脆弱性対応脆弱性フォームフィールド

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む12読むのに数分

    • 脆弱性は、脆弱性情報データベース (NVD)、共通脆弱性タイプ一覧 (CWE)、またはサードパーティ統合からレコードがダウンロードされると自動的に作成され、脆弱性対応[ライブラリ] に保存されます。

    NVD エントリーのフィールド

    次の表のインポートされたフィールドは読み取り専用です。脆弱性一致アイテム (VI)、脆弱なソフトウェア、および脆弱性参照は自動的に関連付けられ、エントリーは手動で追加できます。
    フィールド 説明
    ID この脆弱性エントリーの識別子。
    リスク評価

    (脆弱性に関連付けられている VI がない場合は非表示)

    脆弱性一致アイテムを [重大]、[高]、[中]、[低]、および [なし] に分類する数値化された [リスクスコア] 。リスク評価の詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
    注:
    この基本リスク評価は、ソリューションレコードのリスク評価と同じではありません。
    リスクスコア

    (脆弱性に関連付けられている VI がない場合は非表示)

    脆弱性一致アイテムが環境にもたらすリスク量を算出したもの。

    注:
    この基本リスクスコアは、ソリューションレコードのリスクスコアと同じではありません。

    詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
    重大度 この脆弱性の重大度を正規化したもの。重大度マップは、NVD および ServiceNow サードパーティ統合に提供されます。重大度マップの作成や調整の詳細については、「脆弱性対応 重大度マップの作成」を参照してください。
    エクスプロイト有無 少なくとも 1 つのエクスプロイトがこの脆弱性に関連付けられている場合は、有り。
    エクスプロイトスキルレベル この脆弱性を利用するために必要な最低スキルレベル。
    エクスプロイト攻撃ベクトル

    この脆弱性のエクスプロイトの最も脆弱な攻撃ベクトル。

    SAM NVD が有効になっている場合に使用できます。
    アクティブな VI

    (脆弱性に関連付けられている VI がない場合は非表示)

    [クローズ済み] ステータスではない、この脆弱性に関連付けられた脆弱性一致アイテムの数。この脆弱性にアクティブな VI がない場合、[リスク評価][リスクスコア] は表示されません。
    CWE エントリー この脆弱性が最も適合する共通脆弱性タイプ一覧要素への参照。
    公開日 この脆弱性が公開された日付。
    最終変更日 この脆弱性が前回変更された日付。
    まとめ 脆弱性の説明。
    脅威インテリジェンス (バージョン 20.0 以降 脆弱性対応 ) によって提供される脅威インテリジェンス。Qualysこのデータを使用して、脅威アクターの動機、ターゲット、および攻撃動作を理解できます。
    脆弱性の詳細
    CVSS v2 インポートされた CVSS v2 データ
    CVSS v3 インポートされた CVSS v3 データ。2015 年より前は利用できません。
    優先ソリューション

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性で参照されたソリューションから導出された、チェーン内で最も優先度が高いソリューション。連結内に複数の最高優先度が存在する場合、値は設定されません。手動で設定した値は、後続のインポートで上書きできます。この値の手動設定は、脆弱性一致アイテムで行う必要があります。
    CISA エクスプロイト

    (このタブは、CISA アプリケーションがインストールされている場合にのみ使用できます。)
    CISA の期日 脆弱性を解決する期限。
    追加された日付 脆弱性が CISA カタログに追加された日付。
    製品 脆弱性が特定された製品。
    ベンダー/プロジェクト 特定された脆弱性に関連付けられたベンダー。
    既知のランサムウェア

    脆弱性対応v21.0 以降では、.

    		 [ランサムウェアキャンペーンで使用されることがわかっている] フィールドが CISA の既知の悪用された脆弱性 (KEV) カタログから取り込まれたときに選択されます。このフラグは、共通脆弱性識別子 (CVE) レベルで設定され、サードパーティエントリー (TPE) にロールアップされます。
    修復ステータス

    (脆弱性に関連付けられている VI がない場合は非表示)
    保留を除外する
    脆弱性一致アイテム この脆弱性があるアクティブな脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。この数には、保留された脆弱性一致アイテムは含まれません。
    保留を含める
    脆弱性一致アイテム この脆弱性があるアクティブな脆弱性一致アイテムの数。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。
    関連リンク
    v13.0 より前:ソフトウェア脆弱性のインポートを強制
    注:
    v13.0 で削除
    		 (使用廃止) NVD からの情報に基づいて、ITSM ソフトウェア資産管理 を使用して製品マッピングを再計算します。脆弱なソフトウェアライブラリを更新します。
    ステータスを更新

