| 仮想エージェント埋め込み Web クライアントへの非認証アクセスを防止します |
- 新しい簡単な説明:仮想エージェント埋め込み Web クライアントへの非認証アクセスの防止
- 以前の簡単な説明:公開されている仮想エージェント埋め込み Web クライアントsn_va_web_client_app_embed
|
| 空の ACL の作成を防止 (Security Center 2.0 の新機能) |
ルール: スクリプト:スクリプトが更新され、検出の精度が向上しました。 |
| 簡易リストウィジェットでエンコードクエリの ACL を有効にする (Security Center 2.0 の新機能) |
- CVSS スコア (新規):4.3
- CVSS スコア (旧):5.3
|
| すべての翻訳済み HTML フィールドをサニタイズ (Security Center 2.0 の新機能) |
- CVSS スコア (新規): 4.6
- CVSS スコア (旧):8.8
|
| HTML サニタイザーを有効にする (セキュリティセンター 1.3 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| X-Frame-Options:SAMEORIGIN セキュリティヘッダーを実装 (セキュリティセンター 1.3 で更新) |
- CVSS スコア (新規):5.9
- CVSS スコア (旧):7.1
|
| GlideSystemUserSession スクリプト作成可能 API へのアクセスを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- 修正 (新規):プロパティ glide.sandbox.usersession.allow_unsanitized_messages が false に設定されていることを確認します。このプロパティのシステムプロパティ [sys_properties] レコードが存在しない場合は作成します。
- 修正 (旧):プロパティ glide.sandbox.usersession.allow_unsanitized_messages が false に設定されていることを確認します。
|
| ターゲットのクローンを禁止する (Security Center 1.3 の新機能) |
- 説明 (新規): glide.db.clone.allow_clone_target が推奨値の false に設定されていない場合、インスタンスはクローンターゲットとして、またはクローン作成に使用されるインスタンス URL と認証情報を指定するレコードとして使用できます。システムクローンは、データベース内のすべてのものを、あるインスタンスから別のインスタンスにコピーします。クローン作成プロセスでインスタンスデータベースが上書きされて、データが失われたり、データの完全性が失われたりする可能性があるため、これはセキュリティ上のリスクです。修正として、 glide.db.clone.allow_clone_targetが false に設定されていることを確認します。このプロパティを推奨値の false に設定しないと、インスタンスをクローンターゲットとして使用できます。クローン作成プロセスでインスタンスデータベースが上書きされる可能性があるため、これはセキュリティ上のリスクです。
- 説明 (旧): glide.db.clone.allow_clone_target が推奨値の false に設定されていない場合、インスタンスはクローンターゲットとして使用できます。これにより、クローンプロセスによってインスタンスデータベースが上書きされ、整合性と可用性が失われるリスクがあります。
|
| OAuth パラメーターを POST 本文に制限する (Security Center 1.3 の新機能) |
- CVSS スコア (新規):4.2
- CVSS スコア (旧):7.4
|
| URL 許可リストのチェックを強制する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
- 説明 (新規): glide.security.url.whitelist.strict_check が推奨値の true に設定されていない場合、 glide.security.url.whitelist が空であるときにすべての外部 URL がリダイレクトに許可されます。glide.security.url.whitelistが空でない場合は、ホワイトリスト内の外部 URL のみが許可されます。したがって、 glide.security.url.whitelist.strict_check を true に設定するか、許可された外部 URL を使用して glide.security.url.whitelist が空でない値に設定されるようにすると、インスタンスは安全な状態のままになります。すべての外部 URL がリダイレクトに許可されている場合、攻撃者はユーザーを悪意のある Web サイトにリダイレクトする可能性があります。
- 説明 (旧): glide.security.url.whitelist.strict_check が推奨値の true に設定されておらず、 glide.security.url.whitelist が組織の承認済み URL に設定されていない場合、すべての外部 URL がリダイレクトに許可されます。これにより、攻撃者はユーザーを悪意のある Web サイトにリダイレクトする可能性があります。
- CVSS スコア (新規):6.3
- CVSS スコア (旧):8.3
|
| allowlistDisable エンティティ拡張のある XMLdoc2 エンティティ検証を必須とする (セキュリティセンター 1.3 で更新) |
