パッチレポートには、アカウントにある現在の脆弱性を修正するために適用する必要があるパッチのうち、未適用のパッチがリスト表示されます。テンプレートの設定では、レポートに含める情報(検出結果、ホスト、脆弱性、サービス)と、表示する情報の量をカスタマイズできます。
|
参照: 「レポート - 基本事項」 |
|
|
|
「VM」->「Reports」->「Templates」を選択します。「New」->「Patch Template」を選択して、新しいカスタムテンプレートを作成します。既存のテンプレートを編集するには、編集するテンプレートの上にマウスポインタを合わせて、「Quick Actions」メニューから「Edit」を選択します。
レポートに含めるホストを指定するには、「Findings」タブを選択します。レポートには、スキャン済みホストの中で、レポート対象として許可されたもののみが含まれます。
使用するパッチの評価方法を指定するには、「Findings」タブを選択します。「QID based patch evaluation」の使用をお勧めします。この方法は、対象ホストの完全なスキャン検出結果(適用可能なすべての QID)がある場合に有効です。1 つの脆弱性を修正するのに複数のパッチが必要な場合は、レポートに複数の推奨パッチが表示されます。対象ホストの完全なスキャン検出結果がない場合は、「Classic patch evaluation」を選択します。
レポートの各パッチには、重大度が割り当てられます。脆弱性を修正するために推奨されるパッチに基づく重大度(デフォルト)、またはパッチによって修正可能なすべての検出された脆弱性の中で最も高い重大度が割り当てられます。表示するパッチの重大度は、ユーザがパッチレポートテンプレートの「Display」項で指定します。
詳細: Assigned SeverityAssigned Severity | Highest SeverityHighest Severity
このオプションは、指定された対象で検出され、パッチによって修正可能なすべての QID の中で最も高い重大度を表示する場合に選択します。例えば、パッチ MS09-015 によって QID 90492(重大度 3)、QID 90397(重大度 4)、QID 90342(重大度 5)が修正されるとします。ホストでこの 3 つの QID がすべて検出された場合、パッチの重大度は 5 になります。また、ホストで QID 90342 が検出されなかったが、残りの 2 つの QID が検出された場合は、パッチの重大度は 4 になります。
このオプションは、推奨されるパッチの QID に割り当てられた重大度を表示する場合に選択します。例えば、KnowledgeBase で MS09-015 に対応する QID が重大度 3 になっている場合、MS09-015 のパッチによって修正されたその他の脆弱性により高い重大度が割り当てられていても、MS09-015 用のパッチは重大度 3 でリストされます。
パッチレポートテンプレートの「Cloud Provider Metadata」オプションを選択すると、パッチレポートにクラウドアセットのクラウドメタデータが表示されます。現在サポートされているのは、AWS のクラウドメタデータのみです。このオプションは、詳細結果がホストごとにグループ化されている場合にのみ使用できます。
パッチの検出に割り当てられた基本値、またはパッチによって修正されたすべての QID の中で最も高い基本値を表示できます。各 QID の CVSS(バージョン 2)および CVSS v3.1 基本値もレポートに表示されます(QID の表示が選択されている場合)。
重要事項の説明やデータの分類(例: 公開、社外秘)などの情報を必要に応じて追加できる場所です。ここに入力したテキストは、このテンプレートから作成されたすべての PDF レポートに表示されます。
このオプションを選択すると、現時点でベンダ情報のない脆弱性のパッチ情報がレポートに表示されます。レポートでは、これらの QID の「Vendor ID」は表示されません。
レポートにパッチ情報を表示する脆弱性 QID を指定するために、脆弱性フィルタが使用されます。リストのフィルタを選択した場合とタイムフレームの選択を変更した場合を除き、過去 30 日間に検出されたすべての脆弱性が含まれます。
「Selective Vulnerability Reporting」 - これらのオプションを使用して、パッチを検索したい脆弱性(QID)を指定します。ホストから検出情報が収集され、KnowledgeBase を使用して、パッチが入手可能かどうかが判断されます。ここでフィルタを適用すると、データの収集が、ホストで検出された特定の QID に制限されます。
「Selective Patch Reporting」 - これらのオプションを使用して、推奨パッチとしてレポートに含めたい脆弱性(QID)を指定します。「Exclude QIDs」を選択すると、これらの QID はパッチレポートから除外され、可能な場合は代替のパッチ QID が提示されます。
事前定義済みの QID フィルタ事前定義済みの QID フィルタ
フィルタを選択して、レポートから特定の脆弱性を除外します。実行されていないポートやサービスで検出された脆弱性、ホストの設定のために悪用が不可能な脆弱性などを除外できます。これらのフィルタは、特定の QID にのみ適用されます。詳細
デフォルトでは、すべての Linux カーネル(実行されているカーネルと実行されていないカーネル)で検出されたすべての脆弱性がレポートされます。表示オプションを選択して、実行されていないカーネルの脆弱性のレポート表示に新しい項を追加したり、除外オプションを選択して、脆弱性を除外したりできます。詳細
「Selective Vulnerability Reporting」で QID を除外したにもかかわらず、それらがパッチレポートに表示される場合があります。
これは、選択された脆弱性 QID を修正する既知のパッチがあるとわかった場合に、パッチ QID が自動でレポートされるために発生します。
レポートから特定の QID を除外するには、「Selective Patch Reporting」で「Exclude Patch QIDs」を設定して、レポートに推奨パッチとして表示したくない QID を指定します。これで設定は終わりです。
使用例 - パッチレポートからの QID の除外使用例 - パッチレポートからの QID の除外
ホスト 10.10.10.100 をスキャンし、このホストで QID 1、2、および 3 が検出されたとします。QID 1、2、および 3 を修正するために QID 9 を使用できますが、QID 9 はこのホストでは検出されませんでした。QID 9 を除外するよう選択しない限り、QID 9 は推奨パッチとしてレポートに表示されます。
レポートから QID 9 を除外するのは簡単です。「Selective Patch Reporting」で「Exclude QIDs」を選択して、QID 9 を含む検索リストを追加するだけです。以上で完了です。これで、レポートに不要な QID が表示されなくなります。
ヒント - 「Selective Patch Reporting」ではなく、「Selective Vulnerability Reporting」で QID 9 を「Exclude IDs」に追加すると、QID 9 はレポートに表示されます。
脆弱性検出のタイムフレームを選択します。選択したタイムフレーム内で検出された脆弱性のパッチが検索されます。例えば、「Last 30 days」を選択すると、レポート作成日の 30 日前以降に検出された脆弱性のパッチが検索されます。脆弱性の検出時期に関係なく、すべての既知の脆弱性のパッチを検索するには、「No Time Limit」を選択します。新しいパッチレポートテンプレートでは、デフォルトで「Last 30 days」に設定されています。
ヒント: (おそらく、ホストが新しい目的で使用され、新しいオペレーティングシステムやアプリケーションなどが導入されたため)既に該当しなくなった古いスキャンデータを持つホストがある場合は、ホストをパージして、保存されているすべてのホスト情報を完全に削除できます。その後、ホストの再スキャンを実行して、現在のホストのスキャンデータを取得します。