コンテナ脆弱性対応 のアサインルール
コンテナ脆弱性一致アイテムが修復のためにアサイン先グループに自動的にアサインされる基準を定義します。
コンテナ脆弱性一致アイテムのアサインルールを作成および表示するには、次に移動します: . アサインルールの作成時に、条件を設定できます。設定した条件が満たされると、選択したユーザーグループに、ルールによってコンテナ脆弱性一致アイテムが自動的にアサインされます。一致条件を備えた最初のアサインルールのみがレコードに対して実行されます。アサインルールの詳細については、「 脆弱性対応 アサインルールの概要 」を参照してください。
必要なロール:ルールを定義および更新する場合は sn_vul_container.manage_assignment_rules、ルールを再適用する場合は sn_vul_container.container_reapply です。
バージョン 2.13 以降、スキャナー情報のフィールドが検出されたコンテナイメージ [sn_vul_container_image] テーブルのレコードに追加されました。コンテナイメージ脆弱性一致アイテム (CVIT) のアサインルールを作成または更新するときには、次の値を条件として使用して、コンテナ環境全体の所有権を追跡できます。
- クラウドアカウント ID
- イメージの名前空間
- レジストリ
- ホスト
- ラベル
- ステータス (解決済みの脆弱性のベンダーステータス)注:コンテナイメージの検索 [sn_vul_container_image_findings] テーブルでのこの値は、脆弱性が解決されたバージョン ( 6.2.1 で修正など) を参照します。この値は Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute の統合からインポートされます。
注:
[オープン] ステータスではない、または手動でアサインされたコンテナ脆弱性一致アイテム (CVIT) は、常にアサインルールから除外されます。これらのスキャナーフィールドの値をアサインルールに追加してルールを再実行した場合、アサインタイプが [ルール] でないかぎり、脆弱性一致アイテムは再アサインされません。タイプが 手動 のアイテムは、アサインルールの対象とは見なされません。
重要:
脆弱性アドミンおよびアナリストは、脆弱性マネージャーワークスペースで選択した CVIT の最新のアサインを取得できます。この方法は、クラシック UI ですべての CVIT にアサインルールを再適用する時間のかかるプロセスよりも効率的です。詳細については、「脆弱性マネージャーワークスペース でレコードの修復プロパティを再評価」を参照してください。