VR / 出力

〇フィルターの3つのコンポーネント

- 値
- 演算子
- フィールド
〇パッチ適用について最も正しい記述はどれか
- パッチ適用は脆弱性要件の一つ
- パッチ適用は脆弱性対応と同じ
- パッチ適用は脆弱性対応と同じではない

-
〇ServiceNow脆弱性テーブルはどのプレフィックス？

sn_vul
〇変更や問題においてタスク作成する際のポップアッププロパティ

sn_vul.popup
○VRグループのSLAを作成および変更するために最低限必要なロールは何？

sn_vul.admin
〇フィルターグループはどこで作成できる？
- 脆弱性>管理>フィルターグループ
- 脆弱性>グループ>フィルターグループ
- セキュリティオペレーション>管理>フィルターグループ
- セキュリティオペレーション>グループ>フィルターグループ

-セキュリティオペレーション>グループ>フィルターグループ
〇脆弱性のある大量のアイテムをより簡単に管理するためには、何を作ればいいのでしょうか？

〇脆弱性グループ
→修復タスクに名称変更

3 つのオプションのいずれかを使用して手動で、脆弱なアイテムをグループに追加します。

・手動でグループに追加
・条件フィルターを使用
・フィルターグループを使用します。
○修復タスクを作成するかどうかを制御するプロパティは？

sn_vul.autocreate_vul_centric_group
脆弱性スキャナ—について
- 脆弱性スキャナ—とは、サードパーティツールの脆弱性スキャナ—の総称

-
○VIとは
- CVEの影響を受けるサービス
- スキャンされたアイテム全て

CVEの影響を受けるサービス

CVE-IDが記録されたソフトウェアまたはCIと一致すると、VITが作成される。

CIのないVIは存在しない
〇CVE（CWE?）の更新頻度を調整するために使用されるモジュールはどれ

- NVD自動更新
- 更新
- 自動オンデマンド
- CVE自動更新

NVD自動更新
〇VRアプリケーション内のどのモジュールを使用すれば、いつでもNVDから情報取得できるか

- オンデマンド更新
- NVD自動更新
- NVDパッチ
- Vulnerable Software

NVD自動更新
〇サードパーティとの統合理由

- CMDBの最新化
- 特定した脆弱性情報を取り込める
- 優先順位、解決に役立てる

- CMDBの最新化
- 優先順位、解決に役立てる
○例外プロセスを修正可能なロールは？

sn_vul.admin
※例外要求を行うのが修復オーナー
（sn_vul.manage_exception_configuration）
●リスクスコアリングの計算に使われる項目
- 平均スコア
- 最大スコア
- 値
- 優先度

☆
https://www.servicenow.com/community/secops-forum/how-priority-and-risk-score-calculated-on-vul-groups/m-p/1317555

BR:Update SI risk score
スキャナーとCIのマッチング
- CIルックアップルール
- Qualysなんとか

CIルックアップルール

データがサードパーティの統合からインポートされると、VRは自動的にホストデータを使用して構成内の一致を検索する。このルールはCIを識別し、それらを脆弱なアイテムレコードに追加して修正に役立てるために使用される。
○Vulnerable Itemの修復を容易にするために、どのようなタイプのアイテムが最もよく使われるか？
- 問題の作成
- セキュリティインシデントの作成
- KB記事を作成
- 変更の作成

変更の作成

VR+CHG=Better！
○VIの保留
- 有効なVIのリストからアイテムを完全に削除する
- アイテムをSlushbucketに移動する
- 有効なVIのリストには影響しない
- 有効なVIのリストからアイテムを一時的に削除する

☆有効なVIのリストからアイテムを完全に削除する
〇脆弱性情報の取り込み方法
- ナレッジベース
- インポートワークフロー
- サービスカタログ
- GRC内のリスク指標

ナレッジベース
※Qualys Knowledge Baseをインポート
VR Solution Managementとは

特定された脆弱性に対する最新かつ最適なパッチを推奨する優先度に基づいて、特定のケースに最前のパッチ適用ソリューションを決定することができる。→サードパーティからソリューションをインポートして、脆弱性の修復を支援する

