このページでは、SaltStack SecOps Vulnerability でサポートされているファイル形式、セキュリティ ポリシー フィールド、アクティビティ ステータス、および脆弱性ダッシュボードで使用可能なメトリックに関するリファレンス情報を確認できます。

サポートされるファイル形式

サードパーティのスキャンから結果をインポートする場合は、次のファイル形式がサポートされます。

ベンダー

ファイル タイプ

Tenable

Nessus

Rapid7 InsightVM のエクスポート

XML

Qualys

XML

KennaSecurity のエクスポート

CSV

詳細については、サードパーティ セキュリティ スキャンのインポートを参照してください。

脆弱性ポリシー

脆弱性ポリシーは、ターゲットと評価スケジュールで構成されます。ターゲットは評価に含めるミニオンを決定し、スケジュールは評価をいつ実行するかを決定します。また、セキュリティ ポリシーは、最新の評価の結果を SaltStack SecOps Vulnerability に保管します。ポリシーにはスケジュールのほか、除外を処理する仕様も含めることができます。

脆弱性ポリシーの各コンポーネントについては、以下で詳しく説明します。

コンポーネント

説明

ターゲット

ターゲットは 1 つ以上の Salt マスター上に構成されるミニオンのグループで、これに対してジョブの Salt コマンドが適用されます。Salt マスターもミニオンのように管理でき、ミニオン サービスを実行している場合はターゲットにすることができます。SaltStack SecOps Vulnerability でターゲットを選択するときに、ポリシーを適用するアセットのグループ(ミニオン)を定義します。既存のターゲットを選択するか、新しいターゲットを作成できます。詳細については、ミニオンを参照してください。

スケジュール

スケジュールの頻度を [繰り返し][繰り返し日時][1 回]、または [Cron 式] から選択します。スケジューリングされたアクティビティおよび選択したスケジュールの頻度に応じて、追加のオプションを使用できます。

繰り返し

スケジュールを繰り返す間隔を設定し、オプションのフィールドとして開始日または終了日、splay、および最大並列ジョブ数を設定します。

繰り返し日時

週単位または日単位でスケジュールを繰り返すように選択し、オプションのフィールドとして開始日または終了日、および最大並列ジョブ数を設定します。

1 回

ジョブを実行する日時を指定します。

Cron

Cron 式を入力して、Croniter 構文に基づくカスタム スケジュールを定義します。構文のガイドラインについては、CronTab エディタを参照してください。最適な結果を得るには、カスタム Cron 式を定義するときに、ジョブのスケジュール間隔を 60 秒未満にしないようにします。

注:

スケジュール エディタでは、「ジョブ」という用語と「評価」という用語が同じ意味に使用されます。ポリシーのスケジュールを定義する際には、修正ではなく評価のみをスケジューリングします。

注:

評価スケジュールを定義するときに、追加で [スケジュールなし (オンデマンド)] オプションを選択できます。このオプションを選択した場合、必要に応じて一回限りの評価の実行を選択します。スケジュールは定義されません。

アクティビティ ステータス

ポリシーのホーム ページの [アクティビティ] タブには、完了済みまたは進行中の評価と修正のリストが表示されます。次のステータスが含まれます。

ステータス

説明

キューに格納済み

操作の実行準備は完了していますが、操作を開始するタスクがミニオンでまだ取得されていません。

完了

操作の実行が終了しました。

一部

Salt マスターは処理の終了をレポートしていますが、処理はまだ一部のミニオンの応答を待機しています。ミニオンは minion サービスが実行されるノードであり、Salt マスターからのコマンドをリッスンして、要求されたタスクを実行できます。Salt マスターは、ミニオンにコマンドを送信するために使用される中央ノードです。

SaltStack Config のメインのアクティビティ ワークスペースで、評価や修正を含む SaltStack Config のすべてのアクティビティを追跡できます。アクティビティを参照してください。

保護ダッシュボード

脆弱性ダッシュボードには、脆弱性ステータスの概要が表示されます。これには、さまざまなメトリックに加え、現在のすべての脆弱性ポリシーに関する最新の評価の中で最も一般的なアドバイザリのリストが含まれています。

