脆弱性対応 での古い検出の自動クローズ

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • [古い検出を自動クローズ] を有効にすると、サードパーティ統合によって最近検出されなかった古い脆弱性検出が自動的にクローズされます。

    始める前に

    必要なロール:sn_vul.vulnerability_admin、sn_vuln.admin (非推奨)、または sn_vul.manage_auto_close_stale_vi 詳細ロールを持つ脆弱性マネージャー。

    この機能、重要な用語、および検出データをインポートするサードパーティ統合に必要なセットアップの詳細については、「脆弱性対応 での古い検出のクローズ」を参照してください。

    注:
    次の手順で提供される情報は、脆弱性対応 v22.0 より前のバージョンにのみ適用されます。脆弱性対応 v22.0 以降では、追加の検索オプションを構成できます (オプション)。詳細については、「自動クローズルールを作成する」を参照してください。

    手順

    1. 移動先 脆弱性対応 > アドミニストレーション > 自動クローズ構成 > 古い検出.
      [古い構成を自動クローズ (Auto-Close Stale Configuration)] フォームが表示されます。
    2. フィールドに入力します。
    3. [古い検出を自動クローズする基準] フィールドで、検索のオプションを 1 つ選択します。
      どちらの検索も、古くなった検出の経過時間 (日数) とスキャナーによって提供された日付とを照合します。
      注:
      脆弱性対応 v22.0 以降、[最後に発見された検出] オプションと [前回スキャンされた資産] オプションがリスト形式で作成されます。
      • 最後に発見された検出。このオプションは、スキャナーによって検出が再度見つかった最新の日付を検索します。
        注:
        Rapid7 および Microsoft TVM のユーザーの場合、現在の検出情報が必要であることを示す警告メッセージが表示されます。

        [最後に発見された検出] を検索のベースとして選択する場合、この機能では、過去 7 日以内に Rapid7 の包括的な脆弱性一致アイテム統合のいずれかの統合実行が正常に行われている必要があります。

        [最後に発見された検出] を検索のベースとして選択する場合、この機能では、過去 7 日以内に Microsoft TVM マシン脆弱性統合 (フルインポート) の統合実行が正常に行われている必要があります。

      • 前回スキャンされた資産。このオプションは、サードパーティのスキャナーによって資産が前回スキャンされた最新の日付を検索します。
    4. Rapid7 および Microsoft TVM のユーザーの場合のみ、必要な統合が有効になっていることを確認します。
      詳細については、「Rapid7 脆弱性統合の概要」と「Microsoft Threat and Vulnerability Management 脆弱性統合の概要」を参照してください。
    5. モジュールを有効にするには、[アクティブ] チェックボックスをクリックしてオンにします。
    6. [最後に発見された検出 (日前)] フィールドに、古くなった検出の経過日数を入力します。

      デフォルトは 90 日です。日数には任意の正の値を入力できます。この値は、スキャナーによって提供される日付と照合するために使用されます。[90] と [最後に発見された検出 (日前)] が表示されている場合、過去 90 日間に見つからなかった検出は自動的にクローズされます。[90] と [前回スキャンされた資産] が表示されている場合、過去 90 日間にスキャンされなかった資産に関連する検出は自動的にクローズされます。

      注:

      この機能の [最後に発見された検出/前回スキャンされた資産 (日前) (Detections last found/Assets last scanned (days ago))] フィールドと、Rapid7 包括的な脆弱性一致アイテム統合 - API および Microsoft TVM マシン脆弱性統合の [次以降にインポート] フィールドの間には関係があります。

      これらの統合の構成ページの [次以降にインポート] フィールドは、デフォルトでは空です。

      値を入力しない場合、またはフィールドに値がない場合は、[最後に発見された検出/前回スキャンされた資産 (日前) (Detections last found/Assets last scanned (days ago))] フィールドで設定された日数のデータが使用されます。

      たとえば、自動クローズ構成フォームで定義された日数が 90 で、統合構成ページの [次以降にインポート] フィールドが空白の場合、最初の統合実行で過去 90 日のデータがインポートされます。 Rapid7 包括的な脆弱性一致アイテム統合 - API および Microsoft TVM マシン脆弱性統合の [次以降にインポート] フィールドは編集可能であるため、必要な値を指定することもできます。自動クローズ機能で誤検出がクローズされないように、フィールドが空の場合はデフォルトで 90 日の値が指定されます。

      これらのフィールド間のこの関係は、最初の統合実行にのみ適用されます。その後、[古い脆弱性検出の自動クローズ (Auto-Close Stale Vulnerable detections)] フォームの [最後に発見された検出/前回スキャンされた資産 (日前) (Detections last found/Assets last scanned (days ago))] フィールドを変更しても、統合構成ページの [次以降にインポート] フィールドに影響はありません。このフィールドは、後続の統合実行でデルタ情報のみがインポートされるように、最初の実行の開始時間に変更されます。

    7. オプション: 保留された VI または保留について現在レビュー中の VI にマッピングされている古い検出を無視するには、[保留された VI の古い検出を無視する] チェックボックスをオンにします。

      このオプションを無効のままにすると、保留された VI または保留についてレビュー中の VI にマッピングされる、基準に一致するすべての検出がクローズされます。保留された VI またはこうした検出に対応するレビュー中の VI も、ロールアップロジックに基づいて自動的にクローズされます。ロールアップロジックの詳細については、「 脆弱性対応 での古い検出のクローズ 」および「 ステータスのロールアップおよびロールダウンシナリオ」を参照してください。

      このオプションを有効にすると、保留された VI または保留についてレビュー中の VI にマッピングされる、基準に一致するすべての検出は、自動クローズ時にスキップされます。

    8. オプション: [クローズされている VI の古い検出を無視する] チェックボックスをオフにします。

      デフォルトでは、このチェックボックスはオンになっており、このクローズ済み VI に関連する新しい検出が特定されたときにクローズ済み VI が再オープンされないようにします。ロールアップロジックの詳細については、「 脆弱性対応 での古い検出のクローズ 」および「 ステータスのロールアップおよびロールダウンシナリオ」を参照してください。

    9. [更新] をクリックして変更を保存します。

      スケジュール済みジョブ [Auto-Close Stale Detections] を毎日実行します。このジョブでは、選択された日付が「最後に検出があった日付」と「最後に資産がスキャンされた日付」のどちらであるかを判断します。当該検出のステータスが [古い] に移行します。[古い検出を自動クローズ] 機能では、アクティブな統合インスタンスにおいて古い検出をクローズするだけであるということがポイントです。アクティブな統合インスタンスに関連付けられている脆弱性一致アイテムや検出はクローズされます。脆弱性対応 v22.0 以降、スケジュール設定済みのジョブが変更され、共通テーブル [sn_vul_cmn_auto_close_rule] が考慮されるようになりました。

      検出が [古い] とマークされた後、スキャナーがその検出の発見を再度報告すると、検出の [ステータス] フィールドは [オープン] に移行します。検出の対応する脆弱性一致アイテムも再オープンされます。

      また、検出が [古い] とマークされていて、スキャナーがそれを [修正済み] であると判断した場合、検出は [クローズ済み] に移行します。ステータスも VI にロールアップされます。