コンテナ脆弱性対応 とともにインストールされるコンポーネント
コンテナ脆弱性対応 アプリケーションが有効になると、いくつかのタイプのコンポーネント (テーブル、ユーザーロール、スケジュール済みジョブなど) がインストールされます。
この機能ではデモデータを利用できます。
コンテナ脆弱性対応 v2.11 以降、最も頻繁に使用されるシステムプロパティに コンテナ脆弱性対応 アプリケーション内でアクセスできるようになりました。これらのシステムプロパティを表示するには、次に移動します: コンテナ脆弱性対応.
コンテナ脆弱性対応 と一緒にインストールされるロール
ロールは、コンテナ脆弱性対応 のアクティブ化とともに追加されます。
脆弱性対応 アプリケーションでユーザーとグループが表示および実行できることを管理できるように、ペルソナと詳細ルールが用意されています。セットアップアシスタントでのペルソナロールの初期アサインについては、「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。詳細なロール管理の詳細については、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
アップグレードのお客様の場合、v10.3 より前に sn_vul.vulnerability_read および sn_vul.vulnerability_write 権限によりアサインされたユーザーとグループのアクセス権は変更されていません。ユーザーとグループには、変更するまでこれらのロールが割り当てられたままになります。ただし、v10.3 以降では、 脆弱性対応 アプリケーションでユーザーやグループが実行および表示できる内容をより詳細に制御するために、詳細なロールを割り当てることをお勧めします。これらのロールの管理に関する概要と詳細については、「脆弱性対応 のペルソナと詳細なロール」および「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
| ロールタイトル [名前] | 説明 |
|---|---|
| V2.10:sn_vul_container.delete | ソースレコードを削除sn_vul_cmn.delete ロールと sn_vul_container.delete_vi ロールが含まれています。 |
| sn_vul_container.ci_manager | 一致しない構成アイテム (CI) の再分類を管理します。 |
| sn_vul_container.configure_integrations | コンテナ統合を構成します。 |
| sn_vul_container.configure_vi_granularity | コンテナ脆弱性一致アイテムの粒度を設定します。 |
| sn_vul_container.create_vi | コンテナ脆弱性一致アイテムを手動で作成できます。 |
| sn_vul_container.delete_vi | コンテナ脆弱性一致アイテムを手動で削除できます。 |
| sn_vul_container.exception_approver | コンテナ脆弱性一致アイテムの例外、保留、およびクローズを承認します。 sn_vul.view_manager_workspace ロールが含まれます。 v2.3 以降では、このロールの詳細ロール sn_vul_container.read_all が削除され、すべてのコンテナ脆弱性一致アイテムと修復タスクではなく、自分と自分のグループにアサインされたコンテナ脆弱性一致アイテムと修復タスクにアクセスできるようになりました。 |
| sn_vul_container.false_positive_approver | コンテナ脆弱性一致アイテムを誤検出として承認または却下します。 sn_vul.view_manager_workspace ロールが含まれています。 |
| sn_vul_container.manage_assignment_rules | コンテナ脆弱性一致アイテムのアサインルールを定義および更新します。 |
| sn_vul_container.manage_auto_close_stale_vi | 古いコンテナ脆弱性一致アイテムの自動クローズを設定します。 |
| sn_vul_container.manage_auto_exception_rule | 例外ルールを管理 (作成/読み込み/更新/削除) します。 |
| sn_vul_container.manage_normalized_severity | マッピングを更新して重大度を正規化できます。 |
| sn_vul_container.manage_permissions | コンテナ脆弱性対応ロールをユーザーにアサインできます。 |
| sn_vul_container.manage_remediation_targ… | コンテナの修復ターゲットルールを定義して更新します。 |
| sn_vul_container.manage_risk_score_confi... | コンテナ脆弱性一致アイテムのリスクスコア算出、リスクルール、および脆弱性ロールアップ算出を定義して更新します。 |
| sn_vul_container.read_all | すべてのコンテナ脆弱性一致アイテムと関連情報を確認できます。 sn_vul.view_manager_workspace ロールが含まれています |
| sn_vul_container.read_assigned | 自分または自分のグループにアサインされたコンテナ脆弱性一致アイテムを、クラシック UI または IT 修復ワークスペースで表示できます。 sn_vul.view_rem_workspace ロールが含まれています。 重要: 脆弱性対応 v24.0 以降、sn_vul_container.read_assigned ロールにはIT 修復ワークスペースにアクセスする権限があります。 |