このダッシュボードは、現在の脆弱性ステータスのレポートを作成するのに役立ちます。ダッシュボードを共有するには、ページの URL にリンクするか、PDF コピーを印刷します。詳細については、脆弱性ダッシュボードの表示と印刷を参照してください。

このダッシュボードには、次のメトリックが含まれています。

メトリック

説明

脆弱性のサマリ

さまざまな重要度レベル(「重大」から「なし」まで)の脆弱性の影響を現在受けているアセットの数。

修正

SaltStack SecOps Vulnerability を使用して修正された脆弱性の合計数(重要度順)。

脆弱性のトレンド

過去 30 日間の脆弱性ステータスを示すグラフ。

上位のアドバイザリ

システム全体で検出頻度の高い脆弱性のリスト。

評価結果

SaltStack SecOps Vulnerability の評価結果は、ポリシーのホーム ページに表示されます。このページには、次の情報フィールドを含むアドバイザリのリストが表示されます。

注:

SaltStack SecOps Vulnerability では、評価結果を JSON でダウンロードできます。詳細については、評価レポートのダウンロードを参照してください。

フィールド

説明

重要度

重要度の評価は「重大」から「なし」までです。重要度の評価は、修正の優先順位付けに役立ちます。

VPR(Tenable からインポートされた脆弱性のみ)

VPR(脆弱性優先度評価)は、Tenable に固有の代替の重要度評価です。VPR の詳細については、Tenable のドキュメントを参照してください。

アドバイザリ ID

アドバイザリに関連付けられている正式な ID。ID をクリックするとアドバイザリの詳細が表示されます。

アドバイザリのタイトル

CVE によって認められているアドバイザリの正式なタイトル。アドバイザリのタイトルをクリックすると詳細が表示されます。

CVE

Common Vulnerabilities and Exposures(一般に知られているサイバーセキュリティの脆弱性の共通識別子のリスト)。

詳細については、About CVEを参照してください。

影響を受けるパッケージ

アドバイザリの影響を受けるシステム パッケージのリスト

CVSS v3.0

Common Vulnerability Scoring System バージョン 3 に基づいた脆弱性評価。まだ評価されていないアドバイザリがあるため、アドバイザリによっては表示されない場合があります。

詳細については、Common Vulnerability Scoring System SIG を参照してください。

CVSS v2.0

Common Vulnerability Scoring System バージョン 2 に基づいた脆弱性評価

インストール動作

アドバイザリの修正の一環としてパッチやアップデートを有効にするために、システム全体の再起動が必要になる場合があるかどうかを示します。

ミニオン

このアドバイザリの影響を受け取ったミニオンの数を一覧表示します。

Windows Server Update Services (WSUS) の有効化

Windows ノードに関するアドバイザリを修正するには、追加の構成と修正の手順が必要です。環境で WSUS サーバを使用して Windows のパッチとアップデートを展開する場合は、サーバが有効になっていること、および Microsoft から定期的にアップデートを受信できることを確認する必要があります。詳細については、Windows アドバイザリの修正を参照してください。

次の状態ファイルを、サンプルの IP アドレスを WSUS サーバの IP アドレスとポートに置き換えたうえで実行すると、ミニオンを WSUS サーバに接続できます。

configure_windows_update:
  lgpo.set:
    - computer_policy:
        CorpWuURL:
        {% set policy_info = salt["lgpo.get_policy_info"]("CorpWuURL", "machine") %}
        {% for element in policy_info["policy_elements"] %}

          {% if element["element_id"] == "CorpWUContentHost_Name" %}
          CorpWUContentHost_Name: ""
          {% endif %}

          {% if element["element_id"] == "CorpWUFillEmptyContentUrls" %}
          CorpWUFillEmptyContentUrls: False
          {% endif %}

          {% if element["element_id"] == "CorpWUStatusURL_Name" %}
          CorpWUStatusURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "CorpWUURL_Name" %}
          CorpWUURL_Name: "https://192.0.2.1:8530"
          {% endif %}

          {% if element["element_id"] == "SetProxyBehaviorForUpdateDetection" %}
          SetProxyBehaviorForUpdateDetection: Only use system proxy for detecting updates (default)
          {% endif %}

       {% endfor %}

       AutoUpdateCfg: Not Configured

  update_local_policy:
    cmd.run:
      - name: "Gpupdate /Force /Target:Computer"