コンテナ脆弱性対応の修復タスクとタスクルールの概要

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • 修復タスク (CVUL) を設定すると、アナリストと修復スペシャリストがコンテナ脆弱性一致アイテム (CVIT) を整理して一括で分析できるようになります。修復タスクを形成する基準は、CVIT が修復タスクに自動的にアサインされるように構成されます。修復タスクを使用すると、進捗状況を監視し、修復プロセスをより効率的に進めることができます。

    コンテナ脆弱性一致アイテムと修復タスクの保留数の追跡

    脆弱性一致アイテム、アプリケーション脆弱性一致アイテム、コンテナ脆弱性一致アイテム、または修復タスクが保留された回数を追跡します。スケジュール済みジョブ [保留数の設定] は毎日実行され、[保留数] 列で複数回保留されたレコード数が提示されます。レコードは、VR、AVR、および CVR の複数の保留モジュールに表示されます。

    修復タスクルールについて

    修復タスクルールを使用すると、コンテナ脆弱性一致アイテムを自動的にグループ化してアサインする方法を定義できます。デフォルトのルール「脆弱性」は、脆弱性に基づいて CVIT を収集するベースシステムに含まれています。ただし、CVIT からアクセス可能な列では、その他の値セットでグループ化できます。こうした値には、構成アイテム (CI) や脆弱性エントリなどが含まれる場合があります。

    コンテナ脆弱性対応には、脆弱性対応アプリケーションをアクティブ化したときに使用可能な、そのアプリケーションに含まれているタスクルールがあります。

    条件ビルダーを使用して複数の条件を作成できます。[グループ分け基準] セクションで、フィールドのペアを設定すると、別の行が表示されます。最大 6 つの [グループ分け基準] の選択を設定できます。グループのアサインを自動化することもできます。

    たとえば、コンテナ脆弱性一致アイテムを、構成アイテム別または製品モデル別にグループ化できます。低重大度の脆弱性または低リスクの CI に対して、1 つのタスクルールを設定できます。重要なサーバーに対して、会社をより大きなリスクにさらす脆弱性に対しては、別のタスクルールを設定できます。利用可能なオプションの詳細については、「コンテナ脆弱性対応の修復タスクルールの作成、編集、または削除」を参照してください。

    会社がより多くのリスクにさらされるコンテナ脆弱性一致アイテムには、別のルールセットを使用できます。修復タスク名が修復タスクルールの [グループ分け基準] の値に追加され、新しいレコードの簡単な説明が作成されます。

    新しいコンテナ脆弱性一致アイテムが作成、インポート、またはクローズ後に再オープンされると、それに対してルールが評価されます。CVIT は 1 回のみ自動的に評価されます。ただし、クローズ後に再オープンする場合や、ルールを手動で再適用する場合は除きます。

    新規の CVIT または再オープンされた CVIT ごとに、以下の処理が行われます。
    • 修復タスクルールごとに、CVIT が修復タスクルールフィルターと比較されます。
    • 修復タスクルール条件が一致するルールごとに、CVIT の [グループ化] の選択に基づいてデータがルールによってプルされます。グループ名とフィールドがビルドされます。この場合は、高リスク:QID-32342:QID-3242 のサマリー (名前:脆弱性 ID:脆弱性サマリー) となります。
      注:
      簡単な説明フィールドは 160 文字に制限されています。これより長い脆弱性サマリーは切り捨てられます。
    このルールでは、CVIT と同じアサイン先グループにアサインされている、一致するオープン修復タスクがあるかどうかを確認します。
    • タスクが見つかった場合、CVIT は [オープン] ステータスの既存のタスクに追加されます。
    • [オープン] ステータスのタスクが見つからない場合は、高リスク:QID-32342 タスクが作成され、CVIT と同じアサイン先グループにアサインされて、CVIT が修復タスクに配置されます。

    複数の修復タスクルールを定義すると、さまざまな種類の脆弱性をグループ化できます。各脆弱性は、修復タスクに配置される前に修復タスクルールの条件と比較されるため、ルールが多すぎるとパフォーマンスに影響を与える恐れがあります。重複する修復タスクを作成しない条件となるように、タスクルールを設定します。

    デフォルトでは、修復タスクルールで、アイテムのグループ化の際に CVIT のアサインルールによって設定されたアサイン先グループが使用され、CVIT に一致するように修復タスクがアサインされます。

    デフォルトのタスクルールの一部として、こうした修復タスクのアサインは [アサインルール] モジュールのルールによって制御されます。アサインルールの詳細については、「脆弱性対応アサインルールの概要」を参照してください。

    タスクルールが削除されると、フォームまたはリストビューから、そのルールによって作成されたすべてのオープンタスクを削除できます。[オープン] ステータスでないタスクは除外されます。

    修復タスクルールの再適用

    修復タスクルールを変更する場合は、修復タスクルールページの [再適用] ボタンを使用して、そのルールによって作成されたすべてのアクティブなオープン修復タスクに対し、変更されたルールを再実行します。変更されたルールに基づいて、修復タスクが自動的に削除され、再作成されます。

    [再適用] は、既存の修復タスクのみをチェックします。

    [再適用] を選択すると、[この修復タスクルールを最適用すると、このルール用の修復タスクが削除されてから再作成されます。オープン状態にない修復タスクは削除対象になりません。] というメッセージが表示されます。

    重要:
    脆弱性アドミンおよびアナリストは、Vulnerability Manager ワークスペースで選択した脆弱性一致アイテムの修復タスクルールを評価することができます。この方法は、時間のかかるクラシック UI で修復タスクルールを再適用するよりも効率的です。詳細については、「Vulnerability Manager ワークスペース でレコードの修復プロパティを再評価」を参照してください。

    修復タスクルールと CVIT の作成と更新

    スキャンの CI が既知の脆弱性に関連付けられている場合、CVIT が作成されます。作成後、CVIT は一致の修復タスクルールの条件に照らして評価されます。既存の修復タスクに一致するものがある場合は、CVIT が追加されます。一致する修復タスクが見つからない場合は、新しい修復タスクが CVIT に対して作成されます。

    修復タスクのフィルタリング条件でキャプチャされたプロパティが CVIT で更新または変更された場合、更新された CVIT も一致の修復タスクルールに照らして評価されます。既存の修復タスクに一致するものがある場合は、CVIT が追加されます。一致する修復タスクが見つからない場合は、新しい修復タスクが CVIT に対して作成されます。

    ステータスのロールアップとロールダウン

    修復タスクを [オープン] に更新するか、[オープン] から [調査中] に更新すると、関連付けられているすべての CVIT に対して新しいステータスがロールダウンされます。ステータスのロールダウンは、ステータスを変更した直後に発生します。

    CVIT から修復タスクへの状況のロールアップは、タスクのすべての CVIT が [保留] または [クローズ済み - 修正済み (Closed - Fixed)] 状況である場合にのみ発生します。ロールアップは、脆弱性に対するコンテナ脆弱性一致アイテムの値をロールアップし、15 分ごとに実行されるグループのスケジュール済みジョブを使用して実行されます。ジョブが実行されるまでステータスはロールアップされません。CVIT から修復タスクにステータスをロールアップするには、すべての CVIT が同じステータスである必要があります。