例外管理の概要
公開されている脆弱性管理やセキュリティポリシー、標準、指針に組織が準拠できない場合は、例外を要求できます。例外管理では、ポリシーに従って修復できない脆弱性一致アイテム (VI) または修復タスク (RT) に対する例外を要求、レビュー、承認、または却下します。
一部の脆弱性には、既存のパッチ、修正、またはソリューションがない可能性があります。例外が承認されるということは、脆弱性を修復しなかった場合の結果を認識し、同意していることになるため、リスクを受け入れているということでもあるのです。
例外のライフサイクル
- 例外の定義
- 例外は、VI または RT の修復を指定した期間保留することを要求するものです。たとえば、修復オーナーは、マシンにパッチが適用できない場合に例外を要求できます。
- 例外の要求
- 修復オーナーは、例外管理プロセスを使用して、VI または RT の免除を要求できます。例外承認者がこの要求を承認すると、VI または RT は [保留] ステータスに移行します。
- 例外要求を承認する
- すぐに修正できない VI または RT は、脆弱性アナリストによってレビューされ、リスクが評価され、修正できるまでの保留が承認されます。例外要求の承認は 2 レベルワークフローにすることができます。第 1 レベルの承認者のみが存在する場合、例外を要求して承認できます。ただし、第 1 レベルの承認者がいない場合は、例外を要求できません。詳細については、「例外承認者の追加」を参照してください。
注:
-
脆弱性対応 v15.0 以降では、VR アプリケーションを初めて展開する場合は、例外管理のフローデザイナーがデフォルトで有効になります。既にワークフローを使用している場合は、フローデザイナーに更新できます。どちらの場合も、ワークフローに戻すことはできません。例外管理と誤検出の承認ルールを設定するには、「例外管理の承認ルールの構成」を参照してください。
VI または RT の例外要求が承認されると、以下のアクションを実行できます。- 再オープン
- 削除
- [アサイン先] または [アサイン先グループ] フィールドの更新
- 脆弱性対応 v23.0 以降、[例外ルールステータス承認] ワークフローは廃止され、フローデザイナーの [例外ルールの承認] フローに置き換わりました。
- 例外要求の追跡
- 例外を申請した後、VI または RT の [ステータス変更承認] タブを使用してそのステータスを追跡できます。RT に対してアクションが実行された場合、その RT の個々の VI のステータスを追跡することはできません。
- 例外要求の有効期限
- 特定の VI または RT に対する例外要求が期限切れになると、影響を受ける VI または RT は [オープン] ステータスに戻ります。
単一の VI または RT 内のすべての VI が次のスキャンで合格すると、VI と、該当する場合は RT の [ステータス] フィールドが [クローズ済み] に変更され、サブステートは [修正済み] になります。
複数の保留
レコードまたは修復タスクが保留された回数が追跡されます。スケジュール済みジョブである set deferral counts は毎日実行され、VR の複数の保留モジュールの [保留数] 列で複数回保留されたレコードのカウントが提示されます。修復タスクが複数回保留された場合、修復タスクに関連付けられているレコードのすべてのカウントが収集され、提示されます。