脆弱性対応 アサインルールの概要

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:7分

    • 脆弱性一致アイテム (VIT) が修復のアサイン先グループに自動的にアサインされる基準を定義します。

    デフォルトのアサインルール [CI サポートグループにアサイン] は、脆弱性一致アイテムを CI サポートグループにアサインするベースシステムに含まれています。[CI サポートグループにアサイン] ルールでは、VIT に関連付けられている構成アイテム (CI) に設定されているサポートグループに VIT をアサインします。
    注:
    アサインルールは、手動作成されたアサインは再評価しません。

    アサインタイプ ([手動] または [ルール]) は、VIT フォームやリストビューから設定できます。当初ルールによりアサインされた VIT が後に手動で再アサインされた場合、元のルールが参照されます。

    [アサインルール] と [アサインタイプ] 情報を使用して、アサインルールが意図した受信者に対して適切なマッチングを見つけられなかったケースを特定します。この情報を使用して、再アサインが最も多いルールを特定することもできます。

    アサインルールによって設定されたアサイン先グループは、修復タスク (VUL) にオーナーをアサインするために [修復タスクルール] によって使用されます。
    注:
    Rapid7 InsightVM 資産タグをアサインルールの条件フィルターで使用できるようにするには、他の Rapid7 InsightVM 統合の前に Rapid7 InsightVM 資産リスト統合を実行する必要があります。

    条件ビルダーに入力した検索テキストの大文字と小文字の区別は、このレコードまたはフォームではサポートされていません。

    脆弱性一致アイテムの自動アサイン

    [次を使用してアサイン] を使用して脆弱性一致アイテムをアサインするには、3 つの異なる方法があります。
    • ユーザーグループ:このオプションを使用すると、既存の Now Platform® ユーザーグループを選択できます。
    • ユーザーグループフィールド:このオプションを使用すると、cmdb_ci テーブルを使用して利用可能なアサイン先グループフィールドを選択できます。デフォルトでは、次の 3 つのグループフィールドが表示されます。
      • なし:この必須フィールドにデフォルト値がないことを示します
      • 構成アイテム:承認グループ
      • 構成アイテム:アサイン先グループ
      • 構成アイテム:サポートグループ
    • スクリプト:このオプションを使用すると、スクリプトを使用して条件を定義できます。このオプションには、コーディングまたは高度な ServiceNow の専門知識が必要です。 スクリプトエディターを使用して複雑な条件を定義する方法について、詳細は KB 記事「KB0965240」を参照してください。

    最優先のルール (特別な処理が必要なアイテムの場合、リスクが重大な場合、VIT を規制コンプライアンスによって処理する必要がある場合など) を最初に実行します。次に、一般的なルールを実行します。この場合、特別な処理は必要なく、誰が責任を負うべきかがわかっています。最後に、VIT をグループにアサインするデフォルトのルールを作成します。これにより、VIT が属するアサイン先グループが把握できるようになります。このグループは、決定を対象に別のルールを追加できます。このデフォルトルールは最後に実行されます。

    アサインルールの評価プロセス

    アサインルールは、新しい VIT がオープンになったとき (インポートされたとき、手動で作成されたとき、再度オープンになったときなど) に VIT を評価してアサインする際に使用されるものとなります。VIT やステータスの変更後にアサインルールを手動で再適用する場合を除き、VI は 1 回評価されます。

    各 VIT (新規、更新、再オープン) に対して、次の処理が行われます。
    • 脆弱性アサインルールごとに、VIT がアサインフィルター (最下位のアサインルールから) と比較されます。
    • 条件に一致すると、VIT はアサイン先グループにアサインされます。ルックアップは停止します。
    • 他のすべてのルールの中で条件が一致しない場合、デフォルトのルールが存在すれば、VIT はデフォルトのアサイン先グループにアサインされます。
      脆弱性一致アイテムがアサインされると、適切な修復タスクルールでは、脆弱性一致アイテムを修復タスクに配置するための基準の 1 つとしてアサインが使用されます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」と「脆弱性対応 内のフィルタリング」を参照してください。
      注:
      デフォルトのルールは、実行順序の値が最も大きいルールです。すべての状況に対応可能な使用する最終ルールは active=true です。デフォルトのルールがない場合、修復タスクルールによってアサインされても VIT は未アサインのままになります。