    前回の更新日時を表示します。

    以下を更新します。
    • 修復タスクステータス
    • リスクスコアと評価
    • [修復ステータス] セクションのアクティブな VI、合計 VI などの測定基準
    関連リスト
    脆弱性一致アイテム

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性に関連付けられた脆弱性一致アイテム。
    脆弱性参照 NVD によって引用された、外部ソースからの脆弱性に関する情報。
    エクスプロイト この脆弱性に関連付けられているエクスプロイト。
    ソリューション

    (脆弱性に関連付けられている VI がない場合は非表示)

    この脆弱性に関連付けられているすべての Vulnerability Solution Management 統合ソリューション。
    弱点 共通脆弱性識別子 (CVE) に関連付けられたインポートされた脆弱性データ。
    脆弱なソフトウェア

    (ソフトウェアが CVE に関連付けられている場合は非表示)

    脆弱性に関連するインポートされた共通プラットフォーム一覧 (CPE) データ。
    脆弱性マルウェアキット さまざまなスキャナーソースからインポートされたマルウェア (脆弱性の場合)。

    CWE 脆弱性エントリーフィールド

    次の表のインポートされたフィールドは読み取り専用です。

    フィールド 説明
    CWE ID この脆弱性エントリーの識別子。この識別子はカテゴリと脆弱性の両方に使用され、2 つのデータセット間で一意です。
    名前 この CWE-ID にアサインされた記述名。
    エクスプロイトの可能性 定性的スケールで脆弱性が利用される可能性。次のいずれかになります。
    • 中程度
    OWASP 上位 10 位 OWASP 上位 10 リストにおけるこの脆弱性の数値的な位置。
    SANS 上位 25 位 SAN 上位 25 リストにおけるこの脆弱性の数値的な位置。
    クラス 脆弱性のタイプ
    ステータス 次のいずれかになります。
    • 未完了
    • ドラフト
    • 安定
    • 不使用
    • 廃止
    • 不安定
    抽象化 次のいずれかになります。
    • バリアント
    • クラス
    • ベース
    • 複合
    更新日時 最後にインスタンスでレコードが更新された日時。
    機能エリア 影響を受ける機能エリアのリスト。たとえば、[ファイル処理 (File Processing)]。24/862 の脆弱性についてのみ設定されます。
    影響を受けるリソース 影響を受けるリソースのリスト。たとえば、[ファイル] または [ディレクトリ]。51/863 の脆弱性についてのみ設定されます。
    URL この脆弱性に関連付けられたナレッジベース記事。
    説明 脆弱性の説明。
    統合実行 この CWE がインポートされた統合実行。
    セクション
    その他の詳細 脆弱性をさらに説明するソフトウェアの概念の説明。含まれる内容:
    • 詳細な説明
    • バックグラウンドの詳細
    • メモ
    検出方法 アプリケーションにおけるこの脆弱性を検出する方法の詳細。
    導入モード 脆弱性が導入されるフェーズ ([実装 (Implementation)][アーキテクチャと設計 (Architecture and Design)] など)。
    デモ例 脆弱性のコード例と説明。
    緩和の可能性 アプリケーションライフサイクルのどのフェーズで発生するか、緩和の有効性など、脆弱性を防止する方法の詳細。
    関連リスト
    関係 この脆弱性に関連付けられた CWE。この CWE とその他との関係を一覧表示します。parent/child、follows/precedes、requiredby/requires (複合的な脆弱性の場合)、CanAlsoBe、PeerOf、MemberOf を含めることができます。
    観測された例 この脆弱性を表す CVE。
    一般的な結果

    悪用に成功した場合の結果、その範囲と影響。例:

    範囲:機密性

    影響:アプリケーションデータの読み取り
    メンバーシップ この脆弱性を含む CWE メンバーシップ。
    適用プラットフォーム この脆弱性に関連付けられたプラットフォーム。
    アプリケーション脆弱性エントリー 1 つに関連付けられた他のアプリケーション脆弱性エントリー。
    外部参照 外部ソースからの脆弱性に関する情報。