-
glide.stax.whitelist_enabledシステムプロパティがシステムプロパティ [sys_properties] テーブルに存在しない場合、または推奨値の true に設定されていない場合、glide.stax.allow_entity_resolutionシステムプロパティの値が true に設定されていれば、すべての外部エンティティが許可されます。カスタマイズでエンティティの拡張が必要ない場合は、 glide.stax.allow_entity_resolution システムプロパティを使用して外部エンティティの拡張を無効にします。XML は解析を完了しますが、内部または外部エンティティは含まれません。
glide.stax.whitelist_enabledが true に設定されている場合は、glide.xml.entity.whitelist プロパティでカンマ区切りの FQDN のリストを定義します。XML エンティティ処理プロパティを使用して到達できるのは、これらの URL のみです。詳細については、「XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新)」を参照してください。攻撃者はこの脆弱性を利用して、外部エンティティ拡張 (XXE) 攻撃でデータを指数関数的に拡張し、すべてのシステムリソースを短時間で消費する可能性があります。
- 説明 (旧): glide.stax.whitelist_enabled が推奨値の true に設定されていない場合、すべての外部エンティティが許可されます。これにより、外部エンティティ拡張 (XXE) 攻撃につながる可能性があります。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| XML 外部エンティティを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
-
許可リストを使用して XXE 攻撃から保護し、サーバーが実行する可能性のある任意の HTTP 要求を攻撃者が含めるのを防ぎます。これにより、サーバーと他のエンティティとの信頼関係を利用した追加の攻撃につながる可能性があります。
glide.xml.entity.whitelist システムプロパティの値に http://java.sun.com/j2ee/dtds/ を追加し、glide.xml.entity.whitelist.enabled システムプロパティを true に設定します。
http://java.sun.com/j2ee/dtds/ 以外の値は、glide.xml.entity.whitelist プロパティに含めることができますが、初期設定のプラットフォーム状態には不要です。追加の値を確認して、安全かどうかを判断します。
警告: これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。
- 説明 (旧):「glide.xml.entity.whitelist」が推奨値の「http://java.sun.com/j2ee/dtds/」に設定されておらず、「glide.xml.entity.whitelist.enabled」が「true」に設定されていない場合、悪意のある外部エンティティが許可され、XXE 攻撃が発生する可能性があります。攻撃者は DTD を使用して、サーバーが実行する可能性のある任意の HTTP リクエストを含めることができます。これにより、サーバーと他のエンティティとの信頼関係を利用した追加の攻撃につながる可能性があります。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 外部ユーザー登録用の電子メールドメインを制限する (セキュリティセンター 1.3、1.5、および 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| AttachmentCreator SOAP Web サービスでファイルの MIME タイプを検証する (Security Center 1.3 の新機能、1.5 で更新) |
-
不適切なファイル拡張子を使用して危険なファイルがインスタンスにアップロードされないように、添付ファイルの MIME タイプが検証されるようにしてください。
glide.attachment.enforce_security_validation システムプロパティを true に設定します。true に設定すると、ファイルは正しいファイルタイプ拡張子でアップロードされます。
- 説明 (旧):「glide.attachment.enforce_security_validation」が推奨値の「true」に設定されていない場合、添付ファイルの MIME タイプの検証が行われず、間違ったファイル拡張子を使用して危険なファイルがシステムにアップロードされる可能性があります。このプロパティが「true」に設定されている場合、ファイルは正しいファイルタイプ拡張子でアップロードされます。
少なくともMIMEタイプの検証を使用して、ファイルのアップロードを検証することがセキュリティのベストプラクティスです。
- CVSS スコア (新規): 6.7
- CVSS スコア (旧):7.5
|
| 許可される ServiceNow 内部 IP アドレスを定義する (セキュリティセンター 1.3 および 1.5 で更新) |
-
説明 (新規) glide.ip.authenticate.strict および glide.ip.authenticate.allow.secured システムプロパティを使用して、より幅広いユーザーグループにインスタンスアクセスが不必要に公開されないようにします。
