CSIRTプラン

CSIRTプラン

CSIRTプランは、複数システムの脆弱性管理に責任を持つセキュリティ部門向けのプランです。 複数のシステムを効率的に管理するための、以下の機能を搭載しています。

グループ横断管理

  • 複数グループ(システム)を束ねるグループセット機能
  • グループセット単位のシステムを横断した管理機能
  • 脆弱性管理の対象外のソフトウェアを一括設定可能
  • グループセット内のソフトウェア横断検索機能(資産管理)

自動トリアージ機能

  • 事前設定したルールでの自動注意喚起機能
  • 事前設定したルールでの自動非表示機能
  • スペシャル警戒タグ機能

高頻度な検知処理

  • スキャナからのアップロードのタイミングに加えて、一日に数回定期スキャンが実行されます。より頻繁に新規脆弱性を検知可能です

エンタープライズ環境向けに管理機能

  • 監査ログ機能

standardプランからCSIRTプランへの切り替えには別途申し込みが必要です。

利用方法

  • CSIRTプランへの切り替えには、別途問い合わせが必要です。
  • FutureVuls HP からお問い合わせください。
  • CSIRTプラン契約後は、オーナとCSIRT権限をもつユーザのみ、CSIRT画面を利用できます。

CSIRT権限の付与

  • オーガニゼーション オーナの権限をもつユーザでログインする
  • オーガニゼーション設定ページ内の メンバ でCSIRTプランの権限を付与したい人の設定ボタンをクリック オーガニゼーション設定ページ
  • CSIRTを選択する image

複数グループを束ねる、グループセット機能

  • オーガニゼーション オーナまたは、CSIRTの権限をもつユーザでログインする
  • 左上のグループ名をクリックして、グループ一覧と、グループセット一覧を表示する image
  • グループセットをクリックして、CSIRT画面に移行する
  • CSIRT画面では、脆弱性の一覧と、ソフトウェア検索が可能
  • CSIRT画面から設定ボタンをクリックすると、CSIRT設定に遷移する image
  • CSIRT設定画面では、グループセットの一覧、作成や、自動トリアージの設定などが可能 image

グループセット内の脆弱性一覧

  • CSIRT画面ではグループセット内のグループ全ての脆弱性が表示できます。
  • 危険度の高い脆弱性に対しては、トピックを利用して注意喚起をしたり、Dangerフラグを付与したりできます。(トピックはオーガニゼーション単位です)
  • 対応不要の脆弱性は一括で非表示に設定でき、複数グループで同時にトリアージができます。 image

グループセット内のソフトウェア名検索

  • CSIRT画面ではグループセット内のグループ全てのソフトウェアを検索できます。

  • ある特定のソフトウェアに対して緊急度の高い脆弱性が発表された時に、グループ横断でソフトウェアを検索し、バージョンや開放しているポートなどを一度に確認できます。 image

脆弱性管理の対象外のソフトウェアを一括設定可能

FutureVulsには、脆弱性管理の対象外のソフトウェアを設定できる機能があります。管理対象外として設定されたソフトウェアに脆弱性が新規に検知された場合は、そのタスクが自動的に非表示に設定されます。

CSIRT画面>グループセット>ソフトウェアからグループ横断で検索し、複数選択して一括で管理対象外として設定できます。

image

Windowsにインストール済みのアプリやKBのグループ横断検索機能

2020/7/17のリリースにて、CSIRT>グループ横断検索Windowsにインストール済みのアプリケーションやKBも検索可能になりました。

例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するといったケースで役立つ機能です。FutureVuls画面上からソフトウェア名を横断検索することで、組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。

csirt-hideamru

グループセットの重要な未対応の条件設定

  • グループセットにも各グループ同様に「重要な未対応」の条件が設定でき、CSIRT部署独自の重要度設定が可能です。
  • 「重要な未対応」の条件は、スコアの設定の他にも、警戒情報やCVSS v3の各メトリックを使った条件設定などの柔軟な設定が可能です。 image

