監査
SUSE Multi-Linux Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。
SUSE Multi-Linux Manager Web UIで、[監査
]に移動して、監査タスクを実行します。
1. CVE監査
CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。
CVEが利用可能になったらすぐにクライアントに適用する必要があります。 |
各CVEには、識別番号、脆弱性の説明、および詳細情報へのリンクが含まれています。 CVE識別番号は、CVE-YEAR-XXXX
の形式を使用します。
SUSE Multi-Linux Manager Web UIで、
に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。デフォルトでは、パッチデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。
-
SUSE Multi-Linux Manager Web UIで、
に移動し、cve-server-channels-default
スケジュールを選択します。 -
cve-server-channels-bunchをクリックします。
-
一回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。
-
SUSE Multi-Linux Manager Web UIで、
に移動します。 -
特定のCVEのパッチステータスを確認するには、[
CVE番号
]フィールドにCVE IDを入力します。 -
検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。
-
監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。
このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。
各システムについて、[アクション
]列には、脆弱性に対処するために実行する必要がある情報が表示されます。 該当する場合は、候補チャンネルまたはパッチのリストも表示されます。 さらにバッチ処理を行うためにシステムを[システムセット
]に割り当てることもできます。
SUSE Multi-Linux Manager APIを使用して、クライアントのパッチステータスを確認できます。 audit.listSystemsByPatchStatus
APIメソッドを使用します。 このメソッドの詳細については、『SUSE Multi-Linux Manager API ガイド』を参照してください。
2. OVAL
チャンネルデータからCVE情報を取得する機能に加え、SUSE Multi-Linux Managerには現在、OVALファイルからCVEの詳細をフェッチする実験的な機能が含まれています。 この機能は現在、テクノロジプレビューとして提供されています。 ユーザは、この機能を試してフィードバックを共有することが推奨されます。 ただし、テスト環境での徹底的なテストを行わずに、運用環境で使用することは推奨されません。 |
CVE監査操作は、チャンネルとOVAL (Open Vulnerability and Assessment Language)という2つの主要なデータソースに依存しています。 これらの2つのソースは、CVE監査を実施するためのメタデータを提供し、それぞれが異なる目的を果たします。
- チャンネル
-
チャンネルには、パッチを含む更新されたソフトウェアパッケージが含まれており、脆弱性に対処するために必要な重要なパッチに関する洞察を提供します。
- OVAL (テクノロジプレビュー)
-
対照的に、OVALデータは、脆弱性そのものに関する情報、およびシステムをCVEに対して脆弱にするパッケージに関する情報を提供します。
CVE監査はチャンネルデータのみを使用して実施できますが、OVALデータを同期させることで、特に、ゼロデイ脆弱性や部分的にパッチが適用された脆弱性に関連するケースで、結果の精度が向上します。
OVALデータはチャンネルデータよりもはるかに軽量です。 たとえば、openSUSE Leap 15.4のOVALデータは約50MB です。
OVALデータを同期しただけで、すでに CVE 監査を実施し、システムがCVEに対して脆弱かどうかを確認できます。ただし、パッチはチャンネルから取得されるため、パッチを適用することはできません。
OVAL機能の主な特徴は次のとおりです。
|
-
rhn.conf
に次の設定を追加または編集します。java.cve_audit.enable_oval_metadata=true
-
TomcatおよびTaskomaticサービスを再起動します。
systemctl restart tomcat taskomatic
問題が発生し、デフォルトの動作に戻す必要がある場合は、次のように設定してこの機能を無効にしてください。
-
rhn.conf
に次の設定を追加または編集します。java.cve_audit.enable_oval_metadata=false
-
TomcatおよびTaskomaticサービスを再起動します。
systemctl restart tomcat taskomatic
-
SUSE Multi-Linux Manager Web UIで、
に移動し、oval-data-sync-default
スケジュールを選択します。 -
oval-data-sync-bunchをクリックします。
-
1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。
CVE監査を続行する前に、タスクを完了させてください。
2.1. CPEの収集
特定のクライアントに適用される脆弱性を正確に特定するには、そのクライアントが使用しているオペレーティングシステム製品を特定する必要があります。そのため、クライアントのCPE (Common Platform Enumeration)をsalt grainとして収集し、データベースに保存します。
新規登録されたクライアントのCPEは、自動的に収集され、データベースに保存されます。 ただし、既存のクライアントについては、少なくとも1回パッケージリストの更新
アクションを実行する必要があります。
-
SUSE Multi-Linux Manager Web UIで、
に移動して、クライアントを選択します。 -
[
ソフトウェア
]タブに移動し、[パッケージ
]サブタブを選択します。 -
Update Packages List(パッケージリストの更新)をクリックして、クライアントのCPEを収集します。
2.2. OVALソース
OVALデータの完全性と最新性を確保するため、SUSE Multi-Linux Managerは、すべての製品の公式メンテナーから提供されるOVALデータを排他的に使用します。以下に、OVALデータソースのリストを示します。
製品 | ソースURL |
---|---|
openSUSE Leap |
|
openSUSE Leap Micro |
|
SUSE Linux Enterprise Server |
|
SUSE Linux Enterprise Desktop |
|
SUSE Linux Enterprise Micro |
|
RedHat Enterprise Linux |
|
Debian |
|
Ubuntu |
OVALメタデータは、CVE監査でクライアントのサブセット、すなわち、openSUSE Leap、SUSEエンタープライズ製品、RHEL、Debian、またはUbuntuを使用するクライアントのみに使用されます。これは、他の製品にはOVAL脆弱性定義メタデータが存在しないためです。 |
3. CVEステータス
クライアントのCVEステータスは通常、影響を受けています
、影響を受けません
、またはパッチ適用済み
のいずれかです。 これらのステータスは、SUSE Multi-Linux Managerで使用できる情報にのみ基づいています。
SUSE Multi-Linux Manager内で、次の定義が適用されます。
- 特定の脆弱性の影響を受けるシステム
-
脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。
- 特定の脆弱性の影響を受けないシステム
-
脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。
- 特定の脆弱性に対するパッチが適用されたシステム
-
脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。
- 関連パッチ
-
関連するチャンネルでSUSE Multi-Linux Managerによって知られているパッチ。
- 関連するチャンネル
-
システムに割り当てられたSUSE Multi-Linux Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。
SUSE Multi-Linux Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。 |