脆弱性対応 の算出と脆弱性算出ルール

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:8分

    • 脆弱性算出では、脆弱性一致アイテムのフィールドの初期値の計算が自動化されます。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    脆弱性算出

    脆弱性対応 ベースシステムには、脆弱性一致アイテムのベース [リスクスコア] を設定する 2 つの脆弱性算出が含まれています。
    • デフォルトのリスク計算機
    • 脆弱性重大度

    脆弱性算出は、条件フィルターを使用することにより、任意の条件に基づいて脆弱性一致アイテムの影響度を優先順位付けして評価するようにビルドできます。脆弱性のビジネスインパクト、構成アイテム (CI) のクラス、脆弱性一致アイテムの経過時間などの条件を問わず、追加の脆弱性算出を作成して脆弱性一致アイテムに他のフィールドを設定できます。また、既存の脆弱性算出をカスタマイズすることもできます。算出は、どのような優先順位でも反映できるように記述できます。詳細については、「脆弱性対応 算出の作成」と「脆弱性対応 内のフィルタリング」を参照してください。

    さらに、構成管理データベース (CMDB) の configuration_item [cmdb_ci] の属性を使用して、脆弱性対応のリスク算出のロジックを作成できます。たとえば、組織内で外部向け CI の方が脆弱であり、即時の修復が必要であると判断した場合は、これらの CI に Internet Facing などの属性をアサインすることができます。この属性およびその他の属性は、Orlando ファミリーリリースの Common Service Data Model リリースノートに記載されています。CMDB に関する最新情報とガイダンスについては、以下のトピックを参照してください。

    各算出には、算出ルールのリストと、それを適用するタイミングを決定する条件が含まれています。算出が実行されると、各算出ルールの条件が順番に評価され、最初に一致した算出ルールが使用されます。

    [脆弱性重大度] 算出では、正規化された脆弱性重大度を使用して、脆弱性一致アイテムの [リスクスコア] を計算します。
    注:
    • 一度にアクティブにできる算出は、ターゲットフィールド ([リスクスコア]) ごとに 1 つのみです。[脆弱性重大度] はデフォルトで無効になっています。
    • 脆弱性対応 v23.0 以降、VIT でリスクスコアが更新されると、次の詳細において [メモ] セクションが更新されます。
      • 算出グループ名
      • 算出名:算出ルールがテンプレートとスクリプトのどちらに基づいているかに応じて、名前に括弧で囲まれた詳細が追加されます。算出ルールの基準を変更または表示するには、任意のルールをクリックし、[詳細表示] チェックボックスをオンにします。[値のタイプ (Value type)] ドロップダウンボックスから、必要なオプションを選択します。[テンプレート] を選択した場合、リスクスコアはルールで指定された条件に従って更新されます。[スクリプト] を選択した場合、既存のスクリプトを追加または更新できます。

    すべての有効な脆弱性算出では、脆弱性一致アイテムが作成される都度、関連する CI または脆弱性が変更されたとき、または脆弱性一致アイテムの [リスクスコアを計算] 関連リンクが使用されるときに、選択されたフィールドが設定されます。たとえば、インポートされた脆弱性一致アイテムで重大度の値が更新されると、脆弱性一致アイテムレコードのリスクスコアが自動的に更新されます。脆弱性インポートによって脆弱性スコアが更新されると、その脆弱性に対して再計算フラグが有効になります。その脆弱性を伴い、再計算フラグが有効 (true) になっている脆弱性一致アイテムのリスクスコアが再計算されます。

