Microsoft Threat and Vulnerability Management 脆弱性統合の概要
脆弱性対応 Integration with Microsoft Threat and Vulnerability Management (MS TVM) アプリケーションでは、MS TVM からインポートされたデータを使用して、資産の脆弱性の優先順位付けと修正を行います。アプリケーションは ServiceNow Store の個別のサブスクリプションで利用できます。
MS TVM 脆弱性統合を使用して、資産と脆弱性に関するサードパーティのスキャナーデータをインポートできます。脆弱性対応 ダッシュボードで脆弱性と脆弱性一致アイテムに関するレポートを表示できます。
利用可能バージョン
| リリースバージョン | リリースノート |
|---|---|
脆弱性対応 Integration with MS TVM v2.2 |
脆弱性対応アプリケーションのリリース済バージョン、互換性、スキーマ変更について詳しくは、HI ナレッジベース記事「Vulnerability Response Compatibility Matrix and Release Schema Changes (脆弱性対応互換性マトリクスおよびリリーススキーマの変更点) [KB0856498]」を参照してください。 |
ドメインセパレーションと MS TVM
統合を実行するドメインにユーザーをアサインして、指定されたドメインに脆弱性統合データをインポートします。MS TVM 脆弱性統合用のドメインセパレーションインポートを作成する場合は、「統合のためのドメインセパレーションインポートの作成」を参照してください。
統合に関する用語と主な機能
- 脆弱性一致アイテムと脆弱性
- 次の場合に Now Platform インスタンスに脆弱性一致アイテムが作成されます。
- サードパーティのスキャナーからインポートした脆弱性が CMDB の既存の資産 (構成アイテム) と一致する。MS TVM 製品では、これらの一致を脆弱性と呼びます。
- サードパーティのスキャナーからインポートした脆弱性が CMDB の既存の資産と一致しない。この場合、脆弱性一致アイテムとともに一致しない構成アイテム (CI) も作成されます。
既存の CI がホストと一致しない場合、識別および調整エンジン (IRE) を使用して CI を 2 つの新しいクラスに作成することができます。それ以外の場合は、一致しない CI が [不一致] CI クラスに作成されます。詳細については、「識別および調整エンジンを使用して 脆弱性対応 の CI を作成する」を参照してください。
- サードパーティ脆弱性エントリー
- サードパーティの脆弱性エントリーは、MS TVM などのサードパーティのスキャナーからインポートされ、Now Platform インスタンスのサードパーティ脆弱性エントリーテーブルにリストされます。また、National Vulnerability Database エントリー (CVE) は MS TVM からインポートされます。これら両方のタイプのエントリーに関連付けられているエクスプロイト情報は、MS TVM から取得されます。このエクスプロイト情報はリスク計算に使用できます。注:サードパーティの脆弱性は、CVE が割り当てられていない脆弱性に対してのみ取得されます。MS TVM は、脆弱性に一時的な名前を追加できます (例:
TVM-XXXX-XXXX)。この名前は、CVE ID が割り当てられた後に更新されます。 - 構成アイテム (CI)
- CI は、CMDB にリストされている既存の資産です。
- 検出されたアイテム
- 検出されたアイテムは、CMDB の既存の CI と一致する MS TVM マシンインポートから取り込まれた資産です。
一致するものが見つからない場合は、CMDB の [一致しない CI] クラスに CI が作成されます。CMDB CI クラスモデルプラグインを有効にすると、識別および調整エンジン (IRE) が新しいクラスを使用して CI を作成します。詳細については、「識別および調整エンジンを使用して 脆弱性対応 の CI を作成する」を参照してください。元の一致しない CI が再分類され、検出されたアイテムレコードを更新してステータスが反映されます。検出されたアイテムにより、資産がどのように識別され、CMDB の CI にマッピングされるかを把握できます。
- CI ルックアップルール
- データが MS TVM からインポートされると、脆弱性対応 は自動的にマシン (資産) データを使用して CMDB 内の一致を検索します。CI ルックアップルールは CI の識別に使用され、VI が作成されると VI レコードに追加されます。
- インスタンス
- インスタンスは MS TVM の複数のアカウントを指します。各アカウントは、MS TVM アプリケーションのインスタンスにすることができます。
- 統合
- 統合は、MS TVM マシンとの統合など、サードパーティのソースから情報を取得するスケジュール済みジョブです。
- 展開
- 統合でマルチソースがサポートされている場合、単一の統合の存在は、統合の展開と呼ばれます。展開とは、環境全体の統合と製品のことです。たとえば、お使いの環境に MS TVM を複数展開する場合があります。
この MS TVM 統合に含まれる主な機能は次のとおりです。
- 環境全体で資産を特定し、検出された既存のアイテム、脆弱性一致アイテム、および検出レコードで CI を更新して、脆弱性に関する詳細を提供します。
- すべての MS TVM 統合でジョブを実行するタイミングをスケジュールできます。スケジュール済みジョブをオンデマンドで実行することもできます。
- 脆弱性一致アイテムをグループ化できます。
- CI ルックアップルールを設定して、サードパーティソースからの資産データを使用して CMDB 内の CI を特定する方法を定義できます。
必要な Now Platform ロール
統合タスクには、Now Platform インスタンスで次のロールが必要です。
