脆弱性対応 での古い検出のクローズ
[古い検出を自動クローズ] モジュールを使用すると、サードパーティ統合によって最近検出されなかった古い脆弱性検出を自動的にクリーンアップすることができます。こうした検出を [クローズ済み] に移行すると、ServiceNow AI Platform インスタンスにあるアクティブな脆弱性一致アイテムと修復タスクの数を減らし、CMDB 内の資産を調整するのに役立ちます。
概要と主要な用語
検出データを脆弱性一致アイテムにより正確にロールアップするために、[古い検出を自動クローズ] モジュールを使用すると、サードパーティ統合によって最近検出されなかった古い脆弱性一致アイテムの検出をクリーンアップすることができます。この機能の詳細については、以下のユースケースを参照してください。
脆弱性対応 の以前のバージョンでは、脆弱性一致アイテムの自動クローズモジュールにより、サードパーティのスキャナー統合によって最近検出も更新もされていない脆弱性一致アイテムが [クローズ済み - 古い] に自動的に移行されていました。
[古い検出を自動クローズ] 機能を有効にする前に、以下の用語と、状況が脆弱性一致アイテムと修復タスクにどのようにロールアップされるか、および検出データをインポートするサードパーティ統合の前提条件を確認してください。
機能を有効にするには、「脆弱性対応 での古い検出の自動クローズ」を参照してください。
主要な用語
- 古い検出
- ServiceNow AI Platform® インスタンス内の脆弱性一致アイテムに関連付けられた検出のうち、古く、長期間にわたってサードパーティの統合スキャンによって発見、更新、検出されていないものを指します。
- 最後に発見された検出
- この検索オプションは、サードパーティのスキャナーによって提供された日付と時刻を使用します。この用語は、スキャナーによって検出が再度見つかった最新の日時を指します。
- 前回スキャンされた資産
- この検索オプションは、サードパーティのスキャナーによって提供された日付と時刻を使用します。この用語は、サードパーティのスキャナーによって資産が前回スキャンされた日時を示します。
ユースケース
資産 (構成アイテム) は、お使いの環境で廃止されたり、サードパーティのスキャナーによって消去されたりすることがあり、関連付けられた検出が脆弱性一致アイテムの検出によって更新されない場合があります。その結果、検出と関連する脆弱性一致アイテムは 脆弱性対応 アプリケーションで更新されず、非アクティブ (古い) になります。
変更されていない脆弱性一致アイテムデータがあるこのような古い検出をクローズし、次にアクティブな VI と修復タスク (RT) の数を減らすには、 [古い検出を自動クローズ] を有効にします。この機能により、設定した検索条件と経過日数に基づいて、サードパーティのスキャナー統合で最近検出も更新もされていない脆弱性一致アイテムの検出が自動的にクローズされます。
たとえば、特定の構成アイテム (CI) に複数の資産 ID があり、そのうちの 1 つの ID が過去 90 日間にサードパーティのスキャナーからの検出でインポートされていなかったとします。この機能により、新しい脆弱性データがないこの検出が自動的にクローズされるため、関連する VI をクローズできます。
VI には複数の検出が関連付けられている可能性があるため、この機能では、設定したパラメーターによって古いと判断された検出のみが移行されます。たとえば、VI に 4 つの検出が関連付けられており、2 つの検出が古い場合、つまり、過去 90 日間に新しい脆弱性データがインポートされていない場合、この機能では古い検出のみがクローズされます。VI をクローズするには、まず他の 2 つのオープンされている検出を修正する必要があります。
VI への検出状況のロールアップ
自動クローズされた検出とサードパーティのスキャナーによってクローズされた検出を区別するために、[ステータス] フィールドに新しい値として [古い] が追加されました。このフィールドに指定できる値は、 [オープン]、 [クローズ済み]、および [古い] です。[古い] は、検出の自動クローズ機能によって検出がクローズされたことを示します。
ステータスの優先順位:[オープン] > [クローズ済み] > [古い]。
- 検出が [オープン] の場合、関連する VI のステータスは [オープン] のままになります。
- 検出が [オープン] ではなく、一部が [クローズ済み] で、一部が [古い] 場合、関連する VI 状況は [クローズ済み - 修正済み (Closed - Fixed)] に移行します。
