脆弱性
脆弱性タブについて
脆弱性タブではグループ内で検知した脆弱性の一覧が表示されます。 対応判断(トリアージ)にてよく参照する項目を抽出し表形式で表示し、ソートやフィルタ機能を用いて高リスクな脆弱性をタスク登録したり、低リスクな脆弱性を非表示にしたりできます。 画面上で複数選択し、選択したタスクを一括で更新できるような画面構成のため、効率的にトリアージ作業が行えます。
脆弱性は手動での登録はできません。 サーバをスキャンして検知された脆弱性のみがFutureVulsで表示されます。
脆弱性一覧
脆弱性一覧では、検知された脆弱性を一覧でみることができます。
一覧の列の順番と、列の表示・非表示設定はカスタマイズできます。
| 項目 | 詳細 | 更新のタイミング |
|---|---|---|
| CVE ID | 検知された脆弱性のCVE ID。 | スキャン時 |
| 深刻度 | 脆弱性の深刻度。CVSS v3の値を元に、 Critical High Low None で表示。 |
DB情報変化時 |
| サマリ | 脆弱性のサマリ。言語設定が ja の場合は、JVNのサマリが優先的に表示される。 |
DB情報変化時 |
| CVSS v2 | CVSSv2のスコアの中で最大のもの。 | DB情報変化時 |
| CVSS v3 | CVSSv3のスコアの中で最大のもの。 | DB情報変化時 |
| NVD | NVD v3のスコアが表示される。 | DB情報変化時 |
| JVN | JVN v3のスコアが表示される。 | DB情報変化時 |
| Red Hat | Red Hat v3のスコアが表示される。 | DB情報変化時 |
| Microsoft | Microsoft v3のスコアが表示される。 | DB情報変化時 |
| アドバイザリID | CVE IDに紐づいているアドバイザリIDが表示される。 (Windowsの場合はKBID) | DB情報変化時 |
| NWから攻撃可能 | CVSSメトリックのうち、AV(Attack Vector)がNetworkであるかどうか。 | DB情報変化時 |
| 権限なしで攻撃可能 | CVSSメトリックのうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか。 | DB情報変化時 |
| 攻撃コードあり | 攻撃コードやPoCが公開されているかどうか。 | DB情報変化時 |
| Danger | 脆弱性にDangerフラグが設定されているか表示。 | Dangerフラグ更新時 |
| プロセス実行中 | 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか。 | スキャン時 |
| 緩和策/回避策 | Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか。 | DB情報変化時 |
| 警戒情報 | CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか。 CISA-KEVに該当する:警戒情報あり(致命的) JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある:警戒情報あり(注意) |
DB情報変化時 |
| パッチ提供 | 関連する脆弱なソフトウェアにパッチが提供されているかどうか。✓:関連するすべてのソフトウェアに有効なパッチが公開されている。☓:関連するすべてのソフトウェアに現時点でパッチが提供されていない。△:関連する複数ソフトウェアのうち、パッチ提供済みと未提供が混在している。❔:関連するソフトウェアのうち、パッチ提供が不明なものが存在する。 | DB情報変化時 |
| OWASP TOP10か | OWASP TOP10に該当する脆弱性かどうか。 | DB情報変化時 |
| 全タスク数 | 脆弱性に紐づくタスクの総数。 | スキャン時 |
| 未対応タスク数 | 脆弱性に紐づいているタスクのうち、スタータスが「NEW」かつ、非表示設定がないものの数。 | スキャン時、タスク更新時 |
| 対応中タスク数 | 脆弱性に紐づいているタスクのうち、スタータスが「INVESTIGATING」「ONGOING」「DEFER」かつ、非表示設定がないものの数。 | スキャン時、タスク更新時 |
| 対応済タスク数 | 脆弱性に紐づいているタスクのうち、スタータスが「NEW」「INVESTIGATING」「ONGOING」「DEFER」でないもの、もしくは非表示設定のものの数。 | スキャン時、タスク更新時 |
| CloudOneステータス | CloudOne連携のステータス。 | スキャン時 |
| 警戒タグ | 脆弱性に登録されているスペシャル警戒タグ。 | 警戒タグ更新時 |
| トピックカウント | 脆弱性に登録されているトピックの数。 | トピック更新時 |
| 初回検知日時 | 該当グループ内でそのCVEが初めて検知された日時。 | スキャン時 |
| 最新検知日時 | 該当グループ内でそのCVEが検知された最新の日付。 | スキャン時 |
| ベクター・スコア更新日時 | CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時。 | スキャン時 |
| トピック最新更新日時 | そのCVEに対するトピックが登録・更新された最新の日次。 | トピック更新時 |
| Immediateな未対応タスク数 | 脆弱性に紐づいているタスクのうち、SSVC PriorityがImmediateかつ、スタータスが「NEW」かつ、非表示設定がないものの数。 | スキャン時 |
| Out of Cycleな未対応タスク数 | 脆弱性に紐づいているタスクのうち、SSVC PriorityがOutOfCycleかつ、スタータスが「NEW」かつ、非表示設定がないものの数。 | スキャン時 |