    既存の脆弱性一致アイテムから [リスクスコアを計算] 関連リンクをクリックし、いずれかの算出が有効になっている場合、脆弱性一致アイテムの [リスクスコア] フィールドが更新されます。
    注:
    • [リスクスコアを計算] 関連リンクは、少なくとも 1 つの脆弱性算出が有効になっている場合にのみ表示されます。
    • 脆弱性対応 v22.0 以降、レコードビューの [リスクスコアを計算] ボタンを選択して、Vulnerability Manager ワークスペース および IT 修復ワークスペース 内の脆弱性一致アイテムのリスクスコアを更新できます。
    • 脆弱性対応 v23.0 以降、VIT のリスクスコアが変更されると、VIT の [メモ] セクションに次の詳細が記録されます。
      • 算出グループ名
      • 算出名:
      • 重み付けとリスクスコアの寄与度を含むフィールド値
      • 最終的なリスクスコア

    脆弱性算出ルール

    ベースシステムの [デフォルトリスク算出 (Default Risk Calculator)] ツールには、[デフォルトのリスクルール] というルールがあります。これは、「リスクルール」と呼ばれる特殊な脆弱性算出ルールとなります。複数の値に基づいて、[リスクスコア] が計算されます。
    • 脆弱性重大度
    • エクスプロイト情報
    • 重要度
    • 脆弱性がある CI の外部エクスポージャー
    • EPSS スコア
    [デフォルトのリスクルール] で使用する値と、これらの各値の重み付けを調整できます。重み付けは、ベースのリスクスコアを設定するときに各要素をどの程度考慮するかを調整するために使用されます。

    デフォルトのリスクルールの基準をカスタマイズできます。詳細については、「脆弱性対応リスク算出のリスクルールのフィールドと重み付けの定義」を参照してください。

    リスクルール算出機能のリスクスコアの決定方法については、「脆弱性対応 のリスクスコア算出の例」を参照してください。

    重み付けパーセンテージをアサインする

    フィールド値レベルで重み付けパーセンテージ (0 ~ 100) をアサインすることもできます。たとえば、重大度 ([なし] から [重大]) の各レベルに重み付けパーセンテージをアサインできます。

    リスクルールの重大度の重み付けが 50 で、重大度レベルに次の重み付け値がアサインされている場合:
    脆弱性重大度 リスクスコア
    重大 100
    50
    20
    なし 0

    重大度が「重大」の場合、対応する重み付けは 50 です。重大度が「高」の場合、対応する重み付けは 25、重大度が「中」の場合、対応する重み付けは 10 です。重大度が [なし] の場合、対応する重み付けは 0 です。詳細については、「脆弱性対応 のリスクスコア算出の例」を参照してください。

    脆弱性算出ルール設定

    各ルールには [順序] 設定があります。しかし、条件に一致する最初のルールによって脆弱性一致アイテムの [リスクスコア] フィールドが更新されます。脆弱性算出ルール設定の詳細については、「脆弱性対応 算出の作成」を参照してください。通常、スクリプト化されていない算出ルールは、スクリプト化された算出ルールよりもパフォーマンスへの影響が少なくなります。

    ベースシステムの脆弱性重大度算出には、重大度レベル (なし~重大) ごとに、重大度に基づいて [リスクスコア] の値 (0 〜 100) をアサインする算出ルールが含まれています。[不明な重大度] には、リスクスコア 100 が自動的にアサインされます。これらの値は調整可能で、[デフォルトリスク算出 (Default Risk Calculator)] のように、新しい算出ルールやリスクルールを作成できます。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • 出荷時のリスク評価タイプはベーステーブルで vr_risk_rating となっています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリーを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリー (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。

    Tenable 脆弱性統合と Tenable リスクルール

    Tenable リスクルールは Tenable Vulnerability Integration で利用できます。脆弱性優先評価 (VPR) は、脆弱性対応 の新しいデフォルトのリスク算出でインポートして使用される Tenable 製品の属性です。Tenable リスクルールは、脆弱性対応 の脆弱性算出のデフォルトのリスク算出の一部として 脆弱性対応と Tenable の統合 アプリケーションとともにインストールされます。

    このリスクルールデフォルトでは無効になっています。「セットアップアシスタントを使用した Tenable 脆弱性統合の構成」を参照してください。