管理されている内部アセット、インターネットに面したアセット、またはコンテナイメージで検出されたCVEによって引き起こされるリスクを手動または定期的に軽減します。
一般的な脆弱性と露出 (CVE) は、対策が施されない場合に敵対者が悪用する可能性のある脆弱性の一種です。管理されたアセット上のCVEに関する詳細情報は、脆弱性を参照してください。
重要Cyber Risk Exposure Managementを有効にし、次の必要なデータソースを設定して、Global Exploit Activity PlaybookでCVEを作成する必要があります。
|
手順
- に移動。
- [Playbook] タブで の順に選択します。
- [Playbookの設定] パネルで [脆弱性] タイプを選択し、Playbookの一意の名前を指定して、 [適用]をクリックします。
- [トリガ設定] パネルで、トリガの種類を選択し、 [適用]をクリックします。
-
Manual: Run アイコン (
) -
Scheduled: Playbookを毎日、毎週、または毎月実行するようにスケジュールできます。
-
- [対象の設定] パネルで、Playbookの [対象] を選択して設定し、 [適用]をクリックします。複数の対象タイプのリスクを軽減する必要がある場合は、ノードの追加 (
) Trigger ノードの右側にあります。[CVEs with Global Exploit Activity - Containers]テンプレートでは、[対象の設定]パネルがコンテナ固有のターゲティングを2つのセクションで提示します。-
コンテナクラスタ: クラスター レベルの次元でフィルター
-
コンテナイメージ: 画像レベルの寸法でフィルタリング
-
- 特定の条件が満たされたときに処理を実行する必要がある場合は、 Condition ノードを設定します。
- [対象] ノードの右側にあるノードの追加 (
) をクリックし、 [条件]をクリックします。 - Parameter、 Operator、および Valueを指定して、条件設定を作成します。設定説明パラメータパラメーターの詳細については、[Threat and Exposure Management]アプリの[Highly-Exploitable CVEs]ウィジェットを参照してください。オペレータ
-
IS: いずれかの値が一致した場合に条件がトリガーされます。
-
[次に等しい (IS)] NOT: 一致する値がない場合に条件がトリガーされます。
値各パラメータの値に関する詳細は、[Threat and Exposure Management]アプリの[Highly-Exploitable CVEs]ウィジェットを参照してください。 -
- 複数の条件設定を行う必要がある場合は、 Addをクリックします。条件演算子は、論理ANDを使用して評価されます。
- [適用] をクリックします。
- 複数の並列 Condition ノードを追加する必要がある場合は、ノードの追加 (
) Target ノードの右側にあります。 - Condition ノードの Action を設定する必要がある場合は、ノードの追加 (
) をクリックします。詳細については、手順7を参照してください。 - else-if条件またはelse処理を設定する必要がある場合は、 Else-If条件またはその他の処理ノードの追加 (
)条件ノード。詳細については、手順9を参照してください。
- [対象] ノードの右側にあるノードの追加 (
- Action ノードを追加して処理を設定します。
- [条件]ノードの右側にあるノード追加 (
) をクリックし、[処理]をクリックします。 - [処理設定] パネルで、[処理] を選択します。カテゴリ実行可能な処理Case Management
-
新しいケースを開く: Playbook実行結果の新しいケースを作成します
-
既存のケースを更新: 既存のケースをPlaybook実行結果で更新します
一般-
CSVファイルを生成: 検出されたCVEを統合し、CVEおよび影響を受けたアセットに関する情報を含むCSVファイルを生成します
通知-
結果についてメール通知を送信: 指定された受信者にPlaybookの結果を通知します
-
結果のチケット通知を送信: Playbookの結果をServiceNowチケット通知として送信します
-
結果のWebhook通知を送信: 指定されたチャンネルにPlaybookの結果をウェブフック通知で送信します
Response Management-
Mitigate vulnerabilities in internal assets: 検出された内部アセットの脆弱性を軽減するための対応処理を作成します
-
Mitigate vulnerabilities in containers: コンテナイメージで検出された脆弱性を軽減するための対応処理を作成します
-
- [CSVファイルを生成] を選択した場合は、CSVファイルの設定を行います。[CVEごとに個別のファイルを生成]を選択して、CVEごとに個別のCSVファイルを生成します。このオプションを選択すると、Security Playbooksは検出されたCVEに対応する複数のCSVファイルを生成します。生成されたCSVファイルには、次の情報が含まれています。CVEファイルフィールド説明cveIdCVE識別子globalExploitActivityCVEのグローバルな攻撃活動のレベルCVSSスコアCommon Vulnerability Scoring System スコア公開時間CVEの公開日時exploitAttemptCount検出された脆弱性悪用の試行の数を示しますホスト数影響を受けたホストの数参照CVEのレファレンスリンク予防ルールCVEに対する利用可能な防止ルールfirstSeenTimeCVEが最初に検出された日時を示しますステータスCVEの現在の状態インターネットに接続されているアセットについては、CSVファイルに次のホスト情報も含まれています。インターネットに接続されたホストファイルフィールド説明ホストインターネットに面したアセットのホスト名を示しますriskScoreホストのリスクスコアcveCountホストで検出されたCVEの数cveリストホストで検出されたCVE識別子の一覧ipListホストに関連付けられているIPアドレスですhostProviderListアセットのホスティングプロバイダーサービスリストホスト上で実行中のサービスportListホストの開いているポート検出時間ホストでCVEが検出された日時を示します
- [Mitigate vulnerabilities in containers]を選択した場合、コンテナの対応処理設定を構成してください。次のアクションのいずれかまたは両方を選択します。
