ビュー:

管理対象の内部およびインターネットに面したアセットで検出されたCVEによって引き起こされるリスクを手動または定期的に軽減します。

一般的な脆弱性および露出 (CVE) は、対策が講じられない場合に敵対者が悪用する可能性のある脆弱性の一種です。管理されたアセット上のCVEに関する詳細は、脆弱性をご覧ください。
重要
重要
Cyber Risk Exposure Managementを有効にし、以下の必要なデータソースを設定して、Global Exploit Activity PlaybookでCVEを作成する必要があります。
  • グローバルなエクスプロイトアクティビティのあるCVE - 内部資産: XDR Endpoint Sensorまたはサードパーティのデータソース (Nessus Pro、Qualys、Rapid7、またはTenable.io)
  • グローバルなエクスプロイトアクティビティを持つCVE - インターネットに直接接続する資産: Cyber Risk Exposure Managementのルートドメイン設定

手順

  1. [Workflow and Automation][Security Playbooks] に移動。
  2. [Playbook] タブで [追加][Build manually] の順に選択します。
  3. [Playbookの設定] パネルで [脆弱性] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
  4. [トリガ設定] パネルで、トリガの種類を選択し、 [適用]をクリックします。
    • Manual: Run アイコン (run=fddd0df8-993a-4aa5-b09c-51ad84aec2a4.png )
    • Scheduled: Playbookを毎日、毎週、または毎月実行するようにスケジュールできます。
  5. [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。
    複数の対象タイプのリスクを軽減する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Trigger ノードの右側にあります。
  6. 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
    1. [対象] ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 [条件]をクリックします。
    2. ParameterOperator、および Valueを指定して、条件設定を作成します。
      設定
      説明
      パラメータ
      パラメータの詳細については、[Threat and Exposure Management]アプリの[Highly-Exploitable CVEs]ウィジェットを参照してください。
      オペレータ
      • IS: いずれかの値が一致した場合に条件がトリガーされます。
      • [次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
      各パラメータの値に関する詳細は、[Threat and Exposure Management]アプリの[Highly-Exploitable CVEs]ウィジェットを参照してください。
    3. 複数の条件設定を行う必要がある場合は、 Addをクリックします。
      条件演算子は、論理ANDを使用して評価されます。
    4. [適用] をクリックします。
    5. 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) Target ノードの右側にあります。
    6. Condition ノードの Action を設定する必要がある場合は、ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックします。
      詳細については、手順7を参照してください。
    7. else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png )条件ノード。
      詳細については、手順9を参照してください。
  7. Action ノードを追加して処理を設定します。
    1. Condition ノードの右側にあるノードの追加 (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png ) をクリックし、 Actionをクリックします。
    2. [処理設定] パネルで、[処理] を選択します。
      カテゴリ
      実行可能な処理
      Case Management
      • 新しいケースを開く: Playbook実行結果の新しいケースを作成します
      • 既存のケースを更新: 既存のケースをPlaybook実行結果で更新します
      一般
      • CSVファイルを生成: 検出されたCVEを統合し、CVEおよび影響を受けたアセットに関する情報を含むCSVファイルを生成します
      通知
      • 結果についてメール通知を送信: 指定された受信者にPlaybookの結果を通知します
      • 結果のチケット通知を送信: Playbookの結果をServiceNowチケット通知として送信します
      • 結果のWebhook通知を送信: 指定されたチャンネルにPlaybookの結果をウェブフック通知で送信します
      Response Management
      • Mitigate vulnerabilities in internal assets: 検出された内部アセットの脆弱性を軽減するための対応処理を作成します
    3. [CSVファイルを生成] を選択した場合は、CSVファイルの設定を行います。
      [CVEごとに個別のファイルを生成]を選択して、CVEごとに個別のCSVファイルを生成します。このオプションを選択すると、Security Playbooksは検出されたCVEに対応する複数のCSVファイルを生成します。
      生成されたCSVファイルには、次の情報が含まれています。
      CVEファイルフィールド
      説明
      cveId
      CVE識別子
      globalExploitActivity
