コンテンツにスキップ

タスク情報の確認#

ここでは、FutureVuls で検知した脆弱性のチケット管理の手法を見ていきます。 タスクの詳細は「マニュアル」を参照してください。

以下の内容を見ていきます。

  1. タスクを一覧で確認する
  2. タスクの詳細を確認する
  3. 一括でタスクを更新する

実際の運用フローの中でのタスクステータスの管理などについては、以下のチュートリアルを参考にしてください。

複数ユーザの作成

チュートリアル解説用のユーザとして、以下2名のアカウントを作成しています。

検証の際に、1メールアドレスのアカウントで複数ユーザを作成して担当者割り当て等の機能を確認したい場合は、「複数アカウントでの検証」を参考にアカウントを作成してください。 また、FutureVuls 上でのユーザ権限については「ユーザ管理」のマニュアルを参照してください。

  • チュートリアル管理者:グループ管理者権限。CSIRT やセキュリティ部門等、システム全体を管理する人物を想定。
  • チュートリアルメンバ:グループメンバ権限。現場でサーバ担当などをしている人物を想定。

タスクを一覧で確認する#

タスクタブでは、グループ内で検知されたタスクを一覧で確認できます。

タスクタブは、脆弱性への対応状況で分類したサブタブに分かれています。

  • マイタスク
  • 期限切れ
  • 未対応
  • 対応中
  • 保留中
  • 対応済
  • すべて

自分が担当者に割り当たっている未対応のタスクは「マイタスク」タブに表示されます。 パッチ適用などを担う現場担当者の方は、基本的にこの「マイタスク」タブを参照すると良いでしょう。

mytask
「チュートリアルメンバ」ユーザでログインしている場合

タスクの詳細を確認する#

タスク一覧の行をクリックすると、タスク詳細の画面が表示されます。

タスクの詳細情報#

タスク詳細では、どのサーバでどの脆弱性が検知されているかを確認できます。また、タスクステータスや担当者の設定、対応期限などを設定できます。

この脆弱性に関連するソフトウェアの一覧を確認でき、もしパッチが公開されている場合には「アップデートコマンド」のボタンが表示されています。

detail

SSVC優先度の判断ロジック#

また、CSIRT プランを契約している場合、タスクの SSVC Priority がどのように決定されたかも確認できます。 「なぜこの脆弱性にこの優先度で対応しなければならないのか」という判断根拠を確認できます。

以下の画像の場合は

  • 実際の悪用を確認した信頼できる情報がある(KEV情報などが公開されている)→ Exploitation: active
  • インターネットから制限なしにアクセス可能なシステム → Exposure: open
  • 攻撃を自動化できない(BOT 等による攻撃は成立しない) → Automatable: no
  • 期間業務に長期間影響が出る(業務影響度が大きいシステム)→ Human Impact: high

という理由から、この脆弱性は「2週間以内に対応しなければならない程の極めてリスクの大きい脆弱性」(Priority: Immediate)ではないが、比較的早いタイミングで優先的に対応するべき脆弱性」(Priority: out-of-cycle)である、ということを判断できます。

task_ssvc

タスク上でのコミュニケーション#

このタスク上での対応記録も確認・記録でき、チケット上で対応状況を追跡できます。 脆弱性が検知されたタイミングや脆弱性データベースの情報が更新された際に、このコメント欄にシステムによる変更内容が記録されます(画像の灰色のコメント)。 これを非表示にして、ユーザによるやり取りだけを表示するようにもできます。

また、タスクコメントの中では @ユーザ名 といったメンション機能も利用できます。

comment

一括でタスクを更新する#

タスク詳細ではタスク1つずつのステータスの変更ができましたが、この操作を複数のタスクに対して一度に実行できます。 管理者が現場運用者の人に対応指示をする場合に便利な機能です。

脆弱性タブからの更新#

CSIRT のような脆弱性管理の運用担当者の場合、脆弱性タブの「重要な未対応」のタブを確認して対応する脆弱性を決めます。 どの脆弱性から優先的に対応するか、脆弱性一覧を組織のポリシーに沿ってフィルタによる抽出・ソートによる並び替えをしてから、担当者を割り当てます。 「重要フィルタ」の設定機能も利用してください。

対応優先度決めの際のカラムソートについて

FutureVuls では、カラム名をクリックすると、そのカラム内でソートができます。 なお、 <Ctrl> を押しながら別のカラムをクリックすることで、複数のカラムについてソートできます。

また、各カラムでフィルタをかけて、一覧に表示する項目を絞ることもできます(参考:画面の基本的な使い方)。

CSIRT プランの場合、SSVC Priority での優先度付けが可能なので、基本的にこの値を基準に対応優先度付けをすることをおすすめしています。 また、同一の SSVC Priority の中でも更に優先度付けするための補足指標として、警戒情報の有無や EPSSスコア でのソートも行えます。

  1. SSVC最高優先度でフィルタ設定をする
  2. 警戒情報でのソート
  3. EPSS スコアでのソート

スタンダードプランでは、警戒情報が公開されていないか、インターネットから直接攻撃できないか、EPSS スコアが高い脆弱性ではないか、などを指標に対応優先度付けをすることをおすすめしています。

  1. 警戒情報でのソート
  2. CVSS スコアでのソート
  3. EPSS スコアでのソート

対応する脆弱性を抽出したら、脆弱性のチェックボックスをクリックして、「関連するタスクを更新」を押します。 カラム名の部分にあるチェックボックスをクリックすることで、現在表示されている脆弱性すべてを選択することもできます。

ダイアログが表示されるので、タスクの担当者や対応期限を割り当てます。 割り当てるときにコメントの追加もできます。 タスクを割り当てられたユーザにはメール通知が送られ、変更内容やコメント内容などを参照できます。

update_cves_tasks_dialog

タスクタブからの更新#

脆弱性タブからの更新と同様に、タスク一覧からもタスクを一度に割り当てられます。 複数のタスクを選択し、「タスクを編集」を押すことで、同様にタスクの担当者や対応期限などを割り当てられます。

update_tasks_dialog

タスクへの担当者割り当てが完了したら、実際に脆弱性へ対応していく際に便利な情報を見ていきます(→脆弱性への対応)。