トリアージ設定

CSIRT Planでは、脆弱性優先度やタスクのステータスを自動設定できるトリアージの機能を提供しています。

SSVCを用いた高度な自動トリアージ

FutureVulsのSSVCを用いた脆弱性管理の運用の概要は「チュートリアル>自動トリアージ」を参照してください。 また、SSVCについての詳細は「マニュアル>SSVC」を参照してください。

SSVCを用いた自動トリアージ機能では、「スキャン時に導出されたSSVC Priorityが前回と異なる場合に実行するアクション」を設定できます。 たとえば、SSVC Priorityが新たに immediate, out of cycle の優先度が高いPriorityと判定された場合はタスクステータスを自動でnewに戻すことができます。newのタスクは脆弱性一覧・タスク一覧上のサブメニュー上で「未対応」ステータスに振り分けられますので、再度トリアージが必要なタスクであると認識出来ます。

scheduled, defer といった優先度が低いと判断されたタスクに対しては、自動でタスクステータスを deferrisk_accepted に設定可能です。

また、タスク優先度やタスク対応期限も設定可能です。

詳細な設定方法は「SSVC設定方法」を参照してください。

スペシャル警戒タグ

指定した脆弱性情報に対して、優先度を強制的に設定できます。警戒タグはオーガニゼーション単位で管理されます。

脆弱性に優先度が設定されていた場合にも、スペシャル警戒タグが追加された時点で優先度が上書きされ、手動での更新や自動脆弱性優先度による脆弱性の優先度変更ができなくなります。

スペシャル警戒タグの管理は、「オーガニゼーション設定」>「スペシャル警戒タグ」から行います。 image

「警戒タグ登録」ボタンからスペシャル警戒タグを登録できます。 image

「CVE検知済みのグループにメール送信」チェックをONにすると、オーガニゼーション所属のメンバに対してメール通知が可能です。ノイズ削減のため対象の脆弱性を検知していないグループのメンバにはメール通知されません。

「再通知」ボタンから、メール通知を再度行えます。 image

自動脆弱性優先度

事前に定義したルールをもとに脆弱性の優先度を自動で変更する機能です。

  • 「重要な未対応」の条件同様に、スコアやCVSS v3の各メトリクスを設定できます。
  • 自動脆弱性優先度を設定後にスキャンを実行したタイミングで適用します。
  • 自動脆弱性優先度は設定後、 スキャンされた脆弱性 に対して適用されます。(既存の脆弱性も含む)
  • Redhat, Microsoftのスコアはv2, v3のうち、大きいものが判断の基準となります。
  • 各メトリクスは、すべてのデータソースのCVSSv3のメトリクスの内、1つでも該当するメトリクスがあれば適用されます。
  • サーバタグのフィルタは大文字、小文字の区別は行いません。

例えば以下のような条件を満たす脆弱性は、リスクが高いとみなして自動で優先度を HIGH にする、といったことが可能です。

  • 「個人情報」タグがつけられているサーバ
  • ネットワークから攻撃される
  • Red HatのCVSSが9以上
  • JPCERT/CC, US-CERTの注意喚起情報に掲載されている

自動非表示設定

事前に定義したルールをもとに自動でタスクを非表示にする機能です。脆弱性を検知した際にタスクが作成されますが、自動で非表示ステータスとなり「タスク>未対応」などに表示されなくなります。

  • 重要フィルタと同様に、スコアやCVSS v3の各メトリクスを設定できます。
  • 複数のルールを設定できます。どれか1つでも該当すればタスクが非表示になります。 (フィルタ設定を変更すれば、灰色での表示も可能です)
  • 自動非表示を設定後にスキャンを実行したタイミングで適用します。
  • 設定後、 スキャンされたタスク に対して適用されます。(既存のタスクも含む)
  • タスクのステータスが NEW のタスクに適用されます。
  • Red Hat, Microsoftのスコアはv2, v3のうち、大きいものが採用される
  • CVSSの各メトリクスは、すべてのデータソースのCVSSv3のメトリクスの内最大のメトリクスとの比較となる
  • サーバタグのフィルタは大文字、小文字の区別は行いません。
  • 優先度 HIGH のタスクには適用されません。

例えば以下のような条件を満たす脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。

  • 「社内システム」タグがつけられているサーバ
  • ネットワークから攻撃されない

間違えて自動非表示をした場合には、「タスク>すべて」の「非表示の解除」から非表示を解除してください。非表示フラグ 列や タスク更新日時 列にてフィルタやソートを行い、全選択するとスムーズです。

タスク優先度ルールセット

事前にルールセットを定義しロールに紐づけることで、該当するタスクの優先度を自動で変更する機能です。

今の現状ではSSVCの決定木では「immediate」に該当しないが、念のためCVSSスコア「10」のものはタスクの優先度を HIGH にしておく、といったようにSSVCを補完する形でも利用できます。

  • スコアやCVSS v3の各メトリクスを設定できます。
  • Task優先度ルールセットを設定後にスキャンを実行したタイミングで適用します。
  • 各メトリクスは、すべてのデータソースのCVSSv3のメトリクスの内、1つでも該当するメトリクスがあれば適用されます。

例えば以下のような条件を満たす脆弱性のタスクは、リスクが高いとみなして自動で優先度を HIGH にする、といったことが可能です。

  • ネットワークから攻撃される
  • 権限なしで攻撃される
  • Red HatのCVSSが9以上

「オーガニゼーション設定」>「Task優先度ルールセット」にてルールセットを作成したのち、各グループのロール詳細にてロールにTask優先度ルールセットを紐づけます。ルールセットに該当した各タスクのタスク優先度を更新します。