通知機能#
FutureVuls の通知機能の全体像は以下のとおりです。
flowchart LR
subgraph イベント
A["即時通知<br>(Immediate / マリシャス)"]
B["定期レポート<br>(Daily / Weekly)"]
C["随時通知<br>(タスク更新 / 警戒タグ / エラー / トピック)"]
end
subgraph チャネル
M["メール"]
S["Slack App"]
T["Teams"]
end
A --> M & S & T
B --> M & S & T
C --> M
C -.-> S & T各イベントごとの通知チャネル対応は以下のとおりです。破線(---)はイベントにより対応が異なることを示します。
| イベント | タイミング | メール | Slack App | Teams |
|---|---|---|---|---|
| Immediateタスク検知 | 即時 | ○ | ○ | ○ |
| マリシャスパッケージ検知 | 即時 | ○ | ○ | ○ |
| タスク更新・コメント | 随時 | ○ | — | — |
| スペシャル警戒タグ | 随時 | ○ | ○ | ○ |
| 定期レポート | Daily/Weekly | ○ | ○ | ○ |
| スキャンエラー | 随時 | ○ | ○ | ○ |
| トピック作成 | 随時 | ○ | ○ | ○ |
Immediateタスクの新規検知#
「SSVC Priority が Immediate に変化した既存タスク・または Immediate として作成されたタスク」については、グループのメンバ全員に即時で通知をします。
これは、Daily Report では1日単位での通知であり、それでは緊急な対応を要する脆弱性に対応できないという要望から実装されました。
本メールを受信した際には、速やかにそのタスクへの対応を検討してください。
この通知は重要なものであり、かつ見逃さないようにする必要があることから、設定をOFFにはできません。 一方で、グループ設定から通知範囲の絞り込みはできます。詳細はこちらをご参照ください。
レポート内容#
- SSVC Priority が
Immediateなタスクのリンク - 検知したサーバ名
- 関連するパッケージ
- SSVC Decision Point
マリシャスパッケージの即時通知#
マリシャスパッケージ(悪意のあるパッケージ)が検知された際、SSVC Immediate タスクと同等の緊急度で即時通知を送信します。 悪意のあるパッケージの混入は、情報漏洩やシステム侵害に直結する重大なリスクであるため、検知後速やかに対応を開始できるよう即時通知します。
この通知は Immediate タスク通知と同様に、設定を OFF にはできません。 一方で、グループ設定から通知範囲の絞り込みが可能です。以下のいずれかを選択できます。
- グループ全員: グループに所属するユーザ全員に通知
- サプライチェーンリスクの主担当者: 該当サプライチェーンリスクの主担当者のみに通知
レポート内容#
- マリシャスパッケージ ID 及び OSV へのリンク
- 検知したサーバ名
- 関連するパッケージ
- サプライチェーンリスクのリンク
Daily/Weekly Reportメール#
グループ単位のレポートをメールで送信します。
「プロフィール設定」画面にて配信の停止や再開を変更出来ます。「プロフィール設定」画面には、右上の人アイコンや Report メールの下部に記載の「配信停止する場合はこちら」から遷移できます。
| タイプ | タイミング | 対象者 |
|---|---|---|
| Daily | 毎朝 | グループに所属する全員 |
| Weekly | 毎週月曜朝 | グループに所属する全員 |
レポート内容#
対応期限を超過したタスク#
タスクに設定した対応期限を超過したタスクが存在する場合、レポートします。
対応予定日を超過したタスク#
タスクに設定した対応予定日を超過したタスクが存在する場合、レポートします。
スペシャル警戒タグで設定した脆弱性#
24時間以内にスペシャル警戒タグで指定した脆弱性が検知された場合、レポートします。 同名のスペシャル警戒タグ1つにつき、最大10件レポートします。
24時間以内に新規登録された脆弱性#
Daily Report では、「メール送信時刻から24時間以内に新規登録されたタスクの脆弱性」のうち、以下の軸で集計した件数をレポートします。
- 重要な未対応に該当する脆弱性の件数
- その他の未対応に該当する脆弱性の件数