- すべての検出が古い場合、関連する VI 状況は [クローズ済み - 古い (Closed - Stale)] に移行します。
脆弱性対応 20.0 以降は、検出が [古い] で、関連する VI が [クローズ済み] ステータスの場合、VI のステータスは [クローズ済み - 古い (Closed - Stale)] に移行しません。これは、新しい検出が特定されたときに VI が再オープンしないようにすることで、誤検出の要求と承認プロセス全体を回避できるようにするためです。この動作を元に戻すには、[自動クローズ構成] フォームの [クローズされている VI の古い検出を無視する] チェックボックスをオフにします。詳細については、「脆弱性対応 での古い検出の自動クローズ」を参照してください。
修復タスク (VUL) への VI 状況のロールアップ
ステータスの優先順位:[オープン] > [クローズ済み - 修正済み (Closed - Fixed)] > [クローズ済み - 古い (Closed - Stale)]。
- VUL (修復タスク) の VI が [オープン] の場合、VUL ステータスは変更されません。
- 少なくとも 1 つの VI が [クローズ済み - 修正済み (Closed - Fixed)] で、残りが [クローズ済み - 古い (Closed - Stale)] の場合、VUL 状況は [クローズ済み - 修正済み (Closed - Fixed)] に移行します。
- VUL 内のすべての VI が [クローズ済み - 古い (Closed - Stale)] の場合、VUL 状況は [クローズ済み - キャンセル (Closed - Canceled)] に移行します。
- いずれかの VI が [クローズ済み - 誤検出 (Closed – False Success)] としてクローズされている場合、VUL は自動的にクローズされません。
状態のロールアップとロールダウンのシナリオの詳細については、「 ステータスのロールアップおよびロールダウンシナリオ」を参照してください。
自動クローズ検出とサードパーティ統合の要件
Microsoft TVM ユーザーと古い検出の自動クローズ
| チェックリストアイテム | 説明 |
|---|---|
| Microsoft TVM 脆弱性統合 | Microsoft TVM 脆弱性統合で検索のベースとして [最後に発見された検出] を選択した場合、この機能では過去 7 日以内に Microsoft TVM マシン脆弱性統合 (フルインポート) が正常に実行されている必要があります。この統合は毎週実行されます。 [古い検出を自動クローズ] が有効で [最後に発見された検出] に対して設定されていても、Microsoft TVM マシン脆弱性統合が無効になっている場合や、データインポートが過去 7 日以内に正常に完了していない場合、検出をクローズするスケジュール済みジョブは毎日実行されますが、一部の古い検出が想定どおりにクローズされないことがあります。 [前回スキャンされた資産] を検索のベースとして選択した場合、Microsoft TVM マシン脆弱性統合を実行する必要はありません。 この統合をアクティブ化するには:
|
| (オプション) Microsoft TVM 統合の複数のインスタンスを現在の環境に展開します。 | 必要に応じて、統合の複数のインスタンスを環境全体に展開できます。 古い検出の自動クローズはインスタンス固有ではなく、環境全体で有効または無効になります。統合実行が正常に完了したインスタンスでは、古い検出は自動的に [古い] に移行されます。 [古い検出を自動クローズ] が有効になっており、インスタンスで毎週実行される統合を無効にした場合でも、検出をクローズするスケジュール済みジョブは毎日実行されますが、一部の検出が想定どおりに自動的に [古い] に移行されないことがあります。 |
Qualys ユーザーと古い脆弱性一致アイテムの自動クローズ
- 検出データを取得するアクティブ化された Qualys サードパーティ統合は、このモジュールで実行できます。特定の Qualys アプリケーションは必要ありません。
- 必要に応じて、Qualys 統合の複数のインスタンスを環境全体に展開できます。
- 古い検出の自動クローズはインスタンス固有ではなく、環境全体で有効または無効になります。古い検出は、すべてのインスタンスで自動的に [古い] に移行されます。