glide.ip.authenticate.strict システムプロパティが true に設定されている場合、内部ServiceNow担当者とシステムは、必須 IP 範囲からインスタンスへの受信接続のみを行うことができます。これにより、 ServiceNowの可視化がインスタンスの重要な内部インフラストラクチャに制限され、サポートスタッフや営業スタッフなどのより広範な ServiceNow 担当者が企業ネットワークを介してアクセスできなくなります。glide.ip.authenticate.allow.secured システムプロパティは、通常の認証済みアクセスと非認証診断ページを含む内部ServiceNow受信接続を許可します。
true に設定されていない場合は、glide.ip.authenticate.allow プロパティで定義されたより広い ServiceNow 内部 IP 範囲を使用して、これらの内部 ServiceNow 受信接続が許可されます。
glide.ip.authenticate.allow.secured システムプロパティに信頼できる値のみが含まれていて、プロパティ glide.ip.authenticate.strict が true に設定されていることを確認してください。
-
説明 (旧):「glide.ip.authenticate.strict」が「true」に設定されている場合、ServiceNow の内部担当者とシステムは、必須 IP 範囲からインスタンスへの受信接続のみを行うことができます。この制限により、ServiceNow は重要な内部インフラストラクチャに対するインスタンスを可視化できなくなり、サポートスタッフや営業スタッフなど、より広範な ServiceNow 担当者が企業ネットワーク経由でアクセスできなくなります。
「true」に設定すると、「glide.ip.authenticate.allow」プロパティを使用して内部 ServiceNow 受信接続が許可されます。「true」に設定されていない場合は、「glide.ip.authenticate.allow」で定義されているより広範な ServiceNow 内部 IP 範囲を使用して、内部 ServiceNow 受信接続が許可されます。
|
| XMLDocument2 ストリーミングパーサー内のエンティティ拡張を無効にする (セキュリティセンター 1.5 で更新) |
- 説明 (新):
インスタンスのエンティティ拡張を無効にして、システムファイルの読み取り機能やサービス拒否などの攻撃からインスタンスを保護します。システム プロパティを使用して、ストリーミング パーサー (XMLDocument2) による解析中に XML エンティティが展開されないようにします。 インスタンスでエンティティ拡張を無効にするには、 glide.stax.allow_entity_resolution システムプロパティを false に設定します。このプロパティがシステムプロパティ [sys_properties] テーブルに表示されない場合、デフォルト値は true です。プロパティレコードを作成し、値を false に設定して値を変更します。
- 説明 (旧):「glide.stax.allow_entity_resolution」が推奨値の「False」に設定されていない場合、このプロパティを使用すると、ストリーミングパーサー (XMLDocument2) による解析中に XML エンティティを展開できます。XML エンティティの拡張は、システム ファイルの読み取り機能やサービス拒否などの攻撃につながる可能性があります。
- 修正 (新規):プロパティ glide.stax.allow_entity_resolution がsys_propertiesテーブルに存在し、 false に設定されていることを確認します。プロパティがsys_propertiesリストに表示されない場合、デフォルト値は true です。
- 修正 (旧):プロパティ「glide.stax.allow_entity_resolution」が「false」に設定されていることを確認します。
|
| 空の ACL でデフォルトで拒否する (Security Center 1.3 で更新) |
- 説明 (新):
リソースに対して ACL が定義されていない場合、またはワイルドカードのテーブルレベルの ACL しかない場合 ( incident.* など) に、インスタンスの従来のセキュリティマネージャーがリソースへのアクセスを許可しないようにします。デフォルトでアクセスが許可されている場合、明示的な ACL が設定されていないものはすべて操作の影響を受ける可能性があります。 定義された ACL ルールがない場合、またはワイルドカードのテーブルレベル ACL のみが存在する場合は、 glide.sm.default_mode システムプロパティ値を [拒否] に設定してアクセスを禁止します。
- 説明 (旧):「glide.sm.default_mode」が推奨値の「拒否」に設定されていない場合、そのリソースに ACL が定義されていなくても、インスタンスの従来のセキュリティマネージャーはそのリソースへのアクセスを許可します。またはワイルドカードテーブルレベルの ACL のみ。これを「許可」に設定すると、明示的な ACL が設定されていないものはすべて操作の影響を受けやすくなります。
- CVSS スコア (新規):6.3
- CVSS スコア (旧):8.8
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 添付ファイルへの非認証アクセスを制限する |
|
| 埋め込み HTML コードを無効化する (セキュリティセンター 1.3 で更新) |
