Vexから取り込んだ脆弱性を管理できます。
管理できること
対応方針(「要対応」「受容」など)や、対応状況(「修正確認」「対応完了」)を、脆弱性の「検知結果」ごとに管理できます。
検知結果
脆弱性を検知した条件や脆弱性の詳細 などをまとめたもので、それぞれにステータスや担当者などを設定できます。
「脆弱性別詳細」画面 などで確認できます。
ステータス
検知結果ごとに存在し、脆弱性への対応方針と対応状況を管理できます。ユーザ操作による設定とシステムによる自動設定とを併用して管理します。
| ステータス | 説明 |
|---|---|
| 検知 |
新たに検知された脆弱性であることを表します。
|
| 要対応 | 対応が必要な脆弱性であることを表します。 |
| 受容 | リスク受容する脆弱性であることを表します。 |
| 誤検知 |
検知が誤りであることを表します。
|
| 修正確認 |
Vexで再検査した結果、修正確認ができたことを表します。
|
| 対応完了 |
脆弱性への対応が完了したことを表します。
|
※1 再インポート時のステータス変更の詳細は『インポート』を参照してください。
「脆弱性一覧」画面
脆弱性の危険度・名称・ステータスを一覧表示できます。
※ すべてのインポート結果を集約して表示します。
| 項目 | 説明 |
|---|---|
| ① 危険度 | CVSSの深刻度を表しています |
| ② ステータス | |
| ③ 表示切替 |
一覧表示を、脆弱性ごとの要約か、URLごとの要約か切り替えることができます |
行をクリックすると、「脆弱性別詳細」画面を閲覧できます。
危険度
VexCloudの危険度は、CVSS v3における基本評価基準を元に作成しております。
各危険度の基準は以下の通りとなっております。
| 危険度 | CVSS v3 基本値 |
| CRITICAL | 9.0~10.0 |
| HIGH | 7.0~8.9 |
| MEDIUM | 4.0~6.9 |
| LOW | 0.1~3.9 |
| INFO | 0 |
「脆弱性別詳細」画面
行をクリックすると、その検知結果の詳細を表示できます(※『「検知結果詳細」パネル』参照)。
複数の検知結果を選択し一括でステータスの変更が可能です。
「検知結果詳細」パネル
検知結果を確認/編集できます
「ステータス」タブ
検知結果の概要を確認し、担当者やステータスなどを設定できます。
| 項目 | 説明 |
|---|---|
| ① ステータス | 『ステータス』参照 |
| ② 担当者 |
そのアセットの所属ユーザの中から1名選択可能です。 |
| ③ コメント | 自由に入力可能です。システムからのメッセージも表示されます。 |
「検知」タブ
Vex上での検査結果を表示できます。
| 項目 | 説明 |
|---|---|
| ① シグネチャ切替 |
Vexで複数シグネチャで検出されていた場合に表示され、「検知」タブに表示される検査結果をシグネチャごとに切り替えられます。 |
「解説」タブ
脆弱性の解説を表示できます。
「ナレッジ」タブ
- 「ナレッジ」の確認/編集ができます。
- 「ナレッジ」は脆弱性に結びついて保持され、同じテナント内で共有されます。VexCloudでのスキャン結果(「Webアプリ検査」機能)とも共有されます。