- サーバごとの脆弱性の件数
カウント対象は、「新規登録されたタスク」です。 「はじめて検知された脆弱性」ではないことに注意してください。
たとえば以下のケースはカウントされます。
CVE-2021-0001が、過去にあるサーバで検知されている。
同じグループの他のサーバにスキャナを新規インストールしてスキャン実施。CVE-2021-0001が検知された(タスクとしては新規登録)。
つぎの日のDaily ReportにはCVE-2021-0001がカウントされる
Weekly Report では、「メール送信時刻から1週間以内に新規登録された、Daily Report 内の脆弱性の累積」をレポートします。
サーバごとの検知された脆弱性の深刻度#
DailyReport メール記載の、「サーバごとの検知された脆弱性の深刻度」の集計ルールは下記のとおりです。
NVD/JVN/Red Hat/MicrosoftのCVSS v2/CVSS v3のスコアの中で一番高いスコア(max)を選択-
max 値を以下のルールで集計
条件 深刻 9.0 <= max CRITICAL 7.0 <= max < 9.0 HIGH 4 <= max < 7.0 MEDIUM 0.1 < max < 4 LOW 0 == max NONE
その他#
なお、24時間以内に新規登録されたタスクが0件、かつ対応期限を超過したタスクが0件のグループには Daily Report は送信されません。
また、Report 通知のタイミングで、タスクステータスが new でなくなっているものは、
新規登録されたタスクのカウント対象外です。
Slack・Teams通知#
Slack・Teams をグループに紐付けることで、以下のタイミングで通知を受け取ることが可能です。
- Daily Report / Weekly Report 通知時
- グループトピック / オーガニゼーショントピックの作成時
- スキャンエラーの発生時
- グループの重要フィルタ変更時
- SSVC Priority が
Immediateなタスク検知時 - 下記トリアージ設定の変更時
- 自動脆弱性優先度の更新
- タスク優先度ルールセットの更新
- 自動非表示設定の更新
- スペシャル警戒タグ(新規追加時にも通知)
各種アプリの通知設定方法の詳細は下記をご参照ください。
Daily Report Slack通知#
Slack webhook 連携は廃止される予定です。 Slack APP連携をお使いください。
Daily Report は Webhook での Slack への通知も可能です。 設定方法は外部連携 slack 通知設定を参照してください。
なお、対象件数が0件のグループには Daily Report は送信されません。
メール通知#
「通知用メールアドレス」については こちら で紹介しています。
| タイミング | 対象者 | 通知用メールアドレスに転送可能 |
|---|---|---|
| タスク(一括/単体)更新 | 主担当者、副担当(cc: 実行者) | ⚪︎ |
| タスク(一括/単体)非表示 | 主担当者、副担当(cc: 実行者) | ⚪︎ |
| タスクコメント登録 | 主担当者、副担当、メンションされたユーザ(cc: 実行者) ※一括操作時は通知が1通に集約されます |
⚪︎ |
| 一括更新エラー | 実行者 | ー |
| Immediateなタスク検知 | グループ全員(閲覧権限ユーザは除く) または 関連するタスクの担当者 | ⚪︎ |
| Daily/Weekly Report | グループ全員(閲覧権限ユーザは除く) | ⚪︎ |
| オーガニゼーショントピック投稿時 | 指定したCVEが検知されているグループ全員(閲覧権限ユーザは除く) | ー |
| グループトピック投稿時 | グループ全員(閲覧権限ユーザは除く) | ー |
| スペシャル警戒タグ | 指定したCVEが検知されているグループの全員(閲覧権限ユーザは除く) | ー |
| ユーザ追加 | 追加されるユーザ | ー |
| ユーザ退会 | 退会するユーザ | ー |
| オーガニゼーションから退会 | 退会するユーザ | ー |
| オーガニゼーション削除 | オーガニゼーション全員 | ー |
| クレジットカード登録時 | 登録したユーザ | ー |
| スキャナ認証エラー | グループ全員(閲覧権限ユーザは除く) | ー |
| スキャン通知 | 関連するタスクの担当者 | ー |
| スキャン時のエラー | グループ全員(閲覧権限ユーザは除く) | ー |