- 説明 (新):
[code] タグを使用して埋め込まれた HTML コードの表示のサポートを無効にします。このタグを使用すると、レンダリングされた HTML をジャーナルフィールドに表示でき、クロスサイトスクリプティング (XSS) 攻撃につながる可能性があります。これらの攻撃により、ログインしているブラウザーのコンテキストで、ユーザーセッションで外部スクリプトが実行される可能性があります。攻撃者はこれらのスクリプトを使用してセッション情報と機密データを盗むことができます。HTML 言語は、スクリプトを書式設定から分離するように設計されていないため、どのシステムでもユーザー制御の HTML を許可することには固有のリスクがあります。
glide.ui.security.codetag.allow_scriptを false に設定すると準拠し、このリスクが大幅に軽減されますが、いくつかの小さなリスクが残ります。コードタグのスクリプト部分のみを無効にし、HTML の既知のスクリプトのすべての規則をサニタイズすることに依存します。 glide.ui.security.allow_codetag システムプロパティを false に設定すると、ジャーナルフィールドとフォームにレンダリングされた HTML が表示されなくなります。 ServiceNow AI Platform は、エスケープおよびエンコード技術を実装することで、多くのインジェクション攻撃とクロスサイト攻撃を軽減します。その結果、ユーザーはジャーナルフィールドに対して HTML 形式の入力の書き込みや送信ができなくなります。しかしジャーナルフィールドでは、コードタグで囲まれたテキストを HTML としてレンダリングできます。
- ただし、関連するセキュリティリスクがあります。true に設定すると、悪意のあるユーザーは、ジャーナルフィールドをレンダリングした後に、別のクライアントブラウザーで実行できる有害な HTML JS コードを書き込むことができます。
- このプロパティを false に設定すると、
[code] タグのサポートを無効にすることで、ジャーナルフィールドで HTML コードがレンダリングされないようにすることができます。
- 説明 (旧):[code] タグを使用して作成された HTML コードの埋め込みのサポートを無効にします。「glide.ui.security.allow_codetag」の値が「false」に設定されていない場合、ジャーナルフィールドとフォームにレンダリングされた HTML は表示されません。埋め込み HTML コードを表示したときに「glide.ui.security.allow_codetag」を「true」に設定すると、クロスサイトスクリプティング (XSS) 攻撃が発生する可能性があります。
|
| パスワードリセットポリシーチェックを有効にする (Security Center 2.0 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| スパムメールのスコアリングとフィルタリングを有効化する (Security Center 1.3 で更新) |
- 技術構成名 (新規):com.glide.email_filter,glide.email.read.active
- 技術的な構成名 (旧):com.glide.email_filter
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| Excel 計算式をエスケープ (Security Center 1.3 で更新) |
- 説明 (新):
Excel などのプログラム内の数式をエスケープすることで、ファイルをエクスポートして開いた後に、悪意のある可能性のある数式が実行されないようにします。Excel インジェクションは、Web サイトが Excel ファイル内に信頼できないエントリを埋め込むときに発生します。Microsoft Excel や LibreOffice Call などのスプレッドシートアプリケーションを使用してファイルを開く場合、+、-、=、または @ で始まるセルは、適切にエスケープされない限り、式として解釈されます。悪意のある数式は、スプレッドシートに機密情報が含まれていない場合でも、コード実行を通じて閲覧者のコンピューターを侵害するために使用される可能性があるため、リスクをもたらします。 glide.export.escape_formulas システムプロパティを true に設定して、これらの数式が実行されないようにします。
- 説明 (旧):プロパティ「glide.export.escape_formulas」を推奨値の「true」に設定すると、Excel などのプログラムで潜在的に悪意のある式が、ファイルをエクスポートして開いた後に実行されるのを防ぐことができます。CSV、Xls、および XLSX のセル値は、スプレッドシートアプリケーションによって式として解釈される可能性があり、適切にエスケープされない限り、悪意のあるコードが実行される可能性があります。
- CVSS スコア (新規):6.4
- CVSS スコア (旧):6.5
|
| JSONP 要求を信頼できる URL に制限する (Security Center 1.3 で更新) |
- 説明 (新):
AngularJS $httpサービスの信頼できる URL のみが JSONP 要求を許可/拒否できるようにすることで、インスタンスのセキュリティを強化します。これらのプロパティが構成されて有効になっていない場合、任意の URL に対して JSONP 要求が許可されます。 angular.jsonp.inclusion_list.urls システムプロパティの値を使用して、信頼され、この目的が許可されている URL のリストを定義します。許可された JSONP を angular.jsonp.inclusion_list.urls にリストされている URL のみに制限するには、angular.jsonp.inclusion_list.enabled システムプロパティの値を true に設定します。