Microsoft Security Response Centerのソリューションデータにアクセスできる。
このデータはMicroSoftの製品やサービスに影響を与えるセキュリティの脆弱性のレポートを調査し、セキュリティリスクの管理に役立つソリューションを提供する
ソリューションと脆弱性との自動関連付けを提供する。
VRダッシュボードにレポート指標を提供して、進捗状況を簡単に確認できる
修復タスクのステータスの変更に承認が必要な場合、そのタスクと別の脆弱性によりまだ更新されていない関連するすべての脆弱性アイテムが[In Review]ステータスになる

修復タスクの変更が承認された場合：[In Review]ステータスにある関連する全ての脆弱性アイテムが更新され、この変更が反映される

修復タスクのステータスの変更却下された場合：タスクは前のステータスに戻る。他の修復タスクの[In Review]の対象になっていない関連する全ての脆弱性アイテムも前のステータスに戻る
例外プロセスの時に動くデフォルトのフローは？
- 修正ステータス
- 脆弱性アイテムステータスフロー

承認フロー
または例外管理ワークフロー

脆弱性アイテムステータスフローかもしれない
〇VIと修正タスクのUIアクション
- 誤検知、調査、変更、問題、インシデント、セキュリティインシデント

誤検知（誤検知としてマーク）
調査開始
例外のリクエスト
○VRのPAを構成するためのロール

sn_vul.vulnerability.adminまたはsn_vul.admin
〇VRの機能とは？

A. National Vulnerability Database (NVD) と統合する
B. さまざまなサードパーティスキャナーと統合し、脆弱性データを ServiceNow プラットフォー
ムに取り込む
C. Security Information and Event Management (SIEM) システムと統合する
D. 脅威インテリジェンスの自動化によりインシデントを拡張する

A、B
〇メインの XML 脆弱性フィードでは、_____ 識別子の最初の 4 桁で構成される ____ データが提供され
る。
A. 共通脆弱性識別子 (CVE)
B. 共通脆弱性タイプ一覧 (CWE)
C. 脆弱性情報データベース (NVD)
D. サードパーティ統合

A、C
〇IT 修復ワークスペースにアクセスできるのはどのロールを持つユーザーか？
A. itil
B. sn_si.admin
C. sn_vul.vulnerability_analyst
D. sn_vul. Remediation_owner

D
〇ServiceNow GRC に統合されるのは、Vulnerability Response のどの機能か？
A. 誤検出管理
B. 脆弱性例外管理
C. 修正タスク
D. 監視トピック

B
〇開発グループとセキュリティマネージャーの間の仲介役として機能するのは、Application
Vulnerability Response のどのペルソナか？
A. CISO
B. アプリセキュリティマネージャー
C. 開発者
D. セキュリティチャンピオン

D

AVRは細分化されたロールを含む３つのグループを使用する
・App-Sec Manager
・Application Security Champion
・Developer
〇CISO が組織に期待するデータの表示方法のタイプはどれか？
(該当するものをすべて選択)
A. 大まかな概要が必要
B. 組織の健全性と機能を明確に示す単一のインジケーター
C. 最新のビューが必要
D. 詳細データへのドリルダウンが必要

A、B
〇パッチ適用について最も正しい説明はどれですか?

A. 成熟した組織はパッチ適用を放棄する
B. パッチ管理と脆弱性対応は交換可能な用語です
C. パッチ適用は、脆弱性に対する多くの対応の 1 つです。
D. パッチを積極的に適用している限り、脆弱性対応は必要ない

C
○フィルターグループは、次の方法を提供します。

A. グループ化の定義からグループ化の使用を切り離す
B. 条件を 1 回作成する
C. さまざまな場所で基準を再利用する
D. 上記のすべて

C
〇次のうち、ソフトウェアの弱点のリストを提供するものはどれですか?4

A. 第三者のエントリー
B.NVD
C.CWE
D.脆弱な項目

C
〇次のレコードタイプのうち、脆弱性ソース情報と CMDB CI レコードの共通部分と見なすことができるのはどれですか?

