脆弱性対応リスク算出のリスクルールのフィールドと重み付けの定義

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分

    • 組織に固有の脆弱性や資産データを利用したリスクスコアを生成できるように、リスクルールのパラメーターと重み付けをカスタマイズします。リスクルールに含まれるフィールドを選択することで、効果的なリスクスコアリングフレームワークを定義できます。

    始める前に

    さらに、構成管理データベース (CMDB) の configuration_item [cmdb_ci] の属性を使用して、脆弱性対応のリスク算出のロジックを作成できます。たとえば、組織内で外部向け CI の方が脆弱であり、即時の修復が必要であると判断した場合は、これらの CI に Internet Facing などの属性をアサインすることができます。この属性およびその他の属性は、Orlando ファミリーリリースの Common Service Data Model リリースノートに記載されています。CMDB に関する最新情報とガイダンスについては、以下のトピックを参照してください。

    必要なロール:sn_vul.manage_risk_score_configuration

    手順

    1. 次のように移動する。 All (すべて) > 脆弱性対応 > アドミニストレーション > 脆弱性の算出.
    2. [脆弱性算出] ページで、[デフォルトリスク算出 (Default Risk Calculator)] を選択します。
    3. 次のように移動する。 [脆弱性算出] ページ > [脆弱性算出ルール] タブ > デフォルトのリスクルール.
    4. オプション: [脆弱性リスクルール] ページの [リスク算出基準] セクションで、全体的なリスクスコアの計算における重要性に従って、各基準の重み付けを設定します。
    5. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    6. リスク算出基準にリスクルールフィールドを追加するには、[基準を追加] を選択します。
    7. フォームのフィールドに入力します。
      表 : 1. リスクルールのフィールドフォーム
      フィールド 説明
      参照テーブルを選択 リスクスコアの重み付けの定義に使用するテーブル。次のオプションのいずれかを選択できます。
      • [脆弱性一致アイテム]:脆弱性一致アイテム (VI) から直接ドット連結可能なフィールドを追加します。​
      • [脆弱性一致アイテム] - [構成アイテム]:ハードウェアテーブルなど、ベーステーブルの拡張の一部であるドット連結可能なフィールドを追加します。これらのフィールドはベーステーブル (cmdb_ci) に含まれていません。
      • [脆弱性一致アイテム] - [脆弱性]:サードパーティエントリーなど、ベーステーブルを拡張するテーブルに含まれるドット連結可能なフィールドを追加します。これらのフィールドは、脆弱性エントリーベーステーブルの一部ではありません。
      • [脆弱性一致アイテム参照テーブル]:関連テーブル (m2m) に含まれるフィールド、または脆弱性一致アイテムへの参照を持つテーブルを追加します。これらのフィールドは、VI から直接ドット連結することはできません。
      • [構成アイテム参照テーブル]:関連テーブル (m2m) に含まれるフィールド、または cmdb_ci への参照を持つテーブルを追加します。これらのフィールドは、VI から直接ドット連結することはできません。
      • [脆弱性参照テーブル]:関連テーブル (m2m) に含まれるフィールド、または sn_vul_entry への参照を持つテーブルを追加します。これらのフィールドは、VI から直接ドット連結することはできません。
      • [カスタム条件]:条件を評価することでルールに重み付けをアサインするには、このオプションを使用します。たとえば、インターネット向けフィルターは、構成アイテム (CI) が外部か内部かを判断します。
      テーブル [参照テーブルを選択] から次のいずれかのオプションが選択されている場合にのみ表示されるフィールド。
      • [脆弱性一致アイテム] -> [構成アイテム]
      • [脆弱性一致アイテム] -> [脆弱性]
      • 脆弱性一致アイテム参照テーブル
      • 構成アイテム参照テーブル
      • 脆弱性参照テーブル
      フィールド このルールのリスクスコア算出に使用するフィールド。
      集計 [参照テーブルを選択] から参照テーブルが選択されている場合にのみ表示されるフィールド。関連テーブル (m2m) から [フィールド] が選択されている場合に、算出で考慮する最小値または最大値を選択します。
      重み付け リスクルール内でのこのフィールドの重み付け。値は 0 〜 100 の整数である必要があります。
      値の重み付けを定義 各フィールド値に重み付けをアサインするコンポーネント。数値フィールドの場合、フィールド値は範囲 (1 〜 5 など) として定義できます。重み付けは 0 〜 100 の整数でなければなりません。
      注:
      [カスタム条件] オプションが [参照テーブルを選択] で選択されている場合、このフィールドは表示されません。
      条件テーブル [参照テーブルを選択] からカスタム条件が選択されている場合にのみ表示されるフィールド。条件をリストから選択します。
      フィールド名 [参照テーブルを選択] からカスタム条件が選択されている場合にのみ表示されるフィールド。リスク基準の名前を入力します。
      条件 [参照テーブルを選択] からカスタム条件が選択されている場合にのみ表示されるフィールド。定義された条件に一致するこのテーブルのアイテムをプレビューします。
    8. [送信] を選択します。
    9. [ルール] ページで、ルールをアクティブ化して再適用し、アクティブな脆弱性一致アイテムのリスクスコアを再評価します。
      注:
      脆弱性対応 v23.0 以降の場合:
      • [デフォルトのリスク算出ツール] ルール:脆弱性一致アイテム (VIT) のリスクスコアが変更されると、VIT の [メモ] セクションに次の詳細が記録されます。
        • 算出グループ名
        • 算出名:
        • 1 より大きい重み付けを持つフィールド値とそのリスクスコアの寄与度。
        • 最終的なリスクスコア
      • [脆弱性重大度] リスクルール:VIT のリスクスコアが更新されると、次の詳細において [メモ] セクションが更新されます。
        • 算出グループ名
        • 算出名:算出ルールがテンプレートとスクリプトのどちらに基づいているかに応じて、名前に括弧で囲まれた詳細が追加されます。算出ルールの基準を変更または表示するには、任意のルールを選択し、[詳細表示] チェックボックスをオンにします。[値のタイプ (Value type)] ドロップダウンボックスから、必要なオプションを選択します。[テンプレート] を選択した場合、リスクスコアはルールで指定された条件に従って更新されます。[スクリプト] を選択した場合、既存のスクリプトを追加または更新できます。