- 説明 (旧):このプロパティは、JSONP 要求を許可/拒否する angularJS $http サービスの信頼できる URL を指定します。プロパティが必要です。これは顧客にとって破壊的変更となる可能性があるため、信頼できる URL を追加する方法が必要です。「angular.jsonp.inclusion_list.enabled」が推奨値の「true」に設定されていない場合、JSONP 要求は任意の URL に対して許可されます。
|
| SNC アクセスコントロールプラグインを有効化する (セキュリティセンター 1.3 で更新) |
- 説明 (新):
SNC アクセス制御 (com.snc.snc_access_control) プラグインを有効にして ServiceNow カスタマーサービスとサポート担当者が明示的な許可なくインスタンスにアクセスできないようにします。インスタンスへのアクセスはすべて監査されますが、このアクセスを制御することもできます。このアクセス方法は監査可能および追跡済み。 注: 製品をサポートおよび管理する能力を持つその他の認定 ServiceNow 運用担当者は、基盤となるインフラストラクチャで管理アクションを実行する必要があります。このプラグインを有効にすると、サポートサービスレベルと可用性 SLA に影響する場合があります。可用性 SLA は、サポートスタッフ担当者がインスタンスへのアクセスを許可された時間から測定されます。 SNC アクセス制御 (com.snc.snc_access_control) プラグインを有効にして、明示的な権限なしでインスタンスへのアクセスを制限します。この機能の詳細については、「ServiceNow アクセス制御」を参照してください。アクティブ化情報については、次を参照してください。 ServiceNowアクセス制御を有効にする
- 説明 (旧):SNC アクセス制御 (com.snc.snc_access_control) プラグインにより、カスタマーサービスとサポート担当者が明示的な権限なしにインスタンスにアクセスできなくなります。ただし、製品をサポートおよび管理する能力を持つその他の認定された ServiceNow Operations 担当者は、基盤となるインフラストラクチャで管理アクションを実行する必要があります。このインフラストラクチャには、SaaS を構成する他のインフラストラクチャコンポーネントの中でも、サーバーとデータベースが含まれます。このアクセス方法は完全に監査可能であり、追跡されます。このプラグインを使用すると、明示的な権限なしでインスタンスへのアクセスを制限できるため、サポートサービスレベルと可用性 SLA に影響を与える可能性があります。可用性 SLA は、サポートスタッフ担当者がインスタンスへのアクセスを許可された時間から測定されます。
- 修正 (新規):プラグイン「com.snc.snc_access_control」がアクティブになっていることを確認します。https://www.servicenow.com/docs/csh?topicname=t_ActivateSNCAccessControl.html&version=latest でのアクティブ化に関するドキュメントをお読みください 。
- 修正 (旧):プラグイン「com.snc.snc_access_control」がアクティブになっていることを確認します。
- CVSS スコア (新規):3.3
- CVSS スコア (旧):8.2
|
| 失敗したログインのロック解除タイムアウト期間を最大化する (セキュリティセンター 1.3 で更新) |
- 技術構成名 (新規): glide.user.unlock_timeout_in_mins、sysevent_script_action
- 技術的な構成名 (旧):glide.user.unlock_timeout_in_mins
- 説明 (新):
ロックアウトされた後にユーザーがログインできない期間を定義することで、総当たり攻撃からインスタンスを保護します。glide.user.unlock_timeout_in_mins システムプロパティは、その値で指定された期間後にユーザーアカウントのロックを解除します。値が指定されていない場合、インスタンスはデフォルトの 15 分後にユーザーアカウントのロックを解除します。
- 説明 (旧):「glide.user.unlock_timeout_in_mins」が推奨値の「15」に設定されていない場合は、より短い期間にアカウントの総当たり攻撃をする方が簡単かもしれません。このプロパティは、glide.user.unlock_timeout_in_mins プロパティに指定された期間後にユーザーアカウントのロックを解除します。値を指定しない場合は、デフォルトの 15 分後にユーザーアカウントのロックが解除されます。
- 修正 (新規):
glide.user.unlock_timeout_in_minsシステムプロパティ値を最小の 15 に設定します。glide.user.unlock_timeout_in_mins存在しない場合、デフォルトのロックアウト時間は 15 分に設定されます。 SNC ユーザーロックアウトチェックと自動ロック解除スクリプトアクション (スクリプトアクション [sysevent_script_action] テーブルにあります) が存在し、アクティブであることを確認します。[SNC ユーザーロックアウトチェック (自動ロック解除あり)] スクリプトアクションは、高セキュリティ設定 (com.glide.high_security) プラグインとともにインストールされます。
