詳細フィルターの適用

詳細フィルターを使用すると、セキュリティー標準および法規制への適合標準を満たすために注意する必要があるアプリケーションを視覚化するのに役立ちます。業界標準 (OWASP Top 10 および CWE/SANS Top 25) を基準にして、または問題のタイプを基準にして、詳細フィルターを適用することができます。1 つのビジネス・ユニットを対象として、またはポートフォリオ内のすべてのビジネス・ユニットを対象として適用します。リストを微調整するためにフィルターを適用した後で、URL を E メールにコピーして、問題の修正を担当するチーム・メンバーに送信します。

ダッシュボードからの詳細フィルターの適用

以下のいずれかのグラフ内のセクションからクリックすると、その選択に基づいてポートフォリオ・リストがフィルターに掛けられます。
  • 上位の問題のタイプ
    注: v9.0.3 以降、「上位の問題のタイプ」グラフをドリルスルーして、ポートフォリオ内のどのアプリケーションに上位の問題が含まれているかを確認できるようになりました。
  • OWASP Top 10
  • CWE/SANS Top 25

「上位の問題のタイプ」グラフからのドリルスルー

「パス・トラバーサル」が組織の上位の問題のタイプの 1 つであり、7 つのアプリケーションが影響を受けるものと仮定します。クリックして「ポートフォリオ」ビューに移動すると、7 つのアプリケーションの絞り込まれたリストが表示されます。サイドバーに、詳細フィルターが有効であり、一部のアプリケーションが非表示になっている可能性があることを示すメッセージが表示されます。そのメッセージをクリックすると、「詳細フィルター」ダイアログが開きます。これで、問題のタイプに関する「標準」と「セクション」のフィルターを適用して、それらの問題が標準に違反しているかどうかを判別できるようになります。
注:
  1. 選択された標準とセクションに問題が該当しない場合、ポートフォリオ・ビューのリストには何も表示されません。
  2. 詳細フィルターを削除するには、「詳細フィルターが有効です」メッセージ・リンクをクリックします。ここでは、次の 3 つの選択肢があります。
    1. 「消去」 > 「保存」をクリックして、すべての詳細フィルターを削除する。
    2. 「標準」リストで「なし」を選択して、「保存」をクリックする。
    3. 「メニュー・リスト」 > 「フィルターのリセット」を選択する。

「コンプライアンス標準」フィルターで示される問題のタイプでは、開発者に必要になる可能性がある研修が強調表示されることがあります。

「標準」グラフからのドリルスルー

「OWASP Top 10」グラフの「注入」カテゴリーに 15 のアプリケーションがあるものと仮定します。ドリルスルーして「ポートフォリオ」タブに移動して「詳細フィルターが有効です」メッセージ・リンクをクリックし、「問題の属性」タブに切り替えて、問題のタイプによるフィルタリングをさらに追加します。問題の状況によってフィルターに掛けることもできます。

注:
  1. その結果、アプリケーションのリストが小さくなる可能性があります。あるいは、選択された標準とセクションに該当する問題がない場合は、ポートフォリオ・ビューのリストにはアプリケーションは何も表示されません。
  2. 詳細フィルターを削除するには、「詳細フィルターが有効です」メッセージ・リンクをクリックします。ここでは、次の 2 つの選択肢があります。
    1. 「消去」 > 「保存」をクリックして、すべての詳細フィルターを削除する。
    2. 「標準」リストで「なし」を選択して、「保存」をクリックする。

ポートフォリオからの詳細フィルターの適用

手順

  1. 「メニュー・リスト」 > 「詳細フィルター」をクリックして、「詳細フィルター」ダイアログを開きます。
  2. 適用するフィルターのタイプのタブをクリックし、選択を行って、「保存」をクリックします。

タスクの結果

注:
  1. その結果、アプリケーションのリストが小さくなる可能性があります。あるいは、選択された標準とセクションに該当する問題がない場合は、ポートフォリオ・ビューのリストにはアプリケーションは何も表示されません。
  2. 詳細フィルターを削除するには、「詳細フィルターが有効です」メッセージ・リンクをクリックします。ここでは、次の 2 つの選択肢があります。
    1. 「消去」 > 「保存」をクリックして、すべての詳細フィルターを削除する。
    2. 「標準」リストで「なし」を選択して、「保存」をクリックする。

アプリケーションに対するフィルターの適用

REST API を介して、アプリケーションをさらにフィルターに掛けることができます。コンプライアンス標準に関する情報は、サード・パーティーのアプリケーションやダッシュボードから取り出すことができます。アプリケーションは、問題の属性に基づいてフィルターに掛けることも、標準とセクションによってフィルターに掛けることもできます。詳細フィルターを使用可能にするために、REST API に次の 2 つのパラメーターが追加されました。
  • IssuesQuery
  • properties:properties パラメーターで使用される ID および別名は、以下の REST API を呼び出して入手できます。
    • GET /standards
    • GET /standards/{standardId}/sections

UI の「モニター」ビューから HTML および PDF に詳細セキュリティー・レポートを生成することもできます。