ドメインセパレーションと コンテナ脆弱性対応
ドメインセパレーションは コンテナ脆弱性対応 でサポートされています。 ドメインセパレーションでは、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。
サポートレベル:標準
- ベーシックレベルサポートのすべての側面を含みます。
- アプリケーションプロパティは、必要に応じてドメイン対応です。
- ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
- インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。
サンプルユースケース:アドミンは、レコードを他のテナントに対してはクローズしないが、1 つのテナントに対してクローズする場合、コメントを必須にすることができる必要があります。
サポートレベルの詳細については、「アプリケーションでのドメインセパレーションのサポート)」を参照してください。
コンテナ脆弱性対応 におけるドメインセパレーションの仕組み
ドメインセパレーションを使用すると、サービスを提供する顧客ベース全体で コンテナ脆弱性対応 手順を標準化し、運用コストを削減し、サービス品質を向上させることができます。
顧客データは、ワークフロー、ダッシュボード、レポートなどに別個の顧客ワークスペースを使用することで分離され、他のクライアントに公開されることはありません。
| リリース | サポートレベル | メモ |
|---|---|---|
| Orland | 標準 | |
| Paris | 標準 | |
| Quebec- | 標準 | |
| Rome | 標準 | |
| サンディエゴ | 標準 | |
| 東京 | 標準 | |
| ユタ | 標準 | |
| Vancouver | 標準 | |
| Washingtondc | 標準 | |
| Xanadu | 標準 | |
| Yokohama | 標準 | |
| チューリッヒ | 標準 | |
| オーストラリア | 標準 |
コンテナ脆弱性対応 アプリケーションのドメインセパレーションは、次の製品機能をカバーしています。
- サードパーティのスキャナー ( Palo Alto Prisma Cloud 製品や Wiz 製品など) からコンテナ脆弱性一致アイテムを正しいドメインに取り込みます。データは、統合に使用される認証情報を持つ統合ユーザーと同じドメインに取り込まれます。
- 要求元のドメインの コンテナ脆弱性対応 から特定の資産を再スキャンします。
- CMDB CI ルックアッププロセスを使用して、スキャナーからの CI 情報が統合ユーザーのドメインの CMDB の CI と一致することを確認します。
- 統合ユーザーと同じドメインで定義されたリスクスコア算出に従って、脆弱性一致アイテムレベルでリスクスコアを計算します。
- 修復ターゲットルールは、統合ユーザーと同じドメインで定義された修復ターゲットルールに従って、コンテナ脆弱性一致アイテムに対して実行されます。
- 修復タスクルールは、統合ユーザーと同じドメインで定義および維持することができます。
- 修復タスクルールを使用して作成された修復タスクは、グループルールが作成されたのと同じドメインに留まります。
- 保留ワークフローは、保留が要求された同じドメイン内の承認プロセスを通過します。
- レポートとダッシュボードには、脆弱性一致アイテムの経過時間、CI 別のオープンな脆弱性一致アイテム、影響度別のコンテナ脆弱性、属するドメインの修復ターゲット日ステータスなど、コンテナ脆弱性一致アイテムの状況が表示されます。
- サードパーティのスキャナーからのナレッジをグローバルドメインに取り込み、複数のクライアント間でデータを共有できます。
ドメインセパレーションインポートを作成およびサポートする方法の詳細については、「統合のためのドメインセパレーションインポートの作成」および「バックグラウンドジョブフレームワークで複数のドメインを作成してサポートする」を参照してください。
ユースケース
コンテナ脆弱性対応 アプリケーションは、コンテナ脆弱性一致アイテムのライフサイクルをエンドツーエンドで管理します。次のユースケースはドメインセパレーションに対応しています。
- サードパーティ統合からコンテナ脆弱性一致アイテム (資産の脆弱性) を取り込みます。
- 複数のインスタンスからデータを取り込む
- コンテナ脆弱性一致アイテムの重複排除
- CMDB CI と照合する
- リスクスコアと修復ターゲット日によるコンテナ脆弱性一致アイテムの拡張
- 資産の拡張 (CMDB)
- リスクスコアと修復ターゲット日の拡張
- コンテナ脆弱性一致アイテムをグループ化し、修復タスクをアサインする
- コンテナ脆弱性一致アイテムを自動的にグループ化する
- 修復タスクを自動的にアサインする
- 修復
- 修復タスク
- 包括的な修復ライフサイクル
- 保留ワークフロー
- 組織のセキュリティ体制と脆弱性管理プログラムの [測定 (Measure)]
- 脆弱性の傾向、最も脆弱な資産、経過時間別の脆弱性
- 修復ターゲット日別の修復ステータス
セットアップ
コンテナ脆弱性対応 のドメインセパレーションを設定するには、追加の手順は必要ありません。インスタンスがドメインセパレーションされた後、すべての コンテナ脆弱性対応 テーブルで [ドメイン] 列が取得されます。コンテナ脆弱性統合インポートデータを特定のドメインに送信できます。詳細については、「統合のためのドメインセパレーションインポートの作成」を参照してください。
ドメインセパレーションデータ
- サードパーティのスキャナーから取り込まれたコンテナ脆弱性一致アイテムは、統合ユーザーのドメインと同じドメインに留まり、他のドメインからはアクセスできません。
- あるドメイン内のコンテナ脆弱性、コンテナ脆弱性一致アイテム (インスタンス)、または資産を他のドメインから表示することはできません。
- リスクスコアアルゴリズム、修復タスクルール、および修復ターゲットルールは、ドメイン外のユーザーは閲覧できません。
- サードパーティのスキャナーからのコンテナ脆弱性情報はグローバルドメインに存在し、すべての顧客と共有できます。
- あるドメイン内の修復タスクは別のドメインから閲覧できません。
- あるドメインで作成された保留ワークフローを別のドメインで見ることはできません。
- すべてのメール通知は、属しているドメイン内に含まれます。
- インスタンスで利用可能なインポートテンプレートを、統合に関与するドメインに配布します。
- インポートテンプレートレコードのドメインをターゲットドメイン「sys_id」に更新します。
- 必要に応じて、ドメインごとにインポートテンプレートを作成します。
- 各ドメインにインポートテンプレートが 2 つあることを確認します。
脆弱性アナリストが自社のアプリケーションデータを管理する方法
- アナリストは、自分でアプリケーションインストール、マルチソースアプリケーション管理、および CI ルックアップルールを作成します。
- アナリストは、ドメイン内で使用するために特定の統合を構成できます。
- アナリストは、独自の保留および変更管理ワークフローを作成できます。
- アナリストは、独自の修復タスクルール、正確な脆弱性の優先順位付けを行うリスクスコアロジック、修復タスクの自動アサイン、正しいアサイン先グループへのアサインを作成できます。
- ドメインユーザーは、手動でコンテナ脆弱性一致アイテムを作成し、そのアイテムをクローズします。
インスタンスオーナーがドメインセパレーションできるビジネスロジックとプロセス
- コンテナ脆弱性対応 ユーザーとグループ
- コンテナ脆弱性対応 の統合
- 完全なセットアップ構成 (ユーザーとグループの管理、アプリケーションのインストール、マルチソースアプリケーション管理、CI ルックアップルール、修復タスクルール、リスク算出、修復ターゲットルールなど)
- 保留を含む完全な修復ライフサイクル
- スケジュール済みジョブ