脆弱性対応 アサインルールの概要

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • 脆弱性一致アイテム (VI) が修復のためにアサイン先グループに自動的にアサインされる基準を定義します。

    デフォルトのアサインルール [CI サポートグループにアサイン] は、脆弱性一致アイテムを CI サポートグループにアサインするベースシステムに含まれています。[CI サポートグループにアサイン] ルールは、VI に関連付けられている構成アイテム (CI) に設定されているサポートグループに VI をアサインします。
    注:
    アサインルールは、手動作成されたアサインは再評価しません。

    アサインタイプ [手動] または [ルール] は、VI フォームとリストビューから使用できます。最初にルールによってアサインされたが、以降に手動で再アサインされた VI には、元のルールへの参照が含まれています。

    [アサインルール] と [アサインタイプ] 情報を使用して、アサインルールが意図した受信者に対して適切なマッチングを見つけられなかったケースを特定します。この情報を使用して、再アサインが最も多いルールを特定することもできます。

    アサインルールによって設定されたアサイン先グループは、修復タスク (VUL) にオーナーをアサインするために [修復タスクルール] によって使用されます。
    注:
    Rapid7 InsightVM 資産タグをアサインルールの条件フィルターで使用できるようにするには、他の Rapid7 InsightVM 統合の前に Rapid7 InsightVM 資産リスト統合を実行する必要があります。

    条件ビルダーに入力した検索テキストの大文字と小文字の区別は、このレコードまたはフォームではサポートされていません。

    脆弱性一致アイテムの自動アサイン

    [次を使用してアサイン] を使用して脆弱性一致アイテムをアサインするには、3 つの異なる方法があります。
    • ユーザーグループ:このオプションを使用すると、既存の Now Platform® ユーザーグループを選択できます。
    • ユーザーグループフィールド:このオプションを使用すると、cmdb_ci テーブルを使用して利用可能なアサイン先グループフィールドを選択できます。デフォルトでは、次の 3 つのグループフィールドが表示されます。
      • なし:この必須フィールドにデフォルト値がないことを示します
      • 構成アイテム:承認グループ
      • 構成アイテム:アサイン先グループ
      • 構成アイテム:サポートグループ
    • スクリプト:このオプションを使用すると、スクリプトを使用して条件を定義できます。このオプションには、コーディングまたは高度な ServiceNow の専門知識が必要です。

    最優先のルール (特別な処理が必要なアイテム、リスクが重大な場合、または VI を規制コンプライアンスによって処理する必要がある場合) を最初に実行します。次に、一般的なルールを実行します。この場合、特別な処理は必要なく、誰が責任を負うべきかがわかっています。最後に、VI をグループにアサインするデフォルトのルールを作成します。これにより、どのアサイン先グループに属すべきかが決定されます。このグループは、決定を対象に別のルールを追加できます。このデフォルトルールは最後に実行されます。

    アサインルールの評価プロセス

    アサインルールは、新しい VI が開かれたとき、つまりインポートされたとき、手動で作成されたとき、または再オープンされたときに、VI を評価してアサインするために使用されます。VI またはそのステータスが変更された後にアサインルールを手動で再適用する場合を除き、VI は 1 回評価されます。

    新規、更新、または再オープンされた VI ごとに、次の処理が使用されます。
    • 脆弱性アサインルールごとに、VI がアサインフィルター (順序が最下位のアサインルールが優先) と比較されます。
    • 条件に一致すると、VI はアサイン先グループにアサインされます。ルックアップは停止します。
    • 他のすべてのルールの中で条件が一致しない場合、デフォルトのルールが存在すれば、VI はデフォルトのアサイン先グループにアサインされます。
      脆弱性一致アイテムがアサインされると、適切な修復タスクルールでは、脆弱性一致アイテムを修復タスクに配置するための基準の 1 つとしてアサインが使用されます。詳細については、「脆弱性対応 修復タスクとタスクルールの概要」と「脆弱性対応 内のフィルタリング」を参照してください。
      注:
      デフォルトのルールは、実行順序の値が最も大きいルールです。すべての状況に対応可能な使用する最終ルールは active=true です。デフォルトのルールがない場合、修復タスクルールによってアサインされても VI は未アサインのままになります。

    アサインルールを再適用する

    アサインルールを変更する場合は、[アサインルール] リストページの [変更を適用] ボタンを使用して、すべてのアクティブなオープン VI で変更されたルールを再実行します (手動でアサインされたルールを除く)。
    注:

    初めて [変更を適用] を使用する前に Reapply all vulnerability assignment rules のジョブスケジュールが実行されていない場合は、手動でアサインされた VI を除くすべてのオープン VI に対して、すべてのアサインルールが実行されます。その後、[変更を適用] を使用すると、変更されたルールと依存ルールのみが再実行されます。あるルールを変更すると、変更されていない別のルールに VI が一致することがあります。アサインルールを再適用しても、脆弱性一致アイテムは再グループ化されません。

    ジョブスケジュール [Reapply all vulnerability assignment rules] は、デフォルトでは非アクティブです。このジョブをアクティブ化すると、手動でアサインされたものを除くすべてのオープン VI に対して、すべてのルールが適用されます。[日次][週次][月次][定期的][1 回]、または [オンデマンド] で実行できます。環境内のアクティブな VI の数に応じて、最初の実行後に [実行] フィールドを適切に設定して、パフォーマンスに影響がないようにすることを忘れないでください。

    アップグレードのお客様は、この機能が既存の VI に与える影響に関する情報について、「VR リリースノート」を参照してください。

    アサインルールのアサイン先グループが変更されると、システムプロパティ sn_vul.rerun_task_rules とビジネスルール [修復タスクへのリンク] を有効にすることで、脆弱性一致アイテムを自動的に再評価して再グループ化できます。

    システムプロパティを有効にするには:
    1. 移動先 すべて > システムプロパティ > すべてのプロパティ.
    2. sn_vul.rerun_task_rules システムプロパティを開きます。
    3. [値] フィールドで、値を true に設定します。
    システムプロパティが true に設定されている場合、アサインルールが再適用されると、条件が一致しなくなった修復タスクから脆弱性一致アイテムのリンクが解除されます。
    注:
    デフォルトでは、システムプロパティ sn_vul.rerun_task_rules は false に設定されています。

    脆弱性一致アイテムの再グループ化を自動化するには、ビジネスルール [修復タスクへのリンク] を有効にする必要があります。

    ビジネスルールを有効にするには:
    1. 移動先 すべて > システム定義 > ビジネスルール.
    2. [修復タスクへのリンク] ビジネスルールを開きます。
    3. ビジネスルールをアクティブ化するには、[アクティブ] チェックボックスをオンにします。
    ビジネスルールを有効にすると、脆弱性一致アイテムを関連するグループに移動するか、既存のグループでグループ化できない場合はグループを作成することにより、脆弱性一致アイテムが再グループ化されます。
    注:
    • グループが削除されることなく、脆弱性一致アイテムはグループから削除されます。
    • 修復タスクルールまたは修復作業を使用して作成されたアイテムのみが削除されます。
    • 再グループ化は、アサイングループが手動で変更された場合ではなく、アサインルールの一部として変更された場合にのみ自動的に行われます。
    ワークスペースでの再グループ化は、修復作業から作成された修復タスクに対して実行されます。