      CVEのグローバルな攻撃活動のレベル
      CVSSスコア
      Common Vulnerability Scoring System スコア
      公開時間
      CVEの公開日時
      exploitAttemptCount
      検出された脆弱性悪用の試行の数を示します
      ホスト数
      影響を受けたホストの数
      参照
      CVEのレファレンスリンク
      予防ルール
      CVEに対する利用可能な防止ルール
      firstSeenTime
      CVEが最初に検出された日時を示します
      ステータス
      CVEの現在の状態
      インターネットに接続されているアセットについては、CSVファイルに次のホスト情報も含まれています。
      インターネットに接続されたホストファイルフィールド
      説明
      ホスト
      インターネットに面したアセットのホスト名を示します
      riskScore
      ホストのリスクスコア
      cveCount
      ホストで検出されたCVEの数
      cveリスト
      ホストで検出されたCVE識別子の一覧
      ipList
      ホストに関連付けられているIPアドレスです
      hostProviderList
      アセットのホスティングプロバイダー
      サービスリスト
      ホスト上で実行中のサービス
      portList
      ホストの開いているポート
      検出時間
      ホストでCVEが検出された日時を示します
    4. 通知アクションを選択した場合は、通知設定を構成してください。
      通知の種類によって設定が異なります。
      • 結果についてメール通知を送信: 件名のプレフィックスを設定し、受信者のメールアドレスを指定します。
      • 結果のWebhook通知を送信: 件名のプレフィックスを設定し、通知を受け取るWebhookチャンネルを選択します。
        ヒント
        ヒント
        Webhook接続を追加するには、[チャネルを作成]をクリックします。
      • 結果のチケット通知を送信: ServiceNowチケットプロファイルを選択し、割り当てグループ、割り当てられたユーザ、短い説明を含むチケットプロファイル設定を構成します。
        ヒント
        ヒント
        チケットプロファイルを追加する必要がある場合は、[チケットプロファイルを作成]をクリックしてください。
    5. 一般処理を作成するための手動承認を要求する通知を送信するかどうかを選択し、手動承認が必要な場合は通知設定を行います。
      注意
      注意
      24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。
      設定
      説明
      通知方法
      • Email: 指定した受信者にメール通知を送信します。
      • Webhook: 指定したWebhookチャネルに通知を送信します。
      件名のプレフィックス
      通知の件名の先頭に表示されるプレフィックス
      受信者
      受信者のメールアドレス
      メール通知方法を選択した場合にのみ表示されます。
      Webhook
      通知を受信するWebhookチャネル
      このフィールドは、 [通知方法][Webhook] を選択した場合にのみ表示されます。
      ヒント
      ヒント
      Webhook接続を追加するには、[チャネルを作成]をクリックします。
    6. [適用] をクリックします。
    7. 複数の並列アクションを追加する必要がある場合は、[対象]ノードまたは[条件]ノードの右にあるplus_icon=e074b462-87df-4630-ab7f-552d598013d7.pngをクリックしてください。
  8. 追加のアクションを設定する必要がある場合は、[処理]ノードを追加してください。
    Playbookに複数のアクションノードを追加できます。例えば、[CSVファイルを生成]アクションの後に[結果についてメール通知を送信]アクションを設定してCSVファイルを生成し、その結果を受信者に通知することができます。
    注意
    注意
    シリアルモードで構成された複数の[処理]ノードは順次処理されます。
    1. 前のノードの右側にあるノード追加ボタン (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) をクリックし、[処理]をクリックします。
    2. [処理] ドロップダウンリストからアクションを選択し、アクション設定を構成します。
      利用可能なアクションとその設定の詳細については、手順7を参照してください。
    3. [適用] をクリックします。
  9. 必要に応じて、 Else-If Conditions または Else Actions を設定します。
    1. [条件]ノードの下にある追加ノード (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) をクリックし、[Else-If条件]または[Else処理]をクリックします。
    2. [条件]ノードを手順6に従って構成するか、[処理]ノードを手順7に従って構成します。
    • 追加できるノード (plus_icon=e074b462-87df-4630-ab7f-552d598013d7.png) は、前のノードによって異なります。例えば、[処理]ノードの後には別の[処理]ノードのみが続く可能性があります。[条件]ノードの後には[処理]ノードが続くか、[Else-If条件]または[Else処理]が付けられることがあります。
    • 条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
    • シリアルモードで設定された複数の Action ノードは、順番に取得されます。
  10. Enable コントロールをオンにして、Playbookを有効にします。
  11. [保存] をクリックします。
    プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。