脆弱性対応 を使用したパッチオーケストレーション

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • 脆弱性対応 を使用したパッチオーケストレーションによって、大規模な資産グループの重大な脆弱性に対するパッチとパッチ展開を管理できます。脆弱性対応 Patch Orchestration とパッチオーケストレーションの統合は ServiceNow® Store で入手可能です。

    脆弱性対応 を使用したパッチオーケストレーションについて

    脆弱性対応 を使用したパッチオーケストレーションでは、サードパーティのソリューション統合、パッチベンダー、および脆弱性スキャナーからのスケジュール済みインポートのデータが使用されます。このデータは 脆弱性対応 アプリケーションで関連付けられます。このデータ編成により、脆弱性修復サイクルのステップを完了することができます。Now Platform® インスタンス内からサードパーティのすべてのスキャナーデータを使用して、まず脆弱性を特定し、次にパッチと更新を適用し、最後に脆弱性一致アイテムをクローズします。

    パッチオーケストレーションの概要画像

    脆弱性対応 を使用したパッチオーケストレーションは、クラシック環境と 脆弱性対応 ワークスペースの両方でサポートされています。

    ワークスペースでのパッチオーケストレーションの詳細については、「脆弱性対応 ワークスペースを使用したパッチオーケストレーション」を参照してください。

    脆弱性マネージャー、アナリスト、IT 修復スペシャリストは、脆弱性対応 のパッチオーケストレーションを使用して、以下の修復タスクを実行できます。
    • ソリューション (パッチ) を構成するパッチやベンダーのタイプに関する詳細なコンテキストと情報を確認します。
    • 脆弱性対応 ワークスペースまたはクラシック環境にあるレコードから、脆弱性とソリューションのデータ、および脆弱性修復の進捗状況を表示および監視します。
    • Windows、CentOS、macOSOracle、およびその他の資産に対して、定期的なスケジュールされた間隔で、サードパーティのソリューションベンダーによってサポートされているパッチを展開します。作業中のパッチとの競合を避けるために、営業時間外にパッチをスケジュールすることができます。
    • サードパーティのスキャナーによって提供されたインポート済みの検出データを使用して、脆弱性があるがパッチ未適用の資産、またはスケジュール設定済みパッチによって正常に更新されなかった資産を特定します。
    • 脆弱性対応 アプリケーションのパッチ更新、修復タスク、および検出されたアイテムレコードからの更新が必要な資産に対し、利用可能なパッチを開始およびスケジュールします。
    • 修復スペシャリストによって送信されたパッチ適用要求に対するオプションの承認プロセスを使用して、パッチ展開を監視します。

    主要な用語

    構成アイテム (CI)
    CI とは、Configuration Management Database (CMDB) にリストされている既存の資産です。
    脆弱性一致アイテム (VI)
    CMDB 内の既存の資産と一致するインポートされた脆弱性。脆弱性一致アイテム (VIT) は、VI の修復アクションを指定する特定の基準に従って、修復タスクまたはリストにグループ化されます。
    インスタンス
    ソリューションベンダーアプリケーションの個別のアカウントを指します。たとえば、各ユーザーアカウントは、HCL BigFix アプリケーションの 1 つのインスタンスである場合があります。この用語は、Now Platform® インスタンスの一意の安全な Web アドレスを意味します。
    ソリューション
    この統合のコンテキストには、潜在的と優先の 2 つのタイプのソリューションがあります。潜在的なソリューションは、脆弱性に対処する可能性があるソリューションです。脆弱性には多くの潜在的なソリューションがあります。優先ソリューションは、検出された特定の脆弱性に対して最も効果的なソリューションと一致します。
    パッチ
    脆弱性を修正するソフトウェア更新。パッチベンダーは、独自の名前をパッチに使用します。たとえば、HCL BigFix アプリケーションでは、パッチは Fixlet と呼ばれます。
    優先パッチ
    優先パッチは、特定の脆弱性を修正することを目的としたソフトウェア更新です。パッチが展開されると、特定の脆弱性に関連する脆弱性一致アイテムにマッピングされ、それらを修正します。
    展開
    この統合における展開とは、マシンにパッチを適用、開始、またはスケジュールする場合を指します。

    Now Platform での展開は、マルチソースをサポートする統合を指す場合もあります。単一の統合の存在は、統合の展開と呼ばれます。展開とは、環境全体の統合と製品のことです。たとえば、お使いの環境にサードパーティのスキャナーやソリューションベンダー統合が複数展開されている場合があります。

    パッチオーケストレーション統合に必要なアプリケーションと依存関係の利用可能なバージョン

    必要なロール

    ユーザーには、脆弱性対応 アプリケーションからデータを表示したり、パッチをスケジュールしたりするために使用している、パッチオーケストレーション統合に固有のロールが必要です。詳細については、以下に示す、使用しているサポート対象の統合に関する構成情報を参照してください。

    パッチ要求の送信および承認のプロセスがアプリケーションに含まれています。デフォルトでは、Now Platform インスタンスの Vulnerability Response Patch Orchestration アプリケーションでシステムプロパティ [sn_vul_patch_orch.patch_approval_required] がアクティブ化されています。

    このシステムプロパティはアクティブ化されているため、パッチの展開がスケジュールされると、レビューおよび承認のために、レベル 1 - パッチ更新承認グループにアサインされたユーザーに送信されます。sn_vul_patch_orch.configure_patch ロールを持つユーザーに承認なしでパッチをスケジュールするように設定する場合は、 [sn_vul_patch_orch.patch_approval_required] プロパティを無効にできます。スケジュールされたパッチが通常の作業時間と競合しないように、承認をアクティブ化しておくことをお勧めします。承認システムプロパティを無効にすると、sn_vul_patch_orch.configure_patch ロールを持つすべてのユーザーが、レビューおよび承認なしでパッチをスケジュールおよび展開できます。

    詳細、およびこのシステムプロパティを非アクティブ化する方法については、サポートされている統合の構成トピックを参照してください。

    脆弱性対応 レコードからのパッチ適用のスケジュール

    修復スペシャリストは、脆弱性対応 アプリケーションのレコードから、脆弱性一致アイテムを解決するためのパッチ更新をスケジュールし、修復の進行状況を監視することができます。

    次のレコードからパッチをスケジュールできます。

    • パッチ更新
    • 修復タスク
    • 検出されたアイテム

    脆弱性対応 のアクティブな VI 数をロールアップするレコード

    すべての脆弱性に対してすべてのパッチをロールアップすることでパフォーマンスの潜在的な問題が発生しないように、変更を取得するジョブスケジュールでは、アクティブな VI 数のみを変更します。こうしたカウント変更と関連データは、脆弱性対応 アプリケーション内の以下のレコードにロールアップされます。

    • VIT (脆弱性一致アイテム)
    • RT (修復タスク)
    • 脆弱性ソリューション
    • パッチ更新

    パッチデータの表示とレコードへのパッチデータのロールアップ、およびソリューションなしのパッチの表示の詳細については、以下のトピックを参照してください。

    パッチによる脆弱性一致アイテムの一括編集

    パッチが用意されているクラシック環境の脆弱性一致アイテムを一括で編集できます。一括編集の動作の詳細については、「脆弱性対応 での脆弱性一致アイテムの一括編集」を参照してください。一括編集用に選択されたすべての VI に対する優先パッチ。この編集オプションは、選択したすべての VI に優先パッチがマッピングされている場合にのみ機能します。