CVEリスクスコアと優先順位の設定

Concert では、アプリケーションに影響を与えるCVEについて、脆弱性に関連するリスクの計算方法や優先順位の付け方をカスタマイズできます。 設定ページでは、 Concert のリスクスコア、CVSS スコア、または API を通じてアップロードされた外部スコアを使用して脆弱性リスクを判断するよう選択できます。

脆弱性の優先順位付けソースの設定

管理 > 設定 > 脆弱性の優先度ページで、 Concert 各 CVE の優先度レベルを決定します。 オプションは以下のとおりです。
  • Concert リスクスコアを使用して脆弱性を評価する (デフォルト)
  • CVSS を使用して脆弱性を評価する
  • API による外部スコア
    • このオプションを使用するには、「 外部スコアを有効にする 」をトグルする
図1: 脆弱性の優先順位の決定脆弱性の優先順位を決定する「設定」タブのスクリーンショット。

脆弱性の優先順位付けオプションの詳細

以下は、脆弱性の優先順位付けオプションの詳細である:
  • Concert リスク・スコア :CVEの各インスタンスのリスクを評価するために、重大性、悪用可能性、環境要因を考慮する
  • Common Vulnerability Scoring System(CVSS) :オープンな業界標準であり、 Concert 、環境間で長期にわたって一定である脆弱性の本質的な特性を評価するために使用される
  • APIによる外部スコア :各評価のユーザー定義スコアで、ユーザーが独自のCVEスコアを Concert。 詳細については、APIドキュメントを参照してください

脆弱性の優先順位付け範囲の設定

折れ線グラフのスライダーを調整することで、各優先事項にリスクスコアの範囲を割り当てることができます。 スコアの選択肢は0(最もリスクが低い)から10(最もリスクが高い)まで。
  • 優先度1の CVE(最高優先度)のデフォルトの範囲は、 7.5 から 10 です。
  • 優先度 2 の CVE のデフォルト範囲は 5 から 7.5 である。
  • 優先度3の CVEのデフォルトの範囲は 2.5 から5である。
  • 非優先 CVE のデフォルト範囲は 0 から 2.5 です。
図2: 優先順位ごとにリスクスコアの範囲を割り当てる各優先順位に IBM リスクスコアの範囲を割り当てるための設定ページのスクリーンショット。

変更の適用

アップデートを行うと、次のような警告が表示されますNew vulnerability priority settings have not been recomputed.これらの変更を保存して適用するには
  1. 優先順位の再計算をクリックして、再計算プロセスを開始する。
  2. 表示された新しいウィンドウで、優先順位の再計算と保存を確認する。
  3. 優先順位の再計算が進行中であることを示す通知が Concert の Notifications タブに送信されます。
  4. しばらくしてからブラウザを更新すると、更新された優先順位が表示されます。
  5. 優先順位の再計算が完了すると、再計算ジョブが成功したか失敗したかが、別の通知で確認されます。