プレビュー: 共通脆弱性と暴露 (CVE) の確認

9.2.12 9.2.12 から使用可能です。ソフトウェア・カタログには、共通脆弱性と暴露 (CVE) に関する情報が含まれています。ソフトウェア・カタログを参照して、潜在的な脅威があるかどうかを確認します。BigFix Inventory の CVE の確認は、プレビュー機能です。

このタスクについて

Common Vulnerabilities and Exposures (CVE) は、識別番号が割り当てられている既知のセキュリティー上の脅威のリストです。BigFix Inventory は、https://nvd.nist.gov/ で National Vulnerability Database が提供する CVE を使用して、環境内の潜在的な脅威を特定します。

CVE の順序

潜在的な脅威は、「脆弱性のリスク (プレビュー)」列に表示されます。一致した場合、CVE は基本スコアによって降順にソートされ、次に CVE ID でソートされます。重大度によって順序付けされることはありません。基本スコアと重大度は、共通脆弱性評価システム (CVSS) に従って割り当てられます。CVSS v3.0 が使用可能な場合は CVSS v2.0 よりも優先されます。

CVE の詳細

CVE 識別番号の横にある「詳細の表示」アイコンをクリックすると、 「詳細の表示」アイコン CVE の名前、重大度、CVSS などの CVE に関連する詳細が表示されます。特定のコンポーネントと一致する CVE がさらに多い場合は、詳細リストでそれらを表示することができます追加処理のために、レポート・ビューを CSV または PDF にエクスポートすることができます。エクスポートされたレポートには、関連する CVE の名前の完全なリストが含まれています。

制限

  • CVE の概要は、脆弱なバージョンを必ずしも正しく反映していません。その結果、パッチをアップグレードし、BigFix Inventory の詳細なコンポーネント・バージョンを参照しているにもかかわらず、CVE がリストされることがあります。National Vulnerability Database の最新の CVE の概要を参照してください。

    例: CVE-2015-1728、Windows Media Player、およびすべての 12.x バージョンが影響を受けます。12.x バージョンで使用可能な修正はありません。その場合、BigFix Inventory の CVE に 12.x がリストされます。

  • 最良の結果を得るには、NVD フィードを更新してください。CVE の更新については、『共通脆弱性と暴露 (CVE) についての情報の更新』を参照してください。
  • BigFix Inventory は、選択したソフトウェア・コンポーネントのコンポーネント詳細バージョン (パッチ/フィックス・パック・レベル) のレポートを提供します。このような場合、NVD フィードは問題に関連のあるバージョンに関する正しい情報を提供しますが、CVE はバージョンを一般的なディスカバリーとして BigFix Inventory に引き続きリストします。
  • National Vulnerability Database に記載されている CVE は、特定のオペレーティング・システムにのみインストールされているソフトウェアに影響を与える可能性があります。BigFix Inventory は、この事実を考慮せずに、CVE とコンポーネントを一致させます。
  • コンポーネントまたはそのパブリッシャーの名前が BigFix Inventory と National Vulnerability Database との間で異なっている場合は、CVE が BigFix Inventory で一致していない可能性があります。
  • コンポーネントの詳細バージョンがそのバージョンと大幅に異なる場合は、CVE が BigFix Inventory で一致していない可能性があります。
  • 9.2.14 以下の別名が追加されて、CPE 生成と脆弱性の一致が改善されました。
    • RedHat は Red Hat publisher の別名です。
    • Apache は Apache Software Foundation publisher の別名です。

手順

BigFix Inventory にログインし、以下のいずれかのレポートを開きます。

  • 9.2.13 「レポート」 > 「ソフトウェア分類」に移動します。「脆弱性リスク (プレビュー)」列を表示するには、 「レポート・ビューの管理」アイコンをクリックします 「レポート・ビューの管理」アイコン「表示の構成」をクリックし、「脆弱性リスク (プレビュー)」列を選択してレポートに表示します。

    このレポートの CVE は、詳細バージョンを介して特定のソフトウェア・コンポーネントと突き合わせられます。
    CVE 情報を含むレポート

  • 「レポート」 > 「ソフトウェア・コンポーネント」に移動します。共通脆弱性と暴露は、「脆弱性のリスク (プレビュー)」列に表示されます。

    レポートには、特定のバージョンのコンポーネントがリストされます。ただし、一致する CVE は、バージョンとそのパッチに関連しています。
    CVE 情報を含むレポート
注: 9.2.13 CVE 名で両方のレポートをフィルタリングおよびソートすることができます。
  • 脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。Vulnerability Risk (Preview)is not empty
  • 特定の脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。Vulnerability: CVE Namecontains、および、CVE の名前を指定します。
パフォーマンスを向上させるには、特定の脆弱性が一致したコンポーネントを検索するときに、これら 2 つのフィルターを組み合わせます。