CSIRTプラン

CSIRTプラン

CSIRTプランは、複数システムの脆弱性管理に責任を持つセキュリティ部門向けのプランです。 複数のシステムを効率的に管理するための、以下の機能を搭載しています。

  • 複数グループ(システム)を束ねるグループセット機能
  • グループセット単位のシステムを横断した管理機能
  • グループセット内のアプリケーション横断検索機能(資産管理)
  • 事前設定したルールでの自動注意喚起機能
  • 事前設定したルールでの自動非表示機能
  • スペシャル警戒タグ機能

また、エンタープライズ環境向けに以下の管理機能を搭載しています。

  • 監査ログ機能

standardプランからCSIRTプランへの切り替えには別途申し込みが必要です。

利用方法

  • CSIRTプランへの切り替えには、別途問い合わせが必要です。
  • FutureVuls HP からお問い合わせください。
  • CSIRTプラン契約後は、オーナとCSIRT権限をもつユーザのみ、CSIRT画面を利用できます。

CSIRT権限の付与

  • オーガニゼーション オーナの権限をもつユーザでログインする
  • オーガニゼーション設定ページ内の メンバ でCSIRTプランの権限を付与したい人の設定ボタンをクリック オーガニゼーション設定ページ
  • CSIRTを選択する image

CSIRT権限を付与すると、オーガニゼーション内の全てのグループに管理者として追加されます。

複数グループを束ねる、グループセット機能

  • オーガニゼーション オーナまたは、CSIRTの権限をもつユーザでログインする
  • 左上のグループ名をクリックして、グループ一覧と、グループセット一覧を表示する image
  • グループセットをクリックして、CSIRT画面に移行する
  • CSIRT画面では、脆弱性の一覧と、ソフトウェア検索が可能
  • CSIRT画面から設定ボタンをクリックすると、CSIRT設定に遷移する image
  • CSIRT設定画面では、グループセットの一覧、作成や、自動トリアージの設定などが可能 image

グループセット内の脆弱性一覧

  • CSIRT画面ではグループセット内のグループ全ての脆弱性が表示できます。
  • 危険度の高い脆弱性に対しては、トピックを利用して注意喚起をしたり、Dangerフラグを付与したりできます。(トピックはオーガニゼーション単位です)
  • 対応不要の脆弱性は一括で非表示に設定でき、複数グループで同時にトリアージができます。 image

グループセット内のパッケージ名検索

  • CSIRT画面ではグループセット内のグループ全てのソフトウェアを検索できます。
  • ある特定のソフトウェアに対して緊急度の高い脆弱性が発表された時に、グループ横断でソフトウェアを検索し、バージョンや開放しているポートなどを一度に確認できます。 image

Windowsにインストール済みのアプリやKBのグループ横断検索機能

2020/7/17のリリースにて、CSIRT>グループ横断検索Windowsにインストール済みのアプリケーションやKBも検索可能になりました。

例えばネットニュースを見ていて、あるソフトウェアにCVE-ID未割り当て状態の高リスクな脆弱性が公開されていた場合に、どのPCに影響するのかを調査するといったケースで役立つ機能です。FutureVuls画面上からソフトウェア名を横断検索することで、組織内で影響のあるPCを瞬時に把握し、その後の対応を素早く行うことが可能となります。

csirt-hideamru

グループセットの重要な未対応の条件設定

  • グループセットにも各グループ同様に「重要な未対応」の条件が設定でき、CSIRT部署独自の重要度設定が可能です。
  • 「重要な未対応」の条件は、スコアの設定の他にも、警戒情報やCVSS v3の各メトリックを使った条件設定などの柔軟な設定が可能です。 image

自動トリアージ>自動Danger付与機能

「高リスクであるとみなす」ルールを事前に定義、設定できます。このルールに該当する脆弱性を自動でDangerステータスにする機能です。

image

  • 「重要な未対応」の条件同様に、スコアやCVSS v3の各メトリクスを設定できます。
  • 複数のルールを設定できます。どれか1つでも該当すればその脆弱性はDangerと判断され、脆弱性一覧で赤くハイライトされます。
  • 自動Dangerが適用されるルールは以下の通りです。
    • 自動Danger設定後にスキャンを実行した際に適用
    • 自動Dangerは設定後、 スキャンされた脆弱性 に対して適用される(既存の脆弱性も含む)
    • タスクのステータス、非表示に関係なく、該当するCVEはDangerになる

image

  • Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります。
  • 各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内、1つでも該当するメトリクスがあれば適用されます。
  • サーバタグのフィルタは大文字、小文字の区別は行いません。