脆弱性対応 アプリケーションでユーザーとグループが表示および実行できることを管理できるように、ペルソナと詳細ルールが用意されています。セットアップアシスタントでのペルソナロールの初期アサインについては、「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。詳細なロール管理の詳細については、「脆弱性対応 のペルソナと詳細ロールの管理」を参照してください。
- admin
- システムアドミニストレーターはセットアップアシスタントを使用して MS TVM アプリケーションをインストールします。アサインされていない場合、アドミニストレーターはセットアップアシスタントで脆弱性アドミン (sn_vul.vulnerability_admin) およびその他のロールをアサインします。
- sn_vul.vulnerability_admin
- アサインされると、脆弱性アドミニストレーターはセットアップアシスタントで MS TVM 統合の構成を完了します。このロールは、脆弱性対応 アプリケーションとそのレコードに完全にアクセスできます。脆弱性アドミニストレーターは、インストールされたサードパーティ統合のすべての 脆弱性対応 アプリケーションとルールを構成します。
- sn_vul_msft_tvm.configure_integration
このロールには、
sn_vul_msft_tvm.read_integrationの詳細なロールが含まれています。このロールを持つユーザーは、 Microsoft Threat and Vulnerability Management アプリケーションとの脆弱性対応統合を設定できます。- sn_vul_msft_tvm.read_integration
このロールを持つユーザーは、Microsoft Threat and Vulnerability Management アプリケーションとの脆弱性対応統合レコードのみを表示できます。
- 脆弱性対応グループ
- デフォルトで脆弱性対応グループはセットアップアシスタントで利用可能になっています。脆弱性対応グループにアサインされたユーザーは sn_vul.read_all および sn_vul.remediation_owner ロールを自動的に継承します。
MS TVM 統合
マルチソースは、すべての MS TVM 統合でサポートされています。脆弱性対応 のセットアップアシスタントから、次の統合の複数のインスタンスを環境全体に追加して展開できます。また、セットアップアシスタントから 脆弱性対応 Integration with the MS TVM アプリケーションをインストールして設定します。
MS TVM 統合を表示するには、次に移動します: . 脆弱性対応 は、スケジュール設定された時間間隔に従ってデータをインポートするための MS TVM エンドポイントとの統合を提供します。ベースシステムには、次の統合が含まれています。
| 実行シーケンス | スケジュール | 統合 | 説明 |
|---|---|---|---|
| 1 | 日次 | Microsoft TVM 推奨事項の統合 | 脆弱性を修正するためのすべてのアクション可能なセキュリティ推奨事項のリストを取得します。 |
| 2 | 日次 | Microsoft TVM 脆弱性 (CVE) 統合 | National Vulnerability Database エントリーとサードパーティ脆弱性エントリーのリスト、およびそれらのエクスプロイト情報を取得します。 |
| 3 | 日次 | Microsoft TVM マシンの統合 | マシンタグを含むすべての資産 (マシン) データを Microsoft TVM から取得して、インスタンスで処理します。 |
| 4 | 週次 注: インストール後、この統合はマシンのインポート後に自動的に実行されます。 |
Microsoft TVM マシンの脆弱性統合 (フルインポート) | すべての資産のすべてのオープンな脆弱性を取得します。 |
| 5 | 日次 | Microsoft TVM マシンの脆弱性統合 (データインポート) | 新規、修正済み、および更新された脆弱性を含む、組織の完全な脆弱性インポートで変更されたすべての情報を取得します。 |
脆弱性一致アイテムは、設定したグループルール従って修復タスクにグループ化され、アサインルールに基づいて修復にアサインされます。詳細については、「脆弱性対応修復タスクとタスクルールの概要」と「脆弱性対応 アサインルールの概要」を参照してください。
CI ルックアップルール
- MAC_ADDRESS
- FQDN
- IP
検出されたアイテム
マシンタグ
マシンタグ (ホストタグとも呼ばれます) は、組織の資産の整理と追跡に使用されます。マシンにタグをアサインします。
- タグストレージでは大文字と小文字は区別されません。「Paris」タグが作成された場合、「PARIS」タグを [マシンタグ] テーブルに格納することはできません。Paris と PARIS は、システムで同じマシンタグと見なされます。最初にインポートされたタグが格納され、認識されます。
- 修復タスクルールのグループキーとしてマシンタグを使用すると、予期しない結果を生じることがあります。グループキーは修復タスクテーブルの列ですが、マシンタグは条件ビルダーでのみ使用することを目的としています。
- マシンタグは、グローバルシステムプロパティ sn_vul.import_host_tags で制御されます。このプロパティはデフォルトで [true] に設定されています。タグを無効にすると、すべての Now Platform® インスタンスで無効になります。
次に行うこと
ServiceNow® Store から 脆弱性対応 integration with Microsoft Threat and Vulnerability Management をダウンロードすると、インストールと構成が 脆弱性対応 のセットアップアシスタントでサポートされます。詳細については、「セットアップアシスタントを使用して、Vulnerability Response integration with the MS TVM アプリケーションをインストールして設定します。」を参照してください。