プレビュー: 共通脆弱性と暴露 (CVE) の確認

9.2.12 9.2.12 から使用可能。 ソフトウェア・カタログには、共通脆弱性と暴露 (CVE) に関する情報が含まれています。ソフトウェア・カタログを参照して、潜在的な脅威があるかどうかを確認します。BigFix Inventory の CVE の確認は、プレビュー機能です。

このタスクについて

共通脆弱性と暴露 (CVE) は、識別番号が割り当てられた既知のセキュリティー脅威のリストです。 BigFix Inventoryhttps://nvd.nist.gov/ の National Vulnerability Database によって提供される CVE を使用して、ご使用の環境における潜在的な脅威を識別できるようにします。

CVE の順序

潜在的な脅威は、「脆弱性のリスク (プレビュー)」列に表示されます。一致した場合、CVE は基本スコアによって降順にソートされ、次に CVE ID でソートされます。重大度によって順序付けされることはありません。基本スコアと重大度は、共通脆弱性評価システム (CVSS) に従って割り当てられます。CVSS v3.0 が使用可能な場合は CVSS v2.0 よりも優先されます。

CVE の詳細

CVE ID 番号の横の「詳細の表示」アイコン 詳細の表示アイコン をクリックすると、該当する CVE の名前、重大度、CVSS などの詳細が表示されます。特定のコンポーネントと一致する CVE がさらに多い場合は、詳細リストでそれらを表示することができます追加処理のために、レポート・ビューを CSV または PDF にエクスポートすることができます。エクスポートされたレポートには、関連する CVE の名前の完全なリストが含まれています。

制限

  • CVE の概要は、脆弱なバージョンを必ずしも正しく反映していません。その結果、パッチをアップグレードし、BigFix Inventory の詳細なコンポーネント・バージョンを参照しているにもかかわらず、CVE がリストされることがあります。National Vulnerability Database の最新の CVE の概要を参照してください。

    例: CVE-2015-1728、Windows Media Player、およびすべての 12.x バージョンが影響を受けます。12.x バージョンで使用可能な修正はありません。その場合、BigFix Inventory の CVE に 12.x がリストされます。

  • 最良の結果を得るには、NVD フィードを更新してください。CVE の更新については、『共通脆弱性と暴露 (CVE) についての情報の更新』を参照してください。
  • BigFix Inventory は、選択したソフトウェア・コンポーネントのコンポーネント詳細バージョン (パッチ/フィックス・パック・レベル) のレポートを提供します。このような場合、NVD フィードは問題に関連のあるバージョンに関する正しい情報を提供しますが、CVE はバージョンを一般的なディスカバリーとして BigFix Inventory に引き続きリストします。
  • National Vulnerability Database にリストされている CVE は、特定のオペレーティング・システムにインストールされているソフトウェアにのみ影響を与える可能性があります。BigFix Inventory は、CVE をコンポーネントと突き合わせたときに、この事実を考慮に入れません。
  • コンポーネントまたはそのパブリッシャーの名前が BigFix Inventory と National Vulnerability Database との間で異なっている場合は、CVE が BigFix Inventory で一致していない可能性があります。
  • コンポーネントの詳細バージョンがそのバージョンと大幅に異なる場合は、CVE が BigFix Inventory で一致していない可能性があります。
  • 9.2.14 以下の別名が追加されて、CPE 生成と脆弱性の一致が改善されました。
    • RedHat は Red Hat publisher の別名です。
    • Apache は Apache Software Foundation publisher の別名です。

手順

BigFix Inventory にログインし、以下のいずれかのレポートを開きます。

  • 9.2.13 「レポート」 > 「ソフトウェア分類」に移動します。「脆弱性リスク (プレビュー)」列を表示するには、「レポート・ビューの管理」アイコン レポート・ビューの管理アイコン をクリックし、「ビューの設定」をクリックして、レポートに表示する「脆弱性リスク (プレビュー)」列を選択します。

    このレポートの CVE は、詳細バージョンを介して特定のソフトウェア・コンポーネントと突き合わせられます。CVE 情報を含むレポート

  • 「レポート」 > 「ソフトウェア・コンポーネント」に移動します。共通脆弱性と暴露は、「脆弱性のリスク (プレビュー)」列に表示されます。

    レポートには、特定のバージョンのコンポーネントがリストされます。ただし、一致する CVE は、バージョンとそのパッチに関連しています。CVE 情報を含むレポート
注: 9.2.13 CVE 名で両方のレポートをフィルタリングおよびソートすることができます。
  • 脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。Vulnerability Risk (Preview)is not empty
  • 特定の脆弱性が一致したコンポーネントを表示するには、以下のフィルターを指定します。Vulnerability: CVE Namecontains 、および、CVE の名前を指定します。
パフォーマンスを向上させるには、特定の脆弱性が一致したコンポーネントを検索するときに、これら 2 つのフィルターを組み合わせます。