- 修正 (旧):プロパティ「glide.user.unlock_timeout_in_mins」が「15」以上に設定されていることを確認します。
- ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました
|
| 特定の IP 範囲プラグインへのアクセスを制限する (Security Center 1.3 で更新) |
- 技術的な構成名 (新規):com.snc.ipauthenticator,ip_access
- 技術構成名 (旧):com.snc.ipauthenticator
|
| ターゲットテーブルが空のメールへのアクセスを制限する |
- CVSS スコア (新規):6.5
- CVSS スコア (旧):5.4
|
| ダウンロード可能な MIME タイプを制限する (セキュリティセンター 1.3 および 2.0 で更新) |
- CVSS スコア (新規):6.4
- CVSS スコア (旧):8
|
| MultiSSO プラグインの更新バージョンを有効にする (Security Center 1.3 および 1.5 で更新) |
- 技術的な構成名 (新規):glide.authenticate.multissov2_feature.enabled
- 技術構成名 (旧):glide.authenticate.multisso.enabled,glide.authenticate.multissov2_feature.enabled
- 説明 (新):
インスタンスでマルチ SSO プラグインが有効になっている場合は、v2 バージョンが有効になっていることを確認して、セキュリティの脆弱性を軽減します。最新バージョンではセキュリティが強化され、アサーション暗号化のサポートや IDP によって開始されるシングルログアウト (SLO) など、より多くの機能が追加されています。最新バージョンが有効になっていない場合、新しいセキュリティ機能は使用できず、インスタンスは廃止されたプラグインを使用するリスクがあります。 KB0756504 の手順に従って、最新バージョンにアップグレードします。このプロセスには、カスタマイズ関連の変更の確認と移行、そしてバージョンのアップグレードが含まれます。完了すると、 glide.authenticate.multissov2_feature.enabled システムプロパティは自動的に true に設定されます。
- 説明 (旧):インスタンスでマルチ SSO プラグインが有効になっている場合は、v2 バージョンを有効にする必要があります。SAML 1.1 および SAML 2.0 を含む MultiSSOv2 より前のバージョンは、ベストプラクティスに従わず、既知の CVE を持つ opensaml ライブラリのバージョンを使用します。既知のCVEが古いopensamlライブラリで悪用された場合、攻撃者はメッセージを偽造し、XML署名ラッピング攻撃によって認証をバイパスしたり、エンティティになりすましたり、中間者攻撃者がプラットフォームに不正にアクセスしたりする可能性があります。
- CVSS スコア (新規):0
- CVSS スコア (旧):7.1
|
| 非アクティブなユーザーのログインを防ぐ (Security Center 1.5 の新機能) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| MID 監査ログを有効化する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| アーカイブテーブル ACL のチェックを確認する (Security Center 1.3 の新機能、1.5 で更新) |
ルールスクリプト:検出精度を向上させるためにスクリプトが更新されました |
| アクティブセッションタイムアウト例外ロールを定義 (Security Center 1.3 の新機能) |
- CVSS スコア (新規):6.4
- CVSS スコア (旧):7.1
|
| HTTP 応答の本文サイズを制限する (セキュリティセンター 1.3 の新機能、1.5 で更新) |
|
| UI のアクティブセッションのライフスパンを制限する (Security Center 1.3 の新機能) |
- 説明 (新):
アクティブな HTTP セッションの有効期間を短くすることで、潜在的なセキュリティインシデントの範囲を縮小します。glide.ui.active.session.life_span システムプロパティは、非アクティブタイムアウトに関係なく、アクティブな HTTP セッションに最大有効期間を適用します。最大有効期間が長いほど、攻撃者が盗んだセッションを長時間使用できるようになり、セキュリティインシデントの範囲が拡大します。デフォルト値の 0 は、アクティブセッションのタイムアウトを無効にします glide.ui.active.session.life_spanを 1 〜 720 の値に設定します。この値は、HTTP セッションをアクティブにしておくことができる時間 (分単位) を表します。
- 説明 (旧):この構成では、非アクティブなタイムアウトに関係なく、アクティブなゲスト HTTP セッションに最大有効期間が適用されます。構成値は分単位で、値が 0 の場合はアクティブセッションのタイムアウトが無効になります。最大有効期間が長いほど、攻撃者が盗んだセッションをより長く保持できるので、セキュリティインシデントの範囲が拡大します。この特定のプロパティは、UI セッションタイムアウトに制限されます。
|