| SSVC最高優先度 | 脆弱性に紐づいているタスクのSSVC Priorityで優先度がもっとも高いもの | スキャン時 |
| SSVC最新更新日時 | 脆弱性に紐づいているタスクのSSVC Priorityが更新された最新の日付 | スキャン時 |
サブタブ
脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。
- SSVC高優先度
- 関連するタスクのSSVC最高優先度が
ImmediateまたはOutOfCycleである脆弱性 - グループセット(CSIRTプラン)にのみ表示
- 関連するタスクのSSVC最高優先度が
- 重要な未対応
- 未対応なタスクを含む脆弱性のうち、設定した「重要な未対応」の条件に合致するものを表示
- その他の未対応
- 未対応なタスクを含む脆弱性のうち、「重要な未対応」の条件に合致しなかったものを表示
- 対応中
- すべての関連するタスクのステータスが
ONGOINGまたはINVESTIGATINGである脆弱性
- すべての関連するタスクのステータスが
- 保留中
- すべての関連するタスクのステータスが
DEFERである脆弱性
- すべての関連するタスクのステータスが
- 対応済み
- すべての関連するタスクが
非表示に設定された脆弱性 - すべての関連するタスクのステータスが
WORKAROUND・NOT_AFFECTED・RISK_ACCEPTED・PATCH_APPLIEDである脆弱性
- すべての関連するタスクが
- すべて
- 検知されたすべての脆弱性を表示
指定した脆弱性に関連するタスクを非表示
複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを非表示にできます。
指定した脆弱性に関連するタスクを更新
複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを更新できます。
「重要な未対応」の条件
リスクが高いと判断する脆弱性の条件を事前に設定し、条件に該当する脆弱性が新たに検知された際に、「重要な未対応」タブに振り分けることで優先的に対応できるようになります。
「重要な未対応」タブに振り分けられる条件はグループ管理者のみ変更できます。
グループ設定の「重要フィルタ」で変更を行えます。
「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。
重要フィルタ項目
- CVSSスコア
- or条件で判断されます。
- Red HatとMicrosoftはCVSS v2, v3の大きいほうのスコアを採用します。
- CVSS Base Metrics
- and条件で判断されます。
- 各データソースのCVSSv3のメトリクスの内、1つでも該当すれば採用されます。例えば、ネットワークから攻撃可能かのAVが以下であれば、AV:Nとして判断します。
- 公開されている警戒情報の深刻度
- 脆弱性の警戒情報によって「重要な未対応」タブに振り分けるかを選択します。
- 選択肢は以下の3つです。
- CISA-KEVから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
- CISA-KEV, JPCERT/CC-Alerts, US-CERT-Alertsから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
- 未設定(警戒情報の有無に関わらず「重要な未対応」タブに振り分ける)
- 検出方法の信頼度が低い脆弱性
- 検出方法の信頼性が低い脆弱性を「重要な未対応」タブに振り分けるかを選択します。
- SSVC Priority
- or条件で判断されます。
- SSVC Priorityによって、「重要な未対応」タブに振り分けるかを選択します。
また、Danger指定されている脆弱性は強制的に「重要な未対応」となります。
脆弱性第2ペイン
脆弱性一覧の項目をクリックすると、第2ペインが現れます。
詳細タブ
詳細タブでは脆弱性の詳細を確認できます。
脆弱性詳細では、以下の項目が表示されます。
| 項目 | 詳細 |
|---|---|
| サマリ | NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示 |
| CVSS | 各脆弱性DBのベクターを分解したCVSS(v2,v3)のメトリクスを詳細に表示 |
| 攻撃コード | 攻撃コードが見つかった場合、リンクと説明を表示 |
| 警戒情報 | CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsの警戒情報が見つかった場合、リンクを表示 |
| CWE | 脆弱性に関するCWEを表示 |
| ディストリビューションサポートページ | 各ディストリビューションが出している、公式の脆弱性情報ページを表示 |
| Reference | 脆弱性に関するリファレンスを表示 |
CVSSスコアの再計算
CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。
また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。
トピック
FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。
トピックの詳細についてはこちらをご覧ください。
タスク×サーバ
選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。
ソフトウェア
選択した脆弱性が関連するサーバにインストールされているソフトウェアをすべて表示できます。