トリアージ設定

CSIRTプランでは、脆弱性の対応優先度やタスクのステータスを自動設定する「トリアージ機能」を提供しています。

SSVCを用いた高度な自動トリアージ

FutureVulsのSSVCを用いた脆弱性管理の運用の概要は「チュートリアル>自動トリアージ」を参照してください。 また、SSVCについての詳細は「マニュアル>SSVC」を参照してください。

SSVCを用いた自動トリアージ機能では、「スキャン時に導出されたSSVC Priorityが前回と異なる場合に実行するアクション」を設定できます。
たとえば、SSVC Priorityが新たに immediate, out of cycle の優先度が高いPriorityと判定された場合は、タスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。

scheduled, defer といった優先度が低いと判断されたタスクに対しては、自動でタスクステータスを deferrisk_accepted に設定可能です。

また、タスク優先度やタスク対応期限も設定可能です。

詳細な設定方法は「SSVC設定方法」を参照してください。

スペシャル警戒タグ

指定した脆弱性情報に対して、優先度を強制的に設定できます。警戒タグはオーガニゼーション単位で管理されます。

脆弱性に優先度が設定されていた場合にも、スペシャル警戒タグが追加された時点で優先度が上書きされ、手動での更新や自動脆弱性優先度による脆弱性の優先度変更ができなくなります。

スペシャル警戒タグの管理は、「オーガニゼーション設定」>「スペシャル警戒タグ」から行います。 image

「警戒タグ登録」ボタンからスペシャル警戒タグを登録できます。 image

「CVE検知済みのグループにメール送信」チェックをONにすると、オーガニゼーション所属のメンバに対してメール通知が可能です。ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。

「再通知」ボタンから、メール通知を再度行えます。 image

自動脆弱性優先度

事前に定義したルールをもとに脆弱性の優先度を自動で変更する機能です。

  • 「重要な未対応」の条件同様に、スコアやCVSS v3の基本評価基準を詳細に設定できます
  • 自動脆弱性優先度を設定後にスキャンを実行したタイミングで適用します
  • 自動脆弱性優先度は設定後、 スキャンされた脆弱性 に対して適用されます(既存の脆弱性も含む)
  • Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります
  • NVDやOVAL等のFutureVulsで利用する各種データソースのCVSSv3の基本評価基準の各項目のうち、1つでも該当するものがあればその項目にマッチします
  • サーバタグのフィルタは大文字、小文字の区別は行いません
  • 検出方法の信頼性が低い脆弱性は「特にCPEのバージョン情報なしで検出した脆弱性」を評価の対象外にするフィルターです。
  • WindowsRoughMatchは「Windows、特にEdgeで検出された脆弱性のうち、修正するKBや修正ビルドが不明なもの」を評価の対象外にするフィルターです。

例えば以下のような条件を満たす脆弱性は、リスクが高いとみなして自動で優先度を HIGH にする、といったことが可能です。

  • 「個人情報」タグがつけられているサーバかつ
  • ネットワークから攻撃されるかつ
  • Red HatのCVSSが9以上かつ
  • JPCERT/CC、またはUS-CERTの注意喚起情報に掲載されている

自動非表示設定

事前に定義したルールをもとに自動でタスクを非表示にする機能です。脆弱性を検知した際にタスクが作成されますが、自動で非表示ステータスとなり「タスク>未対応」などに表示されなくなります。

  • 重要フィルタと同様に、スコアやCVSS v3の基本評価基準を設定できます
  • 複数のルールを設定できます。どれか1つでも該当すればタスクが非表示になります(フィルタ設定を変更すれば、灰色での表示も可能です)
  • 自動非表示を設定後にスキャンを実行したタイミングで適用します
  • 設定後、 スキャンされたタスク に対して適用されます(既存のタスクも含む)
  • タスクのステータスが NEW のタスクに適用されます
  • Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用されます
  • CVSSの基本評価基準の各項目は、NVDやOVAL等のFutureVulsで利用するすべてのデータソースのCVSSv3の各項目の内最大の項目との比較となります
  • サーバタグのフィルタは大文字、小文字の区別は行いません
  • 優先度 HIGH のタスクには適用されません
  • 検出方法の信頼性が低い脆弱性は「特にCPEのバージョン情報なしで検出した脆弱性」を評価の対象外にするフィルターです。
  • WindowsRoughMatchは「Windows、特にEdgeで検出された脆弱性のうち、修正するKBや修正ビルドが不明なもの」を評価の対象外にするフィルターです。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

  • 「社内システム」タグがつけられているサーバ
  • ネットワークから攻撃されない

間違えて自動非表示をした場合には、「タスク>すべて」の「非表示の解除」から非表示を解除してください。非表示フラグ 列や タスク更新日時 列にてフィルタやソートを行い、全選択するとスムーズです。

タスク優先度ルールセット

事前にルールセットを定義しロールに紐づけることで、該当するタスクの優先度を自動で変更する機能です。

今の現状ではSSVCの決定木では immediate に該当しないが、念のためCVSSスコア「10」のものはタスクの優先度を HIGH にしておく、といったようにSSVCを補完する形でも利用できます。

  • スコアやCVSS v3の基本評価基準を設定できます
  • Task優先度ルールセットを設定後にスキャンを実行したタイミングで適用します
  • CVSS v3の基本評価基準は、NVDやOVAL等のFutureVulsで利用するすべてのデータソースの基本評価基準の各項目の内、1つでも該当する項 目があれば適用されます
  • 検出方法の信頼性が低い脆弱性は「特にCPEのバージョン情報なしで検出した脆弱性」を評価の対象外にするフィルターです。
  • WindowsRoughMatchは「Windows、特にEdgeで検出された脆弱性のうち、修正するKBや修正ビルドが不明なもの」を評価の対象外にするフィルターです。

例えば以下のような条件を満たす脆弱性のタスクは、リスクが高いとみなして自動で優先度を HIGH にする、といったことが可能です。

  • ネットワークから攻撃されるかつ
  • 権限なしで攻撃されるかつ
  • Red HatのCVSSが9以上

「オーガニゼーション設定」>「Task優先度ルールセット」にてルールセットを作成したのち、各グループのロール詳細にてロールにTask優先度ルールセットを紐づけます。ルールセットに該当した各タスクのタスク優先度を更新します。