    サードパーティ脆弱性エントリーフィールド

    次の表のインポートされたフィールドは読み取り専用です。

    フィールド 説明
    ID この脆弱性エントリーの識別子。
    バージョン 16.0:CVE このサードパーティの脆弱性に関連する複数の共通脆弱性識別子 (CVE)。
    ソース 脆弱性の発生元 - スキャナーまたは物理テスト。
    リスク評価 脆弱性一致アイテムを [重大]、[高]、[中]、[低]、および [なし] に分類する数値化されたリスクスコア。リスク評価の詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
    注:
    この基本リスク評価は、ソリューションレコードのリスク評価と同じではありません。
    リスクスコア
    脆弱性一致アイテムが現在の環境にもたらすリスク量をリスクスコアに基づいて算出したもの。
    注:
    この基本リスクスコアは、ソリューションレコードのリスクスコアと同じではありません。

    詳細については、「脆弱性対応 の算出と脆弱性算出ルール」を参照してください。
    重大度 この脆弱性の重大度を正規化したもの。重大度マップは、NVD および ServiceNow サードパーティ統合に提供されます。重大度マップの作成や調整の詳細については、「脆弱性対応 重大度マップの作成」を参照してください。
    エクスプロイト有無 少なくとも 1 つのエクスプロイトがこの脆弱性に関連付けられている場合は、有り。
    エクスプロイトスキルレベル この脆弱性を利用するために必要な最低スキルレベル。
    エクスプロイト攻撃ベクトル この脆弱性のエクスプロイトの最も脆弱な攻撃ベクトル。
    アクティブな VI [クローズ済み] ステータスではない、この脆弱性に関連付けられた脆弱性一致アイテムの数。
    カテゴリ サードパーティ統合によって提供される分類。アサインを支援します。
    是正処置タイプ 修正アクションのタイプ。
    • パッチ
    • 設定の変更
    • 更新プログラムと設定の変更
    • 対策
    CWE エントリー この脆弱性が最も適合する共通脆弱性タイプ一覧要素への参照。
    PCI このチェックボックスをオンにすると、脆弱性に、支払情報の公開に関する重大なリスクのフラグが付けられます。
    PCI 重大度 支払情報の公開に関するリスクのレベル。[Qualys のみ。]
    公開日 この脆弱性が公開された日付。
    最終変更日 この脆弱性が前回変更された日付。
    まとめ 脆弱性の説明。
    脆弱性の詳細
    CVSS v2 インポートされた CVSS v2 データ
    CVSS v3 インポートされた CVSS v3 データ。2015 年より前は利用できません。
    脅威 この脆弱性に由来する脅威の説明。
    優先ソリューション この脆弱性で参照されたソリューションから導出された、チェーン内で最も優先度が高いソリューション。連結内に複数の最高優先度が存在する場合、値は設定されません。手動で設定した値は、後続のインポートで上書きできます。この値の手動設定は、脆弱性一致アイテムで行う必要があります。
    修復メモ ベンダーから取得した修正ソリューションの説明。
    修復ステータス
    保留を除外する
    脆弱性一致アイテム この脆弱性があるアクティブな脆弱性一致アイテムの数。この数には、保留された脆弱性一致アイテムは含まれません。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。この数には、保留された脆弱性一致アイテムは含まれません。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。この数には、保留された脆弱性一致アイテムは含まれません。
    保留を含める
    脆弱性一致アイテム この脆弱性があるアクティブな脆弱性一致アイテムの数。
    合計 VI この脆弱性がある脆弱性一致アイテムの合計数。
    修復された VI の割合 この脆弱性がある脆弱性一致アイテムの修復の完了率。
    関連リンク
    ステータスを更新

    前回の更新日時を表示します。

    以下を更新します。
    • 修復タスクステータス
    • リスクスコアと評価
    • [修復ステータス] セクションのアクティブな VI、合計 VI などの測定基準
    関連リスト
    脆弱性一致アイテム この脆弱性に関連付けられた脆弱性一致アイテム。
    脆弱性参照 NVD によって引用された、外部ソースからの脆弱性に関する情報。
    CVE この脆弱性に関連付けられた共通脆弱性一覧 (CVE) レコード。
    カテゴリ この脆弱性に関連付けられたカテゴリ。
    エクスプロイト この脆弱性に関連付けられているエクスプロイト。
    脆弱性マルウェアキット この脆弱性に関連するマルウェアキット。
    ソリューション (Rapid7) Rapid7 ソリューション統合からのソリューション情報。利用可能な場合に表示されます。
    エクスプロイトフレームワーク この脆弱性に関連付けられているエクスプロイトフレームワーク。
    ソリューション この脆弱性に関連付けられている Vulnerability Solution Management ソリューション。
    CISA エクスプロイト
    CISA が存在します サードパーティ脆弱性エントリーテーブルに CISA エクスプロイトが存在します。
    CISA の期日 脆弱性を解決する期限。