| マリシャスパッケージ検知 | グループ全員(閲覧権限ユーザは除く) または サプライチェーンリスクの主担当者 | ⚪︎ |
| EOL検知 | 主担当者 | ⚪︎ |
| サプライチェーンリスク(一括/単体)更新 | 主担当者(cc: 実行者) | ⚪︎ |
| サプライチェーンリスクコメント登録 | 主担当者、メンションされたユーザ(cc: 実行者) ※一括操作時は通知が1通に集約されます |
⚪︎ |
| 月次グループEOL通知 | グループ管理者、グループメンバ(閲覧権限ユーザは除く) | ⚪︎ |
| 月次グループセットEOL通知 | オーガニゼーションオーナー、CSIRT、グループセット管理者、グループセットメンバ(閲覧権限ユーザは除く) | ⚪︎ |
| CloudOneエラー | グループ全員(閲覧権限ユーザは除く) | ー |
| グループセット重要フィルター更新 | グループセット全員(閲覧権限ユーザは除く) | ー |
| グループ重要フィルター更新 | グループ全員(閲覧権限ユーザは除く) | ー |
| 自動脆弱性優先度設定 | オーガニゼーション全員 | ー |
| 自動タスク優先度設定 | オーガニゼーション全員 | ー |
| 自動非表示設定 | オーガニゼーション全員 | ー |
| SSVCオーガニゼーショントリガー更新 | オーガニゼーション全員 | ー |
| SSVCグループトリガー更新 | グループ全員(閲覧権限ユーザは除く) | ー |
| SSVCオーガニゼーションDecisionテーブル更新 | オーガニゼーション全員 | ー |
| SSVCグループDecisionテーブル更新 | グループ全員(閲覧権限ユーザは除く) | ー |
| SSVCグループDecisionPoint更新 | グループ全員(閲覧権限ユーザは除く) | ー |
| PSIRTチームへのプライベートCVE登録 | PSIRTチーム全員 | ー |
| PSIRTレスポンスコメント登録 | 主担当者、副担当、メンションされたユーザ(cc: 実行者) | ー |
| PSIRTレスポンス更新 | 主担当者(cc: 実行者) | ー |
| プライベートCVEの更新 | 指定したCVEが関連しているPSIRTチーム全員 | ー |
| オーガニゼーションの有償化 | 請求先メールアドレス(cc: 実行者) | ー |
通知宛先の設定
全体へのメール通知は基本的に BCC を使って送信されます。
デフォルト担当者#
サーバ > デフォルト担当者 を設定すると、そのサーバにタスクが新規登録されたタイミングでメール通知されます。
通知用メールアドレス#
グループ設定 > 通知 > 通知用メールアドレス にメールアドレスを追加することで、FutureVuls のユーザとして登録していないメールアドレスに対して通知を転送できます。
チーム全体に共有をしたい場合などに、メーリングリストなどを登録する形でご利用ください。
現在、以下の通知機能に対応しております。 転送する通知を選択できるので、共有が必要な機能のみを選択する形でご利用ください。
- Immediateなタスクの即時通知
- サプライチェーンリスク更新通知
- Daily Report / Weekly Report
- Monthly EOL Report
- タスク更新通知
サプライチェーンリスク通知#
サプライチェーンリスク(EOL、マリシャスパッケージ)に関する通知を、月次レポート(Monthly EOL Report)および随時通知としてメールで受け取ることができます。
通知方法#
現時点では、サプライチェーンリスク通知はメール通知のみに対応しています。Slack・Teams 通知には対応していません。
月次 EOL 通知(Monthly EOL Report)は、「プロフィール設定」画面の「マンスリーレポートメールの配信」にて配信の停止や再開を変更できます。「プロフィール設定」画面には、右上の人アイコンから遷移できます。
通知種別#
| 通知種別 | 通知頻度 | 通知対象 |
|---|---|---|
| 月次グループEOL通知 | 月次(毎月1回) | グループ管理者、グループメンバ(閲覧権限ユーザは除く) |
| 月次グループセットEOL通知 | 月次(毎月1回) | オーガニゼーションオーナー、CSIRT、グループセット管理者、グループセットメンバ(閲覧権限ユーザは除く) |
| EOL 検知時の通知 | 随時(EOL新規検知時) | 主担当者 |
| マリシャスパッケージ検知時の通知 | 随時(マリシャスパッケージ検知時) | グループ全員(閲覧権限ユーザは除く) または サプライチェーンリスクの主担当者 |
