コンフィグレーションコンプライアンス の算出と算出ルール

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • コンフィグレーションコンプライアンス は、テスト結果におけるフィールドの初期値算出を自動化します。各算出の条件が順番に評価され、最初に一致した算出が使用されます。

    コンフィグレーションコンプライアンス の算出

    Configuration Compliance のベースシステムには、テスト結果にベースの リスクスコアを設定する Configuration Compliance の算出 (デフォルトリスク算出) が一つ含まれています。Configuration Compliance 算出は、条件フィルターを使用することにより、任意の条件に基づいてテスト結果の影響度を優先順位付けして評価するように構築することができます。脆弱性のビジネスへの影響度、構成アイテム (CI) のクラスなど、追加の Configuration Compliance 算出を作成してテスト結果の他のフィールドを設定するか、既存の Configuration Compliance 算出をカスタマイズすることができます。算出は、どのような優先順位でも反映できるように記述できます。

    各算出には、算出ルールのリストと、それを適用するタイミングを決定する条件が含まれています。算出が実行されると、各算出ルールの条件が順番に評価され、最初に一致した算出ルールが使用されます。

    すべての有効な Configuration Compliance 算出は、テスト結果が作成されるたび、関連する CI または構成テストが変更されたとき、またはテスト結果の [リスクスコアを計算] 関連リンクが使用されたときに、選択されたフィールドを設定します。たとえば、インポートされたテスト結果で control.criticality の値が更新されると、テスト結果レコードのリスクスコアが自動的に更新されます。テスト結果のインポートによってテスト結果スコアが更新された後、ユーザーは [算出を再適用] ボタンをクリックして、テスト結果のリスクスコアを再計算できます。

    既存のテスト結果から [リスクスコアを計算] 関連リンクをクリックし、いずれかの算出が有効になっている場合、テスト結果の [リスクスコア] フィールドが更新されます。
    注:
    [リスクスコアを計算] 関連リンクは、少なくとも 1 つの Configuration Compliance 算出が有効になっている場合にのみ表示されます。

    コンフィグレーションコンプライアンス の算出ルール

    デフォルトでは、ベースシステムの [デフォルトリスク算出 (Default Risk Calculator)] が提供されます。この算出のリスクルールを作成する場合は、[デフォルトリスク算出 (Default Risk Calculator)] のターゲットフィールドを [リスクスコア] に設定する必要があります。[新しいリスクルール] ボタンをクリックし、新しいリスクルールを作成します。これによって、リスクルール と呼ばれる特殊なテスト結果算出ルールが作成され、複数の値に基づいてリスクスコアが計算されます。デフォルトでは 、リスクスコアを計算するための次の値が考慮されます。
    • ビジネス上の重要度
    • 重要度
    [デフォルトのリスクルール] で使用する値と、これらの各値の重み付けを調整できます。重み付けは、ベースのリスクスコアを設定するときに各要素をどの程度考慮するかを調整するために使用されます。

    バージョン 13.0 以降 コンフィグレーションコンプライアンス では、デフォルトのリスクルールの基準をカスタマイズできます。詳細については、「Define fields and weights for the risk rule (リスクルールのフィールドと重み付けを定義する) 」を参照してください。

    重み付けパーセンテージをアサインする

    フィールド値レベルで重み付けのパーセンテージ (0 ~ 100) をアサインすることもできます。たとえば、各レベルの重大度 (なし~重大) に重み付けのパーセンテージをアサインできます。リスクルールの重要度の重み付けが 50 で、重要度レベルに次の重み付け値がアサインされている場合:
    表 : 1. 重み付けパーセンテージをアサインする
    重要度 リスクスコア
    重大 100
    50
    20
    なし 0
    重要度が「重大」の場合、対応する重み付けは 50 です。重要度が「高」の場合、重み付けは 25 で、重要度が「中」の場合、重み付けは 10 です。重要度が「なし」の場合、対応する重み付けは 0 です。詳細については、「Risk score calculation example for Configuration Compliance (Configuration Compliance のリスクスコアの計算例)」を参照してください。

    各ルールには [順序] 設定がありますが、条件に一致する最初のルールによってテスト結果の [リスクスコア] フィールドが更新されます。通常、スクリプト化されていない算出ルールは、スクリプト化された算出ルールよりもパフォーマンスへの影響が少なくなります。

    ベースシステムの コンフィグレーションコンプライアンス の算出には、重要度レベル (なし~重大) ごとに、重大度に基づいて [リスクスコア] の値 (0 〜 100) をアサインする算出ルールが含まれています。[不明な重大度] には、リスクスコア 100 が自動的にアサインされます。これらの値は調整可能で、[デフォルトリスク算出 (Default Risk Calculator)] のように、新しい算出ルールやリスクルールを作成できます。

    脆弱性のリスクスコアの重み付け

    すべての脆弱性には、重大度、重要度、エクスプロイト情報などの要素に基づいてリスクスコアと評価がアサインされます。このリスク評価の算出を担当するのが、脆弱性一致アイテムのテーブルのビジネスルール Update Risk Rating from Risk Score です。リスクスコアが変更されるたびに、脆弱性一致アイテムのリスク評価が算出されて入力されます。脆弱性対応 (VR) アプリケーションのバージョン 17.1 より前では、次のリスク評価がスクリプトインクルード VulnerabilityUtils の一部として提供され、ハードコードされていました。
    値 (リスク評価) 重み付け (リスクスコア)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    脆弱性対応 のバージョン 18.0 以降では、
    • 出荷時のリスク評価タイプはベーステーブルで base table as cc_risk_rating となっています。リスク評価タイプは、リスク評価が計算される各テーブルのビジネスルールの一部として渡されます。
    • リスク評価の算出の対象となる [リスクスコアの重み付け] テーブルの値をクエリできるように、スクリプトが変更されます。
    • 既存のタイプにエントリを追加するか、新しいタイプを作成します。新しいタイプを作成するときは、新しいリスク評価のラベルを追加し、関連するスクリプトとビジネスルールも変更してください。新しいリスクスコアのスタイルも新たに追加する必要があります。
    • ベーステーブルのレコードをクエリするようにスクリプトを変更します。
    [リスクスコアの重み付け] テーブルにアクセスするには、フィルターナビゲーターに「sn_sec_cmn_risk_score_weight」と入力します。
    さらに、次のシナリオではリスクスコアが自動的に再計算されます。
    • 構成アイテム (CI) が非インターネットフェーシングからインターネットフェーシングに変更されたとき。
    • 脆弱性一致アイテム (VI) の関連する一般的な脆弱性とエクスポージャー (CVE) またはサードパーティエントリー (TPE) が、CVE の既知の悪用された脆弱性 (KEV) にリンクされている場合。