OVAL 脆弱性の設定

Open Vulnerability and Assessment Language(OVAL)は、コンピュータシステムに脆弱性や設定上の問題がないかチェックするための、国際的な情報セキュリティコミュニティのベースライン標準です。マネージャは OVAL 脆弱性を KnowledgeBase に追加し、スキャンに使用できるようにすることができます。

OVAL サポートについてOVAL サポートについて

Windows レジストリテスト、Windows ファイルテスト、および他のテストの Boolean 組み合わせである複合テストの OVAL 脆弱性定義がサポートされています。このサービスは、Windows 対応の OVAL Definition Schema および Platform Schema をサポートしています。これらのスキーマは、OVAL 脆弱性定義の構造と語彙を定義します。OVAL バージョン 4.0、4.1、4.2 がサポートされています。OVAL の詳細については、次のサイトを参照してください: http://oval.mitre.org/  

 

VM/VMDR」->「KnowledgeBase」->「New」->「OVAL Vulnerability」を選択します。

脆弱性のタイトル、重大度(1 ~ 5)、脆弱性タイプなど、脆弱性の基本情報を入力します。

ベンダの参照番号(例えば、MS03-046 といったマイクロソフトセキュリティ情報)、SecurityFocus により割り当てられた Bugtraq ID、CVSS 基本値および現状値など、脆弱性のオプションの詳細を入力します(CVSS オプションは、サブスクリプションで CVSS スコアが有効な場合のみ表示されます)。

一部の詳細は、脆弱性の保存後にサービスによって挿入されます。OVAL XML から OVAL ID と CVE ID が直接抽出され、一意の QID が割り当てられます。QID は 130000 から始まって、1 ずつ順に 130001、130002、130003 というように増加します。

説明は、スキャンレポートに脆弱性の詳細とともに表示されます。脅威の説明は、OVAL XML の <DESCRIPTION> タグからテキストとともに自動的に挿入されます。説明を変更するには、OVAL XML を編集します。影響の説明は、脆弱性が悪用された場合に生じる可能性のある結果についてです。解決策の説明は、問題に対する検証済みの修正についてです。

「OVAL」項で、XML 形式の完全な OVAL 脆弱性定義を貼り付けます。OVAL 脆弱性定義は、OVAL の Web サイトで無料で閲覧したり、ダウンロードしたりできます。OVAL 脆弱性定義は、次のような内容である必要があります。

- OVAL バージョン 4.0、4.1、4.2 がサポートされています。バージョン番号は OVAL DTD に対する検証時にサービスによって追加されるため、OVAL 要素にはバージョン番号は必要ありません。OVAL バージョンが XML に含まれる場合は、<OVAL version="4">、<OVAL version="4.1">、または <OVAL version="4.2"> として定義される必要があります。

- 1 つの OVAL ID を定義する必要があります。OVAL ID は、1 ~ 19999 の一意の番号です。

- テストを表す CRITERION 要素が少なくとも 1 つなくてはなりません。“ wrt-187 ”などの参照 ID を使用します。

- DEFINITION 要素を複数指定することはできません。

- TEST 要素は複数ある場合があります。参照されるテストは、現在の定義の TEST 要素に指定されるか、以前の定義に指定されていることがあります。

OVAL 脆弱性の設定を追加した後、「Save」をクリックします。KnowledgeBase に OVAL 脆弱性が表示され、自動で QID 番号が割り当てられます。