Rapid7 ユーザーと古い検出の自動クローズ
| チェックリストアイテム | 説明 |
|---|---|
| Rapid7 脆弱性統合 | [最後に発見された検出] を検索のベースとして選択する場合、この機能では、過去 7 日以内に Rapid7 の包括的な脆弱性一致アイテムの統合のいずれかが正常に実行されている必要があります。以下の包括的な統合が毎週実行されます。
[古い検出を自動クローズ] が有効で [最後に発見された検出] に対して設定されていても、Rapid7 の包括的な脆弱性一致アイテム統合が無効になっている場合や、データインポートが過去 7 日以内に正常に完了していない場合、検出をクローズするスケジュール済みジョブは毎日実行されますが、一部の古い検出が想定どおりにクローズされないことがあります。 [前回スキャンされた資産] を検索のベースとして選択すると、包括的な Rapid7 統合を実行する必要はありません。 これらの統合をアクティブ化するには:
注: 毎週実行されるこれらの統合に加えて、Rapid7 Nexpose および Rapid7 InsightVM にはそれぞれ、毎日実行される VI 統合、Rapid7 脆弱性一致アイテム統合、および Rapid7 脆弱性一致アイテム統合 - API があります。 日次と週次の Rapid7 の統合が両方とも有効になっている場合でも、一度に実行される統合は 1 つだけです。これらの統合ジョブのいずれかが実行されている場合、もう一方の統合のジョブは次のスケジュール済みジョブまでスキップされます。 |
| (オプション) Rapid7 統合の複数のインスタンスを現在の環境に展開します。 | 必要に応じて、包括的な統合の複数のインスタンスを環境全体に展開できます。 古い検出の自動クローズはインスタンス固有ではなく、環境全体で有効または無効になります。統合実行が正常に完了したインスタンスでは、古い検出は自動的に [古い] に移行されます。 [古い検出を自動クローズ] が有効になっており、インスタンスで毎週実行される統合を無効にした場合でも、検出をクローズするスケジュール済みジョブは毎日実行されますが、一部の検出が想定どおりに自動的に [古い] に移行されないことがあります。 |
Tenable 脆弱性統合ユーザーと古い脆弱性一致アイテムの自動クローズ
- 検出データを取得する Tenable 脆弱性統合からアクティブ化された統合は、このモジュールで実行できます。特定の Tenable 脆弱性統合は必要ありません。
- 必要に応じて、Tenable 脆弱性統合の複数のインスタンスを環境全体に展開できます。
- 古い検出の自動クローズはインスタンス固有ではなく、環境全体で有効または無効になります。古い検出は、すべてのインスタンスで自動的に [古い] に移行されます。
統合が適切に構成されていることを確認したら、「脆弱性対応 での古い検出の自動クローズ」を参照して機能を有効にします。
古い脆弱性一致アイテムの自動クローズから古い検出の自動クローズへのアップグレード情報
- 古い脆弱性一致アイテムの自動クローズの [前回スキャンされた資産] オプションで入力した日数の値は、[古い検出を自動クローズ] の [前回スキャンされた資産] 用に自動的に保持されます。
- 古い脆弱性一致アイテムの自動クローズの [前回検出された脆弱性一致アイテム] オプションで入力した日数の値は、[古い検出を自動クローズ] の [最後に発見された検出] 用に自動的に保持されます。
- 脆弱性一致アイテムが [クローズ済み - 古い (Closed - Stale)] に設定されている既存のオープン状態の検出は、アップグレード後に Auto-Close Stale Detections スケジュール済みジョブが実行されると、自動クローズの構成設定に従って [古い] に移行されます。
ロールアップ情報
- 脆弱性一致アイテムがアップグレード前に [クローズ済み - 古い (Closed - Stale)] で、アップグレード後にすべての検出が [古い] とマークされている場合、VI ステータスは [クローズ済み - 古い (Closed - Stale)] のままになります。
- 脆弱性一致アイテムがアップグレード前に [クローズ済み - 古い (Closed - Stale)] で、アップグレード後に一部の検出のみが [古い] としてマークされ、残りがスキャナーによってクローズされた場合、脆弱性一致アイテムはロールアップロジックに従って [クローズ済み - 修正済み (Closed - Fixed)] に移行します。