脆弱性を自動的にトリアージ
修復を確実に成功させるには、新しい脆弱性のレビューとトリアージが必要です。自動化された脆弱性一致アイテム (VI) のアサイン、リスク計算、修復ターゲット、および VI のグループ化を使用して、脆弱性のインポートを修復タスクに変換します。
インポートされた脆弱性から始めて、CMDB にない資産を調整し、結果を優先順位付けして、自動的にアサインされる修復アクティビティに変換し、修復プロセスをオーケストレーションし、検証スキャンで完了を確認します。
通常、新しい脆弱性一致アイテムは、修復タスクルールに基づいてインポート時に修復タスクに分類されます。脆弱性一致アイテムをグループ化できない場合や、認識される構成アイテムが含まれていない場合があります。
脆弱性トリアージプロセスの概要:
- 脆弱性対応 インスタンスにログインします。
- 脆弱性一致アイテムのルール (CI ルックアップ、アサイン) が想定どおりに機能していることを検証します。CI ルックアップルールの変更については、「脆弱性対応 サードパーティ脆弱性統合の構成アイテムを識別するための CI ルックアップルール」を参照してください。アサインルールについては、「脆弱性対応 アサインルールの概要」を参照してください。注:大量のデータをインポートするため、脆弱性一致アイテムの自動アサインには注意が必要です。
- 修復ターゲットが正しいことを検証します。修復ターゲットルールの仕組みと変更方法については、「脆弱性対応 の修復ターゲットルール」を参照してください。
- グループ解除済み脆弱性一致アイテムの表示
- グループ解除済み脆弱性一致アイテムを確認し、グループルールを変更して再スキャンすることを検討してください。詳細については、「脆弱性対応 修復タスクルールの作成または編集」を参照してください。
- 脆弱性一致アイテムを手動でグループ化します。詳細については、「脆弱性対応 での修復タスクの手動作成」を参照してください。
- 修復タスクの脆弱性一致アイテムのリスクスコアを変更します。詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
- サードパーティ統合によって最近検出されていない古い脆弱性一致アイテムをクローズします。詳細については、「脆弱性一致アイテムと検出の自動クローズ」を参照してください。
- 一致しない構成アイテムの表示と再分類。
- 修復のために行う必要があることを調査します。
このステップでは、以下を行います。
- すぐに処理すべきことと保留できることを決定します。この決定は、多くの場合、リスクスコア、影響を受けるシステム、および変更時間帯が指定されているパッチに基づきます。注:修復ターゲットルールは脆弱性一致アイテムに属しています。こうしたルールは、脆弱性一致アイテムのインポート時に実行されます。この各ルールは、以前にセットアップアシスタントで作成されたものです。
- 必要に応じて、脆弱性一致アイテムをリフレッシュし、脆弱性対応 脆弱性一致アイテムの修復ターゲットステータスの表示を行います。
- 変更要求を作成し、修復のために修復タスクをアサイン先グループ (IT 運用) にアサインします。注:脆弱性がセキュリティインシデントを構成しており、セキュリティインシデントレスポンス プラグイン (com.snc.security_incident) がアクティブ化されている場合は、代わりに修復タスクからセキュリティインシデントレコードを作成できます。
- 1 つ以上の変更要求を送信した後、グループステータスを [調査中] に移行します。
- すぐに処理すべきことと保留できることを決定します。この決定は、多くの場合、リスクスコア、影響を受けるシステム、および変更時間帯が指定されているパッチに基づきます。