A.脆弱性
B.脆弱性タスク
C.CMDB_CI_Vuln
D.脆弱なアイテム（VI）

D
〇Common Vulnerabilities and Exposures (CVE) に関する情報はどこにありますか?

A.テナブル
B.マイター
C.NIST
D. クアリス

C
NISTのNVD
〇Vulnerability Response プラグインに関連付けられている ID は何ですか?

A.com.snc.threat.intelligence
B.com.snc.vu
C.com.snc.threat.feeds
D.com.snc.security_incident

B
〇範囲指定アプリケーションの目的は何ですか?

A. サプライヤーは、対象範囲が限定されている場合にのみ、アプリケーションの料金を請求できます
B. 範囲指定されたアプリケーションはスケーラブルですが、グローバルアプリケーションはスケーラブルではありません
C.スコープは、データと機能をカプセル化して保護します
D. アプリケーションをプラグインとしてデプロイするには、スコープを設定する必要がある

C
○Vulnerability Response と共にインストールされるコンポーネントには、次のものがあります。

A.テーブル、スケジュールされたジョブ、セキュリティ操作共通
B.ビジネスルール、役割、ワークフロー
C. プロパティ、クライアントスクリプト、ウィザード
D.UI ページ、ビジネスルール、脆弱性スキャナー

C

スケジュールジョブ
プロパティ
ロール
テーブル
ビジネスルール
フロー
○脆弱項目レコードから構成項目を作成するビジネスルールはどれですか?

A. 脆弱なグループの詳細から CI を作成する
B.クローズドアイテムの詳細からCIを作成する
C. ネットワークの詳細から CI を決定する
D. 脆弱なアイテムの詳細から CI を作成する

D
〇顧客が初期ロード中に 200 万の脆弱性を取り込むことを期待している場合、どのインスタンスサイズを推奨する必要がありますか

A：L
B.XL
C.XXL
D.ウルトラ

C
〇脆弱性への対応は、可能な限り早期に脆弱性を特定して修正することに重点を置いた、____________ として最もよく分類できます

A プロアクティブプロセス
B. 反復プロセス
CA 暫定プロセス
DA 反応プロセス

A
〇ソフトウェアの弱点のリストは次のように知られています。

A. National Vulnerability Database (NVD)
B. Common Vulnerability and Exposure (CVE)
C. 国立科学技術研究所 (NIST)
D. 一般的な弱点の列挙 (CWE)

D
○セキュリティオペレーションプロセスに関して、「識別」フェーズを定義するステートメントは次のうちどれですか?

A. 保護が必要なプロセスと資産は?
B. インシデントを特定できる手法は?
C. どのような保護手段を利用できますか?
D. 機能を復元できる手法は?
E. インシデントの影響を抑えることができる手法は?

A

A. 保護が必要なプロセスと資産は?　識別
B. インシデントを特定できる手法は?
C. どのような保護手段を利用できますか? 防止
D. 機能を復元できる手法は?
E. インシデントの影響を抑えることができる手法は? 軽減
〇修復タスクを最もよく表しているのは次のうちどれですか？

A. 脆弱性アイテムを解決するために割り当てられたユーザグループ
B. 脆弱性項目フィールドに対するフィルタを使用して訪問したグループ
C. グループとして扱われるClsのサブセットを定義するフィルタ
D. 対応するフィルタグループを持っている必要があります

D

A→アサイングループ
B→グループではない
C→フィルタではない
〇プラットフォームのどこでフィルタグループを作成できますか？

A. 脆弱性 > グループ > フィルタグループ
B. セキュリティオペレーション > 管理 > フィルタグループ
C. セキュリティ運用 > グループ > フィルタグループ
D. 脆弱性] > [管理] > [フィルタグループ

C
〇脆弱性項目の修復を促進するために、最も一般的に使用される項目のタイプは何ですか？

A. 変更の作成
B. 問題を作成する
C. KB記事を作成する
D. セキュリティインシデントを作成する

A
〇ベストプラクティスでは、脆弱なアイテムから変更タスクを作成する場合、次のうちどのフィールドを使用する必要があります。
次のフィールドは、変更タスクの割り当て先フィールドを割り当てるために使用されるべきですか？

