コンテナ脆弱性対応 の例外管理

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • 公開されている脆弱性管理やセキュリティポリシー、標準、指針に組織が準拠できない場合は、例外を要求できます。例外管理では、ポリシーに従って修復できないコンテナ脆弱性一致アイテム (CVIT) に対する例外を要求、レビュー、承認、または却下します。

    コンテナ脆弱性 (CVIT) によっては、既存のパッチ、修正、またはソリューションがないこともあります。例外が承認されるということは、脆弱性を修復しなかった場合の結果を認識し、同意していることになるため、リスクを受け入れているということでもあるのです。

    例外のライフサイクル

    例外の定義
    例外は、CVIT または RT の修復を指定した期間保留することを要求するものです。たとえば、修復オーナーは、マシンにパッチが適用できない場合に例外を要求できます。
    例外の要求
    修復オーナーは、例外管理プロセスを使用して、CVIT または RT の免除を要求できます。例外承認者がこの要求を承認すると、CVIT または RT は [保留] ステータスに移行します。
    例外要求を承認する
    すぐに修復できない CVIT または RT は、脆弱性アナリストによってレビューされ、リスクが評価され、修復できるまでの保留が承認されます。例外要求の承認は 2 レベルワークフローにすることができます。第 1 レベルの承認者のみが存在する場合、例外を要求して承認できます。ただし、第 1 レベルの承認者がいない場合は、例外を要求できません。詳細については、「例外承認者の追加」を参照してください。
    注:

    脆弱性対応 v15.0 以降では、VR アプリケーションを初めて展開する場合は、例外管理のフローデザイナーがデフォルトで有効になります。既にワークフローを使用している場合は、フローデザイナーに更新できます。どちらの場合も、ワークフローに戻すことはできません。例外管理と誤検出の承認ルールを設定するには、「例外管理の承認ルールの構成」を参照してください。

    CVIT または RT の例外要求が承認されると、以下のアクションを実行できます。
    • 再オープン
    • 削除
    • [アサイン先] または [アサイン先グループ] フィールドの更新
    例外要求の追跡
    例外を申請した後、CVIT または RT の [ステータス変更承認 (State Change Approvals)] タブを使用してそのステータスを追跡できます。RT に対してアクションが実行された場合、その RT の個々の CVIT のステータスを追跡することはできません。
    例外要求の有効期限
    特定の CVIT または RT に対する例外要求が期限切れになると、影響を受ける CVIT または RT は [オープン] ステータスに戻ります。

    単一の CVIT または RT 内のすべての CVIT が次のスキャンで合格すると、CVIT と、該当する場合は RT の [ステータス] フィールドが [クローズ済み] に変更され、サブステートは [修正済み] になります。

    承認ルールの構成

    承認ルールを表示および構成するには、次の場所に移動します。 すべて > コンテナ Vulnerability Response > 管理 > 承認ルール. 影響を受ける脆弱性、構成アイテム (CI)、または CVIT を特定して、すぐに修復も保留もできない CVIT の例外を要求します。CVIT の保留プロセスを自動化します。CVIT が識別されると、一致する CVIT が設定したルールに基づいて保留されます。
    デフォルトでは、次の承認ルールが設定されています。
    • 例外要求の承認:2 つの承認レベルがあるデフォルト構成がベースシステムに用意されています。脆弱性一致アイテムに例外要求がある場合、承認要求はレベル 1 に存在するユーザーまたはグループに送信されます。レベル 1 の承認者によって要求が承認されると、レベル 2 の承認者に送信されます。
      注:
      デフォルトのレベルは必要に応じて変更および編集することができます。コンテナ脆弱性対応 v2.0.6 以降、システムプロパティ [sys_properties] テーブルのワークフローによる例外処理に、ベースシステムのシステムプロパティを使用できます。このため、ワークフローで例外または誤検出要求が作成されると、この要求はシステムプロパティで定義されているグループ ID に承認のために送信されます。移動先 すべて > システムプロパティ をクリックし、[ sn_vul_container.container_exception_approver_L1]、[ sn_vul_container.container_exception_approver_L2]、または [ sn_vul_container.container_false_positive_approver_group ] を選択してプロパティ値を変更します。
    • 例外ルールの承認:設定はありませんが、承認レベルが 2 つあります。
    • 誤検出の承認:承認レベルが 1 つの構成が 1 つあります。
    注:
    コンテナ脆弱性対応 の v2.5 以降では、誤検出と例外を承認する期間を設定できます。また、設定した日数経過後の承認者と要求者の両方に対するメール通知も可能です。要求が発生すると、コンテナ脆弱性一致アイテムが [レビュー中] ステータスに変わり、ステータス変更レコードが作成されます。設定された期間内に承認者が応答しない場合、コンテナ脆弱性一致アイテムまたは修復タスクは [オープン] ステータスに戻ります。以前のステータスは backup_state フィールドに保存されます。詳細については、「例外管理の承認ルールの構成」を参照してください。