アプリケーション脆弱性エントリーを作成する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:2分

    • ペネトレーションテスト結果で指定された脆弱性のアプリケーション脆弱性エントリーを作成します。アプリケーション脆弱性は、カスタムソフトウェアアプリケーションの脆弱性です。

    始める前に

    必要なロール:倫理的なハッカー

    このタスクについて

    アプリケーション脆弱性対応 はアプリケーションに脆弱性を関連付け、ペネトレーションテスト結果を作成します。これらの結果は、手動で作成されたアプリケーション脆弱性一致アイテム (AVI) です。ペネトレーションテスト時は、既存エントリーを再利用するか、脆弱性ごとに手動で作成することができます。

    手順

    1. 移動先 すべて > アプリケーション脆弱性対応 > ライブラリ > サードパーティ.
    2. [アプリケーション脆弱性エントリー] ページで、[新規] を選択します。
    3. フォームのフィールドに入力します。
      表 : 1. [アプリケーション脆弱性エントリー] フォーム (ペネトレーションテスト表示)
      フィールド 説明
      ID この脆弱性エントリーの識別子。
      重大度 この脆弱性の重大度を正規化したもの。重大度マップは、NVD および ServiceNow サードパーティ統合に提供されます。重大度マップの作成や調整の詳細については、「アプリケーション脆弱性一致アイテムの重大度を自動的にマッピングする」を参照してください。
      プライマリ CVE この脆弱性が最も適合する共通脆弱性タイプ一覧要素への参照。
      カテゴリ名 サードパーティ統合によって提供される分類。アサインを支援します。
      脆弱性の詳細
      攻撃ベクトル この脆弱性に対する最も脆弱な攻撃ベクトル。
      攻撃の複雑さ 攻撃者がコントロールできない、脆弱性の悪用に必須の条件について説明しているメトリクス。
      スコープ ソフトウェアの脆弱性が、手段を超えてリソースに影響与える能力を測定するためのメトリクス。
      完全性 脆弱性が利用された場合に完全性に及ぼす影響度を測定するためのメトリクス。
      CVSS ベクトル ソフトウェアの脆弱性の特性と重大度をキャプチャするためのオープンフレームワーク。
      必要な権限 攻撃者が脆弱性を悪用する前に保有する必要がある権限のレベル。
      ユーザーのインタラクション 脆弱性を利用するための人間による操作の要件。
      機密性 脆弱性が利用されたことによる情報リソースの機密性への影響。これらのリソースはソフトウェア コンポーネントによって管理されます。
      Availability 脆弱性が利用された場合に影響を受けるコンポーネントの可用性への影響。
      CVSS 基本スコア アプリケーション脆弱性エントリーの重大度を示す数値 (0 〜 10)。
      脅威 この脆弱性に由来する脅威の説明。
      緩和の説明 脆弱性を緩和する手順の説明。
    4. フォームを保存するには、[送信] を選択します。
      注:
      AVE はアプリケーション脆弱性エントリー (sn_vul_app_vul_entry) テーブルに作成されます。アプリケーション脆弱性エントリーテーブルは、脆弱性エントリー (sn_vul_entry) テーブルの子です。したがって、作成された AVE は脆弱性エントリーテーブルにも追加されます。