スタンダードプランのトリアージの操作
本ページはスタンダードプランのトリアージ方法について記載しています。 CSIRTプランでは高度な自動トリアージ機能が使えます。
受容できる脆弱性を非表示、受容できない脆弱性について優先順位を付けます。
- 受容できる脆弱性を、非表示、とする
- 受容できない脆弱性について、優先的に確認する
組織により受容内容は異なるため、一例として比較的ゆるいトリアージ方法を記載します。
- 受容する状況
- 攻撃元区分が、ネットワーク以外
- パッチが提供されていないもの
- 攻撃に権限が必要なもの
画面操作
受容できる脆弱性を非表示にする
攻撃元区分が「ネットワーク」以外のものを、非表示にします。
このセクションでは、画面操作方法の説明のために攻撃元区分が「ネットワーク以外」のものを非表示にしていますが、攻撃元区分が「ネットワーク以外」の脆弱性は全てリスクが低いわけではありません。
- “脆弱性"の"NWから攻撃可能"項目を、「☓」でフィルタします。
- 左側のチェックボックスで、該当する脆弱性をチェックします(左上のボックスで、一括チェックします)。
- 「関連するタスクを非表示」を押し、「脆弱性情報に対して何らかの変更が有るまで」を選択した上で、「送信」を押します。
同様に、パッチ提供がないものを選択し、非表示とします。
- パッチ提供が「○」以外の物は、パッケージのアップデートで更新できない場合が有るため、非表示としません。
- “NWからの攻撃可能"と同様に、フィルタを行い、すべてチェックして非表示とします。
組織のポリシーに応じて、「警戒情報:○」「攻撃コードあり:○」「緩和策/回避策:☓」「権限無しで攻撃可能:○」、などでフィルタしていく場合もあります。
リスクを受容できるものを画面上で非表示にする事で、対応しなければいけない脆弱性のみ画面に表示させます。
「CSIRTプラン」の「自動非表示機能」を用いると事前にリスクを許容するルールを定義してタスクの自動非表示が可能です。サーバタグと組み合わせることで柔軟に定義可能です。
例えば、以下のような脆弱性はリスクが低いとみなして自動で非表示にする、といったことが可能となります。
- 「社内システム」タグがつけられているサーバ
- ネットワークから攻撃されない
受容できない脆弱性に対応する
前述の「受容できるものを非表示にする」をした後は、対応が必要な脆弱性のみが残ります。 残っている脆弱性に対して、優先順位を決めて対応していきます。
- 優先順位は、まずはスコアを元に見ていきます。
- 基本的には CVSS v3 のBaseScoreの順で見ます。
- v3の情報がない場合は、v2のスコアを参照します。
- Red Hat Enterprise Linuxの場合は、NVDやCVSSを参照せず、Red Hatのスコアを参照します(バックポート等の考慮が有るため)。
- スコアが高いものから順に、その他の指標を見ながら判断します。
- 例えばスコアが9.5 以上のグループに対して、“警戒情報/攻撃コード/回避緩和策なし/権限無しで攻撃可能"の項目が有効な場合、優先的に対応することとします。
- 脆弱性の詳細を開くと、サマリ等から「どのような影響が及ぼされるのか」がわかります。
- 例えば、「遠隔でのコード実行は優先的に対応する」「可用性に影響が有るだけであれば、少し優先度は落とす」などの判断が可能です。
上記のような情報から優先順位を付け、優先度に従って対応していきます。
画面表示について
項目は入れ替えることができるため、例えばRed Hat Enterprise serverのみの環境であれば、下記の順番で入れ替えて確認すると楽です。
- Red Hat(RedHatが提供する、スコア)
- CVSS v3/v2のスコア
- サマリ
- 攻撃コードあり
- 警戒情報
- NWから攻撃可能
- 権限無しで攻撃可能
緩和策で対応する
設定変更等の緩和策で対応する場合は、タスクのステータスをWORKAROUNDにします。
- 対象のタスクの左側チェックを入れ、「関連するタスクを更新」を押します。
- これから対応する場合は「タスクステータス」を
ONGOINGに設定し、対応予定日や主担当を入れることで、担当者の「タスク」一覧に表示がされます。対応完了後に、WORKAROUNDに変更します。 - 対応が終わった場合は「タスクステータス」を
WORKAROUNDに設定します。
- これから対応する場合は「タスクステータス」を
WORKAROUND 状態になったタスクは、「未対応」には表示されなくなり「対応済み」に表示されます。
パッチ適用等で対応する
パッチ適用で対応する場合は、適用完了時にステータスを変える必要はありません。
- これから対応する場合、「関連するタスクの更新」で「タスクステータス」を
ONGOINGにします。 - 対応完了後のスキャンで、自動的にタスクステータスが
PATCH_APPLIEDに変わり、脆弱性一覧から消えます。
FutureVulsのパッチ適用をサポートする機能をお使い下さい。
- 「タスク」タブでタスクを選択し、「アップデートコマンド」ボタンを押下すると選択したサーバ上で発行するアップデート用のコマンドが表示されます。(マニュアル)
- 「タスク」タブでタスクを選択し、「ANSIBLE PLAYBOOK」ボタンを押下するとAnsibleのPlaybookをダウンロード可能です。(マニュアル)
- AWS連携を設定するとFutureVuls上で実際にパッケージをアップデートできます。「タスク」タブでアップデート対象のタスクを選択し、「SSMアップデート」ボタンを押下してください。(マニュアル)
対応完了後の確認
脆弱性に対する対応が完了後、対応が必要な脆弱性一覧から当該脆弱性が非表示になっていることを確認します。
- タスクステータスが
WORKAROUNDやPATCH_APPLIEDとなることで、非表示になります。 - リスクを受容した脆弱性も、非表示としておきます。
- 以降、未対応の脆弱性を定期的に、同様に処理していく必要があります。
オーガニゼーション内の他の運用者に情報共有、注意喚起する
「トピック機能」を用いると、同じオーガニゼーションの他グループの運用者に情報共有が可能となります。 オーガニゼーションやグループ内でCVE-ID単位の情報共有を行えるため、Slackでの情報共有やメールと比較して情報が一箇所に集約、蓄積されます。
- うちのグループはアップデートした
- アップデートしようとしたがテストでAPI非互換の問題がでた
- インターネット上で攻撃が多発しているので要注意
など、有益な情報を組織内で情報共有しましょう。