| sn_vul_container.read_assignment_rules | コンテナ脆弱性一致アイテムのアサインルールを確認できます。 |
| sn_vul_container.read_auto_exception_rule | 例外ルールを読み取ります。 |
| sn_vul_container.read_discovered_image | 検出されたアイテムを確認できます。 |
| sn_vul_container.read_integrations | 統合実行の結果を確認できます。 |
| sn_vul_container.read_normalized_severity | 正規化された重大度マッピングを確認できます。 |
| sn_vul_container.read_remediation_target... | 修復ターゲットルールを確認できます。 |
| sn_vul_container.read_risk_score_configu... | コンテナ脆弱性一致アイテムのリスクスコア算出、リスクルール、および脆弱性ロールアップ算出を確認できます。 |
| sn_vul_container.remediation_owner | 自身にアサインされているコンテナ脆弱性一致アイテムの読み取りと書き込みを行います。このロールを持つユーザーは、脆弱性レコードも読み取ることができます。 |
| sn_vul_container.update_assigned_to | コンテナ脆弱性一致アイテムのアサインを更新できます。 sn_vul_container.write_all または sn_vul_container.write_assigned が必要です。 |
| sn_vul_container.update_assignment_group | コンテナ脆弱性一致アイテムのアサイン先グループを更新できます。 sn_vul_container.write_all または sn_vul_container.write_assigned が必要です。 |
| sn_vul_container.update_state | 脆弱性一致アイテムのステータスを更新できます。 sn_vul_container.write_all または sn_vul_container.write_assigned が必要です。 |
| sn_vul_container.vulnerability_admin | コンテナ脆弱性対応 製品のルール、統合などをすべて設定します。 |
| sn_vul_container.vulnerability_analyst | すべてのコンテナ脆弱性一致アイテムの修復を監視します。 |
| sn_vul_container.write_all | すべてのコンテナ脆弱性一致アイテムと修復タスクを更新できます。 |
| sn_vul_container.write_assigned | 自分または自分のグループに割り当てられたコンテナ脆弱性一致アイテムまたは修復タスクを更新できます。 |
| sn_vul_container.read_watch_topic | コンテナ脆弱性の監視トピックを読み取ることができます。 |
| sn_vul_container.create_watch_topic | コンテナ脆弱性の監視トピックを作成できます。 |
| sn_vul_container.edit_watch_topic | コンテナ脆弱性の監視トピックを編集できます。 |
| sn_vul_container.manage_exception_configuration | 例外管理構成を管理できます。 |
コンテナ脆弱性対応 とともにインストールされるテーブル
テーブルは、コンテナ脆弱性対応 (CVR) のアクティブ化とともに追加されます。
| テーブル | 説明 |
|---|---|
| コンテナイメージの検索 sn_vul_container_image_findings |
関連する脆弱性、イメージレイヤー、Docker イメージ、イメージリポジトリ、および検出されたイメージに関する情報が格納されます。 コンテナ脆弱性対応 の v2.11.3 以降では、検出結果が表示されるパスを表示することもできます。 |
| コンテナイメージレイヤー sn_vul_container_image_layer |
各イメージレイヤーの情報が入っています。イメージは、コンピューティングシステム上にコンテナを作成できる実行可能コードを含む静的ファイルです。 |
| コンテナイメージパッケージ sn_vul_container_image_package |
脆弱性が存在するパッケージに関する情報を提供します。バイナリパッケージの詳細もカンマ区切り値として提供されます。 コンテナ脆弱性対応 の v2.11.3 以降では、パッケージ URL (PURL) を表示することもできます。 |
| コンテナ脆弱性一致アイテム sn_vul_container_image_vulnerable_item |
それぞれの検出結果とそれに対応する脆弱性の詳細情報が含まれます。 コンテナ脆弱性対応 v2.11.3 以降では、コンテナとして実行されているイメージの最終スキャン日に関する情報を表示することもできます。 |
| 脆弱性エントリー (v2.11.3) sn_vul_entry |
CVE の重大度に関する情報と、Prisma によって送信された追加情報を提供します。 |
| 検出されたコンテナイメージ sn_vul_container_image |