| 更新時の通知 | 随時(サプライチェーンリスク更新時) | 主担当者(cc: 実行者) |
月次グループEOL通知#
グループ管理者およびグループメンバに対して、毎月1回、EOL 対応状況のレポートを送信します(閲覧権限ユーザには送信されません)。
先月のEOL概要#
以下の情報がレポートされます:
- 新規EOL一覧: 初回検知日時が直近1か月以内の EOL
- 更新のあったサプライチェーンリスク一覧: 更新日時が直近1か月以内のサプライチェーンリスク
各項目の数値をクリックすると、該当条件でフィルタリングされたサプライチェーンリスク一覧画面へ遷移します。
グループ内EOL対応進捗#
自グループの EOL 対応状況の全体像を確認できます。オーガニゼーション単位で「〇日以内」のパラメータを最大3つまで設定可能です(デフォルトは365日)。
このレポートでは、以下のステータス定義に基づいて進捗を集計しています。
- 未完了ステータス:
NEW,INVESTIGATING,ONGOING- 対応が完了していないサプライチェーンリスク - 完了ステータス:
NOT_AFFECTED,WORKAROUND,RISK_ACCEPTED,CLOSED- 対応が完了したサプライチェーンリスク
| 項目 | 内容 |
|---|---|
| 対応進捗率 | 完了ステータスのサプライチェーンリスク割合 |
| 総件数 | EOL日が指定期間内の全サプライチェーンリスク |
| 対応期限切れ | 対応期限を過ぎた未完了サプライチェーンリスク |
| 対応期限未設定 | 対応期限が未設定の未完了サプライチェーンリスク |
| 対応予定日超過 | 対応予定日を過ぎた未完了サプライチェーンリスク |
| 対応予定日未設定 | 対応予定日が未設定の未完了サプライチェーンリスク |
| 高リスク(未対応) | Human Impact=High または Human Impact=Very High、かつ Exposure=Open、かつ Status=NEW のサプライチェーンリスク |
| {パラメータ}日以内(未完了) | EOL日が指定期間内の未完了サプライチェーンリスク(パラメータ設定可能) |
各数値はクリック可能で、該当条件でフィルタリングされたサプライチェーンリスク一覧画面へ遷移します。
ソフトウェア別EOL対応進捗#
endoflife.date に掲載されているソフトウェアおよび OS の EOL 対応状況を確認できます。EOL 日が近い順にソート表示されます。
| 項目 | 内容 |
|---|---|
| ソフトウェア | ソフトウェア名とバージョン |
| EOL | EOL日 |
| NEW | 新規検知リスク件数 |
| INVESTIGATING | 調査中リスク件数 |
| ONGOING | 対応中リスク件数 |
| 対応済み | 完了済みリスク件数 |
月次グループセットEOL通知#
オーガニゼーションオーナー、CSIRT、グループセット管理者、グループセットメンバに対して、毎月1回、配下の各グループの EOL 対応状況を横断的にレポートします(閲覧権限ユーザには送信されません)。
先月のEOL概要#
グループ通知と同様の情報がレポートされます。リンク先はグループセットのサプライチェーンリスク一覧画面となります。
グループセット内EOL対応進捗#
セキュリティ担当者向けに、グループセットの各グループの EOL 対応状況概要を把握できます。対応進捗率の降順でソートされます。
レポートに含まれる項目は、グループ内EOL対応進捗と同じです。 グループ単位での集計結果が表示されます。
グループ名や各数値をクリックすると、該当グループのサプライチェーンリスク一覧画面へ遷移します。
ソフトウェア別EOL対応進捗#
グループセット横断で endoflife.date 掲載ソフトウェアおよび OS の EOL 状況を確認できます。
新規検知時の通知#
新規のサプライチェーンリスク(EOL)検知時は、サーバの「デフォルト担当者」へ即時通知されます。 サーバにデフォルト担当者が設定されている場合、リスク作成時にそのユーザが担当者として自動設定され、通知が送信されます。設定がない場合は通知されません。 なお、1回のスキャンで複数のリスクが検知された場合は、1通のメールにまとめて通知されます。
更新時の通知#
サプライチェーンリスクが更新された際に、主担当者へ通知されます(cc: 更新したユーザ)。 更新者名、変更内容、サプライチェーンリスク詳細へのリンクなどが記載されます。