A. CMDB_CI の Managed By
B. 脆弱性アイテムの割り当て先
C. CMDB_CI レコードの割り当て先
D. ベストプラクティスは、特定のフィールドを指示しません。

B
P156
〇SLAは、RTがタイムリーに処理されることを保証するために使用されます。
どのフィールドは、VITを修復するための予想される時間枠を決定するために使用されますか？

A. 更新される
B. 修正ステータス
C. 修正ターゲット
D. 終了

C
説明
参考
https://docs.servicenow.com/bundle/orlando-security-management/page/product/vulnerabilityresponse/concept/time-to-remediate-rules.html
〇脆弱性に関するサービスレベルアグリーメントの作成と変更に必要な最小限の役割は何ですか？
レスポンスグループのサービスレベルアグリーメントの作成と変更に必要な最小限の役割は何ですか？

A. sla_manager
B. 管理者
C. sn_vul.vulnerability_write
D. sn_vul.admin

D
説明
参考
https://docs.servicenow.com/bundle/orlando-security-management/page/product/vulnerability-response/t
ask/t_CreateVulnSLA.htmlを参照してください。
〇別のアプリケーションスコープの名前付きアップデートセット内で行われた変更。

A. キャプチャされます。
B. エラーが発生する
C. キャプチャされない
D. 部分的にキャプチャされる

B
〇ServiceNowの脆弱性対応テーブルは、通常どの接頭辞で始まりますか？

A. snvr_
B. snvuln_
C. vul_
D. sn_vul_

D
〇ライブラリーモジュールでみれるものは？

CWE★
NVD★
Third Party
〇NVDはどのメニューから確認できるか？
ライブラリー>NVD★?

Vulnerability Response > Libraries > NVD
変更承認が必要なステータスは？

クローズ済
オープン
調整中
実装待ち
延期
解決済み

実装待ち、延期
〇例外フローを要求するとステータスは何になるか

承認中
保留
レビュー中

レビュー中
〇承認フローのコンポーネントは？

ワークフロー
フローデザイナーのサブフロー
ビジネスルール
承認ルール

承認ルール
〇SLAはどうやって構成する？

xxでベースラインのSLA
管理者でベースラインのグローバルのSLA
snc_xx.vulneraviltiy_adminロールを持っていることを確認する

管理者でベースラインのグローバルのSLA★
〇プロフェッショナルVR階層を購入するとできること

Performance Analytics
Thereat inteligence
Predictive Intelligence
AVR
vulnerability solution mgmt

Performance Analytics
Predictive Intelligence
AVR
vulnerability solution mgmt
〇組織的にxxxするモジュールは？

Governance, Risk and Compliance
Event Management
Change Management

Governance, Risk and Compliance★(GRC)
RTのメリットは？（３つ）
複数のタスクに脆弱性アイテムを所属させられ・・・

・複数のタスクに脆弱性アイテムを所属させられる
・タスクを使用してアイテムをまとめて修復
・特定の脆弱性を含むタスクを作成（デフォルトルール）
・アサイン先グループ別に整理
・他のタスクで構成される監視タスクを作成
○AVRのペルソナは？

アプリケーションマネージャー
開発者
セキュリティチャンピオン

アプリケーションマネージャー★
開発者★
セキュリティチャンピオン★
〇Qualysと連携するためのプラグインは？

Qualys Integration for Security Operations
〇スキャナーと連携するためのプラグインは？

Security Incident Responce
Vulnerabilitiy Responce

Vulnerabilitiy Responce
〇ServiceNowPJストアアプリはxxによって構築・サポートされる

実装パートナー
ServiceNowプロフェッショナル...
ServiceNowxxxxx....
そのアプリを構築した会社

そのアプリを構築した会社★
〇RTのグループ化はデフォルトでは何で行う？

CVE
フィルターグループ
修復タスクルール

修復タスクルール
(VIテーブルのフィールドでグループ化がデフォ)
同じグループの条件が検出されたら？

・既存のRTに追加され、ステータスがオープンになる
・新しいRTが作成される

新しいRTが作成される
〇Vulnerability Response アプリケーションで、デフォルトで提供されるロールはどれが該当する？すべて選択せよ。
A. sn_vul.admin
B. sn_vul.vulnerability_read
C. sn_vul.vulnerability_write
D. sn_vul.vulnerability_admin
E. sn_vul.vulnerability_report

