CSIRT Planでは
で検知したタスクのステータスを自動設定できる自動トリアージ機能として下記の3つを提供しています。3つを組み合わせ、補完する形での利用をおすすめします。
FutureVulsのSSVCを用いた脆弱性管理の運用の概要はチュートリアル>自動トリアージを参照してください。 また、SSVCについての詳細はマニュアル>SSVCを参照してください。
SSVCを用いた自動トリアージ機能では、「スキャン時に導出されたSSVC Priorityが前回と異なる場合に実行するアクション」を設定できます。
たとえば、SSVC Priorityが新たに immediate
, out of cycle
の優先度が高いPriorityと判定された場合はタスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。
scheduled
, defer
といった優先度が低いと判断されたタスクに対しては、自動でタスクステータスを defer
や risk_accepted
に設定可能です。
また、タスク優先度やタスク対応期限も設定可能です。
詳細な設定方法はSSVC設定方法を参照してください。
「高リスクであるとみなす」ルールを事前に定義、設定できます。このルールに該当する脆弱性を自動でDangerステータスにする機能です。
今の現状ではSSVCの決定木では「immediate」に該当しないが、念のためCVSSスコア「10」のものはDangerにしておく、といったようにSSVCを補完する形でも利用できます。
この機能を用いると、例えば以下のような条件を満たす脆弱性はリスクが高いとみなして自動でDangerにする、といったことが可能となります。
自動Danger機能で設定されたDangerを一括で解除できます。初期設定時に間違えて大量のDangerがついてしまった場合にご利用ください。
「リスクが低いとみなす」ルールを事前に定義、設定できます。このルールに該当するタスクを自動で非表示にする機能です(検知はされるが、タスクが自動で非表示ステータスになる)。
ルールはオーガニゼーション単位で設定可能です。(グループセットやグループ単位ではない)
NEW
のタスクに適用されるDanger
となっている脆弱性のタスクには適用されない例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。
間違えて自動非表示をした場合に 自動dangerの一括解除 のような一括で解除する専用のボタンはありません。以下の操作で非表示を解除してください。