FutureVuls > マニュアル > CSIRTプラン

CSIRTプラン

CSIRTプランは、複数システムの脆弱性管理に責任を持つセキュリティ部門向けのプランです。複数のシステムを効率的に管理するための、以下の機能を搭載しています。

複数グループ（システム）を束ねるグループセット機能
グループセット単位のシステムを横断した管理機能
グループセット内のアプリケーション横断検索機能（資産管理）
事前設定したルールでの自動注意喚起機能
事前設定したルールでの自動非表示機能
スペシャル警戒タグ機能

また、エンタープライズ環境向けに以下の管理機能を搭載しています。

監査ログ機能

standardプランからCSIRTプランへの切り替えには別途申し込みが必要です。

利用方法

CSIRTプランへの切り替えには、別途問い合わせが必要です。
FutureVuls HP からお問い合わせください。
CSIRTプラン契約後は、オーナとCSIRT権限をもつユーザのみ、CSIRT画面を利用できます。

CSIRT権限の付与

オーガニゼーションオーナの権限をもつユーザでログインする
オーガニゼーション設定ページ内の メンバ でCSIRTプランの権限を付与したい人の設定ボタンをクリック
CSIRTを選択する

「CSIRT権限が付与された時点で存在する同一オーガニゼーションの全グループ」に管理者として自動的に追加されます。

なお、それ以降に作成されたグループには自動追加されません。新規作成されたグループに参加したい場合は、オーガニゼーション設定>グループより手動で参加する必要があります。

複数グループを束ねる、グループセット機能

オーガニゼーションオーナまたは、CSIRTの権限をもつユーザでログインする
左上のグループ名をクリックして、グループ一覧と、グループセット一覧を表示する
グループセットをクリックして、CSIRT画面に移行する
CSIRT画面では、脆弱性の一覧と、ソフトウェア検索が可能
CSIRT画面から設定ボタンをクリックすると、CSIRT設定に遷移する
CSIRT設定画面では、グループセットの一覧、作成や、自動トリアージの設定などが可能

グループセット内の脆弱性一覧

CSIRT画面ではグループセット内のグループ全ての脆弱性が表示できます。
危険度の高い脆弱性に対しては、トピックを利用して注意喚起をしたり、Dangerフラグを付与したりできます。(トピックはオーガニゼーション単位です)
対応不要の脆弱性は一括で非表示に設定でき、複数グループで同時にトリアージができます。

グループセット内のパッケージ名検索

CSIRT画面ではグループセット内のグループ全てのソフトウェアを検索できます。
ある特定のソフトウェアに対して緊急度の高い脆弱性が発表された時に、グループ横断でソフトウェアを検索し、バージョンや開放しているポートなどを一度に確認できます。

Windowsにインストール済みのアプリやKBのグループ横断検索機能

2020/7/17のリリースにて、CSIRT>グループ横断検索でWindowsにインストール済みのアプリケーションやKBも検索可能になりました。

例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するといったケースで役立つ機能です。FutureVuls画面上からソフトウェア名を横断検索することで、組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。

csirt-hideamru

グループセットの重要な未対応の条件設定

グループセットにも各グループ同様に「重要な未対応」の条件が設定でき、CSIRT部署独自の重要度設定が可能です。
「重要な未対応」の条件は、スコアの設定の他にも、警戒情報やCVSS v3の各メトリックを使った条件設定などの柔軟な設定が可能です。

自動トリアージ>自動Danger付与機能

「高リスクであるとみなす」ルールを事前に定義、設定できます。このルールに該当する脆弱性を自動でDangerステータスにする機能です。

「重要な未対応」の条件同様に、スコアやCVSS v3の各メトリクスを設定できます。
複数のルールを設定できます。どれか１つでも該当すればその脆弱性はDangerと判断され、脆弱性一覧で赤くハイライトされます。
自動Dangerが適用されるルールは以下の通りです。
- 自動Danger設定後にスキャンを実行した際に適用
- 自動Dangerは設定後、 スキャンされた脆弱性 に対して適用される（既存の脆弱性も含む）
- タスクのステータス、非表示に関係なく、該当するCVEはDangerになる

Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります。
各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内、１つでも該当するメトリクスがあれば適用されます。
サーバタグのフィルタは大文字、小文字の区別は行いません。

この機能を用いると、例えば以下のような条件を満たす脆弱性はリスクが高いとみなして自動でDangerにする、といったことが可能となります。

「個人情報」タグがつけられているサーバ
ネットワークから攻撃される
Red HatのCVSSが9以上
JPCERT/CC, US-CERTの注意喚起情報に掲載されている

danger

自動トリアージ>タスク自動非表示

「リスクが低いとみなす」ルールを事前に定義、設定できます。このルールに該当するタスクを自動で非表示にする機能です（検知はされるが、タスクが自動で非表示ステータスになる）。

ルールはオーガニゼーション単位で設定可能です。（グループセットやグループ単位ではない）

重要フィルタと同様に、スコアやCVSS v3の各メトリックスを設定できます。
複数のルールを設定できます。どれか１つでも該当すればその脆弱性は非表示と判断され、脆弱性一覧で非表示となります。 (フィルタ設定を変更すれば、灰色での表示も可能です)
自動非表示が適用されるルールは以下の通りです。
- ルール設定後の次回スキャン時に適用される
- 設定後、 スキャンされたタスク に対して適用される(既存のタスクも含む)
- タスクのステータスが NEW のタスクに適用される
- Danger となっている脆弱性のタスクには適用されない

Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用される
CVSSの各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内最大のメトリクスとの比較となる
サーバタグのフィルタは大文字、小文字の区別は行いません。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

「社内システム」タグがつけられているサーバ
ネットワークから攻撃されない

監査ログ機能

オーガニゼーションに所属しているユーザの操作履歴を表示できます。データの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。また、矢印アイコンをクリックすることでCSV形式にてダウンロード可能です。

取得、表示できる項目は以下の通りです。

項目名	説明
ステータス	リクエストが成功したか失敗したかを表示(SUCCESS, ERROR)
エラーメッセージ	リクエストにエラーが発生した時のエラーメッセージ
グループセット名	グループセット名(グループセットの操作をした場合のみ表示)
グループ名	グループ名(グループの操作をしたときのみ表示)
リクエスト日時	リクエストをした日時
ユーザ名	リクエストしたユーザ名
IPアドレス	リクエストしたユーザのIPアドレス
エンドポイント	リクエストしたメソッドの名前
パラメータ	リクエストしたパラメータの名前

注意点は以下のとおりです。

パラメータが長い場合テーブル上で全ての表示ができないため、セルコピーを利用するか、CSVダウンロードして内容を確認してください
パスワード等の機密情報はマスキングされて表示されます
ログイン、ログアウトはオーガニゼーション外の操作となるため、オーガニゼーションの操作ログとしては残りません

スペシャル警戒タグ機能

脆弱性情報に対して、独自の警戒タグを設定できるようになりました。自組織で定めるオリジナルな警戒度情報をCVE-IDに紐づけすることで、タグごとの脆弱性管理が可能です。警戒タグはオーガニゼーション単位で管理されます。

スペシャル警戒タグの管理は、オーガニゼーション設定のページから行えます。

特定のタグが着いた脆弱性一覧を表示したり、特定の期間にタグが登録された脆弱性一覧を表示したりできます。

また、登録時に「CVE検知済みのグループにメール送信」チェックをONにすると、オーガニゼーション所属のメンバに対してメール通知が可能です。ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。