE データインポートは、データをインポートする前にサードパーティ製品を使用して 脆弱性対応 または アプリケーション脆弱性対応 データを拡張します。
NVD、CWE、およびサードパーティライブラリの管理と表示に関する詳細については、「NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理」および「脆弱性対応 脆弱性ライブラリの表示」を参照してください。
NVD が正常にインポートされたことを確認したら、脆弱性データ CWE レコードの更新のためのスケジュール済みジョブの構成および実行 をさらに拡張します。
サードパーティ製品を使用して脆弱性データをインポートする前に、NVD と CWE のインポートを実行します。サードパーティのライブラリはスケジュール済みジョブとして更新されます。サードパーティとの統合の詳細については、脆弱性対応 の統合 の統合ドキュメントを参照してください。
NVD 統合の表示
NVD 統合を表示するには、次に移動します .
| 統合 | 説明 |
|---|---|
| NIST National Vulnerability Database Integration - API (CVE のみ) | NIST NVD 脆弱性データ (CVE) のみを取得します。デフォルトでは、この統合は毎日実行されるように自動的に設定されます。 |
| NIST National Vulnerability Database Integration-API (CPE のみ) | NIST NVD から CPE データを取得します。この統合は、デフォルトでは非アクティブです。 正式名の形式、システムで名前を確認する方法、およびテキストとテストを名前にバインドするための説明形式を含む CPE データをキャプチャする場合は、この統合をアクティブ化します。この情報は [脆弱なソフトウェア (Vulnerable Software)] に保存されます。 この統合は毎日実行するように設定され、デフォルトでは非アクティブになっています。この統合をアクティブ化するには、「NIST National Vulnerability Database-API (CPE のみ) のアクティブ化」を参照してください。 |
| NIST National Vulnerability Database Integration-API (マッピングされていない CPE) | NIST NVD からフェッチされた CVE に関連付けられている CPE データを取得します。この統合は、デフォルトでは非アクティブです。 正式名の形式、システムで名前を確認する方法、およびテキストとテストを名前にバインドするための説明形式を含む CPE データをキャプチャする場合は、この統合をアクティブ化します。この情報は、NVD 脆弱性エントリーレコード関連リストに格納されます。この統合はオンデマンドで実行するように設定され、デフォルトでは非アクティブになっています。この統合をアクティブ化するには、「NIST National Vulnerability Database-API (マップされていない CPE) のアクティブ化」を参照してください。 |
統合実行状況については、「(National Vulnerability Database) NVD Integration インポート実行状況の表示」を参照してください。