NVD と CWE の統合によるデータのインポートとサードパーティライブラリの管理
まだインストールされていない場合は、サードパーティのスキャナー製品でインスタンスに脆弱性データをインポートする前に、NVD 統合をダウンロードして実行し、脆弱性対応の初期セットアップの一部として CWE スケジュール済みジョブを実行します。NVD の脆弱性対応統合は ServiceNow Store から入手可能です。
CWE および NVD データの取り込み
NVD と CWE の統合からインポートされたデータは、インスタンスの脆弱性データを拡張し、脆弱性、脆弱性一致アイテム、または修復タスクに対する修復をエスカレートさせるかどうかを決定するために使用されます。初回インポート後、ライブラリレコードをオンデマンドで更新したり、定期的にレコードを更新するスケジュール済みジョブを設定できます。脆弱性対応 はそれらを [ライブラリ]に格納します。
NVD やサードパーティのエントリーに含まれる共通の脆弱性採点システム (CVSS) は、脆弱性の主な特徴をキャプチャします。脆弱性対応 は、CVSS データを使用して、脆弱性の重大度を反映する正規化値を生成します。重大度が計算されると、この脆弱性が組織にもたらすリスクをより深く理解できます。重大度は、脆弱性修復の評価と優先順位付けに役立ちます。
脆弱性対応 の初回インストールする時、またはサードパーティのスキャナー製品を使用して初めてデータを取り込む前:
- CWE Comprehensive 2000 統合を使用して、CWE データの初期インポートを実行します。
詳細については、「CWE レコードの更新のためのスケジュール済みジョブの構成および実行」を参照してください。デフォルトでは、統合レコードから [オンデマンド] で CWE 更新を実行します。スケジュール済みジョブとして実行する場合は設定する必要があります。
注:NVD データベースの更新の前に実行するように CWE の更新をスケジュールします。NVD 更新のデフォルト日は [毎週] [月曜日] です。 - 脆弱性対応 Integration with NVD アプリケーションがインストールされ、NIST National Vulnerability Database Integration - API (CVE のみ) または NIST National Vulnerability Database Integration - API (CVE および CPE) のデータが正常にインポートされたことを確認します。
本番インスタンスでこのプラグインをアクティブ化するには、別のライセンスが必要になる場合があります。インストールされると、NIST National Vulnerability Database Integration - API (CVE のみ) がデフォルトでアクティブ化されます。これは、毎日実行されます。詳細については、「 NVD 統合の概要 」と「脆弱性対応 Integration with the NIST National Vulnerability Database のインストール」を参照してください。
- サードパーティのライブラリはスケジュール済みジョブとして更新されます。サードパーティとの統合の詳細については、脆弱性対応 の統合 の統合ドキュメントを参照してください。
インポートされた脆弱性データと脆弱性一致アイテムを表示する
| ライブラリ | 説明 |
|---|---|
| NVD | NVD によって検出された脆弱性のリストで、セキュリティチェックリスト、セキュリティ関連のソフトウェアの欠陥、不適切な構成、製品名、およびエクスプロイトを含む影響度メトリクスが含まれています。 |
| CWE | コミュニティで開発されたソフトウェアの脆弱性タイプのリスト。 各 CWE レコードには、脆弱性を説明する関連するナレッジ記事も含まれています。[共通脆弱性タイプ一覧] 画面から脆弱性をエスカレートすることはできません。これは参照用です。 |
| サードパーティ | インスタンスにインポートされたサードパーティ脆弱性のリスト。関連する参照、脆弱性一致アイテム、エクスプロイト、および CVE のリストが含まれています。 |