    例 1:ソース重大度をリスクルールの基準として追加する。

    ユースケース:Qualys や Tenable などのサードパーティベンダーが独自のスコアを提供します。これらのスコアは、sn_vul_entry テーブルの [ソース重大度] フィールドに入力されます。このフィールドはリスクスコアの算出に使用します。このスコアを使用してリスクスコアを算出するには、次の操作を行います。

    1. [リスクルール] ページに移動します。
    2. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    3. リスク算出基準にリスクルールフィールドを追加するには、[基準を追加] を選択します。
    4. [参照テーブルを選択] リストから、[脆弱性一致アイテム] を選択します。
    5. [フィールド] リストから、[脆弱性ソースの重大度 (Vulnerability.Source Severity)] を選択します。
    6. [重み付け] フィールドで、リスクルール内でのこのフィールドの相対的な重要度を入力します。値は 0 〜 100 の整数である必要があります。
    7. [値の重み付けを定義] セクションで、フィールド値を追加し、重み付けをアサインします。
      図 : 1. 脆弱性一致アイテムテーブル
      リスクルール VI の例。
    8. [送信] を選択します。

    例 2:リスクルールの基準としてビジネス上の重要度を追加する。

    ユースケース:組織に多くのビジネスサービスがあるとします。構成アイテム (CI) LINUX-SF-6381 が、以下のサービスで使用されています。

    表 : 2. ビジネスサービスの重要度
    ビジネスサービス 重要度
    Cloud Management 1:最重要
    e-コマース 2:ある程度重要
    クライアントサービス 3:やや重要
    出張費と経費 4:重要ではない
    CI とサービス間のマッピングは、関連サービス [sn_vul_m2m_ci_services] テーブルに格納されます。資産 LINUX-SF-6381 で脆弱性が見つかると、脆弱性一致アイテム (VI) が作成されます。影響を受けるサービスのビジネス上の重要度の値を使用して、この VI のリスクスコアを計算できます。これらのサービスの重要度の値を使用してリスクスコアを計算するには、次の手順を実行します。
    1. [リスクルール] ページに移動します。
    2. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    3. リスク算出基準にリスクルールフィールドを追加するには、[基準を追加] を選択します。
    4. [参照テーブルを選択] リストから、[構成アイテム参照テーブル] を選択します。
    5. [テーブル] リストから、[関連サービス [sn_vul_m2m_ci_services]] を選択します。
    6. [フィールド] リストから、[サービスの業務上の重要度 (Service Business criticality)] を選択します。
    7. [集計] フィールドで、[最小] を選択してこのユースケースの最も重要度の高いサービスを検索するか (1 - 最重要の値)、[最大] を選択してこのユースケースの最も重要度の低いサービスを検索します (4 - 重要ではない値)。
    8. [重み付け] フィールドで、リスクルール内でのこのフィールドの相対的な重要度を入力します。値は 0 〜 100 の整数である必要があります。
    9. [値の重み付けを定義] セクションで、フィールド値を追加し、重み付けをアサインします。
      図 : 2. 構成アイテム参照テーブル
      リスクルール CI 参照テーブル。
    10. [送信] を選択します。

    例 3:リスク算出に条件付き基準を追加する。

    組織に複数の構成アイテム (CI) があり、外部ユーザーはそのうちのいくつかにのみアクセスできると仮定します。ユーザーは、これらの外部向き CI に対してリスクスコアの重み付けを追加できます。
    注:
    これらの CI は名前で識別できます。名前は「外部 (external)」で始まります。

    リスクルールに条件付き基準を追加するには、次の手順を実行します。

    1. [リスクルール] ページに移動します。
    2. ルールを非アクティブ化するには、[アクティブ] チェックボックスをオフにします。
    3. リスク算出基準にリスクルールフィールドを追加するには、[基準を追加] を選択します。
    4. [参照テーブルを選択] リストから、[カスタム条件] を選択します。
    5. [条件テーブル] リストから、[構成アイテム] を選択します。
    6. [フィールド名] フィールドに、「CI エクスポージャー」という名前を入力します。
    7. [重み付け] フィールドで、リスクルール内でのこのフィールドの相対的な重要度を入力します。値は 0 〜 100 の整数である必要があります。
    8. [ 条件 ] フィールドで、 名前 > 次の値で始まる をクリックし、値 「外部」を入力します。
      図 : 3. 新しいリスクルールのカスタム条件
      新しいリスクルールのカスタム条件。
    9. [送信] を選択します。
      注:
      リスクルールに条件付き基準を追加すると、パフォーマンスが低下する場合があります。