A、B、C

Aはsn_vul.vulnerability_adminに置き換え
Bはsn_vul.read_allに置き換え
Cはsn_vul.vulnerability_analystに置き換え

他にも、
修復オーナーのロール
CIマネージャーのロール
例外承認者のロールがある
〇脆弱性情報のソース(NVD+CI)提供しているベンダー

「IVR」…Microsoft、tenable、RAPID7、QUALYS

「AVR」…VERACODE
○グループ化されていない脆弱性アイテムに対して自動的に修正タスクが作成されるように設定するプロパティはどれ

- sn_vul.autocrete_vul_centric_group
- sn_vul.autocrete_groups
- sn_vul.autocreate_vul_grouping
- sn_vul.create_default_vul_groups

sn_vul.autocrete_vul_centric_group
〇分類ルールは、[分類ルールの再適用]UIアクションを使用して再適用できる

True
False

True
〇脆弱性アサインルールとは

グループに修正タスクを自動的に割り当てる
脆弱性アイテムレコードがSNで最初に作成されるときに、そのレコードに割り当てグループを設定する。

OOTBでは、３つのオプションを使用可能
・割り当てグループ：ルックアップテーブルからユーザーグループを選択
・割り当てグループフィールド：ユーザ選択
・スクリプト：スクリプトの作成または編集
〇デフォルトでは、脆弱性に関する事前構成済みのSLAはない。

True
False

True

[サービスレベル管理]>[SLA]>[SLA定義]で設定
〇グループ化は、脆弱なアイテムで識別されたCIのフィールドまたは脆弱性フィールド(CVE,QID)に基づいて実行できる

True

※デフォはVIのフィールド
○誤検知プロセスについて

・VIまたは修正タスクで使用可能
・一括編集が可能
・修正オーナーのロールが必要
・Exception rule Approvalフローをトリガー
〇修正タスクの分割について

修正タスクのVI関連リストから修正タスクを分割することができる。
各種テーブル

VI：sn_vul_vulnerable_item
VIT:sn_vul_m2m_item_task
修正タスク:sn_vul_vulnerability
VE(Entry):sn_vul_entry
AVI:sn_vul_app_vulnerable_item
〇Predictive Intelligence を介して割り当ての推奨事項を設定するための構成手順は何ですか?3つ

- 分類レコードの更新
- すべてのプラグインがアクティブであることを確認
- 脆弱性割り当ての推奨レコードを更新する
脆弱性アサインの推奨レコードはどこで更新できる？

Vulnerability Response > Administration >Assignment Recommendations
VRのPredictive Intelligence Classificationレコードはどこで更新できる？

予測インテリジェンス＞分類＞ソリューション定義
〇CISOとは

最高情報セキュリティ責任者

・組織の健全性と機能を示す単一の明確な指標
・高レベルのoverviewが必要
〇脆弱性アイテムのレコードを処理できる場所はどこ？

脆弱アイテムレコードに直接
脆弱性ポータル
修復タスク
脆弱性ワークスペース

脆弱アイテムレコードに直接
修復タスク
〇VIまたはRTが誤検知としてマークされると、ステータスは_になる。

クローズ
※サブステートはfalse positiveとしてマークされる
〇IT修復ワークスペースにアクセスできるロールを持つユーザは？

itil
sn_vul.remediation_owner
sn_vul.vulnerability_analyst
sn_si.admin

sn_vul.remediation_owner
○セキュリティとはどのような種類の対策に関するもの？

予防
是正（修正）
調査
〇ServiceNowと統合して、セキュリティインシデントを強化したり、脆弱アイテムのレコードを作成したりするサードパーティは？

Tenable
SecInc
Qualys
Palo Alto Networks Wildfire and Autofocus
RapidResponse
Rapid7

