検索リストとパッチの置換を使用した場合のレポート結果

カスタム検索リストをレポートテンプレートに適用し、「Exclude Superseding Patches」フィルタを選択すると、検索リストに一致する QID を先に特定し、その後、QID のリストに置換ロジックが適用されます。

パッチの置換ロジックは、オペレーティングシステムと検出された QID を基準にし、OS と他の条件が最も一致するノードを見つけ出すためにパッチのツリーを横断的に確認することで実行されます。  オプションプロファイルで脆弱性スキャン(完全ではなくカスタムの脆弱性スキャン)から QID が除外されたり、Threat Protection RTI またはユーザの検索リストを使用してレポートをフィルタリングすることで QID が除外されると、ツリー構造にずれが生じるため、置換ロジックは破綻してしまいます。

検索リストの定義

動的検索リストを使用し、脆弱性のカスタムリストについてレポートを作成します。

検索リストの設定:

(1)リストの条件を選択します。

(2)Threat Protection RTI フィルタを選択します(オプション)。Threat Protection が有効になっている場合のみ選択可能です。

動的な検索リストの使用があるたびに、KnowledgeBase が参照され、条件に一致するすべての QID を見つけ出します。最初にリストの条件を参照し、その後に Threat Protection RTI フィルタを適用して、最終結果を決定します。

新規の動的な脆弱性検索リスト

 

検索リストのサンプルを見ながら、条件に一致する QID が Threat Protection RTI フィルタによってどのように変化するかを確認しましょう。

 

検索リスト ABC(TP RTI フィルタなし)

リストの条件に一致する QID は、QID-1、QID-2、QID-3、QID-4、QID-5、QID-6 です。

 

検索リスト XYZ(TP RTI フィルタあり)

リストの条件に一致する QID は、検索リスト ABC と同じです。Threat Protection RTI フィルタが検索リストに適用されることで、QID-3 が除外されます。リストには、条件に一致する QID として、QID-1、QID-2、QID-4、QID-5、QID-6 が残ります。

 

レポートテンプレートの定義

検索リストについてのレポートを作成する一方で、レポートテンプレートで「Exclude Superseded Patches」フィルタを適用しなければならない状況を考えてみましょう。

レポートテンプレートの設定:

(1)検索リストを選択します。

(2)「Exclude Superseded Patches」を選択します。

 

レポート結果の表示

例にあるそれぞれの QID が連続して置換されていく状況(それぞれが次の QID に置換されていく状況)を想像してください。QID-1 は QID-2 で置換され、QID-2 は QID-3 で置換され、QID-3 は QID-4 で置換されるというように続きます。

 

検索リスト ABC のレポート

検索リスト ABC のレポートには、QID-6 のみが表示されます。

連続する置換がすべて適用された状態です。QID 1 ~ 5 はすべて置換され、レポートからは除外されています。

 

検索リスト XYZ のレポート

検索リスト XYZ のレポートには、QID-2 と QID-6 のみが表示されます。

QID-3 が TP RTI フィルタで検索リストから除外されていたため、連続する置換は QID-2 で止まっています。つまり、QID-2 の置換チェックを実行しなかったため、QID-2 がレポートに残っています。連続する置換は QID-4 で再開されています。