Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute の統合
Prisma Cloud Compute 統合を使用すると、コンテナイメージをスキャンして脆弱性を検出できます。
脆弱性対応 のバージョン 23.0 以降では、コンテナ脆弱性対応 アプリケーションのVulnerability Response Integration with Palo Alto Networks Prisma Cloud Computeを使用して、実行中のホストに脆弱性をインポートできます。Prisma ホスト API を使用すると、特定のホストの包括的な脆弱性情報を取得でき、特定の時点でのホスト脆弱性のスナップショットも提供します。この API を使用すると、Prisma と ServiceNow インスタンス間の定期的な同期が可能になります。Prisma は Software as a Service (SaaS) とオンプレミスソリューションの両方として提供されるため、ServiceNow インスタンスから Prisma API を呼び出すには MID サーバーを使用する必要があります。
脆弱性対応 のバージョン 16.1 以降では、コンテナ脆弱性対応 アプリケーションの Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute を使用して、展開されたコンテナのコンテナイメージ脆弱性データをインポートできます。そうすると、脆弱性対応 ダッシュボードで脆弱性と脆弱性一致アイテムに関するレポートを表示できます。また、これらの脆弱性に優先順位を付けて修正することができます。
Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute 製品と ServiceNow AI Platform インスタンスが同じ環境にない場合は、MID サーバーを使用する必要があります。詳細については、「MID Server system requirements (MID サーバーのシステム要件)」を参照してください。
統合の表示
Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute の一部である統合を表示できます。統合を表示するには、次に移動します: .
次の統合を使用できます。
| 実行シーケンス | スケジュール | 統合 | 説明 |
|---|---|---|---|
| 1 | 日次 | Prisma Cloud Compute 基本イメージ統合 | Prisma API から基本イメージの脆弱性を取得し、基本イメージの脆弱性を個別にレポートします。また、基本イメージをポイントするイメージの検出結果と脆弱性一致アイテムも作成されます。 |
| 2 | 日次 | Prisma Cloud Compute 脆弱性統合 | コンテナ脆弱性を取得します。検索結果とコンテナ脆弱性一致アイテム (CVIT) および検出されたコンテナイメージを作成します。 |
| 3 | オンデマンド | Prisma Cloud Compute コンテナ数統合 | 各非基本イメージのコンテナ数を取得します。 |
| 4 | 日次 | Prisma Cloud Compute レジストリ統合 | Prisma レジストリスキャンから取得された静的イメージの検出結果を取得し、 コンテナ脆弱性対応に取り込みます。 |
Prisma の基本イメージ構成
Prisma コンソールでは、レジストリを構成し、それらのレジストリから基本イメージを構成できます。基本イメージに脆弱性が存在する場合、Prisma Cloud Compute 基本イメージ統合を実行すると、[基本イメージ] チェックボックスがオンになり、基本イメージに脆弱性が存在することが示されます。
CVR ベースの VI 粒度の構成
CVIT の粒度を設定するには、次に移動します: をクリックし、キーの組み合わせを指定します。デフォルトでは、CVIT はイメージリポジトリ、イメージ、および脆弱性の組み合わせに対して作成されます。キーにコンポーネントを追加して、さらに詳細に設定することができます。たとえば、イメージリポジトリ、イメージ、脆弱性、クラスターを組み合わせて CVIT を作成できます。
コンテナ脆弱性対応 の v2.12.1 以降では、レジストリ情報とデータソースを使用して、コンテナ脆弱性一致アイテム (CVIT) の粒度を設定することもできます。名前空間とクラスターの情報は、スキャナーと ディスカバリーの両方から受信されます。ディスカバリーからのみこの情報が必要な場合は、[データソース] フィールドから [ディスカバリー情報] を選択できます。選択したデータソースに応じて、CVIT レコードに関連するイメージまたは Kubernetes 情報のいずれかを表示できます。
[スキャナー情報] を選択すると、CVIT レコードに [イメージクラスター] フィールドと [イメージ名前空間] フィールドが表示されます。
ディスカバリー情報が選択されている場合、CVIT レコードには Kubernetes クラスターと Kubernetes 名前空間フィールドが表示されます。
Prisma 統合プロセス
Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute が実行されると、脆弱性情報データベース (NVD) テーブルに共通脆弱性識別子 (CVE) が存在するかどうかが確認されます。既に存在する場合は、既存の情報が使用されます。ただし、CVE が見つからない場合は、プレースホルダーレコードが NVD テーブルに生成されます。これらのプレースホルダー NVD レコードを作成すると、最初は CVE とその名前のみが入力されます。その他の詳細は、入力されません。NVD 統合によって後で入力されることを前提としているためです。統合インスタンスパラメーター update_nvd が true に設定されている場合、プレースホルダーの NVD レコードが更新されます。デフォルトでは、インスタンスパラメーターは false に設定されています。ただし、少なくとも NVD 統合が実行されてこれらの詳細が入力されるまでは、重大度や問題に関するその他の詳細など、CVE についてある程度理解する必要があります。この要件を満たすために、[エクスプロイト有無] フィールドと [修復メモ] フィールドには、Prisma から取得した詳細が入力されます。さらに、この構成はカスタマイズ可能であり、Prisma によって提供される情報に基づいて NVD エントリを他のフィールドに入力するよう指定できます。