NVD を使用したセキュリティ問題の特定とエスカレーション

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：2分

共通脆弱性識別子 (CVE-ID) レコードは、脆弱性情報データベース (NVD) からダウンロードされると、ソフトウェア資産検出モデルによって識別された、会社のネットワーク内のソフトウェアと比較されます。CVE-ID がネットワーク内の脆弱なソフトウェアまたは構成アイテムと一致すると、脆弱性一致アイテムが作成されます。CVE-ID レコードの情報を使用して、脆弱性一致アイテムを修正のためにエスカレーションするかどうかを決定します。

始める前に

脆弱性対応アプリケーションでユーザーとグループが表示および実行できることを管理できるように、ペルソナと詳細ルールが用意されています。セットアップアシスタントでのペルソナロールの初期アサインについては、「セットアップアシスタントを使用した脆弱性対応ペルソナロールのアサイン」を参照してください。詳細なロール管理の詳細については、「脆弱性対応のペルソナと詳細ロールの管理」を参照してください。

手順

移動先すべて > 脆弱性対応 > ライブラリー > NVD.
NVD からダウンロードされた CVE-ID のリストが表示されます。NVD からの更新は、オンデマンドで実行することも、次の場所にある NIST National Vulnerability Database Integration レコードからスケジュール実行することもできます。すべて > 管理 > 統合.
CVE レコードをクリックすると、以下の情報が表示されます。
- CVE-ID のサマリー。
- 共通脆弱性タイプ一覧 (CWE) エントリーへの参照 (該当する場合)。
- 共通の脆弱性採点システム (CVSS) の CVE-ID の脆弱性スコア。CVSS の詳細については、「脆弱性情報データベース Web サイト」を参照してください。
脆弱性の詳細については、関連リストをクリックしてください。

脆弱性参照

指定された脆弱性とそれを参照する際の名前、説明、および URL。

エクスプロイト

詳細。

弱点

CWE 脆弱性のリスト。

脆弱性を特定するための詳細情報を取得するには、次の関連リストをクリックします。

関連リスト	説明
脆弱性一致アイテム	可能性がある脆弱性一致構成アイテムとソフトウェアのペアリングで構成される、脆弱性一致アイテムが一覧表示されます。ペアリングに関する詳細情報を取得するには、情報アイコン () をクリックします。注: ソフトウェアが削除されると、関連付けられた脆弱性一致アイテムがクローズされ、[脆弱性一致アイテム] 関連リストから削除されます。
脆弱性エントリー	選択したソフトウェアレコードの脆弱性エントリーを一覧表示します。レコードをクリックすると詳細が表示されます。

関連リスト

説明

脆弱性一致アイテム

可能性がある脆弱性一致構成アイテムとソフトウェアのペアリングで構成される、脆弱性一致アイテムが一覧表示されます。ペアリングに関する詳細情報を取得するには、情報アイコン (

) をクリックします。

注:

ソフトウェアが削除されると、関連付けられた脆弱性一致アイテムがクローズされ、[脆弱性一致アイテム] 関連リストから削除されます。

脆弱性エントリー

選択したソフトウェアレコードの脆弱性エントリーを一覧表示します。レコードをクリックすると詳細が表示されます。

脆弱性が特定され、脆弱性一致アイテムが作成された場合は、必要に応じて修復タスクの解決を実行できます。