イメージ ID、Docker イメージ、およびイメージリポジトリに関する情報を提供します。また、レイヤー情報も保存し、検出されたイメージに関連付けます。 コンテナ脆弱性対応 の v2.11.3 以降では、Docker イメージのイメージダイジェストと、コンテナーおよびレジストリーとして実行されているイメージの前回のスキャン日に関する情報も提供します。 |
| マッピングの検索 sn_vul_container_finding_m2m_vul_item |
コンテナイメージの検出結果とコンテナ脆弱性一致アイテム (CVIT) の M2M 関係。 |
| 脆弱性一致アイテムの自動クローズ sn_vul_container_image_auto_close_config |
古いコンテナイメージの検出結果をクローズし、CVIT にステータスをロールアップする方法に関する情報が入っています。 |
| コンテナイメージ脆弱性キー sn_vul_container_image_vulnerability_keys |
コンテナイメージの検出結果から CVIT を作成するための粒度の構成が入っています。 |
| Docker 関連サービス sn_vul_container_m2m_ci_services |
コンテナイメージに関連するすべてのビジネスサービスが含まれます。 |
| VR コンテナ数 sn_vul_container_vr_container_counts |
過去 90 日間のコンテナイメージからスピンオフされたコンテナインスタンスのローリング平均が含まれます。 |
| コンテナ修復タスクアイテム sn_vul_container_m2m_vul_group_item |
CVIT とコンテナ修復タスク間の M2M テーブル。 |
| コンテナ修復タスク sn_vul_container_vulnerability |
コンテナ修復タスクが含まれます。 |
| コンテナ修復タスクマニフェスト sn_vul_container_rt_manifest |
修復タスクの更新は、スケジュール済みジョブがこのマニフェストテーブルを使用することで行われます。 |
インストールされているスケジュール済みジョブ コンテナ脆弱性対応
コンテナ脆弱性対応 のアクティブ化によってスケジュール済みジョブが追加されます。
この機能ではデモデータを利用できます。
| スケジュール済みジョブ | 説明 |
|---|---|
| 既存のコンテナ VI を自動例外ルールに関連付ける (Associate existing Container VIs with Auto Exception Rule) | 自動例外ルールを既存のコンテナ脆弱性一致アイテム (CVIT) と自動的に関連付けます。 |
| コンテナ脆弱性一致アイテムの保留の有効期限を確認する (Check Container Vulnerable Item Deferment Expiration) | コンテナ脆弱性一致アイテムまたはコンテナ脆弱性が期限切れになった場合 (および 1 週間以内に期限切れになる場合) に通知を送信します。 |
| Vulnerability Response コンテナ数 (アプリケーション - Vulnerability Response およびコンテナ用 Configuration Compliance) (Vulnerability Response Container Count (Application - Vulnerability Response and Configuration Compliance for Containers)) | 毎日実行して、コンテナの 90 日間の移動平均を計算する sn_vul_container_vr_container_counts テーブルに入力します。 |
| CVIT を自動クローズする (Auto-Close CVITs) | 自動クローズ構成で定義された条件に一致するコンテナ脆弱性一致アイテムを自動的にクローズします。ステータスは「修復済み」に変更されます。 |
| CVIT の事業上の重要度を計算する (Calculate Business Criticality for CVIT) | すべてのアクティブな CVIT を処理し、CVIT の Docker イメージの影響を受けるサービスに基づいて [事業上の重要度] フィールドを更新します。 |
| Docker イメージが関連付けられていないキャンセル CVIT をクローズする (Close cancel CVITs that do not have a Docker Image associated) | CI が関連付けられていない CVIT を自動的に期限切れにします。ステータスは [クローズ済み] に設定され、サブステートは [キャンセル] に設定されます。 |
| コンテナ修復タスクの関連 VI 数を計算する (Calculate Related VI Counts for Container Remediation Task) | コンテナ修復タスクレコードの数を計算します。 |
| コンテナ脆弱性一致アイテムの値を脆弱性とグループにロールアップする (Rollup container vulnerable item values to vulnerability and group) | コンテナ脆弱性一致アイテムの脆弱性とグループのロールアップを計算します。 注: コンテナ脆弱性対応 の v2.10 以降では、スケジュール済みジョブが拡張され、マルチスレッド機能を備えたバックグラウンドジョブが作成できるようになりました。このアップグレードでは、ジョブをいくつかの小さな子ジョブに分割し、並列または同時に実行します。この変更により、複数のレコードを同時に処理できるようになり、タスク全体の速度が大幅に向上します。 |