Palo Alto Networks Wildfire and Autofocus→セキュリティインシデント強化

Qualys、Tenable、Rapid7→脆弱性アイテムレコードを作成
脆弱性対応の割り当てルールを更新するにはどのモジュールが使用できるか。

脆弱性対応 > 管理 >割り当てルール
○VITレコードはいつ生成されるか

CVE-IDがネットワーク上の脆弱なソフトウェアまたはCIsと一致する場合
〇VIまたはRTを誤検知としてマークできるのは誰？

修正ユーザ
リスクマネージャー
修正の所有者
脆弱性ユーザ

修正の所有者（オーナー）
〇ServiceNowのソリューションアプリケーションは？２つ

Azure
SAP
oracle
microsoft
RedHat

microsoft,RedHat
〇セキュリティ関連のアプリケーションとプラグインを保持するServiceNowのコンテナ

ServiceNowセキュリティオペレーションスイート
〇SeqOpsは、ビジネスデータとその安全な使用にセキュリティを提供する一連のもので構成される。３つ

問題
プロセス
人
サービス
製品
パーティー

プロセス、人、製品
〇VRに関連するプロセスだけでは十分ではない。いかにも依存する必要がある。

人工知能
セキュリティチーム
スタッフ
人

人
組織の侵害に対する備えに関する質問は何ですか？３つ

・私たちはそれについて何をすべきですか？
・どうしてそうなった？
・どのセキュリティインシデントに最初に取り組むか？
・私たちはそれについて何を知っていますか？
・そこから何を学べるか

・私たちはそれについて何をすべきですか？
・どのセキュリティインシデントに最初に取り組むか？
・私たちはそれについて何を知っていますか？
〇偽陽性の原因

間違った分類、スキャナーの不適切なロジックまたはアルゴリズム
〇サードパーティによって特定された脆弱性は、どのテーブルに保存されるか

sn_vul_app_vul_entry
sn_vul_nvd_entry
sn_vul_third_party_entry
sn_vul_app_nvd_entry

sn_vul_app_vul_entry
sn_vul_third_party_entry
アプリケーションとインフラストラクチャの脆弱性は、どのテーブルを拡張するか

sn_vul_nvd_entry
脆弱性の割り当てルールを保持するテーブルは？

sn_vul_assignment_rule
〇脆弱性ワークスペースで使えるやつ

IVR
AVR

IVR
〇基準について、プラットフォーム内で再利用できる

フィルター
グループフィルター

フィルターグループ
○例外のワークフローを顧客が編集したい
どうやって？

できない
承認ルールを編集

承認ルールを編集
例外処理の構築要件について

規制要件
SLA要件
誤検知の可能性

SLA要件
誤検知の可能性
規制要件

そのほかに、現在どのような例外プロセスか
　- 具体的な決定者、承認者など
〇脆弱性とGRCの一般的な統合ポイントは次のうちどれ

変更
リスク指標
問題
セキュリティインシデントレスポンス

リスク指標
〇脆弱なアイテムの大きなセットをより簡単に管理するには、何を作成する必要があるか

フィルターグループ
脆弱性グループ(修復タスク)
計算機グループ
脆弱なアイテムの条件

脆弱性グループ(修復タスク)
〇最も脆弱なCIに関する有用なレポートを取得するにはどのステートメントが適用されるか

別のPAモジュールを購入する必要がある
CIの人口は膨大でなければならない
適切なKIPが定義されている必要がある
CMDBは最新かつ有用でなければならない

CMDBは最新かつ有用でなければならない

そのほかに、脆弱性のポスチャが安定している（VIを適切にインポートしてCIに関連づけている）
〇明確に定義され、十分に文書化された脆弱性例外プロセスを持つ顧客もいれば、そのプロセスを示す図を提供する顧客もいる。この文書をフローまたはワークフローに翻訳する主な利点は何

