カスタム検索リストをレポートテンプレートに適用し、「Exclude Superseding Patches」フィルタを選択すると、検索リストに一致する QID を先に特定し、その後、QID のリストに置換ロジックが適用されます。
パッチの置換ロジックは、オペレーティングシステムと検出された QID を基準にし、OS と他の条件が最も一致するノードを見つけ出すためにパッチのツリーを横断的に確認することで実行されます。 オプションプロファイルで脆弱性スキャン(完全ではなくカスタムの脆弱性スキャン)から QID が除外されたり、Threat Protection RTI またはユーザの検索リストを使用してレポートをフィルタリングすることで QID が除外されると、ツリー構造にずれが生じるため、置換ロジックは破綻してしまいます。
動的検索リストを使用し、脆弱性のカスタムリストについてレポートを作成します。
検索リストの設定:
(1)リストの条件を選択します。
(2)Threat Protection RTI フィルタを選択します(オプション)。Threat Protection が有効になっている場合のみ選択可能です。
動的な検索リストの使用があるたびに、KnowledgeBase が参照され、条件に一致するすべての QID を見つけ出します。最初にリストの条件を参照し、その後に Threat Protection RTI フィルタを適用して、最終結果を決定します。
検索リストのサンプルを見ながら、条件に一致する QID が Threat Protection RTI フィルタによってどのように変化するかを確認しましょう。
リストの条件に一致する QID は、QID-1、QID-2、QID-3、QID-4、QID-5、QID-6 です。
リストの条件に一致する QID は、検索リスト ABC と同じです。Threat Protection RTI フィルタが検索リストに適用されることで、QID-3 が除外されます。リストには、条件に一致する QID として、QID-1、QID-2、QID-4、QID-5、QID-6 が残ります。
検索リストについてのレポートを作成する一方で、レポートテンプレートで「Exclude Superseded Patches」フィルタを適用しなければならない状況を考えてみましょう。
レポートテンプレートの設定:
(1)検索リストを選択します。
(2)「Exclude Superseded Patches」を選択します。
例にあるそれぞれの QID が連続して置換されていく状況(それぞれが次の QID に置換されていく状況)を想像してください。QID-1 は QID-2 で置換され、QID-2 は QID-3 で置換され、QID-3 は QID-4 で置換されるというように続きます。
検索リスト ABC のレポートには、QID-6 のみが表示されます。
連続する置換がすべて適用された状態です。QID 1 ~ 5 はすべて置換され、レポートからは除外されています。
検索リスト XYZ のレポートには、QID-2 と QID-6 のみが表示されます。
QID-3 が TP RTI フィルタで検索リストから除外されていたため、連続する置換は QID-2 で止まっています。つまり、QID-2 の置換チェックを実行しなかったため、QID-2 がレポートに残っています。連続する置換は QID-4 で再開されています。
