ドメインセパレーションと 脆弱性対応
ドメインセパレーションは 脆弱性対応 でサポートされています。 ドメインセパレーションでは、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。
サポートレベル:標準
- ベーシックレベルのサポートのすべての側面が含まれています。
- アプリケーションプロパティは、必要に応じてドメイン対応です。
- ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
- インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。
サンプルユースケース:アドミンは、レコードを他のテナントに対してはクローズしないが、1 つのテナントに対してクローズする場合、コメントを必須にすることができる必要があります。
サポートレベルの詳細については、「アプリケーションでのドメインセパレーションのサポート)」を参照してください。
脆弱性対応 におけるドメインセパレーションの仕組み
ドメインセパレーションによって、顧客ベース全体で VR (脆弱性対応) 手順を標準化し、運用コストの削減とサービス品質の向上を実現できます。
顧客データは、ワークフロー、ダッシュボード、レポートなどに別個の顧客ワークスペースを使用することで分離され、他のクライアントに公開されることはありません。
| リリース | サポートレベル | メモ |
|---|---|---|
| Orland | 標準 | |
| Paris | 標準 | |
| Quebec- | 標準 | |
| Rome | 標準 | |
| サンディエゴ | 標準 | |
| 東京 | 標準 | |
| ユタ | 標準 | |
| Vancouver | 標準 | |
| Washingtondc | 標準 |
脆弱性対応 アプリケーションのドメインセパレーションは、次の製品機能をカバーしています。
- サードパーティのスキャナー (Qualys、Rapid 7、Tenable など) から、正しいドメインで脆弱性一致アイテムをに取り込みます。データは、統合に使用される認証情報を持つ統合ユーザーと同じドメインに取り込まれます。
- 要求元のドメインの 脆弱性対応 から特定の資産を再スキャンします。
- CMDB CI ルックアッププロセスを使用して、スキャナーからの CI 情報が統合ユーザーのドメインの CMDB の CI と一致することを確認します。
- 統合ユーザーと同じドメインで定義されたリスクスコア算出に従って、脆弱性一致アイテムレベルでリスクスコアを計算します。
- 修復ターゲットルールは、統合ユーザーと同じドメインで定義された修復ターゲットルールに従って、脆弱性一致アイテムに対して実行されます。
- 修復タスクルールは、統合ユーザーと同じドメインで定義および維持することができます。
- 修復タスクルールを使用して作成された修復タスクは、グループルールが作成されたのと同じドメインに留まります。
- 保留ワークフローは、保留が要求された同じドメイン内の承認プロセスを通過します。
- レポートとダッシュボードには、脆弱性一致アイテムの経過時間、CI 別のオープンな脆弱性一致アイテム、影響度別の脆弱性、およびそれが属するドメインの修復ターゲット日状況など、脆弱性一致アイテムの各状況が表示されます。
- サードパーティのスキャナーや脆弱性情報データベース (NVD) データベースからのナレッジは、グローバルドメインに取り込み、複数のクライアント間でデータを共有できます。
ドメインセパレーションインポートを作成およびサポートする方法の詳細については、「統合のためのドメインセパレーションインポートの作成」および「バックグラウンドジョブフレームワークで複数のドメインを作成してサポートする」を参照してください。
ユースケース
脆弱性対応 アプリケーションは、脆弱性一致アイテムのライフサイクルをエンドツーエンドで管理します。次のユースケースはドメインセパレーションに対応しています。
- サードパーティ統合からの脆弱性一致アイテム (資産の脆弱性) の [取り込み]
- 複数のインスタンスからデータを取り込む
- 脆弱性一致アイテムの重複排除
- CMDB CI と照合する
- リスクスコアと修復ターゲット日を使用した脆弱性一致アイテムの [拡張]
- 資産の拡張 (CMDB)
- リスクスコアと修復ターゲット日の拡張
- 脆弱性一致アイテムを [グループ化 (Group)] して、修復タスクにアサインする
- 脆弱性一致アイテムを自動でグループ化する
- 修復タスクを自動的にアサインする
- 修復
- 修復タスク
- 包括的な修復ライフサイクル
- 保留ワークフロー
- 組織のセキュリティ体制と脆弱性管理プログラムの [測定 (Measure)]
- 脆弱性の傾向、最も脆弱な資産、経過時間別の脆弱性
- 修復ターゲット日別の修復ステータス
セットアップ
脆弱性対応 のドメインセパレーションを設定するには、追加の手順は必要ありません。インスタンスがドメインセパレーションされた後、すべての 脆弱性対応 テーブルで [ドメイン] 列が取得されます。脆弱性の統合インポートデータを特定のドメインに送信できます。詳細については、「統合のためのドメインセパレーションインポートの作成」を参照してください。
ドメインセパレーションデータ
- サードパーティのスキャナーから取り込まれた脆弱性一致アイテムは統合ユーザーのドメインと同じドメインに留まり、他のドメインからはアクセスできません。
- あるドメイン内の脆弱性、脆弱性一致アイテム (インスタンス)、または資産を他のドメインから表示することはできません。
- リスクスコアアルゴリズム、修復タスクルール、および修復ターゲットルールは、ドメイン外のユーザーは閲覧できません。
- NVD からの脆弱性情報はグローバルドメインに存在し、すべての顧客と共有できます。
- あるドメイン内の修復タスクは別のドメインから閲覧できません。
- あるドメインで作成された保留ワークフローを別のドメインで見ることはできません。
- すべてのメール通知は、属しているドメイン内に含まれます。
- 統合に含まれるドメイン数全体に、インスタンスで利用可能なインポートテンプレートを配布します。
- インポートテンプレートレコードのドメインをターゲットドメインのsys_idに更新します。
- 必要に応じて、各ドメインのインポートテンプレートを作成します。
- 各ドメインに 2 つのインポートテンプレートがあることを確認します。
- sn_vul_sched_import_pool:ドメインセパレーションがインスタンスに存在する場合、このテーブルレコードはドメインセパレーションする必要があります
脆弱性アナリストが自社のアプリケーションデータを管理する方法
- アナリストは、自分でアプリケーションインストール、マルチソースアプリケーション管理、および CI ルックアップルールを作成します。
- アナリストは、ドメイン内で使用するために特定の統合を構成できます。
- アナリストは、独自の保留および変更管理ワークフローを作成できます。
- アナリストは、独自の修復タスクルール、正確な脆弱性の優先順位付けを行うリスクスコアロジック、修復タスクの自動アサイン、正しいアサイン先グループへのアサインを作成できます。
- ドメインユーザーは、手動で脆弱性一致アイテムを作成した後、アイテムをクローズします。
インスタンスオーナーがドメインセパレーションできるビジネスロジックとプロセス
- 脆弱性対応 ユーザーとグループ
- 脆弱性対応 の統合
- 完全なセットアップ構成 (ユーザーとグループの管理、アプリケーションのインストール、マルチソースアプリケーション管理、CI ルックアップルール、修復タスクルール、リスク算出、修復ターゲットルールなど)
- 保留を含む完全な修復ライフサイクル
- スケジュールジョブ