脆弱性対応 修復タスクとタスクルールの概要

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • 修復タスク (VUL) を設定すると、アナリストと修復スペシャリストが脆弱性一致アイテム (VI) を整理して一括で分析できるようになります。グループが形成される基準は、脆弱性一致アイテムを手動でグループにアサインする必要がないように設定されています。修復タスクを使用すると、進捗状況を監視し、修復プロセスをより効率的に進めることができます。

    脆弱性一致アイテムと修復タスクの保留数の追跡

    脆弱性一致アイテム、アプリケーション脆弱性一致アイテム、コンテナ脆弱性一致アイテム、または修復タスクが保留された回数を追跡します。ジョブスケジュール [保留数の設定 (set deferral counts)] は毎日実行され、[保留数] 列で複数回保留されたレコード数が提示されます。レコードは、VR、AVR、および CVR の複数の保留モジュールに表示されます。

    脆弱性一致アイテムの自動リフレッシュ

    注:
    脆弱性一致アイテムのリフレッシュの自動化は、条件フィルターまたはフィルターグループを使用して作成されたグループにのみ適用されます。自動化は、手動で追加された VI、または修復タスクルールを使用してグループ化された VI には適用されません。

    [脆弱性一致アイテムの自動リフレッシュ (Automatically refresh vulnerable items)] チェックボックスをオンにすると、修復タスクのフィルター基準に一致する新しい VI がタスクに自動的に追加されます。フィルター基準に一致しなくなった、修復タスク内の脆弱性一致アイテムはタスクから自動的に削除されます。

    デフォルトでは、修復タスクが [オープン] ステータスから移行すると、このチェックボックスはオフになります。ステータスに関係なく継続的に脆弱性一致アイテムを修復タスクに追加する場合は、Set auto refresh vulnerable items ビジネスルールを無効にします。

    [調査中] ステータスになると、チェックボックスを手動で再度オンにできます。修復タスクが [実装待ち] ステータスに移行しても、[脆弱性一致アイテムの自動リフレッシュ (Automatically refresh vulnerable items)] は無効になりません。[実装待ち] ステータスになると、既存のタスクに新しい脆弱性一致アイテムを追加することも、既存の脆弱性一致アイテムを削除することもできません。
    注:
    修復タスクを手動で作成し、条件フィルターまたはフィルターグループを使用して VI を追加すると、このチェックボックスはオフになります。このボックスをオンにするかどうかは自由に選択できます。

    脆弱性一致アイテムの手動リフレッシュ

    フィルターグループまたは条件フィルターを使用して手動で作成された修復タスクの場合、[修復タスク] ページで関連する脆弱性一致アイテムの [リフレッシュ] 関連リンクをクリックすると、フィルター基準に一致する脆弱性一致アイテムが追加されます。基準に一致しなくなったアイテムは削除されます。このアクションにより、[脆弱性一致アイテムの自動リフレッシュ (Automatically refresh vulnerable items)] チェックボックスがオンであるかどうかにかかわらず、脆弱性一致アイテムのリストを即時更新できます。

    条件またはフィルターグループフィルタータイプを使用して手動で作成された修復タスクは、1 時間に 1 回リフレッシュされます。

    修復タスクルールについて

    修復タスクルールを使用すると、脆弱性一致アイテムを自動的にグループ化してアサインする方法を定義できます。デフォルトのルール「脆弱性」は、脆弱性に基づいて脆弱性一致アイテムを収集するベースシステムに含まれています。ただし、VI からアクセス可能な列では、その他の値セットでグループ化できます。こうした値には、構成アイテム (CI) のサポートグループ、脆弱性の重大度などが含まれる場合があります。

    条件はいくつでも作成できます。[グループ] の選択を設定すると、別の行が表示されます。最大 6 つの [グループ] の選択を設定できます。グループのアサインを自動化することもできます。詳細については、「脆弱性対応 修復タスクルールの作成または編集」と「脆弱性対応 内のフィルタリング」を参照してください。
    注:
    Rapid7 InsightVM 資産タグを修復タスクルールの条件フィルターで使用できるようにするには、他の Rapid7 InsightVM 統合の前に Rapid7 InsightVM 資産リスト統合を実行する必要があります。

    たとえば、脆弱な CI のコストセンター別、または脆弱性の攻撃ベクトル別に、脆弱性一致アイテムをグループ化できます。低重大度の脆弱性または低リスクの CI に対して、1 つのタスクルールを設定できます。重要なサーバーに対して、またエクスプロイトを伴う脆弱性 (会社をより多くのリスクにさらす脆弱性一致アイテム) に対しては、別のタスクルールを設定できます。

    会社がより多くのリスクにさらされる脆弱性一致アイテムには、別のルールセットを使用できます。修復タスク名が修復タスクルールの [グループ] の値に追加され、新しいレコードの簡単な説明が作成されます。利用可能なフィールドの詳細については、「Create a Vulnerability Response group (Vulnerability Response グループの作成)」を参照してください。

    図 : 1. [グループ] エントリーの条件ビルダーの例
    [グループ] エントリーを表示する、修復タスクルールの条件ビルダー

    新しい脆弱性一致アイテムが作成、インポート、またはクローズ後に再オープンされると、それに対して脆弱性ルールが評価されます。VI は 1 回のみ自動的に評価されます。ただし、クローズ後に再オープンする場合や、ルールを手動で再適用する場合は除きます。

    新規の VI または再オープンされた VI ごとに、以下の処理が行われます。

    • 修復タスクルールごとに、VI が修復タスクルールフィルターと比較されます。
    • 修復タスクルール条件が一致するルールごとに、VI の [グループ] の選択に基づいてデータがルールによってプルされます。グループ名とフィールドが構築されます。この場合は、高リスク:QID-32342:QID-3242 のサマリー (名前:脆弱性 ID:脆弱性サマリー) となります。
      注:
      簡単な説明フィールドは 160 文字に制限されています。これより長い脆弱性サマリーは切り捨てられます。
      このルールでは、VI と同じアサイン先グループにアサインされている、一致するオープン修復タスクがあるかどうかを確認します。
      • タスクが見つかった場合、VI は [オープン] ステータスの既存のタスクに追加されます。
      • [オープン] ステータスのタスクが見つからない場合は、高リスク:QID-32342 タスクが作成され、VI と同じアサイン先グループにアサインされて、VI が修復タスクに配置されます。

    複数の修復タスクルールを定義すると、さまざまな種類の脆弱性をグループ化できます。各脆弱性は、グループに配置される前に修復タスクルールの条件と比較されるため、ルールが多すぎるとパフォーマンスに影響を与える恐れがあります。

    デフォルトでは、修復タスクルールで、アイテムのグループ化の際に脆弱性一致アイテムのアサインルールによって設定されたアサイン先グループが使用され、脆弱性一致アイテムに一致するように修復タスクがアサインされます。

    デフォルトのタスクルールの一部として、こうした修復タスクのアサインは [アサインルール] モジュールのルールによって制御されます。アサインルールについては、「脆弱性対応 アサインルールの概要」を参照してください。

    タスクルールが削除されると、フォームまたはリストビューから、そのルールによって作成されたすべてのオープンタスクを削除できます。[オープン] ステータスでないタスクは除外されます。

    修復タスクルールの再適用

    修復タスクルールを変更する場合は、修復タスクルールページの [再適用] ボタンを使用して、そのルールによって作成されたすべてのアクティブなオープン修復タスクに対し、変更されたルールを再実行します。変更されたルールに基づいて、修復タスクが自動的に削除され、再作成されます。