プロセス改善の絶好の機会
利点なし
内部プロセスを理解する
Flow/Workflowをプラットフォームに直接ビルドする

プロセス改善の絶好の機会
○脆弱なアイテムを無視する

アイテムをSlushbucketに移動する
アクティブな脆弱なアイテムリストからアイテムを一時的に削除する
アクティブな脆弱性のあるアイテムのリストからアイテムを永久に削除する
アクティブな脆弱性アイテムのリストには影響しない

アクティブな脆弱性のあるアイテムのリストからアイテムを永久に削除する
脆弱性の例外には何が必要

GRC統合
フィルターグループ
例外ワークフロー
デフォルトの承認

？
○管理者は、どの役割ベースのデータアクセスと視覚化にアクセスできる必要があるか３つ

期間ビュー
優先度とワークロードの集計
最新のビュー
粒度へのドリルダウン

期間ビュー
優先度とワークロードの集計
粒度へのドリルダウン
〇QualysプラグインはServiceNowが構築し、サポートしている

true
false

true
〇Qualysスキャナーが脆弱性を検出すると、

そのデータがVRにインポートされて、追跡、優先順位づけ、解決される
○SeqOpsとのデータ連携でインストールされるもの

テーブル、スクリプトインクルード、ロール、ビジネスルール、スケジュールジョブ、フロー
〇Qualysのおいて脆弱性の定義に使用されるものは

QID
〇QualysにおいてSourceフィールドに入力される値は？

Qualys
○Qualysのデータ連携

対応するCIがSN CMDBに自動挿入されるか、該当するCIが自動更新される。

※移行先としてcmdb_ci規定クラスが使用される
Qualysとのデータ連携によって、cmdb_ciに挿入されるフィールド

クラス名
CI名
DNS名
完全修飾ドメイン名
IPアドレス
○インポートされた資産のCIへのマッピング状況（ホスト表示）を確認するのはなんの機能

検出アイテムリスト
○CMDBにCIを作成できるAPI。
重複したCIの作成を回避し、正規のデータソースのみがCMDBに書き込めるようにすることでCI属性を調整できる。

識別および調整エンジン（IRE）API
スキャンして該当のCIがなかった場合

-新規CI作成
-CIは空のまま
-自動的にCIを補完するためのタスクが作成される
-検出アイテムテーブルにエントリーが作成される

新規CI作成
検出アイテムテーブルにエントリーが作成される
○特定のイベントを監視し、通知する機能

ウォッチドッグ
○セキュリティチームが経営陣（役員）に対して負う責任

- リスク影響度に関して期待を持たせる
- 修復チームのリソースを確保する
- CMDBチームとの連携
- CMDBの構造を理解する

- リスク影響度に関して期待を持たせる
- 修復チームのリソースを確保する
修復タスクのライフサイクル

- 任意の段階でVI/RTを削除可能
- 手動でのステータス移行は[state]フィールドの値に基づいて有効になる
- IVR,AVRで[Unassign]UIアクションを使用して、脆弱性アイテムレコードを再アサインできる
○Predictive intelligenceの構成手順３つ

1.全てのプラグインがアクティブであることを確認する

2.Classificationレコードを更新する→ [Predictive Intelligence]>[Classification]>[Solution Definitions]に移動し、[Vulnerable Item Assignment]レコードを開く

3.Vulnerability Assignment Recommendationsを更新する→ [Vulnerability Response]>[Administration]>[Assignment Recommendations]に移動し、[Enable Assignment Recommendations]ボックスをオンにしてフォームを保存
○アサインルールによる自動アサインの際に気をつけること

