サポートされる統合

サードパーティ統合により、構成アセスメントの結果、テストグループ、テスト、テクノロジー、信頼できるソース、テスト結果がコンフィグレーションコンプライアンスアプリケーションにインポートされます。脆弱性マネージャーまたは脆弱性アナリストは、このデータを使用して、資産の構成関連の脆弱性を特定して対応します。

サポートされている統合の詳細については、「コンフィグレーションコンプライアンス の統合」を参照してください。

テストグループ

テストグループは、各種法令・基準等とテストレコードに関連しています。テストグループは、構成テストのグループで定義されます。テストグループは、通常、Windows、Oracle データベース、Cisco IOS などのテクノロジークラスに応じており、多くの場合、主要な業界標準に由来しています。テストグループは、組織のニーズに合わせて変更できます。1 つの構成テストは複数のテストグループに属することができます。

テスト

テストは、コンピューティング資産のスキャンを整理するデータレコードのライブラリです。構成テストでは、テクノロジー資産のクラスを管理する方法を定義します。

コンフィグレーションコンプライアンス テストは、サードパーティ統合アプリケーションが資産を脆弱性のタイプごとにグループ化するために使用するメカニズムです。Qualys のような一部のサードパーティ VA スキャンソリューションには、信頼できるソースのポリシーと「フレームワーク」にマッピングされた非常に大規模なテストライブラリ (8,000 にも及ぶ) があります。

テストには、1 対多、予想値対実際値など、多くの値を含めることができます。テストとは、準拠していないソフトウェアまたはハードウェア資産のクラスを識別するために使用できるものです。たとえば、リリース番号やハードウェア番号などです。

テクノロジー

サードパーティの脆弱性スキャナーが、ソフトウェアとハードウェアの構成アイテムを分析するためのテストグループを作成する際に用いる手法の 1 つに、テクノロジーごとに整理する方法があります。テクノロジーとは、ポリシーに関連付けられている OS、ネットワークデバイス、データベース、およびアプリをインポートしたライブラリのことです。テストには、さまざまなテクノロジーに対応した複数の実装があります。修復もテクノロジーによって異なります。

テストに適用されるテクノロジーを表示することで、コントロールがどのようなソフトウェアまたはハードウェア資産に適用できるかをよく知ることができます。コントロールに適用できるテクノロジーの例には、CentOS 7.x、Windows 8.1、Windows 2016 Server などがあります。テクノロジーのリストは読み取り専用で、Qualys クラウドプラットフォーム アプリケーションで定義されているテクノロジーと一致します。

テクノロジーは、データベース関連の構成アセスメントのためにのみインポートされます。インポートの db_type (空でない場合) は、テクノロジーを作成するために使用されます。構成テストレコード、テスト結果レコード、ポリシーレコードなど、[テクノロジー] セクションに入力されたテクノロジーを表示します。 コンフィグレーションコンプライアンス > サポートデータ > テクノロジー.

各種法令・基準等

信頼できるソースと引用 (指令とも呼ぶ) は、サードパーティの脆弱性スキャナーからインポートされます。

これらの信頼できるソースレコードには、コンピューターセキュリティの分野のエキスパートからの既知のソフトウェアおよびハードウェア構成の問題に関する情報が含まれています。これらは、セキュリティ方針と手順の要件を定義します。構成テストでは、引用を通じて複数の信頼できるソースを参照できます。信頼できるソースは、監査に備え、指定された基準に対するコンプライアンスについて報告できます。

テスト結果

コンフィグレーションコンプライアンス はテスト結果を計算しませんが、サードパーティ統合の一部としてインポートします。コンフィグレーションコンプライアンスで表示できるようになると、[修復タスク] を使用して修正されます。詳細については、「コンフィグレーションコンプライアンス の相関」を参照してください。