ドメイン分離と 脆弱性対応

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • ドメイン分離は 脆弱性対応 でサポートされています。 ドメイン分離では、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。

    サポートレベル:標準

    • ベーシックレベルサポートを含みます。
    • ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
    • インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。

    サンプルユースケース:管理者は、レコードを他のテナントに対してはクローズしないが、1 つのテナントに対してクローズする場合、コメントを必須にすることができる必要があります。

    サポートレベルの詳細については、「アプリケーションでのドメイン分離のサポート)」を参照してください。

    脆弱性対応 におけるドメイン分離の仕組み

    ドメイン分離によって、顧客ベース全体で VR (脆弱性対応) 手順を標準化し、運用コストの削減とサービス品質の向上を実現できます。

    顧客データは、ワークフロー、ダッシュボード、レポートなどに別個の顧客ワークスペースを使用することで分離され、他のクライアントに公開されることはありません。

    表 : 1. バージョンリリースごとの Vulnerability Response でのドメイン分離のサポート
    リリース サポートレベル メモ
    Orland 標準
    Paris 標準
    Quebec- 標準
    Rome 標準
    サンディエゴ 標準
    東京 標準
    ユタ 標準
    Vancouver 標準

    脆弱性対応 アプリケーションのドメイン分離は、次の製品機能をカバーしています。

    • サードパーティのスキャナー (Qualys、Rapid 7、Tenable など) から、正しいドメインで脆弱性一致アイテムをに取り込みます。データは、統合に使用される資格情報を持つ統合ユーザーと同じドメインに取り込まれます。
    • 要求元のドメインの 脆弱性対応 から特定の資産を再スキャンします。
    • CMDB CI ルックアッププロセスを使用して、スキャナーからの CI 情報が統合ユーザーのドメインの CMDB の CI と一致することを確認します。
    • 統合ユーザーと同じドメインで定義されたリスクスコア算出に従って、脆弱性一致アイテムレベルでリスクスコアを計算します。
    • 修復ターゲットルールは、統合ユーザーと同じドメインで定義された修復ターゲットルールに従って、脆弱性一致アイテムに対して実行されます。
    • 修復タスクルールは、統合ユーザーと同じドメインで定義および維持することができます。
    • 修復タスクルールを使用して作成された修復タスクは、グループルールが作成されたのと同じドメインに留まります。
    • 保留ワークフローは、保留が要求された同じドメイン内の承認プロセスを通過します。
    • レポートとダッシュボードには、脆弱性一致アイテムの経過時間、CI 別のオープンな脆弱性一致アイテム、影響度別の脆弱性、およびそれが属するドメインの修復ターゲット日ステータスなど、脆弱性一致アイテムの各ステータスが表示されます。
    • サードパーティのスキャナーや National Vulnerability Database (NVD) データベースからのナレッジは、グローバルドメインに取り込み、複数のクライアント間でデータを共有できます。
    注:
    上記のすべてのケースでは、NOW Platform における分離されたドメインでの可視性の包括的な原則が適用されます。

    ドメイン分離インポートを作成およびサポートする方法の詳細については、およびを参照してください統合のためのドメイン分離インポートの作成

    ユースケース

    脆弱性対応 アプリケーションは、脆弱性一致アイテムのライフサイクルをエンドツーエンドで管理します。次のユースケースはドメイン分離に対応しています。

    • サードパーティ統合からの脆弱性一致アイテム (資産の脆弱性) の [取り込み]
      • 複数のインスタンスからデータを取り込む
      • 脆弱性一致アイテムの重複排除
      • CMDB CI と照合する
    • リスクスコアと修復ターゲット日を使用した脆弱性一致アイテムの [拡張]
      • 資産の拡張 (CMDB)
      • リスクスコアと修復ターゲット日の拡張
    • 脆弱性一致アイテムを [グループ化 (Group)] して、修復タスクにアサインする
      • 脆弱性一致アイテムを自動でグループ化する
      • 修復タスクを自動的にアサインする
    • 修復
      • 修復タスク
      • 包括的な修復ライフサイクル
      • 保留ワークフロー
    • 組織のセキュリティ体制と脆弱性管理プログラムの [測定 (Measure)]
      • 脆弱性の傾向、最も脆弱な資産、経過時間別の脆弱性
      • 修復ターゲット日別の修復ステータス

    セットアップ

    脆弱性対応 のドメイン分離を設定するには、追加の手順は必要ありません。インスタンスがドメイン分離された後、すべての 脆弱性対応 テーブルで [ドメイン] 列が取得されます。脆弱性の統合インポートデータを特定のドメインに送信できます。詳細については、「統合のためのドメイン分離インポートの作成」を参照してください。

    ドメイン分離データ

    データはドメイン分離できます。これは、次のことを意味します。
    • サードパーティのスキャナーから取り込まれた脆弱性一致アイテムは統合ユーザーのドメインと同じドメインに留まり、他のドメインからはアクセスできません。
    • あるドメイン内の脆弱性、脆弱性一致アイテム (インスタンス)、または資産を他のドメインから表示することはできません。
    • リスクスコアアルゴリズム、修復タスクルール、および修復ターゲットルールは、ドメイン外のユーザーは閲覧できません。
    • NVD からの脆弱性情報はグローバルドメインに存在し、すべての顧客と共有できます。
    • あるドメイン内の修復タスクは別のドメインから閲覧できません。
    • あるドメインで作成された保留ワークフローを別のドメインで見ることはできません。
    • すべてのメール通知は、属しているドメイン内に含まれます。

    脆弱性アナリストが自社のアプリケーションデータを管理する方法

    • アナリストは、自分でアプリケーションインストール、マルチソースアプリケーション管理、および CI ルックアップルールを作成します。
    • アナリストは、ドメイン内で使用するために特定の統合を構成できます。
    • アナリストは、独自の保留および変更管理ワークフローを作成できます。
    • アナリストは、独自の修復タスクルール、正確な脆弱性の優先順位付けを行うリスクスコアロジック、修復タスクの自動アサイン、正しいアサイン先グループへのアサインを作成できます。
    • ドメインユーザーは、手動で脆弱性一致アイテムを作成した後、アイテムをクローズします。

    インスタンスオーナーがドメイン分離できるビジネスロジックとプロセス

    • 脆弱性対応 ユーザーとグループ
    • 脆弱性対応 の統合
    • 完全なセットアップ構成 (ユーザーとグループの管理、アプリケーションのインストール、マルチソースアプリケーション管理、CI ルックアップルール、修復タスクルール、リスク算出、修復ターゲットルールなど)
    • 保留を含む完全な修復ライフサイクル
    • スケジュールジョブ