HCL BigFix の統合

IBM® QRadar® Vulnerability Manager は、 HCL BigFix と統合することで、修正可能な脆弱性をフィルタリングして優先順位付けすることができます。

脆弱性管理で BigFix 機能を使用する理由

BigFix(旧称IBM Security Endpoint Manager)は、IT運用と安全に共有される可視性と制御を提供します。 BigFix は、 QRadar Vulnerability Manager によって識別され、 BigFixに送信された高優先度の脆弱性に Fixlet を適用します。 Fixlet とは、特定の脆弱性を修復するために、アセットまたはエンドポイントにデプロイするパッケージです。 BigFix コンソールの 「脆弱性のあるコンピューターの管理」 ダッシュボードから、多数のアセットまたはエンドポイントに Fixlet を同時に適用できます。

BigFixコンソールで脆弱なコンピューターの管理 を使用して、任意の地理位置にあるさまざまなプラットフォームとデバイスにわたって、何十万ものアセットまたはエンドポイントのネットワークを管理、制御します。

BigFixを使用して脆弱性を修復する方法

BigFix には、 QRadar Vulnerability Managerと統合されたダッシュボードが用意されています。 BigFix コンソールでこのダッシュボードを使用して、 QRadar Vulnerability Managerによって検出および送信された脆弱性を表示および修復します。

BigFixコンソールでQRadar Vulnerability Manager 脆弱性データを表示するには、QRadar Vulnerability Managerを構成してから、QRadar Vulnerability Managerから送信された脆弱性データを処理するようにBigFixを構成してください。 BigFixの構成については、「 IBM BigFix QRadar ユーザー・ガイド」を参照してください。

QRadar Vulnerability ManagerBigFix はどのように連携しますか?

QRadar Vulnerability Manager は、アセットまたはエンドポイントをスキャンして脆弱性を検出し、リスク・スコアを割り当てます。リスク・スコアは、脆弱性が組織にもたらすリスク・レベルを表します。 QRadar Vulnerability Manager は、 BigFix アダプターのリスク・スコア・パラメーターを使用して、修復のために BigFix に送信する高リスク脆弱性をフィルタリングします。 QRadar Vulnerability Manager は、 BigFixに送信する各脆弱性に CVE ID を割り当てます。

脆弱性データの識別と処理の方法について詳しくは、以下を参照してください。
以下のリストは、CVE (Common Vulnerabilities and Exposures) によって識別される脆弱性データが QRadar Vulnerability Manager および BigFix によってどのように処理されるかを示しています。
  • QRadar Vulnerability Manager は、CVE ID を持つ脆弱性のみを BigFixに送信します。
  • QRadar Vulnerability Manager は、単一の脆弱性に関連付けられているすべての CVE ID を BigFixに送信します。 脆弱性の中には複数の CVE ID を持つものがあります。
  • QRadar Vulnerability Manager は、リスク・スコアが最も高い CVE が複数の脆弱性を示している場合にのみ、その CVE を BigFix に送信します。

    例えば、2016-0015 という CVE ID は、2 つの異なる脆弱性を示しています。 高リスクの脆弱性がある CVE のみが BigFixに送信されます。

    { 
    Name: CVE-2016-0015 
    - MS16-007 - Microsoft - DirectShow - Code Execution Issue
    Vulnerability ID: 169296 
    CVE: 2016-0015 
    Risk: High 
    
    Name: Microsoft Windows DirectShow code execution 
    Vulnerability ID: 169243 
    CVE: 2016-0015 
    Risk: Medium 
    }

BigFix は、リスク・スコアと CVE ID を含む脆弱性データを QRadar Vulnerability Managerから受信します。これは、 BigFix 「脆弱性のあるコンピューターの管理」 ダッシュボードに表示されます。 BigFixコンソールの脆弱なコンピューター管理ダッシュボードを使用して、QRadar Vulnerability Managerに送信された脆弱性を表示、管理します。 BigFix Fixletを直接アセットまたはエンドポイントに適用することで、Fixletが用意されている高リスクの脆弱性を修正します。 QRadar Vulnerability Manager は、SOAP API を使用して、 BigFix Web レポートから脆弱性フィックスの状況更新を取得します。

BigFix を QRadar Risk Manager に拡張するにはどうすればよいですか?

QRadar Risk Manager のインストール済み環境がある場合は、 QRadar Risk Manager のリスク・ポリシーを使用して、資産のリスク・スコアをさらに詳細化できます。 QRadar Risk Manager で定義したリスク・ポリシーが合格または不合格になると、 QRadar Vulnerability Manager の脆弱性リスク・スコアが調整されます。 ここで、すぐに注意する必要のある脆弱性の優先順位を設定し直すことができます。 QRadar Risk Managerでアセットにリスク・ポリシーを適用すると、そのアセットのすべての脆弱性のリスク・スコアが調整されます。 詳しくは、 QRadar Risk Manager ユーザー・ガイドを参照してください。

脆弱性の修復

BigFixをインストールして統合したかどうかに応じて、 QRadar Vulnerability Manager は脆弱性に関する以下の情報を提供します。
BigFix がインストールされていない場合
QRadar Vulnerability Manager は、フィックスが使用可能な脆弱性に関する日次更新を提供します。

QRadar Vulnerability Manager は、脆弱性フィックス情報のリストを保守します。 フィックス情報は、既知の脆弱性カタログと相関関係にあります。

QRadar Vulnerability Manager で検索を使用して、使用可能なフィックスがある脆弱性を特定します。

BigFix がインストールされている場合
QRadar Vulnerability Manager には、脆弱性修正プロセスに関する具体的な詳細も記載されています。 例えば、フィックスが予定されている場合や、アセットが既に修正済みである場合があります。

BigFix サーバーは、各 BigFix エージェントからフィックス情報を収集します。 QRadar Vulnerability Manager は、事前構成された時間間隔で BigFix サーバーから脆弱性フィックス情報の更新を取得します。

QRadar Vulnerability Manager で検索を使用して、修正がスケジュールされている脆弱性、または既に修正されている脆弱性を特定します。

統合コンポーネント

標準的な統合デプロイメントは、以下のコンポーネントで構成されます。
  • IBM QRadar コンソール。
  • QRadar Vulnerability Manager.
  • BigFixサーバー。
  • ネットワーク内の各スキャン・ターゲット上の BigFix エージェント。