自動トリアージ>自動Danger付与機能

「高リスクであるとみなす」ルールを事前に定義、設定できます。このルールに該当する脆弱性を自動でDangerステータスにする機能です。

image

  • 「重要な未対応」の条件同様に、スコアやCVSS v3の各メトリクスを設定できます。
  • 複数のルールを設定できます。どれか1つでも該当すればその脆弱性はDangerと判断され、脆弱性一覧で赤くハイライトされます。
  • 自動Dangerが適用されるルールは以下の通りです。
    • 自動Danger設定後にスキャンを実行した際に適用
    • 自動Dangerは設定後、 スキャンされた脆弱性 に対して適用される(既存の脆弱性も含む)
    • タスクのステータス、非表示に関係なく、該当するCVEはDangerになる

image

  • Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります。
  • 各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内、1つでも該当するメトリクスがあれば適用されます。
  • サーバタグのフィルタは大文字、小文字の区別は行いません。

この機能を用いると、例えば以下のような条件を満たす脆弱性はリスクが高いとみなして自動でDangerにする、といったことが可能となります。

  • 「個人情報」タグがつけられているサーバ
  • ネットワークから攻撃される
  • Red HatのCVSSが9以上
  • JPCERT/CC, US-CERTの注意喚起情報に掲載されている

danger

自動Dangerの一括解除

自動Danger機能で設定されたDangerを一括で解除できます。初期設定時に間違えて大量のDangerがついてしまった場合にご利用ください。

image

自動トリアージ>タスク自動非表示

「リスクが低いとみなす」ルールを事前に定義、設定できます。このルールに該当するタスクを自動で非表示にする機能です(検知はされるが、タスクが自動で非表示ステータスになる)。

image

  • 重要フィルタと同様に、スコアやCVSS v3の各メトリックスを設定できます。
  • 複数のルールを設定できます。どれか1つでも該当すればその脆弱性は非表示と判断され、脆弱性一覧で非表示となります。 (フィルタ設定を変更すれば、灰色での表示も可能です)
  • 自動非表示が適用されるルールは以下の通りです。
    • ルール設定後の次回スキャン時に適用される
    • 設定後、 スキャンされたタスク に対して適用される(既存のタスクも含む)
    • タスクのステータスが NEW のタスクに適用される
    • Danger となっている脆弱性のタスクには適用されない

image

  • Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用される
  • CVSSの各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内最大のメトリクスとの比較となる
  • サーバタグのフィルタは大文字、小文字の区別は行いません。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

  • 「社内システム」タグがつけられているサーバ
  • ネットワークから攻撃されない

「間違えて自動非表示したタスク」を一括で解除する方法ですが、自動dangerの一括解除のような専用のボタンはありません。その代わり以下の操作をしてください。

  • 「タスク>すべて」を選択。非表示フラグ列をフィルタ。更新日時列でソート、フィルタなどして「非表示の解除」ボタンより非表示を解除

image

監査ログ機能

image

オーガニゼーションに所属しているユーザの操作履歴を表示できます。 データの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。 また、矢印アイコンをクリックすることでCSV形式にてダウンロード可能です。

取得、表示できる項目は以下の通りです。

項目名 説明
ステータス リクエストが成功したか失敗したかを表示(SUCCESS, ERROR)
エラーメッセージ リクエストにエラーが発生した時のエラーメッセージ
グループセット名 グループセット名(グループセットの操作をした場合のみ表示)
グループ名 グループ名(グループの操作をしたときのみ表示)
リクエスト日時 リクエストをした日時
ユーザ名 リクエストしたユーザ名
IPアドレス リクエストしたユーザのIPアドレス
エンドポイント リクエストしたメソッドの名前
パラメータ リクエストしたパラメータの名前

注意点は以下のとおりです。

スペシャル警戒タグ機能

脆弱性情報に対して、独自の警戒タグを設定できます。 自組織で定めるオリジナルな警戒度情報をCVE-IDに紐づけすることで、タグごとの脆弱性管理が可能です。 警戒タグはオーガニゼーション単位で管理されます。

image

スペシャル警戒タグの管理は、オーガニゼーション設定のページから行えます。

特定のタグが着いた脆弱性一覧を表示したり、 特定の期間にタグが登録された脆弱性一覧を表示できます。 image

また、「CVE検知済みのグループにメール送信」チェックをONにすると、オーガニゼーション所属のメンバに対してメール通知が可能です。ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。

2020-4-8リリースにて、以下の機能が実装されました。

  • 判断日を登録可能に
  • 再通知が可能に