アサインルールと通知ルールを適切に設定すること。通知が意図せぬところに大量に送られる可能性がある。
○[修復タスクのアサイン先のロールダウン]
修復タスクレコードでのアサイン先グループの変更
→脆弱性アイテムのアサイン先グループが手動で変更されている場合を除いて、全ての脆弱性アイテムのアサイン先グループが変更される。

true
false

true
アサインルールは何に適用されるか？
また、アサインルールの除外対象の条件を２つ答えよ

VI

1.ステータスが[Open]ではないVI
2.手動でアサイン済みのVI
○CVSSベースの優先順位づけには欠陥がある。その理由は

- 企業のビジネス上の優先度が考慮されない
→サービスの重大度を考慮しないといけない
○通知の考慮事項

VIごとに通知を設定すると、顧客のメールサービスがパンク状態になるおそれがある
○SLAについて

・重大度の高い脆弱性は通知だけでは不十分なため、適切なSLAを作成する
・デフォルトでは事前構成済みのSLAはない
・SLAはRTに対して実行される

※VIでは修復ターゲットルールを使用する
○脆弱性グループ化オプション

1.修復タスクを自動管理

2.ウォッチトピック

3.手動
　- マニュアルでのグループ化
　- 条件によるグループ化（条件ビルダーで作成）
　- フィルターグループの使用（SeqOpsのさまざまな機能で再利用可能）
Vulnerability Manager Workspaceのコンポーネント

ウォッチトピック
修復作業
リストのホーム

※Vulnerability Manager WorkspaceページはUIビルダーにある
○エクスプロイト[shodan]の項目

エクスプロイトの存在
スキルレベル
攻撃ベクトル
○ペネトレーションテストアセスメント要求はApplication Vulnerability Responseでのみ使用できる

true
false

true
AVRでサポートされてない機能

例外ルール、修復タスク、分類ルール、ワークスペース、SLA、自動クローズ/自動削除ルール
○VRに付属している2つのワークスペース(IVRのみ)

Vulnerability Manager Workspace

IT Remediation Workspace
○VRで実施するアクション(自動)

ホストの隔離
アプリケーションの修正
タイムリーな修復
サーバーへのパッチ適用
IT作業の自動アサイン
例外への対処
CHG
○脆弱性対応中心
　- 最後のスキャン以降に検出された脆弱性
　- 30日以上経過した脆弱性
- ビジネス上重大な脆弱性
　- 今週失敗したパッチ適用の施行
　- 今週インストールされたパッチ

- 最後のスキャン以降に検出された脆弱性
- 30日以上経過した脆弱性
- ビジネス上重大な脆弱性
○レポートとPAの比較

PA…これまでにどのような経緯を辿ったのか。プロセスの傾向
過去24時間作業が行われていないインシデントは何件かなどのタイムリーな意思決定が可能。プロセスの健全性に与える影響を与える先行インジケーターに対するインサイトも得られる(未来)

レポート…現在どのような状況にあるのかなどのリアルタイム情報を提供。先週クローズされたインシデントは何件かなど
運用レポートでは遅行インジケーターが測定される
○カスタムレポート作成の際に留意すること 2つ

CMDBが最新で有用な状態にある
脆弱性のポスチャが安定している(VIを適切にインポートしてCIに関連付けている)
○VRの主なダッシュボードユーザー 3つ

CISO
マネージャー/管理者
アナリスト
ダッシュボード要件

特定のユーザーロール向けにダッシュボードを作成してカスタマイズする

一般的な業界の要求に基づいて、リクエストの多いダッシュボードゲージおよびレポートを確認する
Vulnerability Managementダッシュボードのタブで確認できる情報2つ

・CI による脆弱なアイテムを開く
・修復ターゲットステータス別の脆弱なアイテム
例外フローを要求するとステータスは何になる

In Review→延期（保留）
すぐに修復できない脆弱な項目または修復タスクの例外要求を承認すると、ステータスは何になる？

延期（保留）
VIのフォーム画面のフィールド

Number
☆Source
Risk rating
Risk score
Remediation target rule
☆Remediation target
Remediation status
Vulnerability
☆Configuration item
State
☆Assignment group
Assigned to

[タブ]
Vulnerability
Remediation Steps
Initial Detection
Detections(検出)
Notes
RTのフィールド

Number
Risk rating
Risk score
Remediation target
Remediation status
State
Assignment group
Assignd to

[タブ]
Remidiation Status
Group Configuration
Notes

オンライン単語帳

このページを利用するにはログインする必要があります。ログインするとAnkilotをより便利にご利用いただけます。

登録するログインする