-
Isolate container: 影響を受けたコンテナを隔離します。このアクションは、影響を受けたコンテナを含むKubernetesポッドまたはElastic Container Service (ECS) タスク全体を隔離し、同じポッドまたはタスク内の他のすべてのコンテナを含みます。詳細については、Isolate containerを参照してください。隔離されたポッドやECSタスクは、Resume Containerアクションを使用して復元できます。隔離は、不審な挙動のエビデンスを保持するため、終了よりも推奨されます。
-
Terminate container: 影響を受けたコンテナを含むKubernetesポッドまたはECSタスクを終了します。現在実行中のKubernetesポッドとECSタスクのみがサポートされており、終了したポッドまたはECSタスクは再開できません。ポッドやECSタスクを終了すると、不審な挙動のエビデンスが破壊され、再発を防ぐことはできません。可能であれば、終了する前にコンテナを隔離してください。詳細については、コンテナの終了を参照してください。
Playbookが選択したアクションを実行する前に手動承認を必要とする場合は、[処理に手動承認を要求]を選択し、手順7.dに従って通知設定を構成してください。
注意
24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。 -
- 通知アクションを選択した場合は、通知設定を構成してください。通知の種類によって設定が異なります。
-
結果についてメール通知を送信: 件名のプレフィックスを設定し、受信者のメールアドレスを指定します。
-
結果のWebhook通知を送信: 件名のプレフィックスを設定し、通知を受け取るWebhookチャンネルを選択します。Webhook接続を追加するには、[チャネルを作成]をクリックします。
-
結果のチケット通知を送信: ServiceNowチケットプロファイルを選択し、割り当てグループ、割り当てられたユーザ、短い説明を含むチケットプロファイル設定を構成します。チケットプロファイルを追加するには、[チケットプロファイルを作成]をクリックします。
-
- 一般処理を作成するための手動承認を要求する通知を送信するかどうかを選択し、手動承認が必要な場合は通知設定を行います。

注意
24時間以上手動承認が保留されている処理は期限切れになり、実行できなくなります。設定説明通知方法-
Email: 指定した受信者にメール通知を送信します。
-
Webhook: 指定したWebhookチャネルに通知を送信します。
件名のプレフィックス通知の件名の先頭に表示されるプレフィックス受信者受信者のメールアドレスメールの通知方法を選択した場合にのみ表示されます。Webhook通知を受信するWebhookチャネルこのフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。Webhook接続を追加するには、[チャネルを作成]をクリックします。 -
- [適用] をクリックします。
- 複数の並列アクションを追加する必要がある場合は、[対象]ノードまたは[条件]ノードの右にある
をクリックしてください。
- [条件]ノードの右側にあるノード追加 (
- 追加のアクションを設定する必要がある場合は、[処理]ノードを追加してください。Playbookに複数のアクションノードを追加できます。例えば、[CSVファイルを生成]アクションの後に[結果についてメール通知を送信]アクションを設定してCSVファイルを生成し、その結果を受信者に通知することができます。シリアルモードで構成された複数の[処理]ノードは順次処理されます。
- 前のノードの右側にあるノード追加ボタン (
) をクリックし、[処理]をクリックします。 - [処理] ドロップダウンリストからアクションを選択し、アクション設定を構成します。設定説明件名のプレフィックス通知の件名の先頭に表示されるプレフィックス受信者受信者のメールアドレスメールの通知方法を選択した場合にのみ表示されます。Webhook通知を受信するWebhookチャネルこのフィールドは、 [通知方法]で [Webhook] を選択した場合にのみ表示されます。Webhook接続を追加するには、[チャネルを作成]をクリックします。
- ServiceNowチケット通知の場合は、次の設定を行います。設定説明チケットプロファイル使用するServiceNowチケットプロファイルチケットプロファイルを追加するには、[チケットプロファイルを作成]をクリックします。チケットプロファイル設定Playbookのチケットプロファイル設定チケットプロファイルを選択すると、設定が自動的にロードされます。設定を変更すると、Playbookのチケットプロファイルが上書きされます。
-
Assignment group: チケットを割り当てるServiceNow割り当てグループ
-
Assigned to: チケットを割り当てるServiceNowユーザ
-
Short description: ServiceNowに表示されるチケットの簡単な説明
-
- Playbookの結果送信に手動承認が必要な場合は、手順7.dに従って通知設定を構成してください。この設定はチケット通知アクションにのみ利用可能です。
- [適用] をクリックします。
- 前のノードの右側にあるノード追加ボタン (
- 必要に応じて、 Else-If Conditions または Else Actions を設定します。
- [条件]ノードの下の
をクリックし、[Else-If条件]または[Else処理]をクリックします。 - [条件]ノードを構成するには、手順6に従ってください。または[処理]ノードを構成するには、手順7または手順8に従ってください。
-
追加できるノードは、前のノードによって異なります。例えば、[処理]ノードの後には、別の[処理]ノードのみが続く可能性があります。[条件]ノードの後には[処理]ノードが続くか、[Else-If条件]または[Else処理]が接続されることがあります。
-
条件がfalseの場合、Playbookは [Else処理] を実行するか、 [Else-If条件] が満たされているかどうかを確認します。 [Else-If条件] が満たされた場合、Playbookは対応する [Else処理]の実行を続行します。
-
シリアルモードで設定された複数の Action ノードは、順番に取得されます。
- [条件]ノードの下の
- Enable コントロールをオンにして、Playbookを有効にします。
- [保存] をクリックします。プレイブックが Security Playbooks アプリの Playbooks タブに表示されます。
