FutureVuls > マニュアル > CSIRTプラン > 自動トリアージ

自動トリアージ

CSIRT Planでは

決定木ベース
ルールベース

で検知したタスクのステータスを自動設定できる自動トリアージ機能として下記の３つを提供しています。３つを組み合わせ、補完する形での利用をおすすめします。

SSVCを用いた決定木ベースの高度な自動トリアージ
ルールベースの自動Danger付与
ルールベースのタスク自動非表示

SSVCを用いた高度な自動トリアージ

SSVCを用いた自動トリアージには下記の利点があります。

高度なセキュリティ知識がなくても対応を自動判断できます
下記の４つの変数を用いて「実際のリスクを考慮した賢い自動判断」を実現できます
- システムのインターネット露出度
- システムの業務影響
- 検知した脆弱性は実際の攻撃に用いられているか
- 攻撃者目線の脆弱性利用価値
SSVCの決定木が導出した４段階の優先度をトリガーにして、タスクのステータス、優先度、期日を自動設定できるので脆弱性管理の運用をさらに自動化・省力化します。
決定木ベースなので対応優先度の判断根拠を明確化できます。
設定は簡単で、システムごとのNW環境と業務影響の２つを設定すれば動きます。

SSVCについての詳細はマニュアル>SSVCを参照してください。

SSVCを用いた自動トリアージ機能では、「スキャン時に導出されたSSVC Priorityが前回と異なる場合に実行するアクション」を設定できます。たとえば、SSVC Priorityが新たにimmediate, out of cycleの優先度が高いPriorityと判定された場合はタスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。

scheduled, deferといった優先度が低いと判断されたタスクに対しては、自動でタスクステータスをdeferやrisk_acceptedに設定可能です。

また、タスク優先度やタスク対応期限も設定可能です。

詳細な設定方法はSSVC設定方法を参照してください。

自動Danger付与

「高リスクであるとみなす」ルールを事前に定義、設定できます。このルールに該当する脆弱性を自動でDangerステータスにする機能です。

今の現状ではSSVCの決定木では「immediate」に該当しないが、念のためCVSSスコア「10」のものはDangerにしておく、といったようにSSVCを補完する形でも利用できます。

「重要な未対応」の条件同様に、スコアやCVSS v3の各メトリクスを設定できます。
複数のルールを設定できます。どれか１つでも該当すればその脆弱性はDangerと判断され、脆弱性一覧で赤くハイライトされます。
自動Dangerが適用されるルールは以下の通りです。
- 自動Danger設定後にスキャンを実行した際に適用
- 自動Dangerは設定後、 スキャンされた脆弱性 に対して適用される（既存の脆弱性も含む）
- タスクのステータス、非表示に関係なく、該当するCVEはDangerになる

Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります。
各メトリクスは、すべてのデータソースのCVSSv3のメトリクスの内、１つでも該当するメトリクスがあれば適用されます。
サーバタグのフィルタは大文字、小文字の区別は行いません。

この機能を用いると、例えば以下のような条件を満たす脆弱性はリスクが高いとみなして自動でDangerにする、といったことが可能となります。

「個人情報」タグがつけられているサーバ
ネットワークから攻撃される
Red HatのCVSSが9以上
JPCERT/CC, US-CERTの注意喚起情報に掲載されている

danger

自動Dangerの一括解除

自動Danger機能で設定されたDangerを一括で解除できます。初期設定時に間違えて大量のDangerがついてしまった場合にご利用ください。

本操作は取り消し不可能なのでご注意ください。
トピック投稿時に付与されたDangerは、解除対象外です。

タスク自動非表示

「リスクが低いとみなす」ルールを事前に定義、設定できます。このルールに該当するタスクを自動で非表示にする機能です（検知はされるが、タスクが自動で非表示ステータスになる）。

ルールはオーガニゼーション単位で設定可能です。（グループセットやグループ単位ではない）

重要フィルタと同様に、スコアやCVSS v3の各メトリクスを設定できます。
複数のルールを設定できます。どれか１つでも該当すればその脆弱性は非表示と判断され、脆弱性一覧で非表示となります。 (フィルタ設定を変更すれば、灰色での表示も可能です)
自動非表示が適用されるルールは以下の通りです。
- ルール設定後の次回スキャン時に適用される
- 設定後、 スキャンされたタスク に対して適用される(既存のタスクも含む)
- タスクのステータスが NEW のタスクに適用される
- Danger となっている脆弱性のタスクには適用されない

Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用される
CVSSの各メトリクスは、すべてのデータソースのCVSSv3のメトリクスの内最大のメトリクスとの比較となる
サーバタグのフィルタは大文字、小文字の区別は行いません。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

「社内システム」タグがつけられているサーバ
ネットワークから攻撃されない

間違えて自動非表示をした場合に自動dangerの一括解除のような一括で解除する専用のボタンはありません。以下の操作で非表示を解除してください。

「タスク＞すべて」を選択。非表示フラグ列をフィルタ。更新日時列でソート、フィルタなどして「非表示の解除」ボタンより非表示を解除