フラグタイプと SLA マトリクスの管理

［脆弱性の設定］ではフラグタイプを管理し、サービスレベルアグリーメント（SLA）マトリクスをセットアップできます。

重要

資産管理との Tenable VM 統合は、アーリーアダプタープログラムでご利用いただけます。オプトインする場合、Diligent 担当者にお問い合わせください。

フラグタイプ

脆弱性を分類し、優先順位を付けるために、さまざまなタイプのフラグが使用されます。これらのフラグは、各調査結果の重要度と影響に対する洞察を与えてくれます。例: 実際の調査結果、情報、誤検出。

メモ

［アクセス許可］、［インポート］、［一般］の各タブおよび［脆弱性の詳細］ページは、資産管理で Tenable アカウントをアクティブ化してから使用可能になります。アクティブ化について詳しくは、「Tenable VM アカウントのアクティブ化」を参照してください。

メモ

「実際の調査結果」フラグタイプはデフォルトで使用でき、編集や削除はできません。Tenable からインポートされたすべての調査結果にはこのフラグタイプが割り当てられます。

メモ

脆弱性の面から見ると、サービスレベルアグリーメント（SLA）は、ある脆弱性が特定されてから解決されるまでに必要な最大日数を指定するものです。

資産管理で SLA マトリクスを設定することにより、Tenable からインポートした調査結果の SLA（期日）を計算できます。

調査結果の重要度値これは、SLA マトリクスをセットアップするために必要な値の 1 つです。Tenable からインポートされるスコアには 3 つの種類があり、そのいずれかを選択して SLA を計算できます。

VPR スコア脆弱性優先度評価（VPR）は、複数の要因に基づいて脆弱性に対する救済策の優先順位を付けるためのメトリックです。
CVSSv2 Common Vulnerability Scoring System バージョン 2（一般脆弱性スコアリングシステム）は、セキュリティ上の脆弱性の重要度を評価するための標準化されたメソッドであり、基本的、一時的、環境的メトリクスに重点を置きます。
CVSSv3 CVSSv2 メソッドのアップデート版で、脆弱性のより詳細かつ正確な評価を提供します。

SLA マトリクス SLA マトリクスは、脆弱性/調査結果に対する SLA を計算するのに使用されるテーブルです。このテーブルは以下で構成されます。

資産の重要度これは、集約された資産の重要度レベルを示し、資産管理から取得されます。重要度は、ある資産の業務上の影響レベルを表します。例:「高」、「中」、「低」。
SLA マトリクスが機能するためには、資産管理で作成された資産の［重要度］フィールドが入力されている必要があります。詳細については、「資産管理での資産の扱い」を参照してください。
スコアこれは［調査結果の重要度値］で選択したスコアであり、次のオプションがあります: VPR スコア、CVSSv3、CVSSv2。これらは Tenable からインポートされ、調査結果で使用可能です。これらには値の範囲が入ります。例: 0-2、2-4、4-6。

メモ

資産管理アプリを開きます。
左側にある展開ボタンを選択して、サイドパネルを開きます。
［脆弱性］>［設定］>［一般］タブを選択します。
［SLA 設定］で、次の 3 つのオプションから［調査結果の重要度値］を選択します。
- VPR スコア
- CVSSv2
- CVSSv3
［SLA マトリクス］テーブルで、各セルに数字を入力します。
この数字は、脆弱性/調査結果を解決するために必要な最大日数を表します。例: 上記のスクリーンショットで、スコアが 8 ～10 である場合、資産の重要度は「高」であり、SLA は 7 日間です。
［変更を保存］を選択します。
結果設定が保存されます。