    アサインルールを再適用する

    アサインルールを変更する場合は、[アサインルール] リストページの [変更を適用] ボタンを使用して、すべてのアクティブなオープン VIT で変更されたルールを再実行します (手動でアサインされたルールを除く)。
    注:

    初めて [変更を適用] を使用する前に Reapply all vulnerability assignment rules のスケジュール済みジョブが実行されていない場合は、手動でアサインされた VI を除くすべてのオープン VIT に対して、すべてのアサインルールが実行されます。その後、[変更を適用] を使用すると、変更されたルールと依存ルールのみが再実行されます。あるルールを変更すると、変更されていない別のルールに VIT が一致することがあります。アサインルールを再適用しても、脆弱性一致アイテムは再グループ化されません。

    スケジュール済みジョブ [Reapply all vulnerability assignment rules] は、デフォルトでは非アクティブです。このジョブをアクティブ化すると、手動でアサインされたものを除くすべてのオープン VIT に対して、すべてのルールが適用されます。[日次][週次][月次][定期的][1 回]、または [オンデマンド] で実行できます。環境内のアクティブな VI の数に応じて、最初の実行後に [実行] フィールドを適切に設定して、パフォーマンスに影響がないようにすることを忘れないでください。

    アップグレードのお客様は、この機能が既存の VIT に与える影響に関する情報について、「脆弱性対応 リリースノート」を参照してください。

    重要:
    脆弱性アドミンおよびアナリストは、 Vulnerability Manager ワークスペースで選択した脆弱性一致アイテムの最新のアサインを取得できます。この方法は、 クラシック UI ですべての脆弱性一致アイテムにアサインルールを実行する時間のかかるプロセスよりも効率的です。詳細については、「Vulnerability Manager ワークスペース でレコードの修復プロパティを再評価」を参照してください。

    アサインルールのアサイン先グループが変更されると、システムプロパティ sn_vul.rerun_task_rules とビジネスルール [修復タスクへのリンク] を有効にすることで、脆弱性一致アイテムを自動的に再評価して再グループ化できます。

    システムプロパティを有効にするには:
    1. 移動先 すべて > システムプロパティ > すべてのプロパティ.
    2. sn_vul.rerun_task_rules システムプロパティを開きます。
    3. [値] フィールドで、値を true に設定します。
    システムプロパティが true に設定されている場合、アサインルールが再適用されると、条件が一致しなくなった修復タスクから脆弱性一致アイテムのリンクが解除されます。
    注:
    デフォルトでは、システムプロパティ sn_vul.rerun_task_rules は false に設定されています。

    脆弱性一致アイテムの再グループ化を自動化するには、ビジネスルール [修復タスクへのリンク] を有効化する必要があります。

    ビジネスルールを有効にするには:
    1. 移動先 すべて > システム定義 > ビジネスルール.
    2. [修復タスクへのリンク] ビジネスルールを開きます。
    3. ビジネスルールをアクティブ化するには、[アクティブ] チェックボックスをオンにします。
    ビジネスルールを有効にすると、脆弱性一致アイテムを関連するグループに移動するか、既存のグループでグループ化できない場合はグループを作成することにより、脆弱性一致アイテムが再グループ化されます。
    注:
    • グループが削除されることなく、脆弱性一致アイテムはグループから削除されます。
    • 修復タスクルールまたは修復作業を使用して作成されたアイテムのみが削除されます。
    • 再グループ化は、アサイングループが手動で変更された場合ではなく、アサインルールの一部として変更された場合にのみ自動的に行われます。
    ワークスペースでの再グループ化は、修復作業から作成された修復タスクに対して実行されます。