アプリケーション脆弱性対応 の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • 構成の前に、次のセットアップチェックリストを完了します。

    始める前に

    セットアップタスク 説明
    脆弱性対応 アプリケーションがインストールされ、アクティブ化されていることを確認します。

    アクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応 のインストール」を参照してください。
    アプリケーション脆弱性対応 レポートを表示するために、脆弱性対応のパフォーマンスアナリティクス がインストールされ、アクティブ化されていることを確認します。

    アクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「脆弱性対応のパフォーマンスアナリティクス [PA] アプリケーションのインストールと構成」を参照してください。
    Veracode Vulnerability Integration がインストールされ、アクティブ化され、設定されていることを確認します。[この時点では統合を実行しないでください。]

    アクティブ化されていることを確認するには、次の場所に移動します。 サブスクリプション管理 > サブスクリプション すぐに利用できますリストには、組織で購入したサブスクリプションが表示されます。

    アプリケーションがインストールもアクティブ化もされていない場合は、「ServiceNow Vulnerability Response Integration with Veracode のインストール」を参照してください。
    脆弱性対応 で CWE 2000 統合が実行されていることを確認します。 確認するには、「NVD レコードの更新を行うジョブスケジュールが実行されていることを確認する」を参照してください。
    [オプション] 脆弱性対応 で NVD 統合が実行されていることを確認します。 確認するには、「CWE レコードの更新を行うジョブスケジュールが実行されていることを確認する」を参照してください。
    インスタンスに必要な ServiceNow ロールがあることを確認します。 インストール、構成、および予想される結果の検証には、次のロールが必要です。
    • まだアサインされていない場合、システム管理者 [admin] はアプリケーションをインストールして、ユーザーをアプリセキュリティマネージャー、セキュリティチャンピオン、および開発者のユーザーグループにアサインします。グループロールの詳細については、「アプリケーション脆弱性対応 のユーザーロールおよびロール」を参照してください。
    • アプリセキュリティマネージャーグループは構成を監督し、期待される結果を検証します。
      注:
      アプリケーション脆弱性対応 構成は、脆弱性対応 のセットアップアシスタント機能からは利用できません。
    必要なロール:アプリセキュリティマネージャーユーザーグループ

    手順

    1. 移動先 Security Operations > CMDB > CI ルックアップルール.
      自分の環境に対する CI ルックアップルールを作成または変更するには、「CI ルックアップルールを作成する」を参照してください。
    2. 移動先 Application Vulnerability Response > アドミニストレーション.
    3. [アサインルール] を選択します。
      自分の環境に対するアプリケーションアサインルールを作成または変更するには、「アプリケーション脆弱性対応 アサインルールの作成または編集」を参照してください。
    4. [脆弱性算出] を選択します。
      自分の環境に対するアプリケーション脆弱性算出を作成または変更するには、「アプリケーション脆弱性対応 のリスクを自動的に計算する」を参照してください。
    5. [修復ターゲットルール] を選択します。
      自分の環境に対するアプリケーション修復ターゲットを作成または変更するには、「アプリケーション修復ターゲットルールの作成または編集」を参照してください。
    6. [正規化された重大度マップ] を選択します。
      自分の環境に対する重大度マップを作成または変更するには、「アプリケーション脆弱性一致アイテムの重大度を自動的にマッピングする」を参照してください。
    7. どちらかに移動します Veracode 脆弱性統合 > 統合 または Fortify 脆弱性統合 > 統合.
    8. Veracode アプリケーションリスト統合または Fortify オンデマンドアプリケーションリスト統合を開きます。
    9. まだ実行していない場合は、[今すぐ実行] をクリックします。
      注:
      他の Veracode または Fortify 統合はデフォルトで非アクティブになっています。
      統合実行ステータスについては、「Veracode アプリケーション脆弱性統合のインポート実行ステータスの表示」または「Fortify 脆弱性統合 インポート実行ステータスの表示」を参照してください。
    10. Veracode または Fortify オンデマンドアプリケーションリスト統合の実行が完了したら、次に移動します。 Application Vulnerability Response > アドミニストレーション > アプリケーション.
    11. アプリケーションごとに、[サポートグループ] (アサインルールで使用) と [部門] (レポートで使用) の値を入力します。
      複数のエントリーを更新するには、「Edit multiple records in a list using the list editor (リストエディターを使用してリスト内の複数のレコードを編集)」を参照し、タスクを一括で完了します。
      注:
      自動更新された [事業部門] を表示するには、ページをリフレッシュします。[スキャン済みアプリケーション] フォームフィールドについては、「スキャン済みアプリケーションファイル」を参照してください。
    12. 統合リストに戻り、他の Veracode または Fortify の統合をアクティブ化します。
      デルタデータ統合インポートを設定するには、「アプリケーション脆弱性対応 統合のアクティブ化」を参照してください。

      Veracode および Fortify の統合は連結されており、アクティブ化すると連続して実行されます。

    13. オプション: 移動先 Application Vulnerability Response > アドミニストレーション > アサインルール.
      1. オプション: 事前にアサインルールを作成または編集するときに、[ユーザーグループフィールド][構成アイテム:サポートグループ] を選択した場合、 [スキャン済みアプリケーション] リストビューに追加した値を使用できるようになります。
        それに応じてアサインルールを編集します。
      2. [更新] をクリックします。
      3. [脆弱性アサインルール] リストビューで、[変更を適用] をクリックして AVI にアサインルールを再適用します。
    14. これで、アプリケーション脆弱性対応 構成が完了しました。

    次のタスク

    移動先 Application Vulnerability Response > 概要 全体的なセキュリティ体制の詳細については、「 アプリケーションの脆弱性管理 (PA) ダッシュボード 」を参照してください。