この機能を用いると、例えば以下のような条件を満たす脆弱性はリスクが高いとみなして自動でDangerにする、といったことが可能となります。

  • 「個人情報」タグがつけられているサーバ
  • ネットワークから攻撃される
  • Red HatのCVSSが9以上
  • JPCERT/CC, US-CERTの注意喚起情報に掲載されている

danger

自動トリアージ>タスク自動非表示

「リスクが低いとみなす」ルールを事前に定義、設定できます。このルールに該当するタスクを自動で非表示にする機能です(検知はされるが、タスクが自動で非表示ステータスになる)。

image

  • 重要フィルタと同様に、スコアやCVSS v3の各メトリックスを設定できます。
  • 複数のルールを設定できます。どれか1つでも該当すればその脆弱性は非表示と判断され、脆弱性一覧で非表示となります。 (フィルタ設定を変更すれば、灰色での表示も可能です)
  • 自動非表示が適用されるルールは以下の通りです。
    • ルール設定後の次回スキャン時に適用される
    • 設定後、 スキャンされたタスク に対して適用される(既存のタスクも含む)
    • タスクのステータスが NEW のタスクに適用される
    • Danger となっている脆弱性のタスクには適用されない

image

  • Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用される
  • CVSSの各メトリクスは、全てのデータソースのCVSSv3のメトリクスの内最大のメトリクスとの比較となる
  • サーバタグのフィルタは大文字、小文字の区別は行いません。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

  • 「社内システム」タグがつけられているサーバ
  • ネットワークから攻撃されない

監査ログ機能

image

オーガニゼーションに所属しているユーザの操作履歴を表示できます。 データの表示は月単位で切り替え可能となっており、左上の月を選択すると過去の操作ログを確認できます。 また、矢印アイコンをクリックすることでCSV形式にてダウンロード可能です。

取得、表示できる項目は以下の通りです。

項目名 説明
ステータス リクエストが成功したか失敗したかを表示(SUCCESS, ERROR)
エラーメッセージ リクエストにエラーが発生した時のエラーメッセージ
グループセット名 グループセット名(グループセットの操作をした場合のみ表示)
グループ名 グループ名(グループの操作をしたときのみ表示)
リクエスト日時 リクエストをした日時
ユーザ名 リクエストしたユーザ名
IPアドレス リクエストしたユーザのIPアドレス
エンドポイント リクエストしたメソッドの名前
パラメータ リクエストしたパラメータの名前

注意点は以下のとおりです。

  • パラメータが長い場合テーブル上で全ての表示ができないため、セルコピーを利用するか、CSVダウンロードして内容を確認してください
  • パスワード等の機密情報はマスキングされて表示されます
  • ログイン、ログアウトはオーガニゼーション外の操作となるため、オーガニゼーションの操作ログとしては残りません

スペシャル警戒タグ機能

脆弱性情報に対して、独自の警戒タグを設定できるようになりました。 自組織で定めるオリジナルな警戒度情報をCVE-IDに紐づけすることで、タグごとの脆弱性管理が可能です。 警戒タグはオーガニゼーション単位で管理されます。

image

スペシャル警戒タグの管理は、オーガニゼーション設定のページから行えます。

特定のタグが着いた脆弱性一覧を表示したり、 特定の期間にタグが登録された脆弱性一覧を表示したりできます。 image

スペシャルタグ登録日時を範囲指定でフィルタする方法

まず、登録日時カラムの日時入力欄の右側にあるアイコンをクリックします。 検索方法を「範囲で指定」に切り替え、「開始日」と「終了日」を入力すれば、指定の範囲内に登録されたタグのみが表示されます。 image ※「終了日」